專利名稱:基于屬性的訪問控制模型及其跨域訪問方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在開放的網(wǎng)絡(luò)環(huán)境下基于屬性的通用訪問控制技術(shù),尤其涉及一 種基于屬性的訪問控制模型及其跨域訪問方法�。
背景技術(shù):
訪問控制系統(tǒng)決定了在網(wǎng)絡(luò)環(huán)境中哪些用戶能夠訪問系統(tǒng),訪問系統(tǒng)中的哪些資 源以及對這些資源具備何種操作�。開放的網(wǎng)絡(luò)環(huán)境中的跨域訪問的核心問題是訪問控制 系統(tǒng)如何識別來自其它應用系統(tǒng)中的用戶,然后根據(jù)系統(tǒng)內(nèi)的訪問控制策略來判斷用戶的 操作是否合法�����。在基于屬性的訪問控制提出以前����,對訪問控制方法的研究主要集中在自主訪問控 制、強制訪問控制以及基于角色的訪問控制�����,其它類型訪問控制方法如基于任務或工作流 的訪問控制�、基于身份的訪問控制不具有代表性,在此不予討論�。傳統(tǒng)的訪問控制中,自主訪問控制是一種比較弱的訪問控制策略,它有著致命的 弱點��,即訪問權(quán)的授予是可以傳遞的����。其后果是一旦訪問權(quán)被傳遞出去將難以控制,訪問權(quán) 的管理是相當困難的�,這會帶來嚴重的安全問題。再者��,自主訪問控制不保護受保護的客 體產(chǎn)生的副本��,即一個用戶不能訪問某一客體��,但能夠訪問它的拷貝��,這更增加了管理的難 度�。訪問許可的轉(zhuǎn)移使得客體的所有者最終都不能控制對該客體的所有訪問許可并且容易 被非法用戶繞過而獲得訪問?��?傊灾髟L問控制的安全級別較低����,加之需要維護的主、客體數(shù)目的開銷較大, 而且對于分布式網(wǎng)絡(luò)系統(tǒng)不利于實現(xiàn)統(tǒng)一的全局訪問控制��,不滿足大型網(wǎng)絡(luò)系統(tǒng)的應用需要����。強制訪問控制通過增加不能回避的訪問權(quán)限雖能夠防止在自主訪問控制模型中 存在的訪問權(quán)的傳遞問題,但是降低了系統(tǒng)的靈活性�。此外,它利用上讀/下寫來保證數(shù)據(jù) 的完整性��,利用下讀/上寫來保證數(shù)據(jù)的保密性��,雖然增強了信息的機密性��,但不能有效實 施完整性控制����,而且實現(xiàn)起來工作量較大,由于過分強調(diào)保密性�����,在對系統(tǒng)的連續(xù)工作能力 和授權(quán)的靈活管理方面也考慮不足��。目前主要用于保密性要求較高的軍事方面�����,難以支持 當前對信息的完整性較高的互聯(lián)網(wǎng)系統(tǒng)?���;诮巧脑L問控制模型(RBAC)及其擴展模型作為對以上傳統(tǒng)訪問控制方法的 代替,與前述的傳統(tǒng)訪問控制方法相比�,通過引入角色在用戶和權(quán)限之間進行解耦,實現(xiàn)了 用戶和權(quán)限的邏輯分離�,使得權(quán)限的管理更為靈活和容易維護。突出的優(yōu)點使得系統(tǒng)管理 員能夠根據(jù)部門����、企業(yè)安全政策的不同劃分不同的角色,執(zhí)行特定的任務����,因此得到了廣泛 的應用。但是���,RBAC模型通常是為用戶分配固定的角色����,難以根據(jù)用戶屬性變化而更改的 動態(tài)授權(quán)模式���。特別是隨著系統(tǒng)中用戶自主性的增強和數(shù)目的增長�,這種做法會使認證授 權(quán)中心成為瓶頸���,可擴展性差��。RBAC模型的另一不利之處是����,隨著當前網(wǎng)絡(luò)資源應用域范圍的擴大�,不同應用域之間的交互以及應用域內(nèi)不同客戶端和服務器端的交互愈加頻繁,現(xiàn)有的基于集中管理模 式的RBAC模型已不能適應這種環(huán)境���。為了解決RBAC模型日益凸現(xiàn)的問題�,同時要實現(xiàn)跨域的安全訪問控制和資源共 享�,需要在RBAC的基礎(chǔ)上擴展,建立基于屬性的訪問控制模型(ABAC)��,實現(xiàn)面向開放網(wǎng)絡(luò) 環(huán)境且支持動態(tài)授權(quán)機制和跨管理域的訪問控制系統(tǒng)�。
