您的当前位置：首页正文

多级跨域访问控制系统及控制方法[发明专利]

来源：画鸵萌宠网

(19)中华人民共和国国家知识产权局

*CN102761551A*

(10)申请公布号 CN 102761551 A(43)申请公布日 2012.10.31

(12)发明专利申请

(21)申请号 201210235205.9(22)申请日 2012.07.09

(71)申请人郑州信大捷安信息技术股份有限公

司

地址450046 河南省郑州市郑东新区东四环

西、商都路北郑州国家干线公路物流港综合服务楼A塔楼14层(72)发明人何骏张鲁国韩培胜梁松涛

赵国磊刘熙胖王曙光栗芳(74)专利代理机构北京鑫浩联德专利代理事务

所(普通合伙) 11380

代理人李荷香(51)Int.Cl.

H04L 12/24(2006.01)

H04L 29/06(2006.01)

(54)发明名称

多级跨域访问控制系统及控制方法(57)摘要

本发明涉及一种解决在多级管理域情况下的多级跨域访问控制系统及控制方法，通过基于多级角色的映射机制，实现了跨域访问控制，该方法基于部署于全国和省级的各个跨域访问中心实现，跨域访问中心提供跨域角色申请、查询服务，管理员能够对各个跨域访问中心进行管理，该方法包括跨域访问控制授权，以及根据授权对用户的跨域访问行为进行访问控制两个步骤，跨域访问控制授权会在涉及的跨域访问中心中建立相应跨域角色，对用户访问进行控制是依据跨域角色和主、客体所在域的映射关系,得到跨域主体对客体的访问权限，最后由客体所在域进行控制的，对安全服务平台中全国、省、地市三级跨域访问进行管理，使得跨域访问控制具有自治管理、用户透明、便于扩展特点。

权利要求书 1 页说明书 4 页附图 2 页权利要求书1页说明书4页附图2页

CN 102761551 ACN 102761551 A

权利要求书

1/1页

1.一种适用于安全服务平台的多级跨域访问控制系统，其特征在于：该多级跨域访问控制系统包括：

分别部署于全国和省级域的各个跨域访问中心，而且各个跨域访问中心之间能够相互通信；

各个跨域访问中心提供跨域角色申请、查询服务，下级跨域访问中心通过这些服务能够实现角色的映射；

各个跨域访问中心提供管理员管理功能，管理员能够对各个跨域访问中心进行配置管理，并能够进行跨域角色审批、申请业务；

具有一个数据存储数据库，存储各个跨域访问中心的数据。2.一种基于角色映射的多级跨域访问控制方法，其特征在于：其步骤如下：步骤一、进行跨域访问控制授权，对要进行跨域访问的主体和客体进行相应的授权，以决定主体能对客体进行哪些操作；

步骤二、根据授权对用户的跨域访问行为进行访问控制，如果主体对客体的访问已授权则允许，否则拒绝。

3. 根据权利要求2所述的基于角色映射的多级跨域访问控制方法，其特征在于：所述步骤一中还包含如下步骤：

步骤1、跨域访问主体所在域建立域内角色与其省级跨域访问中心的角色映射关系，如果省级跨域访问中心中相应角色不存在，则提出申请，转入步骤2，否则转入步骤5；

步骤2、省级跨域访问中心管理员根据下级域提出的申请进行审核，如果同意则建立新的跨域角色，并向全国跨域访问中心提出申请；

步骤3、全国跨域访问中心审核申请，然后建立该全国跨域角色；步骤4、跨域访问控制客体所在省级跨域访问中心建立本级跨域角色与全国跨域角色的映射关系；

步骤5、跨域访问控制客体所在域建立本域内跨域角色与其省级跨域中心角色的映射关系，此时指定跨域访问主体的约束条件，对跨域访问采取更加严格的控制；

步骤6、映射关系建立完毕后，跨域访问控制客体所在域对该角色访问的客体及其具体的访问权限进行设置。

4. 根据权利要求2所述的基于角色映射的多级跨域访问控制方法，其特征在于：所述步骤二中还包含如下步骤：

步骤1、跨域访问主体UserA向客体所在域提供自己域内的角色RoleA；步骤2、跨域访问控制客体域将RoleA提交给其省级跨域访问中心，省级跨域访问中心将其提交给全国跨域访问中心，全国跨域访问中心将其提交给主体所在域的省级跨域访问中心，省级跨域访问中心再将其提出给主体所在域；

步骤3、主体所在域根据映射关系得到其省级角色，省级跨域访问中心根据主体域省级角色得到其全国角色，全国中心将其全国角色提交给客体所在省级域跨域访问中心，省级域跨域访问中心根据角色映射关系得到其客体域省级角色，客体所在域根据映射关系其本域内角色RoleB；

步骤4、客体所在域根据RoleB和主体约束条件进行决策，如果RoleB具有客体的访问权限则予以放行，否则予以拒绝。

CN 102761551 A

说明书

多级跨域访问控制系统及控制方法

1/4页

技术领域

本发明属于计算机信息安全技术领域，涉及一种解决在多级管理域情况下的多级

跨域访问控制系统及控制方法，通过基于多级角色的映射机制，实现了跨域访问控制。

[0001]

背景技术

安全接入服务平台由全国、省、地市两级构成，在全国、省、地市级都存在应用服务，每一级中的每个节点都是一个访问控制域，在一般情况下，每个域的用户都访问域内的应用，但是在某些情况下，由于业务需求，用户可能需要访问其它域中的应用，此时就要进行跨域访问。

[0003] 由于每个域都有自己的访问控制系统，在多个域互操作时，主体和客体不在一个域中，此时无论是主体所在域还是客体所在域都无法正常地进行访问控制，因此，原来域内的访问控制方法无法直接应用到跨域访问控制中。

[0004] 目前跨域访问控制解决方法都是引入一个第三方的跨域访问控制中心，通过该中心对各域的访问控制进行协调和控制，然而，在安全接入服务平台中，访问控制域是一种多层级的结构，现有的技术方法都是解决对等域间的跨域访问控制问题，无法在多层级管理的情况下工作。因此，需要一种支持多级跨域访问控制方法，以满足安全接入服务平台中多级跨域访问控制的需求。

[0002]

发明内容

[0005] 为了满足安全服务平台多级跨域访问需求，本发明提供一种多级跨域访问控制系统及控制方法，对安全服务平台中全国、省、地市三级跨域访问进行管理，使得跨域访问控制具有自治管理、用户透明、便于扩展特点。[0006] 本发明的技术方案如下：

一种适用于安全服务平台的多级跨域访问控制系统，其特征在于：该多级跨域访问控制系统包括：

分别部署于全国和省级域的各个跨域访问中心，而且各个跨域访问中心之间能够相互通信；

各个跨域访问中心提供跨域角色申请、查询服务，下级跨域访问中心通过这些服务能够实现角色的映射；

各个跨域访问中心提供管理员管理功能，管理员能够对各个跨域访问中心进行配置管理，并能够进行跨域角色审批、申请业务；

具有一个数据存储数据库，存储各个跨域访问中心的数据。[0007] 一种基于角色映射的多级跨域访问控制方法，其特征在于：其步骤如下：

步骤一、进行跨域访问控制授权，对要进行跨域访问的主体和客体进行相应的授权，以决定主体能对客体进行哪些操作；

步骤二、根据授权对用户的跨域访问行为进行访问控制，如果主体对客体的访问已授

CN 102761551 A

说明书

2/4页

权则允许，否则拒绝。

[0008] 所述步骤一中还包含如下步骤：

步骤2、省级跨域访问中心管理员根据下级域提出的申请进行审核，如果同意则建立新的跨域角色，并向全国跨域访问中心提出申请；

步骤6、映射关系建立完毕后，跨域访问控制客体所在域对该角色访问的客体及其具体的访问权限进行设置。

[0009] 所述步骤二中还包含如下步骤：

步骤4、客体所在域根据RoleB和主体约束条件进行决策，如果RoleB具有客体的访问权限则予以放行，否则予以拒绝。[0010] 本发明的特点及效果如下：

本发明利用多级角色映射的方法，实现了多级管理域条件下的访问控制，适应于安全接入服务平台的多级管理结构，目前所有的跨域访问控制方法均采取单级域的结构，无法适应安全接入服务平台的需求。

[0011] 另外通过角色映射实现了跨域访问的自治管理，访问控制主体域和客体域可以分别进行授权，而不需要进行特别的沟通，增加了访问授权的使得性。通过带有主体约束的访问控制，能够对访问主体进行进一步的限制，实现了最小特权的管理。[0012] 在整个跨域访问控制过程中，所有用户角色转换过程均在后台进行，用户不用关心跨域访问控制的所进行复杂的流程，实现了对用户访问控制的透明管理。附图说明

图1跨域中心部署拓扑结构图。[0014] 图2跨域中心模块结构图。[0015] 图3跨域访问控制流程图。

[0013]

CN 102761551 A

说明书

3/4页

具体实施方式

[0016] 一种跨域访问中心，其实施方式如下：

跨域访问中心分别部署于全国和省级域，而且能够相互通信。图1是跨域中心部署拓扑结构图，省级跨域中心与下级用户管理服务器和访问控制服务器相连接，全国跨域中心与各省级跨域中心通过专线相连接。图2是跨域中心模块结构框图，跨域访问中心主要由服务层、管理层、和数据库三部分构成，服务层负责提供相应的在线服务，管理层提供域管理员维护的手段，数据库负责存储角色及其相关数据。[0017] 服务层提供跨域角色申请、查询等服务，下级域能够通过这些服务能够实现角色的映射，所有服务由跨域中心的服务层提供。服务层在具体实现时包括LDAP模块、角色申请服务模块、访问控制服务模块，LDAP模块负责角色发布的目录服务，角色申请服务模块用于在授权时能够接收下级角色申请请求，访问控制服务模块用于访问控制过程中提供角色映射关系的查询功能。角色申请服务模块和访问控制服务模块采用WebService技术实现。[0018] 管理层提供管理员管理功能，管理员能够对域管理中心进行配置管理，并能够进行跨域角色审批、申请等业务，其主要由审批模块、角色维护模块、系统配置模块等。审批模块对所管辖的域的跨域角色请求进行查看和审批，通过审批的角色将会发布到LDAP里，角色维护模块提供跨域角色的浏览、创建、更新等日常维护功能，系统配置模块提供网络配置、数据库配置、系统运行参数配置等功能。

