发明名称 |
一种层次分区共享组访问控制的方法 |
摘要 |
本发明公开了一种层次分区共享组访问控制的方法,网络中任意两个共享组之间的上下层关系不能循环;每个共享组内包含一个或一个以上的用户和一个或一个以上分区,用户和分区都被赋予一个完整性级别,文档存储于分区中;完整性级别是具有次序的数字,可以比较高低;文档根据所处的分区确定其完整性级别,根据所处的共享组在网络中的层次确定保密性级别。本发明提出采用层次分区共享组来构建安全模型通过分组将一个复杂的问题划分成一些小的问题,使问题的解决局部化,具有权力分散、可用性、保密性、完整性统一的优点。 |
申请公布号 |
CN101577622B |
申请公布日期 |
2012.07.04 |
申请号 |
CN200910303599.5 |
申请日期 |
2009.06.24 |
申请人 |
贵阳易特软件有限公司 |
发明人 |
李丹宁;李丹;王保华;马新强;宋剑 |
分类号 |
H04L9/32(2006.01)I;G06F21/00(2006.01)I |
主分类号 |
H04L9/32(2006.01)I |
代理机构 |
贵阳中新专利商标事务所 52100 |
代理人 |
吴无惧 |
主权项 |
一种层次分区共享组访问控制的方法,包括一个或多个具有上下层关系的多个共享组构成的网络,其特征在于:网络中任意两个共享组之间的上下层关系不能循环;每个共享组内包含一个或一个以上的用户和一个或一个以上分区,用户和分区分别被赋予一个完整性级别,文档存储于分区中;完整性级别是具有次序的数字,能比较高低;文档本身没有明确的保密性级别和完整性级别,文档根据所处的分区确定其完整性级别,根据所处的共享组在网络中的层次确定保密性级别;共享组内的用户能读本组中各个分区里的所有文档,能读本组的下层组的完整性级别高于和等于读完整级别的分区中的文档;本组用户能在本组的完整性级别低于或等于该用户级别的分区中创建文档;和在本组的上层组中完整性级别低于或等于该用户的映射完整性级别的分区中创建文档;共享组内用户能修改和删除完整性级别低于或等于该用户完整性级别的分区中的文档;共享组直接管理组内的用户和文档,对于组外的用户共享组根据该用户持有的介绍信确定该用户的访问控制权,对持有直接上层组的读介绍信的用户颁发本组的读介绍信,对于持有直接下层组完整性级别写介绍信的用户,颁发将完整性级别经过映射后的完整性级别的写介绍信;对持有直接上层组读介绍信的用户,准许他读取完整性级别高于和等于本组读完整级别的分区中的文档;对于持有直接下层组完整性级别写介绍信的用户,准许他在完整性级别低于和等于完整性级别映射后的完整性级别的分区中创建文档。 |
地址 |
550003 贵州省贵阳市陕西路1号 |