CN101453475B - 一种授权管理系统及方法 - Google Patents
一种授权管理系统及方法 Download PDFInfo
- Publication number
- CN101453475B CN101453475B CN 200910000051 CN200910000051A CN101453475B CN 101453475 B CN101453475 B CN 101453475B CN 200910000051 CN200910000051 CN 200910000051 CN 200910000051 A CN200910000051 A CN 200910000051A CN 101453475 B CN101453475 B CN 101453475B
- Authority
- CN
- China
- Prior art keywords
- role
- user
- territory
- domain
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种授权管理系统及方法,该系统包括各自对本域内的授权操作进行独立管理的多个基本授权管理子系统,所述基本授权管理子系统包括:内部角色分配单元,用于建立本域内的用户与内部角色的对应关系;权限分配单元,用于根据预先设定的约束规则及所述本域内的用户与内部角色的对应关系为本域内的用户分配访问本域内的特定资源的权限。利用本发明,可以提高授权管理的灵活性和通用性。
Description
技术领域
本发明涉及信息安全管理技术,具体涉及一种授权管理系统及方法。
背景技术
随着计算机技术和互联网的迅速发展,信息的交流和共享成为现代科技和经济发展的重要前提。在大规模分布式网络环境下存在着许许多多的商业网站、公司门户网站、政府办公系统、校园信息网络、企业办公自动化系统、网络社区等等,这些分散的网络环境可以视为一个个独立管理的信息系统,而它们又由因特网联系在一起。这些信息系统在提供网络服务的同时正经受着各种网络安全问题的威胁,管理员的操作不当、人员疏忽、计算机网络和操作系统中的安全漏洞等都可能给信息系统带来安全隐患。这种隐患给各种信息系统带来了潜在威胁,其主要针对信息系统中信息资源的机密性、完整性、可用性与合法使用性等。要想对信息系统提供全面的安全保证,需要依靠各种安全服务协调工作,而其中最重要的就是认证服务和访问控制服务。
现有的各种访问控制和授权管理策略及模型在身份认证服务的基础上,一定程度上解决了为用户授权和权限验证等问题。然而这些模型或技术通常只采用了简单的管理者分级,由少数管理者统一管理分布的多个资源,从而使得授权管理的灵活性较差,而且只适合解决特定环境下的访问控制与授权问题,无法适于大规模分布式网络环境,因而通用性较差。
发明内容
本发明实施例提供一种授权管理系统及方法,以提高授权管理的灵活性和通用性。
本发明实施例提供的一种授权管理系统,包括各自对本域内的授权操作进行独立管理的多个基本授权管理子系统,所述基本授权管理子系统包括:
内部角色分配单元,用于建立本域内的用户与内部角色的对应关系;
权限分配单元,用于根据预先设定的约束规则及所述本域内的用户与内部角色的对应关系为本域内的用户分配访问本域内的特定资源的权限。
本发明实施例提供的一种授权管理方法,各基本授权管理子系统独立对本域内的授权操作进行管理,具体包括:
建立本域内的用户与内部角色的对应关系;
根据预先设定的约束规则及所述本域内的用户与内部角色的对应关系为本域内的用户分配访问本域内的特定资源的权限。
本发明实施例提供的授权管理系统及方法,针对大规模分布式网络环境,将一个大型信息系统划分为若干授权管理域,每个管理域由其中的基本授权管理子系统负责管理本域的权限分配、访问控制。从而有效地提高了授权管理的灵活性和通用性。
进一步地,每个基本授权管理子系统还负责与其他管理域的协作,多个基本授权管理子系统之间通过域间角色的单向映射关系实现跨域的访问和授权控制,为系统之间的跨域授权管理和互操作提供了安全保证。
附图说明
图1是本发明实施例授权管理系统中基本授权管理子系统的一种结构示意图;
图2是本发明实施例授权管理系统的一种结构示意图;
图3是本发明实施例授权管理方法的一种流程图;
图4是本发明实施例授权管理方法的另一种流程图;
图5是本发明实施例中对管理域分级的示意图;
图6是本发明实施例中对管理域内部逻辑分级的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例的方案,下面结合附图和实施方式对本发明实施例作进一步的详细说明。
为了解决大规模网络下信息系统的安全和应用需求,可以在逻辑上对大规模分布式网络环境按照信任域和安全域进行划分,一个信任域和一个管理域共同决定了一个域环境,信任域包含了信任源点,即认证中心;管理域包含了授权源点,即授权管理中心。
一个信任域表示在一个信任源点如PKI(Public Key Infrastructure,公开密钥体系)域的证书中心CA(证书授权中心,Certificate Authority)下的所有网络资源,信任域内所有用户的身份标识都由该信任源点发布和统一管理。各信任域之间存在三种关系:(1)相互独立,互不信任;(2)相互独立,但组成了认证联盟;(3)存在上下级关系或其它亲戚关系。存在上下级关系或其它亲戚关系的各信任域形成树形嵌套结构。
一个管理域表示在一个授权源点下的所有网络资源,管理域内所有用户的权限都由该授权源点分配和统一管理。各管理域之间存在两种关系:(1)相互独立;(2)存在上下级关系或其它亲戚关系。存在上下级关系或其它亲戚关系的各管理域也形成树形嵌套结构。
信任域与管理域之间的关系是:一个信任域中可以包含多个管理域;一个管理域可以只包含在一个信任域中,也可以同时包含在一个认证联盟的多个成员域中。一个认证联盟表示多个相互信任的信任域集合,认证联盟内所有用户的身份被各个成员信任域所认可。
