一種基於構件的分布式系統訪問控制方法及訪問控制系統的製作方法

2023-11-05 03:21:02

專利名稱：一種基於構件的分布式系統訪問控制方法及訪問控制系統的製作方法
技術領域：
本發明涉及一種分布式系統訪問控制方法及訪問控制系統，更具體地說，本發明涉及 一種利用構件化的設計思想和方法進行設計、開發與部署使用的基於Web Service技術的 訪問控制方法及訪問控制中間件系統，屬於計算機軟體技術領域。
背景技術：
隨著計算機和國際網際網路使用的普及，計算機之間的交互日益頻繁和多樣，訪問控制 問題受到了越來越多的關注。然而現今的訪問控制系統絕大多數都是與應用密切相關的， 缺乏對訪問控制模型和訪問控制過程實施的抽象。如何保證這些與底層應用強相關的訪問 控制系統的正確性、可靠性與易用性，已經成為當前信息安全技術領域較為棘手的問題之同時，伴隨著計算環境和資源共享模式的發展變化，系統對訪問控制模型和機制也提 出了許多新的需求，由於這些新的要求的出現，傳統訪問控制模型日益暴露出自身的一些缺陷和不足。主要問題有1. 訪問控制粒度不夠細緻。傳統訪問控制模型在授權時大都僅僅考慮用戶的某一種 特定屬性，而忽略其它屬性，並且具有相同屬性值的用戶訪問權限相同。2. 實施多策略支持的代價太高。傳統訪問控制模型都定義自己特定的屬性、函數和 配置方法，使用自己專有實施機制。多策略系統需要實現每種策略對應的訪問控制機制。3. 延展性較差。當用戶的數量巨大或者授權過程中需要考慮較多的用戶屬性時，傳統訪問控制模型的管理代價通常會急劇提高。4. 將授權與訪問控制過程混為一體。在早期小規模系統中，管理員直接登錄到系統 中手工修改授權信息，授權管理很少受到重視；隨著組織和系統規模的擴大，授權信息和 策略的管理成為了一項繁瑣而又艱巨的任務，傳統的混合式管理難以滿足要求。因此，必 須將授權管理與訪問控制進行明確的區分。5. 難以滿足分布式系統的訪問控制需求。分布式系統是由一個個孤立的安全域通過 網絡互聯而形成的系統，每個安全域都管理著本地的資源和用戶。通常每個域都有各自本 地管理的資源和本地用戶身份認證，當需要跨安全域進行資源訪問控制時，來自外域的用 戶要訪問本域的資源，外域的用戶身份標識對本域而言往往是不可理解的；不同域的訪問 控制策略也通常是異質的，外域中用戶的安全屬性難以直接用於本域的訪問控制決策。因 此必須提供一種統一的訪問控制框架，以滿足分布式系統中跨域資源訪問控制的需求。近來，跨機構的通用的訪問控制中間件技術在國際上得到廣泛的重視，湧現了一大批 相關的技術規範和開源項目，如Cardea， Shibboleth, EU資助下的PERMIS項目等。但是， 值得注意的是，所有這些項目還沒有提供一整套獨立的訪問控制中間件架構為異構平臺下 的Web應用系統提供集中的訪問控制決策服務。Shibboleth是Internet2/M ACE (Middleware Architecture Committee for Education )禾卩IBM合作開發的一個項目。該項目的目的是提供多個組織(主要是大學和科研機構)之間Web 服務共享和訪問控制的技術。該項目重在分析提供這種跨組織的服務時系統需要滿足的結 構性要求。Shibboleth採用了 SAML (Security Assertion Markup Language,安全斷言標記 語言)作為系統組件之間消息交互的格式。Shibboleth主要關注三大問題跨組織的單點 登錄，聯合(Federation)和隱私保護。由於Shibboleth主要關注跨域認證功能，只提供了 較為簡單的跨域訪問控制機制，不但功能較弱，且策略制定採用的是專有機制，僅針對單 一場景，缺乏對多種應用場景的普遍的支持，無法實現通用的訪問控制接口。