访问控制方法和系统的制作方法

访问控制方法和系统的制作方法
【专利摘要】本发明公开了一种访问控制方法和系统，所述访问控制方法包括：请求访问目标对象；判断请求对象与所述目标对象是否处于同一安全域；若所述请求对象与所述目标对象处于同一安全域，根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限；根据所述第一权限访问所述目标对象；若所述请求对象与所述目标对象处于不同安全域，根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限；根据所述第二权限访问所述目标对象。本发明提供的技术方案基于角色映射控制对象的跨域访问权限，在独立自治的安全域之间通过角色映射建立起合同性质的访问授权关系，既提高了访问控制的安全性和公平性，又提高了访问控制的灵活性。
【专利说明】
访问控制方法和系统
技术领域
[0001 ]本发明设及通信技术领域，尤其设及一种访问控制方法和系统。
【背景技术】
[0002] 化va智能卡作为一种广泛应用的智能卡，满足了用户对于一卡多用的需要，节省 了发行方的市场部署时间，延长了智能卡的使用周期。目前Java智能卡已经成为移动终端 最主要的SIM卡品种。当多个应用存在于同一化va智能卡之中时Java智能卡需要提供一种 面向对象的访问机制，一方面保证了卡内不同应用提供方开发的应用相互隔离互不干扰， 另一方面也为多个合作方的应用在卡内进行数据交换提供技术支持。
[0003] 现有技术采用应用防火墙机制实现应用的隔离和共享。然而，运种应用防火墙机 制存在如下漏桐:首先，请求对象认为目标对象是绝对信任的，只要目标对象同意，请求对 象可W毫无戒备地访问目标对象提供的服务。在运种情况上，请求对象可能遭受到目标对 象的恶意服务，存在数据泄漏或者遭到攻击等安全隐患。其次，现有技术使用的分级对象共 享机制使得卡内应用信息只可W从等级低的对象流向等级高的对象。由于卡内应用的业务 类型往往存在较大差异，现有技术将所有对象按照同样的参考体系进行访问权限的分级， 使得访问控制缺乏合理性和公平性。

【发明内容】

[0004] 为解决上述问题，本发明提供一种访问控制方法和系统，至少部分解决现有的访 问控制存在安全漏桐，W及缺乏合理性和公平性的问题。
[000引为此，本发明提供一种访问控制方法，包括：
[0006] 请求访问目标对象；
[0007] 判断请求对象与所述目标对象是否处于同一安全域；
[000引若所述请求对象与所述目标对象处于同一安全域，根据预设的第一映射模型将所 述请求对象映射至所述目标对象的第一权限；
[0009] 根据所述第一权限访问所述目标对象；
[0010] 若所述请求对象与所述目标对象处于不同安全域，根据预设的第二映射模型将所 述请求对象映射至所述目标对象的第二权限；
[0011] 根据所述第二权限访问所述目标对象。
[0012] 可选的，所述安全域包括至少一个对象，所述对象具有至少一个角色，所述角色具 有对应的权限。
[0013] 可选的，所述若所述请求对象与所述目标对象处于同一安全域，根据预设的第一 映射模型将所述请求对象映射至所述目标对象的第一权限的步骤包括：
[0014] 将所述请求对象的角色映射至所述目标对象的角色；
[0015] 获取所述目标对象的角色对应的第一权限。
[0016] 可选的，所述若所述请求对象与所述目标对象处于不同安全域，根据预设的第二 映射模型将所述请求对象映射至所述目标对象的第二权限的步骤包括：
[0017] 将所述请求对象的角色映射至所述目标对象的角色；
[0018] 获取所述目标对象的角色对应的第二权限；
[0019] 将所述第二权限发送至所述请求对象。
[0020] 可选的，所述将所述请求对象的角色映射至所述目标对象的角色的步骤包括：
