CN100542092C - 分布式多级安全访问控制方法 - Google Patents
分布式多级安全访问控制方法 Download PDFInfo
- Publication number
- CN100542092C CN100542092C CNB2006101163016A CN200610116301A CN100542092C CN 100542092 C CN100542092 C CN 100542092C CN B2006101163016 A CNB2006101163016 A CN B2006101163016A CN 200610116301 A CN200610116301 A CN 200610116301A CN 100542092 C CN100542092 C CN 100542092C
- Authority
- CN
- China
- Prior art keywords
- user
- role
- territory
- certificate
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及的是一种网络安全技术领域的分布式多级安全访问控制方法。通过PKI技术提供相应的身份认证与信息加密机制,通过资源描述符约束相对分散条件下的资源访问,通过日志模块纪录相应的用户访问信息以及***安全信息;用户通过使用自己的身份证书登陆本信任域,得到认证服务器的信任后,与认证服务器起双向认证连接,在确定身份后用户可以提出对某一项资源的访问请求,这个访问请求所对应的最终判决结果由用户角色属性证书,域策略属性证书,域间策略属性证书三种属性证书的判决函数来决定,同时相应的重要***日志纪录进数据库,方便日后检查。本发明实时的对***中出现的访问情况进行日志记录,能够很好的分析***的安全性。
Description
技术领域
本发明涉及的是一种网络安全技术领域的控制方法,具体是一种分布式多级安全访问控制方法。
背景技术
随着Internet和分布式对象技术的飞速发展和普遍应用,出现了越来越多的分布式***。同时由于电子商务和供应链等技术的推动,***间的协同也变得十分普遍,这也促使分布式***的规模变得越来越大,复杂性越来越强。分布式***中的实体允许谁使用,允许如何使用以及谁来定义使用规则,这就是分布式***中的访问控制问题。要使分布式***充分而安全地发挥其作用,***间安全地进行协作,一种高效的访问控制方法实现其应用的第一步。
访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。传统的访问控制模型,如自主访问控制DAC(Discretionary AccessControl)模型,强制访问控制MAC(Mandatory Access Control)模型以及近来提出的基于角色的访问制RBAC模型,主要工作于集中式安全控制的***中。
分布式中的相应问题:
分布式多级安全访问控制技术在结合原有的集中访问控制的基础上必须考虑以下几点:
(1)多域间怎样进行身份的验证和安全的互操作
(2)如何有效地实现资源的互访
经过对现有技术的检索,尚未发现与本发明主题相同或者类似的文献报道。
网络安全技术领域的控制方法
发明内容
本发明的目的在于克服现有技术中的不足,提供一种分布式多级安全访问控制方法。使其充分利用集中式安全访问控制***中的方法,考虑到分布式环境同一信任域与不同信任域间的差别,提出了整体的分布式安全访问控制的框架,并给出此框架下给出具体的实施步骤,以及在其中应用到的角色私有,继承和映射的转换,相应安全日志的建立的模型。
本发明是通过以下技术方案实现的,本发明通过PKI技术提供相应的身份认证与信息加密机制,通过RBAC技术和PMI技术约束用户---角色---权限之间的关系,通过资源描述符约束相对分散条件下的资源访问,通过日志模块纪录相应的用户访问信息以及***安全信息。本发明对于实际应用中的多个信任域,用户通过使用自己的身份证书登陆本信任域,得到认证服务器的信任后,与认证服务器起双向认证连接:在确定身份后用户可以提出对某一项资源的访问请求:这个访问请求所对应的最终判决结果由三种属性证书(用户角色属性证书,域策略属性证书,域间策略属性证书)的判决函数来决定,同时相应的重要***日志纪录进数据库,方便日后检查。
包括如下具体步骤:
①***双向认证机制让请求方与响应方都确定对方的身份,身份认证服务器要验证用户证书的签名和有效期以及是否被撤销。如果证书是合法的,即可从证书中提取信息,如证书序列号,用户名等,进入下一步,否则断开连接。无论验证通过与否,***日志模块都要将访问请求和判决结果写入数据库。验证后双方传递的信息被有效的加密。
