數據存取控制是對數據存取方式和許可權進行控制,為了防止非法用戶以不正當的方式存取信息,還對用戶的存取數據資格和許可權進行檢查。只有相關許可權的用戶才有許可權訪問相關數據。數據存取控制機制屬於數據安全保護機制的一種。
基本介紹
- 中文名:數據存取控制
- 外文名:Data Access Control
- 學科:計算機、信息安全
- 定義:一種數據安全保護機制
- 有關術語:數據安全
- 領域:資料庫、數據存取
簡介,控制方法,數據安全,含義,特點,移動通信終端及數據存取控制方法,背景,發明內容,
簡介
在計算機科學中,數據是指所有能輸入到計算機並被電腦程式處理的符號的介質的總稱,是用於輸入電子計算機進行處理,具有一定意義的數字、字母、符號和模擬量等的通稱。現在計算機存儲和處理的對象十分廣泛,表示這些對象的數據也隨之變得越來越複雜。對於數據來說,數據安全十分重要,特別是一些機密性數據。數據存取控制是數據安全的一種保護機制,它主要設定用戶訪問許可權或密碼登錄機制來保護數據安全。
例如在作業系統中,根據系統管理員或用戶所規定的存取控制屬性,可將檔案分為三類:
(1) 只執行檔案。該類檔案只允許被核准的用戶調用執行,既不允許讀,更不允許寫。
(2) 唯讀檔案。該類檔案只允許檔案主及被核准的用戶去讀,但不允許寫。
(3) 讀寫檔案。這是指允許檔案主和被核准的用戶去讀或寫的檔案。
控制方法
1、 使用密碼和身份證號碼。使用密碼控制使用者使用電腦,避免未經授權人使用數據和程式。輸入密碼時不能把密碼顯示在螢幕上。
2、 使用系統取日誌。系統取日誌記錄所有企圖使用或使用系統的人員密碼、時間等。
4、 把數據加密。傳送數據前,先把數據用特殊方法加密,應收到數據的人用加密的方法解密,使不應獲得數據的人無法了解內容。
5、 廢棄檔案的控制。把不需要的檔案銷毀,不需要的磁碟清除內容,以免數據外泄。例如,把不需要的檔案用碎紙機切成細條。
6、訪問控制矩陣(英語: Access Control Matrix),或譯為訪問控制數組,又稱訪問矩陣(Access Matrix),是一套抽象、形式化的安全性模型。這套模型描述了計算機系統中的安全保護狀態,各別表示其下的每個附屬子體,對於系統中的每個對象,其所擁有的許可權。這個概念最早是由巴特勒·蘭普森在1971年所提出。在訪問矩陣中的每一個元素,分別代表主體與受體的許可權。
數據安全
含義
信息安全或數據安全有對立的兩方面的含義:一是數據本身的安全,主要是指採用現代密碼算法對數據進行主動保護,如數據保密、數據完整性、雙向強身份認證等,二是數據防護的安全,主要是採用現代信息存儲手段對數據進行主動防護,如通過磁碟陣列、數據備份、異地容災等手段保證數據的安全,數據安全是一種主動的包含措施,數據本身的安全必須基於可靠的加密算法與安全體系,主要是有對稱算法與公開密鑰密碼體系兩種。
數據處理的安全是指如何有效的防止數據在錄入、處理、統計或列印中由於硬體故障、斷電、當機、人為的誤操作、程式缺陷、病毒或黑客等造成的資料庫損壞或數據丟失現象,某些敏感或保密的數據可能不具備資格的人員或操作員閱讀,而造成數據泄密等後果。
而數據存儲的安全是指資料庫在系統運行之外的可讀性。一旦資料庫被盜,即使沒有原來的系統程式,照樣可以另外編寫程式對盜取的資料庫進行查看或修改。從這個角度說,不加密的資料庫是不安全的,容易造成商業泄密,所以便衍生出數據防泄密這一概念[2] ,這就涉及了計算機網路通信的保密、安全及軟體保護等問題。
特點
(1) 數據機密性(Data Secrecy):指將機密的數據置於保密狀態,僅允許被授權的用戶訪問計算機系統中的信息(訪問包括顯示和列印檔案中的信息)。
