一种基于角色的系统间跨域访问控制方法及平台

1.本发明属于访问控制技术领域，具体涉及一种基于角色的系统间跨域访问控制方法及平台。


背景技术：

2.针对多域环境下具有平台、域和系统三层结构的信息系统集成平台，在对 rbac模型进行改进时面临角色命名冲突、平台-域管理冲突、域间管理冲突和跨域共享四个问题。平台会为域服务器分别部署系统，不同域服务器下会部署同一套系统，尽管各系统下相同角色在不同域中职责相似相近，但权限有所差异，产生角色命名冲突问题，在传统rbac模型中，为角色分配的权限有任何不同，就需要建立一个新角色，造成了角色爆炸和角色冗余现象，不利于管理。
3.平台-域管理冲突是由于多域信息系统平台存在平台和域服务器两层，平台管理和域服务器管理之间可能会彼此干涉，造成域服务器内管理人员越权操控平台，平台管理人员访问域服务器业务数据库泄露隐私。域间管理冲突是指由于域服务器较多，可能会出现不同域之间管理混乱问题，同时不同域下的系统、数据库也需要隔离。数据跨机构、组织共享是构建多域信息系统平台的重要目的，因此需要考虑平台跨域共享的问题，目前访问控制模型在数据隔离方面不断改进，但大都忽视了数据共享问题。


技术实现要素：

4.为了解决现有技术中存在的上述问题，本发明提供了一种基于角色的系统间跨域访问控制平台。本发明要解决的技术问题通过以下技术方案实现：
5.第一方面，本发明提供的一种基于角色的系统间跨域访问控制方法，应用于多域信息系统平台，所述多域信息系统平台设置有平台管理员，用于为每个域分配系统以及创建每个系统的抽象角色，每个系统设置有域级管理员，用于为所在域内的系统创建具象角色，关联自同一抽象角色的的具象角色可以具备不同的权限集合，每个系统包括多个具象角色，每个具象角色有且仅有一个所关联的抽象角色，所述基于角色的系统间跨域访问控制方法包括：
6.平台管理员，用于
7.当接收到目标域级管理员的申请加入多域信息系统平台时，则为该目标域的服务器分配所需的系统；
8.每个系统的域服务器，用于
9.为域内注册且申请授予具象角色的用户授予具象角色；在具备具象角色的用户申请访问系统资源时，对根据该用户的具象角色的身份认证以及权限判别成功之后，为该用户提供域内符合该用户具象角色对应权限的系统资源；
10.当收到所在域的用于申请跨域访问操作时，由所在域的域级管理员向申请域的域级管理员发送请求，以使申请域的域级管理员判决是否同意为用户授予其对应的具象角
色，并由申请域的服务器完成授予具象角色的具体过程；
11.当所在域的用户跨域访问系统资源时，由申请域的域服务器为该用户提供申请域内符合该用户具象角色对应权限的系统资源。
12.第二方面，本发明提供的一种基于角色的系统间跨域访问控制平台，所述基于角色的系统间跨域访问控制平台设置有平台管理员，用于为每个域分配系统以及创建每个系统的抽象角色，每个系统设置有域级管理员，用于为所在域的系统创建具象角色，关联自同一抽象角色的具象角色可以具备不同的权限集合，每个系统包括多个具象角色，每个具象角色有且仅有一个所关联的抽象角色，
13.平台管理员，用于
14.当接收到目标域级管理员的申请加入多域信息系统平台时，则为该目标域的服务器分配所需系统；
15.每个系统的域服务器，用于
16.为域内注册且申请授予具象角色的用户授予具象角色；在具备具象角色的用户申请访问系统资源时，对根据该用户的具象角色的身份认证以及权限判别成功之后，为该用户提供域内符合该用户具象角色对应权限的系统资源；
17.当收到所在域的用于申请跨域访问操作时，由所在域的域级管理员向申请域的域级管理员发送请求，以使申请域的域级管理员判决是否同意为用户授予其对应的具象角色，并由申请域的服务器完成授予具象角色的具体过程；
18.当所在域的用户跨域访问系统资源时，由申请域的域服务器为该用户提供申请域内符合该用户具象角色对应权限的系统资源。
19.本发明的有益效果：
