基于ＡＣ的ＸＡＣＭＬ访问控制模型的设计及实现.docVIP

基于ＡＣ的ＸＡＣＭＬ访问控制模型的设计及实现 　　摘 要：通过分析传统访问控制模型及其实现机制的优缺点，提出了一种基于AC证书的XACML访问控制模型及其实现方法，并对模型的安全性进行了分析。 　　关键词：访问控制； AC； XACML； 安全性 　　中图法分类号：TP311 文献标识码：A 文章编号：1001-3695(2006)10-0133-04 　　Design and Implementation of XACML Access Control Model Based on AC 　　TANG Chenghua1,2, HU Changzhen1,2 　　(1.Information Security Antagonism Research Center, Beijing University of Technology, Beijing 100081, China; 2.College of Mechanical Engineering, Beijing University of Technology, Beijing 100081, China) 　　Abstract:By analyzing the features of traditional access control models and relative implementation mechanism, puts forward an XACML access control model based on AC and its realizing methods. The security of this model is also analyzed. 　　Key words:Access Control; AC; XACML; Security 　　 　　ISO在网络安全标准（ISO 74982）中提出了设计安全信息系统基础架构时应该包含五类安全服务（身份认证服务、访问控制、数据完整性、数据保密性和不可抵赖性），访问控制已成为信息安全领域中的一个基础性的核心问题。所谓访问控制，就是通过某种途径显示准许或限制主体的访问能力及范围，从而限制对目标资源的访问，防止非法用户的侵入或合法用户的不慎操作所造成的破坏。传统的应用系统通常是使用用户名、口令和用户或所属组别对应的级别或权限来实现对用户的访问控制，这些系统都是针对所保护的资源独立进行访问控制的管理。由于不同系统的设计和实施策略不同，其结果会出现多种不同的访问控制策略，从而带来一系列问题：权限管理混乱、系统漏洞隐患、权限管理依赖于应用、资源所有者没有权限、开发费用高和管理负担重等。 　　 　　1 传统访问控制模型及实现机制的分析 　　 　　从20世纪70年代开始，访问控制技术的研究取得了较大的成果。1973年Bell和LaPadula提出了BLP多级安全模型；1976年Harrison等人提出了HRU模型；Jones等人提出了TakeGrant模型；Biba在1977提出了另一种侧重于信息完整性的Biba多级安全模型，后来美国国防部在可信计算机系统评估准则（Trusted Computer System Evaluation Criteria，TCSEC）[1]中描述了著名的自主访问控制模型（DAC）和强制访问控制模型（MAC）；Ferraiolo和Kuhn在1992年提出了基于角色的访问控制模型（RBAC）；近年来又出现了基于工作流或任务的访问控制模型[2]。 　　通过研究可以发现，RBAC及其以前的模型是从系统本身的角度进行描述，没有考虑主体操作时的环境因素的影响；权限由管理员管理，但管理员不一定是资源所有者，而且权限没有时效性；在分布式环境中难以统一控制，自身数据存储的安全性也得不到保障。而基于工作流或任务的访问控制模型虽然考虑了操作环境的变化，权限具有时效性，但过程比较复杂，目前处于研究阶段，实现起来较困难。在访问控制模型实现机制上，从数据存储及获取的角度可以分为以下三种： 　　（1）基于访问控制列表ACL的方式。将主体与访问权限按一定关系存储在数据库中，数据库中包含目标资源、主体和主体可能隶属组的信息，这种关系称之为访问控制列表（ACL），有时也称为访问控制矩阵（ACM）。上述所有模型均可采用这种方式，如RBAC主要就是采用简要表[3]、锁―钥矩阵[4]等实现机制。该方式理论成熟、易于实现，在小型的应用中能有效地解决问题。但是随着系统规模的扩大，用户数目的剧增和数据表的急剧增长，对于一个大型或分布式的应用系统来说，此时如果严格依赖于ACL中主体及对应权限的列举，必然要保证各处ACL的一致性和定期更新，同时必须要额外考虑数据存储和传输的安全性，这些将成为系