专利名称:一种跨域动态细粒度访问控制方法
技术领域:
本发明涉及一种计算机信息安全领域的访问控制方法,特别涉及一种跨域动态细
粒度访问控制方法。
背景技术:
目前,随着全国各个系统、产业信息化工作的开展,各个网络应用系统逐渐需要互 联互通,来发挥信息化更大的效能。与之对应,各个网络应用系统相互之间属于不同的信任 域,但又需要有信息共享与业务协作的情况,这样的情况已出现在某些电子政务,电子商务 领域。 而要在不同的网络之间相互访问,访问的安全性、可控性就成为新出现的问题。
为了解决上述问题,特别需要一种跨域动态细粒度访问控制方法,实现不同信任 域之间的各个网络应用系统的安全可控的访问。
发明内容
本发明的目的在于提供一种跨域动态细粒度访问控制方法,通过对用户的角色、 用户的标示和资源的标示三重访问控制,实现不同信任域之间的各个网络应用系统的安全 可控的访问。 本发明所解决的技术问题可以采用以下技术方案来实现 —种跨域动态细粒度访问控制方法,其特征在于,它包括如下步骤 (1)请求域中的用户在本请求域中被标识,对用户在本请求域中的标识具有唯一
性; (2)资源域中的资源在本资源域中被标识,对用户在本资源域中的标识具有唯一 性; (3)请求域中的用户被归属于本请求域中的一个角色,该角色通过请求域代理和
资源域代理进行沟通,确认该请求域角色有权映射资源域中的一个角色; (4)被请求域中的角色映射的资源域中的角色有访问资源域资源的权限; (5)请求域中的角色取得被映射的资源域中角色访问资源域资源的权限; (6)跨域访问控制策略允许请求域的用户跨域访问; (7)跨域访问控制策略允许资源域的资源被外域访问; (8)请求域的用户完成对资源域的资源的访问。 在本发明的一个实施例中,请求域中用户的约束条件为 (1)若请求域用户U(A),则域条件U(A)属于请求域为TRUE,否则为FALSE; (2)若请求域用户U(A)被标示为U(A) (a),此标示具有唯一性; (3)若请求域角色Role(A),则角色条件Role(A)属于请求域为TRUE,否则为
FALSE ; (4)若用户U(A)属于角色Role(A),则用户U(A)取得角色Role(A)的权限为TRUE,
4否则为FALSE。 在本发明的一个实施例中,资源域中资源的约束条件为 (1)若资源域资源Z (B),则域条件Z (B)属于资源域为TRUE,否则为FALSE ; (2)若资源域资源Z (B)被标示为Z (B) (b),此标示具有唯一性; (3)资源域角色Role (B),则角色条件Role (A)属于资源域为TRUE,否则为FALSE ; (4)资源域角色Role(B)被资源域授权访问资源Z(B),则资源Z(B)属于角色
Role(B)为TRUE,否则为FALSE。 在本发明的一个实施例中,启动请求域代AgentA,根据本请求域的安全策略与资 源域代AgentB协商确定请求域与资源域的角色映射。请求域用户U(A)欲访问资源域资源 Z(B),通过以下授权步骤实现请求域用户U(A)的角色Role(A)对资源域角色Role (B)的映 射授权 (1)请求域代理AgentA执行若请求域用户U(A),则域条件U(A)属于请求域,若为 TRUE,则继续;否则,中止授权; (2)请求域代AgentA执行若请求域角色Role (A),则角色条件Role (A)属于请求 域,若为TRUE,则继续;否则,中止授权; (3)资源域代理AgentB执行资源域角色Role(B),则角色条件Role(A)属于资源 域,若为TRUE,则继续;否则,中止授权; (4)资源域代理AgentB执行资源域角色Role (B)被资源域授权访问资源Z (B),则 资源Z (B)属于角色Role (B),若为TRUE,则继续;否则,中止授权; (5)资源域代理AgentB同意请求域代理AgentA的请求,请求域角色Role (A)映射 资源域角色Role(B),若为TRUE,则继续;否则,中止授权; (6)请求域角色Role(A)取得资源域角色Role (B)在资源域的访问权限。
