专利名称::一种基于风险的分布式访问控制方法
技术领域:
:本发明涉及计算机安全领域,具体涉及一种基于风险的分布式访问控制方法。
背景技术:
:随着网络以及相关技术的发展,分布式环境下的跨域的资源访问已经不仅是一种可能,而且成为了一种必须。这种跨域访问的需求存在于大量的应用中,例如电子政务和电子商务。然而,这些应用的发展带来了极大便利的同时,也造成了许多安全隐患。其中,分布式访问控制即是最为重要的问题之一。分布式访问控制不同于传统的集中式环境下的访问控制;在分布式系统中,存在着大量的实体,这些实体之间通常并不互相认识,并且没有一个中心认证机构能够确认实体的身份。因此,基于实体身份的传统的访问控制模型难于解决分布式环境下的访问控制问题。但是,现有系统已经构建了一套访问控制机制,不能为了实现分布式访问控制而完全摒弃原有机制另外重新建立一套新机制。一种可行的方法即是在传统的访问控制模型的基础上,提出适于分布式环境的访问控制方法。现有的解决办法主要有两种。第一种是单纯依靠建立域间角色映射,这种方法虽然能够支持一定的分布式访问控制要求,但是不能够适应自治域的动态性要求,例如域中用户的行为具有不确定性。第二种是将信任引入域间访问,这种方法在一定程度上适应系统的动态性。然而,基于信任的方式,没有能够区分系统中不同资源的重要性程度,将所有资源以及各种不同的访问模式一概论之,缺乏灵活性。
发明内容本发明的目的是提供一种基于风险的多自治域安全互操作的方法,在保持安全性的基础上既具有一定的动态性又具有较好的灵活性。一种基于风险的分布式访问控制方法,其特征在于,外域^中的外域用户C/按照以下步骤访问本域A:步骤l.外域用户f/向本域4c请求登录;步骤2.本域^接收登陆请求以及外域用户t/的属性证书;步骤3.本域A利用公密钥机制验证属性证书的真伪,若证书为伪造,则结束;否则,从属性证书获取用户域名和用户外域角色信息,进入步骤4;步骤4.本域^根据本外域访问关系、用户域名和用户外域角色信息,构建外域用户的本域角色集合及;步骤5.外域用户t/请求本域4r的某一权限4;步骤6.本域A根据本域当前风险预警级别和外域用户t/风险值,对本域角色集合A进行调整;步骤7.本域A判断本域角色集合及中是否存在角色,其对应权限A,若不存在,进入步骤ll;否则,进入步骤8;步骤8.外域用户C/通过执行权限i^对本域4进行访问;步骤9.本域义对外域用户t/的访问行为进行风险评价,根据评价结果计算得到外域用户f/风险值记录集合;构建外域角色r风险值记录集合和外域冉风险值记录集合,准备对外域用户t/风险值进行更新;步骤IO.根据外域角色r风险值记录集合和外域^风险值记录集合,更新外域角色r风险值和外域^风险值;根据外域用户t/风险值记录集合,计算外域用户C/风险评估值的平均值,将其与更新后的外域角色r风险值和外域冉风险值作比较,取最大值为外域用户t/风险值;步骤ll.本域A判断外域用户C/是否结束本次登录操作,若是,则结束;否则,转入步骤5。至此,访问步骤结束。本发明涉及多自治域安全互操作的建立、维护和实行全过程。该方法依据自治域互操作需求建立多域间的安全互访关系,通过监控用户的风险情况,动态调整访问行为,并做出相应的访问控制决策。本发明可以实现多自治域间的安全互操作。具体而言,本发明具有如下优点(1)安全性本发明的安全性主要是通过域间互访关系建立、风险监控以及审计机制来达到的。在本方法中,本外域访问关系是根据域的互访需求建立的,通过域间角色映射保证用户的跨域访问的合法性;同时,为了加强对某些敏感资源的保护,以及为了适应不同用户行为的差异性,用户的跨域访问权限根据风险值而实时变化,使得非法访问的可能性降低。