CN101997876B - 基于属性的访问控制模型及其跨域访问方法 - Google Patents
基于属性的访问控制模型及其跨域访问方法 Download PDFInfo
- Publication number
- CN101997876B CN101997876B CN201010533806.9A CN201010533806A CN101997876B CN 101997876 B CN101997876 B CN 101997876B CN 201010533806 A CN201010533806 A CN 201010533806A CN 101997876 B CN101997876 B CN 101997876B
- Authority
- CN
- China
- Prior art keywords
- access control
- user
- certificate
- attribute
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于属性的访问控制模型及其跨域访问方法,基于属性的访问控制模型包括第一管理域和第二管理域,其特征在于:还包括证书服务器和属性管理服务器。系统的跨域访问方法包括、证书服务器分别给第一管理域和第一管理域颁发服务器证书;用户通过登录第一管理域,将属性证书下载至本地磁盘保存;用户向第二管理域提交属性证书;第二访问控制服务器确认属性证书;第二访问控制服务器提取属性值,判定该用户操作的合法性。其显著特点是:可以将用户的角色和管理域都视为用户的单一属性,能够有效解RBAC模型中关于复杂角色条件下用户-角色-权限赋值的效率问题。同时对于开放网络环境中的匿名用户也提供了相应的访问控制方法。
Description
技术领域
本发明涉及一种在开放的网络环境下基于属性的通用访问控制技术,尤其涉及一种基于属性的访问控制模型及其跨域访问方法。
背景技术
访问控制系统决定了在网络环境中哪些用户能够访问系统,访问系统中的哪些资源以及对这些资源具备何种操作。开放的网络环境中的跨域访问的核心问题是:访问控制系统如何识别来自其它应用系统中的用户,然后根据系统内的访问控制策略来判断用户的操作是否合法。
在基于属性的访问控制提出以前,对访问控制方法的研究主要集中在自主访问控制、强制访问控制以及基于角色的访问控制,其它类型访问控制方法如基于任务或工作流的访问控制、基于身份的访问控制不具有代表性,在此不予讨论。
传统的访问控制中,自主访问控制是一种比较弱的访问控制策略,它有着致命的弱点,即访问权的授予是可以传递的。其后果是一旦访问权被传递出去将难以控制,访问权的管理是相当困难的,这会带来严重的安全问题。再者,自主访问控制不保护受保护的客体产生的副本,即一个用户不能访问某一客体,但能够访问它的拷贝,这更增加了管理的难度。访问许可的转移使得客体的所有者最终都不能控制对该客体的所有访问许可并且容易被非法用户绕过而获得访问。
总之,自主访问控制的安全级别较低,加之需要维护的主、客体数目的开销较大,而且对于分布式网络系统不利于实现统一的全局访问控制,不满足大型网络系统的应用需要。
强制访问控制通过增加不能回避的访问权限虽能够防止在自主访问控制模型中存在的访问权的传递问题,但是降低了系统的灵活性。此外,它利用上读/下写来保证数据的完整性,利用下读/上写来保证数据的保密性,虽然增强了信息的机密性,但不能有效实施完整性控制,而且实现起来工作量较大,由于过分强调保密性,在对系统的连续工作能力和授权的灵活管理方面也考虑不足。目前主要用于保密性要求较高的军事方面,难以支持当前对信息的完整性较高的互联网系统。
基于角色的访问控制模型(RBAC)及其扩展模型作为对以上传统访问控制方法的代替,与前述的传统访问控制方法相比,通过引入角色在用户和权限之间进行解耦,实现了用户和权限的逻辑分离,使得权限的管理更为灵活和容易维护。突出的优点使得系统管理员能够根据部门、企业安全政策的不同划分不同的角色,执行特定的任务,因此得到了广泛的应用。
但是,RBAC模型通常是为用户分配固定的角色,难以根据用户属性变化而更改的动态授权模式。特别是随着系统中用户自主性的增强和数目的增长,这种做法会使认证授权中心成为瓶颈,可扩展性差。
RBAC模型的另一不利之处是,随着当前网络资源应用域范围的扩大,不同应用域之间的交互以及应用域内不同客户端和服务器端的交互愈加频繁,现有的基于集中管理模式的RBAC模型已不能适应这种环境。
为了解决RBAC模型日益凸现的问题,同时要实现跨域的安全访问控制和资源共享,需要在RBAC的基础上扩展,建立基于属性的访问控制模型(ABAC),实现面向开放网络环境且支持动态授权机制和跨管理域的访问控制系统。
发明内容
本发明提供了一种基于属性的访问控制模型及其跨域访问方法,该模型将用户的角色和管理域都视为用户的某个属性,因此能够兼容现有的RBAC模型,同时又能有效解决RBAC模型中关于复杂角色条件下用户-角色-权限赋值的效率问题。同时可以在开放网络环境中的匿名用户提供了跨域访问控制的机制。
