论文部分内容阅读
随着网络技术的发展和企业信息化程度的提高,信息安全问题日益凸现,访问控制作为信息防护技术得到了普遍的应用。在众多访问控制模型中,基于角色的访问控制(RBAC)应用最为广泛。世界著名的结构化信息标准促进组织OASIS提出了专用于表述安全访问控制策略的可扩展访问控制标记语言XACML(eXtensibleAccessControlMarkupLanguage)规范,并用该通用语言构建了基于角色的访问控制框架(XACML-RBAC)。
访问控制模型以及访问控制策略语言需要协同的发展来满足开放和动态环境下应用系统的安全需求,而当前已有的访问控制策略描述语言XACML对RBAC模型的支持都或多或少的存在不足(比如不能支持RBAC的职责分离约束,基数约束及管理权限的动态授予等问题)。另外,随着XACML访问控制策略规模的增大和语义复杂度的上升,策略评估效率成为了制约系统可用性的瓶颈。
本文从XACML-RBAC模型方面和策略评估方面进行了研究,主要研究的内容有:
1.针对基于XACML的管理模型XACML-ARBAC的管理操作的执行而引起的策略冲突问题,对原框架进行了扩展。通过在XACML-ARBAC框架的基础上增加冲突检测模块,对由于RBAC管理操作的执行而引起的冲突策略集,即我们提出的Aop策略域,进行了检测,为策略的修正提供了依据,保证了XACML策略评估的安全性和一致性。为了在评估过程中方便地触发该模块,我们对基于XACML-ARBAC的请求进行了改进,增加了请求的类别元素RequestType,在简化该框架的同时也为冲突检测模块的触发提供了访问类别参数。对扩展的XACML-ARBAC框架的评估流程进行了详细描述,说明了该框架的可扩展性。
2.针对RBAC中的职责分离和基数约束问题,提出基于XACML-ARBAC框架的解决方法。由于职责分离和基数约束也属于管理策略,所以我们在XACML-ARBAC管理模型的基础上,通过对原有的管理条件函数进行扩展,增加了实现这两种限制用到的管理函数,方便地解决了RBAC模型的职责分离和基数约束限制。
3.针对大规模环境下XACML策略评估的效率问题,本文提出一种规则优化方法,同时提出一种优先级策略评估算法。在评估之前,根据规则的请求权重,对规则进行相应的顺序调整,使请求相对频繁的规则置于规则集的前面,从而减少匹配查找的时间;在评估算法方面,定义了XACML合并算法优先级,同时结合主体的规则索引表,优先选择符合匹配条件的策略和规则,减少了不必要的匹配路径,从而有效的提高了评估效率。理论分析和实验验证表明该方法能比以往的评估方法节省更多的评估时间。