CN104735055B - 一种基于信任度的跨域安全访问控制方法 - Google Patents

Abstract

本发明公开了一种基于信任度的跨域安全访问控制方法，控制方法包括实体属性信息初始化、注册证书、发送访问请求、信任度及敏感信息验证、信息提交及发送、信息通讯及信任度复核等7步。本发明在传统的跨域访问控制方法中加入了信任度属性、时效属性、时间衰减度函数及敏感属性信息属性，从而一方面可利用信任度值与敏感属性值的比较，实现了敏感属性的保护，并可通过用户的信任度值确定用户的角色集后，结合用户的其他属性确定最终角色，主体的访问权限将由访问控制策略决定，另一方面可防止用户访问初期表现良好，后期恶意攻击的问题发生，极大的提高了系统访问的安全性及可靠性。

Description

一种基于信任度的跨域安全访问控制方法

技术领域

本发明属于网络信息数据安全的技术领域，具体涉及一种基于信任度的跨域安全访问控制方法。

背景技术

针对访问主体的安全接入问题，目前研究者主要采用访问控制机制来有效阻断非法主体对节点资源的访问。但在物联网环境下，由于终端类型的多样性、分布范围的广泛性、网络类型的异构性、节点的移动性以及业务应用的复杂性都使得物联网的接入和访问控制机制变得复杂多样，特别是云存储技术的应用引发的跨域资源安全访问的问题，进一步增加了终端设备接入和访问控制的复杂性。

传统的访问控制模型主要有自主访问控制DAC、强制访问控制MAC、基于角色的访问控制RBAC等。其中DAC尽管具有授权灵活的特点，但是由于系统资源的权限被随意地授予，比较容易产生安全漏洞。MAC虽然能够有效的限制信息由低向高流动，但是它不能在同等级不同范畴的用户之间流通，并且缺乏安全、灵活的授权机制。RBAC的出现基本解决了DAC由于灵活性造成的安全问题和MAC不支持完整性保护所导致的局限性问题，但RBAC通常为用户分配固定的角色，难以根据用户属性的变化而变化，可扩展性较差。

由于现实生活中的协同工作变得日益频繁，特别是各自治域需要进行动态的数据或服务的交换，资源的互访也越来愈频繁。传统的访问控制模型在访问控制过程中，就会存在较大的安全隐患，并且传统的访问控制模型主要解决的是单个安全域的访问控制。因此，不适用于开放网络环境下，访问粒度较粗，也不利于实现统一的全局访问控制。

基于属性的访问控制模型ABAC的出现解决了开放网络环境下面临的细粒度问题及传统的访问控制模型中的不足等。在ABAC中所有的实体都采用同一种方式来描述——属性，并依据访问控制策略中实体的某些属性直接决定主体权限。但访问主体在访问资源时，如何使主体能够安全的跨域访问及对敏感属性的保护等都已成为亟待解决的问题。

发明内容

本发明目的就在于克服上述不足，提供一种基于信任度的跨域安全访问控制方法。

为实现上述目的，本发明是通过以下技术方案来实现：

一种基于信任度的跨域安全访问控制方法，控制方法具体步骤如下：

第一步，实体属性信息初始化，属性管理系统AMS对每一个实体在各域的属性库内建立统一的定义、统一的访问控制规则语义及敏感属性信息；

第二步，注册证书，访问主体在属性管理系统AMS中进行注册，并获得属性证书及用户证书；

第三步，发送访问请求，注册完成后，基于注册证书向策略执行点PEP发送资源访问请求AAR，且策略执行点PEP另将访问请求AAR发送到策略决策点PDP处，然后由策略决策点PDP中的策略决策部件PDC调用策略检索部件PSC，从策略管理部件PMC中检索适用于该访问请求的策略，其中当被访问节点资源R不在当前域内时，策略执行点PEP将访问请求AAR发送到域决策系统DDS,此时域决策系统DDS将访问请求AAR同时发送到多个域的策略执行点PEP中，最终检索到被访问节点资源R所在具体域；

第四步，信任度及敏感属性信息验证，经过第三步检索的策略后，对第一步中建立的实体统一的定义、统一的访问控制规则语义及敏感属性信息进行验证，当属性检索部件ASC检索的信息包含有第一步的敏感属性时，则对要访问的资源进行信任度计算，计算后再与第一步中的敏感属性信息的敏感度进行比对，以确定该敏感属性信息是否提交；

第五步，信息提交及发送，策略决策部件PDC根据访问请求AAR、访问控制策略及第四步做出的信任度及敏感属性信息验证信息进行判决，并将判决结果发送给策略执行点PEP；

