[发明专利]访问控制策略生成方法及装置

说明书

技术领域

本发明涉及访问控制技术，特别涉及一种访问控制策略生成方法及装置， 属于网络应用领域。

背景技术

为了保证网络具有足够的安全性，国际标准化组织ISO在其网络安全体 系的设计标准(ISO7498-2)中，定义了五大安全服务功能，包括：身份认证 服务、访问控制服务、数据保密服务、数据完整性服务以及不可否认服务。 其中，访问控制服务是针对越权使用资源的防御措施，用于防止用户在未授 权的情况下对各种资源的随意访问，从而使计算机系统能够在合法的范围内 被使用。访问控制可以有效的阻止非法用户对系统资源的访问，以及合法用 户对系统资源的非法访问。现有的访问控制策略主要包括自主访问控制 (Discretionary Access Control，以下简称：DAC)策略、强制访问控制 (Mandatoty Access Control，以下简称：MAC)策略，基于标识的访问控制 (Identity Based Access Control，以下简称：IBAC)策略和基于角色的访 问控制(Role Based Access Control，以下简称：RBAC)策略。

上述传统的访问控制策略虽然能够适用于不同的领域，但本质上都是封 闭式的，不支持对系统未定义用户的授权，因此，上述访问控制策略均不具 备足够的灵活性和可扩展性。例如，为解决面向服务的体系结构 (Service-Oriented Architecture，以下简称：SOA)环境下访问控制的问 题，可以利用RBAC策略为SOA构建安全体系。但由于RBAC仅仅将用户的功 能或职责属性定义为角色，未考虑用户的其它属性，并且RBAC未考虑用户访 问的客体的除标识之外的其它属性以及与SOA环境相关的安全属性，所以其 难以适用于多种商业应用场景。为解决现有的访问控制策略灵活性和可扩展 性差的问题，基于属性的访问控制(Attribute Based Access control，以 下简称：ABAC)策略被提出，ABAC是基于IBAC和RBAC中策略定义标识或角 色的局限性而做出扩展和改进，其基本思想是：基于主体，资源或者可操作 上下文的相关属性进行策略定义。在访问控制的范畴内，一般会考虑到基于 主体、资源(即客体)、授权、环境这四种实体属性进行策略定义，换言之， 四种实体属性可包括主体属性、资源属性、授权属性和环境属性，并且ABAC 策略可以基于任意的主体、资源或环境属性的组合来定义策略。与传统的访 问控制策略不同，ABAC策略基于请求者的属性对其访问进行授权，不需要预 先定义用户，因此具有很好的灵活性和动态可扩展性。所以相比于IBAC策略 和RBAC策略，ABAC策略具有更加丰富的语义，能够提供更加细粒度的访问 控制。

针对ABAC的规范问题，高级结构化信息标准组织(Organization for the Advancement of Structured Informa tionS tandards，以下简称：OASIS)提 出了二个标准，包括：安全断言标记语言(Security Assertion Markup Language，以下简称：SAML)和可扩展访问控制标记语言(eXtensible Access Control Markup Language，XACML)。其中XACML标准对ABAC提供了良好的 支持，一方面，它为ABAC策略提出了一个访问控制框架，定义了参与访问控 制的执行流程的关键实体及各实体之间的交互关系；另一方面，它定义了一 种基于XML的访问控制策略定义语言，可以描述多种访问控制策略。XACML 在策略定义、策略索引以及策略组织方面给出了良好的解决方法；该标准还 给出了策略定义时的各种实体可参考属性，用于定义策略的常用数据类型和 能够施加于常用数据之上的常用函数，为策略定义提供了很好的基础设施。 除此之外，XACML还定义了用于策略执行点接受请求和给与应答的标准XML 格式，这对于异构的系统间实现访问控制提供了很好的支持。因此，XACML 被公认为是一种可以对ABAC策略进行准确而全面描述的标准，利用XACML进 行表达的ABAC策略(即基于XACML的ABAC策略)具有很强的实用性。