②用户如要访问本域内的资源,根据公钥证书的序列号创建用户对象,生成一个会话id,查询LDAP服务器,通过检索用户角色证书库,获得此用户的所有角色。进入下一步用户如要访问其他域内的资源,应提供自己的用户角色属性证书,域安全管理者检查属性证书是否有效,无效则拒绝请求。同时域安全管理者要获得用户所在域与访问域之间的“域间策略证书”,如果两个域之间不存在互操作关系,则拒绝用户请求,反之进行角色的映射,将本域角色映射为其他域的角色。
③域安全管理者对用户对象进行检查,将此用户被分配的角色返回给用户,同时为用户创建一个会话对象。
④用户根据自身要求从域安全管理者返回的若干角色中选择自己需要的角色,并将所选的角色发回给域安全管理者。
⑤域安全管理者访问域策略属性证书,获得用户所要求角色的所有子角色,构建角色对象。***对角色对象进行检查,看是否满足角色约束条件,对会话对象进行检查,以确保将角色加入会话对象后,不会同时激活两个互斥的角色,如果不存在互斥角色,则将角色加入会话对象,进行下一步,否则拒绝用户的请求。
⑥域安全管理者构建权限对象。结合角色对象和权限对象可以获得用户所有的权限。***对权限对象进行约束性检查,获取此用户所有的合法权限。
⑦将此用户被授权的合法权限集和所要求的权限集进行比较,如果前者包含后者,则允许其对资源的访问,否则拒绝其访问资源。访问完成之后,将会话关闭,释放***资源。
整体的访问控制步骤如以上所示,但是对应于域间的角色映射关系,应该加上一定的权限限制,使其他域中映射到本域的角色权限被限制在一定的范围之内。即:Privilege(映射到本域角色)<Privilege(本域用户使用该角色)。这也同样应用于改进的RBAC中,在该模型体系中子角色并非完全继承父角色的全部权限,而是部分继承,这样允许父角色拥有自己的私有权限。同样对应到分布式访问控制中,通过域间映射的角色并非完全继承该被访问域中映射角色的权限,而是部分继承,这样可以很好的保护被访问域中资源信息的安全。
本发明的效果是显著的,使用这种方法设计的分布式安全访问控制***融合了现在流行的PKI,PMI,RBAC技术,高性能的LDAP服务器等,向用户展示了一种分布式安全访问控制***的访问过程。同时,通过增加“域策略属性证书,域间策略属性证书”,使原有的安全访问控制方法从集中域中通过角色映射很好的应用到分布式访问控制***中。
附图说明
图1是本发明体系中改进的RBAC模型结构示意图。
图2是本发明体系中RBAC+PMI的域间映射约束过程示意图。
具体实施方式
本实施例实施采用的软硬件环境:服务器:Tomcat 5.0以上,JAVA环境,支持JAAS,客户端硬件要求:Windows 2000/XP,Pentium 2400Mhz以上,256M内存,与服务器的网络连接;客户端软件:IE浏览器。
部署:
①、在各个信任域中搭建本信任域的身份认证服务器,部署于Tomcat上,在各个信任域中部署LDAP服务器,其中包括以下几个数据库:
a.用户身份信息数据库(PKI证书信息表,等)
b.属性证书数据库(PMI证书信息表,域内策略映射表,域间策略映射表,角色证书表,角色映射表等)
c.资源信息数据库(本信任域中的可配置资源信息及提供的相应权限)
②、为身份认证服务器配置双向认证信任关系,配置各个信任域的信任管理模块,包括对本信任域约束机制和不同信任域中的映射关系约束。配制各个信任域中的身份证书,属性证书的申请和管理模块以及相应的策略定制,管理模块。在搭建每个信任域的过程中,都存在各自定义的角色和他们对应权限。复杂的***必然存在子角色等角色继承关系,考虑到分布式多级安全访问控制的安全性原则,本方案在这里提出了使用改进的RBAC模型的构想,此模型在原有RBAC模型的基础上为父角色添加相应的私有权限,这部分权限不允许子角色继承。这种方法也应用到不同信任域间的角色映射中,即映射的角色在域中的权限应该小于在该域中直接使用该角色的权限。这样做的好处是很好的保护了本信任域的资源不被外信任域实体破坏或非授权访问,同样在一定程度上允许域外的可信实体访问本信任域中的资源。改进的RBAC模型,如图1所示:
③、启动LDAP和Tomcat服务器,每个信任域中的用户通过在IE中加载自己的合法身份证书,与本信任域认证服务器的建立连接。
方式:IE->工具->Internet选项->内容->证书添加X.509证书。
经过本信任域认证服务器的信任后,信任服务器为用户提供会话id,用户有权访问本信任域资源或通过角色映射访问其他信任域的资源。主体在访问本任域外的资源而选择可映射的角色时,这种选择的结果受到本信任域和和映射信任域中策略共同判决,不能选择互斥的角色,如图2所示。
相对于小型分布式***中使用的安全标签方案,本发明可以很好的应用到大型的分布式***中,所述的双向认证机制可以很好确定用户的身份,确保不被伪造,同时为交互信息提供加密,确保不被窃听。属性证书和RBAC的广泛使用使权限与身份更好的分离,便于策略管理员更好的管理。域间映射机制既方便分布式的访问,又给与一定角色映射约束限制,确保访问安全。
采用以上方法能够很好的提供分布式资源访问控制,便于域管理员进行管理和配置,可以安全高效地满足大规模多用户并发使用,效果很好。
Claims (7)
1、一种分布式多级安全访问控制方法,其特征在于,通过公开密钥基础设施技术提供相应的身份认证与信息加密机制,通过基于角色的访问控制技术和授权管理基础设施技术约束用户-角色-权限之间的关系,通过资源描述符约束相对分散条件下的资源访问,通过日志模块纪录相应的用户访问信息以及***安全信息;对于实际应用中的多个信任域,用户通过使用自己的身份证书登陆本信任域,得到认证服务器的信任后,与认证服务器建立双向认证连接,在确定身份后用户可以提出对某一项资源的访问请求,这个访问请求所对应的最终判决结果由用户角色属性证书,域策略属性证书,域间策略属性证书三种属性证书的判决函数来决定,同时相应的重要***日志纪录进数据库,方便日后检查,具体包括如下步骤:
①***双向认证机制让请求方与响应方都确定对方的身份,认证服务器要验证用户的身份证书的签名和有效期以及是否被撤销;
②用户访问资源,包括用户访问本域内的资源和用户访问其他域内的资源;
③域安全管理者对用户对象进行检查,将此用户被分配的角色返回给用户,同时为用户创建一个会话对象;
④用户根据自身要求从域安全管理者返回的若干角色中选择自己需要的角色,并将所选的角色发回给域安全管理者;
⑤域安全管理者访问域策略属性证书,获得用户所要求角色的所有子角色,构建角色对象;
⑥域安全管理者构建权限对象;
⑦将此用户被授权的合法权限集和所要求的权限集进行比较,如果前者包含后者,则允许其对资源的访问,否则拒绝其访问资源。
2、根据权利要求1所述的分布式多级安全访问控制方法,其特征是,所述的身份认证,如果身份证书是合法的,即可从身份证书中提取证书序列号,用户名信息,进入下一步,否则断开连接,无论验证通过与否,***日志模块都要将访问请求和判决结果写入数据库,验证后双方传递的信息被有效的加密。
3、根据权利要求1所述的分布式多级安全访问控制方法,其特征是,所述的用户访问本域内的资源,根据公钥证书的序列号创建用户对象,生成一个会话id,查询LDAP服务器,通过检索用户角色证书库,获得此用户的所有角色。
4、根据权利要求1所述的分布式多级安全访问控制方法,其特征是,所述的用户访问其他域内的资源,应提供自己的用户角色属性证书,域安全管理者检查属性证书是否有效,无效则拒绝请求。
5、根据权利要求1所述的分布式多级安全访问控制方法,其特征是,所述的域安全管理者,要获得用户所在域与访问域之间的“域间策略属性证书”,如果两个域之间不存在互操作关系,则拒绝用户请求,反之进行角色的映射,将本域角色映射为其他域的角色。
6、根据权利要求1所述的分布式多级安全访问控制方法,其特征是,所述的角色对象,***对角色对象进行检查,看是否满足角色约束条件,对会话对象进行检查,以确保将角色加入会话对象后,不会同时激活两个互斥的角色,如果不存在互斥角色,则将角色加入会话对象,进行下一步,否则拒绝用户的请求。
7、根据权利要求1所述的分布式多级安全访问控制方法,其特征是,所述的构建权限对象,是指:结合角色对象和权限对象可以获得用户所有的权限,***对权限对象进行约束性检查,获取此用户所有的合法权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101163016A CN100542092C (zh) | 2006-09-21 | 2006-09-21 | 分布式多级安全访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101163016A CN100542092C (zh) | 2006-09-21 | 2006-09-21 | 分布式多级安全访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1960255A CN1960255A (zh) | 2007-05-09 |
| CN100542092C true CN100542092C (zh) | 2009-09-16 |
Family
ID=38071760
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101163016A Expired - Fee Related CN100542092C (zh) | 2006-09-21 | 2006-09-21 | 分布式多级安全访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100542092C (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039186B (zh) * | 2007-05-08 | 2010-08-04 | 中国科学院软件研究所 | ***日志的安全审计方法 |
| CN101232424B (zh) * | 2008-03-04 | 2010-06-30 | ***通信集团设计院有限公司 | 接入方法、接入***、信任服务中心、网络互信平台 |
| CN101296230B (zh) * | 2008-06-17 | 2011-05-11 | 浙江大学 | 基于PKI和PMI的Web服务安全控制方法 |
| CN101335626B (zh) * | 2008-08-06 | 2011-05-18 | ***集团宽带业务应用国家工程实验室有限公司 | 多级认证方法和多级认证*** |
| CN101453388B (zh) * | 2008-12-30 | 2011-02-09 | 公安部第三研究所 | 互联网上网服务营业场端运行安全保障的检验方法 |
| US8898318B2 (en) * | 2010-06-03 | 2014-11-25 | Microsoft Corporation | Distributed services authorization management |
| CN101888341B (zh) * | 2010-07-20 | 2013-02-27 | 上海交通大学 | 在分布式多信任域环境下基于可计算信誉度的访问控制方法 |
| CN101997876B (zh) * | 2010-11-05 | 2014-08-27 | 重庆大学 | 基于属性的访问控制模型及其跨域访问方法 |
| CN102654864A (zh) * | 2011-03-02 | 2012-09-05 | 华北计算机***工程研究所 | 一种面向实时数据库的独立透明型安全审计保护的方法 |
| CN102857488B (zh) * | 2012-05-10 | 2015-06-10 | 中国人民解放军理工大学 | 网络访问控制模型及其方法和终端 |
| CN103699828A (zh) * | 2013-12-25 | 2014-04-02 | 柳州市欧博科技有限公司 | 一种信息安全管理方法 |
| CN104506480B (zh) * | 2014-06-27 | 2018-11-23 | 深圳市永达电子信息股份有限公司 | 基于标记与审计结合的跨域访问控制方法及*** |
| CN108475309B (zh) * | 2015-08-21 | 2023-02-03 | 维尔蒂姆知识产权有限公司 | 用于生物特征协议标准的***和方法 |
| US11329980B2 (en) | 2015-08-21 | 2022-05-10 | Veridium Ip Limited | System and method for biometric protocol standards |
| CN105743885B (zh) * | 2016-01-22 | 2019-09-27 | 山东大学(威海) | 基于多级服务器客户端模式的数据文件收发方法和装置 |
| CN107204978B (zh) * | 2017-05-24 | 2019-10-15 | 北京邮电大学 | 一种基于多租户云环境的访问控制方法及装置 |
| CN110414257A (zh) * | 2018-04-26 | 2019-11-05 | 中移(苏州)软件技术有限公司 | 一种数据访问方法及服务器 |
| CN110753044A (zh) * | 2019-10-12 | 2020-02-04 | 山东英信计算机技术有限公司 | 一种身份认证方法、***、电子设备及存储介质 |
| CN111241519B (zh) * | 2020-01-19 | 2022-07-26 | 北京工业大学 | 基于证书的访问控制***和方法 |
| CN112532591B (zh) * | 2020-11-06 | 2022-03-11 | 西安电子科技大学 | 跨域访问控制方法、***、存储介质、计算机设备及终端 |
| CN112953920B (zh) * | 2021-02-01 | 2022-07-01 | 福建多多云科技有限公司 | 一种基于云手机的监控管理方法 |
| CN117648362B (zh) * | 2024-01-29 | 2024-06-04 | 北京谷器数据科技有限公司 | 一种第三方数据库的链接方法及*** |
-
2006
- 2006-09-21 CN CNB2006101163016A patent/CN100542092C/zh not_active Expired - Fee Related
Non-Patent Citations (4)
| Title |
|---|
| 分布式环境下的访问控制. 卜宏等.计算机应用研究,第8期. 2004 |
| 分布式环境下的访问控制. 卜宏等.计算机应用研究,第8期. 2004 * |
| 网格环境下的分布式RBAC模型框架,. 徐松等.计算机工程,第32卷第6期. 2006 |
| 网格环境下的分布式RBAC模型框架,. 徐松等.计算机工程,第32卷第6期. 2006 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1960255A (zh) | 2007-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100542092C (zh) | 分布式多级安全访问控制方法 | |
| CN110598394B (zh) | 一种权限验证方法、装置和存储介质 | |
| CN101399671B (zh) | 一种跨域认证方法及其*** | |
| US9825938B2 (en) | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration | |
| CN100469000C (zh) | 利用批量设备的身份凭证创建安全网络的***和方法 | |
| CN102597981B (zh) | 模块化装置认证框架 | |
| CN112580102A (zh) | 基于区块链的多维度数字身份鉴别*** | |
| CN101741860B (zh) | 一种计算机远程安全控制方法 | |
| CN107483491A (zh) | 一种云环境下分布式存储的访问控制方法 | |
| CN109728903B (zh) | 一种使用属性密码的区块链弱中心密码授权方法 | |
| JP2006053923A5 (zh) | ||
| CN103152179A (zh) | 一种适用于多应用***的统一身份认证方法 | |
| CN101321064A (zh) | 一种基于数字证书技术的信息***的访问控制方法及装置 | |
| CN104767731A (zh) | 一种Restful移动交易***身份认证防护方法 | |
| CN1731723A (zh) | 电子/手机令牌动态口令认证*** | |
| CN109962890A (zh) | 一种区块链的认证服务装置及节点准入、用户认证方法 | |
| CN101686127A (zh) | 一种新型的USBKey安全调用方法和USBKey装置 | |
| Ghaffari et al. | Authentication and access control based on distributed ledger technology: A survey | |
| CN106921678A (zh) | 一种集成异构舰载信息***的统一安全认证平台 | |
| US20040186998A1 (en) | Integrated security information management system and method | |
| CN103986734B (zh) | 一种适用于高安全性业务***的鉴权管理方法和*** | |
| CN105518689A (zh) | 与用于访问数据网络的用户认证有关的方法和*** | |
| CN106789059A (zh) | 一种基于可信计算的远程双向访问控制***及方法 | |
| CN104506480A (zh) | 基于标记与审计结合的跨域访问控制方法及*** | |
| CN114567491A (zh) | 一种基于零信任原则与区块链技术的医学病历共享方法与*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090916 Termination date: 20180921 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |