[发明专利]基于属性的访问控制模型及其跨域访问方法

权利要求书

1.一种基于属性的访问控制模型，包括来接入到Inter网上的第一管理域(1)和第二管理域(2)，其中第一管理域(1)设置有第一访问控制服务器(1a)，该第一访问控制服务器(1a)连接有至少一台第一应用服务器(1b)，其中第二管理域(2)设置有第二访问控制服务器(2a)，该第二访问控制服务器(2a)连接有至少一台第二应用服务器(2b)，其特征在于：还包括有证书服务器(3)和属性管理服务器(4)；

其中证书服务器(3)用于：

I、通过给第一管理域(1)和第二管理域(2)中第一访问控制服务器(1a)和第二访问控制服务器(2a)颁发服务器证书，建立第一管理域(1)和第二管理域(2)之间的信任链，保证第一管理域(1)和第二管理域(2)之间的信任关系；

II、给用户颁发用户证书，用户证书包含的内容有用户名、序列号、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息；

其中属性管理服务器(4)用于：

I、负责建立统一的属性定义库，统一访问控制规则中的语义问题；

II、负责建立统一的属性定义库，用来统一访问控制服务器中的访问控制规则具有相同的语义；

属性包括：

I、用户的基本属性：姓名、年龄、职称、角色、职务、当前费用、积分；

II、资源的基本属性：资源名称、资源类型、所需费用；

III、操作的基本属性：下载、查看、删除、上传、修改；

IV、上下文对象的基本属性：服务器端的当前CPU利用率、访问用户数量，客户端的IP地址、访问类型；

所述第一访问控制服务器(1a)和第二访问控制服务器(2a)之间由所述证书服务器(3)颁发的服务器证书保证相互之间的信任链关系；

所述第一访问控制服务器(1a)和第二访问控制服务器(2a)用于：

I、基于统一语义的属性来定义访问控制规则；

II、给用户颁发属性证书并签名。

2.根据权利要求1所述的基于属性的访问控制模型，其特征在于：所述用户证书采用X.509标准，用户证书的内容有：用户名、用户ID(序列号)、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息；

用户证书是基于用户或ID的身份鉴别，用户证书相当于网络环境下的一种身份证，它通过将某用户的身份与其公钥相绑定，并由证书服务器(3)进行签名，以向公钥的使用者证明公钥的合法性和权威性。

3.根据权利要求1所述的基于属性的访问控制模型，其特征在于：所述属性证书为一个用户的所有<属性名，属性值>这样的属性值对的集合，其基本的结构为：属性ID1，属性值1；属性ID2，属性值2；…，属性名n，属性值n；

属性证书中存储了用户的具体属性值，是具有签名机制保证其真实性的数据结构或文件。

4.根据权利要求2或3所述的基于属性的访问控制模型，其特征在于：用户或者只使用属性证书实现匿名访问第一访问控制服务器(1a)和第二访问控制服务器(2a)；

或者同时使用用户证书和属性证书实现透明访问第一访问控制服务器(1a)和第二访问控制服务器(2a)。

5.根据权利要求2或3所述的一种基于属性的访问控制模型，其特征在于：所述属性证书应用于单一管理域和跨管理域；

在单一管理域和跨管理域应用中，用户通过提交用户证书和属性证书来简化登录操作，由所述第一访问控制服务器(1a)或第二访问控制服务器(2a)中的访问控制策略计算引擎来判断用户的合法性以及查询用户的操作权限。