技術領域

本發明涉及一種對象操作訪問控制的系統和方法，屬于訪問控制方法技術領域。

背景技術

由于現在對數據對象安全的保護越來越重要，權限訪問控制要求越來越多樣。當前，傳統的對象操作權限控制主要是依賴基于用戶權限進行區分操作功能。并且限制的操作主要是“讀”，“寫”，“執行”。通過對文件附加屬性進行標記，一般有文件所有者，文件所屬組，其他用戶。再通過判斷當前訪問的用戶，或其所在用戶組的相關權限為進行訪問的控制。每一類用戶一般配置“讀”，“寫”，“執行”三個權限標記。相應的用戶在執行某一個執行時，如果執行的標記是授權的，進行操作；標記為未授權，不能進行。以便達到了訪問控制的目的。

雖然常規用戶權限限制已經證明是有用的，但是常規的權限訪問權限控制不能對各種對象操作進行通用的更細微的操作控制。一部分擴展操作還受限于特定的操作系統和文件系統，這些控制不能滿足用戶對對象操作控制的需求。局限主要在于：1.對象操作控制種類過于單一。2.對象操作的顆粒度過大。實際寫操作可以分成多種小顆粒。比如細分寫操作要求，不允許修改對象名，刪除，但允許對對象追加內容，修改內容，修改屬性，修改擴展屬性，當前的寫的操作還無法達到要求。3.基于用戶權限進行操作區分，不能滿足業務性操作區分，在需求滿足上有局限。4.受限于特定的操作系統，文件系統。5.權限訪問，需要修改文件系統的元數據。總之，從而降低對象操作控制的自由性，使對象操作控制受限于原來存儲系統的設計基礎。使某一個小功能需求，不能完全滿足用戶的需求。而其他軟件，只能進行部分控制，不能對系統所有文件進行控制，而且系統實施困難，設置復雜，維護性差。

因此，需要一個靈活方便的對象操作訪問控制方法，進行操作訪問過濾，授權操作才能執行。計算機程序產品以及相關的方法，迄今為止，還不能滿足對這種解決方案的需要。

發明內容

本發明提供了一個新的對象操作的訪問控制系統和方法，包括構建對象具體操作歸類模塊、構建操作訪問控制配置模塊、構建對象操作控制模塊。

“構建操作訪問控制配置模塊”依賴于“構建對象操作歸類模塊”，提供系統中所有可以被監控的對象操作種類，從而可以進行控制配置。“構建對象操作控制模塊”依賴于“構建操作訪問控制配置模塊”提供的操作配置來進行控制判斷時的依據。

具體技術方案為：

步驟一：構建對象操作歸類模塊，把所有的對象操作分為授權操作，未授權操作；所有歸類對象分為授權監控類，非授權監控類；對于能根據對象的索引結構、日志、審核跟蹤、行為分析、用戶權限，判斷出已經標記的操作，歸入授權監控類；否則，歸入非授權監控類；對授權監控類，在其他模塊使用時，需要進一步判斷，進行對象操作授權判斷過濾，即要把此次操作類別區分出是授權操作，還是非授權操作，如果配置為“授權配置”，則操作為“授權操作”，否則配置為“非授權配置”，操作為“非授權操作”；對非授權監控類，此次對象操作直接操作，即在此類中所有操作判定為“授權操作”；

操作分類后，操作權限控制就不再限于“用戶權限及用戶組權限”。

識別的“操作”在訪問對象時，能根據對象把“操作”分為“授權操作”與“未授權操作”，就歸入“授權監控類”。

給對象進行授權監控分類的目的是，在進行對象操作時，把可以根據對象的某一種可捕捉的屬性，識別出的操作進行歸類。

操作分類的目的是，給分類后的操作進行“允許”與“禁止”兩種執行權限返回。

步驟二：構建對象訪問控制配置模塊，首先根據步驟一對象操作歸類模塊的定義，建立操作訪問控制集合，存儲對象操作方法，對象操作方法包括：讀操作，寫操作，獲取權限，設置權限，對象打開、釋放，刪除，創建，獲取私有屬性信息，查看，執行，獲取私有數據，設置私有數據，并可以自動對當前的操作進行細分與組合；對象識別屬性：索引結構、日志和審計跟蹤，行為跟蹤；在存儲系統中，用戶根據自身業務的需要，也可進行個性化配置；

步驟三、獲取步驟一中授權監控類中已經標記的對象操作，顯示配置列表，用戶選擇一項或多項步驟二中的對象操作方法，用戶對每一項選定的對象操作配置相應“授權配置”或“非授權配置”，存儲設備配置；

步驟四、構建對象操作控制模塊，在系統中，進行對象操作訪問前的操作獲取，根據“構建操作訪問控制配置模塊”指定的配置，進行訪問授權控制：讀取監控系統中對象操作，然后讀取所有對象操作配置列表；判斷當前對象操作是不是“允許”，如果是“允許”，執行本次對象操作，返回操作成功后，結束；如果是“禁止”，則本次對象操作請求失敗，返回操作失敗后，結束；