20.本发明提供了一种基于角色的系统间跨域访问控制方法及平台，通过提出 rbac-ic模型，定义不同系统的抽象角色以及具象角色，并且在不同系统中具象角色可以对应不同的权限集合，用户无论是在域内申请和跨域申请访问系统资源，可通过申请不同域的具象角色实现，并按照不同域的具象角色对应的权限访问系统资源。本发明具有允许角色重名、平台-域隔离管理、域间隔离管理和支持跨域共享四个特性，可以解决现有技术中角色命名冲突、平台-域管理冲突、域间管理冲突和跨域共享困难等问题，且本发明适宜作为多域环境下系统集成平台的访问控制方案，解决系统间的跨域访问控制问题，具有更高的适应性。以下将结合附图及实施例对本发明做进一步详细说明。
附图说明
21.图1是多域信息系统平台结构层次图；
22.图2是rbac模型示意图；
23.图3是rbac3模型示意图；
24.图4是arbac97模型示意图；
25.图5是本发明实施例提供的rbac-ic示意图。
26.图6是本发明实施例提供的使用rbac-ic模型的平台的工作流图；
27.图7是本发明实施例提供的申请域内授权时序图；
28.图8是本发明实施例提供的申请跨域授权时序图；
29.图9是本发明实施例提供的申请访问控制时序图；
30.图10是本发明实施例提供的集团多域信息系统平台架构图；
31.图11a是本发明实施例提供的单系统多角色授予方式示意图；
32.图11b是本发明实施例提供的多系统多角色授予方式示意图；
33.图11c是本发明实施例提供的跨域授予方式示意图。
具体实施方式
34.下面结合具体实施例对本发明做进一步详细的描述，但本发明的实施方式不限于此。
35.在介绍本发明之前，首先对本发明的应用背景以及相关技术进行简单介绍。
36.参考图1，图1为多域信息系统平台结构层次图。随着云计算、分布式等信息技术的快速发展，越来越多的企业、组织或联盟把过去各个独立的信息系统，整合成为大型的信息系统集成平台，在平台中包含了部署在不同域服务器的各类信息系统，形成多域环境下的信息系统集成平台。这样的信息系统集成平台有利于企业各部门，或组织、联盟下的各机构之间的数据共享，也有利于高层管理者对各系统进行监管和管理。多域环境下信息系统集成平台的结构形式为平台、域和系统三层。信息系统集成平台的建设使得组织内部信息系统的框架更加的清晰和科学，各部门之间的沟通和联系有所加强，同时也消除了以往用户信息在沟通和信息传输过程中存在的问题。
37.例如，在一个医疗联盟信息系统平台中，平台下每个医院属于不同的域，每个域包含了每家医院所拥有的各类信息管理系统，不同域的系统间数据需要相互隔离，而且不同医院对于相同职能人员的权限和系统操作流程具有差别，但是医疗联盟存在跨院协作治疗、处方流转等业务需求，来自不同医院的医护人员需要跨域访问其他医院医疗系统的数据。在多域信息系统平台中，用户需要在平台下的系统间跨域进行信息交互、管理和协同等服务，因此相较于传统的单一信息管理系统，其访问控制设计更加复杂，系统信息更容易造成泄露和篡改。
38.建设计算机信息系统集成的目标是保证项目效益最大化，通常是由项目经理负责整体工作，按照一定的逻辑规律，积极开展计划和组织协调工作，从而提高控制能力，促使各个项目因素可实现最优组合。并基于现代科学技术手段，提升项目实际收益水平。同时在管理环节，应当注重对费用、时间以及风险的管控，保证计算机信息系统集成项目的安全推进。在当前社会发展背景下，计算机信息系统集成项目即是从用户需求角度出发，相应硬件、系统软件、工具软件以及网络、数据库等应用进行集成，进而形成具有实用性、一体化的信息系统平台。能够比较显著提升用户工作效率，但同时也呈现出复杂性，对平台的管理，尤其是访问控制的管理具有较高的要求。由于平台下各信息系统业务要求有所区别，因此用户类别复杂多样，但又存在大量权限相似的用户。在各系统间既要保证数据隔离，又要满足用户数据系统间共享访问，在这些前提下如何对用户进行访问控制，从而更好的保护信息资源的安全，是一个亟待解决的问题。
