一种基于安全标记的访问控制方法和相关系统的制作方法

文档序号:7930076阅读:241来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种基于安全标记的访问控制方法和相关系统的制作方法
技术领域
本发明涉及中间件技术领域,尤其涉及一种基于安全标记的访问控制方法和相关系统。
背景技术
保护信息安全的一项重要技术就是访问控制技术,所谓访问控制,是指按主体身份及其所归属的某预定义组来限制主体对某些客体的访问。实施访问控制主要有三方面目的一、防止非法主体访问受保护客体。二、允许合法主体访问受保护的客体。三、防止合法主体对受保护的客体进行非授权的访问。为了加强信息安全保护工作,我国出台了《计算机信息系统安全保护等级划分准则》和《信息系统安全等级保护要求》,建立起信息安全等级保护制度,这对安全标记保护级信息系统的建设提出了新的技术要求。而基于安全标记的访问控制技术就是强制访问控制(Mandatory Access Control, MAC)技术,所谓MAC,是指主体与客体都被标记了固定的安全属性,如安全级、访问权限等,在每次访问发生时,系统检测安全属性以便确定主体是否有权访问该客体。MAC 技术能够满足上述建设信息安全等级保护制度的需要。目前,在中间件技术中访问控制是由应用程序自行进行操作的,每个应用程序都根据自身的需要进行应用和授权的开发。但是,根据目前这种由应用程序自行进行操作的访问控制方法,每个应用程序都需要进行应用和授权的开发,无法在中间件层对主体的访问控制进行统一管理,同时也无法适应建设安全标记保护级信息系统的发展需要。

发明内容
有鉴于此,本发明提供了一种基于安全标记的访问控制方法和相关系统,用于将 MAC技术应用于中间件层,以便在中间件层对主体的访问控制进行统一管理,同时适应了建设安全标记保护级信息系统的发展需要。一种基于安全标记的访问控制方法,包括中间件套件获取web访问请求消息;所述中间件套件从web访问请求消息中获取主体的安全标记和客体的名称,所述主体为访问方,所述客体为被访问方;所述中间件套件查询所述客体的名称并获取所述客体的安全标记;所述中间件套件根据所述主体的安全标记和所述客体的安全标记对web访问进行访问控制。一种基于安全标记的访问控制系统,包括中间件套件,所述中间件套件包括第一获取模块,用于获取web访问请求消息;
第二获取模块,用于从web访问请求消息中获取主体的安全标记和客体的名称, 所述主体为访问方,所述客体为被访问方;第三获取模块,用于查询所述客体的名称并获取所述客体的安全标记;访问控制模块,用于根据所述主体的安全标记和所述客体的安全标记对web访问进行访问控制。从以上技术方案可以看出,本发明实施例具有以下优点通过获取主体的安全标记和客体的安全标记,使得中间件套件能够根据所述安全标记就主体和客体进行访问控制,因此能够在中间件层对主体的访问控制进行统一管理, 而且本方法是基于安全标记实现的,同时适应了建设安全标记保护级信息系统的发展需要。


图1为本发明第一实施例基于安全标记的访问控制方法基本流程图;图2为本发明第二实施例基于安全标记的访问控制方法详细流程图;图3为本发明第三实施例基于安全标记的访问控制方法详细流程图;图4为本发明第四实施例基于安全标记的访问控制方法详细流程图;图5为本发明第五实施例基于安全标记的访问控制系统基本结构图;图6为本发明第六实施例基于安全标记的访问控制系统详细结构图。
具体实施例方式本发明实施例提供了一种基于安全标记的访问控制方法,用于将MAC技术应用于中间件层,以便在中间件层对主体的访问控制进行统一管理,同时适应了建设安全标记保护级信息系统的发展需要。本发明实施例还提供相关的系统,以下分别进行详细的说明。本发明第一实施例的基于安全标记的访问控制方法基本流程图请参见图1,主要包括步骤101、中间件套件获取web访问请求消息。其中,主体对客体进行访问之前,向中间件发送web访问请求消息,中间件套件可以获取该web访问请求消息,该web访问请求消息中包含主体安全标记和客体的名称等信肩、ο102、中间件套件从web访问请求消息中获取主体的安全标记和客体的名称。其中,web访问请求消息由主体向中间件套件发送,中间件套件从web访问请求消息中获取主体的安全标记和客体的名称。