[发明专利]一种双授权跨域访问控制方法

说明书

技术领域

本发明涉及一种访问控制方法，特别涉及一种使用在计算机信息安全领域的双授权跨域访问控制方法。

背景技术

目前随着全国各个系统、产业信息化工作的开展，各个网络应用系统逐渐需要通过互联互通来发挥信息化更大的效能。

与之相对应的，相互之间属于不同信任域，又要有信息共享与业务协作的情况，已出现在某些电子政务，电子商务领域。

而要在不同网络之间相互访问，访问的安全性、可控性就成为新出现的问题。

因此，针对现有技术的缺陷，特别需要一种双授权跨域访问控制方法，以解决以上提到的问题。

发明内容

本发明的目的在于提供一种双授权跨域访问控制方法，针对现有技术存在的上述不足，针对用户分别由访问域和资源域单独进行信任度计算和跨域行为计算，根据结果，依据最小授权原则和时间规范原则进行联合跨域访问控制，实现不同信任域之间的安全可控的访问。

本发明所解决的技术问题可以采用以下技术方案来实现：

一种双授权跨域访问控制方法，其特征在于，它包括如下步骤：

(1)访问域的用户经过访问域信任度和跨域行为的计算后，被访问域跨域访问控制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色；

(2)访问域的用户经过访问域信任度和跨域行为的计算后，访问域跨域访问控制授权系统授予该角色完成本次行为的最长时间规范；

(3)访问域跨域访问控制授权系统允许本域的用户跨域访问；

(4)资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资源域的一个角色；

(5)资源域经过计算访问域用户的信任度和跨域行为后，资源域跨域访问控制授权系统授予对应的角色完成本次行为的最长时间规范；

(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问；

(7)访问域的用户完成对资源域的资源的访问。

在本发明的一个实施例中，所述最小授权是指本域的跨域访问控制授权系统授予用户完成跨域访问所需的权限对应的最小角色。

在本发明的一个实施例中，所述最长时间规范是指本域的跨域访问控制授权系统对完成本次跨域访问行为的用户对应的最小角色一个最长时间生命期，当生命期到期后，用户和最小角色的对应关系自动终止。

在本发明的一个实施例中，访问域的用户U(A)的约束条件包括：

(1)约束条件A1：若访问域用户U(A)，则域条件U(A)属于访问域为TRUE，否则为FALSE；

(2)约束条件A2：若访问域用户U(A)访问资源域，则访问域用户U(A)通过访问域的信任度和行为的计算为TRUE，否则为FALSE；

(3)约束条件A3：若约束条件A2为TRUE，则访问域的跨域访问控制授权系统授予角色Role(A)为TRUE，否则为FALSE；

(4)约束条件A4：若Role(A)为访问域中完成本次行为的最小角色为TRUE，否则为FALSE；

(5)约束条件A5：若约束条件A4为TRUE，则通过访问域的信任度和行为的计算后，给与该角色一个完成本次访问的最长时间规范为TRUE，否则为FALSE；

(6)约束条件A6：通过访问域的跨域访问控制授权系统的策略执行点向资源域的跨域访问控制授权系统策略执行点发出访问请求为TRUE，否则为FALSE。

在本发明的一个实施例中，跨域访问角色的映射授权的约束条件包括：

(1)约束条件BI：资源域的跨域访问控制授权系统策略执行点接受访问域的跨域访问控制授权系统的策略执行点发出的访问请求为TRUE，否则为FALSE；

(2)约束条件B2：通过资源域的信任度和行为的计算后，资源域的跨域访问控制授权系统设定本域的一个角色Role(B)为完成本次行为的最小角色为TRUE，否则为FALSE；

(3)约束条件B3：通过资源域的信任度和行为的计算后，给与该角色一个完成本次访问的最长时间规范为TRUE，否则为FALSE；

(4)约束条件B4：通过资源域的策略执行点完成Role(A)和Role(B)的映射授权为TRUE，否则为FALSE。

在本发明的一个实施例中，访问域用户U(A)欲访问资源域资源Z(B)，通过以下步骤实现U(A)对资源域资源Z(B)的授权访问：

(1)访问域的跨域访问控制授权系统执行约束条件A1，若为TRUE，则继续；否则，中止授权；