[发明专利]一种基于属性的访问控制方法及系统

摘要

本发明公开了一种基于属性的访问控制方法及系统，其中，方法的实现包括主体属性信息和具体主体的授予与撤销，环境属性信息的收集，策略的创建，策略的实施，运行态属性获得和这些部分统一的数据请求应答方式，通过对主客体属性信息和环境属性信息的控制来实现访问控制，可以解决传统访问控制中安全性差，权限管理难度大，不易扩展等一系列难题，从而实现高效的访问控制。

主权项

1.一种基于属性的访问控制方法，其特征在于，包括：(1)数据提供方判断待访问用户是否属于已经认证了的用户，若不是，则将待访问用户的访问请求重定向到服务提供方；(2)服务提供方将重定向的访问请求解释成认证请求和获取属性信息的请求，并将所述认证请求和获取属性信息的请求重定向到身份提供方；(3)身份提供方进行初步认证，若认证成功，则获取主体属性信息；(4)身份提供方将待访问用户的认证请求重定向到属性权威进行进一步的认证；(5)属性权威在接收到进一步的认证请求后，产生一个预警值，并判断所述预警值是否超过预警阈值，若超过，则由身份提供方进行辅助认证，并执行步骤(6)，若没有超过，则直接进入步骤(6)；(6)若进一步的认证成功，则向身份提供方返回进一步认证成功指令，由身份提供方查询环境属性日志获取环境属性信息；(7)身份提供方产生安全断言标记语言SAML指令，并将所述SAML指令重定向到服务提供方，其中，所述SAML指令中包含主体属性信息和环境属性信息；(8)服务提供方在接收到所述SAML指令后，向数据提供方发送应答指令，由数据提供方给待访问用户的浏览器发送一个认证cookie和待访问用户的浏览器之间建立会话，其中，所述应答指令中包含主体属性信息和环境属性信息；(9)策略实施点捕获认证了的待访问用户的访问请求，收集存储在标准声明文件中的主体属性信息、环境属性信息和数据提供方的客体属性信息，然后向策略决策器发送待访问用户的访问请求；(10)策略决策器判断策略实施点提供的主体属性信息、环境属性信息以及客体属性信息是否能够做出访问判决决定，若是，则执行步骤(12)，若否，则执行步骤(11)；(11)由运行态属性获取插件进行辅助性的属性信息获取请求，并执行步骤(12)；(12)根据从策略管理中心产生的策略来决定是允许还是拒绝待访问用户的访问请求；(13)策略决策器将访问判决结果返回给策略实施点，由策略实施点执行访问判决结果；步骤(11)中具体包括以下子步骤：(11‑1)运行态属性获取插件获取进行访问判决决定需要的属性名，然后在本地缓存中查找所述属性名在预设时间内是否被请求过，若是，则执行步骤(11‑2)，否则，执行步骤(11‑3)；(11‑2)将所述属性名对应的属性值返回给策略决策器；(11‑3)由运行态属性获取插件向协议中间方发送请求，获取所述属性名对应的属性值；(11‑4)协议中间方获取所述属性名后，向服务提供方发送查询请求；(11‑5)服务提供方在接收到协议中间方发送的查询请求后，通过属性查询插件向及时缓存发出查询请求，以确认及时缓存中是否存在所述属性名对应的属性值，若不存在，则执行步骤(11‑6)，否则，服务提供方获取属性查询插件从及时缓存中取得的属性值，并执行步骤(11‑9)；(11‑6)属性查询插件将所述属性名发送给服务提供方进行属性值获取请求；(11‑7)服务提供方在接收到属性查询插件发送的属性值获取请求后，向身份提供方发送属性值查询请求；(11‑8)身份提供方响应服务提供方发送的属性值查询请求，向服务提供方发送查询到的属性值；(11‑9)服务提供方验证属性值的有效性，并在验证通过后，执行步骤(11‑10)；(11‑10)服务提供方向协议中间方发送属性值响应指令，所述属性值响应指令中包括获取到的有效的属性值；(11‑11)协议中间方把收到的属性值发送给运行态属性获取插件，由运行态属性获取插件将属性值发送给策略决策器。