CN106992988A

CN106992988A - 一种跨域匿名资源共享平台及其实现方法

Info

Publication number: CN106992988A
Application number: CN201710328221.5A
Authority: CN
Inventors: 刘君强; 徐剑锋
Original assignee: Zhejiang Gongshang University
Current assignee: Zhejiang Gongshang University
Priority date: 2017-05-11
Filing date: 2017-05-11
Publication date: 2017-07-28
Anticipated expiration: 2037-05-11
Also published as: CN106992988B

Abstract

本发明公开了一种跨域匿名资源共享平台及其实现方法。所述平台包括了匿名身份认证模块、资源上传模块、访问控制模块。本发明利用匿名身份认证模块实现对用户的匿名身份认证，通过访问控制等方法实现对用户的授权管理。本发明首先通过对属性证书结构的分析，实现在保护用户身份隐私的基础上对用户进行匿名身份认证并构建用户属性库。在身份认证的基础上，由资源上传模块实现所上传的资源的访问策略制定，访问控制模块依据各个实体属性和策略来判断访问者是否具有访问权限，保证资源的安全，最终实现对用户的匿名跨域授权管理，以及实现有细粒度的资源共享方式，同时兼具高效、动态性等。

Description

一种跨域匿名资源共享平台及其实现方法

技术领域

本发明涉及信息安全中基于PKI/PMI的匿名身份认证，基于XACML的访问控制技术，以及匿名的跨域授权方法。

背景技术

随着互联网技术的日益发展，网络上给我们提供了海量的信息资源，各种应用系统层出不穷，不同应用系统之间的信息资源共享越来越频繁。但是不同系统的构建方式以及权限管理方式往往差别很大，具有相当的封闭性，这就为不同系统之间的信息共享带来了巨大的不便。比如一些组织机构会有很多独立的子系统，各个子系统都有各自的权限管理方式，往往不能相互访问获取信息，而成为了“信息孤岛”。此外，海量的信息资源共享也带来了严峻的信息安全问题。一方面，信息资源受到的攻击越来越多，越来越多的信息资源被不相干人等获取，谋取私利，造成资源内容的安全性隐患。另一方面，在我们获取和共享资源的过程中，往往会要求验证我们的身份信息，我们在网络上泄露的个人隐私越来越多，会给自身安全性带来威胁，给个人的隐私带来很大安全隐患。

多域网络环境中，实现不同应用域的安全互操作的关键就是跨域的匿名身份认证和授权问题。现流行的匿名认证方案多是采用群签名忙签名等技术，其针对性较强的其计算太过繁琐复杂，而PKI/PMI体系是用于提供数字证书的相关安全服务的，PKI/PMI标准已经被广泛应用，基于PKI/PMI体系的匿名身份认证易于融合，移植性好。对于授权管理，访问控制概念的出现为解决网络信息安全中存在的资源安全隐患提供了很好的解决思路。传统的基于角色的访问控制(RBAC)在如今开放式的环境下，授权依据显得过于单一。基于属性的访问控制(ABAC)技术应运而生。基本的ABAC一般包括主体属性，客体属性、操作属性和环境属性。其中，以可扩展访问控制标记语言实现的基于属性的授权框架，根据用户，资源，环境以及操作的属性，结合访问控制策略来判断是否对访问者授权。ABAC随着实体属性的变化，可以动态的及时更新访问控制策略，相对于RBAC来说，它更加具有细粒度，以及更加的灵活。

此外，考虑到用户的属性需要从属性证书获取，属性证书虽然本身不含有公钥信息，但是往往会通过其持有者(holder)字段的信息来跟公钥信息绑定，其中属性证书holder字段可以有3种不同的语法选项，分别是baseCertificateID(公钥证书的发布者和序列号)，entityName(公钥证书的主体名)，objectDigestInfo(用于认证证书拥有者的信息)。baseCertificateID和entityName选项都跟公钥证书有关联，从而会暴露自己的身份信息，所以为了保护好自己的身份信息，采用objectDigestInfo选项，来认证属性证书拥有者的真实性。

发明内容

本发明目的是为了在保证用户身份信息安全的基础上，实现跨域匿名资源共享。本发明将基于PKI/PMI的匿名认证和符合XACML规范的基于属性的访问控制方法相结合，能够在保护用户身份隐私的基础上，实现跨域匿名认证身份以及跨域授权，从而达到跨域匿名资源共享的目的。

本发明提供了一种跨域匿名资源共享平台，包括匿名身份认证模块、资源上传模块、访问控制模块；

匿名身份认证模块：包括属性统一定义机构、属性权威、服务提供方和用户；

属性统一定义机构：该机构用以保证属性权威的可信任。一是负责为每个应用域的属性权威生成公钥证书并管理公钥证书库。二是建立一个全局的属性定义库，属性定义库是数据库，包括了各应用域中属性权威的属性信息库，属性信息库包含了该属性权威可用的属性和属性值空间。

属性权威：向属性统一定义机构申请公钥证书以及需要的属性信息，从属性信息库中查询属性并为用户颁发及管理属性证书，并提供证书相关信息的查询功能。

服务提供方：接收用户发起的身份认证请求，负责验证用户提交属性证书的有效性，匿名验证用户身份的合法性。

用户：向域内属性权威申请属性证书，发起匿名身份认证请求。

资源上传模块：系统管理员可以制定策略模板，信息上传者可以制定策略并上传资源。

访问控制模块：包括策略实施点、策略决策点和策略存储点；

策略实施点，接收本地授权请求，并重新创建XACML格式的请求，发送给策略决策点，若策略决策点返回的决策信息为拒绝，则拒绝访问者的请求，若为允许，则返回请求的资源。

策略决策点，接收策略实施点的XACML请求，从属性库检索需要的属性，从策略存储点检索跟请求匹配的策略，根据策略和访问请求中的各实体属性，决定是否允许访问请求，将决策结果返回给策略实施点。其中，属性库是指存储用户属性的数据库。

策略存储点，用于存储本域的访问策略。

一种跨域匿名资源共享方法，该方法包括以下步骤：

(1)匿名身份认证，完成属性注册。各应用域的属性权威向属性统一定义机构申请公钥证书，以及申请所需的属性信息。属性统一定义机构审核属性权威的资料并生成公钥证书，根据属性权威所提交的公钥证书，建立和管理属性信息库。属性权威根据用户公钥证书，查询属性信息库中的可用属性给用户颁发属性证书。用户提交属性证书给服务提供方，服务提供方匿名验证之后，在本域注册用户属性。

(2)上传资源制定策略，信息资源上传者可以通过两种方法为所上传资源制定策略，一是先从策略模板库中选择一个策略模板，再选择相应的属性值，完成策略制定。二是从属性统一定机构的属性定义库选择系列属性限定，完成策略制定。

(3)请求访问资源，用户对某个应用域的资源发起访问请求。访问控制模块中，策略实施点接收到访问请求，将请求转化成以XACML描述的标准请求，发送给策略决策点。策略决策点接收策略实施点的标准请求，从本域的策略存储点检索所需的合适策略，根据策略和访问请求中各实体属性，决定是否允许请求。将决策结果返回给策略实施点。策略实施点根据策略决策点返回的决策结果，做出相应的应答返回给访问者，返回所请求资源或者拒绝该请求。

进一步地，所述步骤1中，所述用户公钥证书采用X.509标准，公钥证书包含版本信息，序列号，签名算法，发行机构名称，有效期，持有者名称，持有者公钥，签名信息。用户公钥证书相当于用户在网络中的身份证，公钥证书最主要功能是实现了用户身份与用户公钥的绑定，而这种绑定的真实性是通过证书发行机构的签名来保证的。

属性证书采用X.509标准，属性证书包含版本信息，序列号，签名算法，发行机构名称，有效期，持有者名称，属性信息，签名信息。其中，属性信息由属性名和属性值组成。属性证书主要实现了用户和属性的绑定，一般通过证书上的持有者名称(holder)字段来跟公钥证书进行绑定，这里采用holder字段的objectDigestInfo选项来保证用户的匿名性。

属性统一定义机构包含的属性定义库是一个数据库服务器，包括了各个域的属性定义库，同时每个域的属性定义库又包含具体AA的属性信息库。AA的属性信息库包含了可用的属性名和属性值空间，属性值空间是指属性值的取值范围。AA给用户生成属性证书时，需要从属性信息库查找合适的属性。

进一步地，所述步骤1中，匿名身份认证过程涉及属性统一定义机构(AUD)、属性权威(AA)、用户(User)、服务提供方(SP)，其中，E_A(M)表示用A的公钥加密M，D_A(M)表示用A的私钥解密M，Hash(M)表示计算M的哈希值，Sign_A(M)表示用A的私钥对M签名，AC.Holder为属性证书的holder字段，PKC为公钥证书，AC为属性证书，匿名认证过程包括：

(1.1)AA审核用户PKC的有效性和完整性。验证通过之后，AA为该User生成AC发布于属性证书库，同时AA随机生成一对公私钥(SK,PK)和一个随机数KEY，可以将PK、AC序列号等信息以web服务页面的形式供开放查询。

(1.2)AA计算KEY的哈希值Hash(KEY)，置于AC的holder字段，AC.holder＝Hash(KEY)，AC的颁发者字段设置为AA的公钥(由AUD生成)，对SK用User的公钥加密后并签名Sign_AA(E_User(SK))，连同AC一起发送给User。

(1.3)User验证AA签名检查AC的正确性，并提取holder字段的Hash(KEY)。用自己的私钥解密得到SK，SK＝D_User(E_User(SK))，用SK对Hash(KEY)签名之后连同自己的AC一起发送给SP，向SP发起匿名认证请求。

(1.4)SP接收到AC后，首先根据AC的issuer字段的AA公钥向AUD发起查询请求，检查AUD的公钥证书库中是否存在AA公钥证书相关信息，如果存在则说明由该AA颁发的AC是可信任的。根据AA公钥证书查找到具体的AA相关信息以及属性证书库所在地址。用AA公钥验证签名判断AC的正确性，检查AC的有效日期。

(1.5)SP接收到SK签名的Hash(KEY)，并获取AC中holder字段的值Hash(KEY)，在该AA的属性证书库中根据AC序列号查询对应的PK。用PK验证SK的签名是否正确，如果正确说明User是AC和SK的拥有者，即User是合法用户，AC上的属性信息是经过认证的。

(1.6)SP根据匿名认证结果向用户返回验证结果信息，如果认证成功就在SP的属性库中注册用户的属性，否则返回User认证失败消息。

本发明有益效果如下：

(1)本发明在PKI/PMI技术的基础上，以属性证书作为属性的载体，设计一个跨域匿名身份认证系统，证明了方案的匿名性和安全性，从而实现在匿名的基础上认证用户身份。

(2)本发明利用XACML整合各个应用域的访问控制机制和策略描述方式，设计符合XACML规范的基于属性的访问控制方法来实现对用户的跨域授权管理，保护资源的安全，实现了不同应用域的资源共享。

(3)本发明将基于PKI/PMI的身份匿名认证和符合XACML规范的基于属性的访问控制方法相结合，实现匿名的跨域授权管理和资源共享。

附图说明

图1为平台整体结构图；

图2为匿名身份认证架构图；

图3为属性证书颁发图；

图4为用户合法性认证图；

图5为资源上传整体结构图；

图6为策略示意图；

图7为访问控制整体结构图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步的说明。

如图1所示，本发明一种跨域匿名资源共享平台包含三个模块，匿名身份认证模块，资源上传模块，访问控制模块。

为了更好的理解本实施例，选取一次资源共享事件。事件中，A是信息上传者，B、C是访问者。A是就业办的老师，属于应用域1，拥有属性{role：teacher}{department：Employment}，B为艺术学院老师，C为艺术学院院长，属于应用域2，B拥有的属性{role：teacher}{department：Art}，C拥有的属性{role：president}{department：Art}。

1.本发明所述的匿名身份认证架构如图2所示。各个应用域的属性权威AA向属性统一定义机构申请公钥证书，机构管理员在审核AA所提交的资料后，为该AA生成公钥证书，发布于公钥证书库，公钥证书库是一个数据库服务器，用于存放证书相关信息，并提供查询功能。AA向属性统一定义机构申请属性，AA提交自己的公钥证书向机构申请属性名和值空间，机构管理员在审核通过之后，为该AA建立相应的属性信息库和属性。其中，机构的属性定义库是一个数据服务器，包含了为每个AA建立的属性信息库。

2.匿名认证，完成属性注册。匿名认证过程包括属性证书颁发和用户合法性认证，下面以B的匿名认证举例。

属性证书颁发过程，如图3所示：

2.1.应用域2的AA审核B的PKC的有效性和完整性。验证通过之后，AA为B生成AC发布于属性证书库，同时AA随机生成一对公私钥(SK,PK)和一个随机数KEY，将PK和AC序列号相关联。

2.2.AA计算KEY的哈希值Hash(KEY)，置于AC的holder字段，AC.holder＝Hash(KEY)，AC的issuer字段设置为AA的公钥(由AUD生成)，对SK用B的公钥加密后并签名Sign_AA(E_B(SK))，连同AC一起发送给B。

2.3.B验证AA签名检查AC的正确性，并提取holder字段的Hash(KEY)。用自己的私钥解密得到SK，SK＝D_B(E_B(SK))，

用户合法性认证过程，如图4所示：

2.4.B用SK对holder字段的Hash(KEY)签名之后连同自己的AC一起发送给SP，向SP发起匿名认证请求。

2.5.SP接收到AC后，首先根据AC的issuer字段的AA公钥向AUD发起查询请求，检查AUD的公钥证书库中是否存在AA公钥证书相关信息，如果存在则说明由该AA颁发的AC是可信任的。根据AA公钥证书查找到具体的AA相关信息以及属性证书库所在地址。用AA公钥验证签名判断AC的正确性，检查AC的有效日期。

2.6.SP接收到SK签名的Hash(KEY)，获取AC中holder字段的值Hash(KEY)，在该AA的属性证书库中根据AC序列号查询对应的PK。用PK验证SK的签名是否正确，如果正确说明B是AC和SK的拥有者，即B是合法用户，AC上的属性信息是经过认证的。

2.7.SP根据匿名认证结果向用户B返回验证结果信息，如果认证成功就在SP的属性库中注册用户B的属性，否则返回B认证失败消息。

3.资源上传，本发明所述的资源上传整体结构如图5所示。

A在本域上传了外国语学院就业信息，制定了访问策略，各学院院长以及外国语学院老师能查看该就业信息。

系统将策略转化成标准策略形式，将策略存储在本域的策略存储点，将信息资源上传服务器。策略规则如图6所示。

4.请求访问数据，本发明所述的访问控制整体结构如图7所示。

用户B、C分别请求访问外国语学院的就业信息。访问控制模块中的策略实施点将授权请求转化成标准请求格式，发送给策略决策点。

策略决策点根据请求在策略存储点查找到该策略，根据属性信息做判断，允许C的访问，由于B的属性department：Art与规则中的约束department：ForeignLanguage不符，所以拒绝B的访问请求，将决策结果返回给策略实施点。由策略实施点做出相应的响应。

Claims

1.一种跨域匿名资源共享平台，其特征在于，包括匿名身份认证模块、资源上传模块、访问控制模块；

策略存储点，用于存储本域的访问策略。

2.一种跨域匿名资源共享方法，其特征在于，该方法包括以下步骤：

3.根据权利要求2所述的一种跨域匿名资源共享方法，其特征在于，所述步骤1中，所述用户公钥证书采用X.509标准，公钥证书包含版本信息，序列号，签名算法，发行机构名称，有效期，持有者名称，持有者公钥，签名信息。用户公钥证书相当于用户在网络中的身份证，公钥证书最主要功能是实现了用户身份与用户公钥的绑定，而这种绑定的真实性是通过证书发行机构的签名来保证的。

4.根据权利要求2所述的一种跨域匿名资源共享方法，其特征在于，所述步骤1中，匿名身份认证过程涉及属性统一定义机构(AUD)、属性权威(AA)、用户(User)、服务提供方(SP)，其中，E_A(M)表示用A的公钥加密M，D_A(M)表示用A的私钥解密M，Hash(M)表示计算M的哈希值，Sign_A(M)表示用A的私钥对M签名，AC.Holder为属性证书的holder字段，PKC为公钥证书，AC为属性证书，匿名认证过程包括：