可扩展访问控制标记语言研究.pdfVIP

可扩展访问控制标记语言研究 王子才，邹存洁，刘红星 大连海事大学（116026） E-mail ：wang_zicai@126.com 摘 要：XACML(eXtensible Access Control Markup Language) ，可扩展访问控制标记语言是 一种通用的安全策略描述语言，为在各种软件系统环境中安全访问策略的一致和统一提供了 逻辑算法和描述。对分布式策略的支持使客户能够以更加符合企业运行机制的方式维护和管 理策略文件。 关键字：XACML；PEP；PDP；策略；规则 1. 引言 Web 服务最重要的特性之一是方便地实现了基于 Web 的用户访问，与此同时重要的数据 和系统结构也暴露给外部，成为服务安全性的严重隐患。为了保证 Web 服务的安全性、互操 作性，实施细粒度的访问控制变得日益迫切。XACML 是 OASIS 开发的一个基于 XML 的标准， 包括访问控制语言和请求/响应语言，提供创建策略和规则来控制信息访问的机制，用于为 异类设备和应用编写访问控制程序。 2. XACML 2.1 XACML 简介 OASIS （the Organisation for the Advancement of Structured Information Standards，先进结 构化信息标准组织）创立于 1993 年，是一个非营利性国际化组织，致力于推动电子商务标 准（e-business standards ）的发展和推广。OASIS 在安全和电子商务标准化方面做出了极大 贡献。 2003 年 2 月，OASIS批准XACML （eXtensible Access Control Markup Language ） 1.0 版本成为OASIS标准（OASIS Standard ）。2003 年 8 月，OASIS XACML技术委员会（Technical Committee, TC ）批准XACML 1.1 版本[1] 成为OASIS 委员会规范（OASIS Committee [2] 已于2004 年 9 月 30 Specification ）。目前，XACML 2.0 版草案 2 （Committee draft 02 ） 日发布。 简单的说，XACML 是一种对访问控制策略和访问控制请求/ 响应产生过程加以描述的 语言，XACML 不仅提供了一系列逻辑算法对整个授权过程进行控制，而且提供了支持定义 新功能、数据结构、合成逻辑算法等的标准可扩展点。可以根据主体、资源、环境的属性以 及所采取的行为进行控制——允许还是拒绝。实际上，返回的结果有四种：允许、拒绝、无 法决定（Indeterminate ）和不适用（NotApplicable ）。 XACML 使用 XML 作为其描述语言。XML 元语言的特性、可扩展的语法和语义特性以 及广泛的支持性使其能够对访问控制思想实现最好的支持。 XACML 主要解决以下问题： - 1 - 创建一种可移植的、标准的方式来描述访问控制实体及其属性。 提供一种机制，以比简单地拒绝访问或授权访问更细粒度的控制访问，也就是说， 在“允许”或“拒绝”之前或之后执行某些操作。 XACML 的主要优势： 标准性。经过专家委员会的论证，其定义的一些逻辑标准和算法适应绝大多数的应 用需要。使得同其他应用系统的互操作性在标准性的基础之上非常容易。 通用性。不仅仅适用于某一个应用系统，而是具有普遍适用性。策略文件适用于多 种应用系统，而且正由于其通用性，使策略文件的管理变得相对容易。 支持分布式应用。不同的人员和部门可以在不同的地点制定子策略文件，XACML 可以根据指定的合成算法和多个子策略返回一个授权决定。