基于属性访问控制方法中的策略定义研究.pdfVIP

琨，郎波：基于属性访问控制方法中的策略定义研究 基于属性访问控制方法中的策略定义研究 葛琨,郎波 （北京航空航天大学 北京100083） 摘要：基于属性的访问控制（ABAC）是面向Web Service 应用的一种新的访问控制方法。可 扩展访问控制标记语言XACML 是一种支持该方法的重要规范，它给出了ABAC 策略执行框架 以及ABAC 策略的定义语言。但XACML 中策略定义非常繁琐复杂，对用户提出了很高要求。 本文在对ABAC 模型进行分析研究的基础上，分析了XACML 的策略定义语言，提出了基于 XACML 的ABAC 策略模版，并给出了基于策略模版编写ABAC 策略的方法，从而在保 策略正 确定义的基础上，有效简化了策略定义过程。 关键词：基于属性的访问控制，XACML，策略模版，策略定义方法 Research on the policy definition in the Attribute based Access Control ABSTRACT：Attribute Based Access Control (ABAC) is a new access control method in the application of Web Service. eXtensible Access Control Markup Language (XACML) is an important standard supporting ABAC; it brings up an ABAC policy enforcing architecture and an ABAC policy definition method. But it is very complicated to define ABAC policy using XACML, and It is difficult for common user to master it. In this paper, we analyze the definition method in XACML based on the ABAC model, bring up a XACML based policy definition template and the policy definition method based on it. In this way, we can both assure the accurate of the policy and simplify the policy definition procedure. Keyword: Attribute Based Access Control, XACML, Policy template, Policy definition method 中图分类号：TP393.08 文献标志码：A 基金项目: 网格计算中基于属性的访问控制的方法与实现 国家863 资助项目 (NO. 2006AA01Z441), 动态性访问控制方法研究 总装预研基金资助项目 (NO. 9140AK01) 引言 SOA(Service-Oriented Architecture)和网格环境的出现打破了传统的封闭式的信息系统， 使得平台独立的系统之间以松耦合，可相互合作的接口实现互联[1,2]。在这种环境中，要求 访问控制模型能够提供基于上下文的访问，处理主