在本发明的一个实施例中,启动访问控制策略,请求域用户U(A)欲访问资源域资 源Z(B),通过以下授权步骤实现请求域用户U(A)对资源域资源Z(B)的授权访问,步骤如 下 (1)访问控制策略执行请求域角色Role (A)取得资源域角色Role(B)在资源域的 访问权限,若为TRUE,则继续;否则,中止授权; (2)访问控制策略执行若请求域用户U (A)被标示为U (A) (a),此标示具有唯一性, 若为TRUE,则继续;否则,中止授权; (3)访问控制策略执行若用户U(A)属于角色Role(A),则用户U(A)取得角色 Role (A)的权限,若为TRUE,则继续;否则,中止授权; (4)访问控制策略中的控制条件kl, U (A) (a)被访问控制策略授权访问资源域;
(5)访问控制策略执行控制条件kl,若为TRUE,则继续;否则,中止授权;
(6)访问控制策略执行若资源域资源Z(B),则域条件Z(B)属于资源域,若为TRUE, 则继续;否则,中止授权; (7)访问控制策略执行资源域资源Z (B)被标示为Z (B) (b),此标示具有唯一性,若 为TRUE,则继续;否则,中止授权; (8)访问控制策略中的控制条件k2, Z (B) (b)被访问控制策略授权被请求域访问;
(9)访问控制策略执行控制条件k2,若为TRUE,则继续;否则,中止授权;
(10)U(A) (a)取得对Z (B) (b)的访问权限; 上述中的访问控制条件kl, k2,是根据访问的用户,及用户访问的资源,事先制订 的条件。 本发明的跨域动态细粒度访问控制方法,针对用户的角色、用户的标示和资源的 标示进行安全可控的跨域访问控制,将用户、资源进行标示,通过对用户的角色、用户的标 示和资源的标示三重访问控制,实现逻辑隔离的不同信任域之间的相互访问,实现可控的 安全访问,极大推动不同信任域的网络的互联互通,更安全,更可控,实现本发明的目的。
本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了 解。
图1为本发明的跨域动态细粒度访问控制方法的原理示意图。
具体实施例方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结
合具体图示,进一步阐述本发明。
实施例 本发明的跨域动态细粒度访问控制方法,用于不同信任域的安全可控访问,不同 域中的用户要实现跨域访问需在跨域访问控制策略下满足三个条件 1、请求域的用户属于请求域的一个角色,该角色有权映射到资源域中一个有权访 问资源的角色; 2、跨域访问控制策略允许请求域中的用户跨域访问;
3、跨域访问控制策略允许资源域中的资源被外域访问。 如图1所示,请求域用户访问资源域资源的具体实现过程,它包括如下步骤
(1)请求域中的用户在本请求域中被标识,对用户在本请求域中的标识具有唯一 性; (2)资源域中的资源在本资源域中被标识,对用户在本资源域中的标识具有唯一 性; (3)请求域中的用户被归属于本请求域中的一个角色,该角色通过请求域代理和
资源域代理进行沟通,确认该请求域角色有权映射资源域中的一个角色; (4)被请求域中的角色映射的资源域中的角色有访问资源域资源的权限; (5)请求域中的角色取得被映射的资源域中角色访问资源域资源的权限; (6)跨域访问控制策略允许请求域的用户跨域访问; (7)跨域访问控制策略允许资源域的资源被外域访问; (8)请求域的用户完成对资源域的资源的访问。
域内授权 在本发明中,请求域中用户U(A)的约束条件为 (1)若请求域用户U(A),则域条件U(A)属于请求域为TRUE,否则为FALSE;
(2)若请求域用户U (A)被标示为U (A) (a),此标示具有唯一性;
(3)若请求域角色Role(A),则角色条件Role(A)属于请求域为TRUE,否则为 FALSE ; (4)若用户U(A)属于角色Role(A),则用户U(A)取得角色Role(A)的权限为TRUE, 否则为FALSE。 资源域中资源的约束条件为 (1)若资源域资源Z (B),则域条件Z (B)属于资源域为TRUE,否则为FALSE ; (2)若资源域资源Z(B)被标示为Z(B) (b),此标示具有唯一性; (3)资源域角色Role (B),则角色条件Role (A)属于资源域为TRUE,否则为FALSE ; (4)资源域角色Role(B)被资源域授权访问资源Z(B),则资源Z(B)属于角色
