CN113255000A - 数据访问控制方法、装置、电子设备及可读存储介质 - Google Patents
数据访问控制方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN113255000A CN113255000A CN202110628832.8A CN202110628832A CN113255000A CN 113255000 A CN113255000 A CN 113255000A CN 202110628832 A CN202110628832 A CN 202110628832A CN 113255000 A CN113255000 A CN 113255000A
- Authority
- CN
- China
- Prior art keywords
- access
- subject
- security level
- level
- read
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000011217 control strategy Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 description 17
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种数据访问控制方法、装置、电子设备及可读存储介质,涉及计算机技术领域。该方法通过对访问主体设置读安全等级和写安全等级,根据读安全等级和/或写安全等级与访问客体的客体安全等级的关系来判断访问主体是否对访问客体具有访问权限,从而可以对访问客体进行安全等级划分,实现对访问客体的分级保护,并且还可以对访问主体的读写范围进行更精细化的访问控制,有效提高数据的安全性。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种数据访问控制方法、装置、电子设备及可读存储介质。
背景技术
目前企业对于数据的安全性越来越重视,其内部信息系统存储了大量的涉密信息和数据,目前对于这些数据的安全访问控制是通过对访问用户的身份进行验证来实现的,即身份验证通过后即可访问到所有数据,这种方式无法对数据进行分级保护,访问控制的粒度较大,数据的安全性不高。
发明内容
本申请实施例的目的在于提供一种数据访问控制方法、装置、电子设备及可读存储介质,用以改善现有技术中无法对数据进行分级保护,访问控制粒度较大,数据安全性不高的问题。
第一方面,本申请实施例提供了一种数据访问控制方法,所述方法包括:接收访问主体对访问客体的访问请求;根据所述访问请求的类型获取所述访问主体的主体安全等级以及所述访问客体的客体安全等级,其中,所述主体安全等级包括读安全等级和/或写安全等级;根据所述访问主体的主体安全等级与所述访问客体的客体安全等级的关系,判断所述访问主体是否对所述访问客体具有访问权限;在所述访问主体对所述访问客体有访问权限时,执行对所述访问客体的访问操作。
在上述实现过程中,通过对访问主体设置读安全等级和写安全等级,根据读安全等级和/或写安全等级与访问客体的客体安全等级的关系来判断访问主体是否对访问客体具有访问权限,该方案可以对访问客体进行安全等级划分,实现对访问客体的分级保护,并且还可以对访问主体的读写范围进行更精细化的访问控制,有效提高数据的安全性。
可选地,根据所述访问主体的主体安全等级与所述访问客体的客体安全等级的关系,判断所述访问主体是否对所述访问客体具有访问权限,包括:
获取所述访问主体的主体安全等级与所述访问客体的客体安全等级的高低关系;
根据所述高低关系判断所述访问主体是否对所述访问客体具有读或写的访问权限。
在上述实现过程中,通过比较主体和客体的安全等级的高低关系来判断访问主体对访问客体的读写访问权限,这样可以有效限制不同安全等级的访问主体对不同安全等级的访问客体的访问控制,访问控制更加灵活,数据安全性更高。
可选地,所述根据所述访问请求的类型获取所述访问主体的主体安全等级,包括:
在所述访问请求的类型为读访问请求时,获取所述访问主体的读安全等级;
所述根据所述高低关系判断所述访问主体是否对所述访问客体具有读或写的访问权限,包括:
在所述访问客体的客体安全等级低于所述访问主体的读安全等级时,确定所述访问主体对所述访问客体具有读访问权限;
所述根据所述访问请求的类型获取所述访问主体的主体安全等级,包括:
在所述访问请求的类型为写访问请求时,获取所述访问主体的读安全等级以及写安全等级;
所述根据所述高低关系判断所述访问主体是否对所述访问客体具有读或写的访问权限,包括:
在所述访问客体的客体安全等级高于所述访问主体的写安全等级,且低于所述访问主体的读安全等级时,确定所述访问主体对所述访问客体具有写访问权限。
在上述实现过程中,通过上述判断规则,可以有效限制低安全等级用户对高安全等级数据的访问,且限制高安全等级用户对低安全等级数据的读写访问,有效控制用户访问数据的范围,可确保高安全等级数据的安全性。
可选地,所述判断所述访问主体是否对所述访问客体具有访问权限,还包括:
获取所述访问客体所属的组层级以及所述访问主体所属的组层级,所述组层级表示对访问主体的一种层级划分方式;
根据所述访问客体所属的组层级与所述访问主体所属的组层级的关系,判断所述访问主体是否对所述访问客体具有访问权限。
在上述实现过程中,通过设置组层级来进一步判断访问主体对访问客体的访问权限,结合安全等级和组层级,可以实现对数据更精细化的访问控制。
可选地,所述根据所述访问客体所属的组层级与所述访问主体所属的组层级的关系,判断所述访问主体是否对所述访问客体具有访问权限,包括:
判断所述访问主体所属的组层级与所述访问客体所属的组层级是否有交集或者所述访问客体所属的组层级是否从属于所述访问主体所属的组层级;
若是,则确定所述访问主体对所述访问客体有访问权限。
在上述实现过程中,通过判断访问主体和访问客体组层级是否有交集或是否是从属关系来判断访问主体对访问客体的访问权限,进而可以实现同一组层级或上级组层级的访问主体可以访问相同组层级或下级组层级的访问客体,可使得该访问控制方法适用于有组织结构的应用场景,实现访问控制方法的扩展应用。
