CN112733165B - 一种文件访问控制方法、装置及介质 - Google Patents
一种文件访问控制方法、装置及介质 Download PDFInfo
- Publication number
- CN112733165B CN112733165B CN202110018175.5A CN202110018175A CN112733165B CN 112733165 B CN112733165 B CN 112733165B CN 202110018175 A CN202110018175 A CN 202110018175A CN 112733165 B CN112733165 B CN 112733165B
- Authority
- CN
- China
- Prior art keywords
- security
- subject
- comparison result
- bundle
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000012550 audit Methods 0.000 claims description 11
- 230000004048 modification Effects 0.000 claims description 11
- 238000012986 modification Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 5
- 238000011900 installation process Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004215 lattice model Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 2
- 239000003550 marker Substances 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种文件访问控制方法,包括设置主体与客体的安全标记;当主体访问客体时,判断获取主体和客体的安全标记是否成功;若获取失败,则主体没有权限对客体进行访问;若获取成功,则将主体和客体的安全标记进行对比,并根据对比结果控制主体对客体的访问权限;通过上述方式,本发明能够在主体访问客体文件时,不仅考虑主体和客体的安全级别,而且考虑主体和客体的安全集束以及数据完整性,通过对主体和文件设置安全集束,然后在不同的安全集束中设置相对应的安全级别和数据完整性级别,当主体访问客体文件,通过对比相同安全集束中对应的安全标记,可以控制不同安全集束之间信息流动,提高了数据的安全性。
Description
技术领域
本发明涉及操作系统技术领域,特别是涉及一种文件访问控制方法、装置及介质。
背景技术
Linux操作系统访问控制包括自主访问控制(DAC)和强制访问控制(MAC),自主访问控制(DAC)主要由客体的所有者来决定其他组或者用户对客体的访问权限。强制访问控制(MAC)主要通过对主体和客体设置安全标记,通过判断主体和客体所拥有的安全标记来判断主体是否对客体拥有访问权限。
根据国家最新出台的《信息安全技术操作系统安全技术要求》中明确要求,操作系统中要存在标记和强制访问控制功能。操作系统中的强制访问控制都是基于一系列模型实现,如BLP模型。
BLP模型基于强制访问控制系统,它是以敏感度来划分主体和客体的安全级别,在主体访问客体时,根据主体和客体的安全级别来判断主体是否对客体拥有访问权限。
Lattice模型是对BLP模型的扩充,它将用户和资源进行分类,并允许它们之间交换信息。但是目前Lattice模型只考虑了数据的保密性,并没有关注数据的完整性。
发明内容
本发明主要解决的技术问题是目前Lattice模型进行主体对客体的访问时只考虑了数据的保密性,并没有关注数据的完整性。
为解决上述技术问题,本发明采用的一个技术方案是:提供一种文件访问控制方法,包括以下步骤:
设置主体与客体的安全标记;
当所述主体访问所述客体时,获取所述主体和所述客体的安全标记并判断是否获取成功;
若获取失败,则所述主体对所述客体没有访问权限,并将失败结果写入审计日志中;
若获取成功,则将所述主体和所述客体的安全标记进行对比,并根据对比结果控制所述主体对所述客体的访问权限。
优选的,所述设置主体与客体的安全标记的步骤进一步包括:
设定主体标记策略和设定客体标记策略;
当登录系统时,根据所述主体标记策略设置所述主体的安全标记;当所述主体中含有第一主体时,所述第一主体的安全标记与所述主体的安全标记相同;
在系统安装过程中,获取客体标记策略,并调用客体安全标记脚本,设置所述客体的安全标记。
优选的,当所述主体创建第一客体时,所述第一客体的安全标记与所述主体的安全标记相同。
进一步,所述安全标记包括安全集束、安全级别和数据完整性级别;所述安全级别和所述数据完整性级别在所述安全集束中;所述主体中的安全标记中包含若干所述安全集束;所述客体的安全标记中包含一个所述安全集束。
优选的,所述根据对比结果控制所述主体对所述客体的访问权限进一步包括:
所述对比结果包括第一对比结果、第二对比结果、第三对比结果、第四对比结果和第五对比结果;
当所述对比结果为所述第一对比结果和所述第五对比结果时,所述主体对所述客体没有访问权限,则访问失败,并将所述访问失败写入所述审计日志中;
当所述对比结果为所述第二对比结果时,所述主体对所述客体具有读权限;
当所述对比结果为所述第三对比结果时,所述主体对所述客体具有写权限;
当所述对比结果为所述第四对比结果时,所述主体对所述客体具有读权限、写权限和执行权限。
进一步,所述第一对比结果为所述主体安全集束不包含所述客体安全集束;
所述第二对比结果为所述主体安全集束包含所述客体安全集束,且所述主体安全集束中的安全级别大于所述客体安全集束中的安全级别,以及所述主体安全集束中的数据完整性级别小于所述客体安全集束中的数据完整性级别;
所述第三对比结果为所述主体安全集束包含所述客体安全集束,且所述主体安全集束中的安全级别小于所述客体安全集束中的安全级别,以及所述主体安全集束中的数据完整性级别大于所述客体安全集束中的数据完整性级别;
所述第四对比结果为所述主体安全集束包含所述客体安全集束,且所述主体安全集束中的安全级别等于所述客体安全集束中的安全级别,以及所述主体安全集束中的数据完整性级别等于所述客体安全集束中的数据完整性级别。
进一步,通过所述客体的名称查找所述客体,并修改所述客体的安全标记,若修改所述客体的安全标记失败,则将失败原因写入所述审计日志中。
一种文件访问控制装置,包括安全标记预设模块、安全标记设置模块、安全标记获取模块、判断模块和安全标记对比模块;
所述安全标记预设模块设定主体安全标记和客体安全标记;
所述安全标记设置模块获取所述主体安全标记,并设置主体的安全标记,当所述主体中包括第一主体时,所述第一主体的安全标记与所述主体的安全标记相同;
以及获取所述客体安全标记并调用客体安全标记脚本设置客体的安全标记;
所述安全标记获取模块获取所述主体和所述客体的安全标记;
所述判断模块判断获取所述主体和所述客体的安全标记是否成功,若成功则通知所述安全标记对比模块;
所述安全标记对比模块获取所述主体和客体的安全标记并进行对比,根据对比结果控制所述主体对所述客体的访问权限。
所述安全标记设置模块包括客体安全标记修改模块,所述客体安全标记修改模块通过输入所述客体的名称查找所述客体,并修改所述客体的安全标记。
本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的一种文件访问控制方法的步骤。
本发明的有益效果是:
1、本发明所述的一种文件访问控制方法,可以设置主体和客体的安全标记,主体访问客体时,不仅考虑主体和客体的安全级别,而且考虑主体和客体的安全集束以及数据完整性,通过对主体和客体设置安全集束,然后在不同的安全集束中设置相对应的安全级别和数据完整性级别,当主体访问客体时,通过对比相同安全集束中对应的安全标记,可以控制不同安全集束之间信息流动,提高了数据的安全性;
2、本发明所述的一种文件访问控制装置,可以通过主体安全标记设置模块与客体安全标记设置模块设置主体与客体的安全标记,并通过安全标记对比模块对主体和客体的安全标记进行对比,当满足相关的访问控制条件后,主体才具体访问客体的相关权限,极大地提高了数据的安全性;
3、本发明所述的计算机可读存储介质,可以在登录时自动对主体设置安全标记以及在系统安装时,对客体设置安全标记,并自动对主体安全标记和客体安全标记进行对比,提升了效率,并且无需人工操作,系统自动完成,若出现失败,则将失败信息写入审计日志中,方便人员查看。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例1记载的一种文件访问控制方法流程图;
图2是本发明实施例1记载的一种文件访问控制方法中创建主体安全标记流程图;
图3是本发明实施例1记载的一种文件访问控制方法中主体访问客体流程图;
图4是本发明实施例1记载的一种文件访问控制方法中主体和客体的安全标记对比流程图;
图5是本发明实施例2记载的一种文件访问控制装置架构示意图。
具体实施方式
下面结合附图对本发明的较佳实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
在本发明的描述中,需要说明的是,术语“第一”、“第二”、“第三”、“第四”、“第五”仅用于描述目的,而不能理解为指示或暗示相对重要性。
需要说明的是,在本发明的描述中,
DAC(Discretionary Access Control):Linux自主访问控制,主要由客体的所有者来决定其他组或者用户对客体的访问权限。
