一种跨域匿名资源共享平台及其实现方法技术

本发明专利技术公开了一种跨域匿名资源共享平台及其实现方法。所述平台包括了匿名身份认证模块、资源上传模块、访问控制模块。本发明专利技术利用匿名身份认证模块实现对用户的匿名身份认证，通过访问控制等方法实现对用户的授权管理。本发明专利技术首先通过对属性证书结构的分析，实现在保护用户身份隐私的基础上对用户进行匿名身份认证并构建用户属性库。在身份认证的基础上，由资源上传模块实现所上传的资源的访问策略制定，访问控制模块依据各个实体属性和策略来判断访问者是否具有访问权限，保证资源的安全，最终实现对用户的匿名跨域授权管理，以及实现有细粒度的资源共享方式，同时兼具高效、动态性等。

【技术实现步骤摘要】
一种跨域匿名资源共享平台及其实现方法
本专利技术涉及信息安全中基于PKI/PMI的匿名身份认证，基于XACML的访问控制技术，以及匿名的跨域授权方法。
技术介绍
随着互联网技术的日益发展，网络上给我们提供了海量的信息资源，各种应用系统层出不穷，不同应用系统之间的信息资源共享越来越频繁。但是不同系统的构建方式以及权限管理方式往往差别很大，具有相当的封闭性，这就为不同系统之间的信息共享带来了巨大的不便。比如一些组织机构会有很多独立的子系统，各个子系统都有各自的权限管理方式，往往不能相互访问获取信息，而成为了“信息孤岛”。此外，海量的信息资源共享也带来了严峻的信息安全问题。一方面，信息资源受到的攻击越来越多，越来越多的信息资源被不相干人等获取，谋取私利，造成资源内容的安全性隐患。另一方面，在我们获取和共享资源的过程中，往往会要求验证我们的身份信息，我们在网络上泄露的个人隐私越来越多，会给自身安全性带来威胁，给个人的隐私带来很大安全隐患。多域网络环境中，实现不同应用域的安全互操作的关键就是跨域的匿名身份认证和授权问题。现流行的匿名认证方案多是采用群签名忙签名等技术，其针对性较强的其计算太过繁本文档来自技高网...

【技术保护点】
一种跨域匿名资源共享平台，其特征在于，包括匿名身份认证模块、资源上传模块、访问控制模块；匿名身份认证模块：包括属性统一定义机构、属性权威、服务提供方和用户；属性统一定义机构：该机构用以保证属性权威的可信任。一是负责为每个应用域的属性权威生成公钥证书并管理公钥证书库。二是建立一个全局的属性定义库，属性定义库是数据库，包括了各应用域中属性权威的属性信息库，属性信息库包含了该属性权威可用的属性和属性值空间。属性权威：向属性统一定义机构申请公钥证书以及需要的属性信息，从属性信息库中查询属性并为用户颁发及管理属性证书，并提供证书相关信息的查询功能。服务提供方：接收用户发起的身份认证请求，负责验证用户提交...

【技术特征摘要】
1.一种跨域匿名资源共享平台，其特征在于，包括匿名身份认证模块、资源上传模块、访问控制模块；匿名身份认证模块：包括属性统一定义机构、属性权威、服务提供方和用户；属性统一定义机构：该机构用以保证属性权威的可信任。一是负责为每个应用域的属性权威生成公钥证书并管理公钥证书库。二是建立一个全局的属性定义库，属性定义库是数据库，包括了各应用域中属性权威的属性信息库，属性信息库包含了该属性权威可用的属性和属性值空间。属性权威：向属性统一定义机构申请公钥证书以及需要的属性信息，从属性信息库中查询属性并为用户颁发及管理属性证书，并提供证书相关信息的查询功能。服务提供方：接收用户发起的身份认证请求，负责验证用户提交属性证书的有效性，匿名验证用户身份的合法性。用户：向域内属性权威申请属性证书，发起匿名身份认证请求。资源上传模块：系统管理员可以制定策略模板，信息上传者可以制定策略并上传资源。访问控制模块：包括策略实施点、策略决策点和策略存储点；策略实施点，接收本地授权请求，并重新创建XACML格式的请求，发送给策略决策点，若策略决策点返回的决策信息为拒绝，则拒绝访问者的请求，若为允许，则返回请求的资源。策略决策点，接收策略实施点的XACML请求，从属性库检索需要的属性，从策略存储点检索跟请求匹配的策略，根据策略和访问请求中的各实体属性，决定是否允许访问请求，将决策结果返回给策略实施点。其中，属性库是指存储用户属性的数据库。策略存储点，用于存储本域的访问策略。2.一种跨域匿名资源共享方法，其特征在于，该方法包括以下步骤：(1)匿名身份认证，完成属性注册。各应用域的属性权威向属性统一定义机构申请公钥证书，以及申请所需的属性信息。属性统一定义机构审核属性权威的资料并生成公钥证书，根据属性权威所提交的公钥证书，建立和管理属性信息库。属性权威根据用户公钥证书，查询属性信息库中的可用属性给用户颁发属性证书。用户提交属性证书给服务提供方，服务提供方匿名验证之后，在本域注册用户属性。(2)上传资源制定策略，信息资源上传者可以通过两种方法为所上传资源制定策略，一是先从策略模板库中选择一个策略模板，再选择相应的属性值，完成策略制定。二是从属性统一定机构的属性定义库选择系列属性限定，完成策略制定。(3)请求访问资源，用户对某个应用域的资源发起访问请求。访问控制模块中，策略实施点接收到访问请求，将请求转化成以XACML描述的标准请求，发送给策略决策点。策略决策点接收策略实施点的标准请求，从本域的策略存储点检索所需的合适策略，根据策略和访问请求中各实体属性，决定是否允许请求。将决策结果返回给策略实施点。策略实施点根据策略决策点返回的决策结果，做出相应的应答返回给访问者，返回所请求资源或者拒绝该请求。3.根据权利要求2所述的一种跨域匿名资源共享方法，其特征在于，所述步骤1中，所述用户公钥证书采用X.509标准，公钥证书包含版本信息，序列号，签名算法，发行机构名称，有效期，持有者名称，持有者公钥，签名信息。用户公钥证书相当于用户在网络中的身份证，公钥证书最主要功能是实现了...

【专利技术属性】
技术研发人员：刘君强，徐剑锋，
申请(专利权)人：浙江工商大学，
类型：发明
国别省市：浙江,33