可选地,所述判断所述访问主体是否对所述访问客体具有访问权限,还包括:
获取所述访问客体的数据属性,以及获取所述访问主体的可访问数据属性;
判断所述访问主体的可访问数据属性是否包括所述访问客体的数据属性;
若是,则确定所述访问主体对所述访问客体有访问权限。
在上述实现过程中,通过设置数据属性来进一步判断访问主体对访问客体的访问权限,结合安全等级和数据属性,可以实现对数据更精细化的访问控制。
可选地,所述接收访问主体对访问客体的访问请求之前,所述方法还包括:
获取访问控制策略的配置信息;
根据所述配置信息对各个访问客体配置对应的用于指示安全等级的等级标签以及为各个访问主体配置对应的用于指示读安全等级的读等级标签和用于指示写安全等级的写等级标签。
在上述实现过程中,通过为访问主体和访问客体配置对应的标签,可便于在后续进行访问控制时快速判断访问主体的访问权限。
可选地,所述获取访问控制策略的配置信息,包括:
接收用户终端发送的访问控制策略配置请求;
根据所述访问控制策略配置请求调用对应的访问控制策略配置模板;
将所述访问控制策略配置模板发送给所述用户终端;
接收所述用户终端发送的在所述访问控制策略配置模板中输入的访问控制策略的配置信息。
在上述实现过程中,通过在访问控制策略配置模板中输入配置信息,以便于管理员快速实现对访问主体和访问客体的配置。
第二方面,本申请实施例提供了一种数据访问控制装置,所述装置包括:
请求接收模块,用于接收访问主体对访问客体的访问请求;
安全等级获取模块,用于根据所述访问请求的类型获取所述访问主体的主体安全等级以及所述访问客体的客体安全等级,其中,所述主体安全等级包括读安全等级和/或写安全等级;
权限判断模块,用于根据所述访问主体的主体安全等级与所述访问客体的客体安全等级的关系,判断所述访问主体是否对所述访问客体具有访问权限;
访问操作执行模块,用于在所述访问主体对所述访问客体有访问权限时,执行对所述访问客体的访问操作。
可选地,所述权限判断模块,用于获取所述访问主体的主体安全等级与所述访问客体的客体安全等级的高低关系;根据所述高低关系判断所述访问主体是否对所述访问客体具有读或写的访问权限。
可选地,所述安全等级获取模块,用于在所述访问请求的类型为读访问请求时,获取所述访问主体的读安全等级;所述权限判断模块,用于在所述访问客体的客体安全等级低于所述访问主体的读安全等级时,确定所述访问主体对所述访问客体具有读访问权限;
所述安全等级获取模块,用于在所述访问请求的类型为写访问请求时,获取所述访问主体的读安全等级以及写安全等级;所述权限判断模块,用于在所述访问客体的客体安全等级高于所述访问主体的写安全等级,且低于所述访问主体的读安全等级时,确定所述访问主体对所述访问客体具有写访问权限。
可选地,所述权限判断模块,还用于获取所述访问客体所属的组层级以及所述访问主体所属的组层级,所述组层级表示对访问主体的一种层级划分方式;根据所述访问客体所属的组层级与所述访问主体所属的组层级的关系,判断所述访问主体是否对所述访问客体具有访问权限。
可选地,所述权限判断模块,还用于判断所述访问主体所属的组层级与所述访问客体所属的组层级是否有交集或者所述访问客体所属的组层级是否从属于所述访问主体所属的组层级;若是,则确定所述访问主体对所述访问客体有访问权限。
可选地,所述权限判断模块,还用于获取所述访问客体的数据属性,以及获取所述访问主体的可访问数据属性;判断所述访问主体的可访问数据属性是否包括所述访问客体的数据属性;若是,则确定所述访问主体对所述访问客体有访问权限。
可选地,所述装置还包括:
配置模块,用于获取访问控制策略的配置信息;根据所述配置信息对各个访问客体配置对应的用于指示安全等级的等级标签以及为各个访问主体配置对应的用于指示读安全等级的读等级标签和用于指示写安全等级的写等级标签。
可选地,所述配置模块,用于接收用户终端发送的访问控制策略配置请求;根据所述访问控制策略配置请求调用对应的访问控制策略配置模板;将所述访问控制策略配置模板发送给所述用户终端;接收所述用户终端发送的在所述访问控制策略配置模板中输入的访问控制策略的配置信息。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种用于执行数据访问控制方法的电子设备的结构示意图;
图2为本申请实施例提供的一种数据访问控制方法的流程图;
图3为本申请实施例提供的一种数据访问控制装置的结构框图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种数据访问控制方法,该方法通过对访问主体设置读安全等级和写安全等级,根据读安全等级和/或写安全等级与访问客体的客体安全等级的关系来判断访问主体是否对访问客体具有访问权限,该方案可以对访问客体进行安全等级划分,实现对访问客体的分级保护,并且还可以对访问主体的读写范围进行更精细化的访问控制,有效提高数据的安全性。
请参照图1,图1为本申请实施例提供的一种用于执行数据访问控制方法的电子设备的结构示意图,所述电子设备可以包括:至少一个处理器110,例如CPU,至少一个通信接口120,至少一个存储器130和至少一个通信总线140。其中,通信总线140用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口120用于与其他节点设备进行信令或数据的通信。存储器130可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器130可选的还可以是至少一个位于远离前述处理器的存储装置。存储器130中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器110执行时,电子设备执行下述图2所示方法过程,例如,存储器130可用于存储各个访问主体和各个访问主体的安全等级,处理器110在接收到访问主体对访问客体的访问请求时,通过根据访问主体的主体安全等级与访问客体的客体安全等级的关系,来判断访问主体是否对访问客体具有访问权限,在有访问权限时,执行对应的访问操作。
