本發明專利技術提出一種多粒度分布式信息流控制方法及系統,該方法包括步驟1,設置多粒度管控類別列表,所述多粒度管控類別列表包括多個管控類別,通過相應的管控類別,對數據進行多粒度的訪問控制,其中每個所述管控類別對應一種全局級別管控與一種全局進程級別管控;步驟2,創建全局能力表與細粒度能力表,并設置信息流控制規則,通過所述全局能力表、所述細粒度能力表、所述信息流控制規則,對數據進行多粒度多強度訪問控制,其中所述全局能力表用于粗粒度能力授予,其與所述多粒度管控類別列表相對應。本發明專利技術在分布式信息流模型基礎上添加多粒度能力授權方案,方便全局粗粒度的數據隔離保護和細粒度的數據共享,具備了傳統訪問控制模型和分布式信息流控制模型的優點。
【技術實現步驟摘要】
本專利技術涉及訪問控制,特別涉及一種多粒度分布式信息流控制方法及系統。
技術介紹
數據安全由于其在實際應用中的基礎性地位,已經成為最亟待突破和解決的首要問題。在研究和實踐過程中,本專利技術的專利技術人發現:傳統訪問控制模型如自主訪問控制模型,權限授予基本單位為用戶,管控粒度較粗,但管理方便,實際應用較多;分布式信息流控制模型,可管控進程級的行為,管控粒度較細,但管理復雜,實際應用相對較少。
技術實現思路
針對現有技術的不足,本專利技術提出一種多粒度分布式信息流控制方法及系統。本專利技術提出一種多粒度分布式信息流控制方法,包括:步驟1,設置多粒度管控類別列表,所述多粒度管控類別列表包括多個管控類別,通過相應的管控類別,對數據進行多粒度的訪問控制,其中每個所述管控類別對應一種全局級別管控與一種全局進程級別管控;步驟2,創建全局能力表與細粒度能力表,并設置信息流控制規則,通過所述全局能力表、所述細粒度能力表、所述信息流控制規則,對數據進行多粒度多強度訪問控制,其中所述全局能力表用于粗粒度能力授予,其與所述多粒度管控類別列表相對應。用于訪問控制的主體為:客體標記、主體標記。用p,q表示主體或者客體,Sp表示p的機密性標簽集,Ip表示p的完整性標簽集,Dp表示p的雙權限標簽集,Rp表示p的可刪除標簽集,Ap表示p的可添加標簽集,所述信息流控制規則為:1)如果p和q的安全標記滿足以下關系且則從p到q的數據流動為安全;2)如果不滿足1)的關系,但是滿足且則從p到q的數據流動為安全的,而且無需改變p,q的安全標記,直接進行通信;3)如果不滿足1)和2)的關系,但是滿足且則p和q可以進行通信,但在通信之前,將安全標記改變,以滿足且粗粒度能力授權的授權粒度為全局授權粒度,并有多種的全局粒度級別,對應各自的全局能力表;細粒度能力授權的授權粒度關聯到某一類進程,并有多種的細粒度級別,對應各自的細粒度能力表。還包括全局能力授權方式:主體將創建的能力添加到全局能力表,實現對全局粒度級別的數據保護隔離和共享;細粒度能力授權方式:主體將創建的能力添加到細粒度能力表,實現對細粒度級別的數據共享;細粒度能力申請方式:主體向能力創建者申請所述能力,能力創建者判斷是否授予能力,若授予能力,則將所述能力添加到相應列表。本專利技術還提出一種多粒度分布式信息流控制系統,包括:設置多粒度管控類別列表模塊,用于設置多粒度管控類別列表,所述多粒度管控類別列表包括多個管控類別,通過相應的管控類別,對數據進行多粒度的訪問控制,其中每個所述管控類別對應一種全局級別管控與一種全局進程級別管控;訪問控制模塊,用于創建全局能力表與細粒度能力表,并設置信息流控制規則,通過所述全局能力表、所述細粒度能力表、所述信息流控制規則,對數據進行多粒度多強度訪問控制,其中所述全局能力表用于粗粒度能力授予,其與所述多粒度管控類別列表相對應。用于訪問控制的主體為:客體標記、主體標記。