[发明专利]一种跨域匿名资源共享平台及其实现方法

说明书

本发明公开了一种跨域匿名资源共享平台及其实现方法。所述平台包括了匿名身份认证模块、资源上传模块、访问控制模块。本发明利用匿名身份认证模块实现对用户的匿名身份认证，通过访问控制等方法实现对用户的授权管理。本发明首先通过对属性证书结构的分析，实现在保护用户身份隐私的基础上对用户进行匿名身份认证并构建用户属性库。在身份认证的基础上，由资源上传模块实现所上传的资源的访问策略制定，访问控制模块依据各个实体属性和策略来判断访问者是否具有访问权限，保证资源的安全，最终实现对用户的匿名跨域授权管理，以及实现有细粒度的资源共享方式，同时兼具高效、动态性等。

技术领域

本发明涉及信息安全中基于PKI/PMI的匿名身份认证，基于XACML的访问控制技术，以及匿名的跨域授权方法。

背景技术

随着互联网技术的日益发展，网络上给我们提供了海量的信息资源，各种应用系统层出不穷，不同应用系统之间的信息资源共享越来越频繁。但是不同系统的构建方式以及权限管理方式往往差别很大，具有相当的封闭性，这就为不同系统之间的信息共享带来了巨大的不便。比如一些组织机构会有很多独立的子系统，各个子系统都有各自的权限管理方式，往往不能相互访问获取信息，而成为了“信息孤岛”。此外，海量的信息资源共享也带来了严峻的信息安全问题。一方面，信息资源受到的攻击越来越多，越来越多的信息资源被不相干人等获取，谋取私利，造成资源内容的安全性隐患。另一方面，在我们获取和共享资源的过程中，往往会要求验证我们的身份信息，我们在网络上泄露的个人隐私越来越多，会给自身安全性带来威胁，给个人的隐私带来很大安全隐患。

多域网络环境中，实现不同应用域的安全互操作的关键就是跨域的匿名身份认证和授权问题。现流行的匿名认证方案多是采用群签名忙签名等技术，其针对性较强的其计算太过繁琐复杂，而PKI/PMI体系是用于提供数字证书的相关安全服务的，PKI/PMI标准已经被广泛应用，基于PKI/PMI体系的匿名身份认证易于融合，移植性好。对于授权管理，访问控制概念的出现为解决网络信息安全中存在的资源安全隐患提供了很好的解决思路。传统的基于角色的访问控制(RBAC)在如今开放式的环境下，授权依据显得过于单一。基于属性的访问控制(ABAC)技术应运而生。基本的ABAC一般包括主体属性，客体属性、操作属性和环境属性。其中，以可扩展访问控制标记语言实现的基于属性的授权框架，根据用户，资源，环境以及操作的属性，结合访问控制策略来判断是否对访问者授权。ABAC随着实体属性的变化，可以动态的及时更新访问控制策略，相对于RBAC来说，它更加具有细粒度，以及更加的灵活。

此外，考虑到用户的属性需要从属性证书获取，属性证书虽然本身不含有公钥信息，但是往往会通过其持有者(holder)字段的信息来跟公钥信息绑定，其中属性证书holder字段可以有3种不同的语法选项，分别是baseCertificateID(公钥证书的发布者和序列号)，entityName(公钥证书的主体名)，objectDigestInfo(用于认证证书拥有者的信息)。baseCertificateID和entityName选项都跟公钥证书有关联，从而会暴露自己的身份信息，所以为了保护好自己的身份信息，采用objectDigestInfo选项，来认证属性证书拥有者的真实性。

发明内容

本发明目的是为了在保证用户身份信息安全的基础上，实现跨域匿名资源共享。本发明将基于PKI/PMI的匿名认证和符合XACML规范的基于属性的访问控制方法相结合，能够在保护用户身份隐私的基础上，实现跨域匿名认证身份以及跨域授权，从而达到跨域匿名资源共享的目的。

本发明提供了一种跨域匿名资源共享平台，包括匿名身份认证模块、资源上传模块、访问控制模块；

匿名身份认证模块：包括属性统一定义机构、属性权威、服务提供方和用户；