[0021] 将第一安全域内的第一角色转换为第二安全域内的第二角色，所述请求对象属于 所述第一安全域，所述目标对象属于所述第二安全域，所述第一角色为所述请求对象在所 述第一安全域内的角色，所述第二角色为所述目标对象在所述第二安全域内的角色。
[0022] 本发明还提供一种访问控制系统，包括：
[0023] 第一请求单元，用于请求访问目标对象；
[0024] 第一判断单元，用于判断请求对象与所述目标对象是否处于同一安全域；
[0025] 第一映射单元，用于若所述请求对象与所述目标对象处于同一安全域，根据预设 的第一映射模型将所述请求对象映射至所述目标对象的第一权限；
[0026] 第一访问单元，用于根据所述第一权限访问所述目标对象；
[0027] 第二映射单元，用于若所述请求对象与所述目标对象处于不同安全域，根据预设 的第二映射模型将所述请求对象映射至所述目标对象的第二权限；
[0028] 第二访问单元，用于根据所述第二权限访问所述目标对象。
[0029] 可选的，所述安全域包括至少一个对象，所述对象具有至少一个角色，所述角色具 有对应的权限。
[0030] 可选的，所述第一映射单元包括：
[0031] 第一映射模块，用于将所述请求对象的角色映射至所述目标对象的角色；
[0032] 第一获取模块，用于获取所述目标对象的角色对应的第一权限。
[0033] 可选的，所述第二映射单元包括：
[0034] 第二映射模块，用于将所述请求对象的角色映射至所述目标对象的角色；
[0035] 第二获取模块，用于获取所述目标对象的角色对应的第二权限；
[0036] 第一发送模块，用于将所述第二权限发送至所述请求对象。
[0037] 可选的，所述第二映射模块包括：
[0038] 第一转换子模块，用于将第一安全域内的第一角色转换为第二安全域内的第二角 色，所述请求对象属于所述第一安全域，所述目标对象属于所述第二安全域，所述第一角色 为所述请求对象在所述第一安全域内的角色，所述第二角色为所述目标对象在所述第二安 全域内的角色。
[0039] 本发明具有下述有益效果：
[0040] 本发明提供的访问控制方法和系统之中，所述访问控制方法包括:请求访问目标 对象;判断请求对象与所述目标对象是否处于同一安全域;若所述请求对象与所述目标对 象处于同一安全域，根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一 权限；根据所述第一权限访问所述目标对象;若所述请求对象与所述目标对象处于不同安 全域，根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限；根据所 述第二权限访问所述目标对象。本发明提供的技术方案基于角色映射控制对象的跨域访问 权限，在独立自治的安全域之间通过角色映射建立起合同性质的访问授权关系，从而实现 了相互联通W及相互操作。而且，通过第=方权威机构负责存储跨域对象之间的映射关系， 从而保证了访问控制的公平性和安全性。本发明提供的技术方案W角色作为载体，每个对 象对应一个域内角色，不同的角色匹配不同的权限。各个安全域自行对角色进行设置和管 理，跨域访问时通过角色映射进行不同域内角色和权限的匹配。运样既能够保证各个安全 域对域内对象的独立控制权，又能够在保证域内自治性的基础上解决跨域授权的问题，从 而提高了资源共享的灵活性。因此，本发明提供的技术方案既提高了访问控制的安全性和 公平性，又提高了访问控制的灵活性。
【附图说明】
[0041 ]图1为本发明实施例一提供的一种访问控制方法的流程图；
[0042] 图2为图1所示访问控制方法的具体流程图；
[0043] 图3为图1所示访问控制方法的映射流程图；
[0044] 图4为本发明实施例二提供的一种访问控制系统的结构示意图。
【具体实施方式】
[0045] 为使本领域的技术人员更好地理解本发明的技术方案，下面结合附图对本发明提 供的访问控制方法和系统进行详细描述。
[0046] 实施例一
