基于属性的访问控制(abac)的跨域访问控制面向服务的体系结构(soa)本科论文.doc

理工学院 毕业设计外文资料翻译 专 业： 通信工程 姓 名： 学 号： 11L0751156 外文出处： 2012 International Conference On Computer Science And Service System 附 件： 1.外文资料翻译译文；2.外文原文。 指导教师评语： 签名： 2015年 月 日 附件1：外文资料翻译译文 基于属性的访问控制(ABAC)的跨域访问控制面向服务的体系结构(SOA) SOA，基于属性的访问控制(ABAC)访问控制 面向服务的体系结构(SOA)是一种组织方法和使用分布式资源的灵活性组织和管理资源的分布不同的管理领域[1 - 2]。越来越高的对信息集成的需求松散耦合的、开放的SOA从业务和吸引了越来越多的关注学术界[3]。但是SOA的发展也面临着许多问题比如安全保障以及如何整合环境检测服务和原始数据[4]。在特定的SOA安全系统开放性，跨域访问安全性呈现给我们的是一个巨大的挑战 基于角色的访问控制(RBAC)是在一个更合适的独立的安全域不适合跨域访问。基于主体统一服务认证系统[7]使用不同的方法来处理访问跨域访问它解决了这个问题在跨域访问企业信息集成一定程度上但它的基于角色的想法不能最后一个方法实现SOA的开放性和信息集成。 为了解决上述问题本文提出了一种基于属性的访问控制(ABAC)的跨域访问控制系统该系统应用的思想属性的访问控制跨域访问控制。该系统消除过程中的缺陷基于角色的访问控制应用于SOA的作用。 基于属性的访问控制(ABAC) 基于属性的访问控制模型(ABAC)包括两个方面:政策模型定义了ABAC策略和应用的体系结构模型web服务访问控制政策。我们首先解释概念的属性。 属性定义 ABAC模型可以定义权限基于而已对任何安全相关的特征称为属性。访问控制的目的我们关心的是三种类型的属性: ?主题属性。一个主题是一个实体(如。一个用户应用程序或过程)采取行动的资源。每个主题有关联的属性定义主体的身份和特征。这样的属性可能包含组织、职位等等。一个当然也可以被视为一个属性。 ?资源属性。资源是一个实体(例如一个web服务数据结构或系统组件)是作用于一个主题。与主题、资源属性可以利用访问吗控制决策。Microsoft Word文档的例子可能属性如标题、主题日期和作者。往往是资源属性提取的尤其各种web服务元数据的属性可能相关的访问控制的目的如所有权、服务分类、甚至质量服务(QoS)属性。 ?环境属性是到目前为止在大多数的访问控制策略的忽视。这些属性描述的操作、技术甚至情境的环境或上下文信息访问。例如属性等当前的日期和时间、当前病毒/黑客 活动，和网络的安全级别?(互联网内联网)没有相关联的特定主题和资源但可能也是如此相关应用的访问控制策略。 把角色和身份的特征校长ABAC完全包含的功能IBAC和RBAC方法。此外其考虑的能力额外的资源属性如敏感信息使它能够解决MAC需求很容易。因此我们相信ABAC的自然融合现有的访问控制模型和超越他们的功能。语义上更加丰富和政策表示更多的表达可以更细粒度的列线图因为它可以基于任何组合的主题资源和环境属性。 . ABAC政策制定 在这里我们正式定义(基本)ABAC策略模型: (1)S、R和E是主题资源和环境分别; (2)SAk(1(1≤m≤M）和EAa(1≤n≤N）的预定义的属性是 分别和环境; (3)ATTR(s)ATTR(r)，和ATTR(e)为主题的年代资源分配关系和环境分别为: ATTR(s) ATTR(r)∈SA1×SA2×…×SAm ATTR(e)∈SA1×SA2×…×SAn 我们也使用这个函数赋值符号个人属性。例如: 角色(s)=“服务使用者” (r)= XYZ公司 (e)= 01-23-2005 (4) 在最一般的形式一个政策决定的规则年代主题是否可以在一个特定的访问资源r环境e的布尔函数sr，e属性: Rule:can_access(sr，e)←f（ATTR(s) 、ATTR(r)、 ATTR(e)） 鉴于年代的所有属性分配r，和e如果授予;否则访问被拒绝政策规则或政策存储可能由一个基础策略规则涉及许多学科和资源在一个安全域。访问控制决策过程在本质上相当于适用政