本发明专利技术提供了一种基于角色的域间访问控制系统,包括用户认证模块、用户上下文安全信息库、域控制模块和客体访问控制模块,用户上下文安全信息库记录经过用户认证模块认证通过的用户信息,域控制模块接收经过用户认证模块认证通过的访问请求,根据用户信息和访问请求中的客体信息确认用户是本域访问还是跨域访问,根据访问类型分配用户角色,将角色分配结果传给用户上下文安全信息库,客体访问控制模块接收来自用户上下文安全信息库的用户信息和来自域控制模块的访问请求,判断经过角色分配后的用户是否有权访问客体,若是,用户实施访问,将访问结果返回给用户。本发明专利技术通过角色变更使得用户权限适应不同的访问客体,满足了用户域间访问的需要。
【技术实现步骤摘要】
本专利技术涉及采用信息安全技术对计算机资源进行访问控制的系统。技术背景访问控制(Access Control)就是通过某种途径显式地准许或限制访问 能力及范围的一种方法。通过访问控制服务,可以限制对关键资源的访 问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。访问控制基本模型包括三个部分1) 主体(Subject):发出访问操作、存取要求的主动方,简记为S。 通常指用户或用户某个进程等;2) 客体(Object):被访问的对象,简记为O。通常可以是被调用的 程序、进程、要存取的数据、信息等资源;3) 控制策略(Policy):是主体对客体的操作行为集和约束条件集。简记为P。控制策略是主体对客体的访问规则集,这个规则集直接定义了 主体对客体可以的作用行为和客体对主体的条件约束。访问控制参考模型形象的描述了访问控制系统三个要素之间的行为 关系,我们可以使用三元组(S, O, P)来表示。其中S表示主体,O表 示客体,P表示许可。当用户(主体S)提出一系列对受保护的资源(客 体0)的访问请求后,由访问控制决定组件(Access Control Decision Function)ADF来判断是否允许或拒绝这次请求,因此这种情况下,必须 先要确认是合法的主体,也就是对主体进行认证。主体通过验证,才能 访问客体,但并不保证其有权限可以对客体进行操作。客体对主体的具 体约束由访问控制实施机构AEF (Access Control Enforcement Function)来实现。AEF保证只有被ADF允许的访问申请才能作用在目标上。 访问控制中对资源的访问控制主要包含以下几个方面1) 保密性控制(Data Confidentiality):防止数据资源被非法读出。2) 完整性控制(DataIntegrity):防止数据资源被非法改写。3) 有效性控制(DataAvailability):防止数据资源被非法用户破坏, 保证任何情况下系统处于工作状态。4) 可维护性必须有相应的集中管理机制及安全管理工具,可以进 行简单、方便、有效的管理操作。最初的访问控制仅仅是对进入系统的控制,如简单的用户/口令认证。 随着网络的发展,访问控制技术发展的很快,有许多访问控制策略被提 出来。其中比较著名的访问控制策略主要是自主型访问控制DAC和强 制性访问控制MAC。基于角色的访问控制RBAC是由Ferraiolo等人于20世纪90年代 初提出来的。美国国家标准化和技术委员会(NIST)成立了RBAC研究机 构,专门对基于角色的访问控制进行研究。Sandhu等人在对RBAC进行 深入研究的基础上,在1996年提出了一个基于角色的访问控制参考模 型,即RBAC96模型。此后,又相继提出了 RBAC97、 RBAC99以及各 种扩展模型。RBAC的核心思想是通过引入"角色"这一 "中介",将用 户和权限分离,使用户和具体权限不再直接相关,用户通过角色来拥有 访问权限,有了 "角色"的介入使系统的权限管理更加方便和灵活。 SandhuR.S于1996年正式提出的RBAC模型,包含RBAC0, RBAC1, RBAC2和RBAC3四种模型,分别就RBAC的基本组成角色、用户以 及权限之间的关系做出定义(RBACO),考虑了角色层次架构(RBAC1),加 入了安全策略限制(RBAC2),同时支持角色继承和安全策略(RBAC3)等, 在此之后的RBAC研究基本上基于这这个架构。目前RBAC基本上成为 主流控制技术,大有取代DAC和MAC的趋势。RBAC主要包括以下几个方面的原则1) 角色继承角色继承是RBAC的一个重要内容。它是指一个角色可以继承另一 些角色,也就是说, 一个角色可直接或间接地继承另一些角色的访问许 可。2) 最小权限原则所谓最小权限原则是指用户所拥有的权力不能超过他执行工作时 所需的权限。