[0047] 图1为本发明实施例一提供的一种访问控制方法的流程图。如图1所示，所述访问 控制方法包括：
[004引步骤1001、请求访问目标对象。
[0049] 步骤1002、判断请求对象与所述目标对象是否处于同一安全域。
[0050] 步骤1003、若所述请求对象与所述目标对象处于同一安全域，根据预设的第一映 射模型将所述请求对象映射至所述目标对象的第一权限。
[0051] 步骤1004、根据所述第一权限访问所述目标对象。
[0052] 本实施例中，所述安全域包括至少一个对象，所述对象具有至少一个角色，所述角 色具有对应的权限。所述若所述请求对象与所述目标对象处于同一安全域，根据预设的第 一映射模型将所述请求对象映射至所述目标对象的第一权限的步骤包括:将所述请求对象 的角色映射至所述目标对象的角色;获取所述目标对象的角色对应的第一权限。
[0053] 在实际应用中，应用防火墙机制将化va智能卡内的对象划分为W应用上下文为标 签的多个集合。同一集合内的对象之间的访问是合法的，不同集合之间的对象访问是有条 件的。运种跨集合的对象访问规则就是共享接口对象访问机制。请求对象首先将共享接口 服务请求通过JAVA卡运行环境(Java化rd Runtime化Viro皿ent，简称JCRE)发送至目标 对象，由目标对象验证是否开放共享接口服务。如果验证成功，请求对象可W调用共享接口 提供的服务。
[0054] 根据上述应用防火墙原理，Java智能卡的存储区域分成不同的安全域，不同安全 域对应不同类型的对象集合，彼此之间通过防火墙进行隔离。每个安全域内设置一个代理 (Agent),所述代理对域内所有对象进行角色管理、角色对应的权限管理W及对象之间的访 问控制。本实施例中，同一安全域的对象之间的相互访问由对应的代理根据对象所属的角 色权限进行控制。不同安全域之间对象的相互访问则需要JCRE进行角色映射，再根据映射 后的角色权限跨域调用共享接口提供的服务。本实施例提供的技术方案基于角色映射控制 对象的跨域访问权限，在独立自治的安全域之间通过角色映射建立起合同性质的访问授权 关系，从而实现了相互联通W及相互操作。而且，通过第=方权威机构负责存储跨域对象之 间的映射关系，从而保证了访问控制的公平性和安全性。
[0055] 本实施例W对象编号(Object ID，0ID)作为JAVA智能卡上每个应用对象的唯一身 份标识。图2为图1所示访问控制方法的具体流程图。如图2所示，整个卡对象的访问过程包 括两部分，虚线所示为用户与卡应用的服务请求建立过程:用户向卡应用发起服务请求，请 求信息包括请求服务的应用OIDW及用户信息。根据用户信息对用户身份进行验证，具体验 证方式包括密码认证、PIN码认证W及生物识别认证之中的至少一种。身份验证成功后，建 立用户与访问请求对象之间的服务通道，根据用户身份提供相应服务。
[0056] 参见图2,实线部分表示对象之间的相互访问流程，假设请求Objecti请求调用目 标Objectj的共享接口服务，具体流程为:请求Objecti向Agent I提出访问请求，访问请求信 息包括申请者0ID、目标OID和访问请求类型。其中，申请者OID为Objecti对应的OIDi,目标 OID为Objectj对应的OI化。访问请求类型设置为1，默认为共享接口访问。
[0057] Agent I获取请求Objecti的服务请求后，访问控制模块首先根据OIDj寻址到目标 Ob jectj的存储位置。如果请求Ob jecti和目标Ob jectj在同一安全域内则根据两者在域内的 角色，按权限共享两者的访问空间，Objecti可W通过访问通道获取目标Object北勺部分服务 和数据。
[0058] 步骤1005、若所述请求对象与所述目标对象处于不同安全域，根据预设的第二映 射模型将所述请求对象映射至所述目标对象的第二权限。
[0059] 步骤1006、根据所述第二权限访问所述目标对象。