(2)合理性互操作环境中各域以及其中用户行为的差异性较大,使用风险能够准确衡量出外域及其用户对于本域资源所构成的威胁;更为重要的是,风险能够较好地体现出本域中不同的权限具有不同的风险属性。(3)灵活性设置了本域权限风险预警值以及本域风险预警级别,因此能够根据具体的应用背景更新风险值以适应背景的变化。根据用户自身.的风险值,本方法能够做出相应的调整。图1为本发明建立本外域访问关系建立流程图;图2为外域用户访问本域流程图。具体实施例方式下面结合附图和实例对本发明作进一步详细的说明。本发明将分布式环境按照域的概念进行划分,分布式环境就可以视为多域互操作环境。通过这种方式,将分布式访问控制问题简化为多域安全互操作问题。域是拥有资源并能够自治管理资源安全策略的实体集合。本发明建立在基于角色的访问控制模型基础上,即互操作环境中每个域都使用基于角色的访问控制模型,多域安全互操作问题是一个关键问题。本发明将风险引入访问控制机制中,依据自治域互访需求建立域间的安全互访关系,通过监控外域用户的风险情况,动态调整用户访问行为,并做出相应的访问控制决策。首先给出本发明中的几个概念基于角色的访问控制模型RBAC(Role-basedAccessControl):RBAC模型中,在用户和权限之间引入角色的概念,用户对应特定的一个或多个角色,角色对应一个或多个权限,用户通过担任角色享用其对应的权限。RBAC模型包括七个组成元素用户、角色、权限、用户-角色关系、角色层次关系、角色-权限关系和约束。在本发明中,权限表示为二元组(资源,访问模式)。安全策略域通过对RBAC模型中七个元素的定义,规定用户所担任角色从而确定能够执行的权限。其中,角色层次关系定义了两个角色之间的继承与被继承关系,这种关系是可以传递的。例如,若o继承G,^继承^,那么断言"O继承O"是成立的。本域互操作环境中被访问的域;外域互操作环境中请求访问本域资源的域;外域用户外域中请求访问本域资源的用户;外域用户具有两个属性,一个是域名,表明外域用户来自于哪个外域,另一个是外域角色,表明外域用户在其所属外域中担任的角色。外域用户的本域角色集合该集合中的元素表示外域用户在本域可以担任的角色,外域用户能够享有这些角色对应的权限;该角色集合由本域根据本外域访问关系确定。本域权限风险预警值由本域管理员为本域中每一权限设定一个风险值。设定本域权限的风险预警值的标准是权限中资源的重要性和访问模式对破坏资源安全性的程度。如果拥有某权限的用户的风险值大于或等于此权限的风险预警值,用户不再拥有该权限;本域风险预警级别包括两方面含义一是本域管理员设置的访问本域资源的用户所需要满足的风险条件;二是本域管理员设置的本域对于风险的敏感程度。本域风险预警级别规定了本域共享于外域的权限的风险预警值所需要满足的条件。本发明中,互操作环境包括W个域,分别记为域^,域A,...,域A。下面以域^中的用户t/访问A为例,x,;^[l,2,…,"]且;^;;,详细说明本发明。在域^中的用户t/访问A过程中,记4为本域,4为外域,"为来自外域冉的外域用户。一.构造外域与本域Jx间的访问基础环境。在外域用户访问本域前,必须搭建好本外域访问基础环境,使得跨域访问成为可能。1.建立本外域访问关系,即建立本域A与外域4之间的域间角色映射。图1给出了本外域访问关系的建立过程。(1.1)设置共享策略S尸(4)-A,表示本域A提供给外域^享用的权限,A为本域A权限集合的一个子集。(1.2)本域^接收外域冉建立互操作关系的请求。互操作请求信息是一个三元组(A,r,尸2),指明外域冉的外域角色r请求获得本域4的权限集合A,其一中A为本域权限集合的子集。(1.3)本域^读取信息(A,n尸2)。(1.4)本域4利用公密钥机制判断该信息是否为域冉发出。若不是域冉发出,则此请求为非法请求,返回外域出错信息,步骤一结束;否则,进入步骤(1.5)。(1.5)根据共享策略判断A^0是否成立。若成立,则此请求为非法请求,返回外域出错信息,结束;否则,进入步骤(1.6)。(1.6)本域^解析本域安全策略以及共享策略。在共享策略中,读取本域A共享于外域^的权限集合A。将权限集合A与权限集合S做交集操作,记该交集为权限集合G。令角色集合A为空集。根据本域安全策略中的角色-权限关系,提取权限集合G中每一个权限对应的角色,将其并入角色集合W。抽取与W中角色相关的角色层次关系,以及与/中角色相关的约束,分别记为集合iZ/和集合C。(1.7)建立本域^与外域^间的角色映射。利用已经解析的本域安全策略和共享策略,建立域间角色映射,使得外域^中担任某一个特定角色的用户可以在本域A获得合法的角色集合,以最终获得相应访问权限。本域安全策略中,约束c为集合C的元素,其语法表示为c—kA,...,;}^,其语义为同一用户不可获得本域角色集合k,…,d中/个或/个以上的角色。也就是说,不可映射k,&…,d中f个或/个以上的本域角色给同一个外域角色。因此,首先需要根据G、i和及H建立域间角色映射,然后根据i//和C过滤映射集合。算法如下接收集合G、i、i^和C;(1.7.1)根据肌,提取肌中层次最高的角色,记这荦角色的集合为S及;令角色映射集合及M为空集;(1.7.2)按照方式I,遍历集合Si中的每个角色,从而构造角色映射集合iM。方式I:选取集合Si中一个角色r',并从集合朋中删除r,若r的权限集合是G的子集,则将r'记入及M;否则,根据本域安全策略中的角色层次关系,提取iW中,的直接子角色集合DJ及,将直接子角色集合A汉并入集合67;(1.7.3)判断角色映射集合及M是否为空,若为空,返回"互操作建立失败"信息,结束;否则,进入(1.7.4);(1.7.4)定义^及(及M)二(re及'l3r'e及M:(r',r)e及i^为通过映射集合JM可以激活的角色集合;对于集合C中每一约束c=〈{n,。,",r},0,重复如下操作记J及(及M)与k,r2,…,i;)交集为77,若77的势A大于或等于"选取77中"-7个角色,记为集合C77,将AM更新为;(1.7.5)判断角色映射集合AM是否为空,若为空,返回"互操作建立失败"信息,结束;否则,进入(1.8);(1.8)本域A返回角色映射集合皿于外域冉。2.管理本域风险策略,即设置本域权限风险预警值和本域风险预警级别。本域风险策略管理为保证域间访问的安全性提供了基础,也是本发明的特点之一。权限风险预警值规定,拥有某权限的用户其风险值必须低于该权限对应的风险预警值。权限风险预警值取值范围为之间的实数。首先从本域安全策略中提取出本域A的权限信息,显示为二元组(资源,访问模式)。对于某一权限(资源,访问模式),根据资源的重要性以及访问模式造成对资源非法访问的可能性,管理员为权限关联一个风险预警值。权限的风险预警值越接近于o,则拥有该权限的用户其风险越低。设置本域风险预警级别包括(l)定义本域风险预警级别及其语义。(2)设定本域当前风险预警级别。例如,本域整体的风险级别可以分为"绿色"、"黄色"和"红色"三个级别;级别"红色"的语义表示风险预警值低于0.9的权限不可共享。管理员可以定义任意个风险预警级别,但是这些风险级别的语义必须符合一定的要求。下面说明如何定义风险预警级别集合。定义风险预警级别集合为z-m…/J,风险预警级别的语义表示为S(/,),其中/,e丄。假设满足风险预警级别语义S("的用户的集合为C/(/,),其中/,,/」eZ。