[发明专利]网络管理系统多域安全管理方法

说明书

本发明公开了网络管理系统多域安全管理方法，包括如下步骤：请求安全域用户产生服务请求；系统管理员提取访问服务请求的安全属性，在安全域的安全策略库中寻找相关的访问服务策略；如果安全域的安全策略库中存在相关的访问服务策略，则使访问请求携带该域间访问控制策略并发送到目标安全域；目标安全域管理员接收、解析该角色映射请求信息，并对该条请求进行安全策略认证。本发明本发明直接通过角色映射关系来执行访问决策，采用精确的权限搜索方法，根据访问请求权限找到相应的目标角色，通过角色映射执行访问控制决策，满足安全域间多层次的访问需求和安全保证，提高多域系统件安全协作的安全性和效率。

技术领域

本发明涉及网络管理技术领域，尤其涉及网络管理系统多域安全管理方法。

背景技术

近几年来，随着传输网络规模不断扩大，电信运营商的传输网络形成了多厂家，多传输并存的局面。传输网管集中管理各种类型和各厂家的设备，实时监控告警和性能，配置各种网络连接和业务，由于传输网管是集中管理，并且管理的范围和实现的功能越来越多，因此对网管的安全管理提出更高的要求，客户期望提供灵活的权限控制手段，为指定用户赋予一个或者多个操作权限。

网管系统中管理各种厂家各种类型的设备，并且分布在不同的物理区域，客户期望对不同的区域有不同的管理权限。现有的用户权限分配繁琐，无法满足安全域间多层次的访问需求和安全保证，多域系统件安全协作的安全性和效率得不到保障。

发明内容

基于背景技术存在的技术问题，本发明提出了网络管理系统多域安全管理方法。

本发明提出的网络管理系统多域安全管理方法，包括如下步骤：

S1请求安全域用户产生服务请求；

S2系统管理员提取访问服务请求的安全属性，在安全域的安全策略库中寻找相关的访问服务策略；

S3如果安全域的安全策略库中存在相关的访问服务策略，则使访问请求携带该域间访问控制策略并发送到目标安全域；

S4目标安全域管理员接收、解析该角色映射请求信息，并对该条请求进行安全策略认证，然后，目标安全域按照请求的服务属性回送相应的服务资源给请求的用户，实现域间的安全交互；

S5如果安全域的安全策略库中不存在相关的访问服务策略时，则向目标安全域发送域间授权搜索请求，域间授权搜索过程根据服务请求的权限在目标安全域内查找满足该权限要求的最佳角色集，并以服务输出策略的形式回送到请求安全域；

S6对上述步骤返回的服务输出策略和请求安全域的安全策略进行静态策略合并，最后将合并后的策略添加到请求安全域的安全策略中。

优选的，所述访问策略库保存了请求安全域策略与部分目标安全域策略，主要包括：PA、PH和域间角色映射关系。

优选的，所述步骤S6静态策略合并主要完成不同角色系统间的角色映射，构造处全局的角色层次关系。

优选的，所述步骤S5域间授权搜索过程分为两步处理：

角色查找：按照一定的查找原则，在目标安全域角色系统中搜索满足服务请求权限集的匹配角色集；

角色激活检测：对角色查找过程中得到的角色集进行激活检测合约束检查，确定该角色集是否可在用户的单个Session内被激活。

优选的，所述角色的层次关系：权限继承、角色激活继承以及权限继承和角色激活继承的复合。

优选的，所述步骤S5角色查找即在当前安全域内查找满足访问请求权限的角色集。

优选的，所述步骤S5角色查找遵循以下原则：

算法复杂度满足多项式时间要求；