【技术实现步骤摘要】
基于证书的访问控制系统和方法
本专利技术涉及计算机安全
,尤其涉及一种基于证书的访问控制系统和一种基于证书的访问控制方法。
技术介绍
作为一种信息保护手段,访问控制是许多分布式应用程序的重要组成部分,已经提出了几种集中化和分布式的解决方案用于此类应用。证书特别适合于分布式系统,并以多种方式使用。例如,在网络环境中,伴随着电子支付在国内的迅猛发展,电子支付绑定功能阻止未经授权的访问者访问或者获取数据资源。在现实生活中,智能交通控制技术愈演愈烈,如果没有智能票务控制,许多人可能会出现逃票等情况,导致资源的不当使用。随着研究的不断进步,访问控制模型也变得越来越复杂,不能以简单的方式直接映射到现实,有些模型在实际生活中并没有得到很好的应用。有的基于证书的访问控制模型中资源拥有者不仅要对大量的、分布式的、未知身份的访问者做出快速、一致且安全的访问决策,而且还要承担颁发证书、帮助访问者搜索证书等职责,这使得资源拥有者负担重、效率低下。有的模型中将授权逐级委托、分级信任,这就造成了多节点、多路径、多策略,使得授权、约束、验证变得愈加困难的同时,对本身的管理也提出了更大的挑战。
技术实现思路
针对上述问题中的至少之一,本专利技术提供了一种基于证书的访问控制系统和方法,通过资源拥有者(客体)和证书颁发机构(CI)预先建立策略规则的委托方案,资源使用者(主体)携带证书/没有携带证书对客体提出访问请求,客体首先判断是否有与请求相匹配的证书,如果没有则直接返回拒绝访问结果,如果有则审核证书来源是否合法,合法 ...
【技术保护点】
1.一种基于证书的访问控制系统,其特征在于,包括:资源拥有者、资源使用者和证书颁发机构以及制定访问规则模块、建立委托方案模块、申请访问资源模块和申请证书授权模块,/n所述制定访问规则模块用于所述资源拥有者针对所拥有的资源的可开放程度对所述资源使用者进行访问约束;/n所述建立委托方案模块用于所述资源拥有者与所述证书颁发机构针对证书的授权条件建立委托方案;/n所述申请访问资源模块用于所述资源使用者向所述资源拥有者请求访问资源,并向所述资源使用者返回访问结果;/n所述申请证书授权模块用于所述资源使用者向所述证书颁发机构申请证书,并向所述资源使用者返回证书申请结果。/n
【技术特征摘要】
1.一种基于证书的访问控制系统,其特征在于,包括:资源拥有者、资源使用者和证书颁发机构以及制定访问规则模块、建立委托方案模块、申请访问资源模块和申请证书授权模块,
所述制定访问规则模块用于所述资源拥有者针对所拥有的资源的可开放程度对所述资源使用者进行访问约束;
所述建立委托方案模块用于所述资源拥有者与所述证书颁发机构针对证书的授权条件建立委托方案;
所述申请访问资源模块用于所述资源使用者向所述资源拥有者请求访问资源,并向所述资源使用者返回访问结果;
所述申请证书授权模块用于所述资源使用者向所述证书颁发机构申请证书,并向所述资源使用者返回证书申请结果。
2.根据权利要求1所述的基于证书的访问控制系统,其特征在于,所述资源使用者向所述资源拥有者请求访问资源时携带证书或不携带证书,
携带证书时所述资源拥有者审核所述证书是否符合该访问资源请求对应的预设条件,并将访问结果发送至所述资源使用者;
不携带证书时所述资源拥有者直接将访问结果发送至所述资源使用者;
所述资源使用者接收到拒绝访问结果时,所述申请访问资源模块用于询问所述资源使用者是否继续请求访问,在选择继续请求访问时搜索本地证书库中是否存在对应证书,如果有则携带对应证书向所述资源拥有者请求访问资源,如果没有则询问所述资源使用者是否通过所述申请证书授权模块向所述证书颁发机构申请该证书。
3.根据权利要求1所述的基于证书的访问控制系统,其特征在于,所述证书颁发机构用于根据委托方案中证书的授权条件判断资源使用者的证书申请是否符合该授权条件,在符合授权条件时签发证书并记录日志,将申请结果发送至所述资源使用者,在不符合授权条件时直接将申请结果发送至所述资源使用者。
4.根据权利要求1所述的基于证书的访问控制系统,其特征在于,所述资源拥有者包括策略管理点、策略决策点和策略执行点,所述证书颁发机构包括委托方案生成点、证书验证点、证书颁发点和证书日志点,
所述策略管理点用于创建并管理授权条件和策略规则,并将所述策略规则发送至策略决策点以对访问请求进行决策,将授权条件发送至所述委托方案生成点以生成颁发证书方案;
所述策略决策点用于在所述资源使用者不携带证书或携带不合法来源证书时直接返回拒绝的访问决策,在携带合法来源证书时根据所述策略规则进行访问决策;
所述策略执行点用于根据所述资源使用者的访问请求向所述策略决策点提交申请,并将所述策略决策点返回的访问决策结果返回至所述资源使用者;
所述委托方案生成点用于根据所述授权条件生成对应的委托方案,提供给所述证书验证点查询使用;
所述证书验证点用于根据所述委托方案对所述资源使用者提供的证书申请条件进行审核,并将审核结果发送给所述证书颁发点;
所述证书颁发点用于接收所述资源使用者的证书申请请求,并向所述证书验证点提交该证书申请请求,并将所述证书验证点的审核结果返回给所述资源使用者;
所述证书日志点用于记录证书签发操作。
5.根据权利要求1所述的基于证书的访问控制系统,其特征在于,所述资源使用者在访问过程中存在就绪、等待、访问、搜索、完成和终止状态;
所述就绪状态为所述资源使用者向所述资源拥有者提交访问请求...
【专利技术属性】
技术研发人员:何泾沙,李文欣,朱娜斐,蔡方博,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。