[发明专利]一种跨域匿名资源共享平台及其实现方法

摘要

本发明公开了一种跨域匿名资源共享平台及其实现方法。所述平台包括了匿名身份认证模块、资源上传模块、访问控制模块。本发明利用匿名身份认证模块实现对用户的匿名身份认证，通过访问控制等方法实现对用户的授权管理。本发明首先通过对属性证书结构的分析，实现在保护用户身份隐私的基础上对用户进行匿名身份认证并构建用户属性库。在身份认证的基础上，由资源上传模块实现所上传的资源的访问策略制定，访问控制模块依据各个实体属性和策略来判断访问者是否具有访问权限，保证资源的安全，最终实现对用户的匿名跨域授权管理，以及实现有细粒度的资源共享方式，同时兼具高效、动态性等。

主权项

一种跨域匿名资源共享平台，其特征在于，包括匿名身份认证模块、资源上传模块、访问控制模块；匿名身份认证模块：包括属性统一定义机构、属性权威、服务提供方和用户；属性统一定义机构：该机构用以保证属性权威的可信任。一是负责为每个应用域的属性权威生成公钥证书并管理公钥证书库。二是建立一个全局的属性定义库，属性定义库是数据库，包括了各应用域中属性权威的属性信息库，属性信息库包含了该属性权威可用的属性和属性值空间。属性权威：向属性统一定义机构申请公钥证书以及需要的属性信息，从属性信息库中查询属性并为用户颁发及管理属性证书，并提供证书相关信息的查询功能。服务提供方：接收用户发起的身份认证请求，负责验证用户提交属性证书的有效性，匿名验证用户身份的合法性。用户：向域内属性权威申请属性证书，发起匿名身份认证请求。资源上传模块：系统管理员可以制定策略模板，信息上传者可以制定策略并上传资源。访问控制模块：包括策略实施点、策略决策点和策略存储点；策略实施点，接收本地授权请求，并重新创建XACML格式的请求，发送给策略决策点，若策略决策点返回的决策信息为拒绝，则拒绝访问者的请求，若为允许，则返回请求的资源。策略决策点，接收策略实施点的XACML请求，从属性库检索需要的属性，从策略存储点检索跟请求匹配的策略，根据策略和访问请求中的各实体属性，决定是否允许访问请求，将决策结果返回给策略实施点。其中，属性库是指存储用户属性的数据库。策略存储点，用于存储本域的访问策略。