[发明专利]一种基于分布式互通系统数据库的访问控制系统及方法

权利要求书

1.一种基于分布式互通系统数据库的访问控制系统，其特征在于，包括：主体管理服务器和客体管理服务器；所述客体管理服务器存储有访问许可集P_i＝(SG_i,OG_i,W_i)，i＝1,2,3，其中，SG_i表示第i组主体的集合，OG_i表示第i组客体的集合，W_i表示第i种权限约束方式，第一组主体的权限为能够访问各企业开放性信息，第二组主体的权限为能够访问企业内部公开信息，第三组主体的权限为能够访问企业保密信息，第一组客体为各企业的开放性信息所在节点，第二组客体为企业内部公开信息所在节点，第三组客体为企业保密信息所在节点，第一种权限约束方式为企业开放性信息约束，第二种权限约束方式为企业内部开放性信息约束，第三种权限约束方式为保密信息约束；

所述主体组SG中定义了各个用户组约束关系和优先级，所述各个用户组约束关系包括将各个用户组分为大组和子组，子组作为大组的派生，每一个大组的访问权限约束大组下的子组，每个子组主体拥有的访问权限，大组内不属于其他子组的主体拥有同样的访问权限；所述优先级包括将主题组分为SG₀、SG₁、SG₂、SG₃，SG₀为管理组优先级最高，其他的分组中，按照优先级从高到低排列依次是SG₃、SG₂、SG₁，SG₃、SG₂组的子组中，优先级最高的子组是客体自身企业中的主体，剩余子组按照查询到对应的客体需要迭代的次数排列优先级，迭代次数较多的主体拥有更高的优先级，SG₁组优先级最低；

所述主体管理服务器包括身份验证IP分配模块，所述身份验证IP分配模块基于请求主体的权限为所述请求主体分配身份验证IP，不同权限对应有不同的身份验证IP；

所述身份验证IP的分配采用组播技术，用户组可被分配的IP范围是224.0.0.0-239.255.255.255；其中，224.0.0.0-224.0.0.255被分配给SG₀组的用户，224.0.1.0-224.0.1.255被分配给SG₁组的用户，224.0.2.0-238.255.255.255被分配给SG₂组的用户，239.0.0.0-239.255.255.255被分配给SG₃组的用户；

所述客体管理服务器包括约束方式确定模块和权限验证模块，所述约束方式确定模块获取请求主体的访问请求，并根据所述访问请求中的身份验证IP确定所述请求主体的权限约束方式w，所述访问请求包括所述请求主体的身份验证IP、所述请求主体的序号sg以及所需访问客体的序号og；所述权限验证模块验证(sg,og,w)是否属于访问许可集，当(sg,og,w)属于访问许可集时，允许所述请求主体访问客体og，当(sg,og,w)不属于访问许可集时，禁止所述请求主体访问客体og；

所述主体管理服务器根据用户被划分到的安全组为它分配对应的身份验证IP，由于每个组有不同的访问权限，客体组在收到信息查询请求时通过主体的IP地址判断出它是否有这个查询权限，再经过中间节点的路由，传输请求信息至目标客体，目标客体将请求信息传输至其所属的客体管理服务器，所述客体管理服务器根据收到的IP地址判断客体所在的安全组，并判断其是否包含于访问许可集中。

2.根据权利要求1所述的基于分布式互通系统数据库的访问控制系统，其特征在于，所述主体管理服务器还包括权限识别模块，当请求主体请求访问的客体为企业的开放性信息所在的客体时，所述权限识别模块确定所述请求主体为第一种权限约束方式；当请求主体请求访问的客体不是企业的开放性信息所在的客体且请求主体的物理IP以及地址均符合设定条件时，所述权限识别模块确定所述请求主体为第二种权限约束方式；当请求主体请求访问的客体不是企业的开放性信息所在的客体且请求主体的物理IP为设定IP时，所述权限识别模块确定所述请求主体为第三种权限约束方式。

3.根据权利要求1所述的基于分布式互通系统数据库的访问控制系统，其特征在于，每一企业提供一所述主体管理服务器以及一所述客体管理服务器。