一種擴(kuò)展的XACML訪問控制模型的研究.pdf

1、互聯(lián)網(wǎng)已經(jīng)深刻地改變了軟件世界，這是因?yàn)樵絹碓蕉嗟膽?yīng)用軟件系統(tǒng)運(yùn)行于網(wǎng)絡(luò)之上。為了節(jié)省開發(fā)應(yīng)用軟件的精力，為應(yīng)用程序提供web服務(wù)以供調(diào)用，在此將web服務(wù)看作可復(fù)用的軟件組件。在開發(fā)web服務(wù)的過程中，確保web服務(wù)執(zhí)行時(shí)的安全信息訪問是十分重要的事情。伴隨企業(yè)信息化程度的不斷提高，我們不得不重視安全信息訪問的問題。幸運(yùn)的是，訪問控制技術(shù)能夠有效地保證授權(quán)用戶對(duì)于敏感信息的訪問。因此，對(duì)訪問控制模型及其實(shí)現(xiàn)的研究無疑具有非常大的理論及

2、實(shí)用價(jià)值。
　　世界著名的結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織OASIS（Organization for the Advancement of Structured Information Standards）已經(jīng)構(gòu)建了專用于表述安全訪問控制策略的可擴(kuò)展的訪問控制標(biāo)記語(yǔ)言XACML（eXtendible Access Control Markup Language）的規(guī)范標(biāo)準(zhǔn)，XACML具有平臺(tái)無關(guān)、通用、分布式以及可擴(kuò)展等諸多特點(diǎn)。目前，基

3、于角色的訪問控制策略正日益得到廣泛應(yīng)用，而XACML也已經(jīng)構(gòu)建了基于角色的訪問控制RBAC（Role-Based Access Control）框架來支持這種策略。遵循此框架，安全訪問控制的實(shí)現(xiàn)將變得容易。
　　迄今為止，已經(jīng)出現(xiàn)了許多有關(guān)web服務(wù)訪問控制模型的研究成果。然而，許多從事這方面研究的研究人員僅僅關(guān)注于允許或拒絕某個(gè)請(qǐng)求者訪問一個(gè)web服務(wù)。通過對(duì)現(xiàn)有的web服務(wù)訪問控制模型的研究，發(fā)現(xiàn)如下兩個(gè)問題有待解決：①現(xiàn)有模

4、型僅僅做出了“允許或拒絕”的決策，這種決策在web服務(wù)訪問控制中不夠精確；②通過現(xiàn)有模型的控制，一旦允許一個(gè)請(qǐng)求者調(diào)用了某個(gè)web服務(wù)，那么該web服務(wù)就必須完成所請(qǐng)求的一切事情而不管非安全訪問的情況是否會(huì)發(fā)生。為了解決這兩個(gè)問題，本文系統(tǒng)地研究了XACML規(guī)范、XACML策略的RBAC框架和XSLT/XPATH轉(zhuǎn)換技術(shù)，而后提出了一種新型的稱為Ex-XACML的訪問控制模型，它是XACML的一種擴(kuò)展模型，并且對(duì)該模型的主體模塊進(jìn)行了實(shí)