[发明专利]一种授权管理系统及方法

说明书

技术领域

本发明涉及信息安全管理技术，具体涉及一种授权管理系统及方法。

背景技术

随着计算机技术和互联网的迅速发展，信息的交流和共享成为现代科技 和经济发展的重要前提。在大规模分布式网络环境下存在着许许多多的商业网 站、公司门户网站、政府办公系统、校园信息网络、企业办公自动化系统、网 络社区等等，这些分散的网络环境可以视为一个个独立管理的信息系统，而它 们又由因特网联系在一起。这些信息系统在提供网络服务的同时正经受着各种 网络安全问题的威胁，管理员的操作不当、人员疏忽、计算机网络和操作系统 中的安全漏洞等都可能给信息系统带来安全隐患。这种隐患给各种信息系统带 来了潜在威胁，其主要针对信息系统中信息资源的机密性、完整性、可用性与 合法使用性等。要想对信息系统提供全面的安全保证，需要依靠各种安全服务 协调工作，而其中最重要的就是认证服务和访问控制服务。

现有的各种访问控制和授权管理策略及模型在身份认证服务的基础上， 一定程度上解决了为用户授权和权限验证等问题。然而这些模型或技术通常只 采用了简单的管理者分级，由少数管理者统一管理分布的多个资源，从而使得 授权管理的灵活性较差，而且只适合解决特定环境下的访问控制与授权问题， 无法适于大规模分布式网络环境，因而通用性较差。

发明内容

本发明实施例提供一种授权管理系统及方法，以提高授权管理的灵活性和 通用性。

本发明实施例提供的一种授权管理系统，包括各自对本域内的授权操作进 行独立管理的多个基本授权管理子系统，所述基本授权管理子系统包括：

内部角色分配单元，用于建立本域内的用户与内部角色的对应关系；

权限分配单元，用于根据预先设定的约束规则及所述本域内的用户与内部 角色的对应关系为本域内的用户分配访问本域内的特定资源的权限。

本发明实施例提供的一种授权管理方法，各基本授权管理子系统独立对本 域内的授权操作进行管理，具体包括：

建立本域内的用户与内部角色的对应关系；

根据预先设定的约束规则及所述本域内的用户与内部角色的对应关系为 本域内的用户分配访问本域内的特定资源的权限。

本发明实施例提供的授权管理系统及方法，针对大规模分布式网络环境， 将一个大型信息系统划分为若干授权管理域，每个管理域由其中的基本授权管 理子系统负责管理本域的权限分配、访问控制。从而有效地提高了授权管理的 灵活性和通用性。

进一步地，每个基本授权管理子系统还负责与其他管理域的协作，多个基 本授权管理子系统之间通过域间角色的单向映射关系实现跨域的访问和授权 控制，为系统之间的跨域授权管理和互操作提供了安全保证。

附图说明

图1是本发明实施例授权管理系统中基本授权管理子系统的一种结构示 意图；

图2是本发明实施例授权管理系统的一种结构示意图；

图3是本发明实施例授权管理方法的一种流程图；

图4是本发明实施例授权管理方法的另一种流程图；

图5是本发明实施例中对管理域分级的示意图；

图6是本发明实施例中对管理域内部逻辑分级的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例的方案，下面结合附图 和实施方式对本发明实施例作进一步的详细说明。

为了解决大规模网络下信息系统的安全和应用需求，可以在逻辑上对大规 模分布式网络环境按照信任域和安全域进行划分，一个信任域和一个管理域共 同决定了一个域环境，信任域包含了信任源点，即认证中心；管理域包含了授 权源点，即授权管理中心。

一个信任域表示在一个信任源点如PKI(Public Key Infrastructure，公开密 钥体系)域的证书中心CA(证书授权中心，Certificate Authority)下的所有网 络资源，信任域内所有用户的身份标识都由该信任源点发布和统一管理。各信 任域之间存在三种关系：(1)相互独立，互不信任；(2)相互独立，但组成了 认证联盟；(3)存在上下级关系或其它亲戚关系。存在上下级关系或其它亲戚 关系的各信任域形成树形嵌套结构。