[发明专利]一种跨域动态细粒度访问控制方法有效
| 申请号: | 200910247852.X | 申请日: | 2009-12-31 |
| 公开(公告)号: | CN101764692A | 公开(公告)日: | 2010-06-30 |
| 发明(设计)人: | 沈寒辉;王福;刘欣;邹翔;万爱霞;周家晶;金波;杭强伟;陈兵 | 申请(专利权)人: | 公安部第三研究所 |
| 主分类号: | H04L9/32 | 分类号: | H04L9/32 |
| 代理公司: | 上海天翔知识产权代理有限公司 31224 | 代理人: | 刘粉宝 |
| 地址: | 200031*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 动态 细粒度 访问 控制 方法 | ||
1.一种跨域动态细粒度访问控制方法,其特征在于,它包括如下步骤:
(1)请求域中的用户在本请求域中被标识,对用户在本请求域中的标识具有唯一性;
(2)资源域中的资源在本资源域中被标识,对资源在本资源域中的标识具有唯一性;
(3)请求域中的用户被归属于本请求域中的一个角色,该角色通过请求域代理和资源域代理进行沟通,确认该请求域角色有权映射资源域中的一个角色;
(4)被请求域中的角色映射的资源域中的角色有访问资源域资源的权限;
(5)请求域中的角色取得被映射的资源域中角色访问资源域资源的权限;
(6)跨域访问控制策略允许请求域的用户跨域访问;
(7)跨域访问控制策略允许资源域的资源被外域访问;
(8)请求域的用户完成对资源域的资源的访问。
2.如权利要求1所述的跨域动态细粒度访问控制方法,其特征在于,请求域中用户的约束条件为:
(1)若请求域用户U(A),则域条件U(A)属于请求域为TRUE,否则为FALSE;
(2)若请求域用户U(A)被标示为U(A)(a),此标示具有唯一性;
(3)若请求域角色Role(A),则角色条件Role(A)属于请求域为TRUE,否则为FALSE;
(4)若用户U(A)属于角色Role(A),则用户U(A)取得角色Role(A)的权限为TRUE,否则为FALSE。
3.如权利要求1所述的跨域动态细粒度访问控制方法,其特征在于,资源域中资源的约束条件为:
(1)若资源域资源Z(B),则域条件Z (B)属于资源域为TRUE,否则为FALSE;
(2)若资源域资源Z(B)被标示为Z(B)(b),此标示具有唯一性;
(3)资源域角色Role(B),则角色条件Role(A)属于资源域为TRUE, 否则为FALSE;
(4)资源域角色Role(B)被资源域授权访问资源Z(B),则资源Z(B)属于角色Role(B)为TRUE,否则为FALSE。
4.如权利要求1所述的跨域动态细粒度访问控制方法,其特征在于,启动请求域代理AgentA,根据本请求域的安全策略与资源域代理AgentB协商确定请求域与资源域的角色映射;请求域用户U(A)欲访问资源域资源Z(B),通过以下授权步骤实现请求域用户U(A)的角色Role(A)对资源域角色Role(B)的映射授权:
(1)请求域代理AgentA执行若请求域用户U(A),则域条件U(A)属于请求域,若为TRUE,则继续;否则,中止授权;
(2)请求域代理AgentA执行若请求域角色Role(A),则角色条件Role(A)属于请求域,若为TRUE,则继续;否则,中止授权;
(3)资源域代理AgentB执行资源域角色Role(B),则角色条件Role(A)属于资源域,若为TRUE,则继续;否则,中止授权;
(4)资源域代理AgentB执行资源域角色Role(B)被资源域授权访问资源Z(B),则资源Z(B)属于角色Role(B),若为TRUE,则继续;否则,中止授权;
(5)资源域代理AgentB同意请求域代理AgentA的请求,请求域角色Role(A)映射资源域角色Role(B),若为TRUE,则继续;否则,中止授权;
(6)请求域角色Role(A)取得资源域角色Role(B)在资源域的访问权限。
5.如权利要求1所述的跨域动态细粒度访问控制方法,其特征在于,启动访问控制策略,请求域用户U(A)欲访问资源域资源Z(B),通过以下授权步骤实现请求域用户U(A)对资源域资源Z(B)的授权访问,步骤如下:
(1)访问控制策略执行请求域角色Role(A)取得资源域角色Role(B)在资源域的访问权限,若为TRUE,则继续;否则,中止授权;
(2)访问控制策略执行若请求域用户U(A)被标示为U(A)(a),此标示具有唯一性,若为TRUE,则继续;否则,中止授权;
(3)访问控制策略执行若用户U(A)属于角色Role(A),则用户U(A) 取得角色Role(A)的权限,若为TRUE,则继续;否则,中止授权;
(4)访问控制策略中的控制条件k1,U(A)(a)被访问控制策略授权访问资源域;
(5)访问控制策略执行控制条件k1,若为TRUE,则继续;否则,中止授权;
(6)访问控制策略执行若资源域资源Z(B),则域条件Z(B)属于资源域,若为TRUE,则继续;否则,中止授权;
(7)访问控制策略执行资源域资源Z(B)被标示为Z(B)(b),此标示具有唯一性,若为TRUE,则继续;否则,中止授权;
(8)访问控制策略中的控制条件k2,Z (B)(b)被访问控制策略授权被请求域访问;
(9)访问控制策略执行控制条件k2,若为TRUE,则继续;否则,中止授权;
(10)U(A)(a)取得对Z(B)(b)的访问权限;
上述中的访问控制条件k1,k2,是根据访问的用户,及用户访问的资源,事先制订的条件。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于公安部第三研究所,未经公安部第三研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200910247852.X/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种基于异形伞伞骨的新型 X 形伸缩节设计
- 下一篇:鞋底微型透气装置
