zoukankan      html  css  js  c++  java
  • 《基于属性的访问控制策略模型》阅读总结

    摘要

    研究属性、属性谓词、属性名值对的抽象与描述;提出一种基于属性的访问控制策略模型,对策略、策略评估进行形式化定义;描述在设置策略合并算法系统缺省授权下的访问控制判决过程;设计一种改进的策略管理框架。

    概述

    基于属性的访问控制(Attribute—Based Access Control,ABAC),利用与主体、客体、环境相关的属性作为授权策略制定的基础。

    XACML是一种基于ABAC策略和请求的标准描述语言,它提供多种逻辑算法对授权过程进行控制。

    策略模型

    1、属性attr :是具有指定数据类型和值域的变量,可抽象定义为三元组< attr,VAL,R(VAL)>,分别表示属性名、值域和不同取值间的关系。

    • 用sattr,oattr,eattr分别表示主体属性、客体属性和环境属性;
    • 属性的值域VAL有连续型离散型之分
      • 取值连续的属性,其不同取值通常表现出数值比较关系 ,R(VAL)可表示为{(val1~val2)|val1~val2∈VAL,~∈{=,≠,≤,>,≥}
      • 取值离散的属性,其不同取值相互独立或者表现为偏序关系,R(VAL)通常表示为{((val1~val2)|val1~val2∈VAL,~∈{=,≠,>,<},其中>表示“优先于”、“继承”等偏序关系,<含义与>相反

    2、属性谓词ap :定义为三元组 < attr,∝,val>,其中,为操作符,用以限定属性的取值范围.

    • 用sap、oap、eap分别表示主体、客体和环境属性谓词,SAP=sap1∧sap2∧…∧sapi,OAP,EAP以此类推。

    3、ABAC策略p:定义为sign←(SAP,OAP,EAP,ACT)

    • ACT={act1,act2,… ,actm}表示操作的集合。
    • sign取值为permitdeny,分别表示正向、负向授权
    • 授权系统中访问控制策略的集合记为P={p1,p2,…,pn}

    策略评估

    1、属性名值对avp:表示属性的具体取值,定义为二元组<attr,val>,即attr=val。savp、oavp、eavp分别表示主体、客体和环境属性名值对。

    2、属性谓词评估

    • 给定属性名值对avp=(attr=value) 和属性谓词ap=(attr∝va1),ap对avp的评估结果‖ap‖avp为真,当且仅当两者的属性名相同且avp的取值属于ap限定的范围,形式化定义:

    • 给定属性名值对集合AVP={avp1,avp2,…,avpm},属性谓词ap对AVP的评估结果‖ap‖AVP为真, 当且仅当存在avp∈AVP使得‖ap‖AVP为真,否则为假。形式化定义:

    • 给定属性名值对集合和属性谓词组合AP=ap1∧ap2∧…∧apn,AP对AVP的评估结果‖AP‖AVP为真, 当且仅当对于任意ap∈AP有‖ap‖AVP为真,形式化如下:

    3、用户的访问请求Req:抽象定义为四元组<S,O,E,act>

    • S={savp1,savp2,…,savpRI}为主体属性名值对集合;O为客体属性名值对集合 ;E为环境属性名值对集合;act为用户请求的操作。

    4、访问控制策略评估

    • 给定访问控制策略P=sign←(SAP,OAP,EAP,ACT)和用户请求Req=<S,O,E,act>,当‖SAP‖s、‖OAP‖o、‖EAP‖E均为真且act∈ACT时,策略P适用此用户请求,策略评估结果‖P‖Req即为其授权标识sign,否则,‖P‖Req为not—applicable

    5、策略集评估

    • 给定用户请求Req和策略集P={p1,p2,…,pn},P对Req的评估结果仍为一个集合,即 ‖P‖Req={‖p1‖Req,‖p2‖Req,…,‖pn‖Req}。将相同元素合并后,‖P‖Req有以下取值:
      • {permit}:P中所有策略均为正向授权策略且都适用于Req,系统的判决结果应为permit;
      • {deny}:P中所有策略均为负向授权策 略且都适用于Req,系统的判决结果应为deny;
      • {not—applicable}:P中所有策略均不适用于用户请求Req,系统将根据缺省授权给出最终判决结果。缺省授权通常设置为deny。
      • {permit,deny}:</spanP中的所有正、负向策略均适用于Req,系统将根据策略合并算法得到最终结果。如采用允许覆盖(permit—override)、拒绝覆盖(deny—override)、首次适用(first—applicable)等合并算法
      • 存在permit或deny时,not—applicable将自动被屏蔽;

    策略管理框架

    XACML在IETF策略框架的基础上提出了面向策略实施的数据流模型。

  • 相关阅读:
    Pale Moon 15.1 发布,苍月浏览器
    开源云端代码编辑器 ACE 1.0 正式发布
    Jailer 4.0.14 发布,智能数据提取工具
    Bitcoin 0.7.0 发布, P2P网络的匿名数字货币
    Pike 7.8.700 发布,脚本编程语言
    PhoneGap 2.1.0 正式版发布
    DHTMLX Touch 1.2 发布,移动 JS 框架
    abcm2ps 6.6.20/7.1.0 发布
    Little CMS 2.4 发布,色彩管理引擎
    Linux静态库和动态库
  • 原文地址:https://www.cnblogs.com/fanxiaonan/p/12707555.html
Copyright © 2011-2022 走看看