發(fā)明內(nèi)容
本發(fā)明提供了一種基于屬性的訪問控制模型及其跨域訪問方法,該模型將用戶的 角色和管理域都視為用戶的某個屬性�����,因此能夠兼容現(xiàn)有的RBAC模型,同時又能有效解決 RBAC模型中關(guān)于復雜角色條件下用戶-角色-權(quán)限賦值的效率問題��。同時可以在開放網(wǎng)絡(luò) 環(huán)境中的匿名用戶提供了跨域訪問控制的機制����。為達到上述目的,本發(fā)明所述的一種基于屬性的訪問控制模型�,為簡化描述,以兩 個管理域��,第一管理域和第二管理域為例說明��。模型包括來接入到Inter網(wǎng)上的第一管理 域和第二管理域��,其中第一管理域設(shè)置有第一訪問控制服務器�����,該第一訪問控制服務器連 接有至少一臺第一應用服務器����,其中第二管理域設(shè)置有第二訪問控制服務器,該第二訪問 控制服務器連接有至少一臺第二應用服務器��,其關(guān)鍵在于還包括有證書服務器和屬性管 理服務器��;其中證書服務器用于I、通過給第一管理域和第二管理域中第一訪問控制服務器和第二訪問控制服務 器頒發(fā)服務器證書�,建立第一管理域和第二管理域之間的信任鏈����,保證第一管理域和第二 管理域之間的信任關(guān)系;II��、給用戶頒發(fā)用戶證書��,用戶證書包含的內(nèi)容有用戶名��、序列號�����、簽名算法���、頒發(fā) 者��、有效起始日期�、有效終止日期����、主題���、公鑰信息;其中屬性管理服務器用于I��、負責建立統(tǒng)一的屬性定義庫��,統(tǒng)一訪問控制規(guī)則中的語義問題��;II��、負責建立統(tǒng)一的屬性定義庫���,用來統(tǒng)一訪問控制服務器中的訪問控制規(guī)則具 有相同的語義�;屬性包括I���、用戶的基本屬性姓名�、年齡�、職稱、角色�、職務、當前費用����、積分���;II、資源的基本屬性資源名稱����、資源類型、所需費用���;III、操作的基本屬性下載�、查看、刪除��、上傳���、修改�����;IV�����、上下文對象的基本屬性服務器端的當前CPU利用率����、訪問用戶數(shù)量,客戶端 的IP地址����、訪問類型;所述第一訪問控制服務器和第二訪問控制服務器之間由所述證書服務器頒發(fā)的 服務器證書保證相互之間的信任鏈關(guān)系��;管理域中的屬性庫均源自于由屬性管理機構(gòu)所維護的屬性庫��,各管理域可向該機 構(gòu)申請使用屬性及注冊新的屬性��。所述第一訪問控制服務器和第二訪問控制服務器用于I����、基于統(tǒng)一語義的屬性來定義訪問控制規(guī)則;
II�、給用戶頒發(fā)屬性證書,維護用戶的信息��。所述用戶證書采用X. 509標準����,用戶證書的內(nèi)容有用戶名���、用戶ID(序列號)、簽 名算法��、頒發(fā)者�、有效起始日期、有效終止日期���、主題����、公鑰信息��;用戶證書是基于用戶或ID的身份鑒別��,用戶證書相當于網(wǎng)絡(luò)環(huán)境下的一種身份 證�,它通過將某用戶的身份與其公鑰相綁定�,并由證書服務器進行簽名,以向公鑰的使用者 證明公鑰的合法性和權(quán)威性��。 所述屬性證書為一個用戶的所有 < 屬性名�����,屬性值 > 這樣的屬性值對的集合,其基 本的結(jié)構(gòu)為屬性ID1�����,屬性值1 ��;屬性ID2�,屬性值2 ;…����,屬性名n,屬性值n �����;屬性證書中存儲了用戶的具體屬性值����,看作是有簽名機制的一種特殊的數(shù)據(jù)結(jié)構(gòu) 或文件。