实现最小权限原则,需分清用户的工作内容,确定执行该 项工作的最小权限集,然后将用户限制在这些权限范围之内。3) 职责分离RBAC机制可被系统管理员用于执行职责分离的策略。静态职责分 离是指只有当一个角色与用户所属的其他角色彼此不互斥时,这个角色 才能授权给该用户。动态职责分离是指只有当一个角色与一主体的任何 一个当前活跃角色都不互斥时,该角色才能成为该主体的另一个活跃角 色。4) 角色容量在创建新的角色时,要指定角色的容量。在一个特定的时间段内, 有一些角色只能由一定人数的用户占用。传统RBAC控制模型没有域的概念,但是现实的系统中,基于域的 资源控制大量存在,特别是对于不同域的资源控制,这要求不同域的用 户可以互相访问资源,但是又要求用户权限不能平等。同时,用户访问 不同域的资源,也即用户所处的上下文环境发生了变化,这就要求权限 动态改变以适应所处的环境。现有RBAC控制模型中,用户角色作为一 种相对静止的概念,无法满足这种动态变化。另外,现有基于RBAC的 扩展模型中,虽然有域或者等同概念的提出,但仍然不能解决用户跨域 访问角色变更问题,并且对资源访问控制粒度过粗。
技术实现思路
本专利技术的目的在与提出一种基于角色的域间访问控制系统,通过 角色变更使得用户权限适应不同的访问客体,满足用户域间访问的需要。一种基于角色的域间访问控制系统,包括用户认证模块31,其特征 在于,还包括用户上下文安全信息库34、域控制模块32和客体访问控制 模块33,用户上下文安全信息库34用于记录当前经过用户认证模块31认证 通过的用户信息;域控制模块32用于接收经过用户认证模块31认证通过的访问请求, 根据用户信息和访问请求中的客体信息确认用户是本域访问还是跨域访 问,根据访问类型分配用户角色,将角色分配结果传送给用户上下文安 全信息库34,并将用户访问请求传送给客体访问控制模块33;客体访问控制模块33用于接收来自用户上下文安全信息库34得用 户信息和来自域控制模块32的访问请求,判断经过角色分配后的用户是 否有权访问客体,若是,用户实施访问,并将访问结果返回给用户。所述域控制模块包括域上下文感知器321、子域控制器322、中央域 控制器323和角色分配器324;域上下文感知器321用于接收来自用户上下文安全信息库34的用户 信息和经过用户认证模块31认证通过的访问请求,判断用户和客体是否 属于同一域,若是,则将用户信息和访问请求传送给子域控制器322,否 则将用户信息和访问请求传送给中央域控制器323;子域控制器322用于接收来自域上下文感知器321的用户信息和访 问请求,复位用户原本域角色,将用户访问请求传送给所述客体访问控 制模块33;中央域控制器323用于接收来自域上下文感知器321的用户信息和访问请求,査询预存的客体域间可访问性列表以判断来自用户所属域的 用户是否有权访问客体所属域,若是,将客体域间可访问性列表、用户 信息和访问请求传送给角色分配器324;所述客体域间可访问性列表包括客体名称、客体所属域ID、异域可 访问域ID列表和客体可访问角色列表,客体可访问角色列表包括本域用户可访问角色列表和异域用户可访问角色列表;角色分配器324用于接收来自中央域控制器323的客体域间可访问 性列表、用户信息和访问请求,判断用户是否为全局用本文档来自技高网...
【技术保护点】
一种基于角色的域间访问控制系统,包括用户认证模块(31),其特征在于,还包括用户上下文安全信息库(34)、域控制模块(32)和客体访问控制模块(33),用户上下文安全信息库(34)用于记录当前经过用户认证模块(31)认证通过的用户信息;域控制模块(32)用于接收经过用户认证模块(31)认证通过的访问请求,根据用户信息和访问请求中的客体信息确认用户是本域访问还是跨域访问,根据访问类型分配用户角色,将角色分配结果传送给用户上下文安全信息库(34),并将用户访问请求传送给客体访问控制模块(33);客体访问控制模块(33)用于接收来自用户上下文安全信息库(34)的用户信息和来自域控制模块(32)的访问请求,判断经过角色分配后的用户是否有权访问客体,若是,用户实施访问,并将访问结果返回给用户。
【技术特征摘要】
【专利技术属性】
技术研发人员:吴砥,张成伟,白红梅,程文青,周杰,严鹤,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:83[中国|武汉]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。