CN101951372A - 一种双授权跨域访问控制方法 - Google Patents
一种双授权跨域访问控制方法 Download PDFInfo
- Publication number
- CN101951372A CN101951372A CN2010102859914A CN201010285991A CN101951372A CN 101951372 A CN101951372 A CN 101951372A CN 2010102859914 A CN2010102859914 A CN 2010102859914A CN 201010285991 A CN201010285991 A CN 201010285991A CN 101951372 A CN101951372 A CN 101951372A
- Authority
- CN
- China
- Prior art keywords
- domain
- cross
- access
- access control
- true
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明的目的在于公开一种双授权跨域访问控制方法,针对用户分别由访问域和资源域进行信任度计算和跨域行为计算,根据结果,分别由访问域和资源域单独依据最小角色原则和最大时间规范进行联合跨域访问控制,实现逻辑隔离的不同信任域之间的相互访问,解决信任问题,实现可控的安全访问,将极大推动不同信任域的网络的互联互通,更安全,更可控,实现本发明的目的。
Description
技术领域
本发明涉及一种访问控制方法,特别涉及一种使用在计算机信息安全领域的双授权跨域访问控制方法。
背景技术
目前随着全国各个系统、产业信息化工作的开展,各个网络应用系统逐渐需要通过互联互通来发挥信息化更大的效能。
与之相对应的,相互之间属于不同信任域,又要有信息共享与业务协作的情况,已出现在某些电子政务,电子商务领域。
而要在不同网络之间相互访问,访问的安全性、可控性就成为新出现的问题。
因此,针对现有技术的缺陷,特别需要一种双授权跨域访问控制方法,以解决以上提到的问题。
发明内容
本发明的目的在于提供一种双授权跨域访问控制方法,针对现有技术存在的上述不足,针对用户分别由访问域和资源域单独进行信任度计算和跨域行为计算,根据结果,依据最小授权原则和时间规范原则进行联合跨域访问控制,实现不同信任域之间的安全可控的访问。
本发明所解决的技术问题可以采用以下技术方案来实现:
一种双授权跨域访问控制方法,其特征在于,它包括如下步骤:
(1)访问域的用户经过访问域信任度和跨域行为的计算后,被访问域跨域访问控制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色;
(2)访问域的用户经过访问域信任度和跨域行为的计算后,访问域跨域访问控制授权系统授予该角色完成本次行为的最长时间规范;
(3)访问域跨域访问控制授权系统允许本域的用户跨域访问;
(4)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资源域的一个角色;
(5)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授权系统授予对应的角色完成本次行为的最长时间规范;
(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问;
(7)访问域的用户完成对资源域的资源的访问。
在本发明的一个实施例中,所述最小授权是指本域的跨域访问控制授权系统授予用户完成跨域访问所需的权限对应的最小角色。
在本发明的一个实施例中,所述最长时间规范是指本域的跨域访问控制授权系统对完成本次跨域访问行为的用户对应的最小角色一个最长时间生命期,当生命期到期后,用户和最小角色的对应关系自动终止。
在本发明的一个实施例中,访问域的用户U(A)的约束条件包括:
(1)约束条件A1:若访问域用户U(A),则域条件U(A)属于访问域为TRUE,否则为FALSE;
(2)约束条件A2:若访问域用户U(A)访问资源域,则访问域用户U(A)通过访问域的信任度和行为的计算为TRUE,否则为FALSE;
(3)约束条件A3:若约束条件A2为TRUE,则访问域的跨域访问控制授权系统授予角色Role(A)为TRUE,否则为FALSE;
(4)约束条件A4:若Role(A)为访问域中完成本次行为的最小角色为TRUE,否则为FALSE;
(5)约束条件A5:若约束条件A4为TRUE,则通过访问域的信任度和行为的计算后,给与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE;
(6)约束条件A6:通过访问域的跨域访问控制授权系统的策略执行点向资源域的跨域访问控制授权系统策略执行点发出访问请求为TRUE,否则为FALSE。
在本发明的一个实施例中,跨域访问角色的映射授权的约束条件包括:
