[发明专利]基于属性的访问控制模型及其跨域访问方法

说明书

技术领域

本发明涉及一种在开放的网络环境下基于属性的通用访问控制技术，尤其涉及一种基于属性的访问控制模型及其跨域访问方法。

背景技术

访问控制系统决定了在网络环境中哪些用户能够访问系统，访问系统中的哪些资源以及对这些资源具备何种操作。开放的网络环境中的跨域访问的核心问题是：访问控制系统如何识别来自其它应用系统中的用户，然后根据系统内的访问控制策略来判断用户的操作是否合法。

在基于属性的访问控制提出以前，对访问控制方法的研究主要集中在自主访问控制、强制访问控制以及基于角色的访问控制，其它类型访问控制方法如基于任务或工作流的访问控制、基于身份的访问控制不具有代表性，在此不予讨论。

传统的访问控制中，自主访问控制是一种比较弱的访问控制策略，它有着致命的弱点，即访问权的授予是可以传递的。其后果是一旦访问权被传递出去将难以控制，访问权的管理是相当困难的，这会带来严重的安全问题。再者，自主访问控制不保护受保护的客体产生的副本，即一个用户不能访问某一客体，但能够访问它的拷贝，这更增加了管理的难度。访问许可的转移使得客体的所有者最终都不能控制对该客体的所有访问许可并且容易被非法用户绕过而获得访问。

总之，自主访问控制的安全级别较低，加之需要维护的主、客体数目的开销较大，而且对于分布式网络系统不利于实现统一的全局访问控制，不满足大型网络系统的应用需要。

强制访问控制通过增加不能回避的访问权限虽能够防止在自主访问控制模型中存在的访问权的传递问题，但是降低了系统的灵活性。此外，它利用上读/下写来保证数据的完整性，利用下读/上写来保证数据的保密性，虽然增强了信息的机密性，但不能有效实施完整性控制，而且实现起来工作量较大，由于过分强调保密性，在对系统的连续工作能力和授权的灵活管理方面也考虑不足。目前主要用于保密性要求较高的军事方面，难以支持当前对信息的完整性较高的互联网系统。

基于角色的访问控制模型(RBAC)及其扩展模型作为对以上传统访问控制方法的代替，与前述的传统访问控制方法相比，通过引入角色在用户和权限之间进行解耦，实现了用户和权限的逻辑分离，使得权限的管理更为灵活和容易维护。突出的优点使得系统管理员能够根据部门、企业安全政策的不同划分不同的角色，执行特定的任务，因此得到了广泛的应用。

但是，RBAC模型通常是为用户分配固定的角色，难以根据用户属性变化而更改的动态授权模式。特别是随着系统中用户自主性的增强和数目的增长，这种做法会使认证授权中心成为瓶颈，可扩展性差。

RBAC模型的另一不利之处是，随着当前网络资源应用域范围的扩大，不同应用域之间的交互以及应用域内不同客户端和服务器端的交互愈加频繁，现有的基于集中管理模式的RBAC模型已不能适应这种环境。

为了解决RBAC模型日益凸现的问题，同时要实现跨域的安全访问控制和资源共享，需要在RBAC的基础上扩展，建立基于属性的访问控制模型(ABAC)，实现面向开放网络环境且支持动态授权机制和跨管理域的访问控制系统。

发明内容

本发明提供了一种基于属性的访问控制模型及其跨域访问方法，该模型将用户的角色和管理域都视为用户的某个属性，因此能够兼容现有的RBAC模型，同时又能有效解决RBAC模型中关于复杂角色条件下用户-角色-权限赋值的效率问题。同时可以在开放网络环境中的匿名用户提供了跨域访问控制的机制。

为达到上述目的，本发明所述的一种基于属性的访问控制模型，为简化描述，以两个管理域，第一管理域和第二管理域为例说明。模型包括来接入到Inter网上的第一管理域和第二管理域，其中第一管理域设置有第一访问控制服务器，该第一访问控制服务器连接有至少一台第一应用服务器，其中第二管理域设置有第二访问控制服务器，该第二访问控制服务器连接有至少一台第二应用服务器，其关键在于：还包括有证书服务器和属性管理服务器；

其中证书服务器用于：

I、通过给第一管理域和第二管理域中第一访问控制服务器和第二访问控制服务器颁发服务器证书，建立第一管理域和第二管理域之间的信任链，保证第一管理域和第二管理域之间的信任关系；

II、给用户颁发用户证书，用户证书包含的内容有用户名、序列号、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息；

其中属性管理服务器用于：

I、负责建立统一的属性定义库，统一访问控制规则中的语义问题；

II、负责建立统一的属性定义库，用来统一访问控制服务器中的访问控制规则具有相同的语义；

属性包括：