请参照图2,图2为本申请实施例提供的一种数据访问控制方法的流程图,该方法包括如下步骤:
步骤S110:接收访问主体对访问客体的访问请求。
本申请实施例提供的数据访问控制方法是一种强制访问控制方法,该强制访问控制方法可以基于BLP(Bell-La Padula)模型或BIBA模型定义的理论规则上实现。在BLP模型或BIBA模型实现强制访问控制方法的方案中,将计算机信息系统中实体分为访问主体和访问客体两部分,其中,访问主体是指实施操作行为的用户或进程,访问客体是指被操作的对象,如文件、数据,或者数据库中的一个元组、一个属性值等,为了便于描述,下述有些地方在描述访问主体时以用户为例,在描述访问客体时以数据为例。
用户在需要访问某个数据时,用户可向电子设备提交访问请求,该访问请求中携带有数据的相关信息以及用户的相关信息,其中用户的相关信息可以包括用户的账号信息等,数据的相关信息可以包括数据的标识,如表名、属性字段名等,电子设备可从接收到的访问请求中获取访问请求中所携带的这些信息。
在一些实施方式中,为了确保数据安全,电子设备在接收到访问请求后,还可以对访问主体的身份信息进行验证,如对用户的账户信息进行验证,以验证其是否为合法账户,若是,则表示验证通过,可以继续执行后续步骤,若验证不通过,则直接拒绝该用户对数据的访问。
步骤S120:根据所述访问请求的类型获取所述访问主体的主体安全等级以及所述访问客体的客体安全等级,其中,所述主体安全等级包括读安全等级和/或写安全等级。
为了对数据实现更细粒度的访问控制,本申请实施例中,电子设备为各个用户配置了读安全等级和写安全等级,读安全等级用于限定用户读取数据的权限,写安全等级用于限定用户写数据的权限。电子设备还为各个访问客体配置了客体安全等级,访问客体的客体安全等级用于指示访问客体的安全性高低,如访问客体的客体安全等级可以分为绝密、机密、秘密、普通等,其中,安全等级为绝密的数据的安全级别最高,权限低的用户无法访问,而安全等级为普通的数据的安全级别最低,权限高的用户可以实现访问,通过为访问客体设置客体安全等级,则可以限制访问主体对访问客体的访问权限。可以理解地,访问客体的安全等级还可以以其他方式划分,如安全等级1表示安全级别最高,安全等级2表示安全级别次之。
访问主体的读安全等级和写安全等级可以是预先存储在电子设备中的,电子设备在从访问请求中获取用户的相关信息后,可基于用户的相关信息查找获得该用户的读安全等级和写安全等级。需要说明的是,读安全等级和写安全等级可以设置得不同,在实际应用中,可以根据访问控制需求,为不同的用户配置不同的读安全等级和写安全等级。访问客体的客体安全等级也可以预先存储在电子设备中,电子设备从访问请求中获取到访问客体的相关信息后,也可以根据访问客体的相关信息查找获得该访问客体的客体安全等级。
其中,若访问请求的类型是写访问请求时,由于写数据需要获得用户读数据权限和写数据权限,所以需要获取访问主体的读安全等级和写安全等级,若访问请求的类型是读访问请求时,需要获取访问主体的读安全等级。
步骤S130:根据所述访问主体的主体安全等级与所述访问客体的客体安全等级的关系,判断所述访问主体是否对所述访问客体具有访问权限。
在判断访问主体对访问客体的具体访问权限时,可以根据访问请求的类型来判断,如在访问请求的类型为写访问请求时,获取的主体安全等级包括读安全等级以及写安全等级,然后根据访问主体的读安全等级和写安全等级与访问客体的客体安全等级的关系来判断;在访问请求的类型为读访问请求时,获得的主体安全等级包括读安全等级,然后根据访问主体的读安全等级与访问客体的客体安全等级的关系来判断,通过这样分别判断,可以实现更精细化的访问控制。
步骤S140:在所述访问主体对所述访问客体有访问权限时,执行对所述访问客体的访问操作。
电子设备在经过判断后,若确定访问主体对访问客体有访问权限时,则可以执行对应的访问操作,如执行数据写入操作或者数据读取操作等。
在上述实现过程中,通过对访问主体设置读安全等级和写安全等级,根据读安全等级和/或写安全等级与访问客体的客体安全等级的关系来判断访问主体是否对访问客体具有访问权限,该方案可以对访问客体进行安全等级划分,实现对访问客体的分级保护,并且还可以对访问主体的读写范围进行更精细化的访问控制,有效提高数据的安全性。
在一些实施方式中,在根据安全等级判断访问主体对访问客体的访问权限时,可以获取访问主体的主体安全等级与访问客体的客体安全等级的高低关系,然后根据高低关系来判断访问主体是否对访问客体具有读或写的访问权限。
例如,获取访问主体的读安全等级与访问客体的客体安全等级的高低关系,来判断访问主体是否对访问客体具有读的访问权限;获取访问主体的写安全等级与访问客体的客体安全等级的高低关系,来判断访问主体是否对访问客体具有写的访问权限。
在具体实现过程中,若访问客体的客体安全等级低于访问主体的读安全等级时,确定访问主体对访问客体具有读的访问权限,在访问客体的客体安全等级高于访问主体的写安全等级,且低于访问主体的读安全等级时,确定访问主体对访问客体具有写访问权限。
下面以一个具体的示例对上述的判断规则进行描述,如某个用户的写安全等级为4,读安全等级为8,那么这个用户可以对客体安全等级低于8的数据进行读操作,可以对客体安全等级在4至8之间的数据进行写操作,这里的读操作是指只能读不能写,这里的写操作是指既可以读又可以写。所以,如果该用户想要访问的数据的客体安全等级是在4至8之间,如数据的客体安全等级为5,则用户可以对该数据进行写操作;如果该用户想要访问的数据的客体安全等级是小于8,则用户可以对该数据进行读操作,如果用户想要访问的数据的客体安全等级小于4,那么用户可以对该数据进行读操作,但是不能进行写操作。
当然,还可以设定判断规则为,对于客体安全等级大于读安全等级的数据,用户可对该数据进行只写不读的操作(这里的写单纯只是写入的操作)。而对于客体安全等级等于访问主体的读安全等级的数据,访问主体可以对该数据进行读操作,对于客体安全等级等于访问主体的写安全等级的数据,访问主体可以对该数据进行写操作(这里的写单纯只是写入的操作)。
在一些其他方式中,还可以直接判断访问客体的客体安全等级是否等于访问主体的读安全等级或者写安全等级,以此来判断访问主体是否对访问客体具有读或写的访问权限。
