基于XACML的訪問控制模型的研究與評估優(yōu)化.pdf

1、隨著網(wǎng)絡技術的發(fā)展和企業(yè)信息化程度的提高，信息安全問題日益凸現(xiàn)，訪問控制作為信息防護技術得到了普遍的應用。在眾多訪問控制模型中，基于角色的訪問控制(RBAC)應用最為廣泛。世界著名的結(jié)構化信息標準促進組織OASIS提出了專用于表述安全訪問控制策略的可擴展訪問控制標記語言XACML(eXtensibleAccessControlMarkupLanguage)規(guī)范，并用該通用語言構建了基于角色的訪問控制框架(XACML-RBAC)。

2、　　 訪問控制模型以及訪問控制策略語言需要協(xié)同的發(fā)展來滿足開放和動態(tài)環(huán)境下應用系統(tǒng)的安全需求，而當前已有的訪問控制策略描述語言XACML對RBAC模型的支持都或多或少的存在不足（比如不能支持RBAC的職責分離約束，基數(shù)約束及管理權限的動態(tài)授予等問題）。另外，隨著XACML訪問控制策略規(guī)模的增大和語義復雜度的上升，策略評估效率成為了制約系統(tǒng)可用性的瓶頸。
　　 本文從XACML-RBAC模型方面和策略評估方面進行了研究，主要研究

3、的內(nèi)容有:
　　 1.針對基于XACML的管理模型XACML-ARBAC的管理操作的執(zhí)行而引起的策略沖突問題，對原框架進行了擴展。通過在XACML-ARBAC框架的基礎上增加沖突檢測模塊，對由于RBAC管理操作的執(zhí)行而引起的沖突策略集，即我們提出的Aop策略域，進行了檢測，為策略的修正提供了依據(jù)，保證了XACML策略評估的安全性和一致性。為了在評估過程中方便地觸發(fā)該模塊，我們對基于XACML-ARBAC的請求進行了改進，增加了請

4、求的類別元素RequestType，在簡化該框架的同時也為沖突檢測模塊的觸發(fā)提供了訪問類別參數(shù)。對擴展的XACML-ARBAC框架的評估流程進行了詳細描述，說明了該框架的可擴展性。
　　 2.針對RBAC中的職責分離和基數(shù)約束問題，提出基于XACML-ARBAC框架的解決方法。由于職責分離和基數(shù)約束也屬于管理策略，所以我們在XACML-ARBAC管理模型的基礎上，通過對原有的管理條件函數(shù)進行擴展，增加了實現(xiàn)這兩種限制用到的管理函

5、數(shù)，方便地解決了RBAC模型的職責分離和基數(shù)約束限制。
　　 3.針對大規(guī)模環(huán)境下XACML策略評估的效率問題，本文提出一種規(guī)則優(yōu)化方法，同時提出一種優(yōu)先級策略評估算法。在評估之前，根據(jù)規(guī)則的請求權重，對規(guī)則進行相應的順序調(diào)整，使請求相對頻繁的規(guī)則置于規(guī)則集的前面，從而減少匹配查找的時間;在評估算法方面，定義了XACML合并算法優(yōu)先級，同時結(jié)合主體的規(guī)則索引表，優(yōu)先選擇符合匹配條件的策略和規(guī)則，減少了不必要的匹配路徑，從而有效的