[发明专利]资源访问控制方法及设备

说明书

本发明提供一种资源访问控制方法及设备；通过根据所述主体的名称确定所述主体所属的域，并根据所述客体的名称确定所述客体所属的组；根据所述主体所属的域和所述客体所属的组，确定所述主体所属的域对所述客体所属的组的第一可执行访问类型；根据所述访问类型及所述第一可执行访问类型，确定是否允许所述主体对所述客体执行所述访问类型；实现了基于主体所属的域和客体所属的组来进行访问控制。

技术领域

本发明实施例涉及访问控制技术，尤其涉及一种资源访问控制方法及设备。

背景技术

访问控制是计算机保护中极其重要的一环，它是在身份识别的基础上，根据访问发起者的身份对提出的资源访问请求加以控制。

在访问控制中，需要进行访问控制的各种资源称为客体，如文件、端口等；访问发起者称为主体，如进程、用户等。并且，访问控制规则定义了主体与客体间可能的相互作用途径。现有技术中，一种常见的访问控制方案为强制访问控制(MAC，Mandatory AccessControl)。在MAC中每一个客体(例如，文件)和主体(例如，用户)都被赋予了一定的安全级别，系统通过比较主体与客体的安全级别来界定主体是否可以访问该客体。例如，若系统的访问控制规则为下读(read down)和上写(write up)，则表示用户的安全级别大于文件的安全级别时，用户可以对文件进行读操作，当用户的安全级别小于文件的安全级别时，用户可以对文件进行写操作。

但是，现有技术中，存在MAC控制过于简单，无法实现基于主体和客体的分组进行访问控制的问题。

发明内容

本发明提供一种资源访问控制方法及设备，用以解决现有技术中MAC控制过于简单，无法实现基于主体和客体的分组进行访问控制的问题。

第一方面，本发明实施例提供一种资源访问控制方法，所述方法的执行主体为计算机或通信设备，所述方法包括：

获取主体对客体的访问请求；

根据所述访问请求，确定所述主体的名称、所述客体的名称以及所述主体对所述客体的访问类型；

根据所述主体的名称确定所述主体所属的域，并根据所述客体的名称确定所述客体所属的组；

根据所述主体所属的域和所述客体所属的组，确定所述主体所属的域对所述客体所属的组的第一可执行访问类型；

根据所述访问类型及所述第一可执行访问类型，确定是否允许所述主体对所述客体执行所述访问类型。

结合第一方面，在第一方面的第一种可能实现的方式中，所述根据所述主体所属的域和所述客体所属的组，确定所述主体所属的域对所述客体所属的组的第一可执行访问类型之前，还包括：

获取用户输入的设置信息，所述设置信息包括所述主体所属的域、所述客体所属的组及所述第一可执行访问类型；

根据所述设置信息，将所述主体所属的域对所述客体所属的组的可执行访问类型设置为所述第一可执行访问类型。

本实施例中，通过设置信息，设置主体所属的域对客体所属的组的可执行访问类型；使得可以设置根据主体所属的域和客体所属的组来进行访问控制时，具体的控制策略。

结合第一方面的第一种可能实现的方式，在第一方面的第二种可能实现的方式中，所述根据所述主体所属的域和所述客体所属的组，确定所述主体所属的域对所述客体所属的组的第一可执行访问类型，包括：

根据所述主体所属的域、所述客体所属的组查找访问控制表，确定所述访问控制表的第一表项，并根据所述第一表项确定所述第一可执行访问类型；所述第一表项包括所述客体所属的组、所述主体所属的域和所述第一可执行访问类型；

相应的，所述根据所述设置信息，将所述主体所属的域对所述客体所属的组的可执行访问类型设置为第一可执行访问类型，包括：