數(shù)據(jù)庫中RBAC數(shù)據(jù)到XACML策略的轉(zhuǎn)換研究.pdf

1、可擴展訪問控制標(biāo)記語言XACML(eXtendible Access Control MarkupLanguage)是一種專門用于描述安全訪問控制策略，具有可擴展性、可重用性、分布式和描述能力強等特點的語言。它解決了訪問控制策略規(guī)則描述的專制性問題，建立了一個通用的訪問控制語言規(guī)則。 目前基于角色的訪問控制系統(tǒng)(RBAC，Role-based Access Control)大多是采用數(shù)據(jù)庫表形式描述權(quán)限策略的。然而，數(shù)據(jù)庫表形式

2、對權(quán)限數(shù)據(jù)的描述表達能力不強，描述的專制性強、交互性弱，權(quán)限數(shù)據(jù)管理集中，XACML語言以其自身特有的優(yōu)勢彌補了以上的不足。隨著基于XACML語言策略描述形式的新型訪問控制系統(tǒng)的出現(xiàn)和普及，就會要求原有的基于數(shù)據(jù)庫表形式描述策略的訪問控制系統(tǒng)能夠快速遷移到新型訪問控制系統(tǒng)中去，其中權(quán)限策略數(shù)據(jù)的移植就成為一個首要突出的問題：即如何將數(shù)據(jù)庫表形式描述的具有RBAC特點的策略數(shù)據(jù)轉(zhuǎn)換成以XACML語言形式描述的策略數(shù)據(jù)。針對該問題，論文系統(tǒng)

3、地研究了RBAC理論模型、XACML語言特點、XACML語言的RBAC描述框架以及轉(zhuǎn)換技術(shù)XSLT/XPATH，提出了存儲在數(shù)據(jù)庫中具有RBAC特點的策略數(shù)據(jù)到XACML語言策略的轉(zhuǎn)換方案的設(shè)計與實現(xiàn)。在實際的訪問控制應(yīng)用中，為了能夠更好地對XACML策略進行分布式管理和維護，以及快速的檢索，研究了XACML策略的存儲方案。 鑒于數(shù)據(jù)庫表形式的數(shù)據(jù)和XACML語言形式的數(shù)據(jù)都是結(jié)構(gòu)化數(shù)據(jù)，且都可以方便地用XML語言形式來描述，所

4、以論文采用了成熟的XSLT/XPATH轉(zhuǎn)換技術(shù)，實現(xiàn)了基于RBAC模型的數(shù)據(jù)庫表形式策略和XACML形式策略之間的轉(zhuǎn)換。 論文研究了如何將XACML策略存儲在具有分布式特點的LDAP服務(wù)器中，提出了兩種存儲方案：第一種是基于XACML策略RBAC框架特點的存儲方案，在LDAP服務(wù)器中建立了框架中四類策略相對應(yīng)的分支，分別存儲不同類型的策略，策略的內(nèi)容作為一個整體存入條目某個屬性中；第二種是基于XACML策略語言模型特點的存儲方案