基于证书的访问控制系统和方法技术方案

本发明专利技术公开了一种基于证书的访问控制系统和方法，其中，访问控制系统中，制定访问规则模块用于资源拥有者针对所拥有的资源的可开放程度对资源使用者进行访问约束；建立委托方案模块用于资源拥有者与证书颁发机构针对证书的授权条件建立委托方案；申请访问资源模块用于资源使用者向资源拥有者请求访问资源，并向资源使用者返回访问结果；申请证书授权模块用于资源使用者向证书颁发机构申请证书，并向资源使用者返回证书申请结果。通过本发明专利技术的技术方案，解决了效率负担问题和复杂推理映射问题，实现了资源拥有者本身职责分离的同时也实现资源拥有者和证书颁发机构之间的访问隔离，减轻了资源拥有者的负担，简化了管理。

Access control system and method based on certificate

【技术实现步骤摘要】
基于证书的访问控制系统和方法
本专利技术涉及计算机安全
，尤其涉及一种基于证书的访问控制系统和一种基于证书的访问控制方法。
技术介绍
作为一种信息保护手段，访问控制是许多分布式应用程序的重要组成部分，已经提出了几种集中化和分布式的解决方案用于此类应用。证书特别适合于分布式系统，并以多种方式使用。例如，在网络环境中，伴随着电子支付在国内的迅猛发展，电子支付绑定功能阻止未经授权的访问者访问或者获取数据资源。在现实生活中，智能交通控制技术愈演愈烈，如果没有智能票务控制，许多人可能会出现逃票等情况，导致资源的不当使用。随着研究的不断进步，访问控制模型也变得越来越复杂，不能以简单的方式直接映射到现实，有些模型在实际生活中并没有得到很好的应用。有的基于证书的访问控制模型中资源拥有者不仅要对大量的、分布式的、未知身份的访问者做出快速、一致且安全的访问决策，而且还要承担颁发证书、帮助访问者搜索证书等职责，这使得资源拥有者负担重、效率低下。有的模型中将授权逐级委托、分级信任，这就造成了多节点、多路径、多策略，使得授权、约束、验证变得愈加困难的同时，对本身的管理也提出了更大的挑战。
技术实现思路
针对上述问题中的至少之一，本专利技术提供了一种基于证书的访问控制系统和方法，通过资源拥有者(客体)和证书颁发机构(CI)预先建立策略规则的委托方案，资源使用者(主体)携带证书/没有携带证书对客体提出访问请求，客体首先判断是否有与请求相匹配的证书，如果没有则直接返回拒绝访问结果，如果有则审核证书来源是否合法，合法则判断证书是否符合客体访问所需的其他条件，符合条件则同意访问，不符合条件返回拒绝访问结果。根据上述技术方案，解决了传统授权证书模型的资源拥有者去搜索证书颁发证书带来的效率负担问题，解决了传统委托访问控制模型中的分级建立、控制后继委托带来的复杂推理映射问题，实现资源拥有者本身职责分离的同时也实现资源拥有者和证书颁发机构之间的访问隔离，减轻了资源拥有者的负担，简化了管理。为实现上述目的，本专利技术提供了一种基于证书的访问控制系统，包括：资源拥有者、资源使用者和证书颁发机构以及制定访问规则模块、建立委托方案模块、申请访问资源模块和申请证书授权模块，所述制定访问规则模块用于所述资源拥有者针对所拥有的资源的可开放程度对所述资源使用者进行访问约束；所述建立委托方案模块用于所述资源拥有者与所述证书颁发机构针对证书的授权条件建立委托方案；所述申请访问资源模块用于所述资源使用者向所述资源拥有者请求访问资源，并向所述资源使用者返回访问结果；所述申请证书授权模块用于所述资源使用者向所述证书颁发机构申请证书，并向所述资源使用者返回证书申请结果。在上述技术方案中，优选地，所述资源使用者向所述资源拥有者请求访问资源时携带证书或不携带证书，携带证书时所述资源拥有者审核所述证书是否符合该访问资源请求对应的预设条件，并将访问结果发送至所述资源使用者；不携带证书时所述资源拥有者直接将访问结果发送至所述资源使用者；所述资源使用者接收到拒绝访问结果时，所述申请访问资源模块用于询问所述资源使用者是否继续请求访问，在选择继续请求访问时搜索本地证书库中是否存在对应证书，如果有则携带对应证书向所述资源拥有者请求访问资源，如果没有则询问所述资源使用者是否通过所述申请证书授权模块向所述证书颁发机构申请该证书。在上述技术方案中，优选地，所述证书颁发机构用于根据委托方案中证书的授权条件判断资源使用者的证书申请是否符合该授权条件，在符合授权条件时签发证书并记录日志，将申请结果发送至所述资源使用者，在不符合授权条件时直接将申请结果发送至所述资源使用者。在上述技术方案中，优选地，所述资源拥有者包括策略管理点、策略决策点和策略执行点，所述证书颁发机构包括委托方案生成点、证书验证点、证书颁发点和证书日志点，所述策略管理点用于创建并管理授权条件和策略规则，并将所述策略规则发送至策略决策点以对访问请求进行决策，将授权条件发送至所述委托方案生成点以生成颁发证书方案；所述策略决策点用于在所述资源使用者不携带证书或携带不合法来源证书时直接返回拒绝的访问决策，在携带合法来源证书时根据所述策略规则进行访问决策；所述策略执行点用于根据所述资源使用者的访问请求向所述策略决策点提交申请，并将所述策略决策点返回的访问决策结果返回至所述资源使用者；所述委托方案生成点用于根据所述授权条件生成对应的委托方案，提供给所述证书验证点查询使用；所述证书验证点用于根据所述委托方案对所述资源使用者提供的证书申请条件进行审核，并将审核结果发送给所述证书颁发点；所述证书颁发点用于接收所述资源使用者的证书申请请求，并向所述证书验证点提交该证书申请请求，并将所述证书验证点的审核结果返回给所述资源使用者；所述证书日志点用于记录证书签发操作。在上述技术方案中，优选地，所述资源使用者在访问过程中存在就绪、等待、访问、搜索、完成和终止状态；所述就绪状态为所述资源使用者向所述资源拥有者提交访问请求前的状态；所述等待状态为所述资源使用者向所述资源拥有者提交访问请求后等待所述资源拥有者返回决策的状态，以及所述资源使用者向所述证书颁发机构提交证书申请请求后等待所述证书颁发机构返回证书授权决策的状态；所述访问状态为所述资源使用者在获得所述资源拥有者的访问许可后对资源执行访问的状态；所述搜索状态为所述资源使用者在被所述资源拥有者拒绝访问并获得访问所述资源使用者所需权限证书条件后，搜索检查本地是否拥有符合要求的证书时的状态；所述完成状态为所述资源使用者在访问资源完成的状态；所述终止状态为所述资源使用者没有访问资源权限导致访问结束的状态。在上述技术方案中，优选地，所述证书颁发机构包括多个，所述资源拥有者与所述证书颁发机构之间采用一对一、一对多或多对多的形式。本专利技术还提出一种基于证书的访问控制方法，包括：资源使用者向网络中资源拥有者发布的资源请求访问；所述资源拥有者审核所述资源使用者的访问请求是否携带证书或携带证书是否为合法来源，若为否则直接拒绝该访问请求；若所述证书为合法来源，则根据策略规则判断所述证书是否符合预设访问条件，若不符合访问条件则拒绝该访问请求；若符合访问条件则同意所述资源使用者访问资源。在上述技术方案中，优选地，基于证书的访问控制方法还包括：所述资源使用者在收到拒绝访问请求结果时，确定是否继续在本地搜索对应的证书；如果同意搜索且搜索到对应访问条件的证书，则重复向所述资源拥有者请求访问资源；如果未搜索到对应访问条件的证书，则确定是否向证书颁发机构申请证书，如果不申请则访问结束；如果申请证书则携带申请信息向所述证书颁发机构发出证书申请请求；所述证书颁发机构根据该申请信息查询是否与对应的资源拥有者建立委托方案，如果没有则向所述资源使用者返回证书申请失败结果；如果查询到对应的委托方案，则判断该申请信息是否符合该委托方案的授权条件，如果不符合则向所述资源使用者返回证书申请失败结果，如果符合则向所述资源使用者签发证书；所述资源使用者在接收到证书后重复项所述资源拥有者请求访问资源。在上述技术方案中，优选地，策略本文档来自技高网...

【技术保护点】
1.一种基于证书的访问控制系统，其特征在于，包括：资源拥有者、资源使用者和证书颁发机构以及制定访问规则模块、建立委托方案模块、申请访问资源模块和申请证书授权模块，/n所述制定访问规则模块用于所述资源拥有者针对所拥有的资源的可开放程度对所述资源使用者进行访问约束；/n所述建立委托方案模块用于所述资源拥有者与所述证书颁发机构针对证书的授权条件建立委托方案；/n所述申请访问资源模块用于所述资源使用者向所述资源拥有者请求访问资源，并向所述资源使用者返回访问结果；/n所述申请证书授权模块用于所述资源使用者向所述证书颁发机构申请证书，并向所述资源使用者返回证书申请结果。/n

【技术特征摘要】
1.一种基于证书的访问控制系统，其特征在于，包括：资源拥有者、资源使用者和证书颁发机构以及制定访问规则模块、建立委托方案模块、申请访问资源模块和申请证书授权模块，
所述制定访问规则模块用于所述资源拥有者针对所拥有的资源的可开放程度对所述资源使用者进行访问约束；
所述建立委托方案模块用于所述资源拥有者与所述证书颁发机构针对证书的授权条件建立委托方案；
所述申请访问资源模块用于所述资源使用者向所述资源拥有者请求访问资源，并向所述资源使用者返回访问结果；
所述申请证书授权模块用于所述资源使用者向所述证书颁发机构申请证书，并向所述资源使用者返回证书申请结果。


2.根据权利要求1所述的基于证书的访问控制系统，其特征在于，所述资源使用者向所述资源拥有者请求访问资源时携带证书或不携带证书，
携带证书时所述资源拥有者审核所述证书是否符合该访问资源请求对应的预设条件，并将访问结果发送至所述资源使用者；
不携带证书时所述资源拥有者直接将访问结果发送至所述资源使用者；
所述资源使用者接收到拒绝访问结果时，所述申请访问资源模块用于询问所述资源使用者是否继续请求访问，在选择继续请求访问时搜索本地证书库中是否存在对应证书，如果有则携带对应证书向所述资源拥有者请求访问资源，如果没有则询问所述资源使用者是否通过所述申请证书授权模块向所述证书颁发机构申请该证书。


3.根据权利要求1所述的基于证书的访问控制系统，其特征在于，所述证书颁发机构用于根据委托方案中证书的授权条件判断资源使用者的证书申请是否符合该授权条件，在符合授权条件时签发证书并记录日志，将申请结果发送至所述资源使用者，在不符合授权条件时直接将申请结果发送至所述资源使用者。


4.根据权利要求1所述的基于证书的访问控制系统，其特征在于，所述资源拥有者包括策略管理点、策略决策点和策略执行点，所述证书颁发机构包括委托方案生成点、证书验证点、证书颁发点和证书日志点，
所述策略管理点用于创建并管理授权条件和策略规则，并将所述策略规则发送至策略决策点以对访问请求进行决策，将授权条件发送至所述委托方案生成点以生成颁发证书方案；
所述策略决策点用于在所述资源使用者不携带证书或携带不合法来源证书时直接返回拒绝的访问决策，在携带合法来源证书时根据所述策略规则进行访问决策；
所述策略执行点用于根据所述资源使用者的访问请求向所述策略决策点提交申请，并将所述策略决策点返回的访问决策结果返回至所述资源使用者；
所述委托方案生成点用于根据所述授权条件生成对应的委托方案，提供给所述证书验证点查询使用；
所述证书验证点用于根据所述委托方案对所述资源使用者提供的证书申请条件进行审核，并将审核结果发送给所述证书颁发点；
所述证书颁发点用于接收所述资源使用者的证书申请请求，并向所述证书验证点提交该证书申请请求，并将所述证书验证点的审核结果返回给所述资源使用者；
所述证书日志点用于记录证书签发操作。


5.根据权利要求1所述的基于证书的访问控制系统，其特征在于，所述资源使用者在访问过程中存在就绪、等待、访问、搜索、完成和终止状态；
所述就绪状态为所述资源使用者向所述资源拥有者提交访问请求...

【专利技术属性】
技术研发人员：何泾沙，李文欣，朱娜斐，蔡方博，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：北京;11