例如,只有在访问客体的客体安全等级等于访问主体的读安全等级时,访问主体才具有对访问客体的读访问权限,在访问客体的客体安全等级等于访问主体的写安全等级时,访问主体才具有对访问客体的写访问权限。这种情况下,访问主体的读安全等级与写安全等级不相同。
通过上述的判断规则,可以限制低安全等级的访问主体读写高安全等级的数据,以保护高安全等级数据的完整性,并且也可以限制高安全等级的访问主体读写低安全等级的数据,以降低数据被泄露的风险。也就是说,通过限制用户对数据的读写权限,可以实现对数据更精细化的访问控制。
在一些实施方式中,为了使得该数据访问控制方法适用于企业、公司等的数据管理,在判断访问主体是否对访问客体具有访问权限时,还可以结合组层级来判断,具体实现方式为:获取访问客体所属的组层级以及访问主体所属的组层级,该组层级表示对访问主体的一种层级划分方式,然后根据访问客体所属的组层级与访问主体所属的组层级的关系,来判断访问主体是否对访问客体具有访问权限。
其中,组层级可以理解为是对用户的划分,如在公司中,组可以表示为部门,不同部门对应的组层级不同,或者在一个部门内,又可以分为多个项目组,每个项目组具有一个组层级,当然也可以根据实际的管理需求对组层级进行定义。
对于一个访问主体,其所属的组层级可以有多个,比如一个用户在部门1,但是该部门1属于事业部1,则该用户所属的组层级为两个。当然,也可以根据实际应用场景为用户配置对应的组层级,并不一定严格按照用户所在的部门或者用户所在的项目组来配置。而对于数据的组层级的配置也如此,如某个数据该部门的用户可以访问,则可为该数据配置该部门对应的组层级,或者某个数据有多个部门或者多个项目组的人均可以访问,则可以为该数据配置这些部门或这些项目组对应的组层级。
其中,访问客体和访问主体的组层级均可以是预先配置好存储在电子设备中的,电子设备可以根据访问主体的相关信息来查找获得访问主体所属的组层级,也可以根据访问客体的相关信息来查找获得访问客体所属的组层级。
在上述进行访问权限判断时,如果只根据安全等级进行判断,则不同部门相同主体安全等级(这里的主体安全等级包括读安全等级和/或写安全等级)的用户可以访问一些数据,但是如果加上组层级的限定,就只有同一个部门相同主体安全等级的用户才可以访问这些数据,从而可以实现用户对数据更细粒度的访问控制。
上述根据组层级来判断访问权限的实施方式中,其中一种方式可以是:判断访问主体所属的组层级与访问客体所属的组层级是否有交集,若是,则确定访问主体对访问客体有访问权限。
例如,如果用户想要访问的数据所属的组层级包括a,b,c,而用户所属的组层级包括a,b,此时,用户所属的组层级与数据所属的组层级有交集,则表示该用户可以对该数据进行访问,若该用户所属的组层级为d,此时用户所属的组层级与数据所属的组层级没有交集,表示该用户不可以对该数据进行访问。
可以理解地是,在上述根据安全等级(即主体安全等级和客体安全等级)判断用户对数据具有读访问权限或写访问权限后,进一步根据组层级来判断是否真正具有访问权限,如若根据安全等级判断用户对数据具有读访问权限,而根据组层级判断用户对数据也具有访问权限,则电子设备可执行对数据的读操作,若根据安全等级判断用户对数据具有写访问权限,而根据组等级判断用户对数据也具有访问权限,则电子设备可执行对数据的写操作。
在根据组层级来判断访问权限的另一种实施方式中,还可以在访问客体所属的组层级与访问主体所属的组层级没有交集时,判断访问客体所属的组层级是否从属于访问主体所属的组层级,若是,则确定访问主体对访问客体具有访问权限。
其中,电子设备中可以预先存储有各个组层级之间的从属关系,该从属关系可以是根据企业或公司中的部门层级或项目层级关系来确定的,如组b、c从属于组a,则组层级a为组层级b,c的上级组,属于组层级a的用户可以对属于组层级b,c的数据进行访问。也就是说,如果用户的组层级和数据的组层级没有交集时,电子设备可以查找各个组层级之间的从属关系,然后基于从属关系来确定数据的组层级是否从属于用户的组层级,若是的话,则认为用户具有对该数据的访问权限。
也就是说,上级组具有对下级组的访问控制权限,这样可以灵活适用于具有部门层级的组织结构,又可以保证数据可以在部门间或项目组间进行横向流动,即同一个部门相同安全等级的用户可以访问属于该部门的数据。
在上述实现过程中,通过判断访问主体和访问客体组层级是否有交集或是否是从属关系来判断访问主体对访问客体的访问权限,进而可以实现同一组层级或上级组层级的访问主体可以访问相同组层级或下级组层级的访问客体,可使得该访问控制方法适用于有组织结构的应用场景,实现访问控制方法的扩展应用。
在一些实施方式中,为了实现更精细化的访问控制,还可以基于数据属性进行访问控制,其实现过程为:获取访问客体的数据属性以及访问主体的可访问数据属性,判断访问主体的可访问数据属性是否包括访问客体的数据属性,若是,则确定访问主体对访问客体有访问权限。
其中,数据属性可以跟具体的业务相关,如数据属性可以为数据类型,如财务类型数据、营销类型数据、绩效类型数据等,数据属性也可以更细化的划分,如财务类型数据下的数据又可以分为员工工资类数据、公司盈利情况类数据等,不同类型的数据对应的数据属性可以不同,所以,可以根据需求对各个访问客体设置不同的数据属性,且访问客体的数据属性可以包括多个,访问主体的可访问数据属性也可以包括多个。
访问主体的可访问数据属性和访问客体的数据属性可以是预先配置好存储在电子设备中的,电子设备可以根据访问主体的相关信息来查找获得访问主体的可访问数据属性,也可以根据访问客体的相关信息来查找获得访问客体的数据属性。这样电子设备可以直接将访问主体的可访问数据属性与访问客体的数据属性进行比对,如果访问主体的可访问数据属性包含访问客体的数据属性,则认为访问主体对访问客体有访问权限。