Role(B)为TRUE,否则为FALSE。 跨域代理角色映射授权 在本发明中,启动请求域代理AgentA,根据本请求域的安全策略与资源域代理 AgentB协商确定请求域与资源域的角色映射。请求域用户U(A)欲访问资源域资源Z(B), 通过以下授权步骤实现请求域用户U(A)的角色Role(A)对资源域角色Role(B)的映射授 权 (1)请求域代理AgentA执行若请求域用户U(A),则域条件U(A)属于请求域,若为 TRUE,则继续;否则,中止授权; (2)请求域代理AgentA执行若请求域角色Role (A),则角色条件Role (A)属于请 求域,若为TRUE,则继续;否则,中止授权; (3)资源域代理AgentB执行资源域角色Role(B),则角色条件Role(A)属于资源 域,若为TRUE,则继续;否则,中止授权; (4)资源域代理AgentB执行资源域角色Role (B)被资源域授权访问资源Z (B),则 资源Z(B)属于角色Role(B),若为TRUE,则继续;否则,中止授权; (5)资源域代理AgentB同意请求域代理AgentA的请求,请求域角色Role (A)映射 资源域角色Role(B),若为TRUE,则继续;否则,中止授权; (6)请求域角色Role(A)取得资源域角色Role (B)在资源域的访问权限。
用户级和资源级动态细粒度访问控制 在本发明中,启动访问控制策略,请求域用户U(A)欲访问资源域资源Z(B),通过 以下授权步骤实现请求域用户U(A)对资源域资源Z(B)的授权访问,步骤如下
(1)访问控制策略执行请求域角色Role (A)取得资源域角色Role(B)在资源域的 访问权限,若为TRUE,则继续;否则,中止授权; (2)访问控制策略执行若请求域用户U (A)被标示为U (A) (a),此标示具有唯一性, 若为TRUE,则继续;否则,中止授权; (3)访问控制策略执行若用户U(A)属于角色Role(A),则用户U(A)取得角色 Role (A)的权限,若为TRUE,则继续;否则,中止授权; (4)访问控制策略中的控制条件kl, U (A) (a)被访问控制策略授权访问资源域;
(5)访问控制策略执行控制条件kl,若为TRUE,则继续;否则,中止授权;
(6)访问控制策略执行若资源域资源Z(B),则域条件Z(B)属于资源域,若为TRUE, 则继续;否则,中止授权;
7
(7)访问控制策略执行资源域资源Z (B)被标示为Z (B) (b),此标示具有唯一性,若 为TRUE,则继续;否则,中止授权; (8)访问控制策略中的控制条件k2, Z (B) (b)被访问控制策略授权被请求域访问;
(9)访问控制策略执行控制条件k2,若为TRUE,则继续;否则,中止授权;
(10)U(A) (a)取得对Z (B) (b)的访问权限; 上述中的访问控制条件kl, k2,是根据访问的用户,及用户访问的资源,事先制订 的条件。 访问控制 根据域内授权、跨域代理角色映射授权、用户级和资源级动态细粒度访问控制的 访问决策应答,决定是否响应请求域中用户U(A)的访问,若返回的应答为True,响应请求 域中用户U(A)的请求,否则拒绝。 以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术 人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本 发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变 化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其 等效物界定。
8
权利要求
一种跨域动态细粒度访问控制方法,其特征在于,它包括如下步骤(1)请求域中的用户在本请求域中被标识,对用户在本请求域中的标识具有唯一性;(2)资源域中的资源在本资源域中被标识,对用户在本资源域中的标识具有唯一性;(3)请求域中的用户被归属于本请求域中的一个角色,该角色通过请求域代理和资源域代理进行沟通,确认该请求域角色有权映射资源域中的一个角色;(4)被请求域中的角色映射的资源域中的角色有访问资源域资源的权限;(5)请求域中的角色取得被映射的资源域中角色访问资源域资源的权限;(6)跨域访问控制策略允许请求域的用户跨域访问;(7)跨域访问控制策略允许资源域的资源被外域访问;(8)请求域的用户完成对资源域的资源的访问。
2. 如权利要求1所述的跨域动态细粒度访问控制方法,其特征在于,请求域中用户的约束条件为(1) 若请求域用户U(A),则域条件U(A)属于请求域为TRUE,否则为FALSE;(2) 若请求域用户U(A)被标示为U(A) (a),此标示具有唯一性;(3) 若请求域角色Role (A),则角色条件Role (A)属于请求域为TRUE,否则为FALSE ;(4) 若用户U(A)属于角色Role(A),则用户U(A)取得角色Role(A)的权限为TRUE,否则为FALSE 。
