[发明专利]一种文件访问控制方法、装置及介质

权利要求书

1.一种文件访问控制方法，其特征在于，包括以下步骤：

设置主体与客体的安全标记；所述安全标记包括安全集束、安全级别和数据完整性级别；所述安全级别和所述数据完整性级别在所述安全集束中；所述主体的安全标记中包含若干所述安全集束；所述客体的安全标记中包含一个所述安全集束；

当所述主体访问所述客体时，获取所述主体和所述客体的安全标记并判断是否获取成功；

若获取失败，则所述主体对所述客体没有访问权限，并将失败结果写入审计日志中；

若获取成功，则将所述主体和所述客体的安全标记进行对比，并根据对比结果控制所述主体对所述客体的访问权限；

所述对比结果包括第一对比结果、第二对比结果、第三对比结果、第四对比结果和第五对比结果；

当所述对比结果为所述第一对比结果和所述第五对比结果时，所述主体对所述客体没有访问权限，则访问失败，并将所述访问失败写入所述审计日志中；

当所述对比结果为所述第二对比结果时，所述主体对所述客体具有读权限；

当所述对比结果为所述第三对比结果时，所述主体对所述客体具有写权限；

当所述对比结果为所述第四对比结果时，所述主体对所述客体具有读权限、写权限和执行权限；

所述第一对比结果为所述主体安全集束不包含所述客体安全集束；

所述第二对比结果为所述主体安全集束包含所述客体安全集束，且所述主体安全集束中的安全级别大于所述客体安全集束中的安全级别，以及所述主体安全集束中的数据完整性级别小于所述客体安全集束中的数据完整性级别；

所述第三对比结果为所述主体安全集束包含所述客体安全集束，且所述主体安全集束中的安全级别小于所述客体安全集束中的安全级别，以及所述主体安全集束中的数据完整性级别大于所述客体安全集束中的数据完整性级别；

所述第四对比结果为所述主体安全集束包含所述客体安全集束，且所述主体安全集束中的安全级别等于所述客体安全集束中的安全级别，以及所述主体安全集束中的数据完整性级别等于所述客体安全集束中的数据完整性级别；

所述第五对比结果为当对比结果不为第一对比结果、第二对比结果、第三对比结果、第四对比结果时，为第五对比结果。

2.根据权利要求1所述的一种文件访问控制方法，其特征在于：所述设置主体与客体的安全标记的步骤进一步包括：

设定主体标记策略和设定客体标记策略；

当登录系统时，根据所述主体标记策略设置所述主体的安全标记；当所述主体中含有第一主体时，所述第一主体的安全标记与所述主体的安全标记相同；

在系统安装过程中，获取客体标记策略，并调用客体安全标记脚本，设置所述客体的安全标记。

3.根据权利要求1所述的一种文件访问控制方法，其特征在于：

当所述主体创建第一客体时，所述第一客体的安全标记与所述主体的安全标记相同。

4.根据权利要求1所述的一种文件访问控制方法，其特征在于：通过所述客体的名称查找所述客体，并修改所述客体的安全标记，若修改所述客体的安全标记失败，则将失败原因写入所述审计日志中。