风险预警级别的语义定义必须使Z存在一个全序关系,即其中,(/,W」aSZ。风险预警级别的语义定义规则为其中,2'为子区间集合。规则(gra"^/,//》表示若权限/的风险值n^:fe)满足r^(;)e/n,则权限p可共享;相反,规贝lj(&m'ed,//2)则表示若权限;的风险值^^fe)满足nWp)e/,2,则权限;?不可共享。例如,(&mW,)表示预警值低于0.9的权限不共享。管理风险预警级别需满足以下几个要求*添加新的本域风险预警级别信息时,需要判断新加入的风险预警级别及其语义是否与已有的级别信息构成全序关系,若不构成,则返回错误提示;*删除本域风险预警级别信息时,若所删除级别/,为本域当前风险预警级别,则调整本域当前预警风险级别为—其中"sL)a化W,),且使得/,/,成立;修改本域风险预警级别信息时,需要测试风险预警级别集合上的全序关系,若测试不通过,则返回错误提示。本域当前风险预警级别由管理员从集合丄=",/2,../}中选取。至此,操作基础环境已构造完毕。在此基础上,用户可以进行合法的跨域访问。二.外域用户访问本域^ic。访问流程图如图2所示步骤l.外域用户f/向本域A请求登录;步骤2.本域^接收登录请求,并接收域用户t/的属性证书。在登录本域^前,外域用户从所属外域^获得一个属性证书,属性证书含有两个信息用户域名和外域角色信息,用户域名表明外域用户t/来自于哪一个域,外域角色信息表明外域用户t/在用户域名代表的域中担任的角色;步骤3.本域^利用公密钥机制验证外域用户提交的属性证书的真伪;若证书为伪造,则拒绝用户登录请求,结束处理;否则,从属性证书中,获取用户域名和用户外域角色,进入步骤4;步骤4.本域4根据本外域访问关系、用户域名以及用户外域角色信息,构建外域用户的本域角色集合,记为i;步骤5.外域用户t/根据需求请求本域4的某一权限^;步骤6.本域4根据本域当前风险预警级别和外域用户t/风险值,对本域角色集合i进行调整;步骤7.本域4判断用户本域角色集合/中是否存在域角色,其对应权限《,。若不存在,则拒绝用户t/访问,进入步骤(11),否则,进入步骤8;步骤8.外域用户t/通过执行权限^对本域A进行访问;步骤9.本域义对外域用户C/的访问行为进行风险评价,根据评价结果计算得到外域用户f/风险值记录集合;获取外域角色r风险值记录集合和外域^风险值记录集合,准备对外域用户t/风险值进行更新;步骤10.根据外域角色r风险值记录集合和外域A风险值记录集合,更新外域角色r风险值和外域^风险值;根据外域用户f/风险值记录集合,计算外域用户t/风险评估值的平均值,将其与更新后的外域角色r风险值和外域冉风险值作比较,取最大值为外域用户t/风险值。步骤ll.本域4判断用户f/是否结束本次登录本域操作,若是,则结束;否则,转入步骤5。步骤1至步骤4完成了外域用户登录及授权过程。外域用户C/来自外域^,且具有外域角色r,本域A为外域冉中角色r建立的角色映射集合为iM,则可将iM中的本域角色集合授予外域用户(/。步骤6至步骤10为本发明的重点内容,主要完成根据风险调整外域用户在本域4的角色集合的过程以及本域A的风险调控管理。下面进一步详细说明步骤6至步骤10。步骤6依照如下方法完成对本域角色集合i的调整(6.1)本域^获取外域用户t/的本域角色集合/;(6.2)若及为空集,进入步骤(7);如果/不为空集,进入(6.3);(6.3)本域^获取本域风险预警级别及其语义定义规则,记规则集合为Q;(6.4)按照方式II遍历W中的每个本域角色;方式II:令本域角色^ei,若々满足下式,A=(c/ewzW,A)a(graced,/2)(6.5)(6.6)(6.7)6>,则将&从本域角色集合/中移除,其中,函数PS(^)返回本域角色^在本域对应的权限集合,函数n^(pj返回权限凡的风险预警值;本域^取得外域用户"风险值,记为f/^:若外域用户首次登录本域,则由于该外域用户未曾在本域实施任何行为,故而无法评判其风险值,故而使用外域用户的外域角色风险值和外域用户所属外域的风险值二者中的最大值作为外域用户风险值;若外域用户非首次登录,则该外域用户必因其历史行为而存在一个对应的风险值。