专利名称:一种双授权跨域访问控制方法
技术领域:
本发明涉及一种访问控制方法,特别涉及一种使用在计算机信息安全领域的双授 权跨域访问控制方法。
背景技术:
目前随着全国各个系统、产业信息化工作的开展,各个网络应用系统逐渐需要通 过互联互通来发挥信息化更大的效能。与之相对应的,相互之间属于不同信任域,又要有信息共享与业务协作的情况,已 出现在某些电子政务,电子商务领域。而要在不同网络之间相互访问,访问的安全性、可控性就成为新出现的问题。因此,针对现有技术的缺陷,特别需要一种双授权跨域访问控制方法,以解决以上 提到的问题。
发明内容
本发明的目的在于提供一种双授权跨域访问控制方法,针对现有技术存在的上述 不足,针对用户分别由访问域和资源域单独进行信任度计算和跨域行为计算,根据结果,依 据最小授权原则和时间规范原则进行联合跨域访问控制,实现不同信任域之间的安全可控 的访问。本发明所解决的技术问题可以采用以下技术方案来实现一种双授权跨域访问控制方法,其特征在于,它包括如下步骤(1)访问域的用户经过访问域信任度和跨域行为的计算后,被访问域跨域访问控 制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色;(2)访问域的用户经过访问域信任度和跨域行为的计算后,访问域跨域访问控制 授权系统授予该角色完成本次行为的最长时间规范;(3)访问域跨域访问控制授权系统允许本域的用户跨域访问;(4)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授 权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资 源域的一个角色;(5)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授 权系统授予对应的角色完成本次行为的最长时间规范;(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问;(7)访问域的用户完成对资源域的资源的访问。在本发明的一个实施例中,所述最小授权是指本域的跨域访问控制授权系统授予 用户完成跨域访问所需的权限对应的最小角色。在本发明的一个实施例中,所述最长时间规范是指本域的跨域访问控制授权系统 对完成本次跨域访问行为的用户对应的最小角色一个最长时间生命期,当生命期到期后,用户和最小角色的对应关系自动终止。在本发明的一个实施例中,访问域的用户U(A)的约束条件包括(1)约束条件Al 若访问域用户U(A),则域条件U(A)属于访问域为TRUE,否则为 FALSE ;(2)约束条件A2 若访问域用户U(A)访问资源域,则访问域用户U㈧通过访问域 的信任度和行为的计算为TRUE,否则为FALSE ;(3)约束条件A3 若约束条件A2为TRUE,则访问域的跨域访问控制授权系统授予 角色Role (A)为TRUE,否则为FALSE ;(4)约束条件A4 若Role(A)为访问域中完成本次行为的最小角色为TRUE,否则 为 FALSE ;(5)约束条件A5 若约束条件A4为TRUE,则通过访问域的信任度和行为的计算 后,给与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE ;(6)约束条件A6 通过访问域的跨域访问控制授权系统的策略执行点向资源域的 跨域访问控制授权系统策略执行点发出访问请求为TRUE,否则为FALSE。在本发明的一个实施例中,跨域访问角色的映射授权的约束条件包括(1)约束条件BI 资源域的跨域访问控制授权系统策略执行点接受访问域的跨域 访问控制授权系统的策略执行点发出的访问请求为TRUE,否则为FALSE ;(2)约束条件B2 通过资源域的信任度和行为的计算后,资源域的跨域访问控 制授权系统设定本域的一个角色Role(B)为完成本次行为的最小角色为TRUE,否则为 FALSE ;(3)约束条件B3 通过资源域的信任度和行为的计算后,给与该角色一个完成本 次访问的最长时间规范为TRUE,否则为FALSE ;(4)约束条件B4 通过资源域的策略执行点完成Role (A)和Role⑶的映射授权 为TRUE,否则为FALSE。在本发明的一个实施例中,访问域用户U(A)欲访问资源域资源Z(B),通过以下步 骤实现U (A)对资源域资源Z (B)的授权访问(1)访问域的跨域访问控制授权系统执行约束条件Al,若为TRUE,则继续;否则, 中止授权;(2)访问域的跨域访问控制授权系统执行约束条件A2,若为TRUE,则继续;否则, 中止授权;(3)访问域的跨域访问控制授权系统执行约束条件A4,若为TRUE,则继续;否则, 中止授权;(4)访问域的跨域访问控制授权系统执行约束条件A5,若为TRUE,则继续;否则, 中止授权;(5)访问域的跨域访问控制授权系统执行约束条件A6,若为TRUE,则继续;否则, 中止授权;(6)资源域的跨域访问控制授权系统执行约束条件Bi,若为TRUE,则继续;否则, 中止授权;(7)资源域的跨域访问控制授权系统执行约束条件B2,若为TRUE,则继续;否则,中止授权;(8)资源域的跨域访问控制授权系统执行约束条件B3,若为TRUE,则继续;否则, 中止授权;(9)资源域的跨域访问控制授权系统执行约束条件B4,若为TRUE,则继续;否则, 中止授权;(10)访问域用户U(A)取得本次对资源域资源的访问权限。 本发明的双授权跨域访问控制方法,针对用户分别由访问域和资源域进行信任度 计算和跨域行为计算,根据结果,分别由访问域和资源域单独依据最小角色原则和最大时 间规范进行联合跨域访问控制,实现逻辑隔离的不同信任域之间的相互访问,解决信任问 题,实现可控的安全访问,将极大推动不同信任域的网络的互联互通,更安全,更可控,实现 本发明的目的。本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了解。
