基於屬性的訪問控制模型及其跨域訪問方法

2023-07-29 14:55:41

專利名稱：基於屬性的訪問控制模型及其跨域訪問方法
技術領域：
本發明涉及一種在開放的網絡環境下基於屬性的通用訪問控制技術，尤其涉及一 種基於屬性的訪問控制模型及其跨域訪問方法。
背景技術：
訪問控制系統決定了在網絡環境中哪些用戶能夠訪問系統，訪問系統中的哪些資 源以及對這些資源具備何種操作。開放的網絡環境中的跨域訪問的核心問題是訪問控制 系統如何識別來自其它應用系統中的用戶，然後根據系統內的訪問控制策略來判斷用戶的 操作是否合法。在基於屬性的訪問控制提出以前，對訪問控制方法的研究主要集中在自主訪問控 制、強制訪問控制以及基於角色的訪問控制，其它類型訪問控制方法如基於任務或工作流 的訪問控制、基於身份的訪問控制不具有代表性，在此不予討論。傳統的訪問控制中，自主訪問控制是一種比較弱的訪問控制策略，它有著致命的 弱點，即訪問權的授予是可以傳遞的。其後果是一旦訪問權被傳遞出去將難以控制，訪問權 的管理是相當困難的，這會帶來嚴重的安全問題。再者，自主訪問控制不保護受保護的客 體產生的副本，即一個用戶不能訪問某一客體，但能夠訪問它的拷貝，這更增加了管理的難 度。訪問許可的轉移使得客體的所有者最終都不能控制對該客體的所有訪問許可並且容易 被非法用戶繞過而獲得訪問。總之，自主訪問控制的安全級別較低，加之需要維護的主、客體數目的開銷較大， 而且對於分布式網絡系統不利於實現統一的全局訪問控制，不滿足大型網絡系統的應用需要。強制訪問控制通過增加不能迴避的訪問權限雖能夠防止在自主訪問控制模型中 存在的訪問權的傳遞問題，但是降低了系統的靈活性。此外，它利用上讀/下寫來保證數據 的完整性，利用下讀/上寫來保證數據的保密性，雖然增強了信息的機密性，但不能有效實 施完整性控制，而且實現起來工作量較大，由於過分強調保密性，在對系統的連續工作能力 和授權的靈活管理方面也考慮不足。目前主要用於保密性要求較高的軍事方面，難以支持 當前對信息的完整性較高的網際網路系統。基於角色的訪問控制模型(RBAC)及其擴展模型作為對以上傳統訪問控制方法的 代替，與前述的傳統訪問控制方法相比，通過引入角色在用戶和權限之間進行解耦，實現了 用戶和權限的邏輯分離，使得權限的管理更為靈活和容易維護。突出的優點使得系統管理 員能夠根據部門、企業安全政策的不同劃分不同的角色，執行特定的任務，因此得到了廣泛 的應用。但是，RBAC模型通常是為用戶分配固定的角色，難以根據用戶屬性變化而更改的 動態授權模式。特別是隨著系統中用戶自主性的增強和數目的增長，這種做法會使認證授 權中心成為瓶頸，可擴展性差。RBAC模型的另一不利之處是，隨著當前網絡資源應用域範圍的擴大，不同應用域之間的交互以及應用域內不同客戶端和伺服器端的交互愈加頻繁，現有的基於集中管理模 式的RBAC模型已不能適應這種環境。為了解決RBAC模型日益凸現的問題，同時要實現跨域的安全訪問控制和資源共 享，需要在RBAC的基礎上擴展，建立基於屬性的訪問控制模型(ABAC)，實現面向開放網絡 環境且支持動態授權機制和跨管理域的訪問控制系統。

發明內容