基于这种分域管理的思想,本发明实施例提供的授权管理系统及方法,针对大规模分布式网络环境,将一个大型信息系统划分为若干授权管理域,每个管理域由其中的基本授权管理子系统负责管理本域的权限分配、访问控制以及与其他管理域的协作。
为了便于描述及更好地理解本发明实施例的方案,下面首先对本发明实施例中用到的几个概念进行简单说明。
用户:是指可以独立访问网络资源的主体。
角色:是指一个组织或任务中的某个工作岗位,对应于具体应用领域内的职位和权利。
角色分配集:表示从用户集合到角色集合的多对多映射,是用户与角色之间的二元关系集合。
角色继承:是角色之间的二元关系集合,上级角色可以继承所有下级角色的可继承权限。
资源:用户进行访问的目标,如网络服务、数据库文件等。
操作:表示用户对资源的访问模式,常见的访问操作有只读、只写、读写、执行、控制等。
权限:由操作与资源形成的二元组,表示对于某客体资源具有某种操作许可,即能以何种方式对某资源进行访问。
权限分配集:表示从角色集合到权限集合的多对多映射,是角色与权限之间的二元关系集合。
属性:表示用户、资源或上下文环境在使用过程中所拥有的特性,如用户名、用户所属部门、资源所属部门等。属性存在多种类型,包括整型、时间日期型、URL型、布尔型等,在实际应用中可以用户根据具体需求自定义属性类型。所有属性类型组成的集合称为属性类型集,表示为TYPE={type1,type2,......typen}。属性具有动态可变性。其中:
用户属性表示用户在工作过程中所使用的相关特性,如用户名、用户身份标识、用户所属部门等;
资源属性表示资源在使用过程中所拥有的相关特性,如资源名、所属URL(Uniform Resource Locator,统一资源定位符)、资源所属部门等;
环境属性表示系统在运行过程中的上下文环境特性,如网络带宽、系统负载、当前时间等。
可以将各种属性通过属性表达式来表示:属性表达式是一系列的规则表达式,表示为AN={AN1,AN2...ANn},其中n为自然数,ANi=<attname><OP><Value>,attname是属性名,OP为关系表达式运算符,因属性类型不同,可以是逻辑操作符{=,>,<,≤,≥,≠},也可以是用户自己定义的操作符,Value是授权管理员设定的阈值。
条件:是用户获得或行使对资源的访问权利前必须满足的执行环境的强制约束条件。执行环境即模型系统中的上下文环境,由环境属性来描述。在授权管理过程中,环境的属性制约着用户对资源的访问,但不会改变主、客体的属性。
会话:对应于一个用户和一组激活的角色,表征用户进行角色激活操作的过程。一个用户在工作中可同时建立多个会话,而每一个会话又可对应多个角色,即每个会话都拥有一个“活跃角色集合”。用户可以动态选择所需角色,从而按照最小特权原则进行资源访问。
约束:是定义的一系列约束条件,主要针对角色分配、权限分配、角色推荐、单角色映射等操作进行相应的限制,用以避免冲突和保证资源的安全性等。典型的约束包括职责分离约束、基数约束、先决约束等,本模型增加了时间约束和跨域授权约束。
身份标识:是用户、管理域等用来唯一标识自己身份的一种数据结构,例如PKI域中的身份证书就是PKI系统中用户、认证中心等实体的唯一标识。
本发明实施例提供的授权管理系统包括:多个基本授权管理子系统,各基本授权管理子系统分别对本域内的授权操作进行独立管理的多个基本授权管理子系统。
如图1所示,是本发明实施例授权管理系统中基本授权管理子系统的一种结构示意图。
在该实施例中,所述基本授权管理子系统包括:内部角色分配单元101和权限分配单元102,其中,内部角色分配单元101用于建立本域内的用户与内部角色的对应关系,所述内部角色用于域内及跨域访问;权限分配单元102用于根据预先设定的约束规则及所述本域内的用户与内部角色的对应关系为本域内的用户分配访问本域内的特定资源的权限。
上述建立本域内的用户与内部角色的对应关系的过程也就是建立从用户集合到角色集合的多对多的映射关系的过程,操作结果包含在角色分配集中。为用户分配角色时可以考虑角色互斥、基数约束等限制条件,具体可根据应用需要来确定。所述内部角色分配单元101只能为本域内的用户建立与内部角色的对应关系,不能为本域内的用户分配外域角色或本域的映射角色(所述映射角色将在后面详细说明),也不能为外域用户分配任何角色。
上述权限分配过程也就是建立从角色集合到权限集合的多对多映射关系的过程,操作结果包含在权限分配集中。为角色分配权限的过程可以考虑权限的特性(如互斥性)、先决约束等限制条件,具体可根据应用需要来确定。所述权限分配单元102只能为本域角色分配本域权限,不能为本域角色分配外域权限,也不能为外域角色分配任何权限。
所述基本授权管理子系统还可进一步包括:用户属性配置单元103用于配置本域内的用户在工作中使用的用户属性,所述用户属性包括用户名、用户身份标识和用户所属部门。这样,所述内部角色分配单元101根据所述用户属性建立本域内的用户与内部角色的对应关系。
当然,也可以将所述用户属性预先配置在所述内部角色分配单元101中,在实际应用中,可以提供用户接口,以方便系统管理员进行用户属性的动态配置。
利用本发明实施例的系统,灵活方便地实现对域内用户的授权管理,该系统通用性强,能够适用于各种大规模分布式网络环境。
为了实现跨域访问时的控制,进一步地,在本发明实施例的系统中,所述多个基本授权管理子系统之间还可以通过域间角色的单向映射关系实现跨域的访问和授权控制。
如图2所示,是本发明实施例授权管理系统的一种结构示意图;
在该实施例的授权管理系统中,包括多个基本授权管理子系统,各基本授权管理子系统不仅分别对本域内的授权操作进行独立管理,而且还可以通过域间角色的单向映射关系实现跨域的访问和授权控制。
为了清楚起见,在图2中仅示出了两个基本授权管理子系统21、22。基本授权管理子系统21、22的结构相同,在图2中仅示出了基本授权管理子系统21的结构。
基本授权管理子系统21包括:内部角色分配单元201和权限分配单元202,其中,内部角色分配单元201用于建立本域内的用户与内部角色的对应关系,所述内部角色用于域内及跨域访问;权限分配单元202用于根据预先设定的约束规则及所述本域内的用户与内部角色的对应关系为本域内的用户分配访问本域内的特定资源的权限。