若本域角色集合及为空集,进入(7);否则,进入(6.7);对于每一本域角色^ei,若3aePS(V):^^W^/0,则将本域角色V从本域角色集合及中移除。步骤7判断是否允许访问,若允许用户访问,则进入步骤8,即用户实施具体的访问,待用户完成操作以后,步骤9对用户的行为进行评估,步骤10对用户的风险值做出必要的调整;若禁止用户访问,则进入步骤ll,等待用户下一次的访问请求或者用户结束登录。步骤9主要通过本域管理员以人工方式评价用户的访问行为来实施。风险评价依靠定义一套用户行为级别及风险值偏移函数。定义用户行为级别集合f/z,表示评价用户行为时可选的级别。并定义函数r:w^/将用户行为级别集合映射到的实数集合。该函数表示了符合某个级别的用户的行为所导致的用户风险值的偏移。管理员对外域用户f/的行为进行风险评价,记录评价结果C/^^t/^+r("/),C/^为外域用户C/风险值,"/为外域用户行为级别。将由评价结果组成的集合称为用户f/风险值记录集合。例如,管理员定义w:={gooi/,"wwfl/》"(i},r(go。d)=—0.02,r(r(kO=o.i,设定外域用户的当前风险值为0.5。上述定义表示,用户的行为分为三个级别"goW、""W廳/"和"6W;若管理员将外域用户行为评级为goW,则表示用户风险值的偏移为-0.02,若评级为6^/,则表示用户风值的偏移为0.1。若某一用户连续四次的行为评级为6W,goM,6W,M山则相应需要连续记录四次外域用户的评估结果0.5+0.1=0.6、0.5-0.02=0.48、0.5+0.1=0.6、0.5+0.1=0.6;则该用户风险值记录集合为(0.6、0.48、0.6、0.6}。类似地,外域角色拥有外域角色风险值记录值集合;外域拥有外域风险值记录值集合。外域角色r风险值记录值集合是在外域中担任角色r的所有用户的风险值记录集合的并集;外域冉风险值记录值集合是属于域^的所有角色的风险值记录集合的并集。步骤10按如下方法更新外域用户的外域角色风险值、外域用户所属外域的风险值和外域用户风险值。对于外域角色n其风险值由担任该角色的所有属于外域^的用户的风险值共同决定;任一担任外域角色r的用户都可能导致r的风险值变化,r的风险值具有一定的波动性。记外域角色r的风险值为Q,以及外域角色12r风险值记录集合^,^…,^,其中^,^…,^记录了外域角色r风险值的前K个记录结果。定义外域角色r的风险值平均变化率^00为①朴叫(z'"外^当O,(AT)超出许可范围时,需要改变角色r的风险值令r风险值的第《+l个记录值为&+1,若《^(《+i),其中《为外域角色r的风险值平均变化率的阈值,则修改r的风险值,将^更新为i::》,/w+i)。而对于外域vv其风险值将由所有属于该域的外域用户的风险值共同决定;来自于外域4的任何用户均可以导致外域^的风险值变化。因此,外域^的风险值具有一定的波动性。设定其风险值为A>,以及外域jy风险值记录值集合fw-,^,其中^^,…,^记录了外域A的风险值的前J个记录。定义外域^的风险值平均变化率o^(j)为令外域^的风险值的第J+1个记录值为仏,,若M°4(J+1),其中,&为外域冉的风险值的平均变化率的阈值,则修改外域^的风险值,将4一,4更新为1:;;、/0/+1)。