本發明公開了網絡結構中基于證書的訪問控制系統及訪問方法，包括：起點、終點和節點網絡；起點為訪問請求的發起節點，終點為被訪問節點，節點網絡為多個節點通過待授權列表相連接形成的網絡狀的拓撲結構；起點向終點發起訪問請求，終點生成待授權證書并發送至起點；證書進入節點網絡進行授權流程，起點使用授權的證書訪問終點；本發明將主客體都視為節點并形成節點網絡，通過證書傳遞、間接訪問規則等授權模式并使它們根據規定的邏輯表達式共同作用于訪問控制的決策；使節點們能更自主、動態地管理權限而不依賴或是影響整個系統；同時，授權決策采用節點網絡的拓撲結構，使模型在面對復雜信息傳播時也能充分考慮到每一個節點的隱私。

技術領域

本發明涉及信息安全技術領域，尤其涉及網絡結構中基于證書的訪問控制系統及訪問方法。

背景技術

經典的訪問控制系統是由主體，客體以及許可三元組來表示訪問參與者之間的行為關系。訪問控制領域有三種經典的訪問控制系統：自主訪問控制系統(DAC，Discretionary Access Control)、強制訪問控制系統(MAC，Mandatory Access Control)以及普及率較高的基于角色的訪問控制(RBAC,Role-Based Access Control)。它們有著各自的適用場景和優缺點。在過去的安全體系中，這種三元組的表現形式確實能很好地表達訪問授權的情景。但由于互聯網在更多類型設備上的普及以及物聯網的發展，網絡關系逐漸向著離散化、個體化發展，比如時下各類社交軟件以及在其基礎上衍生的各類互聯網產品，主體和客體不再有明顯界限，而更像是以一種網絡化的結構呈現。同時網絡信息的分布式、P2P的傳播模式日益增多，需要一種具有良好適應性、兼容性及可擴展性的新型訪問控制系統。

國內外的一些學者也已經在社交網絡中的訪問控制上提出了統一主體對主體以及主體對客體訪問控制的想法，訪問控制的研究重心已經在向動態化、自主化發展，學者們想要找到可以適用于網絡結構的個體間的訪問控制。但是他們的模型仍然受到傳統訪問控制系統的影響，比如在討論U2U(User to User)以及U2R(User to Resource)如何處理的時候仍將他們區別成主客體對待；在用邏輯語言做出訪問決策時仍然偏向于靜態或是1對1的方式，而在處理含有路徑的訪問時，僅僅使用遍歷的方式尋找節點，容易產生安全問題?；蚴莾H考慮到了傳播屬性的影響，卻局限于模仿基于屬性的訪問控制，將復雜的網絡傳播環境歸納于多個靜態屬性。

為了適應多樣化、復雜化的網絡應用場景，國內外的學者針對傳統模型的某些不足提出了一些新的訪問控制系統，它們或是在經典模型之上進行了相應的優化，或是針對互聯網的部分特性提出了更適合的訪問控制系統，本發明主要關注的是近年來國內外學者們研究適用于分布式網絡或是有復雜傳播關系網絡的一些訪問控制系統的研究：

大數據/網絡中的訪問控制特性分析

李昊等基于大數據及其應用的新特點,分析歸納出5個大數據訪問控制迫切需要解決的問題：授權管理問題、細粒度訪問控制問題、訪問控制策略描述問題、個人隱私保護問題，以及訪問控制在分布式架構中的實施問題；提煉了適應大數據環境的訪問控制系統的特點：判定依據多元化、判定結果模糊(或不確定)化、多種訪問控制技術融合化。

陳垚坤等簡單地分析大數據的特點及體系架構，得出大數據環境下訪問控制應滿足的原則，即自主、動態、細粒度、跨域授權。通過對比分析訪問控制系統DAC、MAC、RBAC及ABAC在大數據環境下適用性，可以看出在大數據以及時下的開放網絡之中，自主動態的授權才是更受歡迎的訪問控制模。

針對現有網絡環境提出的新型訪問控制系統

劉莎、譚良認為Hadoop云平臺中的訪問控制系統具有明顯的缺點，即僅僅在授權時考慮了用戶身份的真實性，沒有考慮用戶后期行為的可信性，而且權限一經授予就不再監管。提出一種適用于Hadoop云平臺的基于信任的LT模型，為每個用戶設定信任值，通過用戶在集群中的行為記錄實時地更新用戶信任值，通過這種方式滿足了開放網絡中動態性訪問控制的需求。