为达到上述目的,本发明所述的一种基于属性的访问控制模型,为简化描述,以两个管理域,第一管理域和第二管理域为例说明。模型包括来接入到Inter网上的第一管理域和第二管理域,其中第一管理域设置有第一访问控制服务器,该第一访问控制服务器连接有至少一台第一应用服务器,其中第二管理域设置有第二访问控制服务器,该第二访问控制服务器连接有至少一台第二应用服务器,其关键在于:还包括有证书服务器和属性管理服务器;
其中证书服务器用于:
I、通过给第一管理域和第二管理域中第一访问控制服务器和第二访问控制服务器颁发服务器证书,建立第一管理域和第二管理域之间的信任链,保证第一管理域和第二管理域之间的信任关系;
II、给用户颁发用户证书,用户证书包含的内容有用户名、序列号、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息;
其中属性管理服务器用于:
I、负责建立统一的属性定义库,统一访问控制规则中的语义问题;
II、负责建立统一的属性定义库,用来统一访问控制服务器中的访问控制规则具有相同的语义;
属性包括:
I、用户的基本属性:姓名、年龄、职称、角色、职务、当前费用、积分;
II、资源的基本属性:资源名称、资源类型、所需费用;
III、操作的基本属性:下载、查看、删除、上传、修改;
IV、上下文对象的基本属性:服务器端的当前CPU利用率、访问用户数量,客户端的IP地址、访问类型;
所述第一访问控制服务器和第二访问控制服务器之间由所述证书服务器颁发的服务器证书保证相互之间的信任链关系;
管理域中的属性库均源自于由属性管理机构所维护的属性库,各管理域可向该机构申请使用属性及注册新的属性。
所述第一访问控制服务器和第二访问控制服务器用于:
I、基于统一语义的属性来定义访问控制规则;
II、给用户颁发属性证书,维护用户的信息。
所述用户证书采用X.509标准,用户证书的内容有:用户名、用户ID(序列号)、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息;
用户证书是基于用户或ID的身份鉴别,用户证书相当于网络环境下的一种身份证,它通过将某用户的身份与其公钥相绑定,并由证书服务器进行签名,以向公钥的使用者证明公钥的合法性和权威性。
所述属性证书为一个用户的所有<属性名,属性值>这样的属性值对的集合,其基本的结构为:属性ID1,属性值1;属性ID2,属性值2;…,属性名n,属性值n;
属性证书中存储了用户的具体属性值,看作是有签名机制的一种特殊的数据结构或文件。
用户或者只使用属性证书实现匿名访问第一访问控制服务器和第二访问控制服务器;
或者同时使用用户证书和属性证书实现透明访问第一访问控制服务器和第二访问控制服务器。
所述属性证书应用于单一管理域和跨管理域;
在单一管理域和跨管理域应用中,用户通过提交用户证书和属性证书来简化登录操作,由所述第一访问控制服务器或第二访问控制服务器中的访问控制策略计算引擎来判断用户的合法性以及查询用户的操作权限。
在单一应用域时,属性证书的作用与用户输入用户名和密码的作用相同都是作为身份验证和资源操作权限的判断;
在跨域应用时,用户通过提交用户证书和属性证书来简化登录操作,由所述第一访问控制服务器或第二访问控制服务器通过访问控制策略计算引擎来判断用户的合法性以及用户的操作权限信息。
一种基于属性的访问控制模型的跨域访问方法,其关键在于:
步骤一、证书服务器分别给第一管理域和第一管理域颁发服务器证书,用于维护第一访问控制服务器和第二访问控制服务器之间的信任链关系;
步骤二、用户通过第一应用服务器登录第一管理域,第一访问控制服务器给用户颁发包含数字签名的属性证书,用户将属性证书下载至第一应用服务器的本地磁盘保存;
步骤三、用户登录第二管理域,匿名访问第二管理域下的资源时,向第二管理域提交由第一管理域颁发的属性证书;
步骤四、第二访问控制服务器通过服务器证书的信任链关系,确认由第一管理域颁发给用户的属性证书;
步骤五、第二访问控制服务器提取属性证书中用户的属性值,根据访问控制策略判定通过访问控制计算引擎判定该用户操作的合法性。
一种基于属性的访问控制模型的跨域访问方法,其关键在于:
步骤一、证书服务器分别给第一管理域和第一管理域颁发服务器证书,用于维护第一访问控制服务器和第二访问控制服务器之间的信任链关系;
步骤二、用户通过第一应用服务器登录第一管理域,由证书服务器和第一访问控制服务器分别给用户颁发用私钥加密过的用户证书和包含数字签名的属性证书,用户将两种证书下载至第一应用服务器的本地磁盘保存;
步骤三、用户透明访问第二管理域下的资源时,向第二管理域同时提交用户证书和属性证书;
步骤四、第二访问控制服务器通过证书服务器提供的公钥对用户证书进行解密,验证用户证书的真实性与合法性;
步骤五、第二访问控制服务器通过服务器证书的信任链关系,确认由第一管理域颁发给用户的属性证书;
步骤六、第二访问控制服务器提取属性证书中用户的属性值,根据访问控制策略判定通过访问控制计算引擎判定该用户操作的合法性。