PERMIS (Privilege and Role Management Infrastructure)是英國Kent大學的一個PMI 項目，該項目採用RBAC作為底層的訪問控制機制。PEMIS的主要思想是用戶訪問組織 的資源時的訪問權限取決於該組織或者該組織信任的第三方屬性權威給該用戶授予的角 色。PERMIS項目的一個重要特色是它充分考慮了分布式環境下用戶屬性(主要是角色屬 性)的可信發布問題，採用了RFC2459定義的屬性證書來可靠地發布用戶的屬性信息。但 同時PERMIS也有一些缺點如PERMIS將授權管理和訪問策略管理集成在一起，管理機 制缺乏鬆耦合性，不符合構件化的系統開發模式；同時策略制定採用的是專有機制，缺乏 對多種應用場景的廣泛的支持，難以提供通用的訪問控制接口。此外，PERMIS的體系結 構和軟體組成不支持Web Service等遠程調用封裝機制，沒有很好地實現構件化和模塊化， 代碼復用性較差造成了必須對系統進行過多的限制，缺乏即插即用的易用性。Cardea是美國NASA(國家航空和宇宙航行局)開發的一個項目，基於JAVA實現。 Cardea的目標是為跨管理域的動態資源訪問提供一個安全的分布式環境，允許用戶正確地
訪問一個沒有維護他的標識信息的域的資源。值得注意的是，Cardea項目也存在一些問題 需要改進，由於Cardea的目標僅僅是為跨管理域的動態資源訪問提供一個安全的分布式環 境，缺乏與其他各種系統進行有效結合的接口和標準，這就會造成在以後功能擴展時，缺 乏對外圍部件自由替換或自由裁剪的支持，而這在大型的分布式系統中是尤為重要的。發明內容本發明的目的是克服現有技術中存在的問題，提供一種用於分布式環境下的構件化的 訪問控制方法和訪問控制中間件系統。本發明基於構件的分布式系統訪問控制方法，包括下列步驟a) 用戶發起訪問請求；b) 標準授權決策接口獲得該訪問請求中的用戶屬性信息(優選符合SAML規範) 並將其重組為策略決策請求(優選符合XACML規範)後提交給策略決策服務；其中用戶屬性信息的組合方式可以包括主體-資源-行為-環境、主體-資源-行為、匿 名ID、匿名ID-主體、或匿名ID-屬性査詢；c) 策略決策服務根據該策略決策請求檢索已有策略(優選符合XACML規範)並 獲得和該策略決策請求相匹配的策略；d) 若策略決策請求缺少所述相匹配的策略所需的用戶屬性信息，則策略決策服務 調用屬性檢索模塊檢索所需的用戶屬性信息並更新策略決策請求；e) 策略決策服務根據更新後的策略決策請求和匹配的策略作出決策；f) 標準授權決策接口根據該決策授權或忽略用戶的訪問請求。本發明基於構件的分布式系統訪問控制系統包括下列組件標準授權決策接口，策略 決策服務，策略管理服務和屬性檢索模塊，所述各個組件均具有統一的接口標準，以便各 個組件之間可以協同工作，比如，各組件之間可以順利接收或識別來自其他構件的信息， 即使不同的組件由不同的開發者所開發；所述標準授權決策接口獲得用戶訪問請求，並將其中的用戶屬性信息重組為策略決策 請求後提交給策略決策服務；所述策略決策服務根據策略決策請求檢索策略發布點上儲存的已有策略並獲得和該策 略決策請求相匹配的策略，同時在需要的時候調用屬性檢索模塊檢索策略決策請求中不包 含但所述匹配的策略需要的用戶屬性；
