[发明专利]网络管理系统多域安全管理方法

权利要求书

1.网络管理系统多域安全管理方法，其特征在于，包括如下步骤：

S1请求安全域用户产生服务请求；

S2系统管理员提取访问服务请求的安全属性，在安全域的安全策略库中寻找相关的访问服务策略；

S3如果安全域的安全策略库中存在相关的访问服务策略，则使访问请求携带该域间访问控制策略并发送到目标安全域；

S4目标安全域管理员接收、解析该角色映射请求信息，并对该条请求进行安全策略认证，然后，目标安全域按照请求的服务属性回送相应的服务资源给请求的用户，实现域间的安全交互；

S5如果安全域的安全策略库中不存在相关的访问服务策略时，则向目标安全域发送域间授权搜索请求，域间授权搜索过程根据服务请求的权限在目标安全域内查找满足该权限要求的最佳角色集，并以服务输出策略的形式回送到请求安全域；

S6对上述步骤返回的服务输出策略和请求安全域的安全策略进行静态策略合并，最后将合并后的策略添加到请求安全域的安全策略中。

2.根据权利要求1所述的网络管理系统多域安全管理方法，其特征在于，所述访问策略库保存了请求安全域策略与部分目标安全域策略，主要包括：PA、PH和域间角色映射关系。

3.根据权利要求1所述的网络管理系统多域安全管理方法，其特征在于，所述步骤S6静态策略合并主要完成不同角色系统间的角色映射，构造处全局的角色层次关系。

4.根据权利要求1所述的网络管理系统多域安全管理方法，其特征在于，所述步骤S5域间授权搜索过程分为两步处理：

角色查找：按照一定的查找原则，在目标安全域角色系统中搜索满足服务请求权限集的匹配角色集；

角色激活检测：对角色查找过程中得到的角色集进行激活检测合约束检查，确定该角色集是否可在用户的单个Session内被激活。

5.根据权利要求1所述的网络管理系统多域安全管理方法，其特征在于，所述角色的层次关系：权限继承、角色激活继承以及权限继承和角色激活继承的复合。

6.根据权利要求1所述的网络管理系统多域安全管理方法，其特征在于，所述步骤S5角色查找即在当前安全域内查找满足访问请求权限的角色集。

7.根据权利要求1所述的网络管理系统多域安全管理方法，其特征在于，所述步骤S5角色查找遵循以下原则：

算法复杂度满足多项式时间要求；

采用添加角色的方法来使系统最大限度的满足访问请求权限；

保证角色层次的完整性和安全性、权限集匹配的角色集中包含的角色数目最少。