可以理解地,在上述根据安全等级确定访问主体对访问客体有访问权限时,可进一步根据数据属性来判断访问主体对访问客体是否有访问权限,即根据安全等级和数据属性两个信息来综合判断访问主体对访问客体是否有访问权限,如若根据安全等级确定访问主体对访问客体有读访问权限时,且根据数据属性确定访问主体对访问客体有访问权限,则电子设备执行对访问客体的读操作,若根据安全等级确定访问主体对访问客体有写访问权限时,且根据数据属性确定访问主体对访问客体有访问权限,则电子设备执行对访问客体的写操作,也就是说,在根据两个信息确定访问主体均对访问客体有访问权限时,才确定访问主体对访问客体有真正的访问权限,可进一步确保数据的安全性。
在上述实现过程中,通过设置数据属性来进一步判断访问主体对访问客体的访问权限,结合安全等级和数据属性,可以实现对数据更精细化的访问控制,确保数据的安全性。
在一些实施方式中,也可以根据安全等级、组层级以及数据属性这三者信息来综合判断访问主体是否对访问客体有访问权限,例如,在满足安全等级的判断规则、且满足组层级的判断规则以及满足数据属性的判断规则时,才确定访问主体对访问客体有访问权限,即将上述的三个判断规则结合来判断访问主体对访问客体的访问权限,这样可以通过这三个判断规则来实现更细粒度的访问控制。
在一些实施方式中,为了便于识别访问客体和访问主体的安全等级,还可以预先对访问客体和访问主体配置相应的等级标签,实现过程如:获取访问控制策略的配置信息,然后根据配置信息对各个访问客体配置对应的用于指示安全等级的等级标签以及为各个访问主体配置对应的用于指示读安全等级的读等级标签和用于指示写安全等级的写等级标签。
其中,访问控制策略的配置信息可以是管理员的用户终端发送的,如管理员通过用户终端触发访问控制策略配置请求,电子设备接收到访问控制策略配置请求后,可根据访问控制策略配置请求调用对应的访问控制策略配置模板,然后将访问控制策略配置模板发送给用户终端,管理员可在访问控制策略配置模板中输入相应的访问控制策略的配置信息,电子设备即可接收用户终端发送的在访问控制策略配置模板中输入的访问控制策略的配置信息。
访问控制策略的配置信息可以是指各个访问主体的读安全等级、写安全等级,各个访问客体的客体安全等级,或者还可以包括各个访问主体的组层级以及各个访问客体的组层级,或者还可以包括各个访问主体的可访问数据属性以及各个访问客体的数据属性。
电子设备内部可预先存储有访问控制策略配置模板,访问控制策略模板也可以有多个,针对不同的访问控制策略可以有不同的模板,在用户终端发送的访问控制策略配置请求中可以携带有对应的访问控制策略标识,电子设备可根据标识来查找获得对应的访问控制策略模板,如若配置根据安全等级进行访问权限判断的访问控制策略时,则电子设备调用该访问控制策略对应的访问控制策略配置模板输出给用户终端即可,如该模板中包括给访问主体设置的读安全等级、写安全等级,以及给访问客体设置的安全等级,管理员只需要在模板中填写这些信息即可,如此即可获得该访问控制策略的配置信息。或者若需配置根据安全等级以及数据属性进行访问权限判断的访问控制策略时,则电子设备调用该访问控制策略对应的访问控制策略配置模板输出给管理员,该模板中包含的信息有给访问主体设置的读安全等级、写安全等级,以及给访问客体设置的安全等级,还有为访问主体和访问客体设置的数据属性,管理员只需要在该模板中输入访问主体的写安全等级、读安全等级,访问客体的客体安全等级,以及访问主体和访问客体的数据属性,电子设备获得这些信息后即可对各个访问主体和各个访问客体配置相应的标签。
如电子设备可在获得访问主体的读安全等级和写安全等级后,针对读安全等级生成一个读等级标签,如安全等级并不是以数字形式来表示的,为了便于比较,可以生成一个数字形式的标签,例如,安全等级为绝密,则生成的等级标签可以为1,表示最高安全等级。所以,按照这样的方式,也可以为访问客体生成一个等级标签,还可以针对访问主体和访问客体的数据属性也生成一个属性标签,还可以针对访问主体和访问客体的组层级也生成一个组标签,然后将这些标签赋予各个访问主体和访问客体,以便于后续在进行访问权限判断时,可通过比较标签即可知晓是否有访问权限。
另外,为了便于对访问控制策略进行管理,实现对策略、安全等级、数据属性、组层级等属性的定义和关联,同时实现对访问客体和数据的标记管理功能,可以在电子设备中配置相应的语法规则集,语法规则集可用于描述这些功能,从而便于在上述配置访问控制策略配置模板时,可以调用预先配置的语法规则集来进行配置。
例如,对于访问控制策略的管理,可以定义的语法规则包括:
创建策略:创建具有指定名称的策略;
修改策略:将一个具有指定名称的策略进行重命名;
创建安全等级:在一个具有指定名称的策略中,创建具有指定名称和id的安全等级;
修改安全等级:在一个具有指定名称的策略中,将一个具有指定名称的安全等级重命名;
创建数据属性:在一个具有指定名称的策略中,创建具有指定名称和id的数据属性;
修改数据属性:在一个具有指定名称的策略中,将一个具有指定名称的数据属性重命名;
创建组层级:在一个具有指定名称的策略中,创建具有指定名称和id的组;或者,在一个具有指定名称的策略中,创建具有指定名称、id和上级组名称的组;
修改组层级:在一个具有指定名称的策略中,将一个具有指定名称的组重命名。
具体实施时,这些语法规则可以实现为语句的形式,比如类SQL语句。以创建策略为例,相应的语句可以是:CREATE POLICY name;其中,CREATE POLICY表示创建策略这个动作,name表示要创建的策略名称。如此,通过这些语法规则,管理员可以便于对访问控制策略模板进行修改,以在不同应用场景下使用不同的访问控制策略模板。管理员还可以对安全等级、数据属性和组层级进行创建和修改,便于适用不同的访问控制场景。
又例如,对于用户标记管理,可以定义的语法规则包括:
设置安全等级:为指定名称的用户设置指定名称的策略下,指定的安全等级;
设置数据属性:为指定名称的用户设置指定名称的策略下,指定的数据属性;
设置组层级:为指定名称的用户设置指定名称的策略下,指定的组层级。
具体实施时,这些语法规则可以实现为语句的形式,比如类SQL语句。这样管理员可以根据这些语法规则,实现对访问主体的数据属性、安全等级、组层级等信息的配置。
又例如,针对数据表设置策略时,可以定义的语法规则包括:
对某个指定数据表应用某个指定的访问控制策略,表中已有数据全部标记为label_str,标记列名为cname:为该数据表中的已有数据标记指定的访问控制策略,或者在该数据表中的每列cname上标记指定的访问控制策略。
