本發明涉及互聯網技術領域，具體公開了一種基于信譽的動態訪問控制方法。本發明針對分布式網絡計算環境的需求，以及現有網絡安全管理機制存在的弊端，提出了基于信譽的動態訪問控制方法，引入信任機制對用戶行為進行動態評估，并將用戶的信譽度與用戶權限進行動態綁定，實現基于信任的動態訪問控制機制，及時阻止用戶惡意行為。本發明能夠為未來互聯網的應用提供有效的身份認證與動態訪問控制手段，同時具有良好的可擴展性，能夠適應未來互聯網應用發展所帶來的要求。

技術領域

本發明涉及互聯網技術領域，具體公開了一種基于信譽的動態訪問控制方法。

背景技術

在分布式網絡計算環境中，網絡安全管理是一個難題。1996年，AT&T實驗室首先提出信任管理的概念，這類管理系統通常被稱為基于能力(capability-based)的授權系統，這種系統需要服務方預先為請求方頒發指定操作權限的信任證，無法與陌生方建立動態的信任關系。依賴主體屬性(property-based)授權，是為陌生方之間建立信任關系的一種有效方法。

傳統訪問控制技術主要基于請求方的身份進行授權，需要設定統一的安全管理域。在開放的互聯網中，由于參與主體的數量多規模大、運行環境的異構性、活動目標的動態性以及自主性等特點，使得基于身份的訪問控制技術難以實現跨多個安全域的授權與訪問控制，需要尋求一種更為有效的信任關系建立方法，實現從基于身份的訪問控制技術到新技術的轉化，以滿足分布式網絡計算的發展需求。

本發明針對分布式網絡計算環境的需求，以及現有網絡安全管理機制存在的弊端，提出了基于信譽的動態訪問控制方法，引入信任機制對用戶行為進行動態評估，并將用戶的信譽度與用戶權限進行動態綁定，實現基于信任的動態訪問控制機制，及時阻止用戶惡意行為。

發明內容

本發明的目的在于：在分布式網絡計算環境的安全管理領域，引入信任機制對用戶行為進行動態評估，并將用戶的信譽度與用戶權限進行動態綁定，實現基于信任的動態訪問控制機制，及時阻止用戶惡意行為。即為網絡管理、網絡安全監控進行技術支持，而提供的一種基于信譽的動態訪問控制方法。

本發明的技術方案特征在于，所述方法依次含有以下步驟：

步驟(1)，建立基于信譽的動態訪問控制體系結構模型；

如圖1所示，該模型主要由ID Provider、Resource Provider和Credit Provider組成。其中，ID Provider主要提供統一的標識與認證服務，為網格系統提供統一的用戶標識，并提供跨域的身份認證服務；Resource Provider通過身份認證系統實現對用戶的身份認證，并通過訪問控制系統實現用戶訪問系統資源的權限控制；Credit Provider通過審計與監控系統監測用戶對資源的使用情況，向信任服務系統提供信譽值計算的原始信息。信任服務系統實時計算/更新用戶的信譽值，將計算結果一方面反饋給ID Provider作為用戶下次登錄時的信譽值信息，決定該用戶是否有權訪問相關系統資源；同時也將計算結果即時反饋給Resource Provider，由其訪問控制系統根據訪問控制策略實時控制用戶的訪問權限。

步驟(2)，基于信譽的動態訪問控制工作流程；

步驟(2.1)，用戶訪問網絡資源時，首先進行身份認證。用戶向身份認證服務器提交身份標識，發起認證請求；

步驟(2.2)，身份認證服務器收到用戶的認證請求時，首先向信任服務器查詢該用戶的信譽值，如果信譽值低于閾值，斷開用戶連接，身份認證失敗；

步驟(2.3)，如果信譽值高于閾值，服務器要求用戶提供認證密鑰，然后向證書服務器查詢用戶證書，進行身份認證過程；

步驟(2.4)，當用戶通過身份認證后，被引導到訪問控制服務器，訪問控制服務器再次查詢信任服務器，獲取用戶的信譽值及許可行為列表，結合基于信譽的訪問控制庫，生成訪問控制令牌；