除此之外,在该基本授权管理子系统21中还包括:角色协商单元203和跨域角色分配单元204。其中,角色协商单元203用于在进行跨域访问时与其他基本授权管理子系统进行角色映射协商过程;跨域角色分配单元204用于根据所述角色协商过程确定的角色映射关系为请求访问本域的其他域内的用户分配映射角色。为此,所述权限分配单元202还用于根据所述约束规则及所述映射角色为所述其他域内的用户分配访问本域内的特定资源的权限。
在该实施例中,角色协商单元203包括角色推荐子单元231,用于为请求访问其他基本授权管理子系统的本域内的用户代发跨域权限请求,所述跨域权限请求携带推荐角色信息。这样,当本域内有用户需要跨域进行资源访问时,就可以由角色协商单元203代所述用户向其他基本授权管理子系统发送跨域权限请求,通过该请求将所述用户的角色集推荐到目标域。
进一步地,角色协商单元203还可包括:请求接收单元232和角色转换子单元233。其中,请求接收单元232用于接收其他基本授权管理子系统为其域内的用户发送的跨域权限请求,所述跨域权限请求携带推荐角色信息;角色转换子单元233用于在所述请求接收单元收到所述跨域权限请求后,根据本域的时间约束规则和所述跨域权限请求携带的推荐角色信息确定所述角色映射关系。
在跨域申请访问权限时,请求域执行角色推荐操作,从而提出角色映射协商请求;目标域根据本域的约束规则为推荐来的角色分配本域的映射角色。在进行单向角色转换时,为了确保资源的安全性,可以均以本域的安全策略和约束规则为依据实施操作,当然,两个域也可以事先通过离线或在线方式约定好映射关系,再实施角色推荐和单向角色转换操作。
需要说明的是,角色协商过程中所建立的角色对应关系均为单向映射关系,而且这种映射关系受到时间约束的限制,因为角色关系的协商是由跨域访问需求来决定的,域间的访问需求不一定长期存在,也不一定总是双向的,而且任何两个域的角色层次不可能完全对等。应用环境的不同使得各域需要制定不同的安全策略,例如,域A与域B存在一定的业务关系,域A的某经理角色rA被映射了域B中的职员角色rB,从而能以rB跨域访问资源,如果角色映射操作为双向映射,则rB将获得rA的域内访问权限,而事实上与rA进行域间互操作的可能是域B中的某个经理角色,这将导致域A中重要信息的泄露;如果采用单向映射,则不会出现这种安全隐患。单向映射保证了权限根据访问需求而单向流动,在需要进行双向映射时,可以通过两个单向映射的组合来完成。
利用本发明实施例授权管理系统,不仅可以灵活方便地实现对域内用户的授权管理,而且还可以通过域间角色的单向映射关系实现跨域的访问和授权控制。该系统通用性强,能够适用于各种大规模分布式网络环境。
在上述实施例的基本授权管理子系统中,每个基本授权管理子系统属于一个特定域,在特定域中,所有角色形成树形或森林结构,任意两个角色之间可能存在四种关系:父子关系、祖孙关系、兄弟关系和除前三种关系以外的关系。
另外,针对角色继承、角色互斥概念,可以定义以下角色之间的关系:静态互斥关系、动态互斥关系、角色继承关系、选择性角色继承关系。
在实际应用中,可以对域内的角色和权限进行分类管理,相应地,可以采用不同的分类方式。比如,可以采用以下两种分类方法对角色进行分类:
①按职能分类
单位角色集:单位角色代表所属部门,不能够被分配给用户。单位角色可以拥有多个子角色。
管理角色集:管理角色代表部门的管理职务,对应于现实中的管理者或部门负责人,可以被分配给用户。管理角色没有子角色。
普通角色集:普通角色代表普通职员的岗位,可以被分配给用户。普通角色没有子角色。
虚角色集:单位角色的下级可以设置一个或多个虚角色,虚角色只代表权限的集合,不能分配给用户,其权限可以直接被除虚角色以外的兄弟角色所继承。对虚角色的抽象主要是为了提高授权的效率,因为在实际的应用系统中很多权限都是由多个角色共享使用的,当需要为某个角色r分配这部分共享权限时,如果能够为共享权限设置一个虚角色,再建立该虚角色与r的权限继承关系,则r将自动获得共享权限,从而减轻了权限分配的负担。
为此,在图1和图2所示的本发明实施例的授权管理系统中,还可进一步包括:虚角色设置单元和虚角色权限映射单元(图中未示)。其中,所述虚角色设置单元用于设置共享权限的本域内的用户所属的虚角色;所述虚角色权限映射单元用于设置所述虚角色与所述内部角色的权限继承关系。所述权限分配单元还用于根据所述权限继承关系为共享权限的本域内的用户分配访问特定资源的权限。
上述四种角色之间的上下级关系为:单位角色的子角色可以是单位角色、管理角色、普通角色或虚角色,管理角色、普通角色和虚角色均无子角色。
②按应用范围分类
内部角色集合:内部角色为域内授权操作和权限管理服务,不能分配给外域用户,可以是单位角色、管理角色、普通角色或虚角色。
映射角色集合:映射角色用于在单向角色转换时分配给外域用户,可以是管理角色或普通角色。
在实际应用中,可以将角色的权限分为公开权限、私有权限和继承权限三种类型。
公开权限:是直接分配给角色并能被其上级角色继承的权限。
私有权限:是直接分配给角色但不可以被任何角色继承的权限,通过定义私有权限可以避免一些敏感权限的扩散。
继承权限:是从下级角色继承而来的可以继续被上级角色继承的权限。
为了使用户授权操作更加方便合理,可以设定上下级角色之间的权限继承关系,但下级角色可能会拥有一些不能被上级角色继承的特殊权限。可以将管理员直接分配给角色的权限分为公开权限和私有权限两种,从而区分和保护敏感权限;将从下级角色继承而来的权限定义为继承权限,以便于对权限的分类管理。
角色与权限之间具有以下关系:根据角色职能的不同,不同的角色拥有不同类型的权限。单位角色只拥有继承权限;管理角色和普通角色可以拥有公开权限、私有权限和继承权限;虚角色只拥有公开权限。