具体实施时,这些语法规则可以实现为语句的形式,比如类SQL语句。管理员可基于该语法规则,针对数据库中的数据表配置对应的访问控制策略,即不同的数据表可应用不同的访问控制策略。
又例如,设置访问客体的策略时,可以定义的语法规则包括:
函数:设置指定函数的访问控制策略和标记,该标记可以为字符串形式,包括可选的安全等级名称、组层级名称和数据属性名称;
操作符:设置指定操作符的访问控制策略和标记,该标记可以为字符串形式,包括安全等级名称,组层级名称和数据属性名称为可选的;
模式(命名空间):设置指定模式的访问控制策略和标记,该标记可以为字符串形式,包括安全等级名称,组层级名称和数据属性名称为可选的;
视图:设置指定视图的访问控制策略和标记,该标记可以为字符串形式,包括安全等级名称,组层级名称和数据属性名称为可选的;
触发器:设置指定触发器的访问控制策略和标记,该标记可以为字符串形式,包括安全等级名称,组层级名称和数据属性名称为可选的。
具体实施时,这些语法规则可以实现为语句的形式,比如类SQL语句。管理员可基于该语法规则,针对访问客体配置对应的访问控制策略,即不同的访问客体可应用不同的访问控制策略,以便于在不同场景下应用访问控制策略。
所以,通过本申请中设置访问主体的读安全等级和写安全等级,可有效解决低安全等级访问主体对高安全等级访问客体进行写操作而导致数据完整性缺失的问题,也有效限制了用户向下写的界限,降低了数据泄露的风险。
通过设置组层级和数据属性的限制,可以有效适用于有组织结构的应用场景中,扩展了BLP模型的使用范围。
通过上述定义的语法规则,可以方便的对数据库的强制访问控制进行管理维护,降低了管理员维护访问控制规则的成本。
请参照图3,图3为本申请实施例提供的一种数据访问控制装置200的结构框图,该装置200可以是电子设备上的模块、程序段或代码。应理解,该装置200与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
请求接收模块210,用于接收访问主体对访问客体的访问请求;
安全等级获取模块220,用于根据所述访问请求的类型获取所述访问主体的主体安全等级以及所述访问客体的客体安全等级,其中,所述主体安全等级包括读安全等级和/或写安全等级;
权限判断模块230,用于根据所述访问主体的主体安全等级与所述访问客体的客体安全等级的关系,判断所述访问主体是否对所述访问客体具有访问权限;
访问操作执行模块240,用于在所述访问主体对所述访问客体有访问权限时,执行对所述访问客体的访问操作。
可选地,所述权限判断模块230,用于获取所述访问主体的主体安全等级与所述访问客体的客体安全等级的高低关系;根据所述高低关系判断所述访问主体是否对所述访问客体具有读或写的访问权限。
可选地,所述安全等级获取模块220,用于在所述访问请求的类型为读访问请求时,获取所述访问主体的读安全等级;所述权限判断模块230,用于在所述访问客体的客体安全等级低于所述访问主体的读安全等级时,确定所述访问主体对所述访问客体具有读访问权限;
所述安全等级获取模块220,用于在所述访问请求的类型为写访问请求时,获取所述访问主体的读安全等级以及写安全等级;所述权限判断模块230,用于在所述访问客体的客体安全等级高于所述访问主体的写安全等级,且低于所述访问主体的读安全等级时,确定所述访问主体对所述访问客体具有写访问权限。
可选地,所述权限判断模块230,还用于获取所述访问客体所属的组层级以及所述访问主体所属的组层级,所述组层级表示对访问主体的一种层级划分方式;根据所述访问客体所属的组层级与所述访问主体所属的组层级的关系,判断所述访问主体是否对所述访问客体具有访问权限。
可选地,所述权限判断模块230,还用于判断所述访问主体所属的组层级与所述访问客体所属的组层级是否有交集或者所述访问客体所属的组层级是否从属于所述访问主体所属的组层级;若是,则确定所述访问主体对所述访问客体有访问权限。
可选地,所述权限判断模块230,还用于获取所述访问客体的数据属性,以及获取所述访问主体的可访问数据属性;判断所述访问主体的可访问数据属性是否包括所述访问客体的数据属性;若是,则确定所述访问主体对所述访问客体有访问权限。
可选地,所述装置200还包括:
配置模块,用于获取访问控制策略的配置信息;根据所述配置信息对各个访问客体配置对应的用于指示安全等级的等级标签以及为各个访问主体配置对应的用于指示读安全等级的读等级标签和用于指示写安全等级的写等级标签。
可选地,所述配置模块,用于接收用户终端发送的访问控制策略配置请求;根据所述访问控制策略配置请求调用对应的访问控制策略配置模板;将所述访问控制策略配置模板发送给所述用户终端;接收所述用户终端发送的在所述访问控制策略配置模板中输入的访问控制策略的配置信息。
本申请实施例提供一种可读存储介质,所述计算机程序被处理器执行时,执行如图2所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:接收访问主体对访问客体的访问请求;根据所述访问请求的类型获取所述访问主体的主体安全等级以及所述访问客体的客体安全等级,其中,所述主体安全等级包括读安全等级和/或写安全等级;根据所述访问主体的主体安全等级与所述访问客体的客体安全等级的关系,判断所述访问主体是否对所述访问客体具有访问权限;在所述访问主体对所述访问客体有访问权限时,执行对所述访问客体的访问操作。
综上所述,本申请实施例提供一种数据访问控制方法、装置、电子设备及可读存储介质,通过对访问主体设置读安全等级和写安全等级,根据读安全等级和/或写安全等级与访问客体的客体安全等级的关系来判断访问主体是否对访问客体具有访问权限,从而可以对访问客体进行安全等级划分,实现对访问客体的分级保护,并且还可以对访问主体的读写范围进行更精细化的访问控制,有效提高数据的安全性。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种数据访问控制方法,其特征在于,所述方法包括:
接收访问主体对访问客体的访问请求;
根据所述访问请求的类型获取所述访问主体的主体安全等级以及所述访问客体的客体安全等级,其中,所述主体安全等级包括读安全等级和/或写安全等级;
