專利名稱:基于屬性的訪問控制模型及其跨域訪問方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在開放的網(wǎng)絡(luò)環(huán)境下基于屬性的通用訪問控制技術(shù)����,尤其涉及一 種基于屬性的訪問控制模型及其跨域訪問方法。
背景技術(shù):
訪問控制系統(tǒng)決定了在網(wǎng)絡(luò)環(huán)境中哪些用戶能夠訪問系統(tǒng)����,訪問系統(tǒng)中的哪些資 源以及對(duì)這些資源具備何種操作。開放的網(wǎng)絡(luò)環(huán)境中的跨域訪問的核心問題是訪問控制 系統(tǒng)如何識(shí)別來自其它應(yīng)用系統(tǒng)中的用戶��,然后根據(jù)系統(tǒng)內(nèi)的訪問控制策略來判斷用戶的 操作是否合法��。在基于屬性的訪問控制提出以前�����,對(duì)訪問控制方法的研究主要集中在自主訪問控 制�、強(qiáng)制訪問控制以及基于角色的訪問控制��,其它類型訪問控制方法如基于任務(wù)或工作流 的訪問控制��、基于身份的訪問控制不具有代表性�����,在此不予討論�。傳統(tǒng)的訪問控制中��,自主訪問控制是一種比較弱的訪問控制策略���,它有著致命的 弱點(diǎn)��,即訪問權(quán)的授予是可以傳遞的�����。其后果是一旦訪問權(quán)被傳遞出去將難以控制����,訪問權(quán) 的管理是相當(dāng)困難的��,這會(huì)帶來嚴(yán)重的安全問題��。再者����,自主訪問控制不保護(hù)受保護(hù)的客 體產(chǎn)生的副本,即一個(gè)用戶不能訪問某一客體�����,但能夠訪問它的拷貝���,這更增加了管理的難 度�。訪問許可的轉(zhuǎn)移使得客體的所有者最終都不能控制對(duì)該客體的所有訪問許可并且容易 被非法用戶繞過而獲得訪問�����??傊灾髟L問控制的安全級(jí)別較低��,加之需要維護(hù)的主�����、客體數(shù)目的開銷較大, 而且對(duì)于分布式網(wǎng)絡(luò)系統(tǒng)不利于實(shí)現(xiàn)統(tǒng)一的全局訪問控制�����,不滿足大型網(wǎng)絡(luò)系統(tǒng)的應(yīng)用需要��。強(qiáng)制訪問控制通過增加不能回避的訪問權(quán)限雖能夠防止在自主訪問控制模型中 存在的訪問權(quán)的傳遞問題���,但是降低了系統(tǒng)的靈活性�。此外����,它利用上讀/下寫來保證數(shù)據(jù) 的完整性,利用下讀/上寫來保證數(shù)據(jù)的保密性�,雖然增強(qiáng)了信息的機(jī)密性,但不能有效實(shí) 施完整性控制���,而且實(shí)現(xiàn)起來工作量較大����,由于過分強(qiáng)調(diào)保密性�����,在對(duì)系統(tǒng)的連續(xù)工作能力 和授權(quán)的靈活管理方面也考慮不足。目前主要用于保密性要求較高的軍事方面�����,難以支持 當(dāng)前對(duì)信息的完整性較高的互聯(lián)網(wǎng)系統(tǒng)����?��;诮巧脑L問控制模型(RBAC)及其擴(kuò)展模型作為對(duì)以上傳統(tǒng)訪問控制方法的 代替���,與前述的傳統(tǒng)訪問控制方法相比,通過引入角色在用戶和權(quán)限之間進(jìn)行解耦�����,實(shí)現(xiàn)了 用戶和權(quán)限的邏輯分離��,使得權(quán)限的管理更為靈活和容易維護(hù)���。突出的優(yōu)點(diǎn)使得系統(tǒng)管理 員能夠根據(jù)部門��、企業(yè)安全政策的不同劃分不同的角色��,執(zhí)行特定的任務(wù)�����,因此得到了廣泛 的應(yīng)用��。但是�,RBAC模型通常是為用戶分配固定的角色,難以根據(jù)用戶屬性變化而更改的 動(dòng)態(tài)授權(quán)模式�����。特別是隨著系統(tǒng)中用戶自主性的增強(qiáng)和數(shù)目的增長���,這種做法會(huì)使認(rèn)證授 權(quán)中心成為瓶頸��,可擴(kuò)展性差����。RBAC模型的另一不利之處是�����,隨著當(dāng)前網(wǎng)絡(luò)資源應(yīng)用域范圍的擴(kuò)大���,不同應(yīng)用域之間的交互以及應(yīng)用域內(nèi)不同客戶端和服務(wù)器端的交互愈加頻繁���,現(xiàn)有的基于集中管理模 式的RBAC模型已不能適應(yīng)這種環(huán)境�����。為了解決RBAC模型日益凸現(xiàn)的問題,同時(shí)要實(shí)現(xiàn)跨域的安全訪問控制和資源共 享����,需要在RBAC的基礎(chǔ)上擴(kuò)展,建立基于屬性的訪問控制模型(ABAC)�,實(shí)現(xiàn)面向開放網(wǎng)絡(luò) 環(huán)境且支持動(dòng)態(tài)授權(quán)機(jī)制和跨管理域的訪問控制系統(tǒng)。
發(fā)明內(nèi)容
本發(fā)明提供了一種基于屬性的訪問控制模型及其跨域訪問方法�,該模型將用戶的 角色和管理域都視為用戶的某個(gè)屬性,因此能夠兼容現(xiàn)有的RBAC模型��,同時(shí)又能有效解決 RBAC模型中關(guān)于復(fù)雜角色條件下用戶-角色-權(quán)限賦值的效率問題����。同時(shí)可以在開放網(wǎng)絡(luò) 環(huán)境中的匿名用戶提供了跨域訪問控制的機(jī)制。為達(dá)到上述目的�����,本發(fā)明所述的一種基于屬性的訪問控制模型,為簡(jiǎn)化描述����,以兩 個(gè)管理域,第一管理域和第二管理域?yàn)槔f明�����。模型包括來接入到Inter網(wǎng)上的第一管理 域和第二管理域���,其中第一管理域設(shè)置有第一訪問控制服務(wù)器����,該第一訪問控制服務(wù)器連 接有至少一臺(tái)第一應(yīng)用服務(wù)器��,其中第二管理域設(shè)置有第二訪問控制服務(wù)器�,該第二訪問 控制服務(wù)器連接有至少一臺(tái)第二應(yīng)用服務(wù)器,其關(guān)鍵在于還包括有證書服務(wù)器和屬性管 理服務(wù)器����;其中證書服務(wù)器用于I、通過給第一管理域和第二管理域中第一訪問控制服務(wù)器和第二訪問控制服務(wù) 器頒發(fā)服務(wù)器證書�����,建立第一管理域和第二管理域之間的信任鏈,保證第一管理域和第二 管理域之間的信任關(guān)系�;II、給用戶頒發(fā)用戶證書����,用戶證書包含的內(nèi)容有用戶名、序列號(hào)����、簽名算法�����、頒發(fā) 者�、有效起始日期、有效終止日期�、主題、公鑰信息�����;其中屬性管理服務(wù)器用于I�����、負(fù)責(zé)建立統(tǒng)一的屬性定義庫,統(tǒng)一訪問控制規(guī)則中的語義問題�;II、負(fù)責(zé)建立統(tǒng)一的屬性定義庫�,用來統(tǒng)一訪問控制服務(wù)器中的訪問控制規(guī)則具 有相同的語義;屬性包括I�、用戶的基本屬性姓名、年齡����、職稱、角色����、職務(wù)、當(dāng)前費(fèi)用�����、積分��;II���、資源的基本屬性資源名稱���、資源類型�����、所需費(fèi)用����;III����、操作的基本屬性下載、查看�����、刪除���、上傳、修改�����;IV���、上下文對(duì)象的基本屬性服務(wù)器端的當(dāng)前CPU利用率����、訪問用戶數(shù)量,客戶端 的IP地址�、訪問類型;所述第一訪問控制服務(wù)器和第二訪問控制服務(wù)器之間由所述證書服務(wù)器頒發(fā)的 服務(wù)器證書保證相互之間的信任鏈關(guān)系��;管理域中的屬性庫均源自于由屬性管理機(jī)構(gòu)所維護(hù)的屬性庫�����,各管理域可向該機(jī) 構(gòu)申請(qǐng)使用屬性及注冊(cè)新的屬性����。所述第一訪問控制服務(wù)器和第二訪問控制服務(wù)器用于I、基于統(tǒng)一語義的屬性來定義訪問控制規(guī)則����;
II、給用戶頒發(fā)屬性證書��,維護(hù)用戶的信息�����。所述用戶證書采用X. 509標(biāo)準(zhǔn),用戶證書的內(nèi)容有用戶名�����、用戶ID(序列號(hào))�、簽 名算法、頒發(fā)者�����、有效起始日期���、有效終止日期��、主題�、公鑰信息�;用戶證書是基于用戶或ID的身份鑒別,用戶證書相當(dāng)于網(wǎng)絡(luò)環(huán)境下的一種身份 證�����,它通過將某用戶的身份與其公鑰相綁定�,并由證書服務(wù)器進(jìn)行簽名�����,以向公鑰的使用者 證明公鑰的合法性和權(quán)威性。 所述屬性證書為一個(gè)用戶的所有 < 屬性名�,屬性值 > 這樣的屬性值對(duì)的集合,其基 本的結(jié)構(gòu)為屬性ID1��,屬性值1 ���;屬性ID2���,屬性值2 ;…�����,屬性名n���,屬性值n �����;屬性證書中存儲(chǔ)了用戶的具體屬性值����,看作是有簽名機(jī)制的一種特殊的數(shù)據(jù)結(jié)構(gòu) 或文件。用戶或者只使用屬性證書實(shí)現(xiàn)匿名訪問第一訪問控制服務(wù)器和第二訪問控制服 務(wù)器�;或者同時(shí)使用用戶證書和屬性證書實(shí)現(xiàn)透明訪問第一訪問控制服務(wù)器和第二訪 問控制服務(wù)器。所述屬性證書應(yīng)用于單一管理域和跨管理域���;在單一管理域和跨管理域應(yīng)用中����,用戶通過提交用戶證書和屬性證書來簡(jiǎn)化登錄 操作��,由所述第一訪問控制服務(wù)器或第二訪問控制服務(wù)器中的訪問控制策略計(jì)算引擎來判 斷用戶的合法性以及查詢用戶的操作權(quán)限�。在單一應(yīng)用域時(shí),屬性證書的作用與用戶輸入用戶名和密碼的作用相同都是作為 身份驗(yàn)證和資源操作權(quán)限的判斷�;在跨域應(yīng)用時(shí),用戶通過提交用戶證書和屬性證書來簡(jiǎn)化登錄操作��,由所述第一 訪問控制服務(wù)器或第二訪問控制服務(wù)器通過訪問控制策略計(jì)算引擎來判斷用戶的合法性 以及用戶的操作權(quán)限信息�。一種基于屬性的訪問控制模型的跨域訪問方法,其關(guān)鍵在于步驟一��、證書服務(wù)器分別給第一管理域和第一管理域頒發(fā)服務(wù)器證書�����,用于維護(hù) 第一訪問控制服務(wù)器和第二訪問控制服務(wù)器之間的信任鏈關(guān)系��;步驟二��、用戶通過第一應(yīng)用服務(wù)器登錄第一管理域�����,第一訪問控制服務(wù)器給用戶 頒發(fā)包含數(shù)字簽名的屬性證書�,用戶將屬性證書下載至第一應(yīng)用服務(wù)器的本地磁盤保存;步驟三�����、用戶登錄第二管理域���,匿名訪問第二管理域下的資源時(shí)���,向第二管理域提 交由第一管理域頒發(fā)的屬性證書;步驟四���、第二訪問控制服務(wù)器通過服務(wù)器證書的信任鏈關(guān)系��,確認(rèn)由第一管理域 頒發(fā)給用戶的屬性證書��;步驟五����、第二訪問控制服務(wù)器提取屬性證書中用戶的屬性值,根據(jù)訪問控制策略 判定通過訪問控制計(jì)算引擎判定該用戶操作的合法性�����。一種基于屬性的訪問控制模型的跨域訪問方法�,其關(guān)鍵在于步驟一、證書服務(wù)器分別給第一管理域和第一管理域頒發(fā)服務(wù)器證書��,用于維護(hù) 第一訪問控制服務(wù)器和第二訪問控制服務(wù)器之間的信任鏈關(guān)系���;步驟二�����、用戶通過第一應(yīng)用服務(wù)器登錄第一管理域��,由證書服務(wù)器和第一訪問控 制服務(wù)器分別給用戶頒發(fā)用私鑰加密過的用戶證書和包含數(shù)字簽名的屬性證書��,用戶將兩種證書下載至第一應(yīng)用服務(wù)器的本地磁盤保存���;步驟三、用戶透明訪問第二管理域下的資源時(shí)��,向第二管理域同時(shí)提交用戶證書 和屬性證書;步驟四���、第二訪問控制服務(wù)器通過證書服務(wù)器提供的公鑰對(duì)用戶證書進(jìn)行解密, 驗(yàn)證用戶證書的真實(shí)性與合法性�����;步驟五���、第二訪問控制服務(wù)器通過服務(wù)器證書的信任鏈關(guān)系���,確認(rèn)由第一管理域 頒發(fā)給用戶的屬性證書;步驟六���、第二訪問控制服務(wù)器提取屬性證書中用戶的屬性值���,根據(jù)訪問控制策略 判定通過訪問控制計(jì)算引擎判定該用戶操作的合法性。本發(fā)明的顯著效果是由于采用了基于統(tǒng)一語義的屬性的描述系統(tǒng)中的資源�����、用 戶�����、操作和運(yùn)行上下文環(huán)境,并基于這些對(duì)象的屬性描述合法的訪問規(guī)則����,因此可以將用戶 的角色和管理域等都視為用戶的一個(gè)屬性,則基于角色的訪問控制方法(RBAC)就可以視 為本發(fā)明中單用戶屬性的特例�����,同時(shí)利用本方法又能夠有效解決RBAC模型中關(guān)于復(fù)雜角 色條件下用戶_角色-權(quán)限賦值的效率問題���。本發(fā)明的一方面是對(duì)各個(gè)管理域中的用戶提供了統(tǒng)一語義的屬性的描述方式�,并 利用統(tǒng)一語義的屬性描述用戶�、資源、操作和運(yùn)行上下文視四類對(duì)象��。這些對(duì)象分別用來表 示訪問控制過程中的主體�、客體、訪問類型和訪問時(shí)系統(tǒng)的運(yùn)行狀態(tài)�����。對(duì)四類對(duì)象的定義 如下用戶是指可以獨(dú)立訪問被保護(hù)數(shù)據(jù)或資源的一類對(duì)象,它往往是提出請(qǐng)求或要求的 發(fā)起者���,可以是用戶����,也可以是任何發(fā)出訪問請(qǐng)求的智能體��,包括進(jìn)程��、服務(wù)�����、程序等��,此處 簡(jiǎn)化為人���;資源是需要接受用戶訪問的一類對(duì)象,包括所有受訪問控制機(jī)制所保護(hù)下的系 統(tǒng)資源包括系統(tǒng)的功能��、數(shù)據(jù)庫��、文件等���;操作是用來定義用戶行為的一類對(duì)象��,它具體定 義了用戶對(duì)資源進(jìn)行何種類型的訪問�����;運(yùn)行上下文對(duì)象記錄了當(dāng)前系統(tǒng)運(yùn)行的一些動(dòng)態(tài)屬 性����,例如當(dāng)前用戶的IP、服務(wù)器負(fù)載����,當(dāng)前的時(shí)間、系統(tǒng)運(yùn)行的安全等級(jí)���、CPU的利用率等�, 它不依賴于某個(gè)特殊的用戶和資源�����,但往往會(huì)應(yīng)用在訪問控制策略中���。利用上述四類對(duì)象 的屬性���,可以提供多種粒度的訪問控制策略�����。各個(gè)對(duì)象按照屬性服務(wù)器中預(yù)先定義的屬性集來描述��。這種統(tǒng)一的屬性管理模式 不僅有利于系統(tǒng)管理員建立一致的和多粒度的訪問控制策略�,而且有利于實(shí)現(xiàn)不同管理域 之間的跨域訪問��。在本發(fā)明的另一方面可以將屬性管理����、訪問控制規(guī)則的管理及訪問的合法性判定 相分離����。各類對(duì)象的屬性的維護(hù),可以由屬性的管理來完成�����,也可以隨業(yè)務(wù)活動(dòng)而發(fā)生變 化��。系統(tǒng)在運(yùn)行過程中��,屬性是動(dòng)態(tài)可變的量,而訪問控制策略則相對(duì)穩(wěn)定���。因此系統(tǒng)能夠 滿足根據(jù)業(yè)務(wù)變化而進(jìn)行動(dòng)態(tài)授權(quán)的機(jī)制���。本發(fā)明的基于PKI簽名機(jī)制保證屬性證書的安全性和管理域間建立可證明的信 任關(guān)系。屬性證書既可以作為在單一應(yīng)用域內(nèi)中匿名訪問的權(quán)限判斷的憑證又可以應(yīng)用在 跨域應(yīng)用中����,兼顧了精細(xì)的訪問控制和用戶使用的便捷性。本發(fā)明另一顯著的優(yōu)勢(shì)是通過引入上下文對(duì)象實(shí)現(xiàn)對(duì)不同類型的用戶提供差異 化的服務(wù)�,例如在負(fù)載比較大的情況下可以優(yōu)先保證具有某種特征的用戶的訪問。本發(fā)明的其它方面將可以從下面結(jié)合附圖的示例說明本發(fā)明的實(shí)現(xiàn)原理及相關(guān) 描述中變得顯而易見����。但是本發(fā)明不局限于此番給出的解釋及細(xì)節(jié),可在權(quán)利要求的范圍內(nèi)改變���。
圖1是基于屬性的訪問控制模型的結(jié)構(gòu)框圖�。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明做進(jìn)一步詳細(xì)說明實(shí)施例1 如圖1所示�,本發(fā)明所述的一種基于屬性的訪問控制模型,為簡(jiǎn)化描述本方法�����,以 兩個(gè)管理域,第一管理域1和第二管理域2為例說明�。包括來接入到Inter網(wǎng)上的第一管 理域1和第二管理域2,其中第一管理域1設(shè)置有第一訪問控制服務(wù)器la����,該第一訪問控制 服務(wù)器Ia連接有至少一臺(tái)第一應(yīng)用服務(wù)器lb,其中第二管理域2設(shè)置有第二訪問控制服務(wù) 器2a�,該第二訪問控制服務(wù)器2a連接有至少一臺(tái)第二應(yīng)用服務(wù)器2b,其關(guān)鍵在于還包括 有證書服務(wù)器3和屬性管理服務(wù)器4 �����;其中證書服務(wù)器3用于I��、通過給第一管理域1和第二管理域2中第一訪問控制服務(wù)器Ia和第二訪問控 制服務(wù)器2a頒發(fā)服務(wù)器證書�,建立第一管理域1和第二管理域2之間的信任鏈,保證第一 管理域1和第二管理域2之間的信任關(guān)系�����;II�����、給用戶頒發(fā)用戶證書�����,用戶證書包含的內(nèi)容有用戶名���、序列號(hào)�����、簽名算法����、頒發(fā) 者����、有效起始日期、有效終止日期�、主題、公鑰信息�;其中屬性管理服務(wù)器4用于I、負(fù)責(zé)建立統(tǒng)一的屬性定義庫����,統(tǒng)一訪問控制規(guī)則中的語義問題;II���、負(fù)責(zé)建立統(tǒng)一的屬性定義庫���,用來統(tǒng)一訪問控制服務(wù)器中的訪問控制規(guī)則具 有相同的語義����;屬性包括I���、用戶的基本屬性姓名�����、年齡�����、職稱��、角色��、職務(wù)、當(dāng)前費(fèi)用�、積分;II�、資源的基本屬性資源名稱���、資源類型、所需費(fèi)用��;III�����、操作的基本屬性下載��、查看���、刪除��、上傳���、修改;IV��、上下文對(duì)象的基本屬性服務(wù)器端的當(dāng)前CPU利用率��、訪問用戶數(shù)量���,客戶端 的IP地址���、訪問類型���;所述第一訪問控制服務(wù)器Ia和第二訪問控制服務(wù)器2a之間由所述證書服務(wù)器3 頒發(fā)的服務(wù)器證書保證相互之間的信任鏈關(guān)系;管理域中的屬性庫均源自于由屬性管理機(jī)構(gòu)所維護(hù)的屬性庫����,各管理域可向該機(jī) 構(gòu)申請(qǐng)使用屬性及注冊(cè)新的屬性。所述第一訪問控制服務(wù)器Ia和第二訪問控制服務(wù)器2a用于I�、基于統(tǒng)一語義的屬性來定義訪問控制規(guī)則;II�����、給用戶頒發(fā)屬性證書�����,維護(hù)用戶的信息�。所述用戶證書采用X. 509標(biāo)準(zhǔn),用戶證書的內(nèi)容有用戶名�����、用戶ID,即序列號(hào)�、簽 名算法��、頒發(fā)者��、有效起始日期����、有效終止日期、主題���、公鑰信息����;
用戶證書是基于用戶或ID的身份鑒別����,用戶證書相當(dāng)于網(wǎng)絡(luò)環(huán)境下的一種身份 證,它通過將某用戶的身份與其公鑰相綁定����,并由證書服務(wù)器3進(jìn)行簽名,以向公鑰的使用 者證明公鑰的合法性和權(quán)威性�。 所述屬性證書為一個(gè)用戶的所有 < 屬性名,屬性值 > 這樣的屬性值對(duì)的集合,其基 本的結(jié)構(gòu)為屬性ID1���,屬性值1 ���;屬性ID2,屬性值2 ��;…���,屬性名n���,屬性值η ;屬性證書中存儲(chǔ)了用戶的具體屬性值����,看作是有簽名機(jī)制的一種特殊的數(shù)據(jù)結(jié)構(gòu) 或文件。用戶或者只使用屬性證書實(shí)現(xiàn)匿名訪問第一訪問控制服務(wù)器Ia和第二訪問控制 服務(wù)器2a ����;或者同時(shí)使用用戶證書和屬性證書實(shí)現(xiàn)透明訪問第一訪問控制服務(wù)器Ia和第二 訪問控制服務(wù)器2a。所述屬性證書應(yīng)用于單一管理域和跨管理域����;在單一管理域和跨管理域應(yīng)用中�,用戶通過提交用戶證書和屬性證書來簡(jiǎn)化登錄 操作���,由所述第一訪問控制服務(wù)器Ia或第二訪問控制服務(wù)器2a中的訪問控制策略計(jì)算引 擎來判斷用戶的合法性以及查詢用戶的操作權(quán)限��。在單一應(yīng)用域時(shí),屬性證書的作用與用戶輸入用戶名和密碼的作用相同都是作為 身份驗(yàn)證和資源操作權(quán)限的判斷�����;在跨域應(yīng)用時(shí)���,用戶通過提交用戶證書和屬性證書來簡(jiǎn)化登錄操作���,由所述第一 訪問控制服務(wù)器Ia或第二訪問控制服務(wù)器2a通過訪問控制策略計(jì)算引擎來判斷用戶的合 法性以及用戶的操作權(quán)限信息。訪問控制計(jì)算引擎其實(shí)就是根據(jù)從屬性證書中提出的屬性值與訪問控制策略中 的訪問規(guī)則進(jìn)行匹配看是否滿足�,來判斷該訪問是否合法并將決策結(jié)果返回,即允許或拒 絕���,最終由應(yīng)用服務(wù)器進(jìn)行訪問控制的實(shí)施���。訪問控制規(guī)則由屬性表達(dá)式來定義1屬性表達(dá)式CE屬性表達(dá)式的CE定義如下CE- > CE or AECE- > CE and AECE- > AECE- > (CE) I not (CE)AE- > (屬性變量操作符變量)I (屬性變量操作符常量)2 常量是指屬性表達(dá)式在計(jì)算過程中不發(fā)生變化的值,常見的常量有數(shù)字常量�,由1-9和小數(shù)點(diǎn)組成����。例如=183. 22���。字符串常量��,必須放在引號(hào)中�,字符串中間不能有空格�、制表符。例如‘視頻數(shù) 據(jù)���,��。布爾常量���,真為true,假為false�����。例如true��。日期常量年�����、月、日之間用“_ “分害Ij�,YYYY-MM-DD,空位須補(bǔ)零。例如 1900-06-09�。
3屬性變量是指在權(quán)限計(jì)算過程中,要根據(jù)當(dāng)前參與操作的用戶���、資源、操作和運(yùn)行上下文變 化的量�。例如User.用戶屬性i 取用戶對(duì)象的第i個(gè)屬性。Res.資源屬性j 資源對(duì)象的第j個(gè)屬性�����。Op.操作屬性k 操作對(duì)象的第k個(gè)屬性��。屬性變量在進(jìn)行權(quán)限判斷時(shí)���,將根據(jù)當(dāng)前操作的用戶���,資源和操作進(jìn)行實(shí)例化,并 獲得這些變量的具體值��。(4)運(yùn)算符運(yùn)算符用來描述屬性表達(dá)式中屬性變量與其它屬性變量或者常量之間滿足何種 關(guān)系。常見的運(yùn)算符有=�����、>�����、<���、> =�、< =�。(5)屬性表達(dá)式示例User.年齡> Res.可訪問年齡and (User.余額> Res.價(jià)格)表示用戶的年齡大于資源要求的訪問年齡,且用戶賬戶上余額大于資源需要的價(jià) 格時(shí)�,可以訪問該資源。綜合示例Res.可訪問年齡=18and User.年齡> Res.可訪問年齡and not (User.余額 < Res.價(jià)格)②給用戶頒發(fā)屬性證書��,維護(hù)用戶的信息此處用戶的屬性證書是本系統(tǒng)獨(dú)有的�,運(yùn)用了數(shù)字簽名的機(jī)制,是自己定義的結(jié) 構(gòu)具體包含了應(yīng)用域的信息及用戶的屬性值對(duì)信息����。具體來說用戶屬性證書是一個(gè)《屬性ID,屬性值》的集合����,結(jié)構(gòu)為屬性ID1��,屬性值1 �����;屬性ID2���,屬性值2,…�����,屬性IDn��,屬性值η�����。為讓接收方對(duì)屬性證書進(jìn)行鑒別��,在屬性值對(duì)中加入以下屬性屬性IDn 1 = “9998”����,屬性值=“當(dāng)前應(yīng)用域”;屬性IDn = “9999”�����,屬性值=“對(duì)用戶屬性簽名后的字符串”����。屬性證書的應(yīng)用域分為單一應(yīng)用域和跨應(yīng)用域。在單一應(yīng)用域時(shí)���,屬性證書的作 用與用戶輸入用戶名和密碼的作用相同都是作為身份驗(yàn)證和資源操作權(quán)限的判斷����。在跨域 應(yīng)用時(shí)���,用戶可以通過提交用戶證書和屬性證書來簡(jiǎn)化登錄操作���,由服務(wù)器通過訪問控制 策略計(jì)算引擎來判斷用戶的合法性以及用戶的操作權(quán)限等信息。實(shí)施例2:一種基于屬性的訪問控制模型的跨域訪問方法���,其關(guān)鍵在于步驟一�����、證書服務(wù)器分別給第一管理域1和第一管理域2頒發(fā)服務(wù)器證書���,用于維 護(hù)第一訪問控制服務(wù)器Ia和第二訪問控制服務(wù)器2a之間的信任鏈關(guān)系����;步驟二���、用戶通過第一應(yīng)用服務(wù)器Ib登錄第一管理域1����,第一訪問控制服務(wù)器Ia 給用戶頒發(fā)包含數(shù)字簽名的屬性證書����,用戶將屬性證書下載至第一應(yīng)用服務(wù)器Ib的本地 磁盤保存;步驟三����、用戶登錄第二管理域2�,匿名訪問第二管理域2下的資源時(shí),向第二管理域2提交由第一管理域1頒發(fā)的屬性證書����;步驟四�����、第二訪問控制服務(wù)器2a通過服務(wù)器證書的信任鏈關(guān)系��,確認(rèn)由第一管理 域1頒發(fā)給用戶的屬性證書��;步驟五�、第二訪問控制服務(wù)器2a提取屬性證書中用戶的屬性值��,根據(jù)訪問控制策 略判定通過訪問控制計(jì)算引擎判定該用戶操作的合法性���。實(shí)施例3:一種基于屬性的訪問控制模型的跨域訪問方法����,其關(guān)鍵在于步驟一��、證書服務(wù)器分別給第一管理域1和第一管理域2頒發(fā)服務(wù)器證書�,用于維 護(hù)第一訪問控制服務(wù)器Ia和第二訪問控制服務(wù)器2a之間的信任鏈關(guān)系;步驟二��、用戶通過第一應(yīng)用服務(wù)器Ib登錄第一管理域1�,由證書服務(wù)器和第一訪 問控制服務(wù)器Ia分別給用戶頒發(fā)用私鑰加密過的用戶證書和包含數(shù)字簽名的屬性證書, 用戶將兩種證書下載至第一應(yīng)用服務(wù)器Ib的本地磁盤保存;步驟三�����、用戶透明訪問第二管理域2下的資源時(shí)�,向第二管理域2同時(shí)提交用戶證 書和屬性證書;步驟四��、第二訪問控制服務(wù)器2a通過證書服務(wù)器提供的公鑰對(duì)用戶證書進(jìn)行解密���,驗(yàn)證用戶證書的真實(shí)性與合法性�;步驟五�����、第二訪問控制服務(wù)器2a通過服務(wù)器證書的信任鏈關(guān)系����,確認(rèn)由第一管理域1頒發(fā)給用戶的屬性證書;步驟六��、第二訪問控制服務(wù)器2a提取屬性證書中用戶的屬性值�,根據(jù)訪問控制策略判定通過訪問控制計(jì)算引擎判定該用戶操作的合法性�����。 本發(fā)明不局限于第一管理域1和第一管理域2兩個(gè)應(yīng)用域,可以是若干個(gè)不同的應(yīng)用域的相互跨域訪問���。各應(yīng)用域的屬性內(nèi)容相互獨(dú)立��,但所有應(yīng)用域的屬性都能在屬性 管理服務(wù)器4中找到��。 通過互聯(lián)網(wǎng)進(jìn)行跨域訪問�����,應(yīng)用服務(wù)器既作為第一管理域1的終端�,也可作為第一管理域2的終端�����。
權(quán)利要求
一種基于屬性的訪問控制模型����,包括來接入到Inter網(wǎng)上的第一管理域(1)和第二管理域(2),其中第一管理域(1)設(shè)置有第一訪問控制服務(wù)器(1a)����,該第一訪問控制服務(wù)器(1a)連接有至少一臺(tái)第一應(yīng)用服務(wù)器(1b)���,其中第二管理域(2)設(shè)置有第二訪問控制服務(wù)器(2a),該第二訪問控制服務(wù)器(2a)連接有至少一臺(tái)第二應(yīng)用服務(wù)器(2b)��,其特征在于還包括有證書服務(wù)器(3)和屬性管理服務(wù)器(4)�����;其中證書服務(wù)器(3)用于I��、通過給第一管理域(1)和第二管理域(2)中第一訪問控制服務(wù)器(1a)和第二訪問控制服務(wù)器(2a)頒發(fā)服務(wù)器證書�����,建立第一管理域(1)和第二管理域(2)之間的信任鏈�����,保證第一管理域(1)和第二管理域(2)之間的信任關(guān)系���;II�、給用戶頒發(fā)用戶證書�����,用戶證書包含的內(nèi)容有用戶名、序列號(hào)�、簽名算法�����、頒發(fā)者���、有效起始日期�、有效終止日期�����、主題��、公鑰信息��;其中屬性管理服務(wù)器(4)用于I���、負(fù)責(zé)建立統(tǒng)一的屬性定義庫�,統(tǒng)一訪問控制規(guī)則中的語義問題��;II�、負(fù)責(zé)建立統(tǒng)一的屬性定義庫�,用來統(tǒng)一訪問控制服務(wù)器中的訪問控制規(guī)則具有相同的語義���;屬性包括I�����、用戶的基本屬性姓名�����、年齡�、職稱����、角色、職務(wù)���、當(dāng)前費(fèi)用�、積分�;II、資源的基本屬性資源名稱����、資源類型��、所需費(fèi)用���;III、操作的基本屬性下載�����、查看���、刪除、上傳���、修改�����;IV�����、上下文對(duì)象的基本屬性服務(wù)器端的當(dāng)前CPU利用率�、訪問用戶數(shù)量���,客戶端的IP地址���、訪問類型�����;所述第一訪問控制服務(wù)器(1a)和第二訪問控制服務(wù)器(2a)之間由所述證書服務(wù)器(3)頒發(fā)的服務(wù)器證書保證相互之間的信任鏈關(guān)系�;所述第一訪問控制服務(wù)器(1a)和第二訪問控制服務(wù)器(2a)用于I��、基于統(tǒng)一語義的屬性來定義訪問控制規(guī)則�;II、給用戶頒發(fā)屬性證書并簽名��。
2.根據(jù)權(quán)利要求1所述的基于屬性的訪問控制模型����,其特征在于所述用戶證書采用 X. 509標(biāo)準(zhǔn),用戶證書的內(nèi)容有用戶名�����、用戶ID(序列號(hào))���、簽名算法���、頒發(fā)者���、有效起始日 期、有效終止日期�、主題、公鑰信息�����;用戶證書是基于用戶或ID的身份鑒別�,用戶證書相當(dāng)于網(wǎng)絡(luò)環(huán)境下的一種身份證���,它 通過將某用戶的身份與其公鑰相綁定�,并由證書服務(wù)器(3)進(jìn)行簽名�����,以向公鑰的使用者 證明公鑰的合法性和權(quán)威性��。
3.根據(jù)權(quán)利要求1所述的基于屬性的訪問控制模型����,其特征在于所述屬性證書為一 個(gè)用戶的所有 < 屬性名��,屬性值 > 這樣的屬性值對(duì)的集合�,其基本的結(jié)構(gòu)為屬性IDl����,屬性 值1 ;屬性ID2�,屬性值2 ;…�����,屬性名n��,屬性值η ��;屬性證書中存儲(chǔ)了用戶的具體屬性值��,是具有簽名機(jī)制保證其真實(shí)性的數(shù)據(jù)結(jié)構(gòu)或文件����。
4.根據(jù)權(quán)利要求2或3所述的基于屬性的訪問控制模型,其特征在于用戶或者只使 用屬性證書實(shí)現(xiàn)匿名訪問第一訪問控制服務(wù)器(Ia)和第二訪問控制服務(wù)器(2a)�����;或者同時(shí)使用用戶證書和屬性證書實(shí)現(xiàn)透明訪問第一訪問控制服務(wù)器(Ia)和第二訪 問控制服務(wù)器(2a)。
5.根據(jù)權(quán)利要求2或3所述的一種基于屬性的訪問控制模型����,其特征在于所述屬性 證書應(yīng)用于單一管理域和跨管理域;在單一管理域和跨管理域應(yīng)用中�,用戶通過提交用戶證書和屬性證書來簡(jiǎn)化登錄操 作,由所述第一訪問控制服務(wù)器(Ia)或第二訪問控制服務(wù)器(2a)中的訪問控制策略計(jì)算 引擎來判斷用戶的合法性以及查詢用戶的操作權(quán)限��。
6.一種權(quán)利要求1所述基于屬性的訪問控制模型的跨域訪問方法��,其特征在于 步驟一�、證書服務(wù)器分別給第一管理域(1)和第一管理域(2)頒發(fā)服務(wù)器證書,用于維護(hù)第一訪問控制服務(wù)器(Ia)和第二訪問控制服務(wù)器(2a)之間的信任鏈關(guān)系�����;步驟二����、用戶通過第一應(yīng)用服務(wù)器(Ib)登錄第一管理域(1)����,第一訪問控制服務(wù)器 (Ia)給用戶頒發(fā)包含數(shù)字簽名的屬性證書,用戶將屬性證書下載至第一應(yīng)用服務(wù)器(Ib) 的本地磁盤保存;步驟三��、用戶登錄第二管理域(2)��,匿名訪問第二管理域(2)下的資源時(shí)�����,向第二管理 域(2)提交由第一管理域(1)頒發(fā)的屬性證書���;步驟四�、第二訪問控制服務(wù)器(2a)通過服務(wù)器證書的信任鏈關(guān)系�����,確認(rèn)由第一管理域 (1)頒發(fā)給用戶的屬性證書�����;步驟五���、第二訪問控制服務(wù)器(2a)提取屬性證書中用戶的屬性值����,根據(jù)訪問控制策略 判定通過訪問控制計(jì)算引擎判定該用戶操作的合法性。
7.—種權(quán)利要求1所述基于屬性的訪問控制模型的跨域訪問方法�����,其特征在于 步驟一��、證書服務(wù)器分別給第一管理域(1)和第一管理域(2)頒發(fā)服務(wù)器證書�,用于維護(hù)第一訪問控制服務(wù)器(Ia)和第二訪問控制服務(wù)器(2a)之間的信任鏈關(guān)系;步驟二���、用戶通過第一應(yīng)用服務(wù)器(Ib)登錄第一管理域(1)�,由證書服務(wù)器和第一訪 問控制服務(wù)器(Ia)分別給用戶頒發(fā)用私鑰加密過的用戶證書和包含數(shù)字簽名的屬性證 書�,用戶將兩種證書下載至第一應(yīng)用服務(wù)器(Ib)的本地磁盤保存;步驟三�、用戶透明訪問第二管理域(2)下的資源時(shí),向第二管理域(2)同時(shí)提交用戶證 書和屬性證書�����;步驟四�、第二訪問控制服務(wù)器(2a)通過證書服務(wù)器提供的公鑰對(duì)用戶證書進(jìn)行解密���, 驗(yàn)證用戶證書的真實(shí)性與合法性�;步驟五、第二訪問控制服務(wù)器(2a)通過服務(wù)器證書的信任鏈關(guān)系�����,確認(rèn)由第一管理域 (1)頒發(fā)給用戶的屬性證書�����;步驟六����、第二訪問控制服務(wù)器(2a)提取屬性證書中用戶的屬性值,根據(jù)訪問控制策略 判定通過訪問控制計(jì)算引擎判定該用戶操作的合法性���。
全文摘要
本發(fā)明公開了一種基于屬性的訪問控制模型及其跨域訪問方法����,基于屬性的訪問控制模型包括第一管理域和第二管理域����,其特征在于還包括證書服務(wù)器和屬性管理服務(wù)器。系統(tǒng)的跨域訪問方法包括����、證書服務(wù)器分別給第一管理域和第一管理域頒發(fā)服務(wù)器證書�����;用戶通過登錄第一管理域���,將屬性證書下載至本地磁盤保存;用戶向第二管理域提交屬性證書��;第二訪問控制服務(wù)器確認(rèn)屬性證書��;第二訪問控制服務(wù)器提取屬性值��,判定該用戶操作的合法性�����。其顯著特點(diǎn)是可以將用戶的角色和管理域都視為用戶的單一屬性�����,能夠有效解RBAC模型中關(guān)于復(fù)雜角色條件下用戶-角色-權(quán)限賦值的效率問題��。同時(shí)對(duì)于開放網(wǎng)絡(luò)環(huán)境中的匿名用戶也提供了相應(yīng)的訪問控制方法����。
文檔編號(hào)H04L29/06GK101997876SQ20101053380
公開日2011年3月30日 申請(qǐng)日期2010年11月5日 優(yōu)先權(quán)日2010年11月5日
發(fā)明者侯素娟, 馮永, 李季, 汪成亮, 鐘將 申請(qǐng)人:重慶大學(xué)