用p,q表示主體或者客體,Sp表示p的機密性標簽集,Ip表示p的完整性標簽集,Dp表示p的雙權限標簽集,Rp表示p的可刪除標簽集,Ap表示p的可添加標簽集,所述信息流控制規則為:1)如果p和q的安全標記滿足以下關系且則從p到q的數據流動為安全;2)如果不滿足1)的關系,但是滿足且則從p到q的數據流動為安全的,而且無需改變p,q的安全標記,直接進行通信;3)如果不滿足1)和2)的關系,但是滿足且則p和q可以進行通信,但在通信之前,將安全標記改變,以滿足且粗粒度能力授權的授權粒度為全局授權粒度,并有多種的全局粒度級別,對應各自的全局能力表;細粒度能力授權的授權粒度關聯到某一類進程,并有多種的細粒度級別,對應各自的細粒度能力表。還包括全局能力授權方式:主體將創建的能力添加到全局能力表,實現對全局粒度級別的數據保護隔離和共享;細粒度能力授權方式:主體將創建的能力添加到細粒度能力表,實現對細粒度級別的數據共享;細粒度能力申請方式:主體向能力創建者申請所述能力,能力創建者判斷是否授予能力,若授予能力,則將所述能力添加到相應列表。由以上方案可知,本專利技術的優點在于:第一、在分布式信息流模型基礎上添加多粒度能力授權方案,方便全局粗粒度的數據隔離保護和細粒度的數據共享,具備了傳統訪問控制模型和分布式信息流控制模型的優點;第二、提供全面的能力授權方式和零機密主體能力授權機制,方便了能力授權,進而方便了數據的隔離保護和共享;第三、通過設計適用于云平臺的多粒度管控類型列表,能擴展到云平臺的數據保護。附圖說明圖1為一種多粒度能力授權方案圖;圖2為全面的能力授權方式圖;圖3為零機密進程能力授權機制圖。具體實施方式本專利技術提出一種多粒度分布式信息流控制模型:特征1)提供多粒度的能力授權,包括粗粒度能力授權和細粒度能力授權;特征2)提供全面的能力授權方式;特征3)使用零機密主體實施能力授權;特征4)可同時實現傳統訪問控制的粗粒度管控和分布式信息流控制的細粒度管控的能力;特征5)能擴展到云平臺的數據保護。多粒度分布式信息流控制模型擁有多粒度管控類別列表:ControlTypeList=[ControlType1,ControlType2,ControlType3,…,ControlTypeN];一個多粒度管控類別列表包含多個管控類別,通過不同的管控類別,實現對數據的不同粒度的訪問控制;每一種管控類別可對應一種全局級別管控和一種全局進程級別管控。如圖1所示,為當ControlTypeList=[OSGroup,OSRole,OSUser]時的多粒度能力授權方案。。在傳統訪問控制模型中,可包含的管控類別有:用戶組(OSGroup),角色(OSRole),用戶(OSUser)。則多粒度管控類別列表為OSControlTypeList=[OSGroup,OSRole,OSUser]。該模型中用于訪問控制的實體如下:客體標記,包括安全標簽、安全屬性。客體的安全標簽,包括機密性標簽和完整性標簽,表達了客體創建者對客體添加的安全屬性,用于保護客體的機密性和完整性。主體在創建客體時,可創建標簽,并向該客體添加標簽。客體的安全屬性,包括用于訪問控制的客體屬性,如客體所屬主體(客體創建者);客體標記可設計為:[TagSets(IntegrityTagSet,SecurityTagSet);SecurityAttribute]主體標記,包括安全標簽、安全能力、安全屬性。主體的安全標簽,包括機密性標簽和完整性標簽,表達了主體的安全屬性,也表達了主體的操作權限。主體可通過自身能力添加標簽和刪除標簽。主體的安全能力,每個標簽對應可添加標簽和可刪除標簽,分別實現向主體添加標簽和刪除標簽,所以一共有四種能力。主體在創建客體時,可以創建標簽,同時產生可添加標簽能力和可刪除標簽能力。主體向客體添加標簽,設置客體的安全屬性和訪問要求;也可以通過能力授權,將能力分享出去,實現對客體數據共享。主體的能力可來自自己創建標簽時產生的能力,也可來自其它主體的能力授予。主體的安全屬性,包括用于訪問控制的客體屬性,如主體的用戶組,主體的角色,主體的用戶等;主體標記可設計為:[TagSets(IntegrityTagSet,SecurityTagSet);CapSets(AddIntegrityTagSe本文檔來自技高網...