[0019] 数据库提供了跨域角色等数据的存储功能，采用的是MySql数据库，安装于跨域访问中心或采用专门的数据库服务器。

[0020] 一种基于角色映射的多级跨域访问控制方法，其实施方式如下：

步骤一.进行跨域访问控制授权，对要进行跨域访问的主体和客体进行相应的授权，以决定主体能对客体进行哪些操作；

步骤二.根据授权对用户的跨域访问行为进行访问控制，如果主体对客体的访问已授权则允许，否则拒绝。

[0021] 上述步骤一所述的访问控制授权的实施方式如下：

步骤1．跨域访问主体所在域的建立域内角色与其省级跨域访问中心的角色映射关系，该过程由跨域访问主体所在域的用户管理员完成，用户管理员登录用户管理系统，用户管理系统连接省级跨域中心的LDAP服务器，检查所有角色的相关属性，如果角色符合跨域访问要求，则在用户管理系统中直接建立角色，进入步骤5，否则由用户管理员填写跨域角色申请表，包括要访问的服务、时间、原因等信息，通过用户管理系统提交给省级跨域访问中心的角色申请服务模块，并转入步骤2。

[0022] 步骤2.省级跨域访问中心管理员根据下级域提出的申请进行审核，所有待审核信息均由角色申请服务模块接收并放入到数据库中，省级跨域访问中心的管理员登录后，能够通过WEB管理系统查看到该申请，管理员在本级建立跨域角色，并将该角色发布到LDAP中，之后将请求转交给全国跨域中心的角色申请服务模块。

[0023] 步骤3.全国跨域访问中心管理员登录其管理系统审核申请，所有待审核信息均由角色申请服务模块接收并放入到数据库中，全国跨域访问中心的管理员登录后，能够通过WEB管理系统查看到该申请，申请通过后，管理员在本级建立跨域角色，并将该角色发布到其LDAP中。

CN 102761551 A[0024]

说明书

4/4页

步骤4.跨域访问控制客体所在省级跨域访问中心发现有角色在全国LDAP服务

器上发布后，便建立本级跨域访问中心的相应跨域访问角色，并将其发布到其LDAP服务器中。

[0025] 步骤5.当省级跨域访问中心建立角色后，跨域访问控制客体所在域管理员登录用户管理系统，建立本域内跨域角色与其省级跨域中心角色的映射关系，根据实际的访问控制需求，管理员可以指定跨域访问主体的约束条件，比如职务、级别、部门等，这些因素用来对跨域访问采取更加严格的控制。[0026] 步骤6.映射关系建立完毕后，跨域访问控制客体所在域对该角色访问的客体及其具体的访问权限进行设置。[0027] 在以上2、3步骤中，如果审核不通过，则中止跨域访问授权流程。[0028] 上述步骤二所述的访问控制实施方式如图3所示，具体方法如下：

步骤1.跨域访问主体UserA向客体所在域提供自己域内的角色RoleA，此过程中涉及到用户鉴别的过程，用户鉴别可采用SSL、IPSEC等方法实施，此处并不限制具体的用户身份鉴别方式。。

[0029] 步骤2.跨域访问控制客体域确定用户身份合法后，将RoleA提交给其省级跨域访问中心，省级跨域访问中心将其提交给全国跨域访问中心，全国跨域访问中心将其提交给主体所在域的省级跨域访问中心，省级跨域访问中心再将其提出给主体所在域。[0030] 步骤3.主体所在域根据映射关系得到其省级角色，省级跨域访问中心根据主体域省级角色得到其全国角色，全国中心将其全国角色提交给客体所在省级域跨域访问中心，省级域跨域访问中心根据角色映射关系得到其客体域省级角色，客体所在域根据映射关系其本域内角色RoleB。

[0031] 步骤4.客体所在域根据RoleB和主体约束条件进行决策，该决策过程由上述已经授权的RoleB在域中的权限进行，其实施过程由客体所在域的本身访问控制机制完成，如果RoleB具有客体的访问权限则予以放行，否则予以拒绝。[0032] 在以上步骤3中，如果角色映射关系查找失败，则返回错误，此次访问将被拒绝。

CN 102761551 A

说明书附图

1/2页

图1

图2

CN 102761551 A

说明书附图

2/2页

图3

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文