39.而访问控制技术最早可以追溯到20世纪70年代，它的诞生是为了满足当时大型主机系统内的数据访问需求。访问控制作为一种重要的信息安全技术，它通过某种途径显式地准许或限制主体对客体访问能力及范围，实现保证用户在其合法权限内访问数据。访问
控制可以禁止非法用户访问系统内的资源，并且防止系统内合法用户的越权操作。访问控制包含了主体、客体和访问策略三个基本部分，其过程就是主体根据访问授权对客体进行访问。主体是主动的实体，是一个访问的请求者，比如系统内的用户、设备等；客体是被动的实体，是一个访问中被请求的对象，比如系统内的文件、信息或进程等；访问策略则规定了主体对客体操作权限的规则。主客体是相对的，一个主体也可成为一个客体，比如一个进程在运行过程中调用另一个进程。
40.本发明是在rbac基础上进行改进提出的一种访问控制模型。参考图2，基于角色的访问控制rbac在用户与权限之间增加了角色的概念，角色代表组织内的一种工作职能，包含了一组权限和职责的集合。引入角色后不再直接为用户分配权限，而是先为角色分配权限，再将角色授予用户。角色相较于用户更加稳定，变动可能性更小，减少了系统的处理，当系统进行访问授权变更时，仅需修改用户、角色和权限三者之间的映射关系即可。
41.现有技术中rbac模型发展到基于角色的访问控制模型rbac96以及基于角色的角色管理模型arbac97。
42.基于角色的访问控制模型rbac96包含了rbac0、rbac1、rbac2、rbac3四种形式。rbac0是基础模型，包含了用户、角色、权限和会话四个要素，用户通过建立会话执行权限，会话激活了自身所有角色集的一个子集，用户可用的权限是该会话中所有已激活角色的权限的联合。rbac1引入了角色层次的概念，允许角色向上继承，即高级角色可以继承初级角色的权限。rbac2引入了约束的概念，并提出了几类典型约束：
43.(1)互斥角色：角色授予时，一个用户最多只能获得互斥角色集中的一个角色；权限分配时，同一权限只可分配给互斥角色集中的一个角色。
44.基数约束：角色授予时，用户可以拥有的最大角色数目或者角色可以授予的最大用户数目；权限分配时，一个角色最多可以拥有的最大权限数目或者权限可以分配的最大角色数目。
45.(2)先决条件约束：角色授予时，只有授予用户先决条件角色，才能(3) 分配某角色。先决条件角色一般比新角色层次更低，角色之间若层次无法比较，先决条件则不太可能发生。权限分配时，只有当角色已经拥有某权限时，才可以将另一个权限分配给该角色。
46.参考图3，图3为rbac3示意图。rbac3结合了rbac1和rbac2，同时引入了角色层次和约束，并提出了角色层次间的约束，例如某个角色可以继承初级角色的数量上限或被高级角色所继承的上限，两个或多个角色是否可以拥有共同的高级或初级角色。还考虑了角色层次与约束共存所产生的问题，例如是否允许高级角色继承互斥角色集中的两个角色，基数约束是否适用于继承的高级角色。
47.参考图4，图4为arbac97模型的结构示意图。基于角色的角色管理模型arbac97，引入了角色管理角色的思想。将角色分为彼此互斥的常规角色和管理角色，二者是互斥的。系统的管理员也被赋予了角色，即管理员角色，实现了有具体而明确分工的分布式管理，管理角色也具有等级结构和权限继承。访问权限可分为常规权限和管理权限，二者也是互斥的。模型由用户-角色分配管理ura97(管理角色如何实施常规角色的用户成员分配与撤消问题。)、权限-角色分配管理pra97(常规角色的访问权限的分配与撤消问题。)、角色-角色分配管理rra97(常规角色的角色成员分配规则以构成角色等级的问题。)三部分组成。该模型从管理角色的角度出发，为管理角色在系统内对常规角色的操作制定了规范和限定。
48.参考图5，图5为本发明提出的rbac-ic示意图。在该模型上，本发明提供的一种基于角色的系统间跨域访问控制方法，应用于多域信息系统平台，所述多域信息系统平台设置有平台管理员，用于为每个域分配系统，以及创建每个系统的抽象角色，并设置有域级管理员，用于为所在域内的系统创建具象角色，关联自同一抽象角色的具象角色可以具备不同的权限集合，每个系统包括多个具象角色，每个具象角色有且仅有一个所关联的抽象角色，
