[发明专利]一种在内容数据库中进行强制访问控制的方法及系统

权利要求书

1.一种在内容数据库中进行强制访问控制的方法，所述方法包括：

接收来自请求方设备的针对内容数据库进行访问的访问请求，对所述访问请求进行解析以确定请求方设备的身份信息和访问信息；

从所述身份信息中提取与所述请求方设备相关联的身份标识、认证信息和第一敏感标记，其中所述身份标识能够唯一地标识所述请求方设备，所述认证信息包括与请求方设备相关联的至少一个认证信息项并且所述第一敏感标记用于标识请求方设备的等级标记和非等级标记；

基于所述身份标识在授权信息库中获取与请求方设备相关联的多个授权信息项，根据多个授权信息项对至少一个认证信息项中的每个认证信息项进行授权认证，当每个认证信息项均通过授权认证时，确定所述访问请求通过授权认证；

当所述访问请求通过授权认证时，根据访问信息确定目标对象的对象标识，基于目标对象的对象标识从标记信息库中获取目标对象的第二敏感标记，所述第二敏感标记用于标识目标对象的等级标记和非等级标记；

当第二敏感标记为空时，则确定所述请求方设备能够对目标对象进行第一等级的强制访问控制；

当第二敏感标记不为空，并且第一敏感标记为空时，则确定所述请求方设备无法对目标对象进行强制访问控制；

当第二敏感标记不为空，并且第一敏感标记不为空时，则根据第一敏感标记和第二敏感标记确定请求方设备对目标对象进行强制访问控制的方式；

在接收来自请求方设备的针对内容数据库进行访问的访问请求之前还包括，

创建第一敏感标记或第二敏感标记，所述第一敏感标记和第二敏感标记均包括：敏感标记名称和敏感标记内容，所述敏感标记内容包括：等级标记和非等级标记；

所述创建第一敏感标记或第二敏感标记包括：

当从创建请求者接收到用于请求创建第一敏感标记或第二敏感标记的创建请求时，确定创建请求者是否具有创建权限，当创建请求者不具有创建权限时，则拒绝所述创建请求并且向所述创建请求者发送用于指示不具有创建权限的创建失败响应消息；

当创建请求者具有创建权限时，从所述创建请求提取第一敏感标记或第二敏感标记的标记名称，确定第一敏感标记或第二敏感标记的标记名称是否已经存在，如果标记名称已经存在，则拒绝所述创建请求并且向所述创建请求者发送用于指示标记名称已经存在的创建失败响应消息；

如果标记名称不存在、如果第一敏感标记或第二敏感标记由等级标记和非等级标记两者组成，并且等级标记的每个等级标记项的内容格式和非等级标记的每个非等级标记项的内容格式全部正确，则将第一敏感标记或第二敏感标记的敏感标记名称和敏感标记内容写入数据字典，并且为第一敏感标记或第二敏感标记分配唯一的标记标识符。

2.根据权利要求1所述的方法，根据第一敏感标记和第二敏感标记确定请求方设备对目标对象进行强制访问控制的方式包括：

根据第一敏感标记确定请求方设备的等级标记和非等级标记，根据第二敏感标记确定目标对象的等级标记和非等级标记；

当请求方设备的等级标记大于或等于目标对象的等级标记，并且请求方设备的非等级标记是目标对象的非等级标记的超集，则允许所述请求方设备对目标对象进行第二等级的强制访问控制；

若请求方设备的等级标记小于目标对象的等级标记，并且请求方设备的非等级标记是目标对象的非等级标记的子集，则允许所述请求方设备对目标对象进行第三等级的强制访问控制；

若请求方设备的等级标记等于目标对象的等级标记，并且请求方设备的非等级标记与目标对象的非等级标记的子集相同，则允许所述请求方设备对目标对象进行第四等级的强制访问控制。