(1)约束条件BI:资源域的跨域访问控制授权系统策略执行点接受访问域的跨域访问控制授权系统的策略执行点发出的访问请求为TRUE,否则为FALSE;
(2)约束条件B2:通过资源域的信任度和行为的计算后,资源域的跨域访问控制授权系统设定本域的一个角色Role(B)为完成本次行为的最小角色为TRUE,否则为FALSE;
(3)约束条件B3:通过资源域的信任度和行为的计算后,给与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE;
(4)约束条件B4:通过资源域的策略执行点完成Role(A)和Role(B)的映射授权为TRUE,否则为FALSE。
在本发明的一个实施例中,访问域用户U(A)欲访问资源域资源Z(B),通过以下步骤实现U(A)对资源域资源Z(B)的授权访问:
(1)访问域的跨域访问控制授权系统执行约束条件A1,若为TRUE,则继续;否则,中止授权;
(2)访问域的跨域访问控制授权系统执行约束条件A2,若为TRUE,则继续;否则,中止授权;
(3)访问域的跨域访问控制授权系统执行约束条件A4,若为TRUE,则继续;否则,中止授权;
(4)访问域的跨域访问控制授权系统执行约束条件A5,若为TRUE,则继续;否则,中止授权;
(5)访问域的跨域访问控制授权系统执行约束条件A6,若为TRUE,则继续;否则,中止授权;
(6)资源域的跨域访问控制授权系统执行约束条件B1,若为TRUE,则继续;否则,中止授权;
(7)资源域的跨域访问控制授权系统执行约束条件B2,若为TRUE,则继续;否则,中止授权;
(8)资源域的跨域访问控制授权系统执行约束条件B3,若为TRUE,则继续;否则,中止授权;
(9)资源域的跨域访问控制授权系统执行约束条件B4,若为TRUE,则继续;否则,中止授权;
(10)访问域用户U(A)取得本次对资源域资源的访问权限。
本发明的双授权跨域访问控制方法,针对用户分别由访问域和资源域进行信任度计算和跨域行为计算,根据结果,分别由访问域和资源域单独依据最小角色原则和最大时间规范进行联合跨域访问控制,实现逻辑隔离的不同信任域之间的相互访问,解决信任问题,实现可控的安全访问,将极大推动不同信任域的网络的互联互通,更安全,更可控,实现本发明的目的。
本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了解。
附图说明
图1为本发明的双授权跨域访问控制方法的原理示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
如图1所示,本发明的双授权跨域访问控制方法,它包括如下步骤:
(1)访问域的用户经过访问域信任度和跨域行为的计算后,被访问域跨域访问控制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色;
(2)访问域的用户经过访问域信任度和跨域行为的计算后,访问域跨域访问控制授权系统授予该角色完成本次行为的最长时间规范;
(3)访问域跨域访问控制授权系统允许本域的用户跨域访问;
(4)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资源域的一个角色;
(5)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授权系统授予对应的角色完成本次行为的最长时间规范;
(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问;
(7)访问域的用户完成对资源域的资源的访问。
在本发明中,所述最小授权是指本域的跨域访问控制授权系统授予用户完成跨域访问所需的权限对应的最小角色。
在本发明中,所述最长时间规范是指本域的跨域访问控制授权系统对完成本次跨域访问行为的用户对应的最小角色一个最长时间生命期,当生命期到期后,用户和最小角色的对应关系自动终止。
访问域用户访问资源域资源的具体实现过程如下:
1、跨域访问的域内授权
访问域用户U(A)的约束条件包括:
(1)约束条件A1:若访问域用户U(A),则域条件U(A)属于访问域为TRUE,否则为FALSE;
(2)约束条件A2:若访问域用户U(A)访问资源域,则访问域用户U(A)通过访问域的信任度和行为的计算为TRUE,否则为FALSE;
(3)约束条件A3:若约束条件A2为TRUE,则访问域的跨域访问控制授权系统授予角色Role(A)为TRUE,否则为FALSE;
(4)约束条件A4:若Role(A)为访问域中完成本次行为的最小角色为TRUE,否则为FALSE;
(5)约束条件A5:若约束条件A4为TRUE,则通过访问域的信任度和行为的计算后,给与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE;
(6)约束条件A6:通过访问域的跨域访问控制授权系统的策略执行点向资源域的跨域访问控制授权系统策略执行点发出访问请求为TRUE,否则为FALSE。
2、跨域访问角色的映射授权的约束条件包括:
