[发明专利]基于策略的数据库强制访问控制方法及其系统有效
| 申请号: | 201010578774.4 | 申请日: | 2010-12-03 |
| 公开(公告)号: | CN102063466A | 公开(公告)日: | 2011-05-18 |
| 发明(设计)人: | 张妍;陈驰;冯登国;张敏;徐震;张明波;谢炯;陈荣国;周成虎;熊伟;景宁 | 申请(专利权)人: | 中国科学院软件研究所;中国科学院地理科学与资源研究所;中国人民解放军国防科学技术大学 |
| 主分类号: | G06F17/30 | 分类号: | G06F17/30 |
| 代理公司: | 北京君尚知识产权代理事务所(普通合伙) 11200 | 代理人: | 冯艺东 |
| 地址: | 100190 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 策略 数据库 强制 访问 控制 方法 及其 系统 | ||
1.一种基于策略的数据库强制访问控制方法,包括如下步骤:
1)为数据库中的数据表建立多维索引树;
2)将强制访问控制安全标签设定策略逐层叠加存储到多维索引树的节点上;
3)基于叠加了策略的多维索引树进行用户访问控制。
2.如权利要求1所述的基于策略的数据库强制访问控制方法,其特征在于所述强制访问控制安全标签设定策略为<filter,label>,其中filter为条件约束表达式,label为安全标签,由一个密级和一个范畴集合组成。
3.如权利要求2所述的基于策略的数据库强制访问控制方法,其特征在于所述第2)步骤的方法为:
从根节点开始遍历索引树,递归地将符合条件的策略叠加存储到节点上,所述符合条件的策略为:对于根节点和中间节点,该策略的filter约束条件被该节点所在子树中的数据记录全部满足,且该策略并未被存储在该节点的祖先节点中;
对于叶节点,该策略的filter约束条件被该节点所在子树中的数据记录全部或部分满足,且该策略并未被存储在该节点的祖先节点中。
4.如权利要求2所述的基于策略的数据库强制访问控制方法,其特征在于所述第3)步骤的方法为:
A、接收用户访问请求,确定用户安全标签;所述访问请求包括访问的数据应满足的条件和访问动作;访问动作包括插入、删除、修改或查询;
B、从索引树根节点开始遍历索引树,检索符合用户访问请求的数据记录,检索的过程为:
(1)提取节点上存储的策略,选择与用户访问请求相关的策略;
(2)计算节点所有子树中与策略相关的数据记录的安全标签值;
(3)将数据记录的安全标签值与用户安全标签值对比,判定用户是否可以继续向下检索或访问数据记录。
5.如权利要求4所述的基于策略的数据库强制访问控制方法,其特征在于所述计算数据记录的安全标签值方法为:
a)根据索引树查找与数据记录匹配的所有策略,计算各策略的安全标签值;
b)比较各策略的安全标签值大小:
若安全标签值可以比较大小,选取最高值为数据记录的安全标签值;
若安全标签值无法比较大小,取所有安全标签值的范畴的并集和密级中最高者作为最终标签值。
6.如权利要求5所述的基于策略的数据库强制访问控制方法,其特征在于当访问动作为查询时,节点上的策略预示的所有子树中的数据记录的安全标签值高于用户标签值或无法与用户标签值比对,不允许继续检索该节点子树。
7.如权利要求5所述的基于策略的数据库强制访问控制方法,其特征在于当访问动作为修改或删除时,节点上的策略预示的所有子树中的数据记录的安全标签高于或低于用户标签值或无法与用户标签值比对,不允许继续检索该节点子树。
8.如权利要求5所述的基于策略的数据库强制访问控制方法,其特征在于当访问动作为插入时,节点上的策略预示的所有子树中的数据记录的安全标签值都高于或等于用户标签值,则被增加的数据记录的安全标签值根据策略计算高于或等于用户标签值,直接进行数据记录的插入。
9.如权利要求1-8所述的基于策略的数据库强制访问控制方法,其特征在于多维索引树为R索引树,R+索引树或四叉树索引。
10.如权利要求9所述的基于策略的数据库强制访问控制方法,其特征在于数据库为空间数据库。
11.如权利要求10所述的基于策略的数据库强制访问控制方法,其特征在于对空间数据库的索引树进行检索的方法为在第(3)步骤后增加一步骤:
根据允许访问的数据记录,使用空间裁剪方法对数据记录对应的空间数据的分布形状进行裁剪,获得用户可访问的空间矢量数据。
12.一种基于策略的数据库强制访问控制系统,其特征在于包括前端和后端,前端包括策略管理组件和访问请求组件,后端包括策略修改组件和访问控制组件,其中
策略管理组件提供添加、删除、查询或修改强制访问控制安全标签设定策略的接口或图形界面;
访问请求组件处理用户的请求并接受后端返回的结果;
策略修改组件叠加强制访问控制安全标签设定策略到索引树上或从索引树上删除策略;
访问控制组件接收前端的用户请求后,检索索引树获取允许用户访问的数据记录并返回结果给访问请求组件。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院软件研究所;中国科学院地理科学与资源研究所;中国人民解放军国防科学技术大学,未经中国科学院软件研究所;中国科学院地理科学与资源研究所;中国人民解放军国防科学技术大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201010578774.4/1.html,转载请声明来源钻瓜专利网。
- 上一篇:具有低功耗呃逆备用操作的电源
- 下一篇:变电所端子箱内湿度控制及显示装置