单位角色只代表所属部门,并不代表具体的职责,因此对单位角色不设置公开权限和私有权限,但单位角色可以继承所有下级角色的公开权限和继承权限,并作为自己的继承权限。管理角色和普通角色对应了具体的管理人员和普通职员,因此设置了三种类型的权限。虚角色只代表权限的集合,不能分配给用户,为了方便授权,只为其设置公开权限以被其它兄弟角色继承。
在角色继承关系上,体现为角色所拥有的权限的继承关系。如果两个角色之间存在上下级关系,而且下级角色不是虚角色,那么二者之间存在继承关系。除虚角色以外,所有下级角色的公开权限和继承权限自动被父角色继承为继承权限:单位角色的继承权限自动被父角色继承为继承权限;管理角色的公开权限和继承权限自动被父角色继承为继承权限;普通角色的公开权限和继承权限自动被父角色继承为继承权限;虚角色的公开权限不能被父角色直接继承。
另外,还可以有以下继承关系:动态角色继承和选择性角色继承。
动态角色继承是指在权限分配过程中根据授权的需要动态地建立角色继承关系,在此主要针对虚角色与其兄弟角色之间的继承关系:如果在权限分配过程中,某个权限集合需要分配给一个管理角色或普通角色r1,而该权限集合正好是一个虚角色r2的权限集,此时可以动态地设置r1动态继承r2的权限集。
选择性角色继承是指在权限管理过程中根据实际应用需求设置某个角色可以选择性地继承另一个角色的部分可继承权限,在此主要针对单位角色与下一级管理角色的继承关系:例如在一个项目部中,项目部为单位角色,经理为管理角色,职员为普通角色,那么项目部角色通过继承可以获得本单位所有职员的公开权限和继承权限,而经理角色是本单位的最高管理者,因此有权获得本单位职员的可继承权限,此时就可以通过选择性角色继承关系来解决,即允许经理角色选择性继承项目部角色的权限集。
当然,本发明实施例并不限于上述这些分类方式,在实际应用中,还可以采用其他方式对域内的角色和权限进行分类管理。
为了进一步保证资源访问的安全性,还可以引入多种约束规则,以对域内及跨域授予权管理进行限制性。各类约束只能限制本域的操作行为,不对外域的操作进行干预。例如,可以设定以下约束规则:
1.基数约束:通过安全策略限制分配给用户的最大角色数量以及某个角色所拥有的最大用户数量。例如一个部门总经理角色只能由一个用户担任,那么总经理角色的基数就为1。
对应的规则1(基数限制规则):特定域中,每个用户被分配的角色集大小和每个角色所拥有的用户集大小均存在上限,用户在任意时刻被分配的角色数和角色在任意时刻所拥有的用户数均不能超过其的上限。
2.先决约束:包括先决角色约束和先决权限约束。先决角色约束是指用户在获得某个角色之前必须已经获得另一个特定角色;先决权限约束是指角色在获得某个权限之前必须已经获得另一个特定权限。例如在数据库系统中先有对数据库表的访问权限,才能对表的字段进行修改。
对应的规则2(先决规则):如果一个角色存在先决角色,那么它被分配给任一个用户之前,其先决角色必须已经分配给该用户;如果一个权限存在先决权限,那么它被分配给任一个角色之前,其先决权限必须已经分配给该角色。
3.职责分离约束:实际应用中用于防止组织成员获得超越自身职责范围的权限的一种利益冲突消解策略。实际组织中的岗位职责可能是互相排斥的,解决这种利益冲突的方法是让不同的角色或用户承担互斥的职责以阻止非法操作。可以分为:静态职责分离和动态职责分离。静态职责分离主要通过静态角色互斥来完成,要求在角色分配时实施约束。动态职责分离主要通过动态角色互斥来完成,要求在角色激活时实施约束。二者都是用于限制可提供给用户的访问权限,但所使用的机制不同:静态职责分离定义和限制用户的整体权限空间,而动态职责分离对用户会话中可激活的角色进行约束,即限制用户权限空间中访问权限的可用性。
对应的规则3(职责分离规则):对任意一个互斥角色集,令其对偶自然数为n,如果它为静态互斥角色集,则每个用户在该互斥角色集中拥有的角色数必须小于n,如果它为动态互斥角色集,则每个用户在任意一次会话中激活的该互斥角色集中的角色数必须小于n。特别地,当互斥角色集中的角色两两互斥或互斥角色集大小为2时,静态互斥的两个角色不能同时分配给同一个用户,动态互斥的两个角色在任何一次会话中不能同时被激活。
4.主客体属性约束:主客体属性要满足属性表达式AN,AN是一系列的规则表达式,定义AN={AN1,AN2...ANn},其中n为自然数,ANi=<attname><OP><Value>,attname是属性名,OP为关系表达式运算符,因属性类型不同,可以是逻辑操作符{=,>,<,≤,≥,≠},也可以是用户自己定义的操作符,Value是授权管理员设定的阀值。
对应的规则4(主客体属性规则):对任意特定域(tdi,mdj),主客体属性约束以用户和对象属性为基础,即用户和对象属性应满足一系列属性表达式,用户u才能分配角色r,表示为:
sat(u.att1.GetValue(),AN1)...∩sat(o.attn.GetValue(),ANn)→(u,r)∈UR,
其中o为客体,即资源。
说明:主客体属性是用户指派角色的依据,只有主客体满足一定的属性表达式,才能为用户指派相应的角色。当主客体属性变化时,可根据主客体属性性规则改变、终止或撤销用户的角色。
5.条件约束:即环境属性应满足的属性表达式,用户u才具备访问对象o的权限p。条件是授权的决策因素之一,条件的检测可在访问前preCON,也可在访问间进行onCON,条件不满足可导致访问权限的撤销。有的文献中也称为上下文信息,如网络带宽,系统负载,系统安全级别,当前的访问时间等。
对应的规则5(条件规则):即环境属性要满足的属性表达,用户才具备访问资源的权限,表示为sat(E.att1.GetValue(),AN1)...∩sat(E.attn.GetValue(),ANn)→allow(u,res,p),其中E表示环境。
说明:在用户访问资源的过程中,上下文环境可能会对用户的权限产生影响,以实现权限的动态变化,满足更广泛的需求。只有环境属性满足一系列的属性表达式,用户指派的角色才能被激活,从而获得相应的资源访问权限。
