本發明公開了一種基于證書的訪問控制系統和方法，其中，訪問控制系統中，制定訪問規則模塊用于資源擁有者針對所擁有的資源的可開放程度對資源使用者進行訪問約束；建立委托方案模塊用于資源擁有者與證書頒發機構針對證書的授權條件建立委托方案；申請訪問資源模塊用于資源使用者向資源擁有者請求訪問資源，并向資源使用者返回訪問結果；申請證書授權模塊用于資源使用者向證書頒發機構申請證書，并向資源使用者返回證書申請結果。通過本發明的技術方案，解決了效率負擔問題和復雜推理映射問題，實現了資源擁有者本身職責分離的同時也實現資源擁有者和證書頒發機構之間的訪問隔離，減輕了資源擁有者的負擔，簡化了管理。

技術領域

本發明涉及計算機安全技術領域，尤其涉及一種基于證書的訪問控制系統和一種基于證書的訪問控制方法。

背景技術

作為一種信息保護手段，訪問控制是許多分布式應用程序的重要組成部分，已經提出了幾種集中化和分布式的解決方案用于此類應用。證書特別適合于分布式系統，并以多種方式使用。例如，在網絡環境中，伴隨著電子支付在國內的迅猛發展，電子支付綁定功能阻止未經授權的訪問者訪問或者獲取數據資源。在現實生活中，智能交通控制技術愈演愈烈，如果沒有智能票務控制，許多人可能會出現逃票等情況，導致資源的不當使用。隨著研究的不斷進步，訪問控制模型也變得越來越復雜，不能以簡單的方式直接映射到現實，有些模型在實際生活中并沒有得到很好的應用。

有的基于證書的訪問控制模型中資源擁有者不僅要對大量的、分布式的、未知身份的訪問者做出快速、一致且安全的訪問決策，而且還要承擔頒發證書、幫助訪問者搜索證書等職責，這使得資源擁有者負擔重、效率低下。有的模型中將授權逐級委托、分級信任，這就造成了多節點、多路徑、多策略，使得授權、約束、驗證變得愈加困難的同時，對本身的管理也提出了更大的挑戰。

發明內容

針對上述問題中的至少之一，本發明提供了一種基于證書的訪問控制系統和方法，通過資源擁有者(客體)和證書頒發機構(CI)預先建立策略規則的委托方案，資源使用者(主體)攜帶證書/沒有攜帶證書對客體提出訪問請求，客體首先判斷是否有與請求相匹配的證書，如果沒有則直接返回拒絕訪問結果，如果有則審核證書來源是否合法，合法則判斷證書是否符合客體訪問所需的其他條件，符合條件則同意訪問，不符合條件返回拒絕訪問結果。根據上述技術方案，解決了傳統授權證書模型的資源擁有者去搜索證書頒發證書帶來的效率負擔問題，解決了傳統委托訪問控制模型中的分級建立、控制后繼委托帶來的復雜推理映射問題，實現資源擁有者本身職責分離的同時也實現資源擁有者和證書頒發機構之間的訪問隔離，減輕了資源擁有者的負擔，簡化了管理。

為實現上述目的，本發明提供了一種基于證書的訪問控制系統，包括：資源擁有者、資源使用者和證書頒發機構以及制定訪問規則模塊、建立委托方案模塊、申請訪問資源模塊和申請證書授權模塊，所述制定訪問規則模塊用于所述資源擁有者針對所擁有的資源的可開放程度對所述資源使用者進行訪問約束；所述建立委托方案模塊用于所述資源擁有者與所述證書頒發機構針對證書的授權條件建立委托方案；所述申請訪問資源模塊用于所述資源使用者向所述資源擁有者請求訪問資源，并向所述資源使用者返回訪問結果；所述申請證書授權模塊用于所述資源使用者向所述證書頒發機構申請證書，并向所述資源使用者返回證書申請結果。

在上述技術方案中，優選地，所述資源使用者向所述資源擁有者請求訪問資源時攜帶證書或不攜帶證書，攜帶證書時所述資源擁有者審核所述證書是否符合該訪問資源請求對應的預設條件，并將訪問結果發送至所述資源使用者；不攜帶證書時所述資源擁有者直接將訪問結果發送至所述資源使用者；所述資源使用者接收到拒絕訪問結果時，所述申請訪問資源模塊用于詢問所述資源使用者是否繼續請求訪問，在選擇繼續請求訪問時搜索本地證書庫中是否存在對應證書，如果有則攜帶對應證書向所述資源擁有者請求訪問資源，如果沒有則詢問所述資源使用者是否通過所述申請證書授權模塊向所述證書頒發機構申請該證書。