摘要
研究属性、属性谓词、属性名值对的抽象与描述;提出一种基于属性的访问控制策略模型,对策略、策略评估进行形式化定义;描述在设置策略合并算法和系统缺省授权下的访问控制判决过程;设计一种改进的策略管理框架。
概述
基于属性的访问控制(Attribute—Based Access Control,ABAC),利用与主体、客体、环境相关的属性作为授权策略制定的基础。
XACML是一种基于ABAC策略和请求的标准描述语言,它提供多种逻辑算法对授权过程进行控制。
策略模型
1、属性attr :是具有指定数据类型和值域的变量,可抽象定义为三元组< attr,VAL,R(VAL)>,分别表示属性名、值域和不同取值间的关系。
- 用sattr,oattr,eattr分别表示主体属性、客体属性和环境属性;
- 属性的值域VAL有连续型和离散型之分
- 取值连续的属性,其不同取值通常表现出数值比较关系 ,R(VAL)可表示为{(val1~val2)|val1~val2∈VAL,~∈{=,≠,≤,>,≥}
- 取值离散的属性,其不同取值相互独立或者表现为偏序关系,R(VAL)通常表示为{((val1~val2)|val1~val2∈VAL,~∈{=,≠,>,<},其中>表示“优先于”、“继承”等偏序关系,<含义与>相反
2、属性谓词ap :定义为三元组 < attr,∝,val>,其中,
为操作符,用以限定属性的取值范围.
- 用sap、oap、eap分别表示主体、客体和环境属性谓词,SAP=sap1∧sap2∧…∧sapi,OAP,EAP以此类推。
3、ABAC策略p:定义为sign←(SAP,OAP,EAP,ACT)
- ACT={act1,act2,… ,actm}表示操作的集合。
- sign取值为permit或deny,分别表示正向、负向授权。
- 授权系统中访问控制策略的集合记为P={p1,p2,…,pn}
策略评估
1、属性名值对avp:表示属性的具体取值,定义为二元组<attr,val>,即attr=val。savp、oavp、eavp分别表示主体、客体和环境属性名值对。
2、属性谓词评估:
-
给定属性名值对avp=(attr=value) 和属性谓词ap=(attr∝va1),ap对avp的评估结果‖ap‖avp为真,当且仅当两者的属性名相同且avp的取值属于ap限定的范围,形式化定义:
-
给定属性名值对集合AVP={avp1,avp2,…,avpm},属性谓词ap对AVP的评估结果‖ap‖AVP为真, 当且仅当存在avp∈AVP使得‖ap‖AVP为真,否则为假。形式化定义:
-
给定属性名值对集合和属性谓词组合AP=ap1∧ap2∧…∧apn,AP对AVP的评估结果‖AP‖AVP为真, 当且仅当对于任意ap∈AP有‖ap‖AVP为真,形式化如下:
3、用户的访问请求Req:抽象定义为四元组<S,O,E,act>
- S={savp1,savp2,…,savpRI}为主体属性名值对集合;O为客体属性名值对集合 ;E为环境属性名值对集合;act为用户请求的操作。
4、访问控制策略评估:
- 给定访问控制策略P=sign←(SAP,OAP,EAP,ACT)和用户请求Req=<S,O,E,act>,当‖SAP‖s、‖OAP‖o、‖EAP‖E均为真且act∈ACT时,策略P适用此用户请求,策略评估结果‖P‖Req即为其授权标识sign,否则,‖P‖Req为not—applicable
5、策略集评估:
- 给定用户请求Req和策略集P={p1,p2,…,pn},P对Req的评估结果仍为一个集合,即 ‖P‖Req={‖p1‖Req,‖p2‖Req,…,‖pn‖Req}。将相同元素合并后,‖P‖Req有以下取值:
- {permit}:P中所有策略均为正向授权策略且都适用于Req,系统的判决结果应为permit;
- {deny}:P中所有策略均为负向授权策 略且都适用于Req,系统的判决结果应为deny;
- {not—applicable}:P中所有策略均不适用于用户请求Req,系统将根据缺省授权给出最终判决结果。缺省授权通常设置为deny。
- {permit,deny}:</spanP中的所有正、负向策略均适用于Req,系统将根据策略合并算法得到最终结果。如采用允许覆盖(permit—override)、拒绝覆盖(deny—override)、首次适用(first—applicable)等合并算法
- 存在permit或deny时,not—applicable将自动被屏蔽;
策略管理框架
XACML在IETF策略框架的基础上提出了面向策略实施的数据流模型。