技術領域

本發(fā)明涉及信息安全訪問控制領域中的強制訪問控制、細粒度訪問控制策略的設計，具體涉及一種細粒度強制訪問的控制設計方法，應用于網(wǎng)絡與信息系統(tǒng)的安全管理和安全控制等領域。

背景技術

在目前信息系統(tǒng)的安全管理中，常用訪問控制方法有為自主訪問控制，強制訪問控制，基于角色的訪問控制。

自主訪問控制（Discretionary?Access?Control——DAC）是由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己客體的訪問權或部分訪問權授予其他主體，這種控制方式是自主的。在自主訪問控制下，一個用戶可以自主選擇哪些用戶可以共享他的文件。

強制訪問控制（Mandatory?Access?Control——MAC），用于將系統(tǒng)中的信息分密級和類進行管理，以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。通俗的來說，在強制訪問控制下，用戶（或其他主體）與文件（或其他客體）都被標記了固定的安全屬性（如安全級、訪問權限等），在每次訪問發(fā)生時，系統(tǒng)檢測安全屬性以便確定一個用戶是否有權訪問該文件。其中多級安全（MultiLevel?Secure,MLS）就是一種強制訪問控制策略。

基于角色的訪問控制(Rule-based?Access?Control——RBAC)理論借鑒組織管理的經(jīng)驗和方法，將信息系統(tǒng)資源訪問管理與組織人事管理相結合，根據(jù)用戶在組織機構中的崗位職責抽象出用于信息系統(tǒng)資源訪問控制的角色，建立基于角色的訪問控制模型和方法。RBAC理論將角色定義為與某一崗位職責相關的一組訪問權限的集合，通過給用戶分配或撤銷角色實現(xiàn)對用戶訪問權限的授予或撤銷。通過角色的橋梁作用，RBAC簡化了系統(tǒng)訪問規(guī)則的設計和用戶訪問權限的管理。

在上述訪問控制方法中，DAC難以適用于高安全等級的信息系統(tǒng)；MAC能夠用于適用于高安全等級的信息系統(tǒng)，但難以實現(xiàn)細粒度的訪問控制，也難以在復雜信息系統(tǒng)中設計實現(xiàn)；RBAC可以引入對信息系統(tǒng)動態(tài)特性的描述能力和對資源訪問情境的關聯(lián)能力實現(xiàn)細粒度的訪問控制，此方法也滿足了設計復雜信息系統(tǒng)的訪問控制策略需求，但是在RBAC中引入細粒度將會降低資源訪問控制的實時性，難以滿足系統(tǒng)的實時性保護需求。

因此，需要針對高實時性復雜信息系統(tǒng)的細粒度訪問控制需求，需要提出新型的細粒度強制訪問控制設計方法。

發(fā)明內(nèi)容

鑒于現(xiàn)有技術的不足，本發(fā)明針對高實時性復雜信息系統(tǒng)的訪問控制安全問題，提出了一種細粒度強制訪問的控制設計方法，本發(fā)明中的細粒度強制訪問控制設計方法，既吸收了RBAC容易實現(xiàn)細粒度，適用于復雜信息系統(tǒng)的優(yōu)點，也吸收了MAC高效安全的優(yōu)勢。

為了解決上述技術問題，實現(xiàn)設計細粒度的訪問控制策略，以及使用MAC實現(xiàn)細粒度的訪問控制，本發(fā)明旨在于提供一種細粒度強制訪問的控制設計方法，所采用的技術方案如下：

一種細粒度強制訪問的控制設計方法，所述方法包括以下步驟：

（1）使用RBAC設計系統(tǒng)組件的細粒度訪問控制策略；

（2）使用解析模塊將所有系統(tǒng)組件的細粒度訪問控制策略解析，合并為全面覆蓋系統(tǒng)訪問控制策略的訪問控制規(guī)則集合；

（3）利用訪問控制規(guī)則集合反向構造訪問規(guī)則主體和客體的層級偏序結構，實現(xiàn)設計系統(tǒng)的強制訪問控制策略。

需要說明的是，其特征在于，所述以RBAC模型作為系統(tǒng)功能組件訪問控制策略的設計平臺，包括引入平臺情境、空間上情境、時間情境和用戶情境等多種環(huán)境因素設計具有環(huán)境感知能力的資源訪問控制策略和方法，并通過環(huán)境因素構成的約束條件實現(xiàn)針對每個用戶的細粒度控制，其中包括

用戶應用根據(jù)自己的功能獲得系統(tǒng)用戶角色，但是在一次會話中真正能夠使用的系統(tǒng)訪問權限最終由兩個情境約束約束條件決定：由用戶角色激活環(huán)境約束條件決定哪些用戶角色在一次會話中能夠被激活；由訪問權限情境約束條件決定被激活用戶角色的哪些權限在會話中真正可以操作，兩個環(huán)境約束條件的引入將訪問控制決策與用戶資源訪問的實時狀態(tài)關聯(lián)起來，實現(xiàn)了動態(tài)的差異化的細粒度RBAC訪問控制策略。

需要說明的是，其特征在于，將系統(tǒng)中所有功能模塊的細粒度RBAC訪問控制策略解析為：用戶→資源，約束條件的形式訪問控制規(guī)則，形成覆蓋整體信息系統(tǒng)的細粒度訪問控制策略的規(guī)則集合，其中包括