联邦认证授权中语义属性访问控制研究.docVIP

联邦认证授权中语义属性访问控制研究 　　摘 要：为方便跨域信息共享，简化策略管理，将属性访问控制(ABAC)与语义Web技术结合，扩展XACML标准框架结构，实现语义推理功能；将该结构应用于联邦身份认证授权模型中，可以有效解决属性语义互操作问题。 　　关键词：属性访问控制；授权；联邦；本体；可扩展的访问控制标记语言 　　中图分类号：TP309文献标志码：A 　　文章编号：1001-3695(2009)06-2128-03 　　doi:10.3969/j.issn.1001-3695.2009.06.039 　　 　　Research of semantic attribute-based access control infederated authentication and authorization 　　 JIANG Hua??1,LI Xin-you??2,XIE Sheng-xian??1,CHEN Chen??2,LI Jun-qing??1,ZHANG Sha-sha??1 　　(1.College of Computer Science, Liaocheng University, Liaocheng Shandong 252059, China；2.Information Security Research Services Center, State Information Center, Beijing 100045, China) 　　Abstract:In order to facilitate cross-border information sharing, simplified policy management, integrated the attribute-based access control and the semantic Web technology, expanded the XACML standard framework to implement semantic inference function. Using the approch presented in federation can effectively resolve the attributes semantic interoperability issues. 　　Key words:attribute-based access control(ABAC); authorization; federation; ontology; XACML 　　 　　联邦认证授权提供了一种不改变用户原有使用习惯和管理方式，实现多个用户系统互通，跨域访问服务器资源，进行安全信息认证和授权的技术[1]。联邦中每个联邦成员包含一个身份提供者(identity provider,IdP)，授权用户和大量服务提供者(service providers，SP)。联邦身份认证授权的分布性、异构性和动态性特点，传统访问控制机制已不能满足其安全性要求。基于属性的访问控制(ABAC)是以实体属性为授权基础，能动态、细粒度实施授权[2]，特别适合于开放和分布式系统中的授权和访问控制，并且联邦身份认证为用户授权提供属性访问接口，通过该接口，共享服务向身份管理者提交属性请求，根据返回的用户属性决定用户的访问权限，实现基于属性的访问控制。联邦中访问控制决策所需的属性可能来自不同的信任域，以不同的术语表示和解释。例如：一个视频点播商店在其访问控制策略中用属性fullAge=true表示成人客户，而同一联邦的一个书籍销售商通过属性age18判定成人客户，有的客户想提供驾照(hasDriversLicense)属性证明为成人。?? 　　鉴于此，本文利用本体扩展XACML(extensible access control markup language)框架，将用户、资源和环境属性作为语义背景，并应用在联邦身份认证授权管理中，实现联邦之间的属性语义互操作。?? 　　 　　1 相关研究?? 　　 　　1.1 基于属性的授权和访问控制模型?? 　　ABAC以主体和客体(资源)属性为授权基础[3]。基于属性的授权模型中，授权定义在主体描述器与客体描述器之间，主体/客体描述器由主体/客体的属性条件组成，并通过对属性条件的判定确定主体权限。有时，访问会受环境和系统状态的约束，因此，授权系统需要环境属性。基于属性的访问控制基本框架如图1所示。 　　其中：AA(attribute authority)建立和管理实体属性；PEP(policy enforcement point)建立属性授权请求后发送给PDP，执行PDP的