專利名稱:分布式多級(jí)安全訪問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的控制方法�����,具體是一種分布式多級(jí)安全訪問(wèn)控制方法。
背景技術(shù):
隨著Internet和分布式對(duì)象技術(shù)的飛速發(fā)展和普遍應(yīng)用�,出現(xiàn)了越來(lái)越多的分布式系統(tǒng)。同時(shí)由于電子商務(wù)和供應(yīng)鏈等技術(shù)的推動(dòng)����,系統(tǒng)間的協(xié)同也變得十分普遍,這也促使分布式系統(tǒng)的規(guī)模變得越來(lái)越大�����,復(fù)雜性越來(lái)越強(qiáng)�。分布式系統(tǒng)中的實(shí)體允許誰(shuí)使用,允許如何使用以及誰(shuí)來(lái)定義使用規(guī)則��,這就是分布式系統(tǒng)中的訪問(wèn)控制問(wèn)題����。要使分布式系統(tǒng)充分而安全地發(fā)揮其作用,系統(tǒng)間安全地進(jìn)行協(xié)作�,一種高效的訪問(wèn)控制方法實(shí)現(xiàn)其應(yīng)用的第一步。
訪問(wèn)控制是指主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或是其資源進(jìn)行的不同授權(quán)訪問(wèn)��。傳統(tǒng)的訪問(wèn)控制模型�����,如自主訪問(wèn)控制DAC(Discretionary AccessControl)模型,強(qiáng)制訪問(wèn)控制MAC(Mandatory Access Control)模型以及近來(lái)提出的基于角色的訪問(wèn)制RBAC模型���,主要工作于集中式安全控制的系統(tǒng)中���。
分布式中的相應(yīng)問(wèn)題分布式多級(jí)安全訪問(wèn)控制技術(shù)在結(jié)合原有的集中訪問(wèn)控制的基礎(chǔ)上必須考慮以下幾點(diǎn)(1)多域間怎樣進(jìn)行身份的驗(yàn)證和安全的互操作(2)如何有效地實(shí)現(xiàn)資源的互訪經(jīng)過(guò)對(duì)現(xiàn)有技術(shù)的檢索,尚未發(fā)現(xiàn)與本發(fā)明主題相同或者類似的文獻(xiàn)報(bào)道����。網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的控制方法發(fā)明內(nèi)容本發(fā)明的目的在于克服現(xiàn)有技術(shù)中的不足����,提供一種分布式多級(jí)安全訪問(wèn)控制方法。使其充分利用集中式安全訪問(wèn)控制系統(tǒng)中的方法����,考慮到分布式環(huán)境同一信任域與不同信任域間的差別,提出了整體的分布式安全訪問(wèn)控制的框架���,并給出此框架下給出具體的實(shí)施步驟����,以及在其中應(yīng)用到的角色私有,繼承和映射的轉(zhuǎn)換��,相應(yīng)安全日志的建立的模型�。
本發(fā)明是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的,本發(fā)明通過(guò)PKI技術(shù)提供相應(yīng)的身份認(rèn)證與信息加密機(jī)制���,通過(guò)RBAC技術(shù)和PMI技術(shù)約束用戶---角色---權(quán)限之間的關(guān)系��,通過(guò)資源描述符約束相對(duì)分散條件下的資源訪問(wèn)�,通過(guò)日志模塊紀(jì)錄相應(yīng)的用戶訪問(wèn)信息以及系統(tǒng)安全信息�����。本發(fā)明對(duì)于實(shí)際應(yīng)用中的多個(gè)信任域����,用戶通過(guò)使用自己的身份證書(shū)登陸本信任域,得到認(rèn)證服務(wù)器的信任后�����,與認(rèn)證服務(wù)器起雙向認(rèn)證連接在確定身份后用戶可以提出對(duì)某一項(xiàng)資源的訪問(wèn)請(qǐng)求這個(gè)訪問(wèn)請(qǐng)求所對(duì)應(yīng)的最終判決結(jié)果由三種屬性證書(shū)(用戶角色屬性證書(shū)���,域策略屬性證書(shū)����,域間策略屬性證書(shū))的判決函數(shù)來(lái)決定,同時(shí)相應(yīng)的重要系統(tǒng)日志紀(jì)錄進(jìn)數(shù)據(jù)庫(kù)�����,方便日后檢查���。
包括如下具體步驟①系統(tǒng)雙向認(rèn)證機(jī)制讓請(qǐng)求方與響應(yīng)方都確定對(duì)方的身份���,身份認(rèn)證服務(wù)器要驗(yàn)證用戶證書(shū)的簽名和有效期以及是否被撤銷。如果證書(shū)是合法的�,即可從證書(shū)中提取信息��,如證書(shū)序列號(hào)�,用戶名等,進(jìn)入下一步��,否則斷開(kāi)連接�。無(wú)論驗(yàn)證通過(guò)與否,系統(tǒng)日志模塊都要將訪問(wèn)請(qǐng)求和判決結(jié)果寫(xiě)入數(shù)據(jù)庫(kù)�。驗(yàn)證后雙方傳遞的信息被有效的加密。
②用戶如要訪問(wèn)本域內(nèi)的資源�,根據(jù)公鑰證書(shū)的序列號(hào)創(chuàng)建用戶對(duì)象,生成一個(gè)會(huì)話id,查詢LDAP服務(wù)器���,通過(guò)檢索用戶角色證書(shū)庫(kù)�,獲得此用戶的所有角色����。進(jìn)入下一步用戶如要訪問(wèn)其他域內(nèi)的資源,應(yīng)提供自己的用戶角色屬性證書(shū)���,域安全管理者檢查屬性證書(shū)是否有效���,無(wú)效則拒絕請(qǐng)求。同時(shí)域安全管理者要獲得用戶所在域與訪問(wèn)域之間的“域間策略證書(shū)”���,如果兩個(gè)域之間不存在互操作關(guān)系���,則拒絕用戶請(qǐng)求,反之進(jìn)行角色的映射���,將本域角色映射為其他域的角色�。
③域安全管理者對(duì)用戶對(duì)象進(jìn)行檢查��,將此用戶被分配的角色返回給用戶,同時(shí)為用戶創(chuàng)建一個(gè)會(huì)話對(duì)象�����。
④用戶根據(jù)自身要求從域安全管理者返回的若干角色中選擇自己需要的角色���,并將所選的角色發(fā)回給域安全管理者���。
⑤域安全管理者訪問(wèn)域策略屬性證書(shū),獲得用戶所要求角色的所有子角色�,構(gòu)建角色對(duì)象。系統(tǒng)對(duì)角色對(duì)象進(jìn)行檢查�����,看是否滿足角色約束條件����,對(duì)會(huì)話對(duì)象進(jìn)行檢查�,以確保將角色加入會(huì)話對(duì)象后,不會(huì)同時(shí)激活兩個(gè)互斥的角色����,如果不存在互斥角色�����,則將角色加入會(huì)話對(duì)象����,進(jìn)行下一步�,否則拒絕用戶的請(qǐng)求。
⑥域安全管理者構(gòu)建權(quán)限對(duì)象�����。結(jié)合角色對(duì)象和權(quán)限對(duì)象可以獲得用戶所有的權(quán)限���。系統(tǒng)對(duì)權(quán)限對(duì)象進(jìn)行約束性檢查����,獲取此用戶所有的合法權(quán)限�����。
⑦將此用戶被授權(quán)的合法權(quán)限集和所要求的權(quán)限集進(jìn)行比較�����,如果前者包含后者,則允許其對(duì)資源的訪問(wèn)����,否則拒絕其訪問(wèn)資源。訪問(wèn)完成之后��,將會(huì)話關(guān)閉���,釋放系統(tǒng)資源�。
整體的訪問(wèn)控制步驟如以上所示�����,但是對(duì)應(yīng)于域間的角色映射關(guān)系����,應(yīng)該加上一定的權(quán)限限制,使其他域中映射到本域的角色權(quán)限被限制在一定的范圍之內(nèi)�����。即Privilege(映射到本域角色)<Privilege(本域用戶使用該角色)��。這也同樣應(yīng)用于改進(jìn)的RBAC中�,在該模型體系中子角色并非完全繼承父角色的全部權(quán)限,而是部分繼承���,這樣允許父角色擁有自己的私有權(quán)限���。同樣對(duì)應(yīng)到分布式訪問(wèn)控制中,通過(guò)域間映射的角色并非完全繼承該被訪問(wèn)域中映射角色的權(quán)限��,而是部分繼承�����,這樣可以很好的保護(hù)被訪問(wèn)域中資源信息的安全����。
本發(fā)明的效果是顯著的,使用這種方法設(shè)計(jì)的分布式安全訪問(wèn)控制系統(tǒng)融合了現(xiàn)在流行的PKI�����,PMI�����,RBAC技術(shù)�����,高性能的LDAP服務(wù)器等,向用戶展示了一種分布式安全訪問(wèn)控制系統(tǒng)的訪問(wèn)過(guò)程�。同時(shí),通過(guò)增加“域策略屬性證書(shū)��,域間策略屬性證書(shū)”�����,使原有的安全訪問(wèn)控制方法從集中域中通過(guò)角色映射很好的應(yīng)用到分布式訪問(wèn)控制系統(tǒng)中�����。
圖1是本發(fā)明體系中改進(jìn)的RBAC模型結(jié)構(gòu)示意圖��。
圖2是本發(fā)明體系中RBAC+PMI的域間映射約束過(guò)程示意圖�。
具體實(shí)施例方式
本實(shí)施例實(shí)施采用的軟硬件環(huán)境服務(wù)器Tomcat 5.0以上,JAVA環(huán)境�,支持JAAS,客戶端硬件要求Windows 2000/XP��,Pentium 2400Mhz以上����,256M內(nèi)存,與服務(wù)器的網(wǎng)絡(luò)連接����;客戶端軟件IE瀏覽器。
部署①���、在各個(gè)信任域中搭建本信任域的身份認(rèn)證服務(wù)器�,部署于Tomcat上��,在各個(gè)信任域中部署LDAP服務(wù)器����,其中包括以下幾個(gè)數(shù)據(jù)庫(kù)a.用戶身份信息數(shù)據(jù)庫(kù)(PKI證書(shū)信息表,等)b.屬性證書(shū)數(shù)據(jù)庫(kù)(PMI證書(shū)信息表��,域內(nèi)策略映射表���,域間策略映射表���,角色證書(shū)表,角色映射表等)c.資源信息數(shù)據(jù)庫(kù)(本信任域中的可配置資源信息及提供的相應(yīng)權(quán)限)②�、為身份認(rèn)證服務(wù)器配置雙向認(rèn)證信任關(guān)系,配置各個(gè)信任域的信任管理模塊,包括對(duì)本信任域約束機(jī)制和不同信任域中的映射關(guān)系約束����。配制各個(gè)信任域中的身份證書(shū),屬性證書(shū)的申請(qǐng)和管理模塊以及相應(yīng)的策略定制���,管理模塊�。在搭建每個(gè)信任域的過(guò)程中�,都存在各自定義的角色和他們對(duì)應(yīng)權(quán)限。復(fù)雜的系統(tǒng)必然存在子角色等角色繼承關(guān)系����,考慮到分布式多級(jí)安全訪問(wèn)控制的安全性原則,本方案在這里提出了使用改進(jìn)的RBAC模型的構(gòu)想�����,此模型在原有RBAC模型的基礎(chǔ)上為父角色添加相應(yīng)的私有權(quán)限��,這部分權(quán)限不允許子角色繼承�。這種方法也應(yīng)用到不同信任域間的角色映射中,即映射的角色在域中的權(quán)限應(yīng)該小于在該域中直接使用該角色的權(quán)限���。這樣做的好處是很好的保護(hù)了本信任域的資源不被外信任域?qū)嶓w破壞或非授權(quán)防問(wèn)����,同樣在一定程度上允許域外的可信實(shí)體訪問(wèn)本信任域中的資源。改進(jìn)的RBAC模型�,如圖1所示③、啟動(dòng)LDAP和Tomcat服務(wù)器����,每個(gè)信任域中的用戶通過(guò)在IE中加載自己的合法身份證書(shū)����,與本信任域認(rèn)證服務(wù)器的建立連接。
方式IE->工具->Internet選項(xiàng)->內(nèi)容->證書(shū)添加X(jué).509證書(shū)�。
經(jīng)過(guò)本信任域認(rèn)證服務(wù)器的信任后,信任服務(wù)器為用戶提供會(huì)話id�,用戶有權(quán)訪問(wèn)本信任域資源或通過(guò)角色映射訪問(wèn)其他信任域的資源。主體在訪問(wèn)本任域外的資源而選擇可映射的角色時(shí)���,這種選擇的結(jié)果受到本信任域和和映射信任域中策略共同判決��,不能選擇互斥的角色���,如圖2所示。
相對(duì)于小型分布式系統(tǒng)中使用的安全標(biāo)簽方案���,本發(fā)明可以很好的應(yīng)用到大型的分布式系統(tǒng)中��,所述的雙向認(rèn)證機(jī)制可以很好確定用戶的身份�,確保不被偽造,同時(shí)為交互信息提供加密����,確保不被竊聽(tīng)。屬性證書(shū)和RBAC的廣泛使用使權(quán)限與身份更好的分離����,便于策略管理員更好的管理。域間映射機(jī)制既方便分布式的訪問(wèn)�,又給與一定角色映射約束限制,確保訪問(wèn)安全�。
采用以上方法能夠很好的提供分布式資源訪問(wèn)控制,便于域管理員進(jìn)行管理和配置��,可以安全高效地滿足大規(guī)模多用戶并發(fā)使用��,效果很好�。
權(quán)利要求
1.一種分布式多級(jí)安全訪問(wèn)控制方法,其特征在于��,通過(guò)PKI技術(shù)提供相應(yīng)的身份認(rèn)證與信息加密機(jī)制�����,通過(guò)RBAC技術(shù)和PMI技術(shù)約束用戶—角色—權(quán)限之間的關(guān)系,通過(guò)資源描述符約束相對(duì)分散條件下的資源訪問(wèn)�����,通過(guò)日志模塊紀(jì)錄相應(yīng)的用戶訪問(wèn)信息以及系統(tǒng)安全信息���;對(duì)于實(shí)際應(yīng)用中的多個(gè)信任域,用戶通過(guò)使用自己的身份證書(shū)登陸本信任域����,得到認(rèn)證服務(wù)器的信任后,與認(rèn)證服務(wù)器起雙向認(rèn)證連接����,在確定身份后用戶可以提出對(duì)某一項(xiàng)資源的訪問(wèn)請(qǐng)求,這個(gè)訪問(wèn)請(qǐng)求所對(duì)應(yīng)的最終判決結(jié)果由用戶角色屬性證書(shū)��,域策略屬性證書(shū)��,域間策略屬性證書(shū)三種屬性證書(shū)的判決函數(shù)來(lái)決定����,同時(shí)相應(yīng)的重要系統(tǒng)日志紀(jì)錄進(jìn)數(shù)據(jù)庫(kù)�����,方便日后檢查�����。
2.根據(jù)權(quán)利要求1所述的分布式多級(jí)安全訪問(wèn)控制方法�����,其特征是���,包括如下具體步驟①系統(tǒng)雙向認(rèn)證機(jī)制讓請(qǐng)求方與響應(yīng)方都確定對(duì)方的身份,身份認(rèn)證服務(wù)器要驗(yàn)證用戶證書(shū)的簽名和有效期以及是否被撤銷�����;②用戶訪問(wèn)資源���,包括用戶訪問(wèn)本域內(nèi)的資源和用戶訪問(wèn)其他域內(nèi)的資源����;③域安全管理者對(duì)用戶對(duì)象進(jìn)行檢查��,將此用戶被分配的角色返回給用戶,同時(shí)為用戶創(chuàng)建一個(gè)會(huì)話對(duì)象�����;④用戶根據(jù)自身要求從域安全管理者返回的若干角色中選擇自己需要的角色���,并將所選的角色發(fā)回給域安全管理者�;⑤域安全管理者訪問(wèn)域策略屬性證書(shū)�����,獲得用戶所要求角色的所有子角色����,構(gòu)建角色對(duì)象��;⑥域安全管理者構(gòu)建權(quán)限對(duì)象�����;⑦將此用戶被授權(quán)的合法權(quán)限集和所要求的權(quán)限集進(jìn)行比較����,如果前者包含后者����,則允許其對(duì)資源的訪問(wèn)�,否則拒絕其訪問(wèn)資源。
3.根據(jù)權(quán)利要求2所述的分布式多級(jí)安全訪問(wèn)控制方法���,其特征是����,所述的身份認(rèn)證�����,如果證書(shū)是合法的�����,即可從證書(shū)中提取證書(shū)序列號(hào)�,用戶名信息,進(jìn)入下一步�����,否則斷開(kāi)連接����,無(wú)論驗(yàn)證通過(guò)與否����,系統(tǒng)日志模塊都要將訪問(wèn)請(qǐng)求和判決結(jié)果寫(xiě)入數(shù)據(jù)庫(kù)�,驗(yàn)證后雙方傳遞的信息被有效的加密。
4.根據(jù)權(quán)利要求2所述的分布式多級(jí)安全訪問(wèn)控制方法�����,其特征是�����,所述的用戶訪問(wèn)本域內(nèi)的資源�,根據(jù)公鑰證書(shū)的序列號(hào)創(chuàng)建用戶對(duì)象,生成一個(gè)會(huì)話id����,查詢LDAP服務(wù)器����,通過(guò)檢索用戶角色證書(shū)庫(kù),獲得此用戶的所有角色����。
5.根據(jù)權(quán)利要求2所述的分布式多級(jí)安全訪問(wèn)控制方法�����,其特征是���,所述的用戶訪問(wèn)其他域內(nèi)的資源,應(yīng)提供自己的用戶角色屬性證書(shū)��,域安全管理者檢查屬性證書(shū)是否有效�����,無(wú)效則拒絕請(qǐng)求����。
6.根據(jù)權(quán)利要求2所述的分布式多級(jí)安全訪問(wèn)控制方法,其特征是���,所述的域安全管理者����,要獲得用戶所在域與訪問(wèn)域之間的“域間策略證書(shū)”,如果兩個(gè)域之間不存在互操作關(guān)系����,則拒絕用戶請(qǐng)求,反之進(jìn)行角色的映射�,將本域角色映射為其他域的角色。
7.根據(jù)權(quán)利要求2所述的分布式多級(jí)安全訪問(wèn)控制方法�,其特征是,所述的角色對(duì)象�,系統(tǒng)對(duì)角色對(duì)象進(jìn)行檢查,看是否滿足角色約束條件��,對(duì)會(huì)話對(duì)象進(jìn)行檢查���,以確保將角色加入會(huì)話對(duì)象后�,不會(huì)同時(shí)激活兩個(gè)互斥的角色����,如果不存在互斥角色,則將角色加入會(huì)話對(duì)象�����,進(jìn)行下一步�����,否則拒絕用戶的請(qǐng)求��。
8.根據(jù)權(quán)利要求2所述的分布式多級(jí)安全訪問(wèn)控制方法��,其特征是��,所述的構(gòu)建權(quán)限對(duì)象��,是指結(jié)合角色對(duì)象和權(quán)限對(duì)象可以獲得用戶所有的權(quán)限���,系統(tǒng)對(duì)權(quán)限對(duì)象進(jìn)行約束性檢查����,獲取此用戶所有的合法權(quán)限�����。
全文摘要
本發(fā)明涉及的是一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的分布式多級(jí)安全訪問(wèn)控制方法�。通過(guò)PKI技術(shù)提供相應(yīng)的身份認(rèn)證與信息加密機(jī)制,通過(guò)資源描述符約束相對(duì)分散條件下的資源訪問(wèn)����,通過(guò)日志模塊紀(jì)錄相應(yīng)的用戶訪問(wèn)信息以及系統(tǒng)安全信息�;用戶通過(guò)使用自己的身份證書(shū)登陸本信任域����,得到認(rèn)證服務(wù)器的信任后,與認(rèn)證服務(wù)器起雙向認(rèn)證連接�����,在確定身份后用戶可以提出對(duì)某一項(xiàng)資源的訪問(wèn)請(qǐng)求�����,這個(gè)訪問(wèn)請(qǐng)求所對(duì)應(yīng)的最終判決結(jié)果由用戶角色屬性證書(shū)���,域策略屬性證書(shū)�,域間策略屬性證書(shū)三種屬性證書(shū)的判決函數(shù)來(lái)決定�����,同時(shí)相應(yīng)的重要系統(tǒng)日志紀(jì)錄進(jìn)數(shù)據(jù)庫(kù)����,方便日后檢查。本發(fā)明實(shí)時(shí)的對(duì)系統(tǒng)中出現(xiàn)的訪問(wèn)情況進(jìn)行日志記錄���,能夠很好的分析系統(tǒng)的安全性�����。
文檔編號(hào)H04L29/06GK1960255SQ20061011630
公開(kāi)日2007年5月9日 申請(qǐng)日期2006年9月21日 優(yōu)先權(quán)日2006年9月21日
發(fā)明者楊樹(shù)堂, 陸松年, 李建華, 雷融, 陳恭亮, 李駿 申請(qǐng)人:上海交通大學(xué)