MAC(mandatory access control):Linux强制访问控制,主要通过对主体和客体设置安全标记,通过判断主体和客体所拥有的安全标记来判断主体是否对客体拥有访问权限。
BLP((Bell-La Padula)模型:强制访问控制模型,以敏感度来划分主体和客体的安全级别,在主体访问客体时,根据主体和客体的安全级别来判断主体是否对客体拥有访问权限。
Lattice模型:强制访问控制模型,是对BLP模型的扩充,它将用户和资源进行分类,并允许它们之间交换信息。
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login,su等。在Linux中进行身份或是状态的验证程序是由PAM模块来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。
Secure Shell(SSH)是由IETF(The Internet Engineering Task Force)制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话,Windows远程登录Linux服务器进行文件互传,和其他网络服务提供安全性的协议,
主体(Subject):是一种实体,它引起信息在客体之间的流动。通常,这些实体是指人、进程或设备等。
客体(Object):系统中被动的主体行为承担者。对一个客体的访问隐含着对其所含信息的访问,客体的类型有记录、程序块、页面、段、文件、目录等。
访问控制(Access Control):限制已授权的用户、程序、进程、或计算机网络中其它系统访问本系统资源的过程。
第五对比结果为当对比结果不为第一对比结果、第二对比结果、第三对比结果、第四对比结果时,为第五对比结果。
本发明实施例包括:
实施例1
本实施例提供一种文件访问控制方法,请参阅图1,包括以下步骤:
S100,设置主体安全标记,设置客体安全标记;
安全标记中包含3类,分别为安全集束、安全级别和数据完整性级别,
其中安全集束以字符串L0、L1、L2……来表示,主体可有多个安全集束,客体只有一个安全集束;
安全级别以无符号整型表示,级别从0逐渐上升;
数据完整性以无符号整型表示,级别从0逐渐上升;
主体安全标记设置主要基于PAM,请参阅图2,在用户登录时,通过调用PAM模块为当前主体的进程设置相应的安全标记;若从主体进程生成主体的子进程,则主体的子进程继承主体的安全标记;主体的子进程也相当于是主体;主体安全标记可以包含不同的安全集束,每个安全集束中包含各自的安全级别和数据完整性级别。
用户登录过程中包括用户在本地登录和用户通过SSH远程登录。
主体标记策略为预先设定好的主体安全标记;
相应的安全标记为预先设定好的主体安全标记,保存在文件中,当需要对主体进行设置安全标记时,从该文件中读取主体安全标记,并设置。
客体安全标记设置与主体安全标记设置类似,在系统安装过程中,调用客体安全标记设置脚本,为系统客体文件设计相应的安全标记;
客体标记策略为预先设定好的客体安全标记;
客体安全标记设置脚本中获取预先设定好的客体安全标记,预先设定好的客体安全标记也保存在文件中;
当主体在创建文件时,创建好的文件为客体,这个客体的安全标记会自动继承主体的安全标记;
其中管理员可以进行修改客体的安全标记,输入客体的文件名,查找与文件名匹配的客体文件,将客体文件修改为的需要修改的安全标记,若修改成功,则将需要修改的客体的安全标记返回为需要修改的安全标记;若修改失败,则返回失败原因并记录在审计日志中。
管理员为系统中的超级管理员,具有对这个系统的最高权限。
S200,主体访问客体时,请参阅图3,会获取主体和客体的安全标记,并设置相应的返回值,当返回值为0时,获取失败,主体没有权限对客体进行访问,并将获取失败信息写入审计日志中;当返回值为1时,获取主体和客体安全标记成功,进入下一步,进行安全标记对比;
S300,获取主体和客体安全标记成功后,请参阅图4,将主体和客体的安全标记进行对比;
当主体中的安全集束不包含客体的安全集束时,则拒绝主体对客体的访问,也就是主体没有权限对客体文件进行访问;
当主体中的安全集束包含客体的安全集束时,且主体安全集束中的安全级别高于客体安全集束中的安全级别,以及主体安全集束中的数据完整性级别小于客体安全集束中的数据完整性级别时,主体仅对客体有读权限;
当主体中的安全集束包含客体的安全集束时,且主体的安全集束中安全级别低于客体安全集束中的安全级别,以及主体安全集束中的数据完整性级别高于客体安全集束中的数据完整性级别时,主体仅对客体有写权限。
当主体的安全集束包含客体的安全集束时,且主体安全集束中的安全级别等于客体安全集束中的安全级别,以及主体安全集束中的数据完整性级别等于客体安全集束中的数据完整性级别时,主体对客体有所有的访问权限。
所有的访问权限包括读权限、写权限和执行权限。
当主体中的安全集束与客体中安全集束的关系不为以上任意一种时为第五对比结果,则主体对客体没有访问权限,访问失败,将访问失败的信息写入审计日志中。
其中客体包括主体创建的文件与系统文件。主体包括用户、获取客体文件的进程以及获取客体文件进程生成的子进程。
实施例2
基于与前述实施例中一种文件访问控制方法同样的发明构思,本实施例还提供一种文件访问控制装置,请参阅图5,包括安全标记预设模块、安全标记设置模块、安全标记获取模块、判断模块和安全标记对比模块;
安全标记预设模块设定主体安全标记和客体安全标记;
安全标记设置模块获取所述主体安全标记,并设置主体的安全标记,当所述主体中包括第一主体时,第一主体的安全标记与主体的安全标记相同;
以及获取客体安全标记并调用客体安全标记设置脚本设置客体的安全标记;
安全标记获取模块获取主体和客体的安全标记;
判断模块判断获取主体和客体的安全标记是否成功,若成功则通知所述安全标记对比模块;
安全标记对比模块获取主体和客体的安全标记并进行对比,根据对比结果控制主体对客体的访问权限。
安全标记设置模块包括客体安全标记修改模块,客体安全标记修改模块通过输入客体的名称查找客体,并修改客体的安全标记。
基于与前述实施例中方法同样的发明构思,本实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如前述公开的一种文件访问控制方法的步骤。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (7)
1.一种文件访问控制方法,其特征在于,包括以下步骤:
设置主体与客体的安全标记;所述安全标记包括安全集束、安全级别和数据完整性级别;所述安全级别和所述数据完整性级别在所述安全集束中;所述主体的安全标记中包含若干所述安全集束;所述客体的安全标记中包含一个所述安全集束;
当所述主体访问所述客体时,获取所述主体和所述客体的安全标记并判断是否获取成功;
若获取失败,则所述主体对所述客体没有访问权限,并将失败结果写入审计日志中;
若获取成功,则将所述主体和所述客体的安全标记进行对比,并根据对比结果控制所述主体对所述客体的访问权限;
所述对比结果包括第一对比结果、第二对比结果、第三对比结果、第四对比结果和第五对比结果;
当所述对比结果为所述第一对比结果和所述第五对比结果时,所述主体对所述客体没有访问权限,则访问失败,并将所述访问失败写入所述审计日志中;
当所述对比结果为所述第二对比结果时,所述主体对所述客体具有读权限;
当所述对比结果为所述第三对比结果时,所述主体对所述客体具有写权限;
当所述对比结果为所述第四对比结果时,所述主体对所述客体具有读权限、写权限和执行权限;
所述第一对比结果为所述主体安全集束不包含所述客体安全集束;
所述第二对比结果为所述主体安全集束包含所述客体安全集束,且所述主体安全集束中的安全级别大于所述客体安全集束中的安全级别,以及所述主体安全集束中的数据完整性级别小于所述客体安全集束中的数据完整性级别;
所述第三对比结果为所述主体安全集束包含所述客体安全集束,且所述主体安全集束中的安全级别小于所述客体安全集束中的安全级别,以及所述主体安全集束中的数据完整性级别大于所述客体安全集束中的数据完整性级别;
所述第四对比结果为所述主体安全集束包含所述客体安全集束,且所述主体安全集束中的安全级别等于所述客体安全集束中的安全级别,以及所述主体安全集束中的数据完整性级别等于所述客体安全集束中的数据完整性级别;
所述第五对比结果为当对比结果不为第一对比结果、第二对比结果、第三对比结果、第四对比结果时,为第五对比结果。
2.根据权利要求1所述的一种文件访问控制方法,其特征在于:所述设置主体与客体的安全标记的步骤进一步包括:
设定主体标记策略和设定客体标记策略;
当登录系统时,根据所述主体标记策略设置所述主体的安全标记;当所述主体中含有第一主体时,所述第一主体的安全标记与所述主体的安全标记相同;
在系统安装过程中,获取客体标记策略,并调用客体安全标记脚本,设置所述客体的安全标记。
3.根据权利要求1所述的一种文件访问控制方法,其特征在于:
当所述主体创建第一客体时,所述第一客体的安全标记与所述主体的安全标记相同。
4.根据权利要求1所述的一种文件访问控制方法,其特征在于:通过所述客体的名称查找所述客体,并修改所述客体的安全标记,若修改所述客体的安全标记失败,则将失败原因写入所述审计日志中。
5.一种文件访问控制装置,其特征在于,包括安全标记预设模块、安全标记设置模块、安全标记获取模块、判断模块和安全标记对比模块;
所述安全标记预设模块设定主体安全标记和客体安全标记;
安全标记包括安全集束、安全级别和数据完整性级别,所述安全级别和所述数据完整性级别在所述安全集束中;所述主体的安全标记中包含若干所述安全集束;所述客体的安全标记中包含一个所述安全集束;
所述安全标记设置模块获取所述主体安全标记,并设置主体的安全标记,当所述主体中包括第一主体时,所述第一主体的安全标记与所述主体的安全标记相同;
