[发明专利]低信任特权访问管理

权利要求书

1.一种访问管理过程协调方法，包括：

接收用于访问信息系统的被管理的资源的请求；

从访问管理器查询用于访问所述资源的授权；以及

响应于所述授权的查询，请求访问控制策略更新以准许对被管理的资源的访问；

其中，接收所述请求、查询所述授权以及请求所述访问控制策略更新包括：

生成交易记录；以及

将所述交易记录添加到分布式账本，其中，所述分布式账本同时在整个网络的多个节点处维护所述交易记录。

2.根据权利要求1所述的方法，其中，所述方法还包括在所述分布式账本的多个节点之间交换所述交易记录。

3.根据前述权利要求中任一项所述的方法，其中，所述多个节点经由密码地保护的通道互连。

4.根据前述权利要求中任一项所述的方法，其中，所述交易记录包括从包括以下的组中选择的至少一个管理动作：请求访问动作、访问批准动作、访问拒绝动作、访问准许动作、撤销访问动作和访问撤销动作。

5.根据权利要求4所述的方法，其中，与所述访问准许动作相关联的管理动作改变授权策略以允许用户访问所述信息系统。

6.根据权利要求4至5中任一项所述的方法，其中，与所述撤销访问动作相关联的管理动作改变授权策略以拒绝用户对所述信息系统的访问。

7.根据权利要求4至6中任一项所述的方法，还包括：

将所述交易记录传输到所述信息系统；以及

自动地执行所述信息系统上的管理动作。

8.根据前述权利要求中任一项所述的方法，其中，请求所述访问控制策略更新包括执行处理所述分布式账本中的交易的智能合约。

9.根据前述权利要求中任一项所述的方法，其中：

所述信息系统的被管理的资源是多个信息系统的多个被管理的资源中的一个；

所述多个信息系统中的每一个包括本地访问控制系统；并且

所述方法还包括调用所述本地访问控制系统中的一个来请求改变本地授权策略。

10.根据前述权利要求中任一项所述的方法，还包括：

将所接收的请求发送到所述信息系统的所有者；

从所述信息系统的所有者接收响应于所述请求的批准；

将所述批准记录在所述分布式账本中；

将所述请求发送到所述信息系统的管理员；

在所述信息系统上执行响应于所述请求的动作；以及

将所述动作记录在所述分布式账本中。

11.一种访问管理支配协调器，包括：

与区块链网络相关联的对等体节点，所述区块链网络包括与资产所有者功能、管理员功能和审计员功能中的至少一个相关联的多个节点，所述对等体节点适于：

在分布式账本中记录来自信息系统的用户的请求访问记录；

记录来自所述资产所有者功能的所有者批准记录，所述所有者批准记录响应于所述分布式账本中的请求访问记录；

执行响应于所述请求访问记录和所述所有者批准记录的智能合约，所述智能合约准许对所述信息系统的访问，其中，所述智能合约改变授权策略以允许所述用户访问所述信息系统；以及

在所述分布式账本中记录所述智能合约的执行记录。

12.根据权利要求11所述的访问管理支配协调器，其中，所述对等体节点进一步适于：

将所述请求访问记录、所述所有者批准记录和所述执行记录中的一个或多个存储在交易块中；

选择所述多个节点中的一个作为签名节点以根据共识协议对所述交易块签名；以及

由所选择的签名节点对所述交易块签名。