基于属性的访问控制模型及其跨域访问方法
专利类型:发明专利
语 言:中文
申 请 号:CN201010533806.9
申 请 日:20101105
申 请 人:重庆大学
申请人地址:400044 重庆市沙坪坝区沙坪坝正街174号
公 开 日:20140827
公 开 号:CN101997876B
代 理 人:余锦曦
代理机构:重庆市前沿专利事务所(普通合伙) 50211
摘 要:本发明公开了一种基于属性的访问控制模型及其跨域访问方法,基于属性的访问控制模型包括第一管理域和第二管理域,其特征在于:还包括证书服务器和属性管理服务器。系统的跨域访问方法包括、证书服务器分别给第一管理域和第一管理域颁发服务器证书;用户通过登录第一管理域,将属性证书下载至本地磁盘保存;用户向第二管理域提交属性证书;第二访问控制服务器确认属性证书;第二访问控制服务器提取属性值,判定该用户操作的合法性。其显著特点是:可以将用户的角色和管理域都视为用户的单一属性,能够有效解RBAC模型中关于复杂角色条件下用户-角色-权限赋值的效率问题。同时对于开放网络环境中的匿名用户也提供了相应的访问控制方法。
主 权 项:一种基于属性的访问控制模型,包括来接入到INTER网上的第一管理域(1)和第二管理域(2),其中第一管理域(1)设置有第一访问控制服务器(1A),该第一访问控制服务器(1A)连接有至少一台第一应用服务器(1B),其中第二管理域(2)设置有第二访问控制服务器(2A),该第二访问控制服务器(2A)连接有至少一台第二应用服务器(2B),其特征在于:还包括有证书服务器(3)和属性管理服务器(4);其中证书服务器(3)用于:I、通过给第一管理域(1)和第二管理域(2)中第一访问控制服务器(1A)和第二访问控制服务器(2A)颁发服务器证书,建立第一管理域(1)和第二管理域(2)之间的信任链,保证第一管理域(1)和第二管理域(2)之间的信任关系;II、给用户颁发用户证书,用户证书包含的内容有用户名、序列号、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥信息;其中属性管理服务器(4)用于:I、负责建立统一的属性定义库,统一访问控制规则中的语义问题;II、负责建立统一的属性定义库,用来统一访问控制服务器中的访问控制规则具有相同的语义;属性包括:I、用户的基本属性:姓名、年龄、职称、角色、职务、当前费用、积分;II、资源的基本属性:资源名称、资源类型、所需费用;III、操作的基本属性:下载、查看、删除、上传、修改;IV、上下文对象的基本属性:服务器端的当前CPU利用率、访问用户数量,客户端的IP地址、访问类型;所述第一访问控制服务器(1A)和第二访问控制服务器(2A)之间由所述证书服务器(3)颁发的服务器证书保证相互之间的信任链关系;所述第一访问控制服务器(1A)和第二访问控制服务器(2A)用于:I、基于统一语义的属性来定义访问控制规则;II、给用户颁发属性证书并签名。
关 键 词:
法律状态:生效
IPC专利分类号:H04L29/06