[发明专利]不同域间安全互操作的跨域授权访问管制系统

权利要求书

1.不同域间安全互操作的跨域授权访问管制系统，其特征在于，各个不同的域之间进行安全的互操作，实现跨域授权访问管制，各域内部的授权访问管制机制由访问管制处理服务、语义信息库、访问授权方案库组成，各域之间通过跨域授权交互系统通信交互，跨域授权交互系统由跨域授权管制服务、媒介资源库、域间规则转换系统三个部分组成；

访问管制处理服务接收并处理访问请求，访问管制处理服务根据访问请求内容的不同分为域内访问管制服务和跨域授权访问服务，域内访问管制服务通过访问请求内容从语义信息库中获取与访问主体和资源客体对象的信息，并调用权限相关判定方法，根据访问主体和资源客体对象间的访问权限关系返回访问请求结果，在本域主体需要访问其它域的客体对象时调用跨域授权访问服务，跨域授权访问服务将本域的主体信息以及访问请求发送给跨域授权交互系统，跨域授权交互系统调用跨域授权管制服务与目标域通信交互，并返回访问请求结果；

各域之间通过跨域授权交互系统通信交互，跨域授权交互系统由跨域授权管制服务、媒介资源库、域间规则转换系统三个部分组成，跨域授权管制服务与源域和目标域交互通信，当跨域授权交互系统接收到来自源域的跨域授权访问请求时，调用跨域授权管制服务，首先跨域授权管制服务将访问主体信息缓存于媒介资源库中，并根据请求内容通知目标域的访问管制处理服务，在接收到返回结果后，跨域授权管制服务将客体对象信息缓存于媒介资源库中，最后跨域授权管制服务调用目标域的权限相关判定方法得出访问结果并返回；

媒介资源库存储各域之间的授权信息，并缓存源域的访问主体信息和目标域的客体对象信息，当各域之间需要进行授权操作时，通过跨域授权管制服务，将相关信息存储在媒介资源库中，当跨域授权管制服务接收到来自源域的跨域授权访问请求时，首先将访问主体信息存储在媒介资源库，然后跨域授权管制服务与目标域通信交互，获取目标域的客体对象信息存储于媒介资源库，最后在跨域授权管制服务调用目标域的权限相关判定方法时，媒介资源库提供源域的访问主体信息和目标域的客体对象信息；

域间规则转换系统将各个域的访问管制规则转化为媒介规则，确保源域的访问管制规则与目标域的访问管制规则在语法表达上相互识别，媒介规则与目标域的访问管制规则在语义上一致，保证各域的访问管制方案不会遭受入侵破坏，跨域授权交互系统为各个域之间进行跨域授权访问的核心要素，保证各个域内部的授权访问管制方案不受其它域干预和影响，访问主体在通过授权后即可访问相应的客体资源，当某一个域退出或加入时不影响其它域之间的交互访问；

不同域间安全互操作的跨域授权访问管制系统具体工作流程如下：

第一步，来自源域的访问主体通过网络请求访问目标域的客体对象；

第二步，源域的访问管制处理服务拦截访问主体的服务请求，并对访问主体的身份进行识别认证，若认证通过则继续第三步，若认证不通过，拒绝访问并返回请求失败理由；

第三步，源域的访问管制处理服务对拦截到的服务请求进行检查，若通过则继续第四步，若不通过，拒绝访问并返回请求失败理由；

第四步，源域的访问管制处理服务从本地的语义信息库中查询获取访问主体相关信息，并将访问主体相关信息和访问请求封装，发送给跨域授权管制服务；

第五步，跨域授权管制服务接收来自源域的访问管制请求，并查询媒介资源库是否包含源域和目标域之间的授权关系，如果存在则继续第六步，如果不存在，拒绝访问并返回请求失败理由；

第六步，跨域授权管制服务将目标域的客体对象标识和访问请求封装，发送给目标域的访问管制服务；

第七步，目标域的访问管制处理服务接收来自跨域授权管制服务的访问请求，根据客体对象标识查询获取客体对象相关信息，并将客体对象相关信息返回给跨域授权管制服务；

第八步，跨域授权管制服务接收到目标域的返回结果后，将客体对象相关信息缓存于中介信息库中，然后根据域间规则转换系统中的媒介规则推理得出访问主体与客体对象之间的具体语义关系；

第九步，跨域授权管制服务调用目标域的权限相关判定方法得出访问结果，并将访问结果返回给源域，同时通知目标域是否允许访问；

在第八步中，域间规则转换系统中的媒介规则根据源域和目标域的访问管制规则转化，采用规则交换格式RIF将各域内部的语义规则转化为RIF格式。