外域用户f/风险值的变化受两个因素影响一是用户本身的行为导致的风险值的变化;二是外域用户f/所属的外域的风险值变化或者外域用户t/所具有的外域角色风险值的变化间接导致的。设定外域用户t/当前的风险值为CZ^。设定外域用户"风险值记录值集合为^A,外域用户C7所属外域的风险值为^—^,外域用户C/所具有的外域角色的风险值为^,则外域用户的风险值更新为至此,一个基于风险的分布式访问控制方法具体实施过程结束。下面通过一个例子来说明本发明。设定将分布式环境分为j、5、C三个域构成,并设定」为本域,B为外域,C为互操作环境中的其他的域。^域管理员设定本域^的安全策略为-■本域用户集合{"7,"2}■本域角色集合{。,O乃,,r6}■本地权限集合(^,P2,/j,A(,P5,/^,/^■用户-角色关系{(";,。),("力)}■角色层次关系{(0乃),■角色國权限关系0*2,/2),03,a),Ov,Ar),Oj,刃),0"j^6),0^7)}■约束3〉,〈{rl,r5},2〉}爿域设定的共享策略为《S尸("—pl,p2,p3,;74,;75,/^SP(C)={//7}}。完成共享策略的设置之后,^域等待外域的建立互访关系的请求。假设本域^接收到外域^发出与J建立互访关系的请求CB,r,{^,",内,A,A,化P。本域^首先利用公密钥机制验证该请求是否为域5发出;若验证通过,由于Si^5^0,本域^根据共享策略和安全策略建立域间角色映射集合为h,O,W。之后,本域^将建立的角色映射集合返回于外域5,表明外域万中具有角色r的用户可以在^域拥有映射集合中的角色。设定本域^的风险策略管理员首先设置本域权限的风险预警值,然后定义本域风险预警级别及其语义。如表1所示,管理员设置^域的权限的风险预警值。<table>tableseeoriginaldocumentpage14</column></row><table>表1本域j权限的风险预警值管理员设置本域^的风险预警级别为(G7^sv、ra:zzo『、i^Z)},其语义如表2所示。<table>tableseeoriginaldocumentpage14</column></row><table>表2本域^的风险预警级别及其语义很明显,这个风险预警级别集合符合本发明方法的要求,因为存在全序关系、raXZ6W、。假设本域」的管理员指定本域^当前的风险预警级别为Gi^;五iv,表示风险预警值低于O.l的权限不共享。至此,本域^与外域B间的访问基础环境构造完成。假设,外域^中一个具有角色r的用户"请求访问本域^,那么外域B为"颁发一个属性证书,证明w是属于外域i5的用户,在外域万中具有角色r。本域^接收到外域用户"的登录请求后,从"处获得外域S为其颁发的属性证书,并通过公密钥机制验证证书真伪。若证书为伪造,则拒绝外域用户"的登录请求;否则,提取出证书中外域用户"的域名及其外域角色这两个属性值。如前文所述,本域」与外域B己经建立了互操作关系,又由于外域用户w具有外域角色r,故而外域用户W的本域角色集合r2,^}。至此,外域用户"的登录及授权过程结束。当外域用户w请求执行权限^,本域」需要根据外域用户"的当前风险值调整外域用户w的本域角色集合A。由于外域用户w首次登录,并且本域^中不存在外域S及外域角色r的风险值,故将外域用户w的风险值设置为0。因此,调整后的外域用户"的本域角色集合为iHo,o,W。调整后7中存在角色^,o的权限集合包含被请求的权限^,因此允许用户w执行权限A。假设本域^的管理员定义用户行为级别为W:—goW,"om"/,6—,函数r(goW卜-0.02,r(wO/7mz/)=0,r(6ac/)=0.1。在外域用户w完成权限/;的操作之后,管理员对外域用户"的行为进行评估,假设评估结果为^A则记录外域用户"的此次评估结果为0+0.1=0.1。假设域^定义的外域角色r的风险值的平均变化率的阈值《为0.1,则在此次评估结束之后,外域角色r的风险值变为O.l。假设外域B的风险值的平均变化率的阈值&为0.2,则此时,外域B的风险值不变,仍为0。因此,外域用户"的风险值变为O.l。假设此时外域用户"继续请求权限;^。外域用户w当前的风险值为0.1。在本域角色。的权限集合中,权限A的风险值为O.l,因此外域用户w不再拥有本域角色。,调整外域用户"的本域角色集合为/={。,r3}。调整后A中存在角色O,^的权限集合包含权限化,因此允许外域用户W的请求。假设此次外域用户"的行为评价继续为6W,则风险值的记录值为0.1+0.1=0.2。此时,外域角色r的风险值将更新为0.2,外域B的风险值更新为0.3,因此外域用户"的风险值更新为0.3。假设,此时外域用户"请求执行权限A。根据外域用户"当前的风险值0.3,将外域用户"的本域角色集合及调整为化3)。由于本域角色集合i中不存在某一本域角色,使得A属于该角色的权限集合,因此拒绝外域用户m的请求。假设本域^当前的风险预警级别变更为ZEXZO『。此时,无论外域用户"的风险值为何值,当外域用户"请求执行权限^或者p2时,请求都将遭到拒绝。因为根据风险预警级别y五/zo『的定义,所有风险预警值低于0.3的权限不共享,而j^和A的风险预警值分别为0.1和0.2,所以外域用户w调整后的本域角色集合及必为{^}的子集。权利要求1、一种基于风险的分布式访问控制方法,其特征在于,具体步骤如下步骤(1).外域用户U向本域Ax请求登录;步骤(2).本域Ax接收登录请求以及外域用户U的属性证书;步骤(3).本域Ax利用公密钥机制验证属性证书的真伪,若证书为伪造,则结束;否则,从属性证书获取用户域名和用户外域角色信息,进入步骤4;步骤(4).本域Ax根据本外域访问关系、用户域名和用户外域角色信息,构建外域用户的本域角色集合R;步骤(5).外域用户U请求本域Ax的某一权限Pm;步骤(6).本域Ax根据本域当前风险预警级别和外域用户U风险值,对本域角色集合R进行调整;步骤(7).本域Ax判断本域角色集合R中是否存在角色,其对应权限Pm,若不存在,进入步骤(11);否则,进入步骤(8);步骤(8).外域用户U通过执行权限Pm对本域Ax进行访问;步骤(9).本域Ax对外域用户U的访问行为进行风险评价,根据评价结果计算得到外域用户U风险值记录集合;构建外域角色r风险值记录集合和外域Ay风险值记录集合,准备对外域用户U风险值进行更新;步骤(10).根据外域角色r风险值记录集合和外域Ay风险值记录集合,更新外域角色r风险值和外域Ay风险值;根据外域用户U风险值记录集合,计算外域用户U风险评价值的平均值,将其与更新后的外域角色r风险值和外域Ay风险值作比较,取最大值为外域用户U风险值;步骤(11).本域Ax判断外域用户U是否结束本次登录操作,若是,则结束;否则,转入步骤(5)。全文摘要本发明提出一种基于风险的分布式访问控制方法,应用于计算机安全领域。本发明将风险引入访问控制机制中,依据自治域互访需求建立域间安全互访关系,通过监控外域用户的风险情况,动态调整用户访问行为,并做出相应的访问控制决策。本发明在保证分布式访问安全性基础上,既有一定的动态性又有较好的灵活性。文档编号H04L29/06GK101106458SQ20071005298公开日2008年1月16日申请日期2007年8月17日优先权日2007年8月17日发明者卢正鼎,卓唐,开李,李瑞轩,胡劲纬,鲁剑锋申请人:华中科技大学