(1)约束条件B1:资源域的跨域访问控制授权系统策略执行点接受访问域的跨域访问控制授权系统的策略执行点发出的访问请求为TRUE,否则为FALSE;
(2)约束条件B2:通过资源域的信任度和行为的计算后,资源域的跨域访问控制授权系统设定本域的一个角色Role(B)为完成本次行为的最小角色为TRUE,否则为FALSE;
(3)约束条件B3:通过资源域的信任度和行为的计算后,给与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE;
(4)约束条件B4:通过资源域的策略执行点完成Role(A)和Role(B)的映射授权为TRUE,否则为FALSE。
3、跨域访问控制:
访问域用户U(A)欲访问资源域资源Z(B),通过以下步骤实现U(A)对资源域资源Z(B)的授权访问:
(1)访问域的跨域访问控制授权系统执行约束条件A1,若为TRUE,则继续;否则,中止授权;
(2)访问域的跨域访问控制授权系统执行约束条件A2,若为TRUE,则继续;否则,中止授权;
(3)访问域的跨域访问控制授权系统执行约束条件A4,若为TRUE,则继续;否则,中止授权;
(4)访问域的跨域访问控制授权系统执行约束条件A5,若为TRUE,则继续;否则,中止授权;
(5)访问域的跨域访问控制授权系统执行约束条件A6,若为TRUE,则继续;否则,中止授权;
(6)资源域的跨域访问控制授权系统执行约束条件B1,若为TRUE,则继续;否则,中止授权;
(7)资源域的跨域访问控制授权系统执行约束条件B2,若为TRUE,则继续;否则,中止授权;
(8)资源域的跨域访问控制授权系统执行约束条件B3,若为TRUE,则继续;否则,中止授权;
(9)资源域的跨域访问控制授权系统执行约束条件B4,若为TRUE,则继续;否则,中止授权;
(10)访问域用户U(A)取得本次对资源域资源的访问权限。
4、访问控制
访问域的跨域访问控制授权系统和资源域的跨域访问控制授权系统根据上述1、2、3访问决策应答,决定是否响应用户U的访问,若返回的应答为True,响应用户U的请求,否则拒绝。
访问域的跨域访问控制授权系统执行本域内时间最大规范,若为TRUE,则继续;否则,中止用户的跨域访问。
资源域的跨域访问控制授权系统执行本域内时间最大规范,若为TRUE,则继续;否则,中止用户的跨域访问。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (6)
1.一种双授权跨域访问控制方法,其特征在于,它包括如下步骤:
(1)访问域的用户经过访问域信任度和跨域行为的计算后,被访问域跨域访问控制授权系统授予访问域中可以完成本次行为的最小权限的可以跨域的一个角色;
(2)访问域的用户经过访问域信任度和跨域行为的计算后,访问域跨域访问控制授权系统授予该角色完成本次行为的最长时间规范;
(3)访问域跨域访问控制授权系统允许本域的用户跨域访问;
(4)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授权系统授予访问域用户可以对应的角色能够映射一个可以完成本次行为的最小权限的资源域的一个角色;
(5)资源域经过计算访问域用户的信任度和跨域行为后,资源域跨域访问控制授权系统授予对应的角色完成本次行为的最长时间规范;
(6)资源域跨域访问控制授权系统允许访问域的用户跨域访问;
(7)访问域的用户完成对资源域的资源的访问。
2.如权利要求1所述的双授权跨域访问控制方法,其特征在于,所述最小授权是指本域的跨域访问控制授权系统授予用户完成跨域访问所需的权限对应的最小角色。
3.如权利要求1所述的双授权跨域访问控制方法,其特征在于,所述最长时间规范是指本域的跨域访问控制授权系统对完成本次跨域访问行为的用户对应的最小角色一个最长时间生命期,当生命期到期后,用户和最小角色的对应关系自动终止。
4.如权利要求1所述的双授权跨域访问控制方法,其特征在于,访问域的用户U(A)的约束条件包括:
(1)约束条件A1:若访问域用户U(A),则域条件U(A)属于访问域为TRUE,否则为FALSE;
(2)约束条件A2:若访问域用户U(A)访问资源域,则访问域用户U(A)通过访问域的信任度和行为的计算为TRUE,否则为FALSE;
(3)约束条件A3:若约束条件A2为TRUE,则访问域的跨域访问控制授权系统授予角色Role(A)为TRUE,否则为FALSE;
(4)约束条件A4:若Role(A)为访问域中完成本次行为的最小角色为TRUE,否则为FALSE;
(5)约束条件A5:若约束条件A4为TRUE,则通过访问域的信任度和行为的计算后,给与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE;
(6)约束条件A6:通过访问域的跨域访问控制授权系统的策略执行点向资源域的跨域访问控制授权系统策略执行点发出访问请求为TRUE,否则为FALSE。
5.如权利要求1所述的双授权跨域访问控制方法,其特征在于,跨域访问角色的映射授权的约束条件包括:
(1)约束条件B1:资源域的跨域访问控制授权系统策略执行点接受访问域的跨域访问控制授权系统的策略执行点发出的访问请求为TRUE,否则为FALSE;
(2)约束条件B2:通过资源域的信任度和行为的计算后,资源域的跨域访问控制授权系统设定本域的一个角色Role(B)为完成本次行为的最小角色为TRUE,否则为FALSE;
(3)约束条件B3:通过资源域的信任度和行为的计算后,给与该角色一个完成本次访问的最长时间规范为TRUE,否则为FALSE;
(4)约束条件B4:通过资源域的策略执行点完成Role(A)和Role(B)的映射授权为TRUE,否则为FALSE。
6.如权利要求1所述的双授权跨域访问控制方法,其特征在于,访问域用户U(A)欲访问资源域资源Z(B),通过以下步骤实现U(A)对资源域资源Z(B)的授权访问:
(1)访问域的跨域访问控制授权系统执行约束条件A1,若为TRUE,则继续;否则,中止授权;
(2)访问域的跨域访问控制授权系统执行约束条件A2,若为TRUE,则继续;否则,中止授权;
(3)访问域的跨域访问控制授权系统执行约束条件A4,若为TRUE,则继续;否则,中止授权;
(4)访问域的跨域访问控制授权系统执行约束条件A5,若为TRUE,则继续;否则,中止授权;
(5)访问域的跨域访问控制授权系统执行约束条件A6,若为TRUE,则继续;否则,中止授权;
(6)资源域的跨域访问控制授权系统执行约束条件B1,若为TRUE,则继续;否则,中止授权;
(7)资源域的跨域访问控制授权系统执行约束条件B2,若为TRUE,则继续;否则,中止授权;
(8)资源域的跨域访问控制授权系统执行约束条件B3,若为TRUE,则继续;否则,中止授权;
(9)资源域的跨域访问控制授权系统执行约束条件B4,若为TRUE,则继续;否则,中止授权;
(10)访问域用户U(A)取得本次对资源域资源的访问权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102859914A CN101951372A (zh) | 2010-09-17 | 2010-09-17 | 一种双授权跨域访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102859914A CN101951372A (zh) | 2010-09-17 | 2010-09-17 | 一种双授权跨域访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101951372A true CN101951372A (zh) | 2011-01-19 |
Family
ID=43454733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102859914A Pending CN101951372A (zh) | 2010-09-17 | 2010-09-17 | 一种双授权跨域访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101951372A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314318A (zh) * | 2020-01-20 | 2020-06-19 | 扆亮海 | 不同域间安全互操作的跨域授权访问管制系统 |
| CN111695112A (zh) * | 2019-03-15 | 2020-09-22 | 北京数聚鑫云信息技术有限公司 | 一种动态控制访问权限的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6023765A (en) * | 1996-12-06 | 2000-02-08 | The United States Of America As Represented By The Secretary Of Commerce | Implementation of role-based access control in multi-level secure systems |
| CN1633085A (zh) * | 2004-12-29 | 2005-06-29 | 北京邮电大学 | 一种基于无等级角色间映射的访问控制方法 |
| CN101771698A (zh) * | 2010-01-15 | 2010-07-07 | 南京邮电大学 | 基于可扩展标记语言安全策略的网格访问控制方法 |
-
2010
- 2010-09-17 CN CN2010102859914A patent/CN101951372A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6023765A (en) * | 1996-12-06 | 2000-02-08 | The United States Of America As Represented By The Secretary Of Commerce | Implementation of role-based access control in multi-level secure systems |
| CN1633085A (zh) * | 2004-12-29 | 2005-06-29 | 北京邮电大学 | 一种基于无等级角色间映射的访问控制方法 |
| CN101771698A (zh) * | 2010-01-15 | 2010-07-07 | 南京邮电大学 | 基于可扩展标记语言安全策略的网格访问控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| 邹翔等: "跨域访问控制与边界防御方法研究", 《计算机应用研究》, vol. 27, no. 4, 30 April 2010 (2010-04-30), pages 1481 - 1483 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111695112A (zh) * | 2019-03-15 | 2020-09-22 | 北京数聚鑫云信息技术有限公司 | 一种动态控制访问权限的方法及装置 |
| CN111695112B (zh) * | 2019-03-15 | 2023-06-02 | 北京数聚鑫云信息技术有限公司 | 一种动态控制访问权限的方法及装置 |
| CN111314318A (zh) * | 2020-01-20 | 2020-06-19 | 扆亮海 | 不同域间安全互操作的跨域授权访问管制系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101764692B (zh) | 一种跨域动态细粒度访问控制方法 | |
| CN108737370B (zh) | 一种基于区块链的物联网跨域认证系统及方法 | |
| US8375430B2 (en) | Roaming secure authenticated network access method and apparatus | |
| US20210176251A1 (en) | Access Control Method and Industrial Network Using a Blockchain for Access Control | |
| JP2021040330A (ja) | デバイスを認証および認可するためのシステムおよび方法 | |
| US20110113484A1 (en) | Unified system interface for authentication and authorization | |
| CN111475831B (zh) | 一种基于拟态防御的数据访问控制方法及系统 | |
| US20170064556A1 (en) | On-Device Authorization of Devices for Collaboration and Association | |
| CN106487763A (zh) | 一种基于云计算平台的数据访问方法及用户终端 | |
| CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
| CN108092945A (zh) | 访问权限的确定方法和装置、终端 | |
| CN106230818A (zh) | 一种信息管理系统的资源授权方法 | |
| CN106685955B (zh) | 一种基于Radius的视频监控平台安全认证方法 | |
| Liang et al. | DESC: enabling secure data exchange based on smart contracts [J] | |
| CN105373714B (zh) | 一种用户权限控制方法和装置 | |
| CN104504340A (zh) | 一种基于电力系统安全标签的强制访问控制方法 | |
| CN107147665B (zh) | 基于属性的访问控制模型在工业4.0系统中的应用方法 | |
| CN104504343A (zh) | 一种基于资源粒度的权限控制方法 | |
| CN101309279A (zh) | 终端访问的控制方法、系统和设备 | |
| CN101951372A (zh) | 一种双授权跨域访问控制方法 | |
| CN103069767B (zh) | 交付认证方法 | |
| TW201638818A (zh) | 用於具有可替換部件的機器之數位身分及授權 | |
| CN101860436A (zh) | 一项精准控制系统用户数据权限的技术 | |
| CN105763532A (zh) | 一种登录虚拟桌面的方法及装置 | |
| CN104935576A (zh) | 数据安全分存和指定用户分享系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110119 |