[发明专利]网络结构中基于证书的访问控制系统及访问方法

说明书

本发明公开了网络结构中基于证书的访问控制系统及访问方法，包括：起点、终点和节点网络；起点为访问请求的发起节点，终点为被访问节点，节点网络为多个节点通过待授权列表相连接形成的网络状的拓扑结构；起点向终点发起访问请求，终点生成待授权证书并发送至起点；证书进入节点网络进行授权流程，起点使用授权的证书访问终点；本发明将主客体都视为节点并形成节点网络，通过证书传递、间接访问规则等授权模式并使它们根据规定的逻辑表达式共同作用于访问控制的决策；使节点们能更自主、动态地管理权限而不依赖或是影响整个系统；同时，授权决策采用节点网络的拓扑结构，使模型在面对复杂信息传播时也能充分考虑到每一个节点的隐私。

技术领域

本发明涉及信息安全技术领域，尤其涉及网络结构中基于证书的访问控制系统及访问方法。

背景技术

经典的访问控制系统是由主体，客体以及许可三元组来表示访问参与者之间的行为关系。访问控制领域有三种经典的访问控制系统：自主访问控制系统(DAC，Discretionary Access Control)、强制访问控制系统(MAC，Mandatory Access Control)以及普及率较高的基于角色的访问控制(RBAC,Role-Based Access Control)。它们有着各自的适用场景和优缺点。在过去的安全体系中，这种三元组的表现形式确实能很好地表达访问授权的情景。但由于互联网在更多类型设备上的普及以及物联网的发展，网络关系逐渐向着离散化、个体化发展，比如时下各类社交软件以及在其基础上衍生的各类互联网产品，主体和客体不再有明显界限，而更像是以一种网络化的结构呈现。同时网络信息的分布式、P2P的传播模式日益增多，需要一种具有良好适应性、兼容性及可扩展性的新型访问控制系统。

国内外的一些学者也已经在社交网络中的访问控制上提出了统一主体对主体以及主体对客体访问控制的想法，访问控制的研究重心已经在向动态化、自主化发展，学者们想要找到可以适用于网络结构的个体间的访问控制。但是他们的模型仍然受到传统访问控制系统的影响，比如在讨论U2U(User to User)以及U2R(User to Resource)如何处理的时候仍将他们区别成主客体对待；在用逻辑语言做出访问决策时仍然偏向于静态或是1对1的方式，而在处理含有路径的访问时，仅仅使用遍历的方式寻找节点，容易产生安全问题。或是仅考虑到了传播属性的影响，却局限于模仿基于属性的访问控制，将复杂的网络传播环境归纳于多个静态属性。

为了适应多样化、复杂化的网络应用场景，国内外的学者针对传统模型的某些不足提出了一些新的访问控制系统，它们或是在经典模型之上进行了相应的优化，或是针对互联网的部分特性提出了更适合的访问控制系统，本发明主要关注的是近年来国内外学者们研究适用于分布式网络或是有复杂传播关系网络的一些访问控制系统的研究：

大数据/网络中的访问控制特性分析

李昊等基于大数据及其应用的新特点,分析归纳出5个大数据访问控制迫切需要解决的问题：授权管理问题、细粒度访问控制问题、访问控制策略描述问题、个人隐私保护问题，以及访问控制在分布式架构中的实施问题；提炼了适应大数据环境的访问控制系统的特点：判定依据多元化、判定结果模糊(或不确定)化、多种访问控制技术融合化。

陈垚坤等简单地分析大数据的特点及体系架构，得出大数据环境下访问控制应满足的原则，即自主、动态、细粒度、跨域授权。通过对比分析访问控制系统DAC、MAC、RBAC及ABAC在大数据环境下适用性，可以看出在大数据以及时下的开放网络之中，自主动态的授权才是更受欢迎的访问控制模。

针对现有网络环境提出的新型访问控制系统

刘莎、谭良认为Hadoop云平台中的访问控制系统具有明显的缺点，即仅仅在授权时考虑了用户身份的真实性，没有考虑用户后期行为的可信性，而且权限一经授予就不再监管。提出一种适用于Hadoop云平台的基于信任的LT模型，为每个用户设定信任值，通过用户在集群中的行为记录实时地更新用户信任值，通过这种方式满足了开放网络中动态性访问控制的需求。