本發明提供了一種基於屬性的訪問控制模型及其跨域訪問方法，該模型將用戶的 角色和管理域都視為用戶的某個屬性，因此能夠兼容現有的RBAC模型，同時又能有效解決 RBAC模型中關於複雜角色條件下用戶-角色-權限賦值的效率問題。同時可以在開放網絡 環境中的匿名用戶提供了跨域訪問控制的機制。為達到上述目的，本發明所述的一種基於屬性的訪問控制模型，為簡化描述，以兩 個管理域，第一管理域和第二管理域為例說明。模型包括來接入到Inter網上的第一管理 域和第二管理域，其中第一管理域設置有第一訪問控制伺服器，該第一訪問控制伺服器連 接有至少一臺第一應用伺服器，其中第二管理域設置有第二訪問控制伺服器，該第二訪問 控制伺服器連接有至少一臺第二應用伺服器，其關鍵在於還包括有證書伺服器和屬性管 理伺服器；其中證書伺服器用於I、通過給第一管理域和第二管理域中第一訪問控制伺服器和第二訪問控制服務 器頒發伺服器證書，建立第一管理域和第二管理域之間的信任鏈，保證第一管理域和第二 管理域之間的信任關係；II、給用戶頒發用戶證書，用戶證書包含的內容有用戶名、序列號、籤名算法、頒發 者、有效起始日期、有效終止日期、主題、公鑰信息；其中屬性管理伺服器用於I、負責建立統一的屬性定義庫，統一訪問控制規則中的語義問題；II、負責建立統一的屬性定義庫，用來統一訪問控制伺服器中的訪問控制規則具 有相同的語義；屬性包括I、用戶的基本屬性姓名、年齡、職稱、角色、職務、當前費用、積分；II、資源的基本屬性資源名稱、資源類型、所需費用；III、操作的基本屬性下載、查看、刪除、上傳、修改；IV、上下文對象的基本屬性伺服器端的當前CPU利用率、訪問用戶數量，客戶端 的IP位址、訪問類型；所述第一訪問控制伺服器和第二訪問控制伺服器之間由所述證書伺服器頒發的 伺服器證書保證相互之間的信任鏈關係；管理域中的屬性庫均源自於由屬性管理機構所維護的屬性庫，各管理域可向該機 構申請使用屬性及註冊新的屬性。所述第一訪問控制伺服器和第二訪問控制伺服器用於I、基於統一語義的屬性來定義訪問控制規則；
II、給用戶頒發屬性證書，維護用戶的信息。所述用戶證書採用X. 509標準，用戶證書的內容有用戶名、用戶ID(序列號)、籤 名算法、頒發者、有效起始日期、有效終止日期、主題、公鑰信息；用戶證書是基於用戶或ID的身份鑑別，用戶證書相當於網絡環境下的一種身份 證，它通過將某用戶的身份與其公鑰相綁定，並由證書伺服器進行籤名，以向公鑰的使用者 證明公鑰的合法性和權威性。 所述屬性證書為一個用戶的所有 這樣的屬性值對的集合，其基 本的結構為屬性ID1，屬性值1 ；屬性ID2，屬性值2 ；…，屬性名n，屬性值n ；屬性證書中存儲了用戶的具體屬性值，看作是有籤名機制的一種特殊的數據結構 或文件。用戶或者只使用屬性證書實現匿名訪問第一訪問控制伺服器和第二訪問控制服 務器；或者同時使用用戶證書和屬性證書實現透明訪問第一訪問控制伺服器和第二訪 問控制伺服器。所述屬性證書應用於單一管理域和跨管理域；在單一管理域和跨管理域應用中，用戶通過提交用戶證書和屬性證書來簡化登錄 操作，由所述第一訪問控制伺服器或第二訪問控制伺服器中的訪問控制策略計算引擎來判 斷用戶的合法性以及查詢用戶的操作權限。在單一應用域時，屬性證書的作用與用戶輸入用戶名和密碼的作用相同都是作為 身份驗證和資源操作權限的判斷；在跨域應用時，用戶通過提交用戶證書和屬性證書來簡化登錄操作，由所述第一 訪問控制伺服器或第二訪問控制伺服器通過訪問控制策略計算引擎來判斷用戶的合法性 以及用戶的操作權限信息。一種基於屬性的訪問控制模型的跨域訪問方法，其關鍵在於步驟一、證書伺服器分別給第一管理域和第一管理域頒發伺服器證書，用於維護 第一訪問控制伺服器和第二訪問控制伺服器之間的信任鏈關係；步驟二、用戶通過第一應用伺服器登錄第一管理域，第一訪問控制伺服器給用戶 頒發包含數字籤名的屬性證書，用戶將屬性證書下載至第一應用伺服器的本地磁碟保存；步驟三、用戶登錄第二管理域，匿名訪問第二管理域下的資源時，向第二管理域提 交由第一管理域頒發的屬性證書；步驟四、第二訪問控制伺服器通過伺服器證書的信任鏈關係，確認由第一管理域 頒發給用戶的屬性證書；步驟五、第二訪問控制伺服器提取屬性證書中用戶的屬性值，根據訪問控制策略 判定通過訪問控制計算引擎判定該用戶操作的合法性。一種基於屬性的訪問控制模型的跨域訪問方法，其關鍵在於步驟一、證書伺服器分別給第一管理域和第一管理域頒發伺服器證書，用於維護 第一訪問控制伺服器和第二訪問控制伺服器之間的信任鏈關係；步驟二、用戶通過第一應用伺服器登錄第一管理域，由證書伺服器和第一訪問控 制伺服器分別給用戶頒發用私鑰加密過的用戶證書和包含數字籤名的屬性證書，用戶將兩種證書下載至第一應用伺服器的本地磁碟保存；步驟三、用戶透明訪問第二管理域下的資源時，向第二管理域同時提交用戶證書 和屬性證書；步驟四、第二訪問控制伺服器通過證書伺服器提供的公鑰對用戶證書進行解密， 驗證用戶證書的真實性與合法性；步驟五、第二訪問控制伺服器通過伺服器證書的信任鏈關係，確認由第一管理域 頒發給用戶的屬性證書；步驟六、第二訪問控制伺服器提取屬性證書中用戶的屬性值，根據訪問控制策略 判定通過訪問控制計算引擎判定該用戶操作的合法性。本發明的顯著效果是由於採用了基於統一語義的屬性的描述系統中的資源、用 戶、操作和運行上下文環境，並基於這些對象的屬性描述合法的訪問規則，因此可以將用戶 的角色和管理域等都視為用戶的一個屬性，則基於角色的訪問控制方法(RBAC)就可以視 為本發明中單用戶屬性的特例，同時利用本方法又能夠有效解決RBAC模型中關於複雜角 色條件下用戶_角色-權限賦值的效率問題。本發明的一方面是對各個管理域中的用戶提供了統一語義的屬性的描述方式，並 利用統一語義的屬性描述用戶、資源、操作和運行上下文視四類對象。這些對象分別用來表 示訪問控制過程中的主體、客體、訪問類型和訪問時系統的運行狀態。對四類對象的定義 如下用戶是指可以獨立訪問被保護數據或資源的一類對象，它往往是提出請求或要求的 發起者，可以是用戶，也可以是任何發出訪問請求的智能體，包括進程、服務、程序等，此處 簡化為人；資源是需要接受用戶訪問的一類對象，包括所有受訪問控制機制所保護下的系 統資源包括系統的功能、資料庫、文件等；操作是用來定義用戶行為的一類對象，它具體定 義了用戶對資源進行何種類型的訪問；運行上下文對象記錄了當前系統運行的一些動態屬 性，例如當前用戶的IP、伺服器負載，當前的時間、系統運行的安全等級、CPU的利用率等， 它不依賴於某個特殊的用戶和資源，但往往會應用在訪問控制策略中。利用上述四類對象 的屬性，可以提供多種粒度的訪問控制策略。各個對象按照屬性伺服器中預先定義的屬性集來描述。這種統一的屬性管理模式 不僅有利於系統管理員建立一致的和多粒度的訪問控制策略，而且有利於實現不同管理域 之間的跨域訪問。在本發明的另一方面可以將屬性管理、訪問控制規則的管理及訪問的合法性判定 相分離。各類對象的屬性的維護，可以由屬性的管理來完成，也可以隨業務活動而發生變 化。系統在運行過程中，屬性是動態可變的量，而訪問控制策略則相對穩定。因此系統能夠 滿足根據業務變化而進行動態授權的機制。本發明的基於PKI籤名機制保證屬性證書的安全性和管理域間建立可證明的信 任關係。屬性證書既可以作為在單一應用域內中匿名訪問的權限判斷的憑證又可以應用在 跨域應用中，兼顧了精細的訪問控制和用戶使用的便捷性。本發明另一顯著的優勢是通過引入上下文對象實現對不同類型的用戶提供差異 化的服務，例如在負載比較大的情況下可以優先保證具有某種特徵的用戶的訪問。本發明的其它方面將可以從下面結合附圖的示例說明本發明的實現原理及相關 描述中變得顯而易見。但是本發明不局限於此番給出的解釋及細節，可在權利要求的範圍內改變。


圖1是基於屬性的訪問控制模型的結構框圖。
具體實施例方式下面結合附圖和具體實施例對本發明做進一步詳細說明實施例1 如圖1所示，本發明所述的一種基於屬性的訪問控制模型，為簡化描述本方法，以 兩個管理域，第一管理域1和第二管理域2為例說明。包括來接入到Inter網上的第一管 理域1和第二管理域2，其中第一管理域1設置有第一訪問控制伺服器la，該第一訪問控制 伺服器Ia連接有至少一臺第一應用伺服器lb，其中第二管理域2設置有第二訪問控制服務 器2a，該第二訪問控制伺服器2a連接有至少一臺第二應用伺服器2b，其關鍵在於還包括 有證書伺服器3和屬性管理伺服器4 ；其中證書伺服器3用於I、通過給第一管理域1和第二管理域2中第一訪問控制伺服器Ia和第二訪問控 制伺服器2a頒發伺服器證書，建立第一管理域1和第二管理域2之間的信任鏈，保證第一 管理域1和第二管理域2之間的信任關係；II、給用戶頒發用戶證書，用戶證書包含的內容有用戶名、序列號、籤名算法、頒發 者、有效起始日期、有效終止日期、主題、公鑰信息；其中屬性管理伺服器4用於I、負責建立統一的屬性定義庫，統一訪問控制規則中的語義問題；II、負責建立統一的屬性定義庫，用來統一訪問控制伺服器中的訪問控制規則具 有相同的語義；屬性包括I、用戶的基本屬性姓名、年齡、職稱、角色、職務、當前費用、積分；II、資源的基本屬性資源名稱、資源類型、所需費用；III、操作的基本屬性下載、查看、刪除、上傳、修改；IV、上下文對象的基本屬性伺服器端的當前CPU利用率、訪問用戶數量，客戶端 的IP位址、訪問類型；所述第一訪問控制伺服器Ia和第二訪問控制伺服器2a之間由所述證書伺服器3 頒發的伺服器證書保證相互之間的信任鏈關係；管理域中的屬性庫均源自於由屬性管理機構所維護的屬性庫，各管理域可向該機 構申請使用屬性及註冊新的屬性。所述第一訪問控制伺服器Ia和第二訪問控制伺服器2a用於I、基於統一語義的屬性來定義訪問控制規則；II、給用戶頒發屬性證書，維護用戶的信息。所述用戶證書採用X. 509標準，用戶證書的內容有用戶名、用戶ID，即序列號、籤 名算法、頒發者、有效起始日期、有效終止日期、主題、公鑰信息；
用戶證書是基於用戶或ID的身份鑑別，用戶證書相當於網絡環境下的一種身份 證，它通過將某用戶的身份與其公鑰相綁定，並由證書伺服器3進行籤名，以向公鑰的使用 者證明公鑰的合法性和權威性。 所述屬性證書為一個用戶的所有 這樣的屬性值對的集合，其基 本的結構為屬性ID1，屬性值1 ；屬性ID2，屬性值2 ；…，屬性名n，屬性值η ；屬性證書中存儲了用戶的具體屬性值，看作是有籤名機制的一種特殊的數據結構 或文件。用戶或者只使用屬性證書實現匿名訪問第一訪問控制伺服器Ia和第二訪問控制 伺服器2a ；或者同時使用用戶證書和屬性證書實現透明訪問第一訪問控制伺服器Ia和第二 訪問控制伺服器2a。所述屬性證書應用於單一管理域和跨管理域；在單一管理域和跨管理域應用中，用戶通過提交用戶證書和屬性證書來簡化登錄 操作，由所述第一訪問控制伺服器Ia或第二訪問控制伺服器2a中的訪問控制策略計算引 擎來判斷用戶的合法性以及查詢用戶的操作權限。在單一應用域時，屬性證書的作用與用戶輸入用戶名和密碼的作用相同都是作為 身份驗證和資源操作權限的判斷；在跨域應用時，用戶通過提交用戶證書和屬性證書來簡化登錄操作，由所述第一 訪問控制伺服器Ia或第二訪問控制伺服器2a通過訪問控制策略計算引擎來判斷用戶的合 法性以及用戶的操作權限信息。訪問控制計算引擎其實就是根據從屬性證書中提出的屬性值與訪問控制策略中 的訪問規則進行匹配看是否滿足，來判斷該訪問是否合法並將決策結果返回，即允許或拒 絕，最終由應用伺服器進行訪問控制的實施。訪問控制規則由屬性表達式來定義1屬性表達式CE屬性表達式的CE定義如下CE- > CE or AECE- > CE and AECE- > AECE- > (CE) I not (CE)AE- > (屬性變量操作符變量)I (屬性變量操作符常量)2 常量是指屬性表達式在計算過程中不發生變化的值，常見的常量有數字常量，由1-9和小數點組成。例如=183. 22。字符串常量，必須放在引號中，字符串中間不能有空格、制表符。例如『視頻數 據，。布爾常量，真為true，假為false。例如true。日期常量年、月、日之間用「_ 「分害Ij，YYYY-MM-DD,空位須補零。例如 1900-06-09。
3屬性變量是指在權限計算過程中，要根據當前參與操作的用戶、資源、操作和運行上下文變 化的量。例如User.用戶屬性i 取用戶對象的第i個屬性。Res.資源屬性j 資源對象的第j個屬性。Op.操作屬性k 操作對象的第k個屬性。屬性變量在進行權限判斷時，將根據當前操作的用戶，資源和操作進行實例化，並 獲得這些變量的具體值。(4)運算符運算符用來描述屬性表達式中屬性變量與其它屬性變量或者常量之間滿足何種 關係。常見的運算符有=、>、 =、 Res.可訪問年齡and (User.餘額> Res.價格)表示用戶的年齡大於資源要求的訪問年齡，且用戶帳戶上餘額大於資源需要的價 格時，可以訪問該資源。綜合示例Res.可訪問年齡=18and User.年齡> Res.可訪問年齡and not (User.餘額 < Res.價格)②給用戶頒發屬性證書，維護用戶的信息此處用戶的屬性證書是本系統獨有的，運用了數字籤名的機制，是自己定義的結 構具體包含了應用域的信息及用戶的屬性值對信息。具體來說用戶屬性證書是一個《屬性ID，屬性值》的集合，結構為屬性ID1，屬性值1 ；屬性ID2，屬性值2，…，屬性IDn，屬性值η。為讓接收方對屬性證書進行鑑別，在屬性值對中加入以下屬性屬性IDn 1 = 「9998」，屬性值=「當前應用域」；屬性IDn = 「9999」，屬性值=「對用戶屬性籤名後的字符串」。屬性證書的應用域分為單一應用域和跨應用域。在單一應用域時，屬性證書的作 用與用戶輸入用戶名和密碼的作用相同都是作為身份驗證和資源操作權限的判斷。在跨域 應用時，用戶可以通過提交用戶證書和屬性證書來簡化登錄操作，由伺服器通過訪問控制 策略計算引擎來判斷用戶的合法性以及用戶的操作權限等信息。實施例2:一種基於屬性的訪問控制模型的跨域訪問方法，其關鍵在於步驟一、證書伺服器分別給第一管理域1和第一管理域2頒發伺服器證書，用於維 護第一訪問控制伺服器Ia和第二訪問控制伺服器2a之間的信任鏈關係；步驟二、用戶通過第一應用伺服器Ib登錄第一管理域1，第一訪問控制伺服器Ia 給用戶頒發包含數字籤名的屬性證書，用戶將屬性證書下載至第一應用伺服器Ib的本地 磁碟保存；步驟三、用戶登錄第二管理域2，匿名訪問第二管理域2下的資源時，向第二管理域2提交由第一管理域1頒發的屬性證書；步驟四、第二訪問控制伺服器2a通過伺服器證書的信任鏈關係，確認由第一管理 域1頒發給用戶的屬性證書；步驟五、第二訪問控制伺服器2a提取屬性證書中用戶的屬性值，根據訪問控制策 略判定通過訪問控制計算引擎判定該用戶操作的合法性。實施例3:一種基於屬性的訪問控制模型的跨域訪問方法，其關鍵在於步驟一、證書伺服器分別給第一管理域1和第一管理域2頒發伺服器證書，用於維 護第一訪問控制伺服器Ia和第二訪問控制伺服器2a之間的信任鏈關係；步驟二、用戶通過第一應用伺服器Ib登錄第一管理域1，由證書伺服器和第一訪 問控制伺服器Ia分別給用戶頒發用私鑰加密過的用戶證書和包含數字籤名的屬性證書， 用戶將兩種證書下載至第一應用伺服器Ib的本地磁碟保存；步驟三、用戶透明訪問第二管理域2下的資源時，向第二管理域2同時提交用戶證 書和屬性證書；步驟四、第二訪問控制伺服器2a通過證書伺服器提供的公鑰對用戶證書進行解密，驗證用戶證書的真實性與合法性；步驟五、第二訪問控制伺服器2a通過伺服器證書的信任鏈關係，確認由第一管理域1頒發給用戶的屬性證書；步驟六、第二訪問控制伺服器2a提取屬性證書中用戶的屬性值，根據訪問控制策略判定通過訪問控制計算引擎判定該用戶操作的合法性。 本發明不局限於第一管理域1和第一管理域2兩個應用域，可以是若干個不同的應用域的相互跨域訪問。各應用域的屬性內容相互獨立，但所有應用域的屬性都能在屬性 管理伺服器4中找到。 通過網際網路進行跨域訪問，應用伺服器既作為第一管理域1的終端，也可作為第一管理域2的終端。
權利要求
一種基於屬性的訪問控制模型，包括來接入到Inter網上的第一管理域(1)和第二管理域(2)，其中第一管理域(1)設置有第一訪問控制伺服器(1a)，該第一訪問控制伺服器(1a)連接有至少一臺第一應用伺服器(1b)，其中第二管理域(2)設置有第二訪問控制伺服器(2a)，該第二訪問控制伺服器(2a)連接有至少一臺第二應用伺服器(2b)，其特徵在於還包括有證書伺服器(3)和屬性管理伺服器(4)；其中證書伺服器(3)用於I、通過給第一管理域(1)和第二管理域(2)中第一訪問控制伺服器(1a)和第二訪問控制伺服器(2a)頒發伺服器證書，建立第一管理域(1)和第二管理域(2)之間的信任鏈，保證第一管理域(1)和第二管理域(2)之間的信任關係；II、給用戶頒發用戶證書，用戶證書包含的內容有用戶名、序列號、籤名算法、頒發者、有效起始日期、有效終止日期、主題、公鑰信息；其中屬性管理伺服器(4)用於I、負責建立統一的屬性定義庫，統一訪問控制規則中的語義問題；II、負責建立統一的屬性定義庫，用來統一訪問控制伺服器中的訪問控制規則具有相同的語義；屬性包括I、用戶的基本屬性姓名、年齡、職稱、角色、職務、當前費用、積分；II、資源的基本屬性資源名稱、資源類型、所需費用；III、操作的基本屬性下載、查看、刪除、上傳、修改；IV、上下文對象的基本屬性伺服器端的當前CPU利用率、訪問用戶數量，客戶端的IP位址、訪問類型；所述第一訪問控制伺服器(1a)和第二訪問控制伺服器(2a)之間由所述證書伺服器(3)頒發的伺服器證書保證相互之間的信任鏈關係；所述第一訪問控制伺服器(1a)和第二訪問控制伺服器(2a)用於I、基於統一語義的屬性來定義訪問控制規則；II、給用戶頒發屬性證書並籤名。
2.根據權利要求1所述的基於屬性的訪問控制模型，其特徵在於所述用戶證書採用 X. 509標準，用戶證書的內容有用戶名、用戶ID(序列號)、籤名算法、頒發者、有效起始日 期、有效終止日期、主題、公鑰信息；用戶證書是基於用戶或ID的身份鑑別，用戶證書相當於網絡環境下的一種身份證，它 通過將某用戶的身份與其公鑰相綁定，並由證書伺服器(3)進行籤名，以向公鑰的使用者 證明公鑰的合法性和權威性。
3.根據權利要求1所述的基於屬性的訪問控制模型，其特徵在於所述屬性證書為一 個用戶的所有 這樣的屬性值對的集合，其基本的結構為屬性IDl，屬性 值1 ；屬性ID2，屬性值2 ；…，屬性名n，屬性值η ；屬性證書中存儲了用戶的具體屬性值，是具有籤名機制保證其真實性的數據結構或文件。
4.根據權利要求2或3所述的基於屬性的訪問控制模型，其特徵在於用戶或者只使 用屬性證書實現匿名訪問第一訪問控制伺服器(Ia)和第二訪問控制伺服器(2a)；或者同時使用用戶證書和屬性證書實現透明訪問第一訪問控制伺服器(Ia)和第二訪 問控制伺服器(2a)。
5.根據權利要求2或3所述的一種基於屬性的訪問控制模型，其特徵在於所述屬性 證書應用於單一管理域和跨管理域；在單一管理域和跨管理域應用中，用戶通過提交用戶證書和屬性證書來簡化登錄操 作，由所述第一訪問控制伺服器(Ia)或第二訪問控制伺服器(2a)中的訪問控制策略計算 引擎來判斷用戶的合法性以及查詢用戶的操作權限。
6.一種權利要求1所述基於屬性的訪問控制模型的跨域訪問方法，其特徵在於 步驟一、證書伺服器分別給第一管理域(1)和第一管理域(2)頒發伺服器證書，用於維護第一訪問控制伺服器(Ia)和第二訪問控制伺服器(2a)之間的信任鏈關係；步驟二、用戶通過第一應用伺服器(Ib)登錄第一管理域(1)，第一訪問控制伺服器 (Ia)給用戶頒發包含數字籤名的屬性證書，用戶將屬性證書下載至第一應用伺服器(Ib) 的本地磁碟保存；步驟三、用戶登錄第二管理域(2)，匿名訪問第二管理域(2)下的資源時，向第二管理 域(2)提交由第一管理域(1)頒發的屬性證書；步驟四、第二訪問控制伺服器(2a)通過伺服器證書的信任鏈關係，確認由第一管理域 (1)頒發給用戶的屬性證書；步驟五、第二訪問控制伺服器(2a)提取屬性證書中用戶的屬性值，根據訪問控制策略 判定通過訪問控制計算引擎判定該用戶操作的合法性。
7.—種權利要求1所述基於屬性的訪問控制模型的跨域訪問方法，其特徵在於 步驟一、證書伺服器分別給第一管理域(1)和第一管理域(2)頒發伺服器證書，用於維護第一訪問控制伺服器(Ia)和第二訪問控制伺服器(2a)之間的信任鏈關係；步驟二、用戶通過第一應用伺服器(Ib)登錄第一管理域(1)，由證書伺服器和第一訪 問控制伺服器(Ia)分別給用戶頒發用私鑰加密過的用戶證書和包含數字籤名的屬性證 書，用戶將兩種證書下載至第一應用伺服器(Ib)的本地磁碟保存；步驟三、用戶透明訪問第二管理域(2)下的資源時，向第二管理域(2)同時提交用戶證 書和屬性證書；步驟四、第二訪問控制伺服器(2a)通過證書伺服器提供的公鑰對用戶證書進行解密， 驗證用戶證書的真實性與合法性；步驟五、第二訪問控制伺服器(2a)通過伺服器證書的信任鏈關係，確認由第一管理域 (1)頒發給用戶的屬性證書；步驟六、第二訪問控制伺服器(2a)提取屬性證書中用戶的屬性值，根據訪問控制策略 判定通過訪問控制計算引擎判定該用戶操作的合法性。
全文摘要
本發明公開了一種基於屬性的訪問控制模型及其跨域訪問方法，基於屬性的訪問控制模型包括第一管理域和第二管理域，其特徵在於還包括證書伺服器和屬性管理伺服器。系統的跨域訪問方法包括、證書伺服器分別給第一管理域和第一管理域頒發伺服器證書；用戶通過登錄第一管理域，將屬性證書下載至本地磁碟保存；用戶向第二管理域提交屬性證書；第二訪問控制伺服器確認屬性證書；第二訪問控制伺服器提取屬性值，判定該用戶操作的合法性。其顯著特點是可以將用戶的角色和管理域都視為用戶的單一屬性，能夠有效解RBAC模型中關於複雜角色條件下用戶-角色-權限賦值的效率問題。同時對於開放網絡環境中的匿名用戶也提供了相應的訪問控制方法。
文檔編號H04L29/06GK101997876SQ20101053380
公開日2011年3月30日 申請日期2010年11月5日 優先權日2010年11月5日
發明者侯素娟, 馮永, 李季, 汪成亮, 鍾將 申請人:重慶大學