專利名稱:分布式多級安全訪問控制方法
技術(shù)領域:
本發(fā)明涉及的是一種網(wǎng)絡安全技術(shù)領域的控制方法����,具體是一種分布式多級安全訪問控制方法。
背景技術(shù):
隨著Internet和分布式對象技術(shù)的飛速發(fā)展和普遍應用����,出現(xiàn)了越來越多的分布式系統(tǒng)。同時由于電子商務和供應鏈等技術(shù)的推動�,系統(tǒng)間的協(xié)同也變得十分普遍,這也促使分布式系統(tǒng)的規(guī)模變得越來越大��,復雜性越來越強����。分布式系統(tǒng)中的實體允許誰使用,允許如何使用以及誰來定義使用規(guī)則�,這就是分布式系統(tǒng)中的訪問控制問題。要使分布式系統(tǒng)充分而安全地發(fā)揮其作用����,系統(tǒng)間安全地進行協(xié)作,一種高效的訪問控制方法實現(xiàn)其應用的第一步����。
訪問控制是指主體依據(jù)某些控制策略或權(quán)限對客體本身或是其資源進行的不同授權(quán)訪問。傳統(tǒng)的訪問控制模型��,如自主訪問控制DAC(Discretionary AccessControl)模型����,強制訪問控制MAC(Mandatory Access Control)模型以及近來提出的基于角色的訪問制RBAC模型,主要工作于集中式安全控制的系統(tǒng)中����。
分布式中的相應問題分布式多級安全訪問控制技術(shù)在結(jié)合原有的集中訪問控制的基礎上必須考慮以下幾點(1)多域間怎樣進行身份的驗證和安全的互操作(2)如何有效地實現(xiàn)資源的互訪經(jīng)過對現(xiàn)有技術(shù)的檢索,尚未發(fā)現(xiàn)與本發(fā)明主題相同或者類似的文獻報道���。網(wǎng)絡安全技術(shù)領域的控制方法發(fā)明內(nèi)容本發(fā)明的目的在于克服現(xiàn)有技術(shù)中的不足��,提供一種分布式多級安全訪問控制方法�。使其充分利用集中式安全訪問控制系統(tǒng)中的方法�,考慮到分布式環(huán)境同一信任域與不同信任域間的差別,提出了整體的分布式安全訪問控制的框架���,并給出此框架下給出具體的實施步驟����,以及在其中應用到的角色私有,繼承和映射的轉(zhuǎn)換�����,相應安全日志的建立的模型����。
本發(fā)明是通過以下技術(shù)方案實現(xiàn)的,本發(fā)明通過PKI技術(shù)提供相應的身份認證與信息加密機制��,通過RBAC技術(shù)和PMI技術(shù)約束用戶---角色---權(quán)限之間的關系���,通過資源描述符約束相對分散條件下的資源訪問�,通過日志模塊紀錄相應的用戶訪問信息以及系統(tǒng)安全信息����。本發(fā)明對于實際應用中的多個信任域,用戶通過使用自己的身份證書登陸本信任域��,得到認證服務器的信任后�,與認證服務器起雙向認證連接在確定身份后用戶可以提出對某一項資源的訪問請求這個訪問請求所對應的最終判決結(jié)果由三種屬性證書(用戶角色屬性證書,域策略屬性證書���,域間策略屬性證書)的判決函數(shù)來決定�,同時相應的重要系統(tǒng)日志紀錄進數(shù)據(jù)庫���,方便日后檢查�����。
包括如下具體步驟①系統(tǒng)雙向認證機制讓請求方與響應方都確定對方的身份����,身份認證服務器要驗證用戶證書的簽名和有效期以及是否被撤銷�����。如果證書是合法的����,即可從證書中提取信息,如證書序列號�����,用戶名等����,進入下一步����,否則斷開連接���。無論驗證通過與否�,系統(tǒng)日志模塊都要將訪問請求和判決結(jié)果寫入數(shù)據(jù)庫�����。驗證后雙方傳遞的信息被有效的加密�����。
②用戶如要訪問本域內(nèi)的資源�,根據(jù)公鑰證書的序列號創(chuàng)建用戶對象,生成一個會話id���,查詢LDAP服務器�,通過檢索用戶角色證書庫�,獲得此用戶的所有角色。進入下一步用戶如要訪問其他域內(nèi)的資源����,應提供自己的用戶角色屬性證書��,域安全管理者檢查屬性證書是否有效����,無效則拒絕請求�。同時域安全管理者要獲得用戶所在域與訪問域之間的“域間策略證書”�����,如果兩個域之間不存在互操作關系��,則拒絕用戶請求�,反之進行角色的映射,將本域角色映射為其他域的角色��。
③域安全管理者對用戶對象進行檢查�����,將此用戶被分配的角色返回給用戶���,同時為用戶創(chuàng)建一個會話對象��。
④用戶根據(jù)自身要求從域安全管理者返回的若干角色中選擇自己需要的角色��,并將所選的角色發(fā)回給域安全管理者�����。
⑤域安全管理者訪問域策略屬性證書���,獲得用戶所要求角色的所有子角色��,構(gòu)建角色對象�。系統(tǒng)對角色對象進行檢查�����,看是否滿足角色約束條件���,對會話對象進行檢查���,以確保將角色加入會話對象后,不會同時激活兩個互斥的角色��,如果不存在互斥角色,則將角色加入會話對象���,進行下一步����,否則拒絕用戶的請求�。
⑥域安全管理者構(gòu)建權(quán)限對象。結(jié)合角色對象和權(quán)限對象可以獲得用戶所有的權(quán)限���。系統(tǒng)對權(quán)限對象進行約束性檢查,獲取此用戶所有的合法權(quán)限�����。
⑦將此用戶被授權(quán)的合法權(quán)限集和所要求的權(quán)限集進行比較�,如果前者包含后者,則允許其對資源的訪問��,否則拒絕其訪問資源���。訪問完成之后�,將會話關閉���,釋放系統(tǒng)資源��。
整體的訪問控制步驟如以上所示���,但是對應于域間的角色映射關系���,應該加上一定的權(quán)限限制,使其他域中映射到本域的角色權(quán)限被限制在一定的范圍之內(nèi)����。即Privilege(映射到本域角色)<Privilege(本域用戶使用該角色)。這也同樣應用于改進的RBAC中�����,在該模型體系中子角色并非完全繼承父角色的全部權(quán)限����,而是部分繼承,這樣允許父角色擁有自己的私有權(quán)限����。同樣對應到分布式訪問控制中,通過域間映射的角色并非完全繼承該被訪問域中映射角色的權(quán)限���,而是部分繼承�,這樣可以很好的保護被訪問域中資源信息的安全。
本發(fā)明的效果是顯著的����,使用這種方法設計的分布式安全訪問控制系統(tǒng)融合了現(xiàn)在流行的PKI,PMI��,RBAC技術(shù)�,高性能的LDAP服務器等,向用戶展示了一種分布式安全訪問控制系統(tǒng)的訪問過程���。同時��,通過增加“域策略屬性證書,域間策略屬性證書”����,使原有的安全訪問控制方法從集中域中通過角色映射很好的應用到分布式訪問控制系統(tǒng)中。
圖1是本發(fā)明體系中改進的RBAC模型結(jié)構(gòu)示意圖�����。
圖2是本發(fā)明體系中RBAC+PMI的域間映射約束過程示意圖����。
具體實施例方式
本實施例實施采用的軟硬件環(huán)境服務器Tomcat 5.0以上����,JAVA環(huán)境����,支持JAAS,客戶端硬件要求Windows 2000/XP��,Pentium 2400Mhz以上���,256M內(nèi)存��,與服務器的網(wǎng)絡連接�����;客戶端軟件IE瀏覽器�。
部署①���、在各個信任域中搭建本信任域的身份認證服務器����,部署于Tomcat上,在各個信任域中部署LDAP服務器��,其中包括以下幾個數(shù)據(jù)庫a.用戶身份信息數(shù)據(jù)庫(PKI證書信息表��,等)b.屬性證書數(shù)據(jù)庫(PMI證書信息表����,域內(nèi)策略映射表,域間策略映射表���,角色證書表��,角色映射表等)c.資源信息數(shù)據(jù)庫(本信任域中的可配置資源信息及提供的相應權(quán)限)②�、為身份認證服務器配置雙向認證信任關系�����,配置各個信任域的信任管理模塊�����,包括對本信任域約束機制和不同信任域中的映射關系約束���。配制各個信任域中的身份證書����,屬性證書的申請和管理模塊以及相應的策略定制���,管理模塊���。在搭建每個信任域的過程中,都存在各自定義的角色和他們對應權(quán)限����。復雜的系統(tǒng)必然存在子角色等角色繼承關系,考慮到分布式多級安全訪問控制的安全性原則����,本方案在這里提出了使用改進的RBAC模型的構(gòu)想,此模型在原有RBAC模型的基礎上為父角色添加相應的私有權(quán)限�����,這部分權(quán)限不允許子角色繼承��。這種方法也應用到不同信任域間的角色映射中����,即映射的角色在域中的權(quán)限應該小于在該域中直接使用該角色的權(quán)限���。這樣做的好處是很好的保護了本信任域的資源不被外信任域?qū)嶓w破壞或非授權(quán)防問,同樣在一定程度上允許域外的可信實體訪問本信任域中的資源��。改進的RBAC模型���,如圖1所示③���、啟動LDAP和Tomcat服務器,每個信任域中的用戶通過在IE中加載自己的合法身份證書�����,與本信任域認證服務器的建立連接����。
方式IE->工具->Internet選項->內(nèi)容->證書添加X.509證書。
經(jīng)過本信任域認證服務器的信任后�����,信任服務器為用戶提供會話id���,用戶有權(quán)訪問本信任域資源或通過角色映射訪問其他信任域的資源���。主體在訪問本任域外的資源而選擇可映射的角色時,這種選擇的結(jié)果受到本信任域和和映射信任域中策略共同判決�����,不能選擇互斥的角色��,如圖2所示�。
相對于小型分布式系統(tǒng)中使用的安全標簽方案,本發(fā)明可以很好的應用到大型的分布式系統(tǒng)中�,所述的雙向認證機制可以很好確定用戶的身份,確保不被偽造���,同時為交互信息提供加密��,確保不被竊聽�。屬性證書和RBAC的廣泛使用使權(quán)限與身份更好的分離�����,便于策略管理員更好的管理�。域間映射機制既方便分布式的訪問,又給與一定角色映射約束限制,確保訪問安全��。
采用以上方法能夠很好的提供分布式資源訪問控制��,便于域管理員進行管理和配置���,可以安全高效地滿足大規(guī)模多用戶并發(fā)使用�����,效果很好��。
權(quán)利要求
1.一種分布式多級安全訪問控制方法��,其特征在于���,通過PKI技術(shù)提供相應的身份認證與信息加密機制,通過RBAC技術(shù)和PMI技術(shù)約束用戶—角色—權(quán)限之間的關系����,通過資源描述符約束相對分散條件下的資源訪問,通過日志模塊紀錄相應的用戶訪問信息以及系統(tǒng)安全信息�;對于實際應用中的多個信任域,用戶通過使用自己的身份證書登陸本信任域��,得到認證服務器的信任后,與認證服務器起雙向認證連接�,在確定身份后用戶可以提出對某一項資源的訪問請求,這個訪問請求所對應的最終判決結(jié)果由用戶角色屬性證書��,域策略屬性證書����,域間策略屬性證書三種屬性證書的判決函數(shù)來決定�����,同時相應的重要系統(tǒng)日志紀錄進數(shù)據(jù)庫�����,方便日后檢查����。
2.根據(jù)權(quán)利要求1所述的分布式多級安全訪問控制方法,其特征是�����,包括如下具體步驟①系統(tǒng)雙向認證機制讓請求方與響應方都確定對方的身份�,身份認證服務器要驗證用戶證書的簽名和有效期以及是否被撤銷;②用戶訪問資源,包括用戶訪問本域內(nèi)的資源和用戶訪問其他域內(nèi)的資源��;③域安全管理者對用戶對象進行檢查�����,將此用戶被分配的角色返回給用戶���,同時為用戶創(chuàng)建一個會話對象�����;④用戶根據(jù)自身要求從域安全管理者返回的若干角色中選擇自己需要的角色��,并將所選的角色發(fā)回給域安全管理者���;⑤域安全管理者訪問域策略屬性證書,獲得用戶所要求角色的所有子角色�,構(gòu)建角色對象;⑥域安全管理者構(gòu)建權(quán)限對象��;⑦將此用戶被授權(quán)的合法權(quán)限集和所要求的權(quán)限集進行比較�����,如果前者包含后者,則允許其對資源的訪問�����,否則拒絕其訪問資源�����。
3.根據(jù)權(quán)利要求2所述的分布式多級安全訪問控制方法�����,其特征是��,所述的身份認證����,如果證書是合法的���,即可從證書中提取證書序列號�,用戶名信息�����,進入下一步,否則斷開連接�����,無論驗證通過與否�,系統(tǒng)日志模塊都要將訪問請求和判決結(jié)果寫入數(shù)據(jù)庫,驗證后雙方傳遞的信息被有效的加密���。
4.根據(jù)權(quán)利要求2所述的分布式多級安全訪問控制方法�,其特征是���,所述的用戶訪問本域內(nèi)的資源����,根據(jù)公鑰證書的序列號創(chuàng)建用戶對象�,生成一個會話id,查詢LDAP服務器��,通過檢索用戶角色證書庫�,獲得此用戶的所有角色。
5.根據(jù)權(quán)利要求2所述的分布式多級安全訪問控制方法�����,其特征是,所述的用戶訪問其他域內(nèi)的資源���,應提供自己的用戶角色屬性證書����,域安全管理者檢查屬性證書是否有效�����,無效則拒絕請求�����。
6.根據(jù)權(quán)利要求2所述的分布式多級安全訪問控制方法�����,其特征是�,所述的域安全管理者����,要獲得用戶所在域與訪問域之間的“域間策略證書”,如果兩個域之間不存在互操作關系���,則拒絕用戶請求�����,反之進行角色的映射�����,將本域角色映射為其他域的角色�����。
7.根據(jù)權(quán)利要求2所述的分布式多級安全訪問控制方法�����,其特征是���,所述的角色對象����,系統(tǒng)對角色對象進行檢查����,看是否滿足角色約束條件���,對會話對象進行檢查,以確保將角色加入會話對象后��,不會同時激活兩個互斥的角色����,如果不存在互斥角色,則將角色加入會話對象���,進行下一步�,否則拒絕用戶的請求����。
8.根據(jù)權(quán)利要求2所述的分布式多級安全訪問控制方法��,其特征是��,所述的構(gòu)建權(quán)限對象����,是指結(jié)合角色對象和權(quán)限對象可以獲得用戶所有的權(quán)限,系統(tǒng)對權(quán)限對象進行約束性檢查���,獲取此用戶所有的合法權(quán)限���。
全文摘要
本發(fā)明涉及的是一種網(wǎng)絡安全技術(shù)領域的分布式多級安全訪問控制方法�����。通過PKI技術(shù)提供相應的身份認證與信息加密機制�,通過資源描述符約束相對分散條件下的資源訪問�,通過日志模塊紀錄相應的用戶訪問信息以及系統(tǒng)安全信息;用戶通過使用自己的身份證書登陸本信任域����,得到認證服務器的信任后,與認證服務器起雙向認證連接�����,在確定身份后用戶可以提出對某一項資源的訪問請求��,這個訪問請求所對應的最終判決結(jié)果由用戶角色屬性證書�����,域策略屬性證書,域間策略屬性證書三種屬性證書的判決函數(shù)來決定�,同時相應的重要系統(tǒng)日志紀錄進數(shù)據(jù)庫,方便日后檢查����。本發(fā)明實時的對系統(tǒng)中出現(xiàn)的訪問情況進行日志記錄,能夠很好的分析系統(tǒng)的安全性���。
文檔編號H04L29/06GK1960255SQ20061011630
公開日2007年5月9日 申請日期2006年9月21日 優(yōu)先權(quán)日2006年9月21日
發(fā)明者楊樹堂, 陸松年, 李建華, 雷融, 陳恭亮, 李駿 申請人:上海交通大學