103、中间件套件查询所述客体的名称并获取所述客体的安全标记。其中,中间件套件根据从web访问请求消息中所获取的客体的名称查询客体,并获取该客体的安全标记。104、中间件套件根据主体的安全标记和客体的安全标记对web访问进行访问控制。其中,中间件套件将以主体的安全标记和客体的安全标记作为访问控制依据,对该主体的web访问进行访问控制。访问控制结果可以是授权主体对客体进行访问,也可以是拒绝主体对客体进行访问。在本实施例中,通过获取主体的安全标记和客体的安全标记,使得中间件套件能够根据所述安全标记就主体和客体进行访问控制,因此能够在中间件层对主体的访问控制进行统一管理,而且本方法是基于安全标记实现的,同时适应了建设安全标记保护级信息系统的发展需要。本发明第二实施例将对第一实施例中的基于安全标记的访问控制方法进行详细描述,其中,安全标记包括安全等级和安全范畴,相关的中间件套件根据主体的安全标记和客体的安全标记对web访问进行访问控制的步骤将在本实施例中详细描述。本实施例流程图请参见图2,主要包括步骤201、中间件套件获取web访问请求消息。其中,主体对客体进行访问之前,向中间件发送web访问请求消息,中间件套件可以获取该web访问请求消息,该web访问请求消息中包含主体安全标记和客体的名称等信肩、ο202、中间件套件从web访问请求消息中获取主体的安全标记和客体的名称。其中,web访问请求消息由主体向中间件套件发送,中间件套件从web访问请求消息中获取主体的安全标记和客体的名称。所述主体的安全标记包括所述主体的安全等级和所述主体的安全范畴,并且主体的安全等级是根据国家信息安全标准进行定义的。203、中间件套件查询所述客体的名称并获取所述客体的安全标记。其中,中间件套件根据从web访问请求消息中所获取的客体的名称查询客体,并获取该客体的安全标记。所述客体的安全标记包括所述客体的安全等级和所述客体的安全范畴,并且客体的安全等级是根据国家信息安全标准进行定义的。204、中间件套件判断主体的安全等级是否高于客体的安全等级,并判断客体的安全范畴是否为主体的安全范畴的子集。其中,若所述主体的安全等级高于所述客体的安全等级,且所述客体的安全范畴为所述主体的安全范畴的子集,则可以确定所述主体具有对所述客体的访问权限,则所述中间件套件将授权所述主体对所述客体进行访问,否则可以确定所述主体不具有对所述客体的访问权限,则中间件套件将拒绝所述主体对所述客体进行访问。在本实施例中,通过获取主体的安全标记和客体的安全标记,使得中间件套件能够根据所述安全标记就主体对客体是否具有访问权限进行访问控制,因此能够在中间件层对主体的访问控制进行统一管理,而且本方法是基于安全标记实现的,同时适应了建设安全标记保护级信息系统的发展需要。本发明第三实施例将对第二实施例中的基于安全标记的访问控制方法进行详细描述,其中,将对如何为主体和客体赋予安全标记进行详细描述。本实施例流程图请参见图 3,主要包括步骤301、应用系统为主体赋予安全标记。其中,应用系统根据现有的信息安全标准为主体赋予安全等级和安全范畴。所述的现有的信息安全标准是根据国家的法律法规确定的,故主体的安全等级和安全范畴是可以进行适应性调整的。302、中间件套件为客体赋予安全标记。
其中,客体作为web资源,由中间件套件统一进行安全标记的赋予,中间件套件根据现有的信息安全标准为客体赋予安全等级和安全范畴。所述的现有的信息安全标准是根据国家的法律法规确定的,故客体的安全等级和安全范畴是可以进行适应性调整的。303、中间件套件获取web访问请求消息。其中,主体对客体进行访问之前,向中间件发送web访问请求消息,中间件套件可以获取该web访问请求消息,该web访问请求消息中包含主体安全标记和客体的名称等信肩、ο304、中间件套件从web访问请求消息中获取主体的安全标记和客体的名称。其中,web访问请求消息由主体向中间件套件发送,中间件套件从web访问请求消息中获取主体的安全标记和客体的名称。所述主体的安全标记包括所述主体的安全等级和所述主体的安全范畴,并且主体的安全等级是根据国家信息安全标准进行定义的。305、中间件套件查询所述客体的名称并获取所述客体的安全标记。其中,中间件套件根据从web访问请求消息中所获取的客体的名称查询客体,并获取该客体的安全标记。所述客体的安全标记包括所述客体的安全等级和所述客体的安全范畴,并且客体的安全等级是根据国家信息安全标准进行定义的。306、中间件套件判断主体的安全等级是否高于客体的安全等级,并判断客体的安全范畴是否为主体的安全范畴的子集。其中,若所述主体的安全等级高于所述客体的安全等级,且所述客体的安全范畴为所述主体的安全范畴的子集,则可以确定所述主体具有对所述客体的访问权限,则所述中间件套件将授权所述主体对所述客体进行访问,否则可以确定所述主体不具有对所述客体的访问权限,则中间件套件将拒绝所述主体对所述客体进行访问。在本实施例中,通过应用系统为主体赋予安全标记,中间件套件为客体赋予安全标记,当主体要对客体进行访问时,主体向中间件发送web访问请求消息,中间件套件获取主体的安全标记和客体的安全标记,使得中间件套件能够根据所述安全标记就主体对客体是否具有访问权限进行访问控制,因此能够在中间件层对主体的访问控制进行统一管理, 而且本方法是基于安全标记实现的,同时适应了建设安全标记保护级信息系统的发展需要。本发明第四实施例将对第三实施例中的基于安全标记的访问控制方法进行详细描述,其中,将对应用系统为主体赋予安全标记的步骤进行详细描述。本实施例流程图请参见图4,主要包括步骤401、应用系统为具有相同访问权限的主体赋予同一个角色。其中,很多主体对客体有相同的访问权限,所以将需要被赋予相同的安全等级和安全范畴,这些主体如果逐一进行安全标记的赋予,则会产生较大的工作量,若这些主体需要全部进行修改安全标记,则还是会产生较大的工作量。为了简化主体安全标记的赋予过程,应用系统为具有相同访问权限的主体赋予同一个角色。402、应用系统为不同的角色赋予对应的安全标记。其中,应用系统根据现有的信息安全标准为不同的角色赋予不同的安全等级和的安全范畴。所述的现有的信息安全标准是根据国家的法律法规确定的,故角色的安全等级和安全范畴是可以进行适应性调整的。
403、中间件套件为客体赋予安全标记。其中,客体作为web资源,由中间件套件统一进行安全标记的赋予,中间件套件根据现有的信息安全标准为客体赋予安全等级和安全范畴。所述的现有的信息安全标准是根据国家的法律法规确定的,故客体的安全等级和安全范畴是可以进行适应性调整的。404、中间件套件获取web访问请求消息。其中,主体对客体进行访问之前,向中间件发送web访问请求消息,中间件套件可以获取该web访问请求消息,该web访问请求消息中包含主体安全标记和客体的名称等信肩、ο 405、中间件套件从web访问请求消息中获取主体的安全标记和客体的名称。其中,web访问请求消息由主体向中间件套件发送,中间件套件从web访问请求消息中获取主体的安全标记和客体的名称。所述主体的安全标记包括所述主体的安全等级和所述主体的安全范畴,并且主体的安全等级是根据国家信息安全标准进行定义的。406、中间件套件查询所述客体的名称并获取所述客体的安全标记。其中,中间件套件根据从web访问请求消息中所获取的客体的名称查询客体,并获取该客体的安全标记。所述客体的安全标记包括所述客体的安全等级和所述客体的安全范畴,并且客体的安全等级是根据国家信息安全标准进行定义的。407、中间件套件判断主体的安全等级是否高于客体的安全等级,并判断客体的安全范畴是否为主体的安全范畴的子集。其中,若所述主体的安全等级高于所述客体的安全等级,且所述客体的安全范畴为所述主体的安全范畴的子集,则可以确定所述主体具有对所述客体的访问权限,则所述中间件套件将授权所述主体对所述客体进行访问,否则可以确定所述主体不具有对所述客体的访问权限,则中间件套件将拒绝所述主体对所述客体进行访问。在本实施例中,通过应用系统为主体赋予角色,再对角色赋予安全标记,简化了对主体赋予安全标记的过程,中间件套件为客体赋予安全标记。当主体要对客体进行访问时,主体向中间件发送web访问请求消息,中间件套件获取主体的安全标记和客体的安全标记,使得中间件套件能够根据所述安全标记就主体对客体是否具有访问权限进行访问控制,因此能够在中间件层对主体的访问控制进行统一管理,而且本方法是基于安全标记实现的,同时适应了建设安全标记保护级信息系统的发展需要。本发明第五实施例的提供基于安全标记的访问控制系统,其基本结构图请参见图 5,主要包括中间件套件501,用于在中间件层对主体访问客体进行访问控制。中间件套件501 进一步包括第一获取模块5011,用于获取web访问请求消息。第二获取模块5012,用于从web访问请求消息中获取主体的安全标记和客体的名称,并将所获取的主体的安全标记发送至访问控制模块5014,将所获取的客体的名称发送至第三获取模块5013。第三获取模块5013,用于接收第二获取模块5012发送的客体的名称所述客体的名称,查询所述客体的名称,并获取客体的安全标记,再将所述客体的安全标记发送至访问控制模块5014。