【技術保護點】
一種多粒度分布式信息流控制方法,其特征在于,包括:步驟1,設置多粒度管控類別列表,所述多粒度管控類別列表包括多個管控類別,通過相應的管控類別,對數據進行多粒度的訪問控制,其中每個所述管控類別對應一種全局級別管控與一種全局進程級別管控;步驟2,創建全局能力表與細粒度能力表,并設置信息流控制規則,通過所述全局能力表、所述細粒度能力表、所述信息流控制規則,對數據進行多粒度多強度訪問控制,其中所述全局能力表用于粗粒度能力授予,其與所述多粒度管控類別列表相對應。
【技術特征摘要】
1.一種多粒度分布式信息流控制方法,其特征在于,包括:步驟1,設置多粒度管控類別列表,所述多粒度管控類別列表包括多個管控類別,通過相應的管控類別,對數據進行多粒度的訪問控制,其中每個所述管控類別對應一種全局級別管控與一種全局進程級別管控;步驟2,創建全局能力表與細粒度能力表,并設置信息流控制規則,通過所述全局能力表、所述細粒度能力表、所述信息流控制規則,對數據進行多粒度多強度訪問控制,其中所述全局能力表用于粗粒度能力授予,其與所述多粒度管控類別列表相對應。2.如權利要求1所述的多粒度分布式信息流控制方法,其特征在于,用于訪問控制的主體為:客體標記、主體標記。3.如權利要求1所述的多粒度分布式信息流控制方法,其特征在于,用p,q表示主體或者客體,Sp表示p的機密性標簽集,Ip表示p的完整性標簽集,Dp表示p的雙權限標簽集,Rp表示p的可刪除標簽集,Ap表示p的可添加標簽集,所述信息流控制規則為:1)如果p和q的安全標記滿足以下關系且則從p到q的數據流動為安全;2)如果不滿足1)的關系,但是滿足且則從p到q的數據流動為安全的,而且無需改變p,q的安全標記,直接進行通信;3)如果不滿足1)和2)的關系,但是滿足且則p和q可以進行通信,但在通信之前,將安全標記改變,以滿足且4.如權利要求1所述的多粒度分布式信息流控制方法,其特征在于,粗粒度能力授權的授權粒度為全局授權粒度,并有多種的全局粒度級別,對應各自的全局能力表;細粒度能力授權的授權粒度關聯到某一類進程,并有多種的細粒度級別,對應各自的細粒度能力表。5.如權利要求1所述的多粒度分布式信息流控制方法,其特征在于,還包括全局能力授權方式:主體將創建的能力添加到全局能力表,實現對全局粒度級別的數據保護隔離和共享;細粒度能力授權方式:主體將創建的能力添加到細粒度能力表,實現對細粒度級別的數據共享;細粒度能力申請方式:主體向能力創建者申請所述能力,能力創建者判斷是否授予能力,若授予能力,則將所述能力添加到相應列表。6.一種多粒度分布...
【專利技術屬性】
技術研發人員:金舒原,郭小兵,何曉位,王燕霞,
申請(專利權)人:中國科學院計算技術研究所,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。