[go: up one dir, main page]

CN102694867A - 一种soa中基于属性的跨安全域访问控制方法和系统 - Google Patents

一种soa中基于属性的跨安全域访问控制方法和系统 Download PDF

Info

Publication number
CN102694867A
CN102694867A CN2012101832561A CN201210183256A CN102694867A CN 102694867 A CN102694867 A CN 102694867A CN 2012101832561 A CN2012101832561 A CN 2012101832561A CN 201210183256 A CN201210183256 A CN 201210183256A CN 102694867 A CN102694867 A CN 102694867A
Authority
CN
China
Prior art keywords
user
module
information
attribute
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2012101832561A
Other languages
English (en)
Inventor
施化吉
倪丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu University
Original Assignee
Jiangsu University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu University filed Critical Jiangsu University
Priority to CN2012101832561A priority Critical patent/CN102694867A/zh
Publication of CN102694867A publication Critical patent/CN102694867A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明揭示了一种SOA中基于属性的跨安全域访问控制系统,包括:消息处理模块,对用户登录信息和令牌进行加解密;身份认证及令牌管理模块,认证用户信息、签发和验证身份令牌;访问控制模块,处理用户访问请求并得出判定结果;服务管理模块,统一注册构架内服务并提取相关资源响应用户。本发明还提供了一种SOA中基于属性的跨安全域访问控制方法。