根据所述访问主体的主体安全等级与所述访问客体的客体安全等级的关系,判断所述访问主体是否对所述访问客体具有访问权限;
在所述访问主体对所述访问客体有访问权限时,执行对所述访问客体的访问操作。
2.根据权利要求1所述的方法,其特征在于,所述根据所述访问主体的主体安全等级与所述访问客体的客体安全等级的关系,判断所述访问主体是否对所述访问客体具有访问权限,包括:
获取所述访问主体的主体安全等级与所述访问客体的客体安全等级的高低关系;
根据所述高低关系判断所述访问主体是否对所述访问客体具有读或写的访问权限。
3.根据权利要求2所述的方法,其特征在于,所述根据所述访问请求的类型获取所述访问主体的主体安全等级,包括:
在所述访问请求的类型为读访问请求时,获取所述访问主体的读安全等级;
所述根据所述高低关系判断所述访问主体是否对所述访问客体具有读或写的访问权限,包括:
在所述访问客体的客体安全等级低于所述访问主体的读安全等级时,确定所述访问主体对所述访问客体具有读访问权限;
所述根据所述访问请求的类型获取所述访问主体的主体安全等级,包括:
在所述访问请求的类型为写访问请求时,获取所述访问主体的读安全等级以及写安全等级;
所述根据所述高低关系判断所述访问主体是否对所述访问客体具有读或写的访问权限,包括:
在所述访问客体的客体安全等级高于所述访问主体的写安全等级,且低于所述访问主体的读安全等级时,确定所述访问主体对所述访问客体具有写访问权限。
4.根据权利要求1所述的方法,其特征在于,所述判断所述访问主体是否对所述访问客体具有访问权限,还包括:
获取所述访问客体所属的组层级以及所述访问主体所属的组层级,所述组层级表示对访问主体的一种层级划分方式;
根据所述访问客体所属的组层级与所述访问主体所属的组层级的关系,判断所述访问主体是否对所述访问客体具有访问权限。
5.根据权利要求4所述的方法,其特征在于,所述根据所述访问客体所属的组层级与所述访问主体所属的组层级的关系,判断所述访问主体是否对所述访问客体具有访问权限,包括:
判断所述访问主体所属的组层级与所述访问客体所属的组层级是否有交集或者所述访问客体所属的组层级是否从属于所述访问主体所属的组层级;
若是,则确定所述访问主体对所述访问客体有访问权限。
6.根据权利要求1所述的方法,其特征在于,所述判断所述访问主体是否对所述访问客体具有访问权限,还包括:
获取所述访问客体的数据属性,以及获取所述访问主体的可访问数据属性;
判断所述访问主体的可访问数据属性是否包括所述访问客体的数据属性;
若是,则确定所述访问主体对所述访问客体有访问权限。
7.根据权利要求1所述的方法,其特征在于,所述接收访问主体对访问客体的访问请求之前,所述方法还包括:
获取访问控制策略的配置信息;
根据所述配置信息对各个访问客体配置对应的用于指示安全等级的等级标签以及为各个访问主体配置对应的用于指示读安全等级的读等级标签和用于指示写安全等级的写等级标签。
8.一种数据访问控制装置,其特征在于,所述装置包括:
请求接收模块,用于接收访问主体对访问客体的访问请求;
安全等级获取模块,用于根据所述访问请求的类型获取所述访问主体的主体安全等级以及所述访问客体的客体安全等级,其中,所述主体安全等级包括读安全等级和/或写安全等级;
权限判断模块,用于根据所述访问主体的主体安全等级与所述访问客体的客体安全等级的关系,判断所述访问主体是否对所述访问客体具有访问权限;
访问操作执行模块,用于在所述访问主体对所述访问客体有访问权限时,执行对所述访问客体的访问操作。
9.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述的方法。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-7任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110628832.8A CN113255000A (zh) | 2021-06-04 | 2021-06-04 | 数据访问控制方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110628832.8A CN113255000A (zh) | 2021-06-04 | 2021-06-04 | 数据访问控制方法、装置、电子设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113255000A true CN113255000A (zh) | 2021-08-13 |
Family
ID=77186595
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110628832.8A Pending CN113255000A (zh) | 2021-06-04 | 2021-06-04 | 数据访问控制方法、装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113255000A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338080A (zh) * | 2021-11-24 | 2022-04-12 | 华能核能技术研究院有限公司 | 核电仪控系统网络安全保护等级的确定方法、装置及设备 |
CN116933324A (zh) * | 2023-09-19 | 2023-10-24 | 智联信通科技股份有限公司 | 工业互联网标识数据安全访问方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102567432A (zh) * | 2010-12-31 | 2012-07-11 | 中国移动通信集团福建有限公司 | 一种智能信息适配方法及装置 |
CN103139296A (zh) * | 2013-01-31 | 2013-06-05 | 中国人民解放军信息工程大学 | 基于xml的安全标记与数据客体的绑定方法 |