49.其中，平台管理员可以是多个。
50.所述多域信息系统平台基于rbac-ic模型构建，所述rbac-ic模型将角色分为抽象角色abstract role和具象角色specific role；所述抽象角色无需分配权限和授予用户，其作用是界定系统所包含岗位的职责范围、设定角色之间层级关系和约束，形成各类工作岗位或职务与系统角色之间的映射；所述具象角色是对抽象角色的实例化，并依据需求分配相应权限，其作用是将其授予用户以获得相应的访问权限。所述rbac-ic模型将所述多域信息系统平台的平台成员分为平台管理员、域级管理员和普通用户，平台管理员负责平台级别管理操作，域级管理员负责创建已部署的系统的具象角色，并为具象角色分配权限和授予普通用户。所述rbac-ic模型定义用户集、权限集、抽象角色集、具象角色集、会话集以及集合之间的映射关系，所述会话集包括多个会话，会话是用户执行任务时与需要激活的具象角色之间的映射，所述会话由一个代表用户与该用户所激活的具象角色。
51.当本域的用户申请跨域访问时，负责向申请域的域级管理员发送跨域授权请求。普通用户则是使用应用系统的用户，授予具象角色并经过权限判别后，可以读取或操控系统数据。
52.下面对本发明rbac-ic模型定义的对象进行详细说明。
53.1)模型集合定义
54.定义1.用户集(users)。用户集的元素由用户user组成，user是访问控制中的一个主体，可以被授予具象角色和激活会话，通常是一个人员、设备或进程等。user是一个二元组《category,domain》，其中category包括平台管理员、域级管理员和普通用户三类；domain用以标识域级管理员和普通用户的所在域，平台管理员的domain为空。users＝{user1,user2,
…
,usern}表示为一个用户集。
55.定义2.权限集(permissions)。权限集的元素由权限permission组成， permission是主体对客体进行某种操作的许可。permission是一个按三元组 《object,operation,system》，其中object是访问控制中的一个客体，是系统内的资源，通常以文件、数据等形式存在；operation是对object的一种操作方式，例如读、写或可执行等；system是该权限所适用的系统。。permissions＝ {permission1,permission2,
…
,permissionn}表示为一个权限集
56.定义3.抽象角色集(aroles)。抽象角色集的元素由抽象角色 abstract_role组成，abstract_role是对平台的一个系统内一组职责的抽象，不可将抽象角色授予用户，也不为抽象角色分配权限。abstract_role是一个三元组《 system,inheritance,constraint》，system表示其所适用系统，平台下所有域的该系统均有效；inheritance是其所继承的具象角色集；constraint是该具象角色的约束集。aroles＝{abstract_role1,abstract_role2,
…
,abstract_rolen}表示为一个抽象角色集。
57.定义4.具象角色集(sroles)。具象角色集的元素由具象角色specific_role 组成，specific_role根据所关联的抽象角色的职责和所在域的个性化要求为其分配一组权限，并授予用户以完成某项业务。specific_role是一个五元组 《abstract_role,permission,domain,system,valid_time》，其中abstract_role是该具象角色所关联的抽象角色，permission是为该具象角色所分配的权限，domain 是该具象角色的作用域，system是该具象角色所适用的系统，valid_time是具象角色的有效时间，一般在其他域用户申请跨域访问时会设置，当valid_time为∞时，表示该具象角色永久有效。具象角色仅可在其设定域内的指定系统中使用，且必须在有效时间内。sroles＝{specific_role1,specific_role2,
