本發明涉及一種跨域動態權限控制方法及系統，在該方法中，包括：在云環境下注冊多個子域，每兩個子域之間均通過邊界設備進行隔離，并且在云環境下部署統一認證中心、域定位服務器和統一屬性注冊中心，所述統一認證中心和域定位服務器分別用于對用戶進行認證和鑒定用戶具有權限的子域，用戶通過統一認證中心登陸到云環境后，通過域定位服務器分配到所屬的子域，所述統一屬性注冊中心用于對所有子域的屬性進行注冊和管理。本發明以屬性訪問控制模型為基礎，來對各個子域的屬性進行實時注冊，實現更高擴展性和安全性的資源訪問機制。

技術領域

本發明涉及訪問權限管理技術領域，尤其涉及一種跨域動態權限控制方法及系統。

背景技術

云計算是當前信息技術領域的熱點之一，是產業界、學術界、政府等各界均十分關注的焦點。其核心思想是將大量計算資源、存儲資源與軟件資源鏈接在一起，形成規模巨大的共享資源池，數據擁有者包括企業、個人或者組織等。云服務商為數據擁有者提供數據托管服務，同樣也可為云用戶提供各種類型的云資源/服務。傳統架構模式下的物理安全邊界域消失，而是以邏輯安全域的形式存在，云資源失去了物理邊界域的安全控制，存在數據安全性與隱私性的隱患。

目前，針對云環境下多安全域的訪問控制沒有統一的方法，一般上是采用不做控制、邊界設備控制、切換子系統、單點登錄等方法進行控制。

(1)、不做控制：同一云環境下采用云認證機制登陸，對認證成功后的用戶，云內所有資源對其開放，實際上默認整體云環境為同一個安全域，是最粗獷的控制方法，用于安全要求不高，各個安全域之間差別不大的環境。

(2)、邊界設備控制：在云中利用不同域之間的邊界設備，通過預置靜態的控制策略，對資源訪問進行控制，由于控制策略固定，靈活度不高，可以作為基礎的控制策略，主要缺點是細粒度不高，控制能力差，適合簡單控制。

(3)、切換子系統：在不同域中部署不同的服務體系，采用獨立的認證模式，云用戶通過切換不同的子系統來達到訪問不同安全域的資源的目的，但是各子系統相互之間沒有聯系，只能通過部分開放的接口進行數據層的調用，而且用戶在幾個系統之間相互切換，操作繁瑣，容易失誤。

(4)、單點登錄：在不同域中部署不同的服務系統，各系統包含獨立的認證模式，并部署單點登錄服務，打通各個域的權限體系，即A域服務請求B域時會帶有認證信息，表明請求是A域認證通過，并給予簡單的用戶信息使得B域為此用戶鑒權并分配資源，構造單點登錄服務實際上依然是兩個相互獨立的系統，兩個系統之間需要用戶表相同或相互對應，是基于用戶身份的訪問控制，靈活度和擴展性不高，相互之間缺乏策略決策等信息的交互。

發明內容

針對上述問題，本發明旨在提供一種跨域動態權限控制方法及系統，以屬性訪問控制模型為基礎，來對各個子域的屬性進行實時注冊，實現更高擴展性和安全性的資源訪問機制。

具體方案如下：

一種跨域動態權限控制方法，包括：在云環境下注冊多個子域，每兩個子域之間均通過邊界設備進行隔離，并且在云環境下部署統一認證中心、域定位服務器和統一屬性注冊中心，所述統一認證中心和域定位服務器分別用于對用戶進行認證和鑒定用戶具有權限的子域，用戶通過統一認證中心登陸到云環境后，通過域定位服務器分配到所屬的子域，所述統一屬性注冊中心用于對所有子域的屬性進行注冊和管理。

進一步的，所述在云環境下注冊子域包括以下步驟：

S101：在云環境下創建子域；

S102：構建該子域下的資源管理系統；

S103：基于屬性訪問控制模型，設定該子域的策略管理點、策略決策點、策略信息點和策略實施點；

S104：設定該子域的屬性和策略規則

S105：將該子域的屬性和策略規則注冊到統一屬性注冊中心；