6.时间约束:对域间角色映射所附加的有效时间限制。由于多域之间的互操作需求往往有一定的时间特性,一次有目的的业务联系通常在一段时间内就能完成,因此,需要对域间角色映射设置有效时间或日期,以约束域间互操作行为。
7.跨域授权约束:在跨域访问与授权过程中,对角色推荐和单向角色转换操作所设置的约束条件。具体约束内容由相应的角色推荐规则和跨域授权规则给出。
规则6(角色推荐规则):在角色推荐过程中,只允许将本域用户的内部角色推荐到其它域,不能推荐本域的映射角色或外域的角色。
规则7(跨域授权规则):在单向角色转换操作中,只允许将目标域的“映射角色”映射给请求域推荐来的角色,不能映射本域的“内部角色”或外域的角色。
规则8(域间角色关系规则):对任意两个特定域之间的角色关系规则由角色映射协商过程来确定。本规则表示为一个规则集,任意一次协商好的单向角色转换关系均作为该规则集中的一条子规则。每一条子规则只在时间约束的限制下有效,在相应的有效时间以外将自动失效。
在本发明实施例的授权管理系统中,可将上述约束规则作为各项授权管理操作的依据,在应用实现时,约束规则将表现为具体的授权管理策略。各功能单元可根据相应的授权管理策略执行相应的操作。
当然,本发明实施例并不仅限于上述这些约束规则,在实际应用中,可以对规则集进行扩展,以保证系统策略的完备性,还可以针对需求的变化动态删除相应的约束规则。因而,本发明实施例的授权管理系统具有较强的扩展性。
为了进一步保证被访问资源的安全性,在本发明实施例的授权管理系统中,还可进一步包括:条件检查单元(图中未示),用于在所述内部角色和/或映射角色访问特定资源之前检查执行环境是否满足预定条件,如果满足,则允许所述内部角色和/或映射角色访问特定资源,否则禁止所述内部角色和/或映射角色访问特定资源。
所述条件在前面已经说明,是用户获得或行使对资源的访问权利前必须满足的执行环境的强制约束条件。执行环境即模型系统中的上下文环境,由环境属性来描述。在授权管理过程中,环境的属性制约着用户对资源的访问,但不会改变主、客体的属性。
另外,还可以设定使用中条件,所述使用中条件是指在用户访问资源的过程中需要重复检查系统状态或执行环境的属性是否满足特定的约束,一旦发现环境属性不满足某个约束将立即撤销用户对资源的使用权限,终止用户的访问。
通过上述描述可知,本发明实施例的授权管理系统具体以下特点:
(1)采用了物理分级与逻辑分级相结合的多级授权管理方式,有效提高了授权管理的灵活性和可靠性;
(2)针对实际应用中的安全需求可以设定一套可扩展的系统约束规则集,从而对系统中的各项操作进行限制,针对需求的变化允许动态增加或删除相应的约束规则,提高了系统的安全性和可扩展性等问题;
(3)通过角色推荐和单向角色转换过程,实现了多域环境下的域间互操作控制,为系统之间的跨域授权管理和互操作提供了安全保证;
(4)引入了属性和条件的概念,建立了一种动态授权机制,有效提高了系统的适用性。
本发明实施例还提供了一种授权管理方法,如图3所示,是该授权管理方法的一种流程图。
在该这实施例中,各基本授权管理子系统独立对本域内的授权操作进行管理,主要包括以下步骤:
步骤301,建立本域内的用户与内部角色的对应关系。
在建立所述对应关系时,可以根据预先配置的本域内的用户在工作中使用的用户属性来建立,所述用户属性包括用户名、用户身份标识和用户所属部门。
所述内部角色包括:管理角色、普通角色、单位角色、虚角色;所述映射角色包括:管理角色和普通角色。
步骤302,根据预先设定的约束规则及所述本域内的用户与内部角色的对应关系为本域内的用户分配访问本域内的特定资源的权限。
进一步地,还可以设置共享权限的本域内的用户所属的虚角色,及所述虚角色与所述内部角色的权限继承关系,根据所述权限继承关系为共享权限的本域内的用户分配访问特定资源的权限。
本发明实施例的方法,可以灵活方便地实现对域内用户的授权管理,通用性强,能够适用于各种大规模分布式网络环境。
为了实现跨域访问时的控制,进一步地,在本发明实施例的方法中,所述多个基本授权管理子系统之间还可以通过域间角色的单向映射关系实现跨域的访问和授权控制。
如图4所示,是本发明实施例授权管理方法的另一种流程图,主要包括以下步骤:
步骤401,在进行跨域访问时与其他授权管理子系统进行角色映射协商过程。
所述角色映射协商过程包括:当本域内的用户需要访问其他基本授权管理子系统时,向所述其他基本授权管理子系统发送跨域权限请求,所述跨域权限请求携带推荐角色信息。
所述角色映射协商过程还可进一步包括:接收其他基本授权管理子系统为其域内的用户发送的跨域权限请求,所述跨域权限请求携带推荐角色信息;
根据本域的时间约束规则和所述跨域权限请求携带的推荐角色信息确定所述角色映射关系。
步骤402,根据所述角色映射协商过程确定的角色映射关系为请求访问本域的其他域内的用户分配映射角色。
步骤403,根据所述约束规则及所述映射角色为所述其他域内的用户分配访问本域内的特定资源的权限。
利用本发明实施例授权管理方法,不仅可以灵活方便地实现对域内用户的授权管理,而且还可以通过域间角色的单向映射关系实现跨域的访问和授权控制。该方法通用性强,能够适用于各种大规模分布式网络环境。
为了进一步保证被访问资源的安全性,在本发明实施例的授权管理方法中,还可进一步包括以下步骤:在所述内部角色和/或映射角色访问特定资源之前检查执行环境是否满足预定条件,如果满足,则允许所述内部角色和/或映射角色访问特定资源,否则禁止所述内部角色和/或映射角色访问特定资源。
由于一个大型信息系统中的用户、角色、资源数量众多,并且这些要素可能属于不同的管理部门,单级的授权管理系统很难了解这些部门的实际工作需求,难以对整个应用系统中的资源、用户等进行有效管理。因此,在实际应用中,可以首先对多部门的管理域采用层层分级机制,抽象出更细的管理域划分,并建立相应的授权管理单元分别进行管理;其次,对各管理域内部进行逻辑分级,设置多个“虚拟管理域”,由管理域统一管理这些“虚拟管理域”,比如制定统一的授权策略、约束规则等,而虚拟管理域负责对相应的应用系统实施具体的授权操作。
(1)管理域分级
