基于XACML的RBAC授权机制.pdfVIP

基于XACML 的RBAC 授权机制 林智鑫，龙毅宏 武汉理工大学信息工程学院，武汉（430070 ） E-mail ：linzx11@126.com 摘 要：XACML 规范定义了支持 RBAC 的策略结构，但是并未涉及职责分离策略。本文 通过分析 XACML RBAC Profile 并对其进行补充和修改，提出了一种支持职责分离的 XACML RBAC 访问控制解决方案。 关键词：可扩展访问控制标记语言，基于角色访问控制，职责分离 1. 引言 为提高分布式系统间的访问控制互操作性，2003年OASIS制定了基于XML 的XACML （eXtensible Access Control Markup Language，可扩展访问控制标记语言）标准。目前， XACML规范还在不断完善并且已经被应用到一些产品当中，如Weblogic 9 已经开始采用 XACML进行访问控制；2007.6 IBM, ORACLE, BEA等八家公司共同发表了XACML 的互操 作声明[1] 。RBAC （Role Based Access Control ，基于角色的访问控制）是一种灵活、高效的 访问控制方法，它有效地克服了传统访问控制（DAC ，MAC 等）技术中存在的不足之处， 减少了授权管理的复杂性和降低管理开销，已经被广泛应用到各种系统当中。因此，如果能 将XACML和RBAC结合起来应用于企业信息系统，将为我们提供一种更加灵活和有效的访 问控制机制。本文将通过分析现有的ACML RBAC Profile ，并在原有基础上进行扩展使其支 持受限RBAC模型，以提供更为安全的访问控制机制。 2. XACML RBAC 介绍 2.1 XACML 概述 OASIS XACML[2]定义了一套基于XML 的访问控制策略语言和请求/ 响应消息格式，灵 活的策略语言允许管理员定义一系列复杂的访问控制规则来满足现实生活中复杂的访问控 制需求。 在 XACML 中，策略集（PolicySet ）代表访问控制策略，一个策略集可以由多条策略 （Policy ）组成。每条策略包括了几种子组件：目标、规则、规则组合算法和义务。 目标（Target ）：策略目标包含三类属性（主体、资源、动作）来确定是否要为请求评 估该策略。 规则（Rule ）：一个策略可以由多条规则相关联。每条规则由条件（Conditions ）、结果 （Effect ）和目标（Target ）组成。 条件是关于属性的陈述，规则的最终结果取决于条件的评估。 结果是符合规则的预期后果，值可以为Permit 或Deny 。 目标，与策略中的目标相同。 规则组合算法：由于一个策略可以包含多条规则，不同的规则有可能得到冲突的结果。 规则组合算法负责解决这种冲突，每一策略、每一请求都得到一个最终结果。每个策略只能 使用一种规则组合算法。 义务（Obligations ）：XACML 的目标之一是提供更加细粒度的访问控制，而不仅仅是 允许和拒绝决策，义务是实现这种控制的机制。义务是 PEP 必须与授权决策的实施一起执 - 1 - 行的动作。在评估策略之后，特定的义务与授权决策一起发送给 PEP 。除了强制实施授权 决策外，PEP 还负责执行义务所规定的操作。 除上述策略语言模型外，XACML 还定义了4 个组件用于访问控制：策略管理点（PAP ）， 该组件用于创建策略或策略组；策略执行点（PEP ），该组件用于通过执行授权决策来进行 访问控制；策略信息点（PIP ），该组件作为属性值的源；策略决策点（PDP ），该组件用于 评测可应用的策略，并返回授权决策。 2.2 RBAC 模型概述