一种双授权跨域访问控制方法技术

本发明专利技术的目的在于公开一种双授权跨域访问控制方法，针对用户分别由访问域和资源域进行信任度计算和跨域行为计算，根据结果，分别由访问域和资源域单独依据最小角色原则和最大时间规范进行联合跨域访问控制，实现逻辑隔离的不同信任域之间的相互访问，解决信任问题，实现可控的安全访问，将极大推动不同信任域的网络的互联互通，更安全，更可控，实现本发明专利技术的目的。

【技术实现步骤摘要】

本专利技术涉及一种访问控制方法，特别涉及一种使用在计算机信息安全领域的双授 权跨域访问控制方法。
技术介绍
目前随着全国各个系统、产业信息化工作的开展，各个网络应用系统逐渐需要通 过互联互通来发挥信息化更大的效能。与之相对应的，相互之间属于不同信任域，又要有信息共享与业务协作的情况，已 出现在某些电子政务，电子商务领域。而要在不同网络之间相互访问，访问的安全性、可控性就成为新出现的问题。因此，针对现有技术的缺陷，特别需要，以解决以上 提到的问题。
技术实现思路
本专利技术的目的在于提供，针对现有技术存在的上述 不足，针对用户分别由访问域和资源域单独进行信任度计算和跨域行为计算，根据结果，依 据最小授权原则和时间规范原则进行联合跨域访问控制，实现不同信任域之间的安全可控 的访问。本专利技术所解决的技术问题可以采用以下技术方案来实现，其特征在于，它包括如下步骤(1)访问域的用户经过访问域信任度和跨域行为的计算后，被访问域跨域访问控 制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色；(2)访问域的用户经过访问域信任度和跨域行为的计算后，访问域跨域访问控制 授权系统授予该角色完成本次行为的最长时间规范；(3)访问域跨域访问控制授权系统允许本域的用户跨域访问；(4)资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授 权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资 源域的一个角色；(5)资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授 权系统授予对应的角色完成本次行为的最长时间规范；(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问；(7)访问域的用户完成对资源域的资源的访问。在本专利技术的一个实施例中，所述最小授权是指本域的跨域访问控制授权系统授予 用户完成跨域访问所需的权限对应的最小角色。在本专利技术的一个实施例中，所述最长时间规范是指本域的跨域访问控制授权系统 对完成本次跨域访问行为的用户对应的最小角色一个最长时间生命期，当生命期到期后，用户和最小角色的对应关系自动终止。在本专利技术的一个实施例中，访问域的用户U(A)的约束条件包括(1)约束条件Al 若访问域用户U(A)，则域条件U(A)属于访问域为TRUE，否则为 FALSE ；(2)约束条件A2 若访问域用户U(A)访问资源域，则访问域用户U㈧通过访问域 的信任度和行为的计算为TRUE，否则为FALSE ；(3)约束条件A3 若约束条件A2为TRUE，则访问域的跨域访问控制授权系统授予 角色Role (A)为TRUE，否则为FALSE ；(4)约束条件A4 若Role(A)为访问域中完成本次行为的最小角色为TRUE，否则 为 FALSE ；(5)约束条件A5 若约束条件A4为TRUE，则通过访问域的信任度和行为的计算 后，给与该角色一个完成本次访问的最长时间规范为TRUE，否则为FALSE ；(6)约束条件A6 通过访问域的跨域访问控制授权系统的策略执行点向资源域的 跨域访问控制授权系统策略执行点发出访问请求为TRUE，否则为FALSE。在本专利技术的一个实施例中，跨域访问角色的映射授权的约束条件包括(1)约束条件BI 资源域的跨域访问控制授权系统策略执行点接受访问域的跨域 访问控制授权系统的策略执行点发出的访问请求为TRUE，否则为FALSE ；(2)约束条件B2 通过资源域的信任度和行为的计算后，资源域的跨域访问控 制授权系统设定本域的一个角色Role(B)为完成本次行为的最小角色为TRUE，否则为 FALSE ；(3)约束条件B3 通过资源域的信任度和行为的计算后，给与该角色一个完成本 次访问的最长时间规范为TRUE，否则为FALSE ；(4)约束条件B4 通过资源域的策略执行点完成Role (A)和Role⑶的映射授权 为TRUE，否则为FALSE。在本专利技术的一个实施例中，访问域用户U(A)欲访问资源域资源Z(B)，通过以下步 骤实现U (A)对资源域资源Z (B)的授权访问(1)访问域的跨域访问控制授权系统执行约束条件Al，若为TRUE，则继续；否则， 中止授权；(2)访问域的跨域访问控制授权系统执行约束条件A2，若为TRUE，则继续；否则， 中止授权；(3)访问域的跨域访问控制授权系统执行约束条件A4，若为TRUE，则继续；否则， 中止授权；(4)访问域的跨域访问控制授权系统执行约束条件A5，若为TRUE，则继续；否则， 中止授权；(5)访问域的跨域访问控制授权系统执行约束条件A6，若为TRUE，则继续；否则， 中止授权；(6)资源域的跨域访问控制授权系统执行约束条件Bi，若为TRUE，则继续；否则， 中止授权；(7)资源域的跨域访问控制授权系统执行约束条件B2，若为TRUE，则继续；否则，中止授权；(8)资源域的跨域访问控制授权系统执行约束条件B3，若为TRUE，则继续；否则， 中止授权；(9)资源域的跨域访问控制授权系统执行约束条件B4，若为TRUE，则继续；否则， 中止授权；(10)访问域用户U(A)取得本次对资源域资源的访问权限。 本专利技术的双授权跨域访问控制方法，针对用户分别由访问域和资源域进行信任度 计算和跨域行为计算，根据结果，分别由访问域和资源域单独依据最小角色原则和最大时 间规范进行联合跨域访问控制，实现逻辑隔离的不同信任域之间的相互访问，解决信任问 题，实现可控的安全访问，将极大推动不同信任域的网络的互联互通，更安全，更可控，实现 本专利技术的目的。本专利技术的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了解。附图说明图1为本专利技术的双授权跨域访问控制方法的原理示意图。 具体实施例方式为了使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结 合具体图示，进一步阐述本专利技术。如图1所示，本专利技术的双授权跨域访问控制方法，它包括如下步骤(1)访问域的用户经过访问域信任度和跨域行为的计算后，被访问域跨域访问控 制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色；(2)访问域的用户经过访问域信任度和跨域行为的计算后，访问域跨域访问控制 授权系统授予该角色完成本次行为的最长时间规范；(3)访问域跨域访问控制授权系统允许本域的用户跨域访问；(4)资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授 权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资 源域的一个角色；(5)资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授 权系统授予对应的角色完成本次行为的最长时间规范；(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问；(7)访问域的用户完成对资源域的资源的访问。在本专利技术中，所述最小授权是指本域的跨域访问控制授权系统授予用户完成跨域 访问所需的权限对应的最小角色。在本专利技术中，所述最长时间规范是指本域的跨域访问控制授权系统对完成本次跨 域访问行为的用户对应的最小角色一个最长时间生命期，当生命期到期后，用户和最小角 色的对应关系自动终止。访问域用户访问资源域资源的具体实现过程如下1、跨域访问的域内授权访问域用户U(A)的约束条件包括(1)约束条件Al 若访问域用户U(A)本文档来自技高网...