…
, specific_rolen}表示为一个具象角色集。
58.定义5.会话集(sessions)。会话集的元素由会话session组成，session 是用户执行任务时与需要激活的具象角色之间的映射。session是一个二元组 《user,specific_role》，user、specific_role分别代表了用户和该用户所激活的具象角色。sessions＝{session1,session2,
…
,sessionn}表示为一个会话集。
59.2)模型关系定义
60.定义6.定义6.表示用户到具象角色的多对多关系集，可以授予某个用户多个具象角色，也可以将某个具象角色授予多个用户。
61.定义7.定义7.表示具象角色到其分配权限的多对多关系集，可以为某个具象角色分配多个权限，也可以将某个权限分配给多个具象角色。分配权限时应满足最小权限原则，即仅分配给具象角色能够完成任务的最少权限。
62.定义8.定义8.表示会话到用户的多对一关系集，一个用户可以激活多个会话，一个会话只可被一个用户所激活。
63.定义9.定义9.表示具象角色到抽象角色的多对一关系集，具象角色只能关联自一个抽象角色，抽象角色可以被多个具象角色所关联。
64.定义10.sroles
→
aroles：sr_relevance(specific_role∈ sroles)＝{abstract_role|abstract_role∈aroles,(specific_role,abstract_role)∈ srar}。表示一个具象角色到抽象角色的映射。
65.性质1.具象角色有且只有一个所关联的抽象角色，形式化证明如下：
[0066][0067][0068]
如果sr_relevance(specific_role1)＝abstract_role1；
permissions2。
[0091]
定义15.users
→2permissions
：u
sr∈user_authorisation(user)
srole_assignment(sr)。表示一个用户到权限集的子集所构成的集合的映射，即一个用户拥有的全部权限。
[0092]
定义16.sessions
→
users：sessions_user(session∈sessions)＝{user|user ∈users,(session,user)∈su}。表示一个会话到用户映射。
[0093]
定义17.sessions
→2sroles
：：：表示一个会话到具象角色集的子集构成的集合的映射，即一个会话激活的全部具象角色。
[0094]
定义18.sessions
→2permissions
：u
ar∈session_aroles(session)
srole_assignment(sr)。表示一个会话到权限集的子集所构成的集合的映射，即一个会话激活的全部权限。
[0095]
参考图6，本发明提供的一种基于角色的系统间跨域访问控制方法包括：
[0096]
平台管理员，用于
[0097]
当接收到目标域级管理员的申请加入多域信息系统平台时，则为该目标域的服务器分配所需的系统；
[0098]
每个系统的域服务器，用于
[0099]
为域内注册且申请授予具象角色的用户授予具象角色；在具备具象角色的用户申请访问系统资源时，对根据该用户的具象角色的身份认证以及权限判别成功之后，为该用户提供域内符合该用户具象角色对应权限的系统资源；
[0100]
当收到所在域的用于申请跨域访问操作时，由所在域的域级管理员向申请域的域级管理员发送请求，以使申请域的域级管理员判决是否同意为用户授予其对应的具象角色，并由申请域的服务器完成授予具象角色的具体过程；
