专利名称:分布式多级安全访问控制方法
技术领域:
本发明涉及的是一种网络安全技术领域的控制方法,具体是一种分布式多级安全访问控制方法。
背景技术:
随着Internet和分布式对象技术的飞速发展和普遍应用,出现了越来越多的分布式系统。同时由于电子商务和供应链等技术的推动,系统间的协同也变得十分普遍,这也促使分布式系统的规模变得越来越大,复杂性越来越强。分布式系统中的实体允许谁使用,允许如何使用以及谁来定义使用规则,这就是分布式系统中的访问控制问题。要使分布式系统充分而安全地发挥其作用,系统间安全地进行协作,一种高效的访问控制方法实现其应用的第一步。
访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。传统的访问控制模型,如自主访问控制DAC(Discretionary AccessControl)模型,强制访问控制MAC(Mandatory Access Control)模型以及近来提出的基于角色的访问制RBAC模型,主要工作于集中式安全控制的系统中。
分布式中的相应问题分布式多级安全访问控制技术在结合原有的集中访问控制的基础上必须考虑以下几点(1)多域间怎样进行身份的验证和安全的互操作(2)如何有效地实现资源的互访经过对现有技术的检索,尚未发现与本发明主题相同或者类似的文献报道。网络安全技术领域的控制方法发明内容本发明的目的在于克服现有技术中的不足,提供一种分布式多级安全访问控制方法。使其充分利用集中式安全访问控制系统中的方法,考虑到分布式环境同一信任域与不同信任域间的差别,提出了整体的分布式安全访问控制的框架,并给出此框架下给出具体的实施步骤,以及在其中应用到的角色私有,继承和映射的转换,相应安全日志的建立的模型。
本发明是通过以下技术方案实现的,本发明通过PKI技术提供相应的身份认证与信息加密机制,通过RBAC技术和PMI技术约束用户---角色---权限之间的关系,通过资源描述符约束相对分散条件下的资源访问,通过日志模块纪录相应的用户访问信息以及系统安全信息。本发明对于实际应用中的多个信任域,用户通过使用自己的身份证书登陆本信任域,得到认证服务器的信任后,与认证服务器起双向认证连接在确定身份后用户可以提出对某一项资源的访问请求这个访问请求所对应的最终判决结果由三种属性证书(用户角色属性证书,域策略属性证书,域间策略属性证书)的判决函数来决定,同时相应的重要系统日志纪录进数据库,方便日后检查。
包括如下具体步骤①系统双向认证机制让请求方与响应方都确定对方的身份,身份认证服务器要验证用户证书的签名和有效期以及是否被撤销。如果证书是合法的,即可从证书中提取信息,如证书序列号,用户名等,进入下一步,否则断开连接。无论验证通过与否,系统日志模块都要将访问请求和判决结果写入数据库。验证后双方传递的信息被有效的加密。
②用户如要访问本域内的资源,根据公钥证书的序列号创建用户对象,生成一个会话id,查询LDAP服务器,通过检索用户角色证书库,获得此用户的所有角色。进入下一步用户如要访问其他域内的资源,应提供自己的用户角色属性证书,域安全管理者检查属性证书是否有效,无效则拒绝请求。同时域安全管理者要获得用户所在域与访问域之间的“域间策略证书”,如果两个域之间不存在互操作关系,则拒绝用户请求,反之进行角色的映射,将本域角色映射为其他域的角色。
③域安全管理者对用户对象进行检查,将此用户被分配的角色返回给用户,同时为用户创建一个会话对象。
④用户根据自身要求从域安全管理者返回的若干角色中选择自己需要的角色,并将所选的角色发回给域安全管理者。
⑤域安全管理者访问域策略属性证书,获得用户所要求角色的所有子角色,构建角色对象。系统对角色对象进行检查,看是否满足角色约束条件,对会话对象进行检查,以确保将角色加入会话对象后,不会同时激活两个互斥的角色,如果不存在互斥角色,则将角色加入会话对象,进行下一步,否则拒绝用户的请求。
⑥域安全管理者构建权限对象。结合角色对象和权限对象可以获得用户所有的权限。系统对权限对象进行约束性检查,获取此用户所有的合法权限。
