基于属性机制Web Services访问控制模型.docVIP

基于属性机制Web Services访问控制模型 　　摘要：基于属性的访问控制(ABAC)是面向Web Service应用的一种新的访问控制方法。而访问控制策略合成则是确定分布式聚合资源访问控制策略的关键。为了规范策略合成和保障策略合成正确性，基于属性刻画了实体间的授权关系，通过属性值的计算结构扩展了现有的策略合成形式化框架，建立了新的基于属性的策略合成代数模型。用代数表达式形式化地描述聚合资源的访问控制策略，说明可借助策略表达式的代数性质去验证策略合成结果是否符合各方对聚合资源的保护性需求，为聚合资源的访问控制策略评估和应用提供基础。 　　关键词：基于属性；访问策略；代数模型；策略合成代数 　　中图分类号：TP393.01文献标识码：A文章编号：1672-7800（2011）01-0136-02 　　 　　 　　作者简介：李晓林（1962-），男，湖北安陆人，武汉工程大学计算机科学与工程学院副教授，研究方向为网络数据库；张文婷（1985-），女，湖北武穴人，武汉工程大学计算机科学与工程学院硕士研究生,研究方向为网络数据库;杨浜泽（1986-），男，湖北武汉人，武汉工程大学计算机科学与工程学院硕士研究生,研究方向为网络数据库。1基于属性访问控制原理 　　 在基于属性的访问控制（ABAC）中，访问判定是基于请求者和资源具有的属性，请求者和资源在基于属性的访问控制中通过特性来标识，而不像基于身份的访问控制那样只通过ID来标识，这使得基于属性的访问控制具有足够的灵活性和可扩展性。对一些复杂的授权可能需要一种细化的控制策略，针对某一特性进行授权，在Web Services访问控制中，“服务请求者”对“服务”进行的某种操作权限也是基于服务请求者和服务的特性而作出的，因此可以“将服务请求者”对“服务”都作为对象处理，用属性对它们进行描述，则属性的动态变化会引起授权的相应调整，从而实现动态授权。有了属性，可以对角色做更细致的刻画，那么基于属性的访问控制比基于角色的访问控制就拥有更细的控制粒度，能够展现出表述含义更加丰富而灵活的访问控制策略。基于属性的访问控制模型是根据参与决策的相关实体的属性来进行授权决策的。这里提到的实体分3类:主体(Subject)、资源 (Resource)和环境 (Environment)。 　　（1）主体属性：主体是对资源进行操作的实体。每个主体都有很多与其身份和特点相关的很多属性，比如身份、角色、年龄、职位、PI地址等。 　　（2）资源属性：资源是被主体操作的实体。它可以是一个文档，一个文件夹或一组数据库中的数据。跟主体一样，资源的很多属性都可以作为访问控制判断的依据。比如一个Word文档就有题目、作者、创建日期等属性，以及一些与安全相关的属性，如安全级别、防扩散要求等。 　　（3）环境属性：环境属性被很多访问控制策略所忽视，它通常描述事务处理时的上下文，包括时间、日期、系统状态、安全级别等。 　　在访问控制策略中，我们分别用S、R和E来表示主体、资源和环境。如果需要考虑K个主体属性，我们就用SAk（1≤k≤K）来表示这些主体的属性，用SAkDomain（1≤k≤K）来表示这些属性的取值范围;如果需要考虑M个资源属性，我们就用RAm（1≤m≤M）来表示这些资源的属性，用RAmDomain（1≤m≤M）来表示这些属性的取值范围;如果需要考虑N个环境属性，我们就用EAn（1≤n≤N）来表示这些环境的属性，用EAnDomain（1≤n≤N）来表示这些属性的取值范围。在基于属性的访问控制模型中，判断是否允许一个主体S在环境E下访问资源R，是根据主体S、资源R以及当前上下文环境E的具体属性来决定的。 　　can_access（s,r,e）←f（attr（s）,attr（r）,attr（e）） 　　其中，access通常代表一系列操作，如:red、write等;f是一个函数，它通过主体S、资源R和环境E的属性值来计算，其结果决定主体S的访问是否合法。f函数就是访问控制策略规则，它是根据具体的业务规则来制定的，它描述了主体访问资源时必须满足的条件。 　　2访问策略合成器 　　 为实现基于Web Services的多安全异构域集成与整合，就需要整合服务提供域之间的不同访问控制策略。该策略是系统管理员基于主体对客体的行为信息而为系统量身制定的一系列访问控制规则以及规则组合算法，以此对资源、用户的访问进行控制。因此按照属性的规则对服务资源进行控制，非常适合动态分布的Web服务环境。而如何整合不同的访问策略就在怎样确定f这个函数。 　　 本文假设制定聚合资源策略的各方均采用基于属性的访问控制，并且各方对实体所有的关联属性有一个共同的认识。事实上，随着基于属性的访问控制的发展，这是在分布式跨域协作应用中