本发明的显著效果是:由于采用了基于统一语义的属性的描述系统中的资源、用户、操作和运行上下文环境,并基于这些对象的属性描述合法的访问规则,因此可以将用户的角色和管理域等都视为用户的一个属性,则基于角色的访问控制方法(RBAC)就可以视为本发明中单用户属性的特例,同时利用本方法又能够有效解决RBAC模型中关于复杂角色条件下用户-角色-权限赋值的效率问题。
本发明的一方面是对各个管理域中的用户提供了统一语义的属性的描述方式,并利用统一语义的属性描述用户、资源、操作和运行上下文视四类对象。这些对象分别用来表示访问控制过程中的主体、客体、访问类型和访问时系统的运行状态。对四类对象的定义如下:用户是指可以独立访问被保护数据或资源的一类对象,它往往是提出请求或要求的发起者,可以是用户,也可以是任何发出访问请求的智能体,包括进程、服务、程序等,此处简化为人;资源是需要接受用户访问的一类对象,包括所有受访问控制机制所保护下的系统资源包括系统的功能、数据库、文件等;操作是用来定义用户行为的一类对象,它具体定义了用户对资源进行何种类型的访问;运行上下文对象记录了当前系统运行的一些动态属性,例如当前用户的IP、服务器负载,当前的时间、系统运行的安全等级、CPU的利用率等,它不依赖于某个特殊的用户和资源,但往往会应用在访问控制策略中。利用上述四类对象的属性,可以提供多种粒度的访问控制策略。
各个对象按照属性服务器中预先定义的属性集来描述。这种统一的属性管理模式不仅有利于系统管理员建立一致的和多粒度的访问控制策略,而且有利于实现不同管理域之间的跨域访问。
在本发明的另一方面可以将属性管理、访问控制规则的管理及访问的合法性判定相分离。各类对象的属性的维护,可以由属性的管理来完成,也可以随业务活动而发生变化。系统在运行过程中,属性是动态可变的量,而访问控制策略则相对稳定。因此系统能够满足根据业务变化而进行动态授权的机制。
本发明的基于PKI签名机制保证属性证书的安全性和管理域间建立可证明的信任关系。属性证书既可以作为在单一应用域内中匿名访问的权限判断的凭证又可以应用在跨域应用中,兼顾了精细的访问控制和用户使用的便捷性。
本发明另一显著的优势是通过引入上下文对象实现对不同类型的用户提供差异化的服务,例如在负载比较大的情况下可以优先保证具有某种特征的用户的访问。
本发明的其它方面将可以从下面结合附图的示例说明本发明的实现原理及相关描述中变得显而易见。但是本发明不局限于此番给出的解释及细节,可在权利要求的范围内改变。
附图说明
图1是基于属性的访问控制模型的结构框图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步详细说明:
实施例1:
如图1所示,本发明所述的一种基于属性的访问控制模型,为简化描述本方法,以两个管理域,第一管理域1和第二管理域2为例说明。包括来接入到Inter网上的第一管理域1和第二管理域2,其中第一管理域1设置有第一访问控制服务器1a,该第一访问控制服务器1a连接有至少一台第一应用服务器1b,其中第二管理域2设置有第二访问控制服务器2a,该第二访问控制服务器2a连接有至少一台第二应用服务器2b,其关键在于:还包括有证书服务器3和属性管理服务器4;
其中证书服务器3用于:
I、通过给第一管理域1和第二管理域2中第一访问控制服务器1a和第二访问控制服务器2a颁发服务器证书,建立第一管理域1和第二管理域2之间的信任链,保证第一管理域1和第二管理域2之间的信任关系;
II、给用户颁发用户证书,用户证书包含的内容有用户名、序列号、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息;
其中属性管理服务器4用于:
I、负责建立统一的属性定义库,统一访问控制规则中的语义问题;
II、负责建立统一的属性定义库,用来统一访问控制服务器中的访问控制规则具有相同的语义;
属性包括:
I、用户的基本属性:姓名、年龄、职称、角色、职务、当前费用、积分;
II、资源的基本属性:资源名称、资源类型、所需费用;
III、操作的基本属性:下载、查看、删除、上传、修改;
IV、上下文对象的基本属性:服务器端的当前CPU利用率、访问用户数量,客户端的IP地址、访问类型;
所述第一访问控制服务器1a和第二访问控制服务器2a之间由所述证书服务器3颁发的服务器证书保证相互之间的信任链关系;
管理域中的属性库均源自于由属性管理机构所维护的属性库,各管理域可向该机构申请使用属性及注册新的属性。
所述第一访问控制服务器1a和第二访问控制服务器2a用于:
I、基于统一语义的属性来定义访问控制规则;
II、给用户颁发属性证书,维护用户的信息。
所述用户证书采用X.509标准,用户证书的内容有:用户名、用户ID,即序列号、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息;
用户证书是基于用户或ID的身份鉴别,用户证书相当于网络环境下的一种身份证,它通过将某用户的身份与其公钥相绑定,并由证书服务器3进行签名,以向公钥的使用者证明公钥的合法性和权威性。
所述属性证书为一个用户的所有<属性名,属性值>这样的属性值对的集合,其基本的结构为:属性ID1,属性值1;属性ID2,属性值2;…,属性名n,属性值n;
属性证书中存储了用户的具体属性值,看作是有签名机制的一种特殊的数据结构或文件。
用户或者只使用属性证书实现匿名访问第一访问控制服务器1a和第二访问控制服务器2a;
或者同时使用用户证书和属性证书实现透明访问第一访问控制服务器1a和第二访问控制服务器2a。
所述属性证书应用于单一管理域和跨管理域;
在单一管理域和跨管理域应用中,用户通过提交用户证书和属性证书来简化登录操作,由所述第一访问控制服务器1a或第二访问控制服务器2a中的访问控制策略计算引擎来判断用户的合法性以及查询用户的操作权限。
在单一应用域时,属性证书的作用与用户输入用户名和密码的作用相同都是作为身份验证和资源操作权限的判断;
在跨域应用时,用户通过提交用户证书和属性证书来简化登录操作,由所述第一访问控制服务器1a或第二访问控制服务器2a通过访问控制策略计算引擎来判断用户的合法性以及用户的操作权限信息。
访问控制计算引擎其实就是根据从属性证书中提出的属性值与访问控制策略中的访问规则进行匹配看是否满足,来判断该访问是否合法并将决策结果返回,即允许或拒绝,最终由应用服务器进行访问控制的实施。
访问控制规则由属性表达式来定义:
1属性表达式CE
属性表达式的CE定义如下:
CE->CE or AE
CE->CE and AE
CE->AE
CE->(CE)|not(CE)
AE->(属性变量操作符变量)|(属性变量操作符常量)
2常量
是指属性表达式在计算过程中不发生变化的值,常见的常量有:
数字常量,由1-9和小数点组成。例如:183.22。
字符串常量,必须放在引号中,字符串中间不能有空格、制表符。例如:‘视频数据’。
布尔常量,真为true,假为false。例如:true。
日期常量:年、月、日之间用“-“分割,YYYY-MM-DD,空位须补零。例如:1900-06-09。
3属性变量
是指在权限计算过程中,要根据当前参与操作的用户、资源、操作和运行上下文变化的量。例如:
User.用户属性i:取用户对象的第i个属性。
Res.资源属性j:资源对象的第j个属性。
Op.操作属性k:操作对象的第k个属性。
属性变量在进行权限判断时,将根据当前操作的用户,资源和操作进行实例化,并获得这些变量的具体值。
(4)运算符
运算符用来描述属性表达式中属性变量与其它属性变量或者常量之间满足何种关系。常见的运算符有:=、>、<、>=、<=。
(5)属性表达式示例
User.年龄>Res.可访问年龄and(User.余额>Res.价格)
表示用户的年龄大于资源要求的访问年龄,且用户账户上余额大于资源需要的价格时,可以访问该资源。
综合示例
Res.可访问年龄=18and User.年龄>Res.可访问年龄and not(User.余额<Res.价格)
②给用户颁发属性证书,维护用户的信息
此处用户的属性证书是本系统独有的,运用了数字签名的机制,是自己定义的结构:
具体包含了应用域的信息及用户的属性值对信息。具体来说:
用户属性证书是一个《属性ID,属性值》的集合,结构为:
属性ID1,属性值1;属性ID2,属性值2,…,属性IDn,属性值n。
为让接收方对属性证书进行鉴别,在属性值对中加入以下属性:
属性IDn 1=“9998”,属性值=“当前应用域”;
属性IDn=“9999”,属性值=“对用户属性签名后的字符串”。
属性证书的应用域分为单一应用域和跨应用域。在单一应用域时,属性证书的作用与用户输入用户名和密码的作用相同都是作为身份验证和资源操作权限的判断。在跨域应用时,用户可以通过提交用户证书和属性证书来简化登录操作,由服务器通过访问控制策略计算引擎来判断用户的合法性以及用户的操作权限等信息。
实施例2:
一种基于属性的访问控制模型的跨域访问方法,其关键在于:
步骤一、证书服务器分别给第一管理域1和第一管理域2颁发服务器证书,用于维护第一访问控制服务器1a和第二访问控制服务器2a之间的信任链关系;
步骤二、用户通过第一应用服务器1b登录第一管理域1,第一访问控制服务器1a给用户颁发包含数字签名的属性证书,用户将属性证书下载至第一应用服务器1b的本地磁盘保存;
步骤三、用户登录第二管理域2,匿名访问第二管理域2下的资源时,向第二管理域2提交由第一管理域1颁发的属性证书;
步骤四、第二访问控制服务器2a通过服务器证书的信任链关系,确认由第一管理域1颁发给用户的属性证书;
步骤五、第二访问控制服务器2a提取属性证书中用户的属性值,根据访问控制策略判定通过访问控制计算引擎判定该用户操作的合法性。
实施例3:
一种基于属性的访问控制模型的跨域访问方法,其关键在于:
步骤一、证书服务器分别给第一管理域1和第一管理域2颁发服务器证书,用于维护第一访问控制服务器1a和第二访问控制服务器2a之间的信任链关系;
步骤二、用户通过第一应用服务器1b登录第一管理域1,由证书服务器和第一访问控制服务器1a分别给用户颁发用私钥加密过的用户证书和包含数字签名的属性证书,用户将两种证书下载至第一应用服务器1b的本地磁盘保存;
步骤三、用户透明访问第二管理域2下的资源时,向第二管理域2同时提交用户证书和属性证书;
步骤四、第二访问控制服务器2a通过证书服务器提供的公钥对用户证书进行解密,验证用户证书的真实性与合法性;
步骤五、第二访问控制服务器2a通过服务器证书的信任链关系,确认由第一管理域1颁发给用户的属性证书;
步骤六、第二访问控制服务器2a提取属性证书中用户的属性值,根据访问控制策略判定通过访问控制计算引擎判定该用户操作的合法性。
本发明不局限于第一管理域1和第一管理域2两个应用域,可以是若干个不同的应用域的相互跨域访问。各应用域的属性内容相互独立,但所有应用域的属性都能在属性管理服务器4中找到。
通过互联网进行跨域访问,应用服务器既作为第一管理域1的终端,也可作为第一管理域2的终端。
Claims (7)
1.一种基于属性的访问控制系统,包括接入到Inter网上的第一管理域(1)和第二管理域(2),其中第一管理域(1)设置有第一访问控制服务器(1a),该第一访问控制服务器(1a)连接有至少一台第一应用服务器(1b),其中第二管理域(2)设置有第二访问控制服务器(2a),该第二访问控制服务器(2a)连接有至少一台第二应用服务器(2b),其特征在于:还包括有证书服务器(3)和属性管理服务器(4);
其中证书服务器(3)用于:
Ⅰ、通过给第一管理域(1)和第二管理域(2)中第一访问控制服务器(1a)和第二访问控制服务器(2a)颁发服务器证书,建立第一管理域(1)和第二管理域(2)之间的信任链,保证第一管理域(1)和第二管理域(2)之间的信任关系;
Ⅱ、给用户颁发用户证书,用户证书包含的内容有用户名、序列号、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息;
其中属性管理服务器(4)用于:
Ⅰ、负责建立统一的属性定义库,统一访问控制规则中的语义问题;
Ⅱ、负责建立统一的属性定义库,用来统一访问控制服务器中的访问控制规则具有相同的语义;
属性包括:
Ⅰ、用户的基本属性:姓名、年龄、职称、角色、职务、当前费用、积分;
Ⅱ、资源的基本属性:资源名称、资源类型、所需费用;
Ⅲ、操作的基本属性:下载、查看、删除、上传、修改;
Ⅳ、上下文对象的基本属性:服务器端的当前CPU利用率、访问用户数量,客户端的IP地址、访问类型;
所述第一访问控制服务器(1a)和第二访问控制服务器(2a)之间由所述证书服务器(3)颁发的服务器证书保证相互之间的信任链关系;
所述第一访问控制服务器(1a)和第二访问控制服务器(2a)用于:
Ⅰ、基于统一语义的属性来定义访问控制规则;
Ⅱ、给用户颁发属性证书并签名。
2.根据权利要求1所述的基于属性的访问控制系统,其特征在于:述用户证书采用X.509标准,用户证书的内容有:用户名、用户ID、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息;
用户证书是基于用户或ID的身份鉴别,用户证书相当于网络环境下的一种身份证,它通过将某用户的身份与其公钥相绑定,并由证书服务器(3)进行签名,以向公钥的使用者证明公钥的合法性和权威性。
3.根据权利要求1所述的基于属性的访问控制系统,其特征在于:所述属性证书为一个用户的所有<属性名,属性值>这样的属性值对的集合,其基本的结构为:属性ID1,属性值1;属性ID2,属性值2;…,属性名n,属性值n;
属性证书中存储了用户的具体属性值,是具有签名机制保证其真实性的数据结构或文件。
4.根据权利要求2或3所述的基于属性的访问控制系统,其特征在于:
用户或者只使用属性证书实现匿名访问第一访问控制服务器(1a)和第二访问控制服务器(2a);
或者同时使用用户证书和属性证书实现透明访问第一访问控制服务器(1a)和第二访问控制服务器(2a)。
5.根据权利要求2或3所述的基于属性的访问控制系统,其特征在于:所述属性证书应用于单一管理域和跨管理域;
在单一管理域和跨管理域应用中,用户通过提交用户证书和属性证书来简化登录操作,由所述第一访问控制服务器(1a)或第二访问控制服务器(2a)中的访问控制策略计算引擎来判断用户的合法性以及查询用户的操作权限。
6.一种权利要求1所述基于属性的访问控制系统的跨域访问方法,其特征在于:
步骤一、证书服务器分别给第一管理域(1)和第二管理域(2)颁发服务器证书,用于维护第一访问控制服务器(1a)和第二访问控制服务器(2a)之间的信任链关系;
步骤二、用户通过第一应用服务器(1b)登录第一管理域(1),第一访问控制服务器(1a)给用户颁发包含数字签名的属性证书,用户将属性证书下载至第一应用服务器(1b)的本地磁盘保存;
步骤三、用户登录第二管理域(2),匿名访问第二管理域(2)下的资源时,向第二管理域(2)提交由第一管理域(1)颁发的属性证书;
步骤四、第二访问控制服务器(2a)通过服务器证书的信任链关系,确认由第一管理域(1)颁发给用户的属性证书;
步骤五、第二访问控制服务器(2a)提取属性证书中用户的属性值,根据访问控制策略判定通过访问控制计算引擎判定该用户操作的合法性。
7.一种权利要求1所述基于属性的访问控制系统的跨域访问方法,其特征在于:
步骤一、证书服务器分别给第一管理域(1)和第二管理域(2)颁发服务器证书,用于维护第一访问控制服务器(1a)和第二访问控制服务器(2a)之间的信任链关系;
步骤二、用户通过第一应用服务器(1b)登录第一管理域(1),由证书服务器和第一访问控制服务器(1a)分别给用户颁发用私钥加密过的用户证书和包含数字签名的属性证书,用户将两种证书下载至第一应用服务器(1b)的本地磁盘保存;
步骤三、用户透明访问第二管理域(2)下的资源时,向第二管理域(2)同时提交用户证书和属性证书;
步骤四、第二访问控制服务器(2a)通过证书服务器提供的公钥对用户证书进行解密,验证用户证书的真实性与合法性;
步骤五、第二访问控制服务器(2a)通过服务器证书的信任链关系,确认由第一管理域(1)颁发给用户的属性证书;
步骤六、第二访问控制服务器(2a)提取属性证书中用户的属性值,根据访问控制策略判定通过访问控制计算引擎判定该用户操作的合法性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010533806.9A CN101997876B (zh) | 2010-11-05 | 2010-11-05 | 基于属性的访问控制模型及其跨域访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010533806.9A CN101997876B (zh) | 2010-11-05 | 2010-11-05 | 基于属性的访问控制模型及其跨域访问方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101997876A CN101997876A (zh) | 2011-03-30 |
| CN101997876B true CN101997876B (zh) | 2014-08-27 |
Family
ID=43787457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010533806.9A Expired - Fee Related CN101997876B (zh) | 2010-11-05 | 2010-11-05 | 基于属性的访问控制模型及其跨域访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101997876B (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984179A (zh) * | 2011-09-02 | 2013-03-20 | 广东电子工业研究院有限公司 | 一种面向云计算操作系统进行Web服务跨域访问的方法 |
| CN102404232A (zh) * | 2011-12-20 | 2012-04-04 | 上海电机学院 | 多域访问控制系统及方法 |
| CN103051540B (zh) * | 2012-12-17 | 2017-11-28 | 中兴通讯股份有限公司 | 一种跨域建立保密路径的方法和系统 |
| CN103391192B (zh) * | 2013-07-16 | 2016-09-21 | 国家电网公司 | 一种基于隐私保护的跨安全域访问控制系统及其控制方法 |
| CN103581200B (zh) * | 2013-11-15 | 2016-06-29 | 中国科学院信息工程研究所 | 一种实现多级安全域间结构化文档快速流转的方法及系统 |
| CN104270383B (zh) * | 2014-10-17 | 2018-10-26 | 国家电网公司 | 一种电力移动终端跨子网访问控制方法 |
| CN104735055B (zh) * | 2015-02-12 | 2018-09-21 | 河南理工大学 | 一种基于信任度的跨域安全访问控制方法 |
| CN104901948B (zh) * | 2015-04-15 | 2017-11-10 | 南方电网科学研究院有限责任公司 | 智能电网中基于层次属性加密访问控制系统与方法 |
| CN106302334B (zh) * | 2015-05-22 | 2020-06-12 | 中兴通讯股份有限公司 | 访问角色获取方法、装置及系统 |
| CN105095777B (zh) * | 2015-07-31 | 2018-01-09 | 华中科技大学 | 一种云环境下的多模式访问控制策略制定和执行方法 |
| CN106649340A (zh) * | 2015-10-30 | 2017-05-10 | 北京国双科技有限公司 | 条件过滤数据的存取方法及装置 |
| CN108390874B (zh) * | 2018-02-12 | 2020-08-07 | 北京工业大学 | 网络结构中基于证书的访问控制系统及访问方法 |
| CN108803431A (zh) * | 2018-07-09 | 2018-11-13 | 江苏恒宝智能系统技术有限公司 | 一种多设备供电管理装置、连接方法以及系统 |
| CN109327309A (zh) * | 2018-11-08 | 2019-02-12 | 北京中电华大电子设计有限责任公司 | 一种基于ibc与pki混合体系的跨域密钥管理方法 |
| CN109413080B (zh) * | 2018-11-09 | 2021-05-25 | 厦门市美亚柏科信息股份有限公司 | 一种跨域动态权限控制方法及系统 |
| CN110348183B (zh) * | 2019-05-28 | 2021-07-20 | 石化盈科信息技术有限责任公司 | 基于rbac的可快速配置的权限配置系统、方法和存储介质 |
| CN110855637A (zh) * | 2019-10-28 | 2020-02-28 | 西北工业大学 | 一种基于属性的区块链物联网分布式访问控制方法 |
| CN111461237A (zh) * | 2020-04-03 | 2020-07-28 | 中国电子科技集团公司第三十研究所 | 一种基于QPSO优化K-Means的ABAC模型 |
| CN111526025B (zh) * | 2020-07-06 | 2020-10-13 | 飞天诚信科技股份有限公司 | 一种实现终端解绑和重绑的方法及系统 |
| CN111917739A (zh) * | 2020-07-15 | 2020-11-10 | 傲普(上海)新能源有限公司 | 一种基于RESTful规范的ACBC的权限管理模型 |
| CN112040473A (zh) * | 2020-09-02 | 2020-12-04 | 中国联合网络通信集团有限公司 | 双卡终端的接入方法、终端及服务器 |
| CN112559468B (zh) * | 2021-02-26 | 2021-07-06 | 中关村科学城城市大脑股份有限公司 | 一种基于城市大脑的数据共享方法及系统 |
| CN113098683B (zh) * | 2021-03-17 | 2022-05-03 | 武汉理工大学 | 一种基于属性的数据加密方法和系统 |
| CN117156440B (zh) * | 2023-10-27 | 2024-01-30 | 中电科网络安全科技股份有限公司 | 一种证书认证方法、系统、存储介质和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1960255A (zh) * | 2006-09-21 | 2007-05-09 | 上海交通大学 | 分布式多级安全访问控制方法 |
| CN101242272A (zh) * | 2008-03-11 | 2008-08-13 | 南京邮电大学 | 基于移动代理和断言的网格跨域安全平台的实现方法 |
| CN101257386A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 基于信任模型的动态访问控制方法 |
| CN101645900A (zh) * | 2009-08-31 | 2010-02-10 | 国家信息中心 | 一种跨域权限管理系统及方法 |
-
2010
- 2010-11-05 CN CN201010533806.9A patent/CN101997876B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1960255A (zh) * | 2006-09-21 | 2007-05-09 | 上海交通大学 | 分布式多级安全访问控制方法 |
| CN101242272A (zh) * | 2008-03-11 | 2008-08-13 | 南京邮电大学 | 基于移动代理和断言的网格跨域安全平台的实现方法 |
| CN101257386A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 基于信任模型的动态访问控制方法 |
| CN101645900A (zh) * | 2009-08-31 | 2010-02-10 | 国家信息中心 | 一种跨域权限管理系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 叶春晓等.基于属性的扩展委托模型.《计算机研究与发展》.2006,第43卷(第6期), |
| 基于属性的扩展委托模型;叶春晓等;《计算机研究与发展》;20061231;第43卷(第6期);1050-1057 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101997876A (zh) | 2011-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101997876B (zh) | 基于属性的访问控制模型及其跨域访问方法 | |
| Di Francesco Maesa et al. | Blockchain based access control | |
| Mohammed | Cloud identity and access management–a model proposal | |
| US20220021711A1 (en) | Security Platform and Method for Efficient Access and Discovery | |
| Liu et al. | Privacy protection for fog computing and the internet of things data based on blockchain | |
| US20200228574A1 (en) | Policy management for data migration | |
| US7103784B1 (en) | Group types for administration of networks | |
| US8990896B2 (en) | Extensible mechanism for securing objects using claims | |
| Dabholkar et al. | Ripping the fabric: Attacks and mitigations on hyperledger fabric | |
| Kabir et al. | A role-involved purpose-based access control model | |
| US11089028B1 (en) | Tokenization federation service | |
| Alboaie et al. | Private data system enabling self-sovereign storage managed by executable choreographies | |
| AU2024219519A1 (en) | Low trust privileged access management | |
| Bouras et al. | IoT-CCAC: a blockchain-based consortium capability access control approach for IoT | |
| CN112738194A (zh) | 一种安全运维管理的访问控制系统 | |
| CN115705571A (zh) | 保护可审计的帐户的隐私 | |
| Rahul et al. | A novel authentication framework for Hadoop | |
| Balamurugan et al. | Enhanced role-based access control for cloud security | |
| Abdelfattah et al. | A novel role-mapping algorithm for enhancing highly collaborative access control system | |
| Delessy et al. | Patterns for access control in distributed systems | |
| Mun et al. | Injecting subject policy into access control for strengthening the protection of personal information | |
| US20100043049A1 (en) | Identity and policy enabled collaboration | |
| Mazzocca et al. | Evaluating Tangle Distributed Ledger for Access Control Policy Distribution in Multi-region Cloud Environments | |
| Wang et al. | Research on data and workflow security of electronic military systems | |
| Reddy | Access control mechanisms in Big Data processing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140827 Termination date: 20191105 |