⑦将此用户被授权的合法权限集和所要求的权限集进行比较,如果前者包含后者,则允许其对资源的访问,否则拒绝其访问资源。访问完成之后,将会话关闭,释放系统资源。
整体的访问控制步骤如以上所示,但是对应于域间的角色映射关系,应该加上一定的权限限制,使其他域中映射到本域的角色权限被限制在一定的范围之内。即Privilege(映射到本域角色)<Privilege(本域用户使用该角色)。这也同样应用于改进的RBAC中,在该模型体系中子角色并非完全继承父角色的全部权限,而是部分继承,这样允许父角色拥有自己的私有权限。同样对应到分布式访问控制中,通过域间映射的角色并非完全继承该被访问域中映射角色的权限,而是部分继承,这样可以很好的保护被访问域中资源信息的安全。
本发明的效果是显著的,使用这种方法设计的分布式安全访问控制系统融合了现在流行的PKI,PMI,RBAC技术,高性能的LDAP服务器等,向用户展示了一种分布式安全访问控制系统的访问过程。同时,通过增加“域策略属性证书,域间策略属性证书”,使原有的安全访问控制方法从集中域中通过角色映射很好的应用到分布式访问控制系统中。
图1是本发明体系中改进的RBAC模型结构示意图。
图2是本发明体系中RBAC+PMI的域间映射约束过程示意图。
具体实施例方式
本实施例实施采用的软硬件环境服务器Tomcat 5.0以上,JAVA环境,支持JAAS,客户端硬件要求Windows 2000/XP,Pentium 2400Mhz以上,256M内存,与服务器的网络连接;客户端软件IE浏览器。
部署①、在各个信任域中搭建本信任域的身份认证服务器,部署于Tomcat上,在各个信任域中部署LDAP服务器,其中包括以下几个数据库a.用户身份信息数据库(PKI证书信息表,等)b.属性证书数据库(PMI证书信息表,域内策略映射表,域间策略映射表,角色证书表,角色映射表等)c.资源信息数据库(本信任域中的可配置资源信息及提供的相应权限)②、为身份认证服务器配置双向认证信任关系,配置各个信任域的信任管理模块,包括对本信任域约束机制和不同信任域中的映射关系约束。配制各个信任域中的身份证书,属性证书的申请和管理模块以及相应的策略定制,管理模块。在搭建每个信任域的过程中,都存在各自定义的角色和他们对应权限。复杂的系统必然存在子角色等角色继承关系,考虑到分布式多级安全访问控制的安全性原则,本方案在这里提出了使用改进的RBAC模型的构想,此模型在原有RBAC模型的基础上为父角色添加相应的私有权限,这部分权限不允许子角色继承。这种方法也应用到不同信任域间的角色映射中,即映射的角色在域中的权限应该小于在该域中直接使用该角色的权限。这样做的好处是很好的保护了本信任域的资源不被外信任域实体破坏或非授权防问,同样在一定程度上允许域外的可信实体访问本信任域中的资源。改进的RBAC模型,如图1所示③、启动LDAP和Tomcat服务器,每个信任域中的用户通过在IE中加载自己的合法身份证书,与本信任域认证服务器的建立连接。
方式IE->工具->Internet选项->内容->证书添加X.509证书。
经过本信任域认证服务器的信任后,信任服务器为用户提供会话id,用户有权访问本信任域资源或通过角色映射访问其他信任域的资源。主体在访问本任域外的资源而选择可映射的角色时,这种选择的结果受到本信任域和和映射信任域中策略共同判决,不能选择互斥的角色,如图2所示。
相对于小型分布式系统中使用的安全标签方案,本发明可以很好的应用到大型的分布式系统中,所述的双向认证机制可以很好确定用户的身份,确保不被伪造,同时为交互信息提供加密,确保不被窃听。属性证书和RBAC的广泛使用使权限与身份更好的分离,便于策略管理员更好的管理。域间映射机制既方便分布式的访问,又给与一定角色映射约束限制,确保访问安全。
采用以上方法能够很好的提供分布式资源访问控制,便于域管理员进行管理和配置,可以安全高效地满足大规模多用户并发使用,效果很好。
权利要求
1.一种分布式多级安全访问控制方法,其特征在于,通过PKI技术提供相应的身份认证与信息加密机制,通过RBAC技术和PMI技术约束用户—角色—权限之间的关系,通过资源描述符约束相对分散条件下的资源访问,通过日志模块纪录相应的用户访问信息以及系统安全信息;对于实际应用中的多个信任域,用户通过使用自己的身份证书登陆本信任域,得到认证服务器的信任后,与认证服务器起双向认证连接,在确定身份后用户可以提出对某一项资源的访问请求,这个访问请求所对应的最终判决结果由用户角色属性证书,域策略属性证书,域间策略属性证书三种属性证书的判决函数来决定,同时相应的重要系统日志纪录进数据库,方便日后检查。
2.根据权利要求1所述的分布式多级安全访问控制方法,其特征是,包括如下具体步骤①系统双向认证机制让请求方与响应方都确定对方的身份,身份认证服务器要验证用户证书的签名和有效期以及是否被撤销;②用户访问资源,包括用户访问本域内的资源和用户访问其他域内的资源;③域安全管理者对用户对象进行检查,将此用户被分配的角色返回给用户,同时为用户创建一个会话对象;④用户根据自身要求从域安全管理者返回的若干角色中选择自己需要的角色,并将所选的角色发回给域安全管理者;⑤域安全管理者访问域策略属性证书,获得用户所要求角色的所有子角色,构建角色对象;⑥域安全管理者构建权限对象;⑦将此用户被授权的合法权限集和所要求的权限集进行比较,如果前者包含后者,则允许其对资源的访问,否则拒绝其访问资源。
3.根据权利要求2所述的分布式多级安全访问控制方法,其特征是,所述的身份认证,如果证书是合法的,即可从证书中提取证书序列号,用户名信息,进入下一步,否则断开连接,无论验证通过与否,系统日志模块都要将访问请求和判决结果写入数据库,验证后双方传递的信息被有效的加密。
4.根据权利要求2所述的分布式多级安全访问控制方法,其特征是,所述的用户访问本域内的资源,根据公钥证书的序列号创建用户对象,生成一个会话id,查询LDAP服务器,通过检索用户角色证书库,获得此用户的所有角色。
5.根据权利要求2所述的分布式多级安全访问控制方法,其特征是,所述的用户访问其他域内的资源,应提供自己的用户角色属性证书,域安全管理者检查属性证书是否有效,无效则拒绝请求。
6.根据权利要求2所述的分布式多级安全访问控制方法,其特征是,所述的域安全管理者,要获得用户所在域与访问域之间的“域间策略证书”,如果两个域之间不存在互操作关系,则拒绝用户请求,反之进行角色的映射,将本域角色映射为其他域的角色。
7.根据权利要求2所述的分布式多级安全访问控制方法,其特征是,所述的角色对象,系统对角色对象进行检查,看是否满足角色约束条件,对会话对象进行检查,以确保将角色加入会话对象后,不会同时激活两个互斥的角色,如果不存在互斥角色,则将角色加入会话对象,进行下一步,否则拒绝用户的请求。
8.根据权利要求2所述的分布式多级安全访问控制方法,其特征是,所述的构建权限对象,是指结合角色对象和权限对象可以获得用户所有的权限,系统对权限对象进行约束性检查,获取此用户所有的合法权限。
全文摘要
本发明涉及的是一种网络安全技术领域的分布式多级安全访问控制方法。通过PKI技术提供相应的身份认证与信息加密机制,通过资源描述符约束相对分散条件下的资源访问,通过日志模块纪录相应的用户访问信息以及系统安全信息;用户通过使用自己的身份证书登陆本信任域,得到认证服务器的信任后,与认证服务器起双向认证连接,在确定身份后用户可以提出对某一项资源的访问请求,这个访问请求所对应的最终判决结果由用户角色属性证书,域策略属性证书,域间策略属性证书三种属性证书的判决函数来决定,同时相应的重要系统日志纪录进数据库,方便日后检查。本发明实时的对系统中出现的访问情况进行日志记录,能够很好的分析系统的安全性。
文档编号H04L29/06GK1960255SQ20061011630
公开日2007年5月9日 申请日期2006年9月21日 优先权日2006年9月21日
发明者杨树堂, 陆松年, 李建华, 雷融, 陈恭亮, 李骏 申请人:上海交通大学