資源描述:
《基于屬性訪問(wèn)控制方法中的策略定義研究》由會(huì)員上傳分享�����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)�。
1、葛琨�,郎波:基于屬性訪問(wèn)控制方法中的策略定義研究基于屬性訪問(wèn)控制方法中的策略定義研究葛琨,郎波(北京航空航天大學(xué)北京100083)摘要:基于屬性的訪問(wèn)控制(ABAC)是面向WebService應(yīng)用的一種新的訪問(wèn)控制方法?�?蓴U(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言XACML是一種支持該方法的重要規(guī)范�����,它給出了ABAC策略執(zhí)行框架以及ABAC策略的定義語(yǔ)言���。但XACML中策略定義非常繁瑣復(fù)雜����,對(duì)用戶提出了很高要求。本文在對(duì)ABAC模型進(jìn)行分析研究的基礎(chǔ)上�,分析了XACML的策略定義語(yǔ)言,提出了基于XACML的ABAC策
2����、略模版,并給出了基于策略模版編寫ABAC策略的方法���,從而在保證策略正確定義的基礎(chǔ)上����,有效簡(jiǎn)化了策略定義過(guò)程����。關(guān)鍵詞:基于屬性的訪問(wèn)控制�,XACML,策略模版�����,策略定義方法ResearchonthepolicydefinitionintheAttributebasedAccessControlABSTRACT:AttributeBasedAccessControl(ABAC)isanewaccesscontrolmethodintheapplicationofWebService.eXtensib
3���、leAccessControlMarkupLanguage(XACML)isanimportantstandardsupportingABAC;itbringsupanABACpolicyenforcingarchitectureandanABACpolicydefinitionmethod.ButitisverycomplicatedtodefineABACpolicyusingXACML,andItisdifficultforcommonusertomasterit.Inthispaper,
4���、weanalyzethedefinitionmethodinXACMLbasedontheABACmodel,bringupaXACMLbasedpolicydefinitiontemplateandthepolicydefinitionmethodbasedonit.Inthisway,wecanbothassuretheaccurateofthepolicyandsimplifythepolicydefinitionprocedure.Keyword:AttributeBasedAccess
5��、Control,XACML,Policytemplate,Policydefinitionmethod中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)志碼:A基金項(xiàng)目:網(wǎng)格計(jì)算中基于屬性的訪問(wèn)控制的方法與實(shí)現(xiàn)國(guó)家863資助項(xiàng)目(NO.2006AA01Z441),動(dòng)態(tài)性訪問(wèn)控制方法研究總裝預(yù)研基金資助項(xiàng)目(NO.9140A15030206HK01)引言SOA(Service-OrientedArchitecture)和網(wǎng)格環(huán)境的出現(xiàn)打破了傳統(tǒng)的封閉式的信息系統(tǒng)����,使得平臺(tái)獨(dú)立的系統(tǒng)之間以松耦合�����,可相互合作的接口實(shí)
6�����、現(xiàn)互聯(lián)[1,2]�。在這種環(huán)境中,要求訪問(wèn)控制模型能夠提供基于上下文的訪問(wèn)���,處理主體和客體的異構(gòu)性和變化性��。傳統(tǒng)的基于用戶身份或角色的訪問(wèn)控制模型[1,2]已經(jīng)不適用于這樣的環(huán)境�����?��;趯傩缘脑L問(wèn)控制(AttributeBasedAccessControl,ABAC)在理論上給出了上述問(wèn)題的一種解決思路�����。ABAC策略可以表達(dá)任意基于屬性的邏輯語(yǔ)義����。OASIS的XACML(eXtensibleAccessControlMarkupLanguage���,可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言)標(biāo)準(zhǔn)對(duì)ABAC策略定義提供了很
7���、好的建議與技術(shù)支持。本文的組織結(jié)構(gòu)如下:首先分析ABAC模型�����,給出ABAC策略形式化定義����,然后結(jié)合基于XACML的ABAC策略執(zhí)行框架對(duì)XACML的策略定義語(yǔ)言進(jìn)行分析����,提出基于XACML的ABAC策略模版�,簡(jiǎn)化使用XACML定義策略的復(fù)雜度��。在上述分析的基礎(chǔ)上�����,討論應(yīng)用策略模版定義策略時(shí)的一般原則�。最后在結(jié)論中對(duì)未來(lái)的工作進(jìn)行了展望。2.基于屬性的訪問(wèn)控制模型2.1基于屬性的訪問(wèn)控制基本思想基于屬性的訪問(wèn)控制是以決策過(guò)程中涉及的相關(guān)實(shí)體的屬性(而不僅僅是標(biāo)識(shí))為基礎(chǔ)進(jìn)行授權(quán)的一種訪問(wèn)控制機(jī)制�����。
8��、它能夠根據(jù)相關(guān)實(shí)體屬性的動(dòng)態(tài)變化���,適時(shí)更新訪問(wèn)控制決策���,從而提供了一種細(xì)粒度,更加靈活的訪問(wèn)控制方法���。我們考慮如下三種實(shí)體的屬性:PDF文件使用"pdfFactoryPro"試用版本創(chuàng)建www.fineprint.cn葛琨��,郎波:基于屬性訪問(wèn)控制方法中的策略定義研究2主體屬性:主體是對(duì)資源采取某種行動(dòng)的實(shí)體(能夠發(fā)出訪問(wèn)請(qǐng)求或者對(duì)某些資源執(zhí)行許可動(dòng)作的所有實(shí)體的集合���,一個(gè)主體可能被另外的主體所訪問(wèn)�����,所以���,某些主體也可以被看作資源)。如用戶���,進(jìn)程�����。每一個(gè)主體都有定義其身份或標(biāo)識(shí)其特征的屬性�。這些屬