用戶或者只使用屬性證書實現(xiàn)匿名訪問第一訪問控制服務器和第二訪問控制服 務器�;或者同時使用用戶證書和屬性證書實現(xiàn)透明訪問第一訪問控制服務器和第二訪 問控制服務器。所述屬性證書應用于單一管理域和跨管理域����;在單一管理域和跨管理域應用中���,用戶通過提交用戶證書和屬性證書來簡化登錄 操作,由所述第一訪問控制服務器或第二訪問控制服務器中的訪問控制策略計算引擎來判 斷用戶的合法性以及查詢用戶的操作權(quán)限�����。在單一應用域時�,屬性證書的作用與用戶輸入用戶名和密碼的作用相同都是作為 身份驗證和資源操作權(quán)限的判斷;在跨域應用時�,用戶通過提交用戶證書和屬性證書來簡化登錄操作,由所述第一 訪問控制服務器或第二訪問控制服務器通過訪問控制策略計算引擎來判斷用戶的合法性 以及用戶的操作權(quán)限信息��。一種基于屬性的訪問控制模型的跨域訪問方法��,其關(guān)鍵在于步驟一�����、證書服務器分別給第一管理域和第一管理域頒發(fā)服務器證書����,用于維護 第一訪問控制服務器和第二訪問控制服務器之間的信任鏈關(guān)系����;步驟二��、用戶通過第一應用服務器登錄第一管理域�����,第一訪問控制服務器給用戶 頒發(fā)包含數(shù)字簽名的屬性證書�����,用戶將屬性證書下載至第一應用服務器的本地磁盤保存�;步驟三���、用戶登錄第二管理域��,匿名訪問第二管理域下的資源時�����,向第二管理域提 交由第一管理域頒發(fā)的屬性證書����;步驟四�����、第二訪問控制服務器通過服務器證書的信任鏈關(guān)系,確認由第一管理域 頒發(fā)給用戶的屬性證書�;步驟五、第二訪問控制服務器提取屬性證書中用戶的屬性值��,根據(jù)訪問控制策略 判定通過訪問控制計算引擎判定該用戶操作的合法性���。一種基于屬性的訪問控制模型的跨域訪問方法����,其關(guān)鍵在于步驟一�、證書服務器分別給第一管理域和第一管理域頒發(fā)服務器證書,用于維護 第一訪問控制服務器和第二訪問控制服務器之間的信任鏈關(guān)系��;步驟二��、用戶通過第一應用服務器登錄第一管理域��,由證書服務器和第一訪問控 制服務器分別給用戶頒發(fā)用私鑰加密過的用戶證書和包含數(shù)字簽名的屬性證書��,用戶將兩種證書下載至第一應用服務器的本地磁盤保存�����;步驟三��、用戶透明訪問第二管理域下的資源時��,向第二管理域同時提交用戶證書 和屬性證書��;步驟四��、第二訪問控制服務器通過證書服務器提供的公鑰對用戶證書進行解密�, 驗證用戶證書的真實性與合法性;步驟五�、第二訪問控制服務器通過服務器證書的信任鏈關(guān)系,確認由第一管理域 頒發(fā)給用戶的屬性證書���;步驟六�、第二訪問控制服務器提取屬性證書中用戶的屬性值���,根據(jù)訪問控制策略 判定通過訪問控制計算引擎判定該用戶操作的合法性�。本發(fā)明的顯著效果是由于采用了基于統(tǒng)一語義的屬性的描述系統(tǒng)中的資源�、用 戶、操作和運行上下文環(huán)境��,并基于這些對象的屬性描述合法的訪問規(guī)則���,因此可以將用戶 的角色和管理域等都視為用戶的一個屬性��,則基于角色的訪問控制方法(RBAC)就可以視 為本發(fā)明中單用戶屬性的特例����,同時利用本方法又能夠有效解決RBAC模型中關(guān)于復雜角 色條件下用戶_角色-權(quán)限賦值的效率問題。本發(fā)明的一方面是對各個管理域中的用戶提供了統(tǒng)一語義的屬性的描述方式�,并 利用統(tǒng)一語義的屬性描述用戶、資源��、操作和運行上下文視四類對象�。這些對象分別用來表 示訪問控制過程中的主體、客體�����、訪問類型和訪問時系統(tǒng)的運行狀態(tài)�。對四類對象的定義 如下用戶是指可以獨立訪問被保護數(shù)據(jù)或資源的一類對象,它往往是提出請求或要求的 發(fā)起者���,可以是用戶��,也可以是任何發(fā)出訪問請求的智能體����,包括進程、服務���、程序等,此處 簡化為人�;資源是需要接受用戶訪問的一類對象,包括所有受訪問控制機制所保護下的系 統(tǒng)資源包括系統(tǒng)的功能��、數(shù)據(jù)庫��、文件等����;操作是用來定義用戶行為的一類對象,它具體定 義了用戶對資源進行何種類型的訪問���;運行上下文對象記錄了當前系統(tǒng)運行的一些動態(tài)屬 性��,例如當前用戶的IP��、服務器負載��,當前的時間���、系統(tǒng)運行的安全等級、CPU的利用率等, 它不依賴于某個特殊的用戶和資源��,但往往會應用在訪問控制策略中��。利用上述四類對象 的屬性��,可以提供多種粒度的訪問控制策略��。各個對象按照屬性服務器中預先定義的屬性集來描述�。這種統(tǒng)一的屬性管理模式 不僅有利于系統(tǒng)管理員建立一致的和多粒度的訪問控制策略,而且有利于實現(xiàn)不同管理域 之間的跨域訪問���。在本發(fā)明的另一方面可以將屬性管理��、訪問控制規(guī)則的管理及訪問的合法性判定 相分離��。各類對象的屬性的維護�����,可以由屬性的管理來完成�,也可以隨業(yè)務活動而發(fā)生變 化�����。系統(tǒng)在運行過程中,屬性是動態(tài)可變的量��,而訪問控制策略則相對穩(wěn)定�。因此系統(tǒng)能夠 滿足根據(jù)業(yè)務變化而進行動態(tài)授權(quán)的機制。本發(fā)明的基于PKI簽名機制保證屬性證書的安全性和管理域間建立可證明的信 任關(guān)系�。屬性證書既可以作為在單一應用域內(nèi)中匿名訪問的權(quán)限判斷的憑證又可以應用在 跨域應用中��,兼顧了精細的訪問控制和用戶使用的便捷性�����。本發(fā)明另一顯著的優(yōu)勢是通過引入上下文對象實現(xiàn)對不同類型的用戶提供差異 化的服務�����,例如在負載比較大的情況下可以優(yōu)先保證具有某種特征的用戶的訪問�。本發(fā)明的其它方面將可以從下面結(jié)合附圖的示例說明本發(fā)明的實現(xiàn)原理及相關(guān) 描述中變得顯而易見。但是本發(fā)明不局限于此番給出的解釋及細節(jié)�,可在權(quán)利要求的范圍內(nèi)改變。
圖1是基于屬性的訪問控制模型的結(jié)構(gòu)框圖���。
具體實施例方式下面結(jié)合附圖和具體實施例對本發(fā)明做進一步詳細說明實施例1 如圖1所示�����,本發(fā)明所述的一種基于屬性的訪問控制模型�����,為簡化描述本方法�,以 兩個管理域,第一管理域1和第二管理域2為例說明����。包括來接入到Inter網(wǎng)上的第一管 理域1和第二管理域2,其中第一管理域1設(shè)置有第一訪問控制服務器la��,該第一訪問控制 服務器Ia連接有至少一臺第一應用服務器lb�����,其中第二管理域2設(shè)置有第二訪問控制服務 器2a���,該第二訪問控制服務器2a連接有至少一臺第二應用服務器2b��,其關(guān)鍵在于還包括 有證書服務器3和屬性管理服務器4 ��;其中證書服務器3用于I����、通過給第一管理域1和第二管理域2中第一訪問控制服務器Ia和第二訪問控 制服務器2a頒發(fā)服務器證書,建立第一管理域1和第二管理域2之間的信任鏈�����,保證第一 管理域1和第二管理域2之間的信任關(guān)系��;II���、給用戶頒發(fā)用戶證書,用戶證書包含的內(nèi)容有用戶名��、序列號�、簽名算法、頒發(fā) 者���、有效起始日期�、有效終止日期��、主題��、公鑰信息��;其中屬性管理服務器4用于I����、負責建立統(tǒng)一的屬性定義庫����,統(tǒng)一訪問控制規(guī)則中的語義問題�����;II��、負責建立統(tǒng)一的屬性定義庫�,用來統(tǒng)一訪問控制服務器中的訪問控制規(guī)則具 