访问控制模块5014,用于接收第二获取模块5012发送的主体的安全标记,和接收第三获取模块5013发送的客体的安全标记,并根据所述主体的安全标记和所述客体的安全标记对web访问进行访问控制。在本实施例中,通过第二获取模块5012获取主体的安全标记,通过第三获取模块 5013获取客体的安全标记,访问控制模块5014根据所述主体的安全标记和所述客体的安全标记对所述web访问进行访问控制,因此能够在中间件层对主体的访问控制进行统一管理,而且本系统是基于安全标记运行的,同时适应了建设安全标记保护级信息系统的发展需要。本发明第六实施例将对第五实施例的基于安全标记的访问控制系统进行详细描述,其中,访问控制模块6013包括判断单元60131和决策单元60132。中间件套件还进一步包括第一标记赋予模块6015,另外,本系统除中间件套件外还包括标记赋予装置602,标记赋予装置602进一步包括角色赋予模块6021和第二标记赋予模块6022,其详细结构图请参见图6,主要包括中间件套件601,用于在中间件层对主体访问客体进行访问控制。中间件套件601 进一步包括第一获取模块6011,用于获取web访问请求消息。第二获取模块6012,用于从web访问请求消息中获取主体的安全标记和客体的名称,并将所获取的主体的安全标记发送至访问控制模块6014,将所获取的客体的名称发送至第三获取模块6013。第三获取模块6013,用于接收第二获取模块6012发送的客体的名称所述客体的名称,查询所述客体的名称,并获取客体的安全标记,再将所述客体的安全标记发送至访问控制模块6014。访问控制模块6014,用于接收第二获取模块6012发送的主体的安全标记,和接收第三获取模块6013发送的客体的安全标记,并根据所述主体的安全标记和所述客体的安全标记对web访问进行访问控制。访问控制模块6014进一步包括判断单元60141和决策单元60142。判断单元60141用于接收接收第二获取模块6012发送的主体的安全标记,和接收第三获取模块6013发送的客体的安全标记,并判断所述主体的安全标记和所述客体安全标记的关系。决策单元60142,用于根据判断单元60141的判断结果进行访问控制决策。访问控制决策包括授权主体对客体进行访问和拒绝主体对客体进行访问两种。第一标记赋予模块6015,用于为客体赋予安全标记。标记赋予装置602,用于为主体赋予安全标记。标记赋予装置602进一步包括角色赋予模块6021,用于为具有相同访问权限的主体赋予同一个角色。第二标记赋予模块6022,用于为不同的角色赋予对应的安全标记。在本实施例中,通过第一标记赋予模块6015为客体赋予安全标记,通过第二标记赋予模块6022具有不同角色的主体赋予不同的安全标记,第二获取模块5012获取主体的安全标记,通过第三获取模块5013获取客体的安全标记,访问控制模块5014根据所述主体的安全标记和所述客体的安全标记对所述web访问进行访问控制,因此能够在中间件层对主体的访问控制进行统一管理,而且本系统是基于安全标记运行的,同时适应了建设安全标记保护级信息系统的发展需要。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上对本发明所提供的一种基于安全标记的访问控制方法和相关系统进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种基于安全标记的访问控制方法,其特征在于,包括 中间件套件获取web访问请求消息;所述中间件套件从web访问请求消息中获取主体的安全标记和客体的名称,所述主体为访问方,所述客体为被访问方;所述中间件套件查询所述客体的名称并获取所述客体的安全标记; 所述中间件套件根据所述主体的安全标记和所述客体的安全标记对web访问进行访问控制。
2.根据权利要求1所述的方法,其特征在于,所述主体的安全标记包括所述主体的安全等级和所述主体的安全范畴; 所述客体的安全标记包括所述客体的安全等级和所述客体的安全范畴; 所述主体的安全等级和所述客体的安全等级是根据国家信息安全标准进行定义的。
3.根据权利要求2所述的方法,其特征在于,所述中间件套件根据所述主体的安全标记和所述客体的安全标记对所述web访问进行访问控制包括步骤所述中间件套件判断所述主体的安全等级是否高于所述客体的安全等级,并判断所述客体的安全范畴是否为所述主体的安全范畴的子集;若所述主体的安全等级高于所述客体的安全等级,且所述客体的安全范畴为所述主体的安全范畴的子集,则所述中间件套件授权所述主体对所述客体进行访问,否则拒绝所述主体对所述客体进行访问。
4.根据权利要求1或2所述的方法,其特征在于,所述中间件套件从web访问请求消息中获取主体的安全标记和客体的名称之前进一步包括步骤应用系统为主体赋予安全标记; 所述中间件套件为客体赋予安全标记。
5.根据权利要求4所述的方法,其特征在于,所述应用系统为主体赋予安全标记包括步骤应用系统为具有相同访问权限的主体赋予同一个角色; 所述应用系统为不同的角色赋予对应的安全标记。
6.一种基于安全标记的访问控制系统,其特征在于,包括 中间件套件,所述中间件套件包括第一获取模块,用于获取web访问请求消息;第二获取模块,用于从web访问请求消息中获取主体的安全标记和客体的名称,所述主体为访问方,所述客体为被访问方;第三获取模块,用于查询所述客体的名称并获取所述客体的安全标记; 访问控制模块,用于根据所述主体的安全标记和所述客体的安全标记对web访问进行访问控制。
7.根据权利要求6所述的系统,其特征在于,所述访问控制模块包括判断单元,用于判断所述主体的安全等级是否高于所述客体的安全等级,并判断所述客体的安全范畴是否为所述主体的安全范畴的子集;决策单元,用于根据所述判断单元的判断结果进行访问控制决策;若所述主体的安全等级高于所述客体的安全等级,且所述客体的安全范畴为所述主体的安全范畴的子集,则所述中间件套件授权所述主体对所述客体进行访问,否则拒绝所述主体对所述客体进行访问。
8.根据权利要求6或7所述的系统,其特征在于,所述中间件套件进一步包括 第一标记赋予模块,用于为主体赋予安全标记。
9.根据权利要求6或7所述的系统,其特征在于,所述系统进一步包括 标记赋予装置,用于为主体赋予安全标记。
10.根据权利要求9所述的系统,其特征在于,所述标记赋予模块包括 角色赋予模块,用于为具有相同访问权限的主体赋予同一个角色; 第二标记赋予模块,用于为不同的角色赋予对应的安全标记。
全文摘要
本发明实施例公开了一种基于安全标记的访问控制方法和相关系统,用于在中间件层对主体的访问控制进行统一管理。本发明方法包括中间件套件获取web访问请求消息;所述中间件套件从web访问请求消息中获取主体的安全标记和客体的名称,所述主体为访问方,所述客体为被访问方;所述中间件套件查询所述客体的名称并获取所述客体的安全标记;所述中间件套件根据所述主体的安全标记和所述客体的安全标记对web访问进行访问控制。通过实施本发明技术方案,能够在中间件层对主体的访问控制进行统一管理,而且本方法是基于安全标记实现的,同时适应了建设安全标记保护级信息系统的发展需要。
文档编号H04L29/12GK102413198SQ201110300599
公开日2012年4月11日 申请日期2011年9月30日 优先权日2011年9月30日
发明者刘春 , 刘欢迎, 赵欣, 车帅 申请人:山东中创软件商用中间件股份有限公司, 山东中创软件工程股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:赵欣;刘欢迎;车帅;刘春
  • 技术所有人:山东中创软件工程股份有限公司;山东中创软件商用中间件股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
数据库的安全访问控制相关技术
安全性和访问控制测试相关技术
网络安全访问控制相关技术
令牌环访问控制方法相关技术
访问控制方法相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2