图1为本发明的双授权跨域访问控制方法的原理示意图。
具体实施例方式为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结 合具体图示,进一步阐述本发明。如图1所示,本发明的双授权跨域访问控制方法,它包括如下步骤(1)访问域的用户经过访问域信任度和跨域行为的计算后,被访问域跨域访问控 制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色;(2)访问域的用户经过访问域信任度和跨域行为的计算后,访问域跨域访问控制 授权系统授予该角色完成本次行为的最长时间规范;(3)访问域跨域访问控制授权系统允许本域的用户跨域访问;(4)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授 权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资 源域的一个角色;(5)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授 权系统授予对应的角色完成本次行为的最长时间规范;(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问;(7)访问域的用户完成对资源域的资源的访问。在本发明中,所述最小授权是指本域的跨域访问控制授权系统授予用户完成跨域 访问所需的权限对应的最小角色。在本发明中,所述最长时间规范是指本域的跨域访问控制授权系统对完成本次跨 域访问行为的用户对应的最小角色一个最长时间生命期,当生命期到期后,用户和最小角 色的对应关系自动终止。访问域用户访问资源域资源的具体实现过程如下
1、跨域访问的域内授权访问域用户U(A)的约束条件包括(1)约束条件Al 若访问域用户U(A),则域条件U(A)属于访问域为TRUE,否则为 FALSE ;(2)约束条件A2 若访问域用户U(A)访问资源域,则访问域用户U㈧通过访问域 的信任度和行为的计算为TRUE,否则为FALSE ;(3)约束条件A3 若约束条件A2为TRUE,则访问域的跨域访问控制授权系统授予 角色Role (A)为TRUE,否则为FALSE ;(4)约束条件A4 若Role(A)为访问域中完成本次行为的最小角色为TRUE,否则 为 FALSE ;(5)约束条件A5 若约束条件A4为TRUE,则通过访问域的信任度和行为的计算 后,给与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE ;(6)约束条件A6 通过访问域的跨域访问控制授权系统的策略执行点向资源域的 跨域访问控制授权系统策略执行点发出访问请求为TRUE,否则为FALSE。2、跨域访问角色的映射授权的约束条件包括(1)约束条件Bl 资源域的跨域访问控制授权系统策略执行点接受访问域的跨域 访问控制授权系统的策略执行点发出的访问请求为TRUE,否则为FALSE ;(2)约束条件B2 通过资源域的信任度和行为的计算后,资源域的跨域访问控 制授权系统设定本域的一个角色Role(B)为完成本次行为的最小角色为TRUE,否则为 FALSE ;(3)约束条件B3 通过资源域的信任度和行为的计算后,给与该角色一个完成本 次访问的最长时间规范为TRUE,否则为FALSE ;(4)约束条件B4 通过资源域的策略执行点完成Role (A)和Role⑶的映射授权 为TRUE,否则为FALSE。3、跨域访问控制访问域用户U(A)欲访问资源域资源Z(B),通过以下步骤实现U(A)对资源域资源 Z(B)的授权访问(1)访问域的跨域访问控制授权系统执行约束条件Al,若为TRUE,则继续;否则, 中止授权;(2)访问域的跨域访问控制授权系统执行约束条件A2,若为TRUE,则继续;否则, 中止授权;(3)访问域的跨域访问控制授权系统执行约束条件A4,若为TRUE,则继续;否则, 中止授权;(4)访问域的跨域访问控制授权系统执行约束条件A5,若为TRUE,则继续;否则, 中止授权;(5)访问域的跨域访问控制授权系统执行约束条件A6,若为TRUE,则继续;否则, 中止授权;(6)资源域的跨域访问控制授权系统执行约束条件Bi,若为TRUE,则继续;否则, 中止授权;
(7)资源域的跨域访问控制授权系统执行约束条件B2,若为TRUE,则继续;否则, 中止授权;(8)资源域的跨域访问控制授权系统执行约束条件B3,若为TRUE,则继续;否则, 中止授权;(9)资源域的跨域访问控制授权系统执行约束条件B4,若为TRUE,则继续;否则, 中止授权;(10)访问域用户U(A)取得本次对资源域资源的访问权限。4、访问控制访问域的跨域访问控制授权系统和资源域的跨域访问控制授权系统根据上述1、 2、3访问决策应答,决定是否响应用户U的访问,若返回的应答为True,响应用户U的请求, 否则拒绝。访问域的跨域访问控制授权系统执行本域内时间最大规范,若为TRUE,则继续; 否则,中止用户的跨域访问。资源域的跨域访问控制授权系统执行本域内时间最大规范,若为TRUE,则继续; 否则,中止用户的跨域访问。以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术 人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本 发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变 化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其 等效物界定。
