一种基于属性的访问控制方法及系统技术方案
Attribute based access control method and system
The present invention discloses one attribute access control method and system, based on the method of implementation including granting and revocation of subject attribute information and a specific subject, environmental attribute information collection, strategy creation, the implementation of the strategy, operation state and the part of property to obtain a unified data request response mode, to realize access control through the control of the subject and object attribute and environment attribute information, can solve the problem of poor security in traditional access control, authority management is difficult, not easy to expand a series of problems, so as to achieve efficient access control.
【技术实现步骤摘要】
一种基于属性的访问控制方法及系统
本专利技术属于访问控制
,更具体地,涉及一种基于属性的访问控制方法及系统。
技术介绍
访问控制技术主要用于保护共享在大型系统上的数据,防止被未授权的非法用户访问。随着信息技术的发展,特别是互联网的高速发展,访问控制技术也得到了长足的发展。根据授权方式的不同可以将访问控制方式分为:自主访问控制(DiscretionaryAccessControl,DAC)、强制访问控制(MandatoryAccessControl,MAC)以及基于角色的访问控制(Role-BasedAccessControl,RBAC)。自主访问控制由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的,用户可以按自己的意愿,有选择地与其他用户共享他的文件。但是这种方法会导致严重的安全问题,权限传递问题,例如,A拥有资源R,A把访问权限传递给B,而B又把访问权限传递给C,这样C也有了资源R的访问权限,会导致数据的泄露;强制访问控制通过无法回避的访问限制来阻止直接或间接地非法入侵,强制访问的主体和客体都有一定的安全等级,通过主客体的安全等级来决定是否允许主体访问客体,虽然由于MAC方式的严格明确的等级划分以及权限管理严格而非常受军方的欢迎,但是该方式缺乏灵活性;基于角色的访问控制作为传统访问控制(如自主访问,强制访问)的有前景的代替而受到广泛的关注,在RBAC中,用户可以拥有多个不同的角色方便对用户权限的管理,其中,角色是用户和访问权限的桥梁,但是随着信息技术尤其是互联网技术的发展,很多企业...
【技术保护点】
一种基于属性的访问控制方法,其特征在于,包括:(1)数据提供方判断待访问用户是否属于已经认证了的用户,若不是,则将待访问用户的访问请求重定向到服务提供方;(2)服务提供方将重定向的访问请求解释成认证请求和获取属性信息的请求,并将所述认证请求和获取属性信息的请求重定向到身份提供方;(3)身份提供方进行初步认证,若认证成功,则获取主体属性信息;(4)身份提供方将待访问用户的认证请求重定向到属性权威进行进一步的认证;(5)属性权威在接收到进一步的认证请求后,产生一个预警值,并判断所述预警值是否超过预警阈值,若超过,则由身份提供方进行辅助认证,并执行步骤(6),若没有超过,则直接进入步骤(6);(6)若进一步的认证成功,则向身份提供方返回进一步认证成功指令,由身份提供方查询环境属性日志获取环境属性信息;(7)身份提供方产生安全断言标记语言SAML指令,并将所述SAML指令重定向到服务提供方,其中,所述SAML指令中包含主体属性信息和环境属性信息;(8)服务提供方在接收到所述SAML指令后,向数据提供方发送应答指令,由数据提供方给待访问用户的浏览器发送一个认证cookie和待访问用户的浏览器之间...
【技术特征摘要】
1.一种基于属性的访问控制方法,其特征在于,包括:(1)数据提供方判断待访问用户是否属于已经认证了的用户,若不是,则将待访问用户的访问请求重定向到服务提供方;(2)服务提供方将重定向的访问请求解释成认证请求和获取属性信息的请求,并将所述认证请求和获取属性信息的请求重定向到身份提供方;(3)身份提供方进行初步认证,若认证成功,则获取主体属性信息;(4)身份提供方将待访问用户的认证请求重定向到属性权威进行进一步的认证;(5)属性权威在接收到进一步的认证请求后,产生一个预警值,并判断所述预警值是否超过预警阈值,若超过,则由身份提供方进行辅助认证,并执行步骤(6),若没有超过,则直接进入步骤(6);(6)若进一步的认证成功,则向身份提供方返回进一步认证成功指令,由身份提供方查询环境属性日志获取环境属性信息;(7)身份提供方产生安全断言标记语言SAML指令,并将所述SAML指令重定向到服务提供方,其中,所述SAML指令中包含主体属性信息和环境属性信息;(8)服务提供方在接收到所述SAML指令后,向数据提供方发送应答指令,由数据提供方给待访问用户的浏览器发送一个认证cookie和待访问用户的浏览器之间建立会话,其中,所述应答指令中包含主体属性信息和环境属性信息;(9)策略实施点捕获认证了的待访问用户的访问请求,收集存储在标准申明文件中的主体属性信息、环境属性信息和数据提供方的客体属性信息,然后向策略决策器发送待访问用户的访问请求;(10)策略决策器判断策略实施点提供的主体属性信息、环境属性信息以及客体属性信息是否能够做出访问判决决定,若是,则执行步骤(12),若否,则执行步骤(11);(11)由运行态属性获取插件进行辅助性的属性信息获取请求,并执行步骤(12);(12)根据从策略管理中心产生的策略来决定是允许还是拒绝待访问用户的访问请求;(13)策略决策器将访问判决结果返回给策略实施点,由策略实施点执行访问判决结果。2.根据权利要求1所述的方法,其特征在于,在步骤(11)中具体包括以下子步骤:(11-1)运行态属性获取插件获取进行访问判决决定需要的属性名,然后在本地缓存中查找所述属性名在预设时间内是否被请求过,若是,则执行步骤(11-2),否则,执行步骤(11-3);(11-2)将所述属性名对应的属性值返回给策略决策器;(11-3)由运行态属性获取插件向协议中间方发送请求,获取所述属性名对应的属性值;(11-4)协议中间方获取所述属性名后,向服务提供方发送查询请求;(11-5)服务提供方在接收到协议中间方发送的查询请求后,通过属性查询插件向及时缓存发出查询请求,以确认及时缓存中是否存在所述属性名对应的属性值,若不存在,则执行步骤(11-6),否则,服务提供方获取属性查询插件从及时缓存中取得的属性值,并执行步骤(11-9);(11-6)属性查询插件将所述属性名发送给服务提供方进行属性值获取请求;(11-7)服务提供方在接收到属性查询插件发送的属性值获取请求后,向身份提供方发送属性值查询请求;(11-8)身份提供方响应服务提供方发送的属性值查询请求,向服务提供方发送查询到的属性值;(11-9)服务提供方验证属性值的有效性,并在验证通过后,执行步骤(11-10);(11-10)服务提供方向协议中间方发送属性值响应指令,所述属性值响应指令中包括获取到的有效的属性值;(11-11)协议中间方把收到的属性值发送给运行态属性获取插件,由运行态属性获取插件将属性值发送给策略决策器。3.一种基于属性的访问控制系统,其特征在于,包括:数据提供方、服务提供方、身份提供方、属性权威、环境属性日志、策略实施点、标准申明文件、策略决策器、运行态属性获取插件以及策略管理中心;所述数据提供方,用于判断待访问用户是否属于已经认证了...
【专利技术属性】
技术研发人员:路松峰,付四凯,慕少琼,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。