[0060] 本实施例中，所述若所述请求对象与所述目标对象处于不同安全域，根据预设的 第二映射模型将所述请求对象映射至所述目标对象的第二权限的步骤包括:将所述请求对 象的角色映射至所述目标对象的角色;获取所述目标对象的角色对应的第二权限；将所述 第二权限发送至所述请求对象。
[0061] 参见图2,若所述请求对象与所述目标对象不在同一安全域内，首先识别出此次访 问请求对应的角色映射类型，然后根据映射需求将访问请求W及Objecti对应的角色ri转发 至JCRE。JCRE根据此次访问请求信息，按照请求Ob jecti和目标Ob jectj的映射关系，将请求 Ob jecti在安全域I内的角色ri转换为目标Ob jectj所属的安全域J内的角色rj，并将访问请 求连同映射后的角色rj下发Agent JeAgent J根据角色rjW及目标Objectj对应角色的权限 下发至Ob jectj。建立请求Ob jectj和目标Ob jectj的访问通道，按照角色权限共享两者的访 问空间。本实施例提供的技术方案W角色作为载体，每个对象对应一个域内角色，不同的角 色匹配不同的权限。各个安全域自行对角色进行设置和管理，跨域访问时通过角色映射进 行不同域内角色和权限的匹配。运样既能够保证各个安全域对域内对象的独立控制权，又 能够在保证域内自治性的基础上解决跨域授权的问题，从而提高了资源共享的灵活性。因 此，本实施例提供的技术方案既提高了访问控制的安全性和公平性，又提高了访问控制的 灵活性。
[0062] 本实施例中，所述将所述请求对象的角色映射至所述目标对象的角色的步骤包 括:将第一安全域内的第一角色转换为第二安全域内的第二角色，所述请求对象属于所述 第一安全域，所述目标对象属于所述第二安全域，所述第一角色为所述请求对象在所述第 一安全域内的角色，所述第二角色为所述目标对象在所述第二安全域内的角色。
[0063] 图3为图1所示访问控制方法的映射流程图。如图3所示，将JAVA智能卡内的安全域 集设置为SECS，安全域内的对象集设置为OBJSp，安全域角色集设置为ROLESp，下标P是安全 域标识，P e SECS。安全域内角色对应关系表示为触或C鄉馬X及锐勘巾6JCRE中的映射中 介集为MAPS,引入第S方角色集ROLESf作为跨域角色映射的中介角色，下标f是映射中介标 识，巧證S。
[0064] 参见图3,本实施例根据对象访问过程中是否引入第=方角色集作为中介W及是 否直接进行角色指派，将角色映射分为W下四类:安全域角色与中介角色映射、安全域角色 间映射、指派型跨域对象间角色映射W及指派型对象与中介角色映射。下面分别对运四种 映射进行说明：
[0065] 安全域角色与中介角色映射时，若有安全域I内角色riEROLESi，中介角色 ROLESf，则用（。，。）ERRSMi,f表示将安全域I角色。映射为中介角色。，其中 -K化'的"C W乂巧XK化妨/是映射关系集。类似有（r i，r j ) e R R S M f , J， 脱STW, ,呈X/;〇/_.化,表示将中介角色ri映射为平台安全域J角色叫
[0066] 安全域角色之间映射时，若有安全域I内角色ri e ROLESi，安全域J内角色rj e ROLESj，则用（ri，rj) ERRSSij表示将安全域I的角色ri映射为安全域J内角色rj，其中 AW巧，G化乂巧X K化妨，是映射关系集。
[0067] 跨域对象间角色映射时。若有安全域I内对象Oi e OBJSi，安全域J内角色rj e R化ESj，则用（〇i，rj)e〇RSSi,j表示安全域I的用户Oi被指派了安全域J内rj角色，其中 OZUS,. X /?〇/-.巧.是跨域对象角色映射关系集。
[006引对象与中介角色映射时，若有安全域I内对象oiEOBJSi，中介角色rjeR0LESf，贝リ 用（0i，rj)e0RSMi,j表示安全域I的用户Oi被指派了中介角色rj，其中 C 是对象与中介角色映射的映射关系集。