所述策略管理服務用於對外提供策略管理的服務接口以供策略編寫和維護工具調用； 所述屬性檢索模塊用於檢索用戶屬性，支持跨域檢索。本發明訪問控制系統還可包括屬性發布點，用於儲存用戶屬性憑證，所述屬性發布點 和屬性檢索模塊數據連接。通過上述技術方案內容的描述可見，本發明將訪問控制中的決策部分抽取出來，通過 對訪問控制請求的組裝、訪問控制策略的制訂和匹配、訪問控制結果的判斷，使得對於應 用業務端則只需要插入一個過濾插件，從而實現與應用無關。本發明的訪問控制中間件系統通過加入支持跨域的屬性檢索模塊支持跨域的訪問控 制，可通過採用基於屬性的策略管理服務支持多屬性描述的XACML策略語言，提供動態 和細粒度的訪問控制功能。也可通過SAML屬性服務把傳統屬性權威發布的屬性憑證(例 如屬性證書)轉換成符合SAML規範的格式，以保證整個中間件系統實現完整的SAML安 全消息傳輸機制，保證屬性的安全査詢和應答以及訪問控制決策的安全與可靠。通過使用本發明的構件化的技術方案，對於希望利用最新的技術和方案的用戶，可以 避免重複開發。本發明技術方案還能夠根據具體應用場景的不同，支持某些外圍模塊在不 同的應用場景中的自由替換或裁剪；能做到既支持大規模、分布式、多信任域、多應用系 統的複雜網絡環境，也支持單信任域、少量應用系統的簡單網絡環境。通過將訪問控制與 業務系統分離的思想，做到統一授權，統一管理，減少單個系統的開發代價。此外，也可 通過本系統提供一種新的服務式應用模式基於webservices的訪問控制服務，支持面向 SOA的業務開發。基於本發明技術方案，用戶可將訪問控制系統的開發與使用按流程分為四個部分，即 訪問控制構件服務開發、構件服務發布、構件服務組裝、系統級調試與部署。每個階段所 生成的結果與產品成為下一階段的輸入，整個流程完成後，構建成一個完整的訪問控制系 統，達到最終對受控資源進行訪問控制的目的。在第一部分的構件服務開發階段中，本發明己對分布式環境下的訪問控制判定過程進 行抽象，將其劃分為以下四大構件服務模塊，並按各自功能進行開發，這四大構件服務模塊如下1.標準授權決策接口 (LOISADI)LOISADI接口主要作用是提供一組接口服務，它負責收集主體屬性、訪問資源屬性、 動作屬性、環境屬性和訪問決策請求等訪問控制信息，構造XACML規範定義的標準化格式的策略決策請求，提交給策略決策服務。由於某些接口標準無法與XACML描述的格式 完全兼容，可在實現的過程中擴展和修改某些數據結構和服務的定義，以便能夠與XACML 規範協同工作並維持XACML的表達能力。2. 策略決策服務策略決策服務負責從標準授權決策接口接受決策請求，查找適用策略並對策略進行評 估，產生一個決策結果，然後將這個結果返回給標準授權決策接口 (LOISADI)。策略決 策服務包括三個子模塊XACML策略引擎、屬性檢索器和策略檢索器。XACML策略引擎 負責接收策略決策請求，利用策略檢索器檢索適用策略，然後對找到的策略進行評估，在 評估過程中如果發現策略決策請求中的主體屬性不充分，則調用屬性檢索器通過屬性檢索 模塊檢索主體屬性。3. 策略管理服務策略管理服務負責策略管理的服務接口以供圖形化的XACML策略編寫和維護工具調 用，可包括兩個部分策略管理模塊和策略發布點。策略管理模塊實現對XACML策略的 定義和維護提供服務接口的功能，並提供服務將定義好的策略發布到策略發布點上。策略 發布點是一個策略存儲資料庫，供策略檢索器進行適用策略檢索。然而，作為對系統的一 種合理的簡化，可以不設置策略管理模塊，比如，採用商用的策略庫以降低單獨的策略開 發成本，縮短系統構建的時間耗費。4. SAML屬性服務SAML屬性服務有機結合現有授權基礎設施和SAML安全信息傳輸機制，實現對安全 屬性驗證過程的有效封裝，構造了一種從屬性憑證到SAML安全屬性斷言的轉換機制，即 SAML安全屬性査詢服務。本部分主要包含兩個模塊SAML屬性檢索模塊和和LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)屬性發布點。屬性發布點 存放授權管理基礎設施或其它屬性管理系統給機構內用戶頒發的安全屬性憑證，然而，作 為對系統的合理簡化，可以不設置屬性發布點，以降低對屬性發布點的維護成本。SAML 屬性檢索模塊根據接收到的SAML安全屬性查詢請求在LDAP屬性發布點中査找對應的屬 性憑證，通過建立憑證鏈確定屬性的可信性，產生籤名的SAML安全屬性應答消息。對於 用戶非本域內的屬性信息則通過調用外域SAML屬性服務以獲得用戶在外域中所具有的屬 性。在對以上四大構件服務模塊的開發過程中，本發明為每個構件服務定義了統一的接口 標準，以支持各模塊在不同的應用中的自由替換和互操作。通過統一接口標準，確保每個 符合標準的服務調用者在進行調用時得到相同的正確返回。 一個典型的例子就是對於標準 授權決策接口 (LOISADI)所調用的策略決策服務，任意符合接口標準的決策請求都是合 法和正確的，而不論該請求是否來自特定的開發者開發的LOISADI。換言之，用戶可以根 據應用的要求自己開發符合標準的模塊來調用策略決策服務，從而實現採用構件化的設計 思想根據具體應用的不同，進行模塊間的自由替換和自由組織。此外，各服務/構件在對外提供基本服務的同時，還通過配置管理的形式，可選擇的支 持某些增強功能。 一個典型的例子就是對於SAML屬性服務，除了可以提供對本域屬性的 查詢服務，通過配置管理的形式，還可以通過調用對應的外域SAML屬性服務以獲得用戶 在外域中所具有的屬性，並通過建立憑證鏈確定屬性的可信性，產生籤名的SAML安全屬 性應答消息。以保證來自外域的用戶屬性的安全性和可信性。在第一部分的構件服務開發階段完成以後，所得到的輸出結果產品是以上四大構件服 務模塊。而該階段的輸出結果產品作為輸入在下一階段進行使用。在第二部分的構件服務發布階段中，對第一階段開發完成的四大構件服務模塊進行發 布。在發布過程中，為了保證以上四大模塊的獨立性和低耦合，需要對其進行獨立發布， 以保證客戶可自由選擇使用的服務模塊，並支持各模塊在不同的應用中的自由替換和互操 作。服務發布階段主要任務是將第一階段所完成的四大構件服務模塊的接口服務發布到 Public UDDI Registry(公共UDDI註冊中心)。大致分為以下幾個步驟1. 添加或更新發布者信息(savejublisher):用於註冊一個新的發布者，或更新該發布 者的詳細信息。2. 添加或更新商業信息(save—business):包括發布者的認證信息，商業UUID， 實體名，實體描述，實體聯繫方法(包括聯繫類型，聯繫人名字，電話，e-mail等)。3. 添加或更新服務信息(save—service):包括輸入認證信息，商業UUID，服務 UUID，服務名，服務描述，服務的綁定模板(一個服務可能對應多個綁定模板)。服務的 綁定模板中包括綁定UUID，訪問點URL， tmodel細節。tmodel細節則包括tmodelUUID， tmodel概述文檔URL。其中，tmodel被用於定義服務的技術規範。4. 添加或更新綁定信息(save_bindirig):輸入服務的綁定模板中所包括的信息，如 認證信息，月艮務UUID，綁定UUID，綁定描述，訪問點URL。5. 添加或更新tmodel信息(save—tModel):輸入被用於定義服務的技術規範，如tmodd UUID，名字，描述，概述文檔的描述及其URL，標識符包，類別包(包括工業代碼、產品、
地理等)。6. 添加發布者聲明到本發布者的聲明集合中(add_publisherAssertions):輸入發布 者的認證信息，發布者聲明。發布者聲明中包括所關聯兩實體的UUID,UUID參考信息。通過以上步驟即可將接口服務發布到公共UDDI註冊中心，服務組裝用戶即可通過查找 商業信息和服務，査詢到以上接口服務，以便在第三階段進行構件服務組裝。在第三部分的構件服務組裝階段中，由服務組裝用戶根據所要搭建的訪問控制系統的 系統需求和所要實現的基本功能，對第二階段所發布的四大構件服務模塊中所需要的服務 接口進行組裝。在本階段中，服務組裝用戶並不需要對第一階段所開發的四大構件服務模 塊其中的具體實現細節有充分詳盡的了解，只需要知道該服務模塊所能實現的功能，以及 它所提供的接口即可。服務組裝用戶根據訪問控制系統對受控保護資源的保護需求以及最 終用戶的業務使用需求，選擇適合自己的服務接口進行組裝，並可根據自己的意願對其中 某些模塊進行替換或通過配置的形式可選擇的支持某些增強功能。一個簡單的例子是，某公司需要搭建一個文檔管理系統，由於是只限於在本公司內部 進行使用，因此不需要跨域的SAML安全屬性査詢服務。此外，由於該公司希望自己管理 相應的訪問控制策略，因此使用本公司自己的策略管理服務。在此需求下，服務組裝用戶 將只需要把LOISADI授權決策接口、策略決策服務和SAML屬性服務三大構件服務模塊中 的服務接口進行組裝即可。由於只是在本公司內部使用，因此LOISADI授權接口只需要調 用本域授權接口； SAML屬性服務也不需要査詢用戶在外域中所具有的屬性，只需在配置 中設置為發布本域屬性即可。在確定需要組裝的服務模塊以後，服務組裝用戶即可按照對 該訪問控制服務的設計進行組裝。由於系統的設計、開發與部署均基於WebService技術， 因此服務組裝階段支持現有流行的開發模型和開發工具，如BPMN建模、BPEL語言等。在第三部分的構件服務組裝階段完成以後，所得到的輸出結果產品是由基本的構件服 務模塊所組裝而成的一個符合系統需求的訪問控制系統。該系統可以有自己定製的界面或 訪問控制實施點，也可以採用某些廠商所開發的模塊進行必要的功能替換，但在符合本發 明接口的前提下，該系統是一個由基本的訪問控制構件服務模塊組裝而成的分布式訪問控 制系統。在第四部分的系統級調試與部署階段中，由實施人員對第三階段組裝生成的訪問控制 系統進行調試與部署實施。在本階段中，實施人員需要進行的工作包括對訪問控制系統 添加相應的策略；為系統用戶頒發相應的屬性憑證並保證屬性憑證鏈的可追溯性；對跨域 的屬性査詢，需要與外域所屬機構進行協調，保證外域屬性發布點的可用性；對系統進行 整體調試，確保訪問控制策略的正確實施。在完成以上工作以後，實施人員可將最終的訪 問控制系統交由系統管理員與最終用戶使用。和現有技術相比，本發明具有下述優勢1. 基於本發明技術方案提供的組裝式開發與使用模式，用戶可保證應用的訪問控制 流程安全與可靠，保證決策整體流程的可追蹤、可核查與可控制。2. 利用構件化的設計思想和方法對訪問控制流程進行特徵提取，並通過為核心構件 提供相關的功能擴展，實現獨立靈活延展性好的中間件架構，保證新構件添加過程的易配 置、可插拔、無衝突。3. 通過統一的、可擴展的策略管理服務，實現對訪問控制系統的多策略支持。改進 了以往對每種策略定義特定屬性、特定函數、特定配置方法，使用專有實施機制的缺陷。4. 通過引入統一的SAML屬性服務克服了傳統訪問控制模型在授權時大都僅僅考慮 用戶的某一種特定屬性的缺陷，並用統一的SAML安全屬性應答機制解決了外域用戶身份 對本域不可理解、不同域間訪問控制策略異質的問題，實現了外域用戶的安全屬性直接用 於本域的訪問控制決策。


圖1為本發明實施例系統的系統結構圖。 圖2為本發明實施例系統的策略決策服務的運行流程圖。 圖3為本發明實施例系統的策略管理模塊的運行流程圖。 圖4為本發明實施例系統的SAML屬性服務的運行流程圖。
具體實施方式
下面通過具體實施例和附圖對本發明作進一步的描述。本實施例系統包括標準授權決策接口 (LOISADI)，策略決策服務，策略管理服務， 以及SAML屬性服務四大構件，如圖l所示。本實施例系統分別提供了跨域或單域訪問過 程中需要的訪問控制信息收集、策略決策、策略管理、用戶屬性査詢等功能，能夠提供一 套完整的訪問控制流程所需的各種功能。此外，通過利用以上四大構件所提供的已獨立實 現的功能，服務組裝用戶可以快速的按訪問控制系統需求進行組裝，並可以根據具體應用
場景的不同，實現功能組件的自由替換，避免重複開發。 本實施例系統完整的訪問控制流程包括下列步驟1. 安全策略管理員通過策略管理模塊定義XACML策略，然後將定義好的策略存儲 到策略發布點上。2. 用戶發起訪問請求，該訪問請求被應用伺服器攔截。應用伺服器收集訪問控制信 息，並提交給標準授權決策接口 (LOISADI)。3. 標準授權決策接口 (LOISADI)將訪問控制信息轉換為符合XACML規範的策略 決策請求並提交給策略決策服務。4. 策略決策服務以策略決策請求為參數調用策略檢索器從策略發布點檢索適用策 略，並對策略進行評估。5. 在評估過程中如果發現策略決策請求中的屬性是不充分的，則調用屬性檢索器向 用戶所屬域的屬性檢索模塊發出SAML屬性査詢請求。6. 屬性檢索模塊通過屬性發布點上的屬性憑證或發起檢索從而獲得屬性憑證，並驗 證憑證，對解析出的屬性進行SAML格式轉換。如果所査詢的屬性是外域中的屬性，則調 用對應的外域屬性檢索模塊以獲得用戶在外域中所具有的屬性，並通過建立憑證鏈確定屬 性的可信性，產生籤名的SAML安全屬性應答消息。7. 屬性檢索模塊向策略決策服務發送SAML屬性應答。8. 策略決策服務完成策略評估，返回最終決策結果。在策略評估過程，如果當前檢 索策略中包含引用策略，策略管理服務以被引用的策略ID調用策略檢索器獲取被引用的 策略。9. 應用伺服器根據返回的決策結果拒絕或允許用戶訪問。 下面描述各構件服務模塊的
具體實施例方式一、標準授權決策接口 (LOISADI)實現了一種支持多種信息格式的通用授權接口， 應用伺服器可以通過這個接口的調用請求訪問控制服務。標準授權決策接口的另一功能是 將訪問控制信息轉換為符合XACML規範的決策請求格式並提交給策略決策服務。由於某 些接口無法與XACML描述的格式完全兼容，可在實現的過程中擴展和修改了某些數據結 構和服務的定義，以便能夠與XACML規範協同工作並維持XACML的表達能力。LOIS ADI中的授權決策接口主要包括如下幾類1.主體-資源-行為-環境類應用通過指明訪問過程中的主體信息、資源信息、行為 和當前的環境信息，對接口進行調用。此類接口的優點是信息分類明確，關係對應清晰。
缺點是輸入信息條目過多，參數獲得與構造過程複雜，不適於簡單應用。2. 主體-資源-行為類應用通過指明訪問過程中的主體信息、資源信息、行為，對 接口進行調用。訪問過程中的環境信息在應用伺服器進行接口調用時默認為統一方式，或 指定環境信息查詢服務的地址，由LOISADI協助收集環境信息，並進行組裝。3. 匿名ID類應用在對接口進行調用時，並不指明主體的真實ID，而只是傳遞一個 匿名ID作為主體的代號，當策略決策服務需要知道主體的真實身份時，再通過指定的真 假名轉換服務進行轉換，此類接口可有效支持匿名保護機制。4. 匿名ID-主體屬性類應用在對接口進行調用時，並不指明主體的真實ID，而只 是傳遞一個匿名ID作為主體的代號，但卻在主體信息中攜帶該主體所有的主體屬性信息。 在絕大部分基於屬性的訪問控制中，策略只是針對主體的屬性做了詳細的描述，而對主體 的ID卻並不關心(如某資源只對具有項目經理屬性的主體開放，但並不關心是哪一位項 目經理)，採用此類接口，即可以有效避免在査詢匿名ID所具有的屬性時進行頻繁的真 假名轉換操作。5. 匿名ID-屬性查詢類應用在對接口進行調用時，只傳遞一個匿名ID作為主體的 代號，當策略決策服務需要知道主體的屬性時，通過指定的屬性査詢服務進行査詢，獲得 主體所具有的屬性；而當策略決策服務需要知道主體的真實身份時，再通過指定的真假名 轉換服務進行轉換。採用此類接口，應用不需要將主體的所有屬性信息收集完全，這一方 面是不必要的，另一方面也會洩露主體的某些隱私。在策略決策服務進行決策判定時，再 根據所缺少的屬性信息通過指定的屬性查詢服務進行查詢，可有效地支持隱私保護機制。二、策略決策服務的主要功能是根據接收到的XACML訪問控制策略決策請求，檢索 適用的策略和必要的屬性(需要的話)，對策略進行評估，獲得並返回策略決策請求的決 策結果。其中策略檢索通過調用策略檢索器完成，屬性檢索通過調用屬性檢索器完成。簡 要流程如圖2所示，具體內容如下1. 策略決策服務接收訪問控制策略決策請求。2. 解析當前請求，並利用策略檢索器檢索適用策略。3. 如果請求中缺少屬性信息，則利用屬性檢索器檢索屬性信息。如果不缺少，則繼 續進行下一步。4. 開始對策略進行評估。5. 如果發現當前策略引用了別的策略，則轉到2，再次利用策略檢索器檢索被引用的 策略。如果沒有引用其它策略，則繼續進行下一步。 6. 產生評估結果。7. 返回給請求發起方。三、 策略管理服務的主要功能是進行訪問控制策略的維護、定義、修改、刪除。 XACML策略是以文檔為中心的，每次都是整個文檔作為一個整體使用，本實施例採取了 文件的存儲方式，以目錄的形式進行組織，每個策略作為一個單獨的文件。策略管理服務 就是對這樣的一個存儲目錄進行操作，能夠給管理員提供一個整體的策略視圖，以便管理 員能夠掌握系統中包括的每個策略的作用和策略之間的引用關係。儘管每個策略都包含了 作用描述和策略引用，但是通過解析每個XML文件來提取這些信息的方法太複雜和耗時， 因此這些信息必須獨立保存。對每一個策略，都要獨立的維護該策略的類型，策略的ID， 策略的簡要描述，策略引用的其它策略。這些信息用一個獨立的XML文件來保存，該文 件稱為系統信息文件，該文件對用戶是不可見的。此外我們還要維護一些全局的系統信息， 包括策略目錄，策略schema文件等。策略管理服務的運行流程如圖3所示，具體內容如 下1. 策略管理服務檢測系統信息文件是否已經存在。如果存在則讀取系統信息文件； 如果尚不存在，則生成該系統信息文件。2. 調用系統信息文件，對策略ID、類型、策略引用等進行維護。3. 接收用戶當前的操作，根據操作類型確定要進行的流程 如果用戶要刪除策略，則服務刪除指定的策略，並更新系統信息文件；如果用戶要創建策略，則服務創建策略文件，並啟動策略編輯接口進行編輯。編輯完成後，服務檢査策略有效性，保存策略文件並更新系統信息文件； 如果用戶要修改策略，則服務啟動策略編輯接口編輯選定的策略。編輯完成後， 服務檢查策略有效性，保存策略文件並更新系統信息文件；4. 完成操作後，轉到2.四、 SAML屬性服務主要是為了向策略決策服務中的屬性檢索器提供一種基於SAML 的安全屬性査詢服務，這種服務是通過構造一種從屬性憑證到SAML安全屬性斷言的轉換 機制實現的。授權管理基礎設施(PMI)等給機構內用戶頒發的安全屬性憑證存放在LDAP 屬性資料庫中。SAML屬性査詢伺服器根據接收到的SAML安全屬性査詢請求和機構隱私 策略判斷是否允許請求者查詢該安全屬性，在LDAP屬性資料庫中查找對應的屬性憑證， 通過建立憑證鏈確定屬性的可信性，產生籤名的SAML安全屬性應答消息。如果請求中包 含有對外域屬性的查詢，則會通過調用外域SAML屬性服務以獲得用戶在外域中所具有的
屬性。其査詢過程與本域屬性的查詢過程一致。SAML屬性服務的運行流程如圖4所示，具體內容如下1. SAML屬性服務監聽SAML屬性查詢請求，獲得査詢請求後創建服務子線程。2. 檢査接收到的SAML安全屬性査詢請求的有效性和合法性發送給屬性服務的屬 性査詢請求必須是經過籤名的，且SAML屬性服務只能為所屬機構或者外部的可信機構的 策略決策服務提供屬性査詢服務。3. 根據隱私策略判斷是否允許請求者査詢該安全屬性，允許則進行下一步，不允許 則返回出錯信息。4. 在屬性緩存中査找該屬性SAML斷言消息，存在則直接轉到8，不存在則進行下一步。5. 在LDAP屬性資料庫中査找對應的屬性憑證，存在則進行下一步，不存在則返回 出錯信息。6. 通過建立憑證鏈確定屬性的可信性。7. 產生籤名的SAML安全屬性應答消息並寫入屬性緩存8. 返回屬性斷言。
權利要求
1. 一種基於構件的分布式系統訪問控制方法，包括下列步驟a)用戶發起訪問請求；b)標準授權決策接口獲得該訪問請求中的用戶屬性信息並將其重組為策略決策請求後提交給策略決策服務；c)策略決策服務根據該策略決策請求檢索已有策略並獲得和該策略決策請求相匹配的策略；d)若策略決策請求缺少所述相匹配的策略所需的用戶屬性信息，則策略決策服務調用屬性檢索模塊檢索所需的用戶屬性信息並更新策略決策請求；e)策略決策服務根據更新後的策略決策請求和匹配的策略作出決策；f)標準授權決策接口根據該決策授權或忽略用戶的訪問請求。
2. 如權利要求1所述的基於構件的分布式系統訪問控制方法，其特徵在於，步驟b)所述 策略決策請求和策略均符合XACML規範。
3. 如權利要求1所述的基於構件的分布式系統訪問控制方法，其特徵在於，步驟b)所述 將用戶屬性信息重組為策略決策請求過程中，用戶屬性信息的組合方式包括主體-資源-行為-環境、主體-資源-行為、匿名ID、匿名ID-主體、或匿名ID-屬性查詢。
4. 如權利要求1所述的基於構件的分布式系統訪問控制方法，其特徵在於，所述用戶屬 性信息符合SAML規範。
5. —種基於構件的分布式系統訪問控制系統，其特徵在於，包括下列組件標準授權決 策接口，策略決策服務，策略管理服務和屬性檢索模塊，所述各個組件均具有統一的接口 標準；所述標準授權決策接口獲得用戶訪問請求，並將其中的用戶屬性信息重組為策略決策 請求後提交給策略決策服務；所述策略決策服務根據策略決策請求檢索策略發布點上儲存的已有策略並獲得和該策 略決策請求相匹配的策略，同時在需要的時候調用屬性檢索模塊檢索策略決策請求中不包 含但所述匹配的策略需要的用戶屬性；所述策略管理服務用於對外提供策略管理的服務接口以供策略編寫和維護工具調用；所述屬性檢索模塊用於檢索用戶屬性，支持跨域檢索。
6. 如權利要求5所述的基於構件的分布式系統訪問控制系統，其特徵在於，所述策略管 理服務儲存系統信息文件，所述系統信息文件為每一個策略均獨立地維護包括策略類型、 策略ID、策略簡要描述以及策略引用的其它策略的策略信息。
7. 如權利要求5所述的基於構件的分布式系統訪問控制系統，其特徵在於，還包括屬性 發布點，用於儲存用戶屬性憑證，所述屬性發布點和屬性檢索模塊數據連接。
全文摘要
本發明公開了一種基於構件的分布式系統訪問控制方法，屬於計算機軟體技術領域。本發明方法包括下列步驟a)用戶發起訪問請求；b)標準授權決策接口獲得該訪問請求中的用戶屬性信息並將其重組為策略決策請求後提交給策略決策服務；c)策略決策服務根據該策略決策請求檢索已有策略並獲得和該策略決策請求相匹配的策略；d)若策略決策請求缺少所述相匹配的策略所需的用戶屬性信息，則策略決策服務調用屬性檢索模塊檢索所需的用戶屬性信息並更新策略決策請求；e)策略決策服務根據更新後的策略決策請求和匹配的策略作出決策；f)標準授權決策接口根據該決策授權或忽略用戶的訪問請求。本發明可用於分布式系統的訪問控制。
文檔編號G06F9/46GK101398771SQ20081022684
公開日2009年4月1日 申請日期2008年11月18日 優先權日2008年11月18日
發明者馮登國, 檳 吳, 張立武, 王雅哲 申請人:中國科學院軟體研究所