[发明专利]一种基于UCON模型用户匿名访问方法和系统

权利要求书

1.一种基于UCON模型用户匿名访问方法，其特征在于，包括：

当匿名用户在业务逻辑层的AA子层通过合法验证，则将用户请求发送至业务逻辑层的PA子层中的访问控制实施点AEF；

AEF解析所述用户请求，提取用户信息以及所述用户请求的访问目标，并再次将用户信息以及所述访问目标作为决策请求发送至PA子层中的访问控制判决点ADF；

ADF根据所述用户信息从LDAP中查找主体策略文件，根据所述主体策略文件中的访问策略规则确定所述用户是否对目标资源具有相应的操作权限。

2.根据权利要求1所述的一种基于UCON模型用户匿名访问方法，其特征在于，包括：

在对所述匿名用户在业务逻辑层的AA子层进行合法验证之前，接收匿名用户在应用层发出的包含用户信息的所述用户请求。

3.根据权利要求1所述的一种基于UCON模型用户匿名访问方法，其特征在于，包括：

当确定所述用户对目标资源具有相应的操作权限，则执行所述用户请求的操作；并且，当所述操作导致用户的主体属性发生变化，则向所述AA子层发出属性证书的更新请求，并将操作结果通过应用层返回给用户。

4.根据权利要求2所述的一种基于UCON模型用户匿名访问方法，其特征在于，包括：接收匿名用户在应用层发出的包含用户信息的证书签发请求之前，所述匿名用户在首次的访问时获取属性证书。

5.根据权利要求2所述的一种基于UCON模型用户匿名访问方法，其特征在于，所述匿名用户在首次的访问时获取属性证书，包括：

匿名用户在应用层发出的首次证书签发请求，其中，所述首次证书签发请求包含匿名用户在证书的签发机构CA获得合法的PKC证书；

将所述首次证书签发请求发送至业务逻辑层；

所述业务逻辑层验证所述首次证书签发请求中包含的PKC证书是否合法，

若合法，则将所述首次证书签发请求发送至所述AA子层获取属性证书。

6.根据权利要求5所述的一种基于UCON模型用户匿名访问方法，其特征在于，所述将所述首次证书签发请求发送至所述AA子层获取属性证书，包括：所述AA子层根据所述首次证书签发请求验证所述用户身份是否合法，如果通过验证，则根据所述首次证书签发请求中的主体信息调用相应属性证书模板，根据PKC证书及所述首次证书签发请求中的用户请求信息设置证书信息和签名算法，生成属性证书，为之签名并发布到LDAP服务器中；

将所述属性证书返回至所述匿名用户。

7.一种基于UCON模型用户匿名访问系统，其特征在于，包括：

发送模块：其用于当匿名用户在业务逻辑层的AA子层通过合法验证，则将用户请求发送至业务逻辑层的PA子层中的访问控制实施点AEF；

解析模块：其用于使AEF解析所述用户请求，提取用户信息以及所述用户请求的访问目标，并再次将用户信息以及所述访问目标作为决策请求发送至PA子层中的访问控制判决点ADF；

查找模块：其用于使ADF根据所述用户信息从LDAP中查找主体策略文件，根据所述主体策略文件中的访问策略规则确定所述用户是否对目标资源具有相应的操作权限。

8.根据权利要求7所述的一种基于UCON模型用户匿名访问系统，其特征在于，包括：

接收模块：其用于在对所述匿名用户在业务逻辑层的AA子层进行合法验证之前，接收匿名用户在应用层发出的包含用户信息的所述用户请求。

9.根据权利要求7所述的一种基于UCON模型用户匿名访问系统，其特征在于，包括：

执行模块：其用于当确定所述用户对目标资源具有相应的操作权限，则执行所述用户请求的操作；并且，当所述操作导致用户的主体属性发生变化，则向所述AA子层发出属性证书的更新请求，并将操作结果通过应用层返回给用户。