以及获取所述客体安全标记并调用客体安全标记脚本设置客体的安全标记;
所述安全标记获取模块获取所述主体和所述客体的安全标记;
所述判断模块判断获取所述主体和所述客体的安全标记是否成功,若成功则通知所述安全标记对比模块;
所述安全标记对比模块获取所述主体和客体的安全标记并进行对比,根据对比结果控制所述主体对所述客体的访问权限;
所述对比结果包括第一对比结果、第二对比结果、第三对比结果、第四对比结果和第五对比结果;
当所述对比结果为所述第一对比结果和所述第五对比结果时,所述主体对所述客体没有访问权限,则访问失败,并将所述访问失败写入审计日志中;
当所述对比结果为所述第二对比结果时,所述主体对所述客体具有读权限;
当所述对比结果为所述第三对比结果时,所述主体对所述客体具有写权限;
当所述对比结果为所述第四对比结果时,所述主体对所述客体具有读权限、写权限和执行权限;
所述第一对比结果为所述主体安全集束不包含所述客体安全集束;
所述第二对比结果为所述主体安全集束包含所述客体安全集束,且所述主体安全集束中的安全级别大于所述客体安全集束中的安全级别,以及所述主体安全集束中的数据完整性级别小于所述客体安全集束中的数据完整性级别;
所述第三对比结果为所述主体安全集束包含所述客体安全集束,且所述主体安全集束中的安全级别小于所述客体安全集束中的安全级别,以及所述主体安全集束中的数据完整性级别大于所述客体安全集束中的数据完整性级别;
所述第四对比结果为所述主体安全集束包含所述客体安全集束,且所述主体安全集束中的安全级别等于所述客体安全集束中的安全级别,以及所述主体安全集束中的数据完整性级别等于所述客体安全集束中的数据完整性级别;
所述第五对比结果为当对比结果不为第一对比结果、第二对比结果、第三对比结果、第四对比结果时,为第五对比结果。
6.根据权利要求5所述的一种文件访问控制装置,其特征在于:所述安全标记设置模块包括客体安全标记修改模块,所述客体安全标记修改模块通过输入所述客体的名称查找所述客体,并修改所述客体的安全标记。
7.一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上述权利要求1-4任一项所述的一种文件访问控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110018175.5A CN112733165B (zh) | 2021-01-07 | 2021-01-07 | 一种文件访问控制方法、装置及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110018175.5A CN112733165B (zh) | 2021-01-07 | 2021-01-07 | 一种文件访问控制方法、装置及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112733165A CN112733165A (zh) | 2021-04-30 |
CN112733165B true CN112733165B (zh) | 2022-09-20 |
Family
ID=75591038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110018175.5A Active CN112733165B (zh) | 2021-01-07 | 2021-01-07 | 一种文件访问控制方法、装置及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112733165B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113612802B (zh) * | 2021-10-08 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102495989A (zh) * | 2011-12-21 | 2012-06-13 | 北京诺思恒信科技有限公司 | 一种基于主体标记的访问控制方法及系统 |
CN105357201A (zh) * | 2015-11-12 | 2016-02-24 | 中国科学院信息工程研究所 | 一种对象云存储访问控制方法和系统 |
CN107273754A (zh) * | 2016-04-08 | 2017-10-20 | 中兴通讯股份有限公司 | 一种数据访问控制方法和装置 |
-
2021
- 2021-01-07 CN CN202110018175.5A patent/CN112733165B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102495989A (zh) * | 2011-12-21 | 2012-06-13 | 北京诺思恒信科技有限公司 | 一种基于主体标记的访问控制方法及系统 |
CN105357201A (zh) * | 2015-11-12 | 2016-02-24 | 中国科学院信息工程研究所 | 一种对象云存储访问控制方法和系统 |
CN107273754A (zh) * | 2016-04-08 | 2017-10-20 | 中兴通讯股份有限公司 | 一种数据访问控制方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112733165A (zh) | 2021-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7546640B2 (en) | Fine-grained authorization by authorization table associated with a resource | |
US7290279B2 (en) | Access control method using token having security attributes in computer system | |
US7979465B2 (en) | Data protection method, authentication method, and program therefor | |
US7702693B1 (en) | Role-based access control enforced by filesystem of an operating system | |
CA3087858C (en) | Authentication and authorization using tokens with action identification | |
US9148435B2 (en) | Establishment of a trust index to enable connections from unknown devices | |
US20080282354A1 (en) | Access control based on program properties | |
US20040162997A1 (en) | Systems and methods for integrating access control with a namespace | |
US20090187962A1 (en) | Methods, devices, and computer program products for policy-driven adaptive multi-factor authentication | |
US20060143447A1 (en) | Managing elevated rights on a network | |
CN112597472A (zh) | 单点登录方法、装置及存储介质 | |
US11562052B2 (en) | Computing system and method for verification of access permissions | |
CN105827645B (zh) | 一种用于访问控制的方法、设备与系统 | |
US7814330B2 (en) | Method and apparatus for facilitating multi-level computer system authentication | |
CN107770192A (zh) | 在多系统中身份认证的方法和计算机可读存储介质 | |
CN107145531B (zh) | 分布式文件系统及分布式文件系统的用户管理方法 | |
CN110138767B (zh) | 事务请求的处理方法、装置、设备和存储介质 | |
US7203697B2 (en) | Fine-grained authorization using mbeans | |
CN112733165B (zh) | 一种文件访问控制方法、装置及介质 | |
CN101324913B (zh) | 计算机文件保护方法和装置 | |
US10142344B2 (en) | Credential management system | |
CN114006735B (zh) | 一种数据保护方法、装置、计算机设备和存储介质 | |
KR930004434B1 (ko) | 다중 등급기밀 데이타 보호용 액세스 제어방법 | |
CN111400750B (zh) | 基于访问过程判定的可信度量方法和装置 | |
US20240184863A1 (en) | Verification of Access Permissions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |