[發明專利]基于標記與審計結合的跨域訪問控制方法及系統有效
| 申請號: | 201410301101.2 | 申請日: | 2014-06-27 |
| 公開(公告)號: | CN104506480B | 公開(公告)日: | 2018-11-23 |
| 發明(設計)人: | 鄭偉范;戚建淮;彭華;姚兆東;劉建輝 | 申請(專利權)人: | 深圳市永達電子信息股份有限公司;中國鐵路總公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京英特普羅知識產權代理有限公司 11015 | 代理人: | 齊永紅 |
| 地址: | 518000 廣東省深圳市南山區科技南十路*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 標記 審計 結合 訪問 控制 方法 系統 | ||
1.一種基于標記與審計結合的跨域訪問控制方法,其特征在于,包括如下步驟:
在第一安全等級域中的訪問主體向第二安全等級域中的被訪問主體發送訪問請求時,對所述訪問主體與被訪問主體的屬性進行認證及審查,以判斷訪問主體與被訪問主體的合法性;所述屬性包括:角色及所屬域的安全標記;
當訪問主體與被訪問主體的屬性均審查為合法時,根據預設的角色映射關系表判斷所述訪問主體與被訪問主體之間是否具有角色映射關系,如果有,則授予訪問主體訪問權,授予被訪問主體被訪問權,否則不授予訪問主體訪問權,不授予被訪問主體被訪問權;
對域中訪問主體的訪問行為和過程進行記錄檢查和統計審計;
根據授權結果及安全審計結果審查訪問主體與被訪問主體的權限是否與對應的訪問控制措施一致,如果一致,則允許訪問主體與被訪問主體之間進行跨域訪問,并生成允許訪問消息,否則,不允許訪問主體與被訪問主體之間進行跨域訪問,并生成不允許訪問消息;
當允許訪問主體與被訪問主體之間進行跨域訪問時,在訪問主體與被訪問主體之間建立私密通道,否則,不建立私密通道;
當訪問主體與被訪問主體之間生成的訪問消息為允許訪問消息時,基于所建立的私密通道,完成跨域訪問;否則,終止跨域訪問;
記錄訪問結果及業務數據的變化信息,并據此對其進行審計。
2.如權利要求1所述的基于標記與審計結合的跨域訪問控制方法,其特征在于,所述屬性還包括:
權限、所在安全等級域中的IP地址。
3.如權利要求2所述的基于標記與審計結合的跨域訪問控制方法,其特征在于,所述角色映射關系表中包含了訪問主體的角色及安全標記與被訪問主體的角色及訪問對象之間的映射關系。
4.如權利要求1所述的基于標記與審計結合的跨域訪問控制方法,其特征在于,所述訪問主體包括:訪問用戶、訪問終端、接入網絡。
5.如權利要求1所述的基于標記與審計結合的跨域訪問控制方法,其特征在于,所述被訪問主體包括:業務系統、服務系統、數據庫。
6.如權利要求1所述的基于標記與審計結合的跨域訪問控制方法,其特征在于,所述記錄訪問結果及業務數據的變化信息,并據此對其進行審計的步驟包括:
對訪問主體的請求相關的訪問主體、被訪問主體屬性、請求行為發生的時間、域信息、標記信息進行記錄和審計檢查;
對被訪問主體的業務數據的當前狀態進行記錄以便在訪問發生后審計驗證業務數據的一致性。
7.如權利要求1所述的基于標記與審計結合的跨域訪問控制方法,其特征在于,所述私密通道是由數字信封、SSL加密的通道,用于進行跨域通訊并保證跨域通訊的安全性。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深圳市永達電子信息股份有限公司;中國鐵路總公司,未經深圳市永達電子信息股份有限公司;中國鐵路總公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410301101.2/1.html,轉載請聲明來源鉆瓜專利網。