[0069] 为了兼顾访问控制的公平性和安全性，同时保证卡内调用的响应速度，根据访问 范围、映射关系、映射关系的存储点W及映射行为的发生位置，本实施例设置了=种映射模 型：多边映射模型、双边映射模型W及单点映射模型。下面分别对运=种映射模型进行说 明：
[0070] 在多边映射模型之中，本实施例利用JCRE作中介，通过引入第S方角色集来达到 跨域访问控制的目的。建立每个安全域自身角色集到第=方角色集的映射，映射关系保存 在位于JCRE上映射中介的策略库内。当跨域访问请求发生时，策略库中的角色转换函数根 据请求的流向进行角色映射。W安全域I内的对象Oi跨域访问安全域J的对象为例，安全域I 首先对Oi认证和授权后传递给JCRE的角色ri表示为：
[0071] rolesi(oi) = IriEROLESf I oiEOBJSi}
[0072] 位于JCRE上的角色映射模块首先根据请求安全域I的属性匹配出与之对应的映射 中介，调用对应的角色转换函数将角色ri映射成中介角色：
[0073] g-rolesf (Oi) = {rf EROLESf I (ri'rf) ERRSMi,f,TiETolesi(Oi)}
[0074]其中，g_rolesf(〇i)为安全域I与映射中介间的角色转换函数。接下来角色映射模 块根据目标安全域J的属性匹配出与之对应的映射中介，调用对应的角色转换函数将中介 角色n再次转换成安全域J可W识别的角色：
[007引 Tolesj(Oi) = IrjEROLESj I (rf'rj) ERRSMf J, (Ti,打）ERRSMi'f, Ti Erolesi(Oi)I 安 全域J的访问控制系统根据转化后的角色最终决定对象Oi的访问权限。
[0076] 本实施例提供的多边映射模型采用了间接映射的方式将I域的角色ri转换为J域 的角色r j。JCRE保留了（ri，n) eRRSMi,f W及(打，rj) eRRSMf J的映射关系，但是两个角色间 的直接映射关系(ri，rj) ERRMMi,J并未出现在映射信息库中。运样，一方面可W保护各安全 域的角色信息，确保访问控制的公平性。另一方面可W保证角色映射的灵活性，各个安全域 可W根据自身情况随时更改相应的映射信息。
[0077] 在双边映射模型之中，参与访问交互的两个安全域之间通过协商就特定的角色映 射关系达成一致，直接在映射关系中添加(ri，rj) ERRMMi,J。当安全域I拥有角色ri的对象Oi 跨域访问安全域J的服务时，直接由域J匹配的映射中介将其转换为可识别角色n，即：
[007引 Tolesj(Oi) = { (ri'rj) ERRMMi j'riErolesi(Oi)}
[0079] 在单点映射模型之中，本实施例直接指定对象和角色之间的对应关系，包括W下 两种情况:a)安全域给自身所辖对象直接指派中介角色;b)给安全域的对象指派本安全域 内角色。下面对上述两种情况进行说明：
[0080] 本实施例中，安全域I给自身所辖对象Oi直接指派中介角色n，即直接添加对象中 介角色映射关系(Oi，n) eORSMi,f，该信息存储于请求安全域对应的映射中介中，当跨域访 问请求发生时，Oi直接获得中介角色：
[0081 ] g-rolesf (Oi) = {rf EROLESf I (Oi'rf) EORSMi,f,TiETolesi(Oi)}
[0082] 本实施例中：目标安全域通过跨域对象角色映射(指派），可W直接授予跨域请求 对象相应权限。当安全域J指派角色rj给安全域I的对象Oi时，添加映射关系（〇i，rj) E ORSSij，该映射关系存储在位于目标安全域J对应的映射中介中。当对象Oi访问安全域J时， 将通过身份转换获得对应的角色：
[0083] Tolesj(Oi) = {rjEROLESj I (Oi'rj) EORSSi,J,TiETolesi(Oi)}