有相同的語義;屬性包括I��、用戶的基本屬性姓名����、年齡、職稱�、角色、職務��、當前費用���、積分��;II��、資源的基本屬性資源名稱��、資源類型����、所需費用;III�、操作的基本屬性下載、查看����、刪除����、上傳、修改�;IV、上下文對象的基本屬性服務器端的當前CPU利用率����、訪問用戶數(shù)量,客戶端 的IP地址��、訪問類型;所述第一訪問控制服務器Ia和第二訪問控制服務器2a之間由所述證書服務器3 頒發(fā)的服務器證書保證相互之間的信任鏈關(guān)系��;管理域中的屬性庫均源自于由屬性管理機構(gòu)所維護的屬性庫��,各管理域可向該機 構(gòu)申請使用屬性及注冊新的屬性�。所述第一訪問控制服務器Ia和第二訪問控制服務器2a用于I、基于統(tǒng)一語義的屬性來定義訪問控制規(guī)則�;II、給用戶頒發(fā)屬性證書�,維護用戶的信息。所述用戶證書采用X. 509標準��,用戶證書的內(nèi)容有用戶名�����、用戶ID�����,即序列號�����、簽 名算法、頒發(fā)者�、有效起始日期、有效終止日期����、主題、公鑰信息���;
用戶證書是基于用戶或ID的身份鑒別�,用戶證書相當于網(wǎng)絡(luò)環(huán)境下的一種身份 證����,它通過將某用戶的身份與其公鑰相綁定,并由證書服務器3進行簽名���,以向公鑰的使用 者證明公鑰的合法性和權(quán)威性�。 所述屬性證書為一個用戶的所有 < 屬性名�,屬性值 > 這樣的屬性值對的集合����,其基 本的結(jié)構(gòu)為屬性ID1,屬性值1 ��;屬性ID2�,屬性值2 ���;…,屬性名n��,屬性值η �;屬性證書中存儲了用戶的具體屬性值,看作是有簽名機制的一種特殊的數(shù)據(jù)結(jié)構(gòu) 或文件�。用戶或者只使用屬性證書實現(xiàn)匿名訪問第一訪問控制服務器Ia和第二訪問控制 服務器2a ;或者同時使用用戶證書和屬性證書實現(xiàn)透明訪問第一訪問控制服務器Ia和第二 訪問控制服務器2a�。所述屬性證書應用于單一管理域和跨管理域;在單一管理域和跨管理域應用中��,用戶通過提交用戶證書和屬性證書來簡化登錄 操作�,由所述第一訪問控制服務器Ia或第二訪問控制服務器2a中的訪問控制策略計算引 擎來判斷用戶的合法性以及查詢用戶的操作權(quán)限。在單一應用域時���,屬性證書的作用與用戶輸入用戶名和密碼的作用相同都是作為 身份驗證和資源操作權(quán)限的判斷�;在跨域應用時��,用戶通過提交用戶證書和屬性證書來簡化登錄操作����,由所述第一 訪問控制服務器Ia或第二訪問控制服務器2a通過訪問控制策略計算引擎來判斷用戶的合 法性以及用戶的操作權(quán)限信息。訪問控制計算引擎其實就是根據(jù)從屬性證書中提出的屬性值與訪問控制策略中 的訪問規(guī)則進行匹配看是否滿足,來判斷該訪問是否合法并將決策結(jié)果返回�,即允許或拒 絕,最終由應用服務器進行訪問控制的實施�。訪問控制規(guī)則由屬性表達式來定義1屬性表達式CE屬性表達式的CE定義如下CE- > CE or AECE- > CE and AECE- > AECE- > (CE) I not (CE)AE- > (屬性變量操作符變量)I (屬性變量操作符常量)2 常量是指屬性表達式在計算過程中不發(fā)生變化的值,常見的常量有數(shù)字常量�,由1-9和小數(shù)點組成。例如=183. 22�����。字符串常量����,必須放在引號中,字符串中間不能有空格��、制表符�。例如‘視頻數(shù) 據(jù),�。布爾常量,真為true��,假為false���。例如true。日期常量年、月�、日之間用“_ “分害Ij,YYYY-MM-DD,空位須補零�����。例如 1900-06-09��。
3屬性變量是指在權(quán)限計算過程中���,要根據(jù)當前參與操作的用戶�、資源�����、操作和運行上下文變 化的量���。例如User.用戶屬性i 取用戶對象的第i個屬性�。Res.資源屬性j 資源對象的第j個屬性�。Op.操作屬性k 操作對象的第k個屬性。屬性變量在進行權(quán)限判斷時�,將根據(jù)當前操作的用戶,資源和操作進行實例化��,并 獲得這些變量的具體值。(4)運算符運算符用來描述屬性表達式中屬性變量與其它屬性變量或者常量之間滿足何種 關(guān)系���。常見的運算符有=��、>�、<����、> =、< =�����。(5)屬性表達式示例User.年齡> Res.可訪問年齡and (User.余額> Res.價格)表示用戶的年齡大于資源要求的訪問年齡��,且用戶賬戶上余額大于資源需要的價 格時����,可以訪問該資源。綜合示例Res.可訪問年齡=18and User.年齡> Res.可訪問年齡and not (User.余額 < Res.價格)②給用戶頒發(fā)屬性證書�,維護用戶的信息此處用戶的屬性證書是本系統(tǒng)獨有的,運用了數(shù)字簽名的機制�,是自己定義的結(jié) 構(gòu)具體包含了應用域的信息及用戶的屬性值對信息。具體來說用戶屬性證書是一個《屬性ID�����,屬性值》的集合����,結(jié)構(gòu)為屬性ID1,屬性值1 ���;屬性ID2��,屬性值2���,…,屬性IDn�����,屬性值η��。為讓接收方對屬性證書進行鑒別��,在屬性值對中加入以下屬性屬性IDn 1 = “9998”���,屬性值=“當前應用域”���;屬性IDn = “9999”��,屬性值=“對用戶屬性簽名后的字符串”�。屬性證書的應用域分為單一應用域和跨應用域��。在單一應用域時�,屬性證書的作 用與用戶輸入用戶名和密碼的作用相同都是作為身份驗證和資源操作權(quán)限的判斷。在跨域 應用時�,用戶可以通過提交用戶證書和屬性證書來簡化登錄操作,由服務器通過訪問控制 策略計算引擎來判斷用戶的合法性以及用戶的操作權(quán)限等信息�����。實施例2:一種基于屬性的訪問控制模型的跨域訪問方法�,其關(guān)鍵在于步驟一、證書服務器分別給第一管理域1和第一管理域2頒發(fā)服務器證書��,用于維 護第一訪問控制服務器Ia和第二訪問控制服務器2a之間的信任鏈關(guān)系�;步驟二、用戶通過第一應用服務器Ib登錄第一管理域1��,第一訪問控制服務器Ia 給用戶頒發(fā)包含數(shù)字簽名的屬性證書�,用戶將屬性證書下載至第一應用服務器Ib的本地 磁盤保存;步驟三��、用戶登錄第二管理域2,匿名訪問第二管理域2下的資源時��,向第二管理域2提交由第一管理域1頒發(fā)的屬性證書����;步驟四�、第二訪問控制服務器2a通過服務器證書的信任鏈關(guān)系,確認由第一管理 域1頒發(fā)給用戶的屬性證書�;步驟五、第二訪問控制服務器2a提取屬性證書中用戶的屬性值�,根據(jù)訪問控制策 略判定通過訪問控制計算引擎判定該用戶操作的合法性。實施例3:一種基于屬性的訪問控制模型的跨域訪問方法�,其關(guān)鍵在于步驟一、證書服務器分別給第一管理域1和第一管理域2頒發(fā)服務器證書��,用于維 護第一訪問控制服務器Ia和第二訪問控制服務器2a之間的信任鏈關(guān)系�;步驟二、用戶通過第一應用服務器Ib登錄第一管理域1���,由證書服務器和第一訪 問控制服務器Ia分別給用戶頒發(fā)用私鑰加密過的用戶證書和包含數(shù)字簽名的屬性證書����, 用戶將兩種證書下載至第一應用服務器Ib的本地磁盤保存���;步驟三��、用戶透明訪問第二管理域2下的資源時��,向第二管理域2同時提交用戶證 書和屬性證書����;步驟四、第二訪問控制服務器2a通過證書服務器提供的公鑰對用戶證書進行解密��,驗證用戶證書的真實性與合法性��;步驟五��、第二訪問控制服務器2a通過服務器證書的信任鏈關(guān)系�����,確認由第一管理域1頒發(fā)給用戶的屬性證書�;步驟六、第二訪問控制服務器2a提取屬性證書中用戶的屬性值�����,根據(jù)訪問控制策略判定通過訪問控制計算引擎判定該用戶操作的合法性。 本發(fā)明不局限于第一管理域1和第一管理域2兩個應用域���,可以是若干個不同的應用域的相互跨域訪問�����。各應用域的屬性內(nèi)容相互獨立����,但所有應用域的屬性都能在屬性 管理服務器4中找到��。 通過互聯(lián)網(wǎng)進行跨域訪問��,應用服務器既作為第一管理域1的終端���,也可作為第一管理域2的終端。
