基于AC的XACML访问控制模型的设计及实现.pdf

第 10期 唐成华等 :基于 AC 的 XACML 访问控制模型的设计及实现 　　　 ·133 · 基于 AC 的 XACML 访问控制模型的设计及实现 唐成华1, 2 , 胡昌振1, 2 ( 1. 北京理工大学 信息安全与对抗技术研究中心 , 北京 100081; 2. 北京理工大学 机电工程学院 , 北京 100081) 摘 　要 : 通过分析传统访问控制模型及其实现机制的优缺点 ,提出了一种基于 AC证书的 XACML 访问控制模 型及其实现方法 ,并对模型的安全性进行了分析 。 关键词 : 访问控制 ; AC; XACML ; 安全性 中图法分类号 : TP3 11　　　文献标识码 : A 　　　文章编号 : 100 13695 (2006) 100 13304 D e sign and Imp lem entation of XACML A cce ss Contro l Model B a sed on AC TAN G Chenghua1, 2 , HU Changzhen1, 2 ( 1. Inf orm a tion S ecu rity A n tag on ism R esea rch Cen ter, B eij ing Un iversity of Technology, B eij ing 100081, Ch ina; 2. Colleg e of M echan ica l En g ineering, B eij ing Un iversity of Technology, B eij ing 100081, Ch ina) A b stract: B y analyzing the feature s of traditional acce ss contro l models and relative imp lem en tation m echan ism , p u ts forward an XACML acce ss contro l model ba sed on AC and its realizing m ethod s. The secu rity of th is model is also analyzed. Key words: A cce ss Contro l; AC; XACML ; Security ( ) 　　ISO 在网络安全标准 ISO 74982 中提出了设计安全信息 的角度进行描述 ,没有考虑主体操作时的环境因素的影响 ;权 ( 系统基础架构时应该包含五类安全服务 身份认证服务 、访问 限由管理员管理 ,但管理员不一定是资源所有者 ,而且权限没 ) 控制 、数据完整性 、数据保密性和不可抵赖性 ,访问控制已成 有时效性 ;在分布式环境中难以统一控制 , 自身数据存储的安 为信息安全领域中的一个基础性的核心问题 。所谓访问控制 , 全性也得不到保障 。而基于工作流或任务的访问控制模型虽 就是通过某种途径显示准许或限制主体的访问能力及范围 ,从 然考虑了操作环境的变化 ,权限具有时效性 ,但过程比较复杂 , 而限制对 目标资源的访问,防止非法用户的侵入或合法用户的