将一个多部门、跨地域的大型系统抽象为管理域md1,而下属的各部门定义为管理域md11、md12、md13......各部门的子部门定义为管理域md111、md112、md121......依次类推,对管理域md1的分级结果如图5所示。
通过对管理域的层层分级,可以将授权工作逐级分散到下级的各个管理域中,在授权管理过程中,上、下级管理域之间的关系仅体现在下级管理域服从上级管理域所制定的授权策略及各种约束规则,在具体的权限管理方面实行管理域自治。即一个管理域只能管理本域的用户、角色和权限,而不能对外域的用户、角色和权限管理进行干预。各授权管理单元管理各自所熟知的管理域,这样既提高了授权管理的效率,又加强了系统的安全性。例如图5中,md11自主管理本域各类元素,只在授权策略、约束规则上受md1的管理;由于md11与md13是相互独立的,因此在授权管理方面二者互不干预。
如果对大型管理域的分级深度过大,在域层次的管理、跨域互操作等方面可能会带来很大开销,因此,在实际应用中需要根据具体的应用需求来实施管理域的分级。
(2)管理域内部逻辑分级
对管理域内部逻辑分级的示意图如图6,这种分级方式得到两级的层次树。在图6中,作为叶子节点的管理域中可能仍存在多个子部门或管理着多个应用系统,为了提高管理域内部授权管理操作的效率和安全性,本模型对各个不可再分的管理域进行逻辑分级,通过设置并管理多个“虚拟管理域”vmd实现对管理权限的分级管理。由管理域制定统一的授权策略、约束规则等,再部署到虚拟管理域中,从而指导虚拟管理域对应的用户、应用系统实施具体的授权管理操作。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
以上对本发明实施例进行了详细介绍,本文中应用了具体实施方式对本发明进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及设备;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种授权管理系统,其特征在于,包括各自对本域内的授权操作进行独立管理的多个基本授权管理子系统,所述多个基本授权管理子系统之间通过域间角色的单向映射关系实现跨域的访问和授权控制,所述基本授权管理子系统包括:
内部角色分配单元,用于建立本域内的用户与内部角色的对应关系;
权限分配单元,用于根据预先设定的约束规则及所述本域内的用户与内部角色的对应关系为本域内的用户分配访问本域内的特定资源的权限;
角色协商单元,用于在进行跨域访问时与其他基本授权管理子系统进行角色映射协商过程;
跨域角色分配单元,用于根据所述角色映射协商过程确定的角色映射关系为请求访问本域的其他域内的用户分配映射角色;
所述权限分配单元,还用于根据所述约束规则及所述映射角色为所述其他域内的用户分配访问本域内的特定资源的权限。
2.根据权利要求1所述的系统,其特征在于,所述角色协商单元包括:
角色推荐子单元,用于为请求访问其他基本授权管理子系统的本域内的用户代发跨域权限请求,所述跨域权限请求携带推荐角色信息;
请求接收单元,用于接收其他基本授权管理子系统为其域内的用户发送的跨域权限请求,所述跨域权限请求携带推荐角色信息;
角色转换子单元,用于在所述请求接收单元收到所述跨域权限请求后,根据本域的时间约束规则和所述跨域权限请求携带的推荐角色信息确定所述角色映射关系。
3.根据权利要求1所述的系统,其特征在于,所述基本授权管理子系统还包括:
用户属性配置单元,用于配置本域内的用户在工作中使用的用户属性,所述用户属性包括用户名、用户身份标识和用户所属部门;
所述内部角色分配单元根据所述用户属性建立本域内的用户与内部角色的对应关系。
4.根据权利要求1所述的系统,其特征在于:所述内部角色包括:管理角色、普通角色、单位角色、虚角色;所述映射角色包括:管理角色和普通角色;所述系统还包括:
虚角色设置单元,用于设置共享权限的本域内的用户所属的虚角色;
虚角色权限映射单元,用于设置所述虚角色与所述内部角色的权限继承关系;
所述权限分配单元,还用于根据所述权限继承关系为共享权限的本域内的用户分配访问特定资源的权限。
5.根据权利要求1所述的系统,其特征在于,所述基本授权管理子系统还包括:
条件检查单元,用于在所述内部角色和/或映射角色访问特定资源之前和/或过程中检查执行环境是否满足预定条件,如果满足,则允许所述内部角色和/或映射角色访问特定资源,否则禁止所述内部角色和/或映射角色访问特定资源。
6.一种授权管理方法,其特征在于,各基本授权管理子系统独立对本域内的授权操作进行管理,各基本授权管理子系统之间通过域间角色的单向映射关系实现跨域的访问和授权控制,具体包括:
建立本域内的用户与内部角色的对应关系;
根据预先设定的约束规则及所述本域内的用户与内部角色的对应关系为本域内的用户分配访问本域内的特定资源的权限;
在进行跨域访问时与其他授权管理子系统进行角色映射协商过程;
根据所述角色映射协商过程确定的角色映射关系为请求访问本域的其他域内的用户分配映射角色;
根据所述约束规则及所述映射角色为所述其他域内的用户分配访问本域内的特定资源的权限。
7.根据权利要求6所述的方法,其特征在于,所述在进行跨域访问时与其他授权管理子系统进行角色映射协商过程包括:
当本域内的用户需要访问其他基本授权管理子系统时,向所述其他基本授权管理子系统发送跨域权限请求,所述跨域权限请求携带推荐角色信息;
接收其他基本授权管理子系统为其域内的用户发送的跨域权限请求,所述跨域权限请求携带推荐角色信息;
根据本域的时间约束规则和所述跨域权限请求携带的推荐角色信息确定所述角色映射关系。
8.根据权利要求6所述的方法,其特征在于,所述建立本域内的用户与内部角色的对应关系包括:
根据预先配置的本域内的用户在工作中使用的用户属性建立本域内的用户与内部角色的对应关系,所述用户属性包括用户名、用户身份标识和用户所属部门。
9.根据权利要求6所述的方法,其特征在于:所述内部角色包括:管理角色、普通角色、单位角色、虚角色;所述映射角色包括:管理角色和普通角色;所述方法还包括:
设置共享权限的本域内的用户所属的虚角色,及所述虚角色与所述内部角色的权限继承关系;
根据所述权限继承关系为共享权限的本域内的用户分配访问特定资源的权限。
10.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在所述内部角色和/或映射角色访问特定资源之前和/或过程中检查执行环境是否满足预定条件,如果满足,则允许所述内部角色和/或映射角色访问特定资源,否则禁止所述内部角色和/或映射角色访问特定资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910000051 CN101453475B (zh) | 2009-01-06 | 2009-01-06 | 一种授权管理系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910000051 CN101453475B (zh) | 2009-01-06 | 2009-01-06 | 一种授权管理系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101453475A CN101453475A (zh) | 2009-06-10 |
| CN101453475B true CN101453475B (zh) | 2012-07-04 |
Family
ID=40735498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910000051 Expired - Fee Related CN101453475B (zh) | 2009-01-06 | 2009-01-06 | 一种授权管理系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101453475B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645900B (zh) * | 2009-08-31 | 2012-08-01 | 国家信息中心 | 一种跨域权限管理系统及方法 |
| CN102088360B (zh) * | 2009-12-08 | 2013-12-25 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理系统及其实现方法 |
| US9449185B2 (en) * | 2011-12-16 | 2016-09-20 | Software Ag | Extensible and/or distributed authorization system and/or methods of providing the same |
| CN102664888B (zh) * | 2012-04-19 | 2015-08-26 | 中国科学院软件研究所 | 一种基于信任度的访问控制方法及其系统 |
| CN102882715B (zh) * | 2012-09-21 | 2016-08-24 | 北京国电通网络技术有限公司 | 一种权限管理系统 |
| CN103701608A (zh) * | 2013-12-25 | 2014-04-02 | 金蝶软件(中国)有限公司 | 基于erp系统的用户权限的认证方法和系统 |
| CN105243337A (zh) * | 2015-10-20 | 2016-01-13 | 上海斐讯数据通信技术有限公司 | 权限控制系统及方法 |
| CN106934585A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息软件技术有限公司 | 一种数据管理方法和数据管理装置 |
| CN106933889B (zh) * | 2015-12-31 | 2020-07-14 | 华为技术有限公司 | 用于筛选的规则的配置方法、显示方法和客户端 |
| CN105827663A (zh) * | 2016-06-02 | 2016-08-03 | 中国联合网络通信集团有限公司 | 访问控制方法和系统 |
| CN106127026A (zh) * | 2016-08-02 | 2016-11-16 | 泰康保险集团股份有限公司 | 权限配置方法和装置 |
| CN106453395A (zh) * | 2016-11-16 | 2017-02-22 | 航天信息股份有限公司 | 一种云平台资源访问权限的分级管理方法及系统 |
| CN108156115B (zh) * | 2016-12-02 | 2019-04-19 | 中科星图股份有限公司 | 一种部门间数据共享方法 |
| CN107392494A (zh) * | 2017-08-03 | 2017-11-24 | 成都牵牛草信息技术有限公司 | 监察审批操作、授权操作及表单操作的方法 |
| CN109948350B (zh) * | 2019-01-18 | 2023-06-02 | 深圳市万睿智能科技有限公司 | 一种层级组织结构账号权限分配方法及其系统与存储介质 |
| CN112230832B (zh) * | 2020-10-14 | 2022-04-08 | 浪潮云信息技术股份公司 | 一种跨组织用户的分级管理系统 |
| CN113590742B (zh) * | 2021-06-17 | 2023-12-26 | 北京中软国际信息技术有限公司 | 一种云平台访问控制方法 |
| CN114143100B (zh) * | 2021-12-06 | 2022-06-14 | 粤港澳大湾区数字经济研究院(福田) | 授权控制方法、系统、智能终端及计算机可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
| CN101286845A (zh) * | 2008-05-12 | 2008-10-15 | 华中科技大学 | 一种基于角色的域间访问控制系统 |
-
2009
- 2009-01-06 CN CN 200910000051 patent/CN101453475B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
| CN101286845A (zh) * | 2008-05-12 | 2008-10-15 | 华中科技大学 | 一种基于角色的域间访问控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101453475A (zh) | 2009-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101453475B (zh) | 一种授权管理系统及方法 | |
| Ferraiolo et al. | Extensible access control markup language (XACML) and next generation access control (NGAC) | |
| CN104573478B (zh) | 一种Web应用的用户权限管理系统 | |
| Sandhu et al. | The ARBAC97 model for role-based administration of roles: Preliminary description and outline | |
| CN100458813C (zh) | 带有精细访问控制策略的基于角色的访问控制模型的方法 | |
| Kern et al. | An administration concept for the enterprise role-based access control model | |
| Tsai et al. | Role-based access-control using reference ontology in clouds | |
| CN108322432B (zh) | 一种基于树形组织模型的机构应用权限管理方法及服务系统 | |
| Almenárez et al. | TrustAC: Trust-based access control for pervasive devices | |
| US20020083059A1 (en) | Workflow access control | |
| WO2009145760A1 (en) | Hierarchical administration of resources | |
| US8661503B2 (en) | Flexible document security for procurement agents | |
| Ahmed et al. | Security policies in distributed CSCW and workflow systems | |
| Zuo et al. | Tenant-based access control model for multi-tenancy and sub-tenancy architecture in Software-as-a-Service | |
| Ferraiolo et al. | The role control center: Features and case studies | |
| Moon et al. | Symmetric RBAC model that takes the separation of duty and role hierarchies into consideration | |
| Hasani et al. | Criteria specifications for the comparison and evaluation of access control models | |
| CN115378635B (zh) | 一种基于角色的系统间跨域访问控制方法及平台 | |
| Ferraiolo et al. | On the unification of access control and data services | |
| Kim et al. | Describing access control models as design patterns using roles | |
| Yao et al. | A task-role based access control model with multi-constraints | |
| Massacci et al. | From hippocratic databases to secure tropos: a computer-aided re-engineering approach | |
| Konstantinov et al. | The model of management access to the resources of the closed discretionary information computation environment in the form of corporate portal network | |
| Kazmi | Access control process for a saas provider | |
| Hung et al. | A paradigm for security enforcement in CapBasED-AMS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20170106 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |