[发明专利]基于证书的访问控制系统和方法

说明书

本发明公开了一种基于证书的访问控制系统和方法，其中，访问控制系统中，制定访问规则模块用于资源拥有者针对所拥有的资源的可开放程度对资源使用者进行访问约束；建立委托方案模块用于资源拥有者与证书颁发机构针对证书的授权条件建立委托方案；申请访问资源模块用于资源使用者向资源拥有者请求访问资源，并向资源使用者返回访问结果；申请证书授权模块用于资源使用者向证书颁发机构申请证书，并向资源使用者返回证书申请结果。通过本发明的技术方案，解决了效率负担问题和复杂推理映射问题，实现了资源拥有者本身职责分离的同时也实现资源拥有者和证书颁发机构之间的访问隔离，减轻了资源拥有者的负担，简化了管理。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种基于证书的访问控制系统和一种基于证书的访问控制方法。

背景技术

作为一种信息保护手段，访问控制是许多分布式应用程序的重要组成部分，已经提出了几种集中化和分布式的解决方案用于此类应用。证书特别适合于分布式系统，并以多种方式使用。例如，在网络环境中，伴随着电子支付在国内的迅猛发展，电子支付绑定功能阻止未经授权的访问者访问或者获取数据资源。在现实生活中，智能交通控制技术愈演愈烈，如果没有智能票务控制，许多人可能会出现逃票等情况，导致资源的不当使用。随着研究的不断进步，访问控制模型也变得越来越复杂，不能以简单的方式直接映射到现实，有些模型在实际生活中并没有得到很好的应用。

有的基于证书的访问控制模型中资源拥有者不仅要对大量的、分布式的、未知身份的访问者做出快速、一致且安全的访问决策，而且还要承担颁发证书、帮助访问者搜索证书等职责，这使得资源拥有者负担重、效率低下。有的模型中将授权逐级委托、分级信任，这就造成了多节点、多路径、多策略，使得授权、约束、验证变得愈加困难的同时，对本身的管理也提出了更大的挑战。

发明内容

针对上述问题中的至少之一，本发明提供了一种基于证书的访问控制系统和方法，通过资源拥有者(客体)和证书颁发机构(CI)预先建立策略规则的委托方案，资源使用者(主体)携带证书/没有携带证书对客体提出访问请求，客体首先判断是否有与请求相匹配的证书，如果没有则直接返回拒绝访问结果，如果有则审核证书来源是否合法，合法则判断证书是否符合客体访问所需的其他条件，符合条件则同意访问，不符合条件返回拒绝访问结果。根据上述技术方案，解决了传统授权证书模型的资源拥有者去搜索证书颁发证书带来的效率负担问题，解决了传统委托访问控制模型中的分级建立、控制后继委托带来的复杂推理映射问题，实现资源拥有者本身职责分离的同时也实现资源拥有者和证书颁发机构之间的访问隔离，减轻了资源拥有者的负担，简化了管理。

为实现上述目的，本发明提供了一种基于证书的访问控制系统，包括：资源拥有者、资源使用者和证书颁发机构以及制定访问规则模块、建立委托方案模块、申请访问资源模块和申请证书授权模块，所述制定访问规则模块用于所述资源拥有者针对所拥有的资源的可开放程度对所述资源使用者进行访问约束；所述建立委托方案模块用于所述资源拥有者与所述证书颁发机构针对证书的授权条件建立委托方案；所述申请访问资源模块用于所述资源使用者向所述资源拥有者请求访问资源，并向所述资源使用者返回访问结果；所述申请证书授权模块用于所述资源使用者向所述证书颁发机构申请证书，并向所述资源使用者返回证书申请结果。

在上述技术方案中，优选地，所述资源使用者向所述资源拥有者请求访问资源时携带证书或不携带证书，携带证书时所述资源拥有者审核所述证书是否符合该访问资源请求对应的预设条件，并将访问结果发送至所述资源使用者；不携带证书时所述资源拥有者直接将访问结果发送至所述资源使用者；所述资源使用者接收到拒绝访问结果时，所述申请访问资源模块用于询问所述资源使用者是否继续请求访问，在选择继续请求访问时搜索本地证书库中是否存在对应证书，如果有则携带对应证书向所述资源拥有者请求访问资源，如果没有则询问所述资源使用者是否通过所述申请证书授权模块向所述证书颁发机构申请该证书。