[发明专利]一种基于跨域授权中介实现角色和组映射的跨域访问控制系统

权利要求书

1、一种基于跨域授权中介实现角色和组映射的跨域访问控制系统，包括基本访问控制系统和跨域系统两部分，其中基本访问控制系统位于一个授权域内，它从功能上又划分为权限与授权策略管理系统、授权决策引擎、授权实施模块三部分；跨域系统主要包括跨域授权中介系统和跨域授权信息查询模块两部分，其中跨域授权中介系统位于不同的授权域间，而跨域授权信息查询模块位于一个授权域内，作为域内访问控制系统与跨域授权中介系统连接的桥梁，其中：

权限与授权策略管理系统：定义用户角色、用户组及访问控制策略，从而对本域的用户身份、访问控制权限进行管理；

授权决策引擎：基于用户身份信息以及本地的访问控制策略对用户的在线资源访问与操作请求做出“允许”或“拒绝”的决定；

授权实施模块：通过一定的方式与应用服务系统集成，负责拦截、检查用户的资源访问请求，获取用户身份信息，通过一定的服务状态(Session)机制跟踪用户及在Session对象中保存用户的身份信息，并依据授权决策引擎的在线授权决策结果，对用户的服务请求进行控制；

跨域授权信息查询模块：一种能被授权实施模块直接调用的模块，用于域内访问控制系统同跨域授权中介系统连接，查询、获取跨域用户权限信息；

跨域授权中介系统：通过角色和组映射实现不同授权域中权限的转换，跨域授权中介系统还配置有如下两个表：

A、角色和组映射策略表，该表定义了将一个授权域中的角色、组集合映射到另一个授权域中的角色、组集合的映射策略；

B、授权域权限与授权策略管理系统地址表，表中有与授权中介系统相连的、各个授权域中的权限与授权策略管理系统的用户信息查询服务地址和端口号。

2、根据权利要求1所述的基于跨域授权中介实现角色和组映射的跨域访问控制系统，其特征在于：所述的跨域授权中介系统配置的角色和组映射策略表包含如下信息和具有如下语义：

A、表中有一系列映射策略(mapping policy)，一个映射策略定义了一个授权域中角色、组到另一个授权域中角色、组的映射描述；

B、每个映射策略又由一系列的映射元素(mapping element)构成，它定义了源授权域中的一个角色、组集合到目标域中的一个角色、组集合的单向映射关系，映射元素具体地有如下几种形式：

B1、将源授权域中的一角色集映射到目标域中的一角色集，即

ROLES(SR₁，SR₂，...，SR_m)＝＞ROLES(TR₁，TR₂，...，TR_n)；

B2、将源授权域中的一用户组集映射到目标域中的一角色集，即

GROUPS(SG₁，SG₂，...，SG_m)＝＞ROLES(TR₁，TR₂，...，TR_n)；

B3、将源授权域中的一角色集映射到目标域中的一用户组集，即

ROLES(SR₁，SR₂，...，SR_m)＝＞GROUPS(TG₁，TG₂，...，TG_n)；

B4、将源授权域中的一用户组集映射到目标域中的一用户组集，即

GROUPS(SG₁，SG₂，...，SG_m)＝＞GROUPS(TG₁，TG₂，...，TG_n)；

C、以上映射元素的语义是，若用户在源授权域中同时拥有源域角色或组集合所包含的角色或组，那么，他相当于在目标授权域中具有目标域角色或组集合所包含的角色或组，也即他在目标域中将拥有对应角色或组的权限。