第六步，信息通讯，策略执行点PEP在收到策略决策部件PDC做出的判决信息后，将判决信息发送到被访问节点资源R，当被访问节点资源R收到允许访问主体访问判决时，则被访问节点资源R将信息提供给访问主体，当被访问节点资源R收到拒绝访问主体访问判决时，则被访问节点资源R将信息拒绝提供给访问主体；

第七步，信任度复核，当访问主体完成资源信息访问后，被访问节点资源R根据访问主体访问表现再次对访问主体进行信任度计算，计算后将访问主体的信任度值进行替换。

进一步地，所述的第一步中的定义、访问控制规则语义及敏感属性信息包括访问主体信息、访问节点资源R信息、操作权限信息及访问环境信息四部分，其中访问主体信息包括用户名、身份证号、家庭住址、联系电话、民族、角色、有效时间、安全等级等信息；访问节点资源R信息包括资源大小、资源名称、资源允许访问的时间区间、安全等级、信任度等；操作权限信息包括修改、删除、读、写等；访问环境信息包括系统的当前时间、系统的安全级别及IP地址等信息。

进一步地，所述的第一步中的敏感属性信息的敏感度用Sens表示，取值范围为Sens∈[0,1]，值越高，则该属性对自身越重要，主体在发送访问请求时，提交敏感属性的可能性就较低，若需提交敏感属性后才能决策主体的访问权限，则将属性敏感度值与资源的信任度值加以比较，决定是否提交该敏感属性。

进一步地，所述第二步中的属性证书及用户证书，属性证书存放的是持有者的属性集和一些相关信息，用户证书存放的是用户名、序列号、颁发者、有效起止日期等，用户发送访问请求时，若只提交属性证书，实现匿名访问，若提交属性证书及用户证书，实现透明访问。

进一步地，所述的第四步及第七步中的信任度计算包括域内信任度计算及域外信任度计算，其中计算公式为：

域内信任度：

其中i表示访问次数；D_j(j＝1,2,3，……)表示某个域；T_A(u_A)ⁱ表示用户u_A第i次访问后，域A对用户u_A的信任度；表示用户u_A访问域D_j资源后，域D_j对用户u_A的评价；T(A→D_j)表示域A对域D_j的信任度；F(c,t_n-t_n-1)为时间衰减度函数，表示在上下文环境c下，用户任意两次访问在

t_n与t_n-1的时间范围内的衰减率；

其中公式(1)中F(c,t_n-t_n-1)满足：

其中R(c,A,B,...)为衰减速率；

域外信任度：

其中，m表示域的个数；C_B(u_A)ⁱ表示用户u_A访问域D_j资源后，域D_j资源对用户u_A的评价与域B对域D_j信任度之间的乘积。

同理，可以计算出资源在域内域外的信任度，将上述公式(1)和(3)中的u_A替换为资源R_A,即可分别计算出资源R_A在域内的信任度以及域外的信任度。

进一步地，所述的第四步中，当属性检索部件ASC检索的属性信息包含多个第一步敏感属性信息时，则将多个属性信息同时附加访问请求AAR中。

本发明在传统的跨域访问控制方法中加入了信任度属性、时效属性、时间衰减度函数及敏感属性信息属性，且计算方法简单易行、计算速度块、计算所得参数准确度高，从而一方面可利用信任度值与敏感属性值的比较，实现了敏感属性的保护，并可通过用户的信任度值确定用户的角色集后，结合用户的其他属性确定最终角色，主体的访问权限将由访问控制策略决定，另一方面也使系统在进行初始化时的时间消耗上完全接近于传统的ABAC模型，并且另可防止用户访问初期表现良好，后期恶意攻击的问题发生，极大的提高了系统访问的安全性及可靠性。

附图说明

图1是本发明跨域安全访问控制模型；

图2是敏感属性提交流程图；

图3是本发明控制方法流程图。

具体实施方式

下面将结合本发明的附图及具体实施例，对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所述，且假定用户进行跨域访问时，访问主体标记为S：

第一步，实体属性信息初始化，属性管理系统AMS对每一个实体在各域的属性库内建立统一的定义、统一的访问控制规则语义及敏感属性信息，即分别对主体S及属性SA、客体R及属性RA、环境属性EA、操作权限属性PA等作以下定义：

S＝{Alice，Bob，…}

SA＝{name,i.d.number,address,tel,nation,role,time,level,…}

R＝{R1，R2，…}

RA＝{name,size,open time,domain,TD，…}

EA＝{time,system state,…}

PA＝{read,write,delete,modify,…}

第二步，注册证书，访问主体在属性管理系统AMS中进行注册，并获得属性证书及用户证书；

第三步，发送访问请求，注册完成后，基于注册证书向策略执行点PEP发送资源访问请求AAR，且策略执行点PEP另将访问请求AAR发送到策略决策点PDP处，然后由策略决策点PDP中的策略决策部件PDC调用策略检索部件PSC，从策略管理部件PMC中检索适用于该访问请求的策略，其中当被访问节点资源R不在当前域内时，策略执行点PEP将访问请求AAR发送到域决策系统DDS,此时域决策系统DDS将访问请求AAR同时发送到多个域的策略执行点PEP中，最终检索到被访问节点资源R所在具体域：

其中，AAR＝((xyz，2014-10-1110:00～18:00),(R1),(read))

表明构建的请求中，该用户要对资源R1执行读操作，且在访问过程中公开自己的所在单位及时间属性；

PEP将AAR发送到PDP后，PDP中的PDC就调用PSC，PSC从PMC中检索适用于该访问请求的策略：

Rule1:access(S,R,E,P)←(<company(S)＝'xyz',role(S)＝'XXX',i.d.number(S)＝'％％％'>)

∧(<R1,open-time(R1)＝'10:00～20:00'>)

∧(8:00≤time(E)≤18:00)∧(<operate(P)＝'read,write'>)

该策略表示在系统时间[8：00，18：00]内，所在单位为“xyz”且具有“XXX”属性的主体公开身份证号后，才能够在资源R1的开放时间[10：00，20：00]内对R1执行读写操作，由于系统时间与资源开放的时间不是同一区间，因此资源的开放时间将变为二者的交集[10:00,18:00]；

第四步，信任度及敏感属性信息验证，经过第三步检索的策略后，对第一步中建立的实体统一的定义、统一的访问控制规则语义及敏感属性信息进行验证，当属性检索部件ASC检索的信息包含有第一步的敏感属性时，则对要访问的资源进行信任度计算，计算后再与第一步中的敏感属性信息的敏感度进行比对，以确定该敏感属性信息是否提交；

其中，域内信任度计算公式为：

其中i表示访问次数；D_j(j＝1,2,3，……)表示某个域；T_A(u_A)ⁱ表示用户u_A第i次访问后，域A对用户u_A的信任度；表示用户u_A访问域D_j资源后，域D_j对用户u_A的评价；T(A→D_j)表示域A对域D_j的信任度；F(c,t_n-t_n-1)为时间衰减度函数，表示在上下文环境c下，用户任意两次访问在

t_n与t_n-1的时间范围内的衰减率；

其中公式(1)中F(c,t_n-t_n-1)满足：

其中R(c,A,B,...)为衰减速率；

域外信任度计算公式为：

其中，m表示域的个数；C_B(u_A)ⁱ表示用户u_A访问域D_j资源后，域D_j资源对用户u_A的评价与域B对域D_j信任度之间的乘积。

同理，可以计算出资源在域内域外的信任度。

第五步，信息提交及发送，策略决策部件PDC根据访问请求AAR、访问控制策略及第四步做出的信任度及敏感属性信息验证信息进行判决，并将判决结果发送给策略执行点PEP；

第六步，信息通讯，策略执行点PEP在收到策略决策部件PDC做出的判决信息后，将判决信息发送到被访问节点资源R1，当被访问节点资源R1收到允许访问主体访问判决时，则被访问节点资源R1将信息提供给访问主体，当被访问节点资源R1收到拒绝访问主体访问判决时，则被访问节点资源R1将信息拒绝提供给访问主体；

第七步，信任度复核，当访问主体完成资源信息访问后，被访问节点资源R1根据访问主体访问表现再次对访问主体进行信任度计算，计算后将访问主体的信任度值进行替换。

本实施例中，第一步中的敏感信息用Sens表示，取值范围为Sens∈[0,1]，值越高，则该属性对自身越重要，且如图3所述的敏感属性提交流程，其中S代表访问主体，S_A表示访问主体的属性，Sens(S_A)表示属性敏感度值，R表示资源，T_R表示资源的信任度值，M为属性敏感度与信任度比较的差值。当比较的差值M满足M≥0或者满足M<0&&AAP时，用户才将敏感属性提交到节点资源。否则，用户就不将敏感属性发送到节点资源，其中AAP为属性访问策略(Attribute Access Policy)，它是由访问主体用来保护自身敏感属性的访问控制策略，即只有目标资源提交主体AAP定义的某些属性，主体才会暴露相应的敏感属性，否则拒绝资源的属性请求，并终止对资源的访问。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (4)

1.一种基于信任度的跨域安全访问控制方法，其特征在于：所述的控制方法具体步骤如下：

第一步，实体属性信息初始化，属性管理系统AMS对每一个实体在各域的属性库内建立统一的定义、统一的访问控制规则语义及敏感属性信息；

第二步，注册证书，访问主体在属性管理系统AMS中进行注册，并获得属性证书及用户证书；

第三步，发送访问请求，注册完成后，基于注册证书向策略执行点PEP发送资源访问请求AAR，且策略执行点PEP另将访问请求AAR发送到策略决策点PDP处，然后由策略决策点PDP中的策略决策部件PDC调用策略检索部件PSC，从策略管理部件PMC中检索适用于该访问请求的策略，其中当被访问节点资源R不在当前域内时，策略执行点PEP将访问请求AAR发送到域决策系统DDS,此时域决策系统DDS将访问请求AAR同时发送到多个域的策略执行点PEP中，最终检索到被访问节点资源R所在具体域；

第四步，信任度及敏感属性信息验证，经过第三步检索到适用于访问请求AAR的访问控制策略后，对第一步中建立的实体统一的定义、统一的访问控制规则语义及敏感属性信息进行验证，当属性检索部件ASC检索的信息包含有第一步的敏感属性时，则对要访问的资源进行信任度计算，计算后再与第一步中的敏感属性信息的敏感度进行比对，以确定该敏感属性信息是否提交；

第五步，信息提交及发送，策略决策部件PDC根据访问请求AAR、访问控制策略及第四步做出的信任度及敏感属性信息验证信息进行判决，并将判决结果发送给策略执行点PEP；

第六步，信息通讯，策略执行点PEP在收到策略决策部件PDC做出的判决信息后，将判决信息发送到被访问节点资源R，当被访问节点资源R收到允许访问主体访问判决时，则被访问节点资源R将信息提供给访问主体，当被访问节点资源R收到拒绝访问主体访问判决时，则被访问节点资源R将拒绝把信息提供给访问主体；

第七步，信任度复核，当访问主体完成资源信息访问后，被访问节点资源R根据访问主体访问表现再次对访问主体进行信任度计算，计算后将访问主体的信任度值进行替换；

所述的第一步中的定义、访问控制规则语义及敏感属性信息包括访问主体信息、访问节点资源R信息、操作权限信息及访问环境信息四部分，其中访问主体信息包括用户名、身份证号、家庭住址、联系电话、民族、角色、有效时间、安全等级信息；访问节点资源R信息包括资源大小、资源名称、资源允许访问的时间区间、安全等级、信任度；操作权限信息包括修改、删除、读、写；访问环境信息包括系统的当前时间、系统的安全级别及IP地址；

所述的第一步中的敏感属性信息的敏感度用Sens表示，取值范围为Sens∈[0,1]，值越高，则该属性对自身越重要，主体在发送访问请求时，提交敏感属性的可能性就较低，若需提交敏感属性后才能决策主体的访问权限，则将属性敏感度值与资源的信任度值加以比较，决定是否提交该敏感属性。

2.根据权利要求1所述的一种基于信任度的跨域安全访问控制方法，其特征在于：所述第二步中的属性证书及用户证书，属性证书存放的是持有者的属性集和一些相关信息，用户证书存放的是用户名、序列号、颁发者、有效起止日期，用户发送访问请求时，若只提交属性证书，实现匿名访问，若提交属性证书及用户证书，实现透明访问。

3.根据权利要求1所述的一种基于信任度的跨域安全访问控制方法，其特征在于：所述的第四步及第七步中的信任度计算包括域内信任度计算及域外信任度计算，其中计算公式为：

域内信任度：

其中i表示访问次数；D_j(j＝1,2,3，……)表示某个域；T_A(u_A)ⁱ表示用户u_A第i次访问后，域A对用户u_A的信任度；表示用户u_A访问域D_j资源后，域D_j对用户u_A的评价；T(A→D_j)表示域A对域D_j的信任度；F(c,t_n-t_n-1)为时间衰减度函数，表示在上下文环境c下，用户任意两次访问在

t_n与t_n-1的时间范围内的衰减率；

其中公式(1)中F(c,t_n-t_n-1)满足：

其中R(c,A,B,...)为衰减速率；

域外信任度：

其中，m表示域的个数；C_B(u_A)ⁱ表示用户u_A访问域D_j资源后，域D_j资源对用户u_A的评价与域B对域D_j信任度之间的乘积；

同理，可以计算出资源在域内域外的信任度，将上述公式(1)和(3)中的u_A替换为资源R_A,即可分别计算出资源R_A在域内的信任度以及域外的信任度。

4.根据权利要求1所述的一种基于信任度的跨域安全访问控制方法，其特征在于：所述的第四步中，当属性检索部件ASC检索的属性信息包含多个第一步的敏感属性信息时，则将多个敏感属性信息同时附加到访问请求AAR中。