(2) 數據完整性(Data Integrity):指未經授權的用戶不能擅自修改系統中所保存的信息,且能保持系統中數據的一致性。這裡的修改包括建立和刪除檔案以及在檔案中增加新內容和改變原有內容等。
(3) 系統可用性(System Availability):指授權用戶的正常請求能及時、正確、安全地得到服務或回響。或者說,計算機中的資源可供授權用戶隨時進行訪問,系統不會拒絕服務。但是系統拒絕服務的情況在網際網路中卻很容易出現,因為連續不斷地向某個伺服器傳送請求就可能會使該伺服器癱瘓,以致系統無法提供服務,表現為拒絕服務。
移動通信終端及數據存取控制方法
背景
以往進行將應用程式下載到便攜電話等移動通信終端中執行的操作。在這樣的應用程式中存在,例如像在接收等待時使顯示器顯示所希望的圖像的程式那樣,讀出圖像數據、音樂數據等,使用這些數據來動作的程式。
在該存取控制方式下,在電視接收機接收廣播數據,並且接收存取許可權信息,在電視接收機內動作的應用程式存取該廣播數據時,根據存取許可權信息決定是否允許該存取。這樣一來防止數據所有者不希望的數據存取。
但是,在上述以往技術中由於在應用程式所使用的廣播數據中嵌入了存取許可權信息,所以在區分數據格式時,存在存取許可權被某個應用程式惡意竄改的可能性。另外不能實現,在保存程式本身執行中所使用的數據時(取得或者生成的數據),對於其他的應用程式對該保存數據進行存取控制。進而,在一旦將接收等待圖像顯示用應用程式從各種伺服器中取得的圖像數據、通過圖像編輯用應用程式使用內置照相機進行攝像所生成的圖像數據等保存到存儲器等之後,很難控制其他套用對該數據進行的存取。
發明內容
本發明的一種移動通信終端,其特徵在於具有:存儲應用程式執行時所使用的使用數據的數據存儲裝置,控制應用程式執行的套用軟體管理裝置,從上述套用軟體管理裝置可存取的許可權信息存儲裝置;在對應於應用程式對於上述數據存儲裝置所請求的使用數據的保存請求,生成與上述使用數據有關的存取許可權信息,並且存儲在上述許可權信息存取裝置中,從應用程式對於存儲在上述數據存儲裝置的使用數據有存取請求的時候,上述套用軟體管理裝置參考來自上述許可權信息存儲裝置的有關該使用數據的存取許可權信息,允許上述應用程式的上述存取請求。
在這樣的移動通信終端及數據存取控制方法中,通過套用軟體管理裝置,在應用程式保存圖像數據、音樂數據等使用數據時,生成並保存與該使用數據相關的存儲許可權信息。而且,在從含有其他應用程式的應用程式有對使用數據進行存取的存取請求(讀出請求)的情況下,由套用軟體管理裝置根據存取許可權信息允許該存取請求。其結果,對應用程式所使用的使用數據(取得或者生成的使用數據)的存取控制成為可能,並且由於存取許可權信息沒有被送到外部,因此可實現安全性更高的存取控制。另外,在這裡所說的“”存取控制”是表示對於來自應用程式的使用數據的讀出請求,決定數據讀出允許或者不允許來控制數據讀出處理的含義。另外,存取許可權信息因為存儲在套用軟體管理裝置用的數據區域,所以同時也可以防止來自其他程式等的數據竄改。
另外,存取許可權信息是對應特定使用數據的使用數據特定信息,和特定保存了使用數據的應用程式的所有者套用軟體的所有者套用軟體特定信息;套用軟體管理裝置在從應用程式有向使用數據進行存取的存取要求的情況下,最好是根據存取許可權信息判定應用程式是否是與使用數據對應的所有者套用軟體,並根據該判定結果允許存取請求。
該種情況下,因為根據套用軟體管理裝置將判定是否是保存了使用數據的所有者套用軟體的判定作為基礎,容許對其使用數據進行存取,所以可容易防止歸多個應用程式所有的圖像數據、音樂數據等的轉用。