Description

一种SOA中基于属性的跨安全域访问控制方法和系统
技术领域
本发明属于软件服务架构应用领域,具体涉及一种SOA中基于属性的跨安全域访问控制系统。 
背景技术
SOA是一种组织和使用分布式资源的方法,通过这种方法可以灵活地组织和管理分布在不同管理域中的资源。随着人们对信息集成的要求越来越高,松耦合、开放性的SOA越来越受到企业和学术界的青睐。但SOA的发展也面临许多问题,如SOA系统安全性的保证、如何集成环境中的测试服务和原有数据等,其中,SOA的开放性对集成系统的安全性, 尤其是跨安全域访问的安全性提出了巨大的挑战。 
基于角色的访问控制是现行使用比较普遍的访问控制策略,但其较适用于在一个安全域内实现,不适合对跨域访问进行控制,因为每个安全域都不持有其他安全域最终用户的身份验证信息。基于代理的统一服务认证授权系统将最终用户的基本身份验证信息保留在该用户所在的域内。对于跨安全域的访问,则通过身份认证授权系统来进行控制,该方法在一定程度上解决了企业信息集成中跨域访问的问题,但其基于角色的本质思想不能成为解决SOA的开放性和信息集成问题的最终方法。 
基于属性(ABAC)的访问控制将实体属性概念贯穿于访问控制策略、模型和实现机制三个层次, 将与访问控制相关的时间、实体空间位置、实体行为、访问历史等信息作为主体、客体、权限和环境的属性来统一建模, 通过定义属性之间的关系描述复杂的授权和访问控制约束, 能够灵活地表达细粒度、复杂的访问授权和访问控制策略, 特别适合于SOA开放式环境,并可增强访问控制系统的灵活性和可扩展性。 
发明内容
综合考虑上述问题,本发明提出一种基于属性的跨安全域访问控制系统,将基于属性访问控制组件嵌入SOA系统后,在属性权威中添加安全域属性,并将相关的跨域访问策略添加到公共策略库中,消除了基于角色思想在跨安全域访问方面的缺陷,充分实现了SOA的分布性,使整个系统具备良好的可扩展性和可集成性。 
由图1所示,本发明系统主要由4个功能模块组成 
1.消息处理模块
该模块由客户端消息处理模块和服务端消息处理模块组成,客户端主要对客户发送的登录信息进行加密和对接收到的令牌进行解密,服务端主要对登录信息进行解密和对令牌进行加密。
2.身份认证及令牌管理模块 
身份认证模块对登录请求进行解析,获取用户的身份信息,并根据用户信息数据库认证用户。令牌管理模块签发给用户身份令牌,并对提出访问请求的用户的身份令牌进行验证,验证通过后,再根据令牌到用户信息库中提取相关用户信息。
3.访问控制模块 
基于属性的访问控制模块是系统的核心,由策略执行、策略判定、策略管理、及属性权威组成,策略执行模块负责处理用户的原始访问请求,联合属性权威构建基于属性的访问请求(AAR)。策略判定模块根据从策略管理模块处获取的策略对AAR进行判定,并将判定结果传给策略执行模块。
4.服务管理模块 
该模块由服务注册和服务查询2个模块组成。安全架构内的所有服务必须进行统一注册,用于实现跨安全域应用中服务的查找和匹配。服务信息管理模块根据通过验证的请求到服务资源库中提取相关资源服务,响应请求用户。
一种SOA中基于属性的跨安全域访问控制方法,包括以下步骤: 
1、系统获取用户名及密码信息;
2、对用户进行验证后,从用户信息库中提取该用户的相关属性信息与访问请求一并发往访问控制模块;
3、访问控制模块根据用户信息和请求访问的资源URL,分别从属性权威和资源信息库中获取可供决策依据的相关属性;
4、策略判定组件对照策略库中的相关策略来判定此次访问;
5、策略通过后,所请求服务响应用户的访问请求。
访问控制流程 
用户访问资源之前,需先登录系统,系统采用单点登录机制,通过认证模块的一次身份验证,用户就可以无逢的访问集成系统中各安全域的服务。当用户在某一安全域登录后,需访问另一安全域内的服务时,将发生跨安全域服务访问。图2示出一次典型的跨安全域服务调用的流程:
1.用户登录后,提出访问请求。
2.身份认证模块对用户进行验证后,从用户信息库中提取该用户的相关信息与访问请求一并发往访问控制模块。 
3.访问控制模块根据用户信息和请求访问的资源URL,分别从属性权威和资源信息库中获取可供决策依据的相关属性。 
4.策略判定组件对照策略库中的相关策略来判定此次访问。 
5.策略通过后,所请求服务响应用户的访问请求。 
其中,登录后的用户提出访问请求的同时,将身份令牌一并发送给身份认证模块,由后者对令牌进行验证后,再根据令牌信息从用户信息库中提取用户信息。用户请求完一个服务,只要仍然持有身份令牌,只需在访问请求中附上令牌,就可以继续访问其它服务,从而实现单点登录。 
附图说明
图1是系统总体结构图。 
图2是访问控制流程图。 
具体实施方式
1.认证代理的实现 
为了使本文设计的服务认证授权系统能够在分布式异构环境中协同工作, 本系统采用安全断言标记语言SAML实现能跨安全域传递标准化安全令牌的单点登录机制。
SAML的基本目的是提供可跨域身份认证和授权信息的协议, 而且SAML现已被广泛接受和应用。使用SAML令牌作为单点登录过程中使用的令牌, 可以使本系统具备其他单点登录系统所不具备的标准性、开放性、通用性, 以及跨安全域实施等优势。 
基于SAML 单点登录通常有两种基本模型, 即Pull模型和Push模型。本系统选用Pull 模型, 将维护令牌或声明的工作交由源站点来完成, 以减轻目标站点的处理负担。 
2.消息级安全传输的实现 
在本文中,采用基于SSL的HTTPS安全连接来接收用户信息,并对用户信息计算MD5摘要值与数据库中的用户认证信息进行匹配,这使得攻击者无法通过监听来获取用户认证信息,同时避免了用户口令在服务器端的明文存储,保证了用户认证信息传递和存储的安全性。
本文中的认证令牌在服务消费端以文件的形式存储,在认证服务端将令牌存储在数据库中,这些令牌都采用OpenSAML安全类以AES算法加密,攻击者无法解开其中的内容,并且认证令牌通过HTTPS连接传递,保证了它们在传输过程中的安全性。 
3.策略决策服务的实现 
本文的访问策略由XACML来定义,由于XACML完全基于XML标准,访问控制策略也完全由XML标签构成,主体与资源体属性中都包含安全域属性,其基本结构如下所示:
<Target>
<Subjects>
<Subject>
<SubjectMatch Matchld=”…”>
<AttributeValue DataTyp=”…”>
<!一此处定义主体属性一>
</AttributeValue>
</SubjectMatch>
</Subject>
</Subjects)
<Resources>
<Resource>
<ResourceMatch Matehld=”…”>
<AttributeValue DataTyp=”…”>
<!一此处定义资源体属性一>
</AttributeValue>
</ResourceMatch>
</Resource>
</Resources>。

Claims (5)

1.一种SOA中基于属性的跨安全域访问控制方法,包括以下步骤:
(1)系统获取用户名及密码信息;
(2)对用户进行验证后,从用户信息库中提取该用户的相关属性信息与访问请求一并发往访问控制模块;
(3)访问控制模块根据用户信息和请求访问的资源URL,分别从属性权威和资源信息库中获取可供决策依据的相关属性;
(4)策略判定组件对照策略库中的相关策略来判定此次访问;
(5)策略通过后,所请求服务响应用户的访问请求。
2.如权利要求1所述的控制方法,其特征在于:第二步骤的用户的相关属性信息包括主体属性信息、客体属性信息、环境资源信息。
3.如权利要求2所述的控制方法,其特征在于:主体属性信息包括用户属性信息和安全域属性信息。
4.实现权利要求1的一种SOA中基于属性的跨安全域访问控制方法的系统,包括:
消息处理模块:该模块由客户端消息处理模块和服务端消息处理模块组成,客户端主要对客户发送的登录信息进行加密和对接收到的令牌进行解密,服务端主要对登录信息进行解密和对令牌进行加密;
身份认证及令牌管理模块:身份认证模块对登录请求进行解析,获取用户的身份信息,并根据用户信息数据库认证用户;令牌管理模块签发给用户身份令牌,并对提出访问请求的用户的身份令牌进行验证,验证通过后,再根据令牌到用户信息库中提取相关用户信息;
访问控制模块:基于属性的访问控制模块是系统的核心,由策略执行、策略判定、策略管理、及属性权威组成,策略执行模块负责处理用户的原始访问请求,联合属性权威构建基于属性的访问请求;策略判定模块根据从策略管理模块处获取的策略对访问请求进行判定,并将判定结果传给策略执行模块;
服务管理模块:该模块由服务注册和服务查询2个模块组成;安全架构内的所有服务必须进行统一注册,用于实现跨安全域应用中服务的查找和匹配;服务信息管理模块根据通过验证的请求到服务资源库中提取相关资源服务,响应请求用户。
5.如权利要求4所述的一种SOA中基于属性的跨安全域访问控制系统,其特征在于:策略判定模块根据从策略管理模块处获取策略时,优先对安全域属性进行搜索。
CN2012101832561A 2012-06-06 2012-06-06 一种soa中基于属性的跨安全域访问控制方法和系统 Pending CN102694867A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2012101832561A CN102694867A (zh) 2012-06-06 2012-06-06 一种soa中基于属性的跨安全域访问控制方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2012101832561A CN102694867A (zh) 2012-06-06 2012-06-06 一种soa中基于属性的跨安全域访问控制方法和系统

Publications (1)

Publication Number Publication Date
CN102694867A true CN102694867A (zh) 2012-09-26

Family

ID=46860149

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2012101832561A Pending CN102694867A (zh) 2012-06-06 2012-06-06 一种soa中基于属性的跨安全域访问控制方法和系统

Country Status (1)

Country Link
CN (1) CN102694867A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104811454A (zh) * 2015-05-11 2015-07-29 中国电力科学研究院 一种基于门限密码理论的访问控制方法
CN104813634A (zh) * 2012-11-21 2015-07-29 苹果公司 用于管理访问控制的基于策略的技术
CN105022938A (zh) * 2014-04-17 2015-11-04 苏州海博智能系统有限公司 多维指针信息平台
CN105743899A (zh) * 2016-02-29 2016-07-06 湖南蚁坊软件有限公司 一种基于安全域的用户认证方法
CN106341428A (zh) * 2016-11-21 2017-01-18 航天信息股份有限公司 一种跨域访问控制方法和系统
CN106452774A (zh) * 2015-08-07 2017-02-22 百度在线网络技术(北京)有限公司 基于单点登录协议进行访问权限控制的方法和装置
CN106790119A (zh) * 2016-12-27 2017-05-31 华中科技大学 一种基于属性的访问控制方法及系统
CN109413080A (zh) * 2018-11-09 2019-03-01 厦门市美亚柏科信息股份有限公司 一种跨域动态权限控制方法及系统
CN109978698A (zh) * 2019-04-02 2019-07-05 吴国兴 一种基于物联网的财富保险管理数据安全系统
CN110569652A (zh) * 2019-08-29 2019-12-13 武汉大学 一种基于用户角色调整的动态访问控制方法
CN111800440A (zh) * 2020-09-08 2020-10-20 平安国际智慧城市科技股份有限公司 多策略访问控制登录方法、装置、计算机设备及存储介质
CN116566704A (zh) * 2023-05-24 2023-08-08 斑马网络技术有限公司 安全访问控制方法、系统、车控设备、车辆及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070174098A1 (en) * 2006-01-20 2007-07-26 Lev Mirtas Business context sensitive attribute override
CN101964791A (zh) * 2010-09-27 2011-02-02 北京神州泰岳软件股份有限公司 客户端与web应用的通讯认证系统及认证方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070174098A1 (en) * 2006-01-20 2007-07-26 Lev Mirtas Business context sensitive attribute override
CN101964791A (zh) * 2010-09-27 2011-02-02 北京神州泰岳软件股份有限公司 客户端与web应用的通讯认证系统及认证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
文俊浩等: "《SOA中基于属性的访问控制安全策略》", 《计算机科学》 *
邴晓燕等: "《基于SOA的企业应用跨安全域访问控制》", 《清华大学学报(自然科学版)》 *

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104813634A (zh) * 2012-11-21 2015-07-29 苹果公司 用于管理访问控制的基于策略的技术
CN104813634B (zh) * 2012-11-21 2017-10-20 苹果公司 用于管理访问控制的基于策略的方法和系统
CN105022938A (zh) * 2014-04-17 2015-11-04 苏州海博智能系统有限公司 多维指针信息平台
CN104811454B (zh) * 2015-05-11 2018-01-19 中国电力科学研究院 一种基于门限密码理论的访问控制方法
CN104811454A (zh) * 2015-05-11 2015-07-29 中国电力科学研究院 一种基于门限密码理论的访问控制方法
CN106452774A (zh) * 2015-08-07 2017-02-22 百度在线网络技术(北京)有限公司 基于单点登录协议进行访问权限控制的方法和装置
CN106452774B (zh) * 2015-08-07 2020-07-10 百度在线网络技术(北京)有限公司 基于单点登录协议进行访问权限控制的方法和装置
CN105743899A (zh) * 2016-02-29 2016-07-06 湖南蚁坊软件有限公司 一种基于安全域的用户认证方法
CN106341428A (zh) * 2016-11-21 2017-01-18 航天信息股份有限公司 一种跨域访问控制方法和系统
CN106790119B (zh) * 2016-12-27 2019-06-07 华中科技大学 一种基于属性的访问控制方法及系统
CN106790119A (zh) * 2016-12-27 2017-05-31 华中科技大学 一种基于属性的访问控制方法及系统
CN109413080A (zh) * 2018-11-09 2019-03-01 厦门市美亚柏科信息股份有限公司 一种跨域动态权限控制方法及系统
CN109413080B (zh) * 2018-11-09 2021-05-25 厦门市美亚柏科信息股份有限公司 一种跨域动态权限控制方法及系统
CN109978698A (zh) * 2019-04-02 2019-07-05 吴国兴 一种基于物联网的财富保险管理数据安全系统
CN110569652A (zh) * 2019-08-29 2019-12-13 武汉大学 一种基于用户角色调整的动态访问控制方法
CN110569652B (zh) * 2019-08-29 2024-02-02 武汉大学 一种基于用户角色调整的动态访问控制方法
CN111800440A (zh) * 2020-09-08 2020-10-20 平安国际智慧城市科技股份有限公司 多策略访问控制登录方法、装置、计算机设备及存储介质
CN116566704A (zh) * 2023-05-24 2023-08-08 斑马网络技术有限公司 安全访问控制方法、系统、车控设备、车辆及介质

Similar Documents

Publication Publication Date Title
US11963006B2 (en) Secure mobile initiated authentication
US12143817B2 (en) Secure mobile initiated authentications to web-services
CN102694867A (zh) 一种soa中基于属性的跨安全域访问控制方法和系统
Singhal et al. Guide to secure web services
US10484385B2 (en) Accessing an application through application clients and web browsers
US9094217B2 (en) Secure credential store
US20190281046A1 (en) System and method for transferring device identifying information
US20180336554A1 (en) Secure electronic transaction authentication
WO2021127577A1 (en) Secure mobile initiated authentications to web-services
US20120036360A1 (en) System and method establishing trusted relationships to enable secure exchange of private information
EP2689372A1 (en) User to user delegation service in a federated identity management environment
CN106464494A (zh) 无线装置认证和服务访问
Oh et al. Development of IoT security component for interoperability
CN106534199A (zh) 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台
WO2021127575A1 (en) Secure mobile initiated authentication
CN109587100A (zh) 一种云计算平台用户认证处理方法及系统
Ghazi et al. DB-SECaaS: a cloud-based protection system for document-oriented NoSQL databases
CN106685955B (zh) 一种基于Radius的视频监控平台安全认证方法
CN115310071A (zh) 一种政务可信凭证数字化装载设计及应用的方法
CN115514523A (zh) 一种基于零信任体系的数据安全访问系统、方法、装置及介质
CN105119916B (zh) 一种基于http的认证方法及系统
EP2400716A2 (en) Resource access proxy for efficient access to sensor resources
Marillonnet et al. An Efficient User‐Centric Consent Management Design for Multiservices Platforms
Li Context-aware attribute-based techniques for data security and access control in mobile cloud environment
Chen et al. Design of web service single sign-on based on ticket and assertion

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20120926