3. 如权利要求1所述的跨域动态细粒度访问控制方法,其特征在于,资源域中资源的约束条件为(1) 若资源域资源Z (B),则域条件Z (B)属于资源域为TRUE,否则为FALSE ;(2) 若资源域资源Z(B)被标示为Z(B) (b),此标示具有唯一性;(3) 资源域角色Role (B),则角色条件Role (A)属于资源域为TRUE,否则为FALSE ;(4) 资源域角色Role(B)被资源域授权访问资源Z(B),则资源Z(B)属于角色Role(B)为TRUE,否则为FALSE。
4. 如权利要求1所述的跨域动态细粒度访问控制方法,其特征在于,启动请求域代理AgentA,根据本请求域的安全策略与资源域代理AgentB协商确定请求域与资源域的角色映射。请求域用户U(A)欲访问资源域资源Z(B),通过以下授权步骤实现请求域用户U(A)的角色Role (A)对资源域角色Role (B)的映射授权(1) 请求域代理AgentA执行若请求域用户U(A),则域条件U(A)属于请求域,若为TRUE,则继续;否则,中止授权;(2) 请求域代理AgentA执行若请求域角色Role(A),则角色条件Role(A)属于请求域,若为TRUE,则继续;否则,中止授权;(3) 资源域代理AgentB执行资源域角色Role (B),则角色条件Role (A)属于资源域,若为TRUE,则继续;否则,中止授权;(4) 资源域代理AgentB执行资源域角色Role (B)被资源域授权访问资源Z (B),则资源Z (B)属于角色Role (B),若为TRUE,则继续;否则,中止授权;(5) 资源域代理AgentB同意请求域代理AgentA的请求,请求域角色Role (A)映射资源域角色Role(B),若为TRUE,则继续;否则,中止授权;(6) 请求域角色Role(A)取得资源域角色Role(B)在资源域的访问权限。
5.如权利要求1所述的跨域动态细粒度访问控制方法,其特征在于,启动访问控制策略,请求域用户U(A)欲访问资源域资源Z(B),通过以下授权步骤实现请求域用户U(A)对资源域资源Z (B)的授权访问,步骤如下(1) 访问控制策略执行请求域角色Role(A)取得资源域角色Role(B)在资源域的访问权限,若为TRUE,则继续;否则,中止授权;(2) 访问控制策略执行若请求域用户U(A)被标示为U(A) (a),此标示具有唯一性,若为TRUE,则继续;否则,中止授权;(3) 访问控制策略执行若用户U(A)属于角色Role(A),则用户U(A)取得角色Role(A)的权限,若为TRUE,则继续;否则,中止授权;(4) 访问控制策略中的控制条件kl, U(A) (a)被访问控制策略授权访问资源域;(5) 访问控制策略执行控制条件kl,若为TRUE,则继续;否则,中止授权;(6) 访问控制策略执行若资源域资源Z(B),则域条件Z(B)属于资源域,若为TRUE,则继续;否则,中止授权;(7) 访问控制策略执行资源域资源Z(B)被标示为Z(B) (b),此标示具有唯一性,若为TRUE,则继续;否则,中止授权;(8) 访问控制策略中的控制条件k2,Z(B) (b)被访问控制策略授权被请求域访问;(9) 访问控制策略执行控制条件k2,若为TRUE,则继续;否则,中止授权;(10) U (A) (a)取得对Z(B) (b)的访问权限;上述中的访问控制条件kl, k2,是根据访问的用户,及用户访问的资源,事先制订的条件。
全文摘要
本发明的目的在于公开一种跨域动态细粒度访问控制方法,针对用户的角色、用户的标示和资源的标示进行安全可控的跨域访问控制,将用户、资源进行标示,通过对用户的角色、用户的标示和资源的标示三重访问控制,实现逻辑隔离的不同信任域之间的相互访问,实现可控的安全访问,极大推动不同信任域的网络的互联互通,更安全,更可控,实现本发明的目的。
文档编号H04L9/32GK101764692SQ20091024785
公开日2010年6月30日 申请日期2009年12月31日 优先权日2009年12月31日
发明者万爱霞, 刘欣, 周家晶, 杭强伟, 沈寒辉, 王福, 邹翔, 金波, 陈兵 申请人:公安部第三研究所