[发明专利]一种基于跨域授权中介实现角色和组映射的跨域访问控制系统

说明书

技术领域

本发明属于信息安全的访问控制技术领域，特别是一种基于跨域授权中介实现角色和组映射的跨域访问控制系统。

背景技术

为了对网络上的各类信息系统资源，如主机、文件、数据、服务等，进行保护，需要对这些资源实施授权管理(Authorization Management)和进行访问控制(Access Control)。一般地，访问控制的实现包括权限与授权策略管理、在线授权决策以及在线授权实施三个功能部分。权限与授权策略管理(Privilege and Authorization Policy Management)，负责对用户权限以及资源访问控制策略(Access Control Policy)或规则进行管理(在本发明中授权策略与访问控制策略是等同的)，如确定用户所属用户组、用户的角色，规定哪些用户、用户组、用户角色对哪些资源具有哪些访问操作权限等。在线授权决策(Authorization Decision)，则是对在线访问信息系统资源的用户，根据其身份与权限，如所属用户组、具有的角色等以及资源访问控制策略在线决定用户是否能够访问有关资源并进行有关的操作(如读、写、修改文件，进行交易等)。在线授权实施(Authorization Enforcement)，又称为在线访问控制实施(Access Control Enforcement)，是集成在应用系统上的一个安全功能，它负责拦截、检查用户对资源的访问请求，并请求在线授权决策模块对用户的访问操作进行决策，然后根绝授权决策的结果允许或拒绝(阻断)用户的资源访问。

访问控制机制目前常见的有基于访问控制列表(Access Control List，ACL)的访问控制和基于角色的访问控制(Role-Based Access Control，RBAC)。基于ACL的访问控制，通过在资源ACL中列明允许访问的用户ID(标识)和组ID以及相应的操作，规定用户对资源的访问权限；RBAC则通过角色定义及相应的角色权限和访问控制策略规定，确定用户的资源访问权限。

目前，随着信息系统互联的不断发展，在访问控制技术中出现了一个重要的概念和需求，这就是跨域访问控制。跨域访问控制，即当来自其他域的用户访问本域的系统资源时对该用户进行的访问控制。这里所说的“域”是指授权管理作用与有效的范围，即授权域，它的范围可以是单个系统，一个部门的所有系统，或者一个组织机构的所有系统。需特别指出的是，不要将“授权域”同另一个相似而且密切相关的“身份域”概念相混淆。身份域是指身份管理作用和有效的范围，如身份标识和身份鉴别作用的范围，与之相对应的跨域身份鉴别要解决的是一个域中的用户身份在另一个域中被识别、获得认可、接受的问题。也就是说，跨域身份鉴别与跨域访问控制要解决的问题不一样，一个是解决你是谁的问题，一个是解决你能干什么的问题。在有些情况下，身份域和授权域的范围是一样的，如采用用户名/口令进行身份鉴别时，二者通常是一样的；在有些情况，二者是不一样的，如当不同组织机构采用一个共同的第三方CA(Certification Authority)签发的数字证书进行身份标识时，它们的身份域是相同的，而授权域各自不同。

基于角色映射的跨域访问控制是目前跨域访问控制技术方面出现的一种新理论和技术，它通过在不同安全域(授权域)的角色之间建立映射关系，从而实现跨域的权限转换，并据此实现跨域访问控制。但是，当前基于角色映射的跨域访问控制在技术方面还处于发展阶段，还不成熟，存在以下几个方面的问题。首先，常用的角色映射方案是由每个授权域各自的访问控制系统直接在两两授权域间相互进行角色映射，当授权域很多时这种方案将会使得角色映射工作变得复杂，且不易于维护和扩展，比如，任何一个授权域的安全策略或角色定义、角色权限发生了改变，所有与之相关的授权域的有关系统都要进行相应调整或修改；其次，有关技术只适合于基于RBAC的跨域访问控制，不适合于基于ACL的跨域访问控制(而ACL是目前应用最广泛的访问控制技术)，更不能用于基于ACL的域和基于RBAC的域间的跨域访问控制；再其次，有关技术通常需要对已有的访问控制系统(尤其是基于ACL的访问控制系统)进行较大的修改，甚至推倒重来，这显然不是一个令人满意的方案。

发明内容