【技术保护点】
一种双授权跨域访问控制方法，其特征在于，它包括如下步骤：（１）访问域的用户经过访问域信任度和跨域行为的计算后，被访问域跨域访问控制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色；（２）访问域的用户经过访问域信任度和跨域行为的计算后，访问域跨域访问控制授权系统授予该角色完成本次行为的最长时间规范；（３）访问域跨域访问控制授权系统允许本域的用户跨域访问；（４）资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资源域的一个角色；（５）资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授权系统授予对应的角色完成本次行为的最长时间规范；（６）资源域跨域访问控制授权系统允许访问域的用户跨域访问；（７）访问域的用户完成对资源域的资源的访问。

【技术特征摘要】
一种双授权跨域访问控制方法，其特征在于，它包括如下步骤(1)访问域的用户经过访问域信任度和跨域行为的计算后，被访问域跨域访问控制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色；(2)访问域的用户经过访问域信任度和跨域行为的计算后，访问域跨域访问控制授权系统授予该角色完成本次行为的最长时间规范；(3)访问域跨域访问控制授权系统允许本域的用户跨域访问；(4)资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资源域的一个角色；(5)资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授权系统授予对应的角色完成本次行为的最长时间规范；(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问；(7)访问域的用户完成对资源域的资源的访问。2.如权利要求1所述的双授权跨域访问控制方法，其特征在于，所述最小授权是指本 域的跨域访问控制授权系统授予用户完成跨域访问所需的权限对应的最小角色。3.如权利要求1所述的双授权跨域访问控制方法，其特征在于，所述最长时间规范是 指本域的跨域访问控制授权系统对完成本次跨域访问行为的用户对应的最小角色一个最 长时间生命期，当生命期到期后，用户和最小角色的对应关系自动终止。4.如权利要求1所述的双授权跨域访问控制方法，其特征在于，访问域的用户U(A)的 约束条件包括(1)约束条件Al若访问域用户U(A)，则域条件U㈧属于访问域为TRUE，否则为 FALSE ；(2)约束条件A2若访问域用户U(A)访问资源域，则访问域用户U(A)通过访问域的信 任度和行为的计算为TRUE，否则为FALSE ；(3)约束条件A3若约束条件A2为TRUE，则访问域的跨域访问控制授权系统授予角色 Role (A)为 TRUE，否则为 FALSE ；(4)约束条件A4=SRoleOV)为访问域中完成本次行为的最小角色为TRUE，否则为 FALSE ；(5)约束条件A5若约束条件A4为TRUE，则通过访问域的信任度和行为的计算后，给 与该角色一个完成本次访问的最长时间规范为TRUE，否则为FALSE ；(6...

【专利技术属性】
技术研发人员：刘欣，沈寒辉，王福，邹翔，王佳，王兴，
申请(专利权)人：公安部第三研究所，
类型：发明
国别省市：31[中国|上海]