8
权利要求
一种双授权跨域访问控制方法,其特征在于,它包括如下步骤(1)访问域的用户经过访问域信任度和跨域行为的计算后,被访问域跨域访问控制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色;(2)访问域的用户经过访问域信任度和跨域行为的计算后,访问域跨域访问控制授权系统授予该角色完成本次行为的最长时间规范;(3)访问域跨域访问控制授权系统允许本域的用户跨域访问;(4)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资源域的一个角色;(5)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授权系统授予对应的角色完成本次行为的最长时间规范;(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问;(7)访问域的用户完成对资源域的资源的访问。
2.如权利要求1所述的双授权跨域访问控制方法,其特征在于,所述最小授权是指本 域的跨域访问控制授权系统授予用户完成跨域访问所需的权限对应的最小角色。
3.如权利要求1所述的双授权跨域访问控制方法,其特征在于,所述最长时间规范是 指本域的跨域访问控制授权系统对完成本次跨域访问行为的用户对应的最小角色一个最 长时间生命期,当生命期到期后,用户和最小角色的对应关系自动终止。
4.如权利要求1所述的双授权跨域访问控制方法,其特征在于,访问域的用户U(A)的 约束条件包括(1)约束条件Al若访问域用户U(A),则域条件U㈧属于访问域为TRUE,否则为 FALSE ;(2)约束条件A2若访问域用户U(A)访问资源域,则访问域用户U(A)通过访问域的信 任度和行为的计算为TRUE,否则为FALSE ;(3)约束条件A3若约束条件A2为TRUE,则访问域的跨域访问控制授权系统授予角色 Role (A)为 TRUE,否则为 FALSE ;(4)约束条件A4=SRoleOV)为访问域中完成本次行为的最小角色为TRUE,否则为 FALSE ;(5)约束条件A5若约束条件A4为TRUE,则通过访问域的信任度和行为的计算后,给 与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE ;(6)约束条件A6通过访问域的跨域访问控制授权系统的策略执行点向资源域的跨域 访问控制授权系统策略执行点发出访问请求为TRUE,否则为FALSE。
5.如权利要求1所述的双授权跨域访问控制方法,其特征在于,跨域访问角色的映射 授权的约束条件包括(1)约束条件Bl资源域的跨域访问控制授权系统策略执行点接受访问域的跨域访问 控制授权系统的策略执行点发出的访问请求为TRUE,否则为FALSE ;(2)约束条件B2通过资源域的信任度和行为的计算后,资源域的跨域访问控制授权 系统设定本域的一个角色Role(B)为完成本次行为的最小角色为TRUE,否则为FALSE ;(3)约束条件B3通过资源域的信任度和行为的计算后,给与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE ;(4)约束条件B4:通过资源域的策略执行点完成Role(A)和Role (B)的映射授权为 TRUE,否则为 FALSE。
6.如权利要求1所述的双授权跨域访问控制方法,其特征在于,访问域用户U(A)欲访 问资源域资源Z(B),通过以下步骤实现U(A)对资源域资源Z(B)的授权访问(1)访问域的跨域访问控制授权系统执行约束条件Al,若为TRUE,则继续;否则,中止 授权;(2)访问域的跨域访问控制授权系统执行约束条件A2,若为TRUE,则继续;否则,中止 授权;(3)访问域的跨域访问控制授权系统执行约束条件A4,若为TRUE,则继续;否则,中止 授权;(4)访问域的跨域访问控制授权系统执行约束条件A5,若为TRUE,则继续;否则,中止 授权;(5)访问域的跨域访问控制授权系统执行约束条件A6,若为TRUE,则继续;否则,中止 授权;(6)资源域的跨域访问控制授权系统执行约束条件Bi,若为TRUE,则继续;否则,中止 授权;(7)资源域的跨域访问控制授权系统执行约束条件B2,若为TRUE,则继续;否则,中止 授权;(8)资源域的跨域访问控制授权系统执行约束条件B3,若为TRUE,则继续;否则,中止 授权;(9)资源域的跨域访问控制授权系统执行约束条件B4,若为TRUE,则继续;否则,中止 授权;(10)访问域用户U(A)取得本次对资源域资源的访问权限。
全文摘要
本发明的目的在于公开一种双授权跨域访问控制方法,针对用户分别由访问域和资源域进行信任度计算和跨域行为计算,根据结果,分别由访问域和资源域单独依据最小角色原则和最大时间规范进行联合跨域访问控制,实现逻辑隔离的不同信任域之间的相互访问,解决信任问题,实现可控的安全访问,将极大推动不同信任域的网络的互联互通,更安全,更可控,实现本发明的目的。
文档编号H04L29/06GK101951372SQ20101028599
公开日2011年1月19日 申请日期2010年9月17日 优先权日2010年9月17日
发明者刘欣, 沈寒辉, 王佳, 王兴, 王福, 邹翔 申请人:公安部第三研究所