[发明专利]基于属性的访问控制模型及其跨域访问方法

摘要

本发明公开了一种基于属性的访问控制模型及其跨域访问方法，基于属性的访问控制模型包括第一管理域和第二管理域，其特征在于：还包括证书服务器和属性管理服务器。系统的跨域访问方法包括、证书服务器分别给第一管理域和第一管理域颁发服务器证书；用户通过登录第一管理域，将属性证书下载至本地磁盘保存；用户向第二管理域提交属性证书；第二访问控制服务器确认属性证书；第二访问控制服务器提取属性值，判定该用户操作的合法性。其显著特点是：可以将用户的角色和管理域都视为用户的单一属性，能够有效解RBAC模型中关于复杂角色条件下用户-角色-权限赋值的效率问题。同时对于开放网络环境中的匿名用户也提供了相应的访问控制方法。

主权项

一种基于属性的访问控制模型，包括来接入到Inter网上的第一管理域(1)和第二管理域(2)，其中第一管理域(1)设置有第一访问控制服务器(1a)，该第一访问控制服务器(1a)连接有至少一台第一应用服务器(1b)，其中第二管理域(2)设置有第二访问控制服务器(2a)，该第二访问控制服务器(2a)连接有至少一台第二应用服务器(2b)，其特征在于：还包括有证书服务器(3)和属性管理服务器(4)；其中证书服务器(3)用于：I、通过给第一管理域(1)和第二管理域(2)中第一访问控制服务器(1a)和第二访问控制服务器(2a)颁发服务器证书，建立第一管理域(1)和第二管理域(2)之间的信任链，保证第一管理域(1)和第二管理域(2)之间的信任关系；II、给用户颁发用户证书，用户证书包含的内容有用户名、序列号、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息；其中属性管理服务器(4)用于：I、负责建立统一的属性定义库，统一访问控制规则中的语义问题；II、负责建立统一的属性定义库，用来统一访问控制服务器中的访问控制规则具有相同的语义；属性包括：I、用户的基本属性：姓名、年龄、职称、角色、职务、当前费用、积分；II、资源的基本属性：资源名称、资源类型、所需费用；III、操作的基本属性：下载、查看、删除、上传、修改；IV、上下文对象的基本属性：服务器端的当前CPU利用率、访问用户数量，客户端的IP地址、访问类型；所述第一访问控制服务器(1a)和第二访问控制服务器(2a)之间由所述证书服务器(3)颁发的服务器证书保证相互之间的信任链关系；所述第一访问控制服务器(1a)和第二访问控制服务器(2a)用于：I、基于统一语义的属性来定义访问控制规则；II、给用户颁发属性证书并签名。