權(quán)利要求
一種基于屬性的訪問控制模型�����,包括來接入到Inter網(wǎng)上的第一管理域(1)和第二管理域(2)����,其中第一管理域(1)設(shè)置有第一訪問控制服務器(1a),該第一訪問控制服務器(1a)連接有至少一臺第一應用服務器(1b),其中第二管理域(2)設(shè)置有第二訪問控制服務器(2a)����,該第二訪問控制服務器(2a)連接有至少一臺第二應用服務器(2b),其特征在于還包括有證書服務器(3)和屬性管理服務器(4)�����;其中證書服務器(3)用于I����、通過給第一管理域(1)和第二管理域(2)中第一訪問控制服務器(1a)和第二訪問控制服務器(2a)頒發(fā)服務器證書,建立第一管理域(1)和第二管理域(2)之間的信任鏈�,保證第一管理域(1)和第二管理域(2)之間的信任關(guān)系;II�����、給用戶頒發(fā)用戶證書�,用戶證書包含的內(nèi)容有用戶名、序列號�����、簽名算法�、頒發(fā)者、有效起始日期、有效終止日期���、主題�、公鑰信息��;其中屬性管理服務器(4)用于I�、負責建立統(tǒng)一的屬性定義庫,統(tǒng)一訪問控制規(guī)則中的語義問題����;II、負責建立統(tǒng)一的屬性定義庫�����,用來統(tǒng)一訪問控制服務器中的訪問控制規(guī)則具有相同的語義��;屬性包括I���、用戶的基本屬性姓名、年齡����、職稱、角色、職務�����、當前費用�����、積分����;II、資源的基本屬性資源名稱����、資源類型、所需費用����;III、操作的基本屬性下載���、查看�、刪除��、上傳、修改�����;IV��、上下文對象的基本屬性服務器端的當前CPU利用率�、訪問用戶數(shù)量,客戶端的IP地址�、訪問類型;所述第一訪問控制服務器(1a)和第二訪問控制服務器(2a)之間由所述證書服務器(3)頒發(fā)的服務器證書保證相互之間的信任鏈關(guān)系�;所述第一訪問控制服務器(1a)和第二訪問控制服務器(2a)用于I、基于統(tǒng)一語義的屬性來定義訪問控制規(guī)則��;II���、給用戶頒發(fā)屬性證書并簽名��。
2.根據(jù)權(quán)利要求1所述的基于屬性的訪問控制模型����,其特征在于所述用戶證書采用 X. 509標準�,用戶證書的內(nèi)容有用戶名��、用戶ID(序列號)、簽名算法�、頒發(fā)者、有效起始日 期��、有效終止日期��、主題�����、公鑰信息��;用戶證書是基于用戶或ID的身份鑒別���,用戶證書相當于網(wǎng)絡(luò)環(huán)境下的一種身份證���,它 通過將某用戶的身份與其公鑰相綁定,并由證書服務器(3)進行簽名��,以向公鑰的使用者 證明公鑰的合法性和權(quán)威性����。
3.根據(jù)權(quán)利要求1所述的基于屬性的訪問控制模型,其特征在于所述屬性證書為一 個用戶的所有 < 屬性名��,屬性值 > 這樣的屬性值對的集合,其基本的結(jié)構(gòu)為屬性IDl��,屬性 值1 �;屬性ID2,屬性值2 �����;…�����,屬性名n����,屬性值η ;屬性證書中存儲了用戶的具體屬性值���,是具有簽名機制保證其真實性的數(shù)據(jù)結(jié)構(gòu)或文件���。
4.根據(jù)權(quán)利要求2或3所述的基于屬性的訪問控制模型,其特征在于用戶或者只使 用屬性證書實現(xiàn)匿名訪問第一訪問控制服務器(Ia)和第二訪問控制服務器(2a)�;或者同時使用用戶證書和屬性證書實現(xiàn)透明訪問第一訪問控制服務器(Ia)和第二訪 問控制服務器(2a)。
5.根據(jù)權(quán)利要求2或3所述的一種基于屬性的訪問控制模型�����,其特征在于所述屬性 證書應用于單一管理域和跨管理域�����;在單一管理域和跨管理域應用中��,用戶通過提交用戶證書和屬性證書來簡化登錄操 作��,由所述第一訪問控制服務器(Ia)或第二訪問控制服務器(2a)中的訪問控制策略計算 引擎來判斷用戶的合法性以及查詢用戶的操作權(quán)限���。
6.一種權(quán)利要求1所述基于屬性的訪問控制模型的跨域訪問方法��,其特征在于 步驟一����、證書服務器分別給第一管理域(1)和第一管理域(2)頒發(fā)服務器證書�,用于維護第一訪問控制服務器(Ia)和第二訪問控制服務器(2a)之間的信任鏈關(guān)系;步驟二�、用戶通過第一應用服務器(Ib)登錄第一管理域(1),第一訪問控制服務器 (Ia)給用戶頒發(fā)包含數(shù)字簽名的屬性證書��,用戶將屬性證書下載至第一應用服務器(Ib) 的本地磁盤保存�;步驟三���、用戶登錄第二管理域(2),匿名訪問第二管理域(2)下的資源時��,向第二管理 域(2)提交由第一管理域(1)頒發(fā)的屬性證書��;步驟四��、第二訪問控制服務器(2a)通過服務器證書的信任鏈關(guān)系�,確認由第一管理域 (1)頒發(fā)給用戶的屬性證書;步驟五���、第二訪問控制服務器(2a)提取屬性證書中用戶的屬性值���,根據(jù)訪問控制策略 判定通過訪問控制計算引擎判定該用戶操作的合法性。
7.—種權(quán)利要求1所述基于屬性的訪問控制模型的跨域訪問方法�,其特征在于 步驟一、證書服務器分別給第一管理域(1)和第一管理域(2)頒發(fā)服務器證書��,用于維護第一訪問控制服務器(Ia)和第二訪問控制服務器(2a)之間的信任鏈關(guān)系�;步驟二、用戶通過第一應用服務器(Ib)登錄第一管理域(1)���,由證書服務器和第一訪 問控制服務器(Ia)分別給用戶頒發(fā)用私鑰加密過的用戶證書和包含數(shù)字簽名的屬性證 書��,用戶將兩種證書下載至第一應用服務器(Ib)的本地磁盤保存��;步驟三����、用戶透明訪問第二管理域(2)下的資源時��,向第二管理域(2)同時提交用戶證 書和屬性證書�����;步驟四��、第二訪問控制服務器(2a)通過證書服務器提供的公鑰對用戶證書進行解密���, 驗證用戶證書的真實性與合法性�;步驟五��、第二訪問控制服務器(2a)通過服務器證書的信任鏈關(guān)系����,確認由第一管理域 (1)頒發(fā)給用戶的屬性證書;步驟六、第二訪問控制服務器(2a)提取屬性證書中用戶的屬性值��,根據(jù)訪問控制策略 判定通過訪問控制計算引擎判定該用戶操作的合法性�。
全文摘要
本發(fā)明公開了一種基于屬性的訪問控制模型及其跨域訪問方法,基于屬性的訪問控制模型包括第一管理域和第二管理域�,其特征在于還包括證書服務器和屬性管理服務器。系統(tǒng)的跨域訪問方法包括��、證書服務器分別給第一管理域和第一管理域頒發(fā)服務器證書�����;用戶通過登錄第一管理域�,將屬性證書下載至本地磁盤保存;用戶向第二管理域提交屬性證書���;第二訪問控制服務器確認屬性證書��;第二訪問控制服務器提取屬性值��,判定該用戶操作的合法性���。其顯著特點是可以將用戶的角色和管理域都視為用戶的單一屬性,能夠有效解RBAC模型中關(guān)于復雜角色條件下用戶-角色-權(quán)限賦值的效率問題�。同時對于開放網(wǎng)絡(luò)環(huán)境中的匿名用戶也提供了相應的訪問控制方法�����。
文檔編號H04L29/06GK101997876SQ20101053380
公開日2011年3月30日 申請日期2010年11月5日 優(yōu)先權(quán)日2010年11月5日
發(fā)明者侯素娟, 馮永, 李季, 汪成亮, 鐘將 申請人:重慶大學