[0101]
当所在域的用户跨域访问系统资源时，由申请域的域服务器为该用户提供申请域内符合该用户具象角色对应权限的系统资源。
[0102]
参考图7所示，作为本发明一种可选的实施方式，在每个系统的域服务器，用于为域内注册且申请授予具象角色的用户，授予具象角色包括：
[0103]
用户向所在域服务器申请具象角色，确认所在域的域级管理员是否同意授予该用户具象角色；
[0104]
如果同意，则域内服务器检查该用户的具象角色是否存在，并对用户进行身份认证；
[0105]
在身份认证通过后，检查该用户与所申请的具象角色作用域是否匹配，以及是否符合具象角色所要求的约束规则，检测无误后则授予用户具象角色。
[0106]
在授予用户具象角色之后，本发明还可以给授予用户的具象角色设置到期时间。
[0107]
值得说明的是：用户想要访问系统中的客体资源，需要拥有相应的权限，而权限通过授予具象角色获得。用户向所在域服务器申请具象角色，域级管理员若同意授予，则域服务器检查该具象角色是否存在，并对用户进行身份认证，认证通过后检查用户与所申请的具象角色作用域是否匹配，以及是否符合具象角色所要求的约束规则，检查无误后则将该具象角色授予用户。
[0108]
参考图8所示，作为本发明一种可选的实施方式，所述当收到所在域的用于申请跨
域访问操作时，由所在域的域级管理员向申请域的域级管理员发送请求，以使申请域的域级管理员判决是否同意为用户授予其对应的具象角色，并由申请域的服务器完成授予具象角色的具体过程，包括：
[0109]
域内服务器，用于
[0110]
接收所在域用户提出的跨域授权申请，并对该用户进行身份认证；
[0111]
在身份认证通过且所在域的域级管理员同意授予后，向所申请域服务器发送跨域请求；
[0112]
申请域的域内服务器，在接收到跨域请求后，确认申请域的域级管理员是否同意授予具象角色，如果同意，则申请域服务器检查具象角色是否存在，并检查用户是否满足约束规则，检查无误后跨域授予该用户具象角色。
[0113]
值得说明的是：在多域信息系统平台中，有时需要跨域共享访问其他域内的资源，此时就需要申请跨域授权，即申请其他域的具象角色，由所申请域的管理员授予具象角色。用户首先向所在域服务器提出跨域授权申请，身份认证通过且本域管理员同意后，向所申请域服务器发送请求。申请域的管理员若也同意授权，则申请域服务器检查具象角色是否存在，并检查用户是否满足约束规则，检查无误后跨域授予该用户具象角色。另外，所申请域的管理员可设置具象角色的到期时间，当达到到期时间时，具象角色自动失效，用户则无法继续访问该域内的资源。
[0114]
参考图9，作为本发明一种可选的实施方式，所述在身份认证通过后，检查该用户与所申请的具象角色作用域是否匹配，以及是否符合具象角色所要求的约束规则包括：
[0115]
在身份认证通过后如果用户允许访问，则检验该用户具象角色在所在域是否存在、是否在目标资源所在域及在系统内有效、具象角色是否在有效时间内，再检验需要访问的目标资源是否存在，检验全部无误后，执行用户操作行为。
[0116]
值得说明的是：用户请求访问系统客体资源时，系统需要对用户行为进行访问控制，通过身份认证和权限判别决定是否允许用户访问资源，访问控制可通过域服务器自动判别，无需管理员操作。跨域访问控制与域内访问控制在权限判别时类似，但是在申请授权时有所不同。用户向系统申请读取或操作资源后，对用户进行身份认证；然后进行权限判别，首先判断用户是否已授予该具象角色，以及该具象角色是否已分配该权限(即具象角色已分配此《object, operation,system》三元组)；判断成功后，检验具象角色(包括是否存在、是否在目标资源所在域及系统内有效、是否在有效时间内)，再检验目标资源是否存在。检验全部无误后，执行用户操作行为。
[0117]
参考图6所示，本发明提供的一种基于角色的系统间跨域访问控制平台，所述基于角色的系统间跨域访问控制平台有平台管理员，用于为每个域分配系统，以及创建每个系统的抽象角色，并设置有域级管理员，用于为所在域内的系统创建具象角色，关联自同一抽象角色的具象角色可以具备不同的权限集合，每个系统包括多个具象角色，每个具象角色有且仅有一个所关联的抽象角色，
[0118]
平台管理员，用于
[0119]
当接收到目标域级管理员的申请加入多域信息系统平台时，则为该目标域的服务器分配所需的系统；
[0120]
每个系统的域服务器，用于
[0121]
为域内注册且申请授予具象角色的用户授予具象角色；在具备具象角色的用户申请访问系统资源时，对根据该用户的具象角色的身份认证以及权限判别成功之后，为该用户提供域内符合该用户具象角色对应权限的系统资源；
[0122]
当收到所在域的用于申请跨域访问操作时，由所在域的域级管理员向申请域的域级管理员发送请求，以使申请域的域级管理员判决是否同意为用户授予其对应的具象角色，并由申请域的服务器完成授予具象角色的具体过程；
[0123]
当所在域的用户跨域访问系统资源时，由申请域的域服务器为该用户提供申请域内符合该用户具象角色对应权限的系统资源。
[0124]
本发明提供了一种基于角色的系统间跨域访问控制方法及平台，通过提出 rbac-ic模型，定义不同系统的抽象角色以及具象角色，并且在不同系统中具象角色可以对应不同的权限集合，用户无论是在域内申请还是跨域申请访问系统资源，可通过申请不同域的具象角色实现，并按照不同域的具象角色对应的权限访问系统资源。本发明具有允许角色重名、平台-域隔离管理、域间隔离管理和支持跨域共享四个特性，可以解决现有技术中角色命名冲突、平台-域管理冲突、域间管理冲突和跨域共享困难等问题，且本发明适宜作为多域环境下系统集成平台的访问控制方案，解决系统间的跨域访问控制问题，具有更高的适应性。
[0125]
下面通过实际场景说明本发明的方法以及平台的具体细节。
[0126]
某生产制造集团为了统筹管理子公司及各职责部门等下属单位，促进各下属单位之间合作，将过去独立的信息系统集合成为一个多域信息系统平台。并将rbac-ic模型应用到此多域信息系统平台之中，借助其业务背景，以便更好地理解rbac-ic的思想，更清晰的展示其特性。
[0127]
(1)平台架构
[0128]
参考图10，图10为集团多域信息系统平台架构图。该生产制造集团拥有多个生产子公司，以及销售、人力等多个行政部门。每家生产子公司拥有一台域服务器，作为平台中的一个域，称为生产域；各行政部门人数较少，且都位于集团总部，共同使用一台域服务器，合并作为平台中的一个域，称为行政域。每个生产域包含了一个生产信息管理系统用于管理生产加工数据，以及财务信息管理系统管理子公司财务。行政域包含了销售信息管理系统、人力信息管理系统和财务信息管理系统等，用于管理销售数据、人力资源和集团总部财务等业务。
[0129]
(2)平台访问控制模型
[0130]
在本节中，展示了集团多域信息系统平台中抽象角色、权限、具象角色和用户的设计，平台管理员负责抽象角色和权限的设计，域级管理员负责具象角色设计和用户注册与授予，两类管理员职责没有交集，体现了rbac-ic的平台
ꢀ‑
域隔离管理的特性，解决了平台-域管理冲突问题。为了更清晰的介绍，对业务逻辑进行了适当简化，只考虑三个生产域和一个行政域，以及生产信息管理系统、销售信息管理系统和财务信息管理系统三个系统。
[0131]
(21)抽象角色设计
[0132]
集团多域信息系统平台的抽象角色设计如表1所示，共包含了3个系统的7个抽象角色，抽象角色在所有域的指定系统内有效。其中ar1、ar3分别是 ar2、ar4的初级角色，反之ar2、ar4是ar1、ar3的高级角色，角色所关联的具象角色除了拥有自身所分配的权限，还
继承了其初级角色所关联的具象角色的全部权限，例如ar2所关联的具象角色除了拥有直接分配给它的权限以外，还继承了ar1所关联的具象角色的全部权限。ar2、ar4和ar7具有基数约束限制为1，即它们所关联的具象角色最多只能授予一个用户。ar2和 ar4具有先决条件约束，授予用户ar2或ar4所关联的具象角色时，用户必须已授予ar1或ar3所关联的具象角色。ar5和ar6为互斥角色，它们所关联的具象角色不可同时授予一个用户。
[0133]
表1集团多域信息系统平台抽象角色表
[0134][0135]
(22)权限设计
[0136]
集团多域信息系统平台的权限设计如表2所示，共包含了3个系统的12 个权限，权限在所有域的指定系统内有效。每个权限除了指定系统以外，还需要指明其操作对象和操作方式。
[0137]
表2集团多域信息系统平台权限表
[0138][0139][0140]
(23)具象角色设计
[0141]
集团多域信息系统平台的具象角色设计如表3所示，共包含了3个系统的 11个具象角色。生产子公司1可以生产产品a和产品b，有两个ar1关联的具象角色sr1和sr2，分别分
配了产品a和产品b生产数据的读写权限，sr3 分配了发布产品a和产品b生产报告的权限；生产子公司2只生产产品a，因此只需要一个ar1关联的具象角色sr4，只需分配产品a生产数据的读写权限，sr5也只有发布产品a生产报告的权限；另外由于继承关系，sr3继承了 sr1、sr2的全部权限，sr5继承了sr4、sr6的权限；不同域服务器下的数据是相互隔离的，具象角色也是相互隔离的，具象角色在其所指定域内的指定系统中有效，因此具有域间隔离管理，解决域间管理冲突问题。sr3和sr5具有相同的名称，但两个具象角色具有不同的权限以及不同的域，因此具有角色允许重名的特性，解决了角色命名冲突问题。sr6是管理员专门为其他域用户所设置的具象角色，以解决跨域共享问题，可以设置该具象角色的有效时间例如12小时。
[0142]
表3集团多域信息系统平台具象角色表
[0143][0144][0145]
(24)用户注册与授予
[0146]
集团多域信息系统平台的具象角色设计如表4所示，共包含了3个系统的 11个具象角色。rbac-ic模型中授予用户具象角色有三种方式，可以为用户授予其所在域某个系统的多个角色，示意图如图11a所示，例如u1可以生产产品a和产品b，授予其生产信息管理系统的sr1、sr2两个具象角色；可以授予用户所在域多个系统的具象角色，示意图如图11b所示，例如u2同时兼任总部的销售主管和财务主管，因此授予其销售信息管理系统的sr8和财务信息管理系统的sr11；同时为了能够跨域共享，在用户所在域管理员向申请域管理员发出请求并得到同意后，可以授予用户其他域的具象角色，示意图如图11c 所示，并可以设定具象角色有效时间valid_time，例如生产子公司1的u3临时抽调到生产子公司2生产产品a，此时授予其具象角色sr6以拥有生产域2的产品a生产数据录入权限。
[0147]
在授予用户具象角色时，会有约束规则的限制。例如已经为用户u1授予 sr3后，若
再为另一个用户u4授予sr3则会遭到拒绝，因为sr3具有基数约束限制，最多只能授予1个用户。在为u1授予sr3时是允许的，因为u1已经拥有了sr3要求的先决角色sr1或sr2，但是无法将sr8授予u5，因为 u5没有授予sr8要求的先决角色sr7，违背了先决条件约束规则。再比如，已经成功为u6授予了sr9，继续为u6授予sr10时将会拒绝，因为这两个具象角色是互斥的。
[0148]
表4集团多域信息系统平台用户表
[0149][0150][0151]
尽管在此结合各实施例对本技术进行了描述，然而，在实施所要求保护的本技术过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括
”ꢀ
(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。
[0152]
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。