[发明专利]网络访问控制系统中XACML框架扩展系统及方法

说明书

技术领域

本发明属于计算机技术领域，更进一步涉及计算机网络安全技术领域中的一种可扩展访问控制标记语言(eXtensible Access Control Markup Language，XACML)框架扩展系统及方法。本发明可用于网络访问控制系统中访问控制结果的冲突检测及冲突消解，生成可扩展访问控制标记语言策略规则，以确保网络访问控制系统中授权用户的正确访问，同时拒绝非授权用户的访问。

背景技术

OASIS发布的可扩展访问控制标记语言XACML可通过多种属性类型定义细粒度的访问控制规则，但属性的细粒度化容易导致策略规则冲突，可扩展访问控制标记语言XACML中给出了若干冲突消解算法，从结果可判定角度规避了策略规则冲突对访问请求决策的影响，但其未能从管理角度分析造成冲突的细节原因，结果难以分析并容易造成权限泄漏。为了检测和消解策略规则冲突，目前的方法主要是在策略判定之前对策略规则进行策略，对可扩展访问控制标记语言XACML策略规则管理有如下方法：

中国科学院软件研究所拥有的专利技术“一种XACML策略规则检测方法”(申请号200810119404.7授权公告号CN100592315C)提出针对XACML策略规则进行了规则状态定义、规则状态相关性定义、冲突类型分析，并在此基础上，建立了基于语义树的策略索引并实施具体的XACML策略规则检测。该方法的具体步骤是：第一，构建XACML策略规则分析的形式化模型；第二，制定XACML中的权限继承和权限蕴含规则；第三，定义XACML中规则状态的关系，分为状态覆盖、状态相交或状态无关；第四，通过描述属性层次操作关联类型；第五，建立基于资源语义树的策略索引结构；第六，运行基于属性层次操作关联的冲突检测算法；第七，运行基于状态相关的其他类型冲突检测算法。该专利技术存在的不足是：当一个网络访问控制系统中存在大量用户和大量资源，需要制定大量访问控制规则时，将每个规则中的属性进行形式化过于复杂，并且生成的策略索引树将很庞大，从而冲突检测效率很低下。因此该方法只适用于拥有少量用户和资源的网络访问控制系统中，只能检测少量访问控制规则之间的冲突，从而无法确保大量授权用户的正确访问和拒绝非授权用户的访问。

F.Huang,Z.Huang and L.Liu发表的论文“A DL-based method for access control policy conflict detecting”(Internetware,Beijing,China,2009,pp.1-5,ACM，USA)公开一种利用描述逻辑(Description Logic，DL)将XACML策略规则形式化，利用推理工具的一致性检测功能对形式化的策略规则进行检测的方法。该方法的具体步骤是：第一，将XACML策略规则中的基本元素，如：Subject、Resource、Action和Effect元素及元素的属性映射到描述逻辑中的概念及概念之间的关系；第二，将每一个XACML策略规则相应映射为描述逻辑策略规则实例；第三，利用推理机的实例一致性检测功能对规则实例进行检测。该方法存在的不足是：由于描述逻辑缺乏足够支持访问控制规则语义的描述能力，当一个访问控制系统需要对拥有多个属性的授权用户进行访问控制，需要制定细粒度的访问控制规则时，用描述逻辑描述策略规则实例将很复杂，从而无法确保网络访问控制系统中拥有多属性的授权用户的正确访问。

综上所述，目前的现有技术是将已制定好的XACML策略规则形式化后再进行冲突检测的方法，由于形式化方法的复杂性，只适用于检测少量访问控制规则之间的冲突，而用于检测大量访问控制规则之间的冲突时，检测的效率很低下，且很容易检测不出冲突，从而容易导致授权给用户的权限不一致和未授权用户的非法访问。由于描述逻辑缺乏足够支持访问控制规则语义的描述能力，当一个访问控制系统需要根据用户的多个属性进行决策时，基于描述逻辑无法描述细粒度的访问控制规则，从而无法检测出细粒度的访问控制规则之间的冲突，容易导致网络访问控制系统中权限的泄漏。

发明内容

本发明的目的在于针对上述现有技术的不足，提出一种网络访问控制中扩展XACML框架系统和方法，将可扩展访问控制标记语言XACML框架中的策略管理点PAP进行扩展，以确保网络访问控制系统中授权用户的正确访问，同时拒绝非授权用户的访问。