[0084] 本实施例提供的技术方案W角色作为载体，每个对象对应一个域内角色，不同的 角色匹配不同的权限。各个安全域自行对角色进行设置和管理，跨域访问时通过角色映射 进行不同域内角色和权限的匹配。运样既能够保证各个安全域对域内对象的独立控制权， 又能够在保证域内自治性的基础上解决跨域授权的问题，从而提高了资源共享的灵活性。 因此，本实施例提供的技术方案既提高了访问控制的安全性和公平性，又提高了访问控制 的灵活性。
[0085] 本实施例W安全域I内的对象Oi请求跨域访问安全域J的对象为例，从请求对象Oi 到目标角色r遮个映射流程。首先，由Agent I的访问控制模块识别请求对象Oi到目标角色 n是否存在指派关系。如果存在指派型跨域对象间角色映射，即（〇i，n) EORSSi,J，则参考跨 域角色指派模型，由目标安全域J所属的映射代理直接计算出目标角色n。如果存在指派型 对象与中介角色映射，即存在(Oi，n) eORSMi,f，则先由请求安全域所属的映射代理参考中 介角色指派模型计算出中介角色n，再由目标安全域J所属的映射代理根据n与J域角色之 间的映射关系(rf刀）ERRMSf,J计算出目标角色n。如果请求对象Oi到目标角色r么间不存 在指派关系，Agent I识别出Oi在I域角色ri。判断是否存在两个安全域角色之间的映射关 系，即(ri，rj) ERRMMi,J。如果存在(ri，rj) ERRMMi, J映射，则参考双边映射模型，由目标安全 域J所属的映射代理根据映射关系直接计算出目标角色rj。如果不存在(ri，n) ERRMMi,J映 射，则参考多边映射模型，先由域I所属的映射代理根据映射(ri，rf) ERRSMi,f转换成中介角 色，再由域J所属的映射代理根据映射(打，rj)ERRSMfj计算出目标角色叫
[0086] 本实施例提供的访问控制方法包括:请求访问目标对象;判断请求对象与所述目 标对象是否处于同一安全域;若所述请求对象与所述目标对象处于同一安全域，根据预设 的第一映射模型将所述请求对象映射至所述目标对象的第一权限;根据所述第一权限访问 所述目标对象;若所述请求对象与所述目标对象处于不同安全域，根据预设的第二映射模 型将所述请求对象映射至所述目标对象的第二权限；根据所述第二权限访问所述目标对 象。本实施例提供的技术方案基于角色映射控制对象的跨域访问权限，在独立自治的安全 域之间通过角色映射建立起合同性质的访问授权关系，从而实现了相互联通W及相互操 作。而且，通过第=方权威机构负责存储跨域对象之间的映射关系，从而保证了访问控制的 公平性和安全性。本实施例提供的技术方案W角色作为载体，每个对象对应一个域内角色， 不同的角色匹配不同的权限。各个安全域自行对角色进行设置和管理，跨域访问时通过角 色映射进行不同域内角色和权限的匹配。运样既能够保证各个安全域对域内对象的独立控 制权，又能够在保证域内自治性的基础上解决跨域授权的问题，从而提高了资源共享的灵 活性。因此，本实施例提供的技术方案既提高了访问控制的安全性和公平性，又提高了访问 控制的灵活性。
[0087] 实施例二
[0088] 图4为本发明实施例二提供的一种访问控制系统的结构示意图。如图4所示，所述 访问控制系统包括第一请求单元101、第一判断单元102、第一映射单元103、第一访问单元 104、第二映射单元105W及第二访问单元106。所述第一请求单元101用于请求访问目标对 象;第一判断单元102用于判断请求对象与所述目标对象是否处于同一安全域;第一映射单 元103用于若所述请求对象与所述目标对象处于同一安全域，根据预设的第一映射模型将 所述请求对象映射至所述目标对象的第一权限；第一访问单元104用于根据所述第一权限 访问所述目标对象;第二映射单元105用于若所述请求对象与所述目标对象处于不同安全 域，根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限；第二访问 单元106用于根据所述第二权限访问所述目标对象。本实施例提供的技术方案W角色作为 载体，每个对象对应一个域内角色，不同的角色匹配不同的权限。各个安全域自行对角色进 行设置和管理，跨域访问时通过角色映射进行不同域内角色和权限的匹配。运样既能够保 证各个安全域对域内对象的独立控制权，又能够在保证域内自治性的基础上解决跨域授权 的问题，从而提高了资源共享的灵活性。
[0089] 本实施例中，所述安全域包括至少一个对象，所述对象具有至少一个角色，所述角 色具有对应的权限。优选的，所述第一映射单元包括第一映射模块和第一获取模块，所述第 一映射模块用于将所述请求对象的角色映射至所述目标对象的角色;所述第一获取模块用 于获取所述目标对象的角色对应的第一权限。根据应用防火墙原理，Java智能卡的存储区 域分成不同的安全域，不同安全域对应不同类型的对象集合，彼此之间通过防火墙进行隔 离。每个安全域内设置一个代理(Agent),所述代理对域内所有对象进行角色管理、角色对 应的权限管理W及对象之间的访问控制。本实施例中，同一安全域的对象之间的相互访问 由对应的代理根据对象所属的角色权限进行控制。不同安全域之间对象的相互访问则需要 JCRE进行角色映射，再根据映射后的角色权限跨域调用共享接口提供的服务。本实施例提 供的技术方案基于角色映射控制对象的跨域访问权限，在独立自治的安全域之间通过角色 映射建立起合同性质的访问授权关系，从而实现了相互联通W及相互操作。而且，通过第= 方权威机构负责存储跨域对象之间的映射关系，从而保证了访问控制的公平性和安全性。
[0090] 本实施例中，所述第二映射单元包括第二映射模块、第二获取模块W及第一发送 模块。所述第二映射模块用于将所述请求对象的角色映射至所述目标对象的角色;第二获 取模块用于获取所述目标对象的角色对应的第二权限;第一发送模块用于将所述第二权限 发送至所述请求对象。优选的，所述第二映射模块包括第一转换子模块，所述第一转换子模 块用于将第一安全域内的第一角色转换为第二安全域内的第二角色，所述请求对象属于所 述第一安全域，所述目标对象属于所述第二安全域，所述第一角色为所述请求对象在所述 第一安全域内的角色，所述第二角色为所述目标对象在所述第二安全域内的角色。
[0091] 本实施例提供的访问控制系统包括第一请求单元、第一判断单元、第一映射单元、 第一访问单元、第二映射单元W及第二访问单元。所述第一请求单元用于请求访问目标对 象;第一判断单元用于判断请求对象与所述目标对象是否处于同一安全域;第一映射单元 用于若所述请求对象与所述目标对象处于同一安全域，根据预设的第一映射模型将所述请 求对象映射至所述目标对象的第一权限;第一访问单元用于根据所述第一权限访问所述目 标对象;第二映射单元用于若所述请求对象与所述目标对象处于不同安全域，根据预设的 第二映射模型将所述请求对象映射至所述目标对象的第二权限;第二访问单元用于根据所 述第二权限访问所述目标对象。本实施例提供的技术方案基于角色映射控制对象的跨域访 问权限，在独立自治的安全域之间通过角色映射建立起合同性质的访问授权关系，从而实 现了相互联通W及相互操作。而且，通过第=方权威机构负责存储跨域对象之间的映射关 系，从而保证了访问控制的公平性和安全性。本实施例提供的技术方案W角色作为载体，每 个对象对应一个域内角色，不同的角色匹配不同的权限。各个安全域自行对角色进行设置 和管理，跨域访问时通过角色映射进行不同域内角色和权限的匹配。运样既能够保证各个 安全域对域内对象的独立控制权，又能够在保证域内自治性的基础上解决跨域授权的问 题，从而提高了资源共享的灵活性。因此，本实施例提供的技术方案既提高了访问控制的安 全性和公平性，又提高了访问控制的灵活性。
[0092] 可W理解的是，W上实施方式仅仅是为了说明本发明的原理而采用的示例性实施 方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精 神和实质的情况下，可W做出各种变型和改进，运些变型和改进也视为本发明的保护范围。
【主权项】
1. 一种访问控制方法，其特征在于，包括： 请求访问目标对象； 判断请求对象与所述目标对象是否处于同一安全域； 若所述请求对象与所述目标对象处于同一安全域，根据预设的第一映射模型将所述请 求对象映射至所述目标对象的第一权限； 根据所述第一权限访问所述目标对象； 若所述请求对象与所述目标对象处于不同安全域，根据预设的第二映射模型将所述请 求对象映射至所述目标对象的第二权限； 根据所述第二权限访问所述目标对象。2. 根据权利要求1所述的访问控制方法，其特征在于，所述安全域包括至少一个对象， 所述对象具有至少一个角色，所述角色具有对应的权限。3. 根据权利要求2所述的访问控制方法，其特征在于，所述若所述请求对象与所述目标 对象处于同一安全域，根据预设的第一映射模型将所述请求对象映射至所述目标对象的第 一权限的步骤包括： 将所述请求对象的角色映射至所述目标对象的角色； 获取所述目标对象的角色对应的第一权限。4. 根据权利要求2所述的访问控制方法，其特征在于，所述若所述请求对象与所述目标 对象处于不同安全域，根据预设的第二映射模型将所述请求对象映射至所述目标对象的第 二权限的步骤包括： 将所述请求对象的角色映射至所述目标对象的角色； 获取所述目标对象的角色对应的第二权限； 将所述第二权限发送至所述请求对象。5. 根据权利要求4所述的访问控制方法，其特征在于，所述将所述请求对象的角色映射 至所述目标对象的角色的步骤包括： 将第一安全域内的第一角色转换为第二安全域内的第二角色，所述请求对象属于所述 第一安全域，所述目标对象属于所述第二安全域，所述第一角色为所述请求对象在所述第 一安全域内的角色，所述第二角色为所述目标对象在所述第二安全域内的角色。6. -种访问控制系统，其特征在于，包括： 第一请求单元，用于请求访问目标对象； 第一判断单元，用于判断请求对象与所述目标对象是否处于同一安全域； 第一映射单元，用于若所述请求对象与所述目标对象处于同一安全域，根据预设的第 一映射模型将所述请求对象映射至所述目标对象的第一权限； 第一访问单元，用于根据所述第一权限访问所述目标对象； 第二映射单元，用于若所述请求对象与所述目标对象处于不同安全域，根据预设的第 二映射模型将所述请求对象映射至所述目标对象的第二权限； 第二访问单元，用于根据所述第二权限访问所述目标对象。7. 根据权利要求6所述的访问控制系统，其特征在于，所述安全域包括至少一个对象， 所述对象具有至少一个角色，所述角色具有对应的权限。8. 根据权利要求7所述的访问控制系统，其特征在于，所述第一映射单元包括： 第一映射模块，用于将所述请求对象的角色映射至所述目标对象的角色； 第一获取模块，用于获取所述目标对象的角色对应的第一权限。9. 根据权利要求7所述的访问控制系统，其特征在于，所述第二映射单元包括： 第二映射模块，用于将所述请求对象的角色映射至所述目标对象的角色； 第二获取模块，用于获取所述目标对象的角色对应的第二权限； 第一发送模块，用于将所述第二权限发送至所述请求对象。10. 根据权利要求9所述的访问控制系统，其特征在于，所述第二映射模块包括： 第一转换子模块，用于将第一安全域内的第一角色转换为第二安全域内的第二角色， 所述请求对象属于所述第一安全域，所述目标对象属于所述第二安全域，所述第一角色为 所述请求对象在所述第一安全域内的角色，所述第二角色为所述目标对象在所述第二安全 域内的角色。
【文档编号】H04L29/06GK105827663SQ201610390518
【公开日】2016年8月3日
【申请日】2016年6月2日
【发明人】汤雅妃, 王志军, 张尼, 王笑帝, 刘镝
【申请人】中国联合网络通信集团有限公司