[发明专利]一种基于UCON模型用户匿名访问方法和系统

说明书

本发明实施例提供了一种基于UCON模型用户匿名访问方法和系统，当匿名用户在业务逻辑层的AA子层通过合法验证，则将用户请求发送至业务逻辑层的PA子层中的访问控制实施点AEF；AEF解析所述用户请求，提取用户信息以及所述用户请求的访问目标，并再次将用户信息以及所述访问目标作为决策请求发送至PA子层中的访问控制判决点ADF；ADF根据所述用户信息从LDAP中查找主体策略文件，根据所述主体策略文件中的访问策略规则确定所述用户是否对目标资源具有相应的操作权限。提供了对数字资源的持续保护；允许匿名访问；完善和丰富了传统访问控制模式，提供了使用中控制和易变性，适用于现代信息和系统的保护。

技术领域

本发明涉及通信技术领域，尤其涉及一种基于UCON模型用户匿名访问方法和系统。

背景技术

随着社会信息化和网络化程度的提高，信息安全的隐患越来越突出。网络与信息的安全已经成为关系国计民生的头等大事。PKI(Public Key Infrastructure,公开密钥基础设施)在网络安全领域的作用功不可没，但是，PKI只解决了用户“是谁”的问题，却不能区分出每个用户的权限。为解决这个问题，在保持原来公钥证书传统格式的同时引入扩展项来标识用户的权限，即PMI(Privilege Management Infrastructure,特权管理基础设施)模型。PMI系统可同时提供身份认证和访问控制服务。身份认证可以采用现有的公开密钥基础设施PKI来完成。访问控制就要根据采用的访问控制策略和访问控制模型，实现对系统资源和用户安全属性的统一管理，并在此基础之上提供用户到资源的访问控制决策功能。

传统的访问控制主要关注在一个封闭环境中数据保护的研究。访问控制的实现主要根据识别已知用户的属性或者使用监视器和有详细授权规则的处理进程。传统的访问控制包括：自主访问控制(Discretionary Access Control,DAC)、强制访问控制(MandatoryAccess Control,MAC)、基于角色的访问控制(Role-Based Access Control,RBAC)、基于任务和工作流的访问控制(Task-Based Access Control,TBAC)等。然而，随着数字信息时代的到来，传统的访问控制处理当今数字环境中的问题已经出现了困难。一个原因是传统访问控制仅关注封闭系统中对数字资源的访问控制，而在信息被访问后或者被发布到其他系统后不能持续保护数字资源。另一个原因，传统访问控制仅处理已知用户的访问，对匿名用户束手无策，这点远远不能满足今天网络世界的需要。可信管理使用信任书策略支持匿名用户对数字客体访问，而不能控制已发布的数字客体。传统访问控制和可信管理的一个共同点是使用主体和客体属性来授权。也就是说，传统访问控制和可信管理根据主体属性、客体属性和请求的权利进行授权决策。传统访问控制和可信管理主要关注敏感信息的保护，不能满足现代B2C系统中的要求。

发明内容

本发明的实施例提供了一种基于UCON模型用户匿名访问方法和系统，本发明提供了如下方案：

当匿名用户在业务逻辑层的AA子层通过合法验证，则将用户请求发送至业务逻辑层的PA子层中的访问控制实施点AEF；

AEF解析所述用户请求，提取用户信息以及所述用户请求的访问目标，并再次将用户信息以及所述访问目标作为决策请求发送至PA子层中的访问控制判决点ADF；

ADF根据所述用户信息从LDAP中查找主体策略文件，根据所述主体策略文件中的访问策略规则确定所述用户是否对目标资源具有相应的操作权限。

根据本发明的另一方面还提供一种基于UCON模型用户匿名访问系统，包括：发送模块：其用于当匿名用户在业务逻辑层的AA子层通过合法验证，则将用户请求发送至业务逻辑层的PA子层中的访问控制实施点AEF；

解析模块：其用于使AEF解析所述用户请求，提取用户信息以及所述用户请求的访问目标，并再次将用户信息以及所述访问目标作为决策请求发送至PA子层中的访问控制判决点ADF；