一种跨域动态权限控制方法及系统技术方案

本发明专利技术涉及一种跨域动态权限控制方法及系统，在该方法中，包括：在云环境下注册多个子域，每两个子域之间均通过边界设备进行隔离，并且在云环境下部署统一认证中心、域定位服务器和统一属性注册中心，所述统一认证中心和域定位服务器分别用于对用户进行认证和鉴定用户具有权限的子域，用户通过统一认证中心登陆到云环境后，通过域定位服务器分配到所属的子域，所述统一属性注册中心用于对所有子域的属性进行注册和管理。本发明专利技术以属性访问控制模型为基础，来对各个子域的属性进行实时注册，实现更高扩展性和安全性的资源访问机制。

A Cross-domain Dynamic Privilege Control Method and System

The invention relates to a cross-domain dynamic permission control method and system, which includes: registering multiple sub-domains in cloud environment, isolating each sub-domain through boundary devices, and deploying unified authentication center, domain location server and unified attribute registry in cloud environment. The unified authentication center and domain location server are used to enter users respectively. Subdomains with authority are authenticated and authenticated. After users log on to the cloud environment through the unified authentication center, they are assigned to their subdomains through the domain location server. The unified attribute registry is used to register and manage the attributes of all subdomains. Based on the attribute access control model, the invention registers the attributes of each subdomain in real time, and achieves a resource access mechanism with higher scalability and security.

【技术实现步骤摘要】
一种跨域动态权限控制方法及系统
本专利技术涉及访问权限管理
，尤其涉及一种跨域动态权限控制方法及系统。
技术介绍
云计算是当前信息
的热点之一，是产业界、学术界、政府等各界均十分关注的焦点。其核心思想是将大量计算资源、存储资源与软件资源链接在一起，形成规模巨大的共享资源池，数据拥有者包括企业、个人或者组织等。云服务商为数据拥有者提供数据托管服务，同样也可为云用户提供各种类型的云资源/服务。传统架构模式下的物理安全边界域消失，而是以逻辑安全域的形式存在，云资源失去了物理边界域的安全控制，存在数据安全性与隐私性的隐患。目前，针对云环境下多安全域的访问控制没有统一的方法，一般上是采用不做控制、边界设备控制、切换子系统、单点登录等方法进行控制。(1)、不做控制：同一云环境下采用云认证机制登陆，对认证成功后的用户，云内所有资源对其开放，实际上默认整体云环境为同一个安全域，是最粗犷的控制方法，用于安全要求不高，各个安全域之间差别不大的环境。(2)、边界设备控制：在云中利用不同域之间的边界设备，通过预置静态的控制策略，对资源访问进行控制，由于控制策略固定，灵活度不高，可以作为基础的控制策略，主要缺点是细粒度不高，控制能力差，适合简单控制。(3)、切换子系统：在不同域中部署不同的服务体系，采用独立的认证模式，云用户通过切换不同的子系统来达到访问不同安全域的资源的目的，但是各子系统相互之间没有联系，只能通过部分开放的接口进行数据层的调用，而且用户在几个系统之间相互切换，操作繁琐，容易失误。(4)、单点登录：在不同域中部署不同的服务系统，各系统包含独立的认证模式，并部署单点登录服务，打通各个域的权限体系，即A域服务请求B域时会带有认证信息，表明请求是A域认证通过，并给予简单的用户信息使得B域为此用户鉴权并分配资源，构造单点登录服务实际上依然是两个相互独立的系统，两个系统之间需要用户表相同或相互对应，是基于用户身份的访问控制，灵活度和扩展性不高，相互之间缺乏策略决策等信息的交互。
技术实现思路
针对上述问题，本专利技术旨在提供一种跨域动态权限控制方法及系统，以属性访问控制模型为基础，来对各个子域的属性进行实时注册，实现更高扩展性和安全性的资源访问机制。具体方案如下：一种跨域动态权限控制方法，包括：在云环境下注册多个子域，每两个子域之间均通过边界设备进行隔离，并且在云环境下部署统一认证中心、域定位服务器和统一属性注册中心，所述统一认证中心和域定位服务器分别用于对用户进行认证和鉴定用户具有权限的子域，用户通过统一认证中心登陆到云环境后，通过域定位服务器分配到所属的子域，所述统一属性注册中心用于对所有子域的属性进行注册和管理。进一步的，所述在云环境下注册子域包括以下步骤：S101：在云环境下创建子域；S102：构建该子域下的资源管理系统；S103：基于属性访问控制模型，设定该子域的策略管理点、策略决策点、策略信息点和策略实施点；S104：设定该子域的属性和策略规则S105：将该子域的属性和策略规则注册到统一属性注册中心；S106：统一属性注册中心将该子域的属性和策略规则分发到所述云环境下的所有子域。进一步的，还包括域内的访问控制方法，具体包括以下步骤：S201：A域用户登陆云环境，通过该云环境对应的统一认证服务和域定位服务完成身份认证，并跳转到该用户所属的子域；S202：发起域内资源访问请求；S203：A域的策略实施点拦截该请求，根据属性访问控制模型对该请求添加A域的属性后，将该请求发往A域的策略决策点；S204：A域的策略决策点从A域的策略管理点调取策略规则集；S205：A域的策略决策点从A域的策略信息点调取策略属性；S206：A域的策略决策点综合策略规则集和策略属性，对A域的策略实施点的请求进行鉴权，判断该用户是否有权限访问A域资源，并返回经过鉴权的请求响应至A域的策略实施点；S207：A域的策略实施点根据请求响应判断该用户是否有权限访问A域资源，如果用户具有访问A域资源的权限则能够获得资源，如果用户没有权限则返回提示信息。进一步的，还包括跨域的访问控制方法，具体包括以下步骤：S301：A域用户登陆云环境，通过该云环境对应的统一认证服务和域定位服务完成身份认证，并跳转到该用户所属的子域；S302：发起跨域资源访问请求；S303：A域的策略实施点拦截该跨域资源访问请求，根据属性访问控制模型对该跨域资源访问请求添加A域的属性后，将该跨域资源访问请求发往A域的策略决策点来判断该用户是否有权限访问B域资源；S304：A域的策略决策点从A域的策略管理点调取策略规则集；S305：A域的策略决策点从A域的策略信息点调取策略属性；S306：A域的策略决策点综合策略规则集和策略属性，对A域的策略实施点的跨域资源访问请求进行鉴权，判断该用户是否有权限访问B域资源，并返回经过鉴权的请求响应至A域的策略实施点；S307：A域的策略实施点根据请求响应判断该用户是否有权限访问A域资源，如果用户具有访问B域资源的权限，则调取统一属性中心存储的B域对应的属性，添加到跨域资源访问请求中；S308：将新的跨域资源访问请求发送到B域的策略实施点；S309：B域的策略实施点将该跨域资源访问请求拦截，并发往B域的策略决策点；S310：B域的策略决策点从B域的策略管理点调取策略规则集；S311：B域的策略决策点从B域的策略信息点调取策略属性；S312：B域的策略决策点综合策略规则集和策略属性，对B域的策略实施点的跨域资源访问请求进行鉴权，判断该用户是否有权限访问B域资源，并返回经过鉴权的请求响应至B域的策略实施点；S313：B域的策略实施点根据请求响应判断该用户是否有权限访问B域资源，如果用户具有访问B域资源的权限则能够获得资源，如果用户没有权限则返回提示信息。一种跨域动态权限控制系统，包括位于同一云环境下的多个子域、统一认证中心、域定位服务器和统一属性注册中心，所述系统实现本专利技术实施例所述方法的步骤。本专利技术采用如上技术方案，为云环境下的各子域构建基于属性的访问控制后，对应于各子域之间属性的不同而造成的跨域访问鉴权问题的情况，提出了一种基于属性的访问控制模型的跨域动态权限控制方法及系统，并具有有益效果：(1)、建立了统一的属性注册中心，由该中心统一的管理和分发各个子域的属性；(2)、以基于属性的访问控制为基础，将其引申到多子域的鉴权中，继承了其策略扩展性高，决策灵活的特点；(3)、各子域从统一属性注册中心获取其他子域的属性，并添加到跨域请求中，方便其他子域的鉴权和管理；各个子域拥有自身的策略决策，且不会暴露各个子域自身的鉴权策略，安全性更强，更加可控；(4)、属性访问控制的鉴权与登陆统一认证中心不相关，只保留统一认证中的登陆属性作为属性访问控制的外部属性，避免认证过程复杂造成用户体验不好。附图说明图1所示为本专利技术实施例的结构示意图。图2所示为该实施例的跨域的访问控制过程的流程图。图3所示为该实施例的注册子域的流程图。图4所示为该实施例的域内的访问控制过程的流程图。具体实施方式为进一步说明各实施例，本专利技术提供有附图。这些附图为本专利技术揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应本文档来自技高网...

【技术保护点】
1.一种跨域动态权限控制方法，其特征在于，包括：在云环境下注册多个子域，每两个子域之间均通过边界设备进行隔离，并且在云环境下部署统一认证中心、域定位服务器和统一属性注册中心，所述统一认证中心和域定位服务器分别用于对用户进行认证和鉴定用户具有权限的子域，用户通过统一认证中心登陆到云环境后，通过域定位服务器分配到所属的子域，所述统一属性注册中心用于对所有子域的属性进行注册和管理。

【技术特征摘要】
1.一种跨域动态权限控制方法，其特征在于，包括：在云环境下注册多个子域，每两个子域之间均通过边界设备进行隔离，并且在云环境下部署统一认证中心、域定位服务器和统一属性注册中心，所述统一认证中心和域定位服务器分别用于对用户进行认证和鉴定用户具有权限的子域，用户通过统一认证中心登陆到云环境后，通过域定位服务器分配到所属的子域，所述统一属性注册中心用于对所有子域的属性进行注册和管理。2.根据权利要求1所述的跨域动态权限控制方法，其特征在于，所述在云环境下注册子域包括以下步骤：S101：在云环境下创建子域；S102：构建该子域下的资源管理系统；S103：基于属性访问控制模型，设定该子域的策略管理点、策略决策点、策略信息点和策略实施点；S104：设定该子域的属性和策略规则S105：将该子域的属性和策略规则注册到统一属性注册中心；S106：统一属性注册中心将该子域的属性和策略规则分发到所述云环境下的所有子域。3.根据权利要求1所述的跨域动态权限控制方法，其特征在于：还包括域内的访问控制方法，具体包括以下步骤：S201：A域用户登陆云环境，通过该云环境对应的统一认证服务和域定位服务完成身份认证，并跳转到该用户所属的子域；S202：发起域内资源访问请求；S203：A域的策略实施点拦截该请求，根据属性访问控制模型对该请求添加A域的属性后，将该请求发往A域的策略决策点；S204：A域的策略决策点从A域的策略管理点调取策略规则集；S205：A域的策略决策点从A域的策略信息点调取策略属性；S206：A域的策略决策点综合策略规则集和策略属性，对A域的策略实施点的请求进行鉴权，判断该用户是否有权限访问A域资源，并返回经过鉴权的请求响应至A域的策略实施点；S207：A域的策略实施点根据请求响应判断该用户是否有权限访问A域资源，如果用户具有访问A域资源的权限则能够获得资源，如果用户没有权限则返回提示信息。4.根据权利要求1所...

【专利技术属性】
技术研发人员：郑政宇，周海涛，齐战胜，
申请(专利权)人：厦门市美亚柏科信息股份有限公司，
类型：发明
国别省市：福建,35