本發(fā)明屬于訪問控制技術領域，更具體地，涉及一種基于屬性的訪問控制方法及系統(tǒng)。

背景技術：

訪問控制技術主要用于保護共享在大型系統(tǒng)上的數據，防止被未授權的非法用戶訪問。隨著信息技術的發(fā)展，特別是互聯網的高速發(fā)展，訪問控制技術也得到了長足的發(fā)展。

根據授權方式的不同可以將訪問控制方式分為：自主訪問控制(Discretionary Access Control，DAC)、強制訪問控制(Mandatory Access Control，MAC)以及基于角色的訪問控制(Role-Based Access Control，RBAC)。自主訪問控制由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己的客體訪問權或部分訪問權授予其他主體，這種控制方式是自主的，用戶可以按自己的意愿，有選擇地與其他用戶共享他的文件。但是這種方法會導致嚴重的安全問題，權限傳遞問題，例如，A擁有資源R，A把訪問權限傳遞給B，而B又把訪問權限傳遞給C，這樣C也有了資源R的訪問權限，會導致數據的泄露；強制訪問控制通過無法回避的訪問限制來阻止直接或間接地非法入侵，強制訪問的主體和客體都有一定的安全等級，通過主客體的安全等級來決定是否允許主體訪問客體，雖然由于MAC方式的嚴格明確的等級劃分以及權限管理嚴格而非常受軍方的歡迎，但是該方式缺乏靈活性；基于角色的訪問控制作為傳統(tǒng)訪問控制(如自主訪問，強制訪問)的有前景的代替而受到廣泛的關注，在RBAC中，用戶可以擁有多個不同的角色方便對用戶權限的管理，其中，角色是用戶和訪問權限的橋梁，但是隨著信息技術尤其是互聯網技術的發(fā)展，很多企業(yè)的網絡資源開始變得分散，而且數據的數量和種類也在不停的增加，因此現有的訪問控制技術已經很難滿足企業(yè)的需求。

技術實現要素：

針對現有技術的以上缺陷或改進需求，本發(fā)明提供了一種基于屬性的訪問控制方法及系統(tǒng)，其目的在于為不停增長的具有分散性的互聯網資源提供一種高效的訪問控制方法，使資源訪問控制統(tǒng)一一致，由此解決傳統(tǒng)訪問控制不靈活，粒度大，難管理的技術問題。

為實現上述目的，按照本發(fā)明的一個方面，提供了一種基于屬性的訪問控制方法，包括：

(1)數據提供方判斷待訪問用戶是否屬于已經認證了的用戶，若不是，則將待訪問用戶的訪問請求重定向到服務提供方；

(2)服務提供方將重定向的訪問請求解釋成認證請求和獲取屬性信息的請求，并將所述認證請求和獲取屬性信息的請求重定向到身份提供方；

(3)身份提供方進行初步認證，若認證成功，則獲取主體屬性信息；

(4)身份提供方將待訪問用戶的認證請求重定向到屬性權威進行進一步的認證；

(5)屬性權威在接收到進一步的認證請求后，產生一個預警值，并判斷所述預警值是否超過預警閾值，若超過，則由身份提供方進行輔助認證，并執(zhí)行步驟(6)，若沒有超過，則直接進入步驟(6)；

(6)若進一步的認證成功，則向身份提供方返回進一步認證成功指令，由身份提供方查詢環(huán)境屬性日志獲取環(huán)境屬性信息；

(7)身份提供方產生安全斷言標記語言SAML指令，并將所述SAML指令重定向到服務提供方，其中，所述SAML指令中包含主體屬性信息和環(huán)境屬性信息；

(8)服務提供方在接收到所述SAML指令后，向數據提供方發(fā)送應答指令，由數據提供方給待訪問用戶的瀏覽器發(fā)送一個認證cookie和待訪問用戶的瀏覽器之間建立會話，其中，所述應答指令中包含主體屬性信息和環(huán)境屬性信息；

(9)策略實施點捕獲認證了的待訪問用戶的訪問請求，收集存儲在標準申明文件中的主體屬性信息、環(huán)境屬性信息和數據提供方的客體屬性信息，然后向策略決策器發(fā)送待訪問用戶的訪問請求；

(10)策略決策器判斷策略實施點提供的主體屬性信息、環(huán)境屬性信息以及客體屬性信息是否能夠做出訪問判決決定，若是，則執(zhí)行步驟(12)，若否，則執(zhí)行步驟(11)；

(11)由運行態(tài)屬性獲取插件進行輔助性的屬性信息獲取請求，并執(zhí)行步驟(12)；

(12)根據從策略管理中心產生的策略來決定是允許還是拒絕待訪問用戶的訪問請求；

(13)策略決策器將訪問判決結果返回給策略實施點，由策略實施點執(zhí)行訪問判決結果。

優(yōu)選地，在步驟(11)中具體包括以下子步驟：

(11-1)運行態(tài)屬性獲取插件獲取進行訪問判決決定需要的屬性名，然后在本地緩存中查找所述屬性名在預設時間內是否被請求過，若是，則執(zhí)行步驟(11-2)，否則，執(zhí)行步驟(11-3)；

(11-2)將所述屬性名對應的屬性值返回給策略決策器；

(11-3)由運行態(tài)屬性獲取插件向協(xié)議中間方發(fā)送請求，獲取所述屬性名對應的屬性值；

(11-4)協(xié)議中間方獲取所述屬性名后，向服務提供方發(fā)送查詢請求；

(11-5)服務提供方在接收到協(xié)議中間方發(fā)送的查詢請求后，通過屬性查詢插件向及時緩存發(fā)出查詢請求，以確認及時緩存中是否存在所述屬性名對應的屬性值，若不存在，則執(zhí)行步驟(11-6)，否則，服務提供方獲取屬性查詢插件從及時緩存中取得的屬性值，并執(zhí)行步驟(11-9)；

(11-6)屬性查詢插件將所述屬性名發(fā)送給服務提供方進行屬性值獲取請求；

(11-7)服務提供方在接收到屬性查詢插件發(fā)送的屬性值獲取請求后，向身份提供方發(fā)送屬性值查詢請求；

(11-8)身份提供方響應服務提供方發(fā)送的屬性值查詢請求，向服務提供方發(fā)送查詢到的屬性值；

(11-9)服務提供方驗證屬性值的有效性，并在驗證通過后，執(zhí)行步驟(11-10)；

(11-10)服務提供方向協(xié)議中間方發(fā)送屬性值響應指令，所述屬性值響應指令中包括獲取到的有效的屬性值；

(11-11)協(xié)議中間方把收到的屬性值發(fā)送給運行態(tài)屬性獲取插件，由運行態(tài)屬性獲取插件將屬性值發(fā)送給策略決策器。

按照本發(fā)明的另一方面，提供了一種基于屬性的訪問控制系統(tǒng)，包括：數據提供方、服務提供方、身份提供方、屬性權威、環(huán)境屬性日志、策略實施點、標準申明文件、策略決策器、運行態(tài)屬性獲取插件以及策略管理中心；

所述數據提供方，用于判斷待訪問用戶是否屬于已經認證了的用戶，若不是，則將待訪問用戶的訪問請求重定向到所述服務提供方；

所述服務提供方，用于將重定向的訪問請求解釋成認證請求和獲取屬性信息的請求，并將所述認證請求和獲取屬性信息的請求重定向到所述身份提供方；

所述身份提供方，用于進行初步認證，若認證成功，則獲取主體屬性信息；

所述身份提供方，還用于將待訪問用戶的認證請求重定向到所述屬性權威進行進一步的認證；

所述屬性權威，用于在接收到進一步的認證請求后，產生一個預警值，并判斷所述預警值是否超過預警閾值，若超過，則由所述身份提供方進行輔助認證；

所述屬性權威，還用于在進一步的認證成功時，向所述身份提供方返回進一步認證成功指令，由所述身份提供方查詢所述環(huán)境屬性日志獲取環(huán)境屬性信息；

所述身份提供方，用于產生安全斷言標記語言SAML指令，并將所述SAML指令重定向到所述服務提供方，其中，所述SAML指令中包含主體屬性信息和環(huán)境屬性信息；

所述服務提供方，還用于在接收到所述SAML指令后，向所述數據提供方發(fā)送應答指令，由所述數據提供方給待訪問用戶的瀏覽器發(fā)送一個認證cookie和待訪問用戶的瀏覽器之間建立會話，其中，所述應答指令中包含主體屬性信息和環(huán)境屬性信息；

所述策略實施點，用于捕獲認證了的待訪問用戶的訪問請求，收集存儲在所述標準申明文件中的主體屬性信息、環(huán)境屬性信息和所述數據提供方的客體屬性信息，然后向所述策略決策器發(fā)送待訪問用戶的訪問請求；

所述策略決策器，用于判斷所述策略實施點提供的主體屬性信息、環(huán)境屬性信息以及客體屬性信息是否能夠做出訪問判決決定；

所述運行態(tài)屬性獲取插件，用于在所述策略決策器利用所述策略實施點提供的主體屬性信息、環(huán)境屬性信息以及客體屬性信息不能夠做出訪問判決決定時，進行輔助性的屬性信息獲取請求；

所述策略決策器，還用于在利用所述策略實施點提供的主體屬性信息、環(huán)境屬性信息以及客體屬性信息能夠做出訪問判決決定或者在所述運行態(tài)屬性獲取插件進行輔助性的屬性信息獲取請求后，根據從策略管理中心產生的策略來決定是允許還是拒絕待訪問用戶的訪問請求；

所述策略決策器，還用于將訪問判決結果返回給所述策略實施點，由所述策略實施點執(zhí)行訪問判決結果。

優(yōu)選地，所述系統(tǒng)還包括：協(xié)議中間方、及時緩存、屬性查詢插件；

所述運行態(tài)屬性獲取插件與所述協(xié)議中間方、所述服務提供方、所述身份提供方、所述屬性查詢插件以及所述及時緩存配合進行輔助性的屬性信息獲取請求：

所述運行態(tài)屬性獲取插件，用于獲取進行訪問判決決定需要的屬性名，然后在本地緩存中查找所述屬性名在預設時間內是否被請求過，若是，則將所述屬性名對應的屬性值返回給策略決策器，否則，向所述協(xié)議中間方發(fā)送請求，獲取所述屬性名對應的屬性值；

所述協(xié)議中間方，用于在獲取所述屬性名后，向所述服務提供方發(fā)送查詢請求；

所述服務提供方，用于在接收到協(xié)議中間方發(fā)送的查詢請求后，通過所述屬性查詢插件向所述及時緩存發(fā)出查詢請求，以確認所述及時緩存中是否存在所述屬性名對應的屬性值，若存在，則由所述服務提供方獲取所述屬性查詢插件從所述及時緩存中取得的屬性值；

所述屬性查詢插件，用于在所述及時緩存中不存在所述屬性名對應的屬性值時，將所述屬性名發(fā)送給所述服務提供方進行屬性值獲取請求；

所述服務提供方，還用于在接收到所述屬性查詢插件發(fā)送的屬性值獲取請求后，向所述身份提供方發(fā)送屬性值查詢請求；

所述身份提供方，用于響應所述服務提供方發(fā)送的屬性值查詢請求，向所述服務提供方發(fā)送查詢到的屬性值；

所述服務提供方，還用于驗證屬性值的有效性，并在驗證通過后，向所述協(xié)議中間方發(fā)送屬性值響應指令，所述屬性值響應指令中包括獲取到的有效的屬性值；

所述協(xié)議中間方，還用于把收到的屬性值發(fā)送給所述運行態(tài)屬性獲取插件，由所述運行態(tài)屬性獲取插件將屬性值發(fā)送給所述策略決策器。

總體而言，通過本發(fā)明所構思的以上技術方案與現有技術相比，由于通過主客體屬性和環(huán)境屬性的控制來實現訪問控制，能夠取得下列有益效果：

(1)基于主客體屬性和環(huán)境屬性針對云存儲數據分散和類別多設計的一種訪問控制機制，可以兼顧傳統(tǒng)訪問控制的能力，還能在更多復雜的環(huán)境下有很好的適應性。

(2)本發(fā)明涉及如下幾個核心部分，包括主體屬性和具體主體的授予與撤銷，環(huán)境屬性的收集，策略的創(chuàng)建，策略的實施，運行態(tài)屬性獲得和這些部分統(tǒng)一的數據請求應答方式。

(3)本發(fā)明中策略的定義方完全實現自主訪問控制，強制訪問控制，角色訪問控制的方式，還具有靈活變化的策略創(chuàng)建與刪除功能。

(4)運行態(tài)屬性的獲取基于本地緩存，可以方便策略決策器更快的做出決策。

附圖說明

圖1為本發(fā)明實施例公開的一種基于屬性的訪問控制方法的流程示意圖；

圖2為本發(fā)明實施例公開的一種基于屬性的訪問控制系統(tǒng)中各模塊的交互結構示意圖。

具體實施方式

為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白，以下結合附圖及實施例，對本發(fā)明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。此外，下面所描述的本發(fā)明各個實施方式中所涉及到的技術特征只要彼此之間未構成沖突就可以相互組合。

圖1所示為本發(fā)明實施例公開的一種基于屬性的訪問控制方法的流程示意圖，其中，在圖1所示的方法中，包括以下步驟：

(1)數據提供方判斷待訪問用戶是否屬于已經認證了的用戶，若不是，則將待訪問用戶的訪問請求重定向到服務提供方；

其中，數據提供方可以通過查看待訪問用戶的超文本傳輸協(xié)議(Hyper Text Transfer Protocol，HTTP)內容來確定當前待訪問的用戶是否是已經認證過的用戶。

(2)服務提供方將重定向的訪問請求解釋成認證請求和獲取屬性信息的請求，并將所述認證請求和獲取屬性信息的請求重定向到身份提供方；

(3)身份提供方進行初步認證，若認證成功，則獲取主體屬性信息；

其中，主體屬性信息可以由身份管理倉庫提供。身份管理倉庫是為身份提供方提供主體屬性信息管理的，它具有授予和撤銷主體身份的功能，同時也具有創(chuàng)建修改刪除主體屬性信息的功能，包括針對具體主體的屬性的授予和撤銷，是主體屬性信息的來源。

(4)身份提供方將待訪問用戶的認證請求重定向到屬性權威進行進一步的認證；

(5)屬性權威在接收到進一步的認證請求后，產生一個預警值，并判斷所述預警值是否超過預警閾值，若超過，則由身份提供方進行輔助認證，并執(zhí)行步驟(6)，若沒有超過，則直接進入步驟(6)；

(6)若進一步的認證成功，則向身份提供方返回進一步認證成功指令，由身份提供方查詢環(huán)境屬性日志獲取環(huán)境屬性信息；

(7)身份提供方產生安全斷言標記語言SAML指令，并將所述SAML指令重定向到服務提供方，其中，所述SAML指令中包含主體屬性信息和環(huán)境屬性信息；

(8)服務提供方在接收到所述SAML指令后，向數據提供方發(fā)送應答指令，由數據提供方給待訪問用戶的瀏覽器發(fā)送一個認證cookie和待訪問用戶的瀏覽器之間建立會話，其中，所述應答指令中包含主體屬性信息和環(huán)境屬性信息；

其中，來自身份提供方的主體屬性信息和環(huán)境屬性信息存儲在標準聲明文件中。

(9)策略實施點捕獲認證了的待訪問用戶的訪問請求，收集存儲在標準申明文件中的主體屬性信息、環(huán)境屬性信息和數據提供方的客體屬性信息，然后向策略決策器發(fā)送待訪問用戶的訪問請求；

(10)策略決策器判斷策略實施點提供的主體屬性信息、環(huán)境屬性信息以及客體屬性信息是否能夠做出訪問判決決定，若是，則執(zhí)行步驟(12)，若否，則執(zhí)行步驟(11)；

(11)由運行態(tài)屬性獲取插件進行輔助性的屬性信息獲取請求，并執(zhí)行步驟(12)；

(12)根據從策略管理中心產生的策略來決定是允許還是拒絕待訪問用戶的訪問請求；

(13)策略決策器將訪問判決結果返回給策略實施點，由策略實施點執(zhí)行訪問判決結果。

優(yōu)選地，在步驟(11)中具體包括以下子步驟：

(11-1)運行態(tài)屬性獲取插件獲取進行訪問判決決定需要的屬性名，然后在本地緩存中查找所述屬性名在預設時間內是否被請求過，若是，則執(zhí)行步驟(11-2)，否則，執(zhí)行步驟(11-3)；

(11-2)將所述屬性名對應的屬性值返回給策略決策器；

(11-3)由運行態(tài)屬性獲取插件向協(xié)議中間方發(fā)送請求，獲取所述屬性名對應的屬性值；

(11-4)協(xié)議中間方獲取所述屬性名后，向服務提供方發(fā)送查詢請求；

(11-5)服務提供方在接收到協(xié)議中間方發(fā)送的查詢請求后，通過屬性查詢插件向及時緩存發(fā)出查詢請求，以確認及時緩存中是否存在所述屬性名對應的屬性值，若不存在，則執(zhí)行步驟(11-6)，否則，服務提供方獲取屬性查詢插件從及時緩存中取得的屬性值，并執(zhí)行步驟(11-9)；

(11-6)屬性查詢插件將所述屬性名發(fā)送給服務提供方進行屬性值獲取請求；

(11-7)服務提供方在接收到屬性查詢插件發(fā)送的屬性值獲取請求后，向身份提供方發(fā)送屬性值查詢請求；

(11-8)身份提供方響應服務提供方發(fā)送的屬性值查詢請求，向服務提供方發(fā)送查詢到的屬性值；

(11-9)服務提供方驗證屬性值的有效性，并在驗證通過后，執(zhí)行步驟(11-10)；

(11-10)服務提供方向協(xié)議中間方發(fā)送屬性值響應指令，所述屬性值響應指令中包括獲取到的有效的屬性值；

(11-11)協(xié)議中間方把收到的屬性值發(fā)送給運行態(tài)屬性獲取插件，由運行態(tài)屬性獲取插件將屬性值發(fā)送給策略決策器。

圖2所示為本發(fā)明實施例公開的一種基于屬性的訪問控制系統(tǒng)中各模塊的交互結構示意圖，具體包括：

數據提供方，用于判斷待訪問用戶是否屬于已經認證了的用戶，若不是，則將待訪問用戶的訪問請求重定向到服務提供方；

服務提供方，用于將重定向的訪問請求解釋成認證請求和獲取屬性信息的請求，并將所述認證請求和獲取屬性信息的請求重定向到身份提供方；

身份提供方，用于進行初步認證，若認證成功，則獲取主體屬性信息；

其中，主體屬性信息可以由身份管理倉庫提供。身份管理倉庫是為身份提供方提供主體屬性信息管理的，它具有授予和撤銷主體身份的功能，同時也具有創(chuàng)建修改刪除主體屬性信息的功能，包括針對具體主體的屬性的授予和撤銷，是主體屬性信息的來源。

身份提供方，還用于將待訪問用戶的認證請求重定向到屬性權威進行進一步的認證；

屬性權威，用于在接收到進一步的認證請求后，產生一個預警值，并判斷所述預警值是否超過預警閾值，若超過，則由身份提供方進行輔助認證；

其中，屬性權威(Attribute Authority，AA)是來收集環(huán)境屬性信息和用戶登錄時用戶的系統(tǒng)信息，例如，用戶登陸時的地點信息，由此可以限制不在指定區(qū)域的人不能訪問所屬資源。

屬性權威，還用于在進一步的認證成功時，向身份提供方返回進一步認證成功指令，由身份提供方查詢環(huán)境屬性日志獲取環(huán)境屬性信息；

其中，環(huán)境屬性日志中包含用戶每次認證的事件ID和用戶每次認證時屬性權威收集的環(huán)境屬性信息。

其中，事件日志獲取插件負責身份提供方和屬性權威之間的交互，把用戶認證的事件ID提供給身份提供方，以使身份提供方根據用戶認證的事件ID來查詢環(huán)境屬性日志獲取環(huán)境屬性信息。

身份提供方，用于產生安全斷言標記語言SAML指令，并將所述SAML指令重定向到服務提供方，其中，所述SAML指令中包含主體屬性信息和環(huán)境屬性信息；

服務提供方，還用于在接收到所述SAML指令后，向數據提供方發(fā)送應答指令，由數據提供方給待訪問用戶的瀏覽器發(fā)送一個認證cookie和待訪問用戶的瀏覽器之間建立會話，其中，所述應答指令中包含主體屬性信息和環(huán)境屬性信息；

其中，來自身份提供方的主體屬性信息和環(huán)境屬性信息存儲在標準聲明文件中。身份提供方通過安全口令處理函數從標準申明文件中獲取主體屬性信息和環(huán)境屬性信息。

其中，安全口令處理函數用于驗證服務提供方提供的口令是否有效；

策略實施點，用于捕獲認證了的待訪問用戶的訪問請求，收集存儲在標準申明文件中的主體屬性信息、環(huán)境屬性信息和數據提供方的客體屬性信息，然后向策略決策器發(fā)送待訪問用戶的訪問請求；

策略決策器，用于判斷策略實施點提供的主體屬性信息、環(huán)境屬性信息以及客體屬性信息是否能夠做出訪問判決決定；

其中，數據提供方和策略決策器和策略實施點耦合。

運行態(tài)屬性獲取插件，用于在策略決策器利用策略實施點提供的主體屬性信息、環(huán)境屬性信息以及客體屬性信息不能夠做出訪問判決決定時，進行輔助性的屬性信息獲取請求；

策略決策器，還用于在利用策略實施點提供的主體屬性信息、環(huán)境屬性信息以及客體屬性信息能夠做出訪問判決決定或者在運行態(tài)屬性獲取插件進行輔助性的屬性信息獲取請求后，根據從策略管理中心產生的策略來決定是允許還是拒絕待訪問用戶的訪問請求；

其中，策略管理中心用于產生策略，提供審計，日志和報告等功能。

策略決策器，還用于將訪問判決結果返回給策略實施點，由策略實施點執(zhí)行訪問判決結果。

優(yōu)選地，在圖2所示的系統(tǒng)中還協(xié)議中間方、及時緩存、屬性查詢插件；且運行態(tài)屬性獲取插件與協(xié)議中間方、服務提供方、身份提供方、屬性查詢插件以及及時緩存配合進行輔助性的屬性信息獲取請求：

運行態(tài)屬性獲取插件，用于獲取進行訪問判決決定需要的屬性名，然后在本地緩存中查找所述屬性名在預設時間內是否被請求過，若是，則將所述屬性名對應的屬性值返回給策略決策器，否則，向協(xié)議中間方發(fā)送請求，獲取所述屬性名對應的屬性值；

協(xié)議中間方，用于在獲取所述屬性名后，向服務提供方發(fā)送查詢請求；

服務提供方，用于在接收到協(xié)議中間方發(fā)送的查詢請求后，通過屬性查詢插件向及時緩存發(fā)出查詢請求，以確認及時緩存中是否存在所述屬性名對應的屬性值，若存在，則由服務提供方獲取屬性查詢插件從及時緩存中取得的屬性值；

屬性查詢插件，用于在及時緩存中不存在所述屬性名對應的屬性值時，將所述屬性名發(fā)送給服務提供方進行屬性值獲取請求；

服務提供方，還用于在接收到屬性查詢插件發(fā)送的屬性值獲取請求后，向身份提供方發(fā)送屬性值查詢請求；

身份提供方，用于響應服務提供方發(fā)送的屬性值查詢請求，向服務提供方發(fā)送查詢到的屬性值；

服務提供方，還用于驗證屬性值的有效性，并在驗證通過后，向協(xié)議中間方發(fā)送屬性值響應指令，所述屬性值響應指令中包括獲取到的有效的屬性值；

協(xié)議中間方，還用于把收到的屬性值發(fā)送給運行態(tài)屬性獲取插件，由運行態(tài)屬性獲取插件將屬性值發(fā)送給策略決策器。

本領域的技術人員容易理解，以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內所作的任何修改、等同替換和改進等，均應包含在本發(fā)明的保護范圍之內。