基于XACML的訪問(wèn)控制模型的研究與評(píng)估優(yōu)化.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和企業(yè)信息化程度的提高，信息安全問(wèn)題日益凸現(xiàn)，訪問(wèn)控制作為信息防護(hù)技術(shù)得到了普遍的應(yīng)用。在眾多訪問(wèn)控制模型中，基于角色的訪問(wèn)控制(RBAC)應(yīng)用最為廣泛。世界著名的結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織OASIS提出了專用于表述安全訪問(wèn)控制策略的可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言XACML(eXtensibleAccessControlMarkupLanguage)規(guī)范，并用該通用語(yǔ)言構(gòu)建了基于角色的訪問(wèn)控制框架(XACML-RBAC)。

2、　　 訪問(wèn)控制模型以及訪問(wèn)控制策略語(yǔ)言需要協(xié)同的發(fā)展來(lái)滿足開(kāi)放和動(dòng)態(tài)環(huán)境下應(yīng)用系統(tǒng)的安全需求，而當(dāng)前已有的訪問(wèn)控制策略描述語(yǔ)言XACML對(duì)RBAC模型的支持都或多或少的存在不足（比如不能支持RBAC的職責(zé)分離約束，基數(shù)約束及管理權(quán)限的動(dòng)態(tài)授予等問(wèn)題）。另外，隨著XACML訪問(wèn)控制策略規(guī)模的增大和語(yǔ)義復(fù)雜度的上升，策略評(píng)估效率成為了制約系統(tǒng)可用性的瓶頸。
　　 本文從XACML-RBAC模型方面和策略評(píng)估方面進(jìn)行了研究，主要研究

3、的內(nèi)容有:
　　 1.針對(duì)基于XACML的管理模型XACML-ARBAC的管理操作的執(zhí)行而引起的策略沖突問(wèn)題，對(duì)原框架進(jìn)行了擴(kuò)展。通過(guò)在XACML-ARBAC框架的基礎(chǔ)上增加沖突檢測(cè)模塊，對(duì)由于RBAC管理操作的執(zhí)行而引起的沖突策略集，即我們提出的Aop策略域，進(jìn)行了檢測(cè)，為策略的修正提供了依據(jù)，保證了XACML策略評(píng)估的安全性和一致性。為了在評(píng)估過(guò)程中方便地觸發(fā)該模塊，我們對(duì)基于XACML-ARBAC的請(qǐng)求進(jìn)行了改進(jìn)，增加了請(qǐng)

4、求的類別元素RequestType，在簡(jiǎn)化該框架的同時(shí)也為沖突檢測(cè)模塊的觸發(fā)提供了訪問(wèn)類別參數(shù)。對(duì)擴(kuò)展的XACML-ARBAC框架的評(píng)估流程進(jìn)行了詳細(xì)描述，說(shuō)明了該框架的可擴(kuò)展性。
　　 2.針對(duì)RBAC中的職責(zé)分離和基數(shù)約束問(wèn)題，提出基于XACML-ARBAC框架的解決方法。由于職責(zé)分離和基數(shù)約束也屬于管理策略，所以我們?cè)赬ACML-ARBAC管理模型的基礎(chǔ)上，通過(guò)對(duì)原有的管理?xiàng)l件函數(shù)進(jìn)行擴(kuò)展，增加了實(shí)現(xiàn)這兩種限制用到的管理函

5、數(shù)，方便地解決了RBAC模型的職責(zé)分離和基數(shù)約束限制。
　　 3.針對(duì)大規(guī)模環(huán)境下XACML策略評(píng)估的效率問(wèn)題，本文提出一種規(guī)則優(yōu)化方法，同時(shí)提出一種優(yōu)先級(jí)策略評(píng)估算法。在評(píng)估之前，根據(jù)規(guī)則的請(qǐng)求權(quán)重，對(duì)規(guī)則進(jìn)行相應(yīng)的順序調(diào)整，使請(qǐng)求相對(duì)頻繁的規(guī)則置于規(guī)則集的前面，從而減少匹配查找的時(shí)間;在評(píng)估算法方面，定義了XACML合并算法優(yōu)先級(jí)，同時(shí)結(jié)合主體的規(guī)則索引表，優(yōu)先選擇符合匹配條件的策略和規(guī)則，減少了不必要的匹配路徑，從而有效的