XACML与RABC Profile.docVIP

XACML与RBAC Profile 概述 为提高分布式系统间的访问控制互操作性，2003年OASIS制定了基于XML的XACML（eXtensible Access Control Markup Language，可扩展访问控制标记语言）标准。目前，XACML规范还在不断完善并且已经被应用到一些产品当中，如Weblogic 9已经开始采用XACML进行访问控制；2007.6 IBM, ORACLE, BEA等八家公司共同发表了XACML的互操作声明。RBAC（Role Based Access Control，基于角色的访问控制）是一种灵活、高效的访问控制方法，它有效地克服了传统访问控制（DAC，MAC 等）技术中存在的不足之处，减少了授权管理的复杂性和降低管理开销，已经被广泛应用到各种系统当中。因此，如果能将XACML和RBAC结合起来应用于企业信息系统，将为我们提供一种更加灵活和有效的访问控制机制。 XACML介绍 在基于Web的分布式应用环境中，安全策略广泛使用XACML语言进行表示。XACML（eXtensible Access Control Markup Language, 可扩展的访问控制标记语言）是一种基于XML的开放标准语言，它设计用于描述安全政策以及对网络服务、数字版权管理(DRM)以及企业安全应用信息进行访问的权限。XACML在2003年2月由结构化信息标准促进组织(OASIS)批准，它开发用于标准化XML的访问控制。XACML有时也称可扩展的访问控制高标识语言(XACL)。 简单的说，XACML是一种对访问控制策略和访问控制请求/响应产生过程加以描述的语言，XACML不仅提供了一系列逻辑算法对整个授权过程进行控制，而且提供了支持定义新功能、数据结构、合成逻辑算法等的标准可扩展点。可以根据主体、资源、环境的属性以及所采取的行为进行控制——允许还是拒绝。实际上，返回的结果有四种：允许、拒绝、无法决定（Indeterminate）和不适用（NotApplicable）。 XACML使用XML作为其描述语言。XML元语言的特性、可扩展的语法和语义特性以及广泛的支持性使其能够对访问控制思想实现最好的支持。 XACML的作用 XACML主要解决以下问题： 1）创建一种可移植的、标准的方式来描述访问控制实体及其属性。 2）提供一种机制，以比简单地拒绝访问或授权访问更细粒度的控制访问，也就是说，在“允许”或“拒绝”之前或之后执行某些操作。 XACML的主要优势： 1）标准性。经过专家委员会的论证，其定义的一些逻辑标准和算法适应绝大多数的应用需要。使得同其他应用系统的互操作性在标准性的基础之上非常容易。 2）通用性。不仅仅适用于某一个应用系统，而是具有普遍适用性。策略文件适用于多种应用系统，而且正由于其通用性，使策略文件的管理变得相对容易。 3）支持分布式应用。不同的人员和部门可以在不同的地点制定子策略文件，XACML可以根据指定的合成算法和多个子策略返回一个授权决定。 4）扩展性。虽然XACML已经支持多种数据结构、功能和规则、策略合成算法，但XACML仍然在某些方面支持扩展，以适应特殊应用领域。OASIS正在致力于XACML对SAML（Security Assertion Markup Language）的支持，以及对RBAC的支持等等。 XACML与SAML 安全断言标记语言（Security Assertion Markup Language, SAML）主要目的在于可移植的信任。即提供一种机制在不同的协作域之间传递关于实体的信息，同时域又不失去对这些信息的所有权。交换的信息可以是关于主体或者验证信息的断言。这种方式也称为单点登录。 XACML体系结构与SAML体系结构是紧密相关的。它们有很多相同的概念，要处理的问题域也在很大程度上重叠：验证、授权和访问控制。但是在同一问题域中，它们要解决的是不同的问题。SAML要解决的是验证，并提供一种机制，在协同实体间传递验证和授权决策，而XACML则关注于得到这些授权决策的方法。 因此，SAML和XACML在实际应用中需要协同配合来共同解决验证、授权和访问控制的问题。 XACML的流程模型 　　XACML是一种用于决定请求/响应的通用访问控制策略语言和执行授权策略的框架，它在传统的分布式环境中被广泛用于访问控制策略的执行。在典型的访问控制框架中，有策略执行点PEP(Policy Enforcement Point)和策略决定点PDP(Policy Decision Point)。PEP用于表达请求和执行访问控制决定。PDP从PEP处接受请求，评估适用于该请求的策略，并将授权决定返回给PEP。XACML语言的框架结构如图1所示。 授权请求到达策略执行点（PEP）。PEP 创