CN105959322A (zh) * | 2016-07-13 | 2016-09-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于多保护策略融合的强制访问控制方法及系统 |
-
2021
- 2021-06-04 CN CN202110628832.8A patent/CN113255000A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102567432A (zh) * | 2010-12-31 | 2012-07-11 | 中国移动通信集团福建有限公司 | 一种智能信息适配方法及装置 |
CN103139296A (zh) * | 2013-01-31 | 2013-06-05 | 中国人民解放军信息工程大学 | 基于xml的安全标记与数据客体的绑定方法 |
CN105959322A (zh) * | 2016-07-13 | 2016-09-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于多保护策略融合的强制访问控制方法及系统 |
Non-Patent Citations (2)
Title |
---|
(美)SHIELDS,P. 等著: "《中文windows2000 server系统管理员手册》", 31 January 2001, 北京:机械工业出版社, pages: 386 * |
苏铓: "面向云计算的访问控制技术研究", 《中国博士学位论文全文数据库》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338080A (zh) * | 2021-11-24 | 2022-04-12 | 华能核能技术研究院有限公司 | 核电仪控系统网络安全保护等级的确定方法、装置及设备 |
CN114338080B (zh) * | 2021-11-24 | 2024-05-28 | 华能核能技术研究院有限公司 | 核电仪控系统网络安全保护等级的确定方法、装置及设备 |
CN116933324A (zh) * | 2023-09-19 | 2023-10-24 | 智联信通科技股份有限公司 | 工业互联网标识数据安全访问方法 |
CN116933324B (zh) * | 2023-09-19 | 2023-12-05 | 智联信通科技股份有限公司 | 工业互联网标识数据安全访问方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10114964B2 (en) | Role-based content rendering | |
US8490152B2 (en) | Entitlement lifecycle management in a resource management system | |
CN103049684B (zh) | 一种基于rbac模型扩展的数据权限控制方法和系统 | |
CN103559118B (zh) | 一种基于aop与注解信息系统的安全审计方法 | |
US8646093B2 (en) | Method and system for configuration management database software license compliance | |
US20070043716A1 (en) | Methods, systems and computer program products for changing objects in a directory system | |
EP2711860B1 (en) | System and method for managing role based access control of users | |
US11196627B1 (en) | Managed remediation of non-compliant resources | |
US20220083936A1 (en) | Access control method | |
CN105827645B (zh) | 一种用于访问控制的方法、设备与系统 | |
CN113255000A (zh) | 数据访问控制方法、装置、电子设备及可读存储介质 | |
US9158932B2 (en) | Modeled authorization check implemented with UI framework | |
CN110474897A (zh) | 一种档案使用权限管理系统 | |
WO2016026320A1 (zh) | 访问控制方法及装置 | |
CN111651738A (zh) | 基于前后端分离架构的细粒度角色权限统一管理方法及电子装置 | |
CN113282896A (zh) | 权限管理方法及系统 | |
CN107562521B (zh) | 一种资源管理方法及装置 | |
CN113761552A (zh) | 一种访问控制方法、装置、系统、服务器和存储介质 | |
CN112702348A (zh) | 一种系统权限管理方法及装置 | |
CN103729582A (zh) | 一种基于三权分立的安全存储管理方法及系统 | |
US8819231B2 (en) | Domain based management of partitions and resource groups | |
CN112149112B (zh) | 一种基于职权分离的企业信息安全管理方法 | |
CN117034227A (zh) | 一种权限管理的方法、装置、电子设备及存储介质 | |
JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
CN110532533B (zh) | 表格精度配置化方法、装置、计算机设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |