基于属性的Web服务访问控制模型

传统访问控制模型都是静态的、粗粒度的,不能很好地在面向服务的环境中应用。本文提出了一种基于属性的访问控制模型(ABAC),它结合 SAML(Security Assertion Markup Language,,安全声明标记语言)和XACML ( Extensible Access Control Markup Language,可扩展访问控制标记语言)标准,能够基于主体、客体和环境的属性来动态地、细粒度地进行授权。新的模型更加灵活,特别适

维普资讯

计算机科学 2 0 Vo. 4o 5 0 7 13 N .

基于属性的 We务访问控制模型 b服傅鹤岗李竞 (重庆大学计算机学院重庆 4O 3 ) OO O摘要传统访问控制模型都是静态的、粗粒度的，不能很好地在面向服务的环境中应用。本文提出了一种基于属性的访问控制模型( B C, A A )它结合 S ML ScryA s tnMak pLnug,全声明标记语言) X C ( x A ( e i s ro ru agae安 ut ei和 A ML E— tn i eAces o to Mak pL n u g, e s l cs nrl ru ag ae可扩展访问控制标记语言)准， b C 标能够基于主体、客体和环境的属性来动态地、细粒度地进行授权。新的模型更加灵活，别适用于动态的 W e特 b服务环境。 关键词 W e服务，问控制，AML, AC b访 S X MLAtrb t - a e c s n r lM o e o e e v c s t iu e b s d Ac e sCo to d l rW b S r ie f F HeG n L ig U - a g I n J( o u e l g,C o g ig Unv ri, o g i 0 0 0 C mp trC l e h n qn ie s y Ch n qn 4 0 3 ) o e t g

Ab ta t Tr dt n l c e sc nr lmo esaen twels i df rt esr ie- re td e vr n e t ea s h ya e src a ii a c s o to d l r o l ut o h evc so in e n io m nsb cu ete r o a — e mo t tt n o reyg an d An Atrb t- a e c e sc n r l( sl sa i a d c as l rie . y c tiu eb s da c s o to ABAC)mo e sp o o e a e nS d li r p s db sd o AM L n a d

X ML。 hc o tdte uh r ai c a i y a cl n n -rie ae nsbet rsuc n i AC w i a pe toi t nmeh ns d nmi l adf e andbsdo jc, eo re n ev— hd ha z o m ay i g u a dr n e tatiu e.Th e mo e Smo ef xbe o m n trb ts en w

d li r i il,whc Se p cal u tbefrt ed a i,a - o n i n e t e ih i s e il s ia l h y m c dh ce vr m n y o n o o frW e e ie. bs r c s v Kewo d W e e ie。Ac e sc n r l AM L,XACM y rs b sr c s v c s o t,S o

1引言 We b服务作为一种新的分布式计算模型，能够在各种异构平台的基础上构筑一个通用的、与平台无关的、与语言无关

及范围的一种方法。通过访问控制服务，以限制对关键资可

源的访问，防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。传统的访问控制类型主要有两类：自主访问控制 D AC ( srt nr cs nr1和强制访问控制 Di ei ayAcesC t o) c o oM AC ( n ao yAc e sC n r 1。 a M d t r c s o to )

的技术层，使各种不同平台之上的应用方便地实施连接和集成。We服务具有简单、平台、 b跨松散耦合的特点，将成为它下一代电子商务的框架。由于完全采用开放的标准协议，We b服务很容易受到安全性方面的威胁。然而 We b服务与

随着企业信息系统的迅速发展，对访问控制服务的质量也提出了更高的要求，以上两种访问控制技术已很难满足这些要求。DA C将赋予或取消访问权限的一部分权力留给用

传统电子商务环境相比具有更强的分散性和动态性，传统的安全机制并不能有效地解决 We b服务所面临的问题。目前

户个人，这使得管理员难以确定哪些用户对哪些资源有访问权限，不利于实现统一的全局访问控制。而 MAC由于过于偏重保密性，对其他方面如系统连续工作能力、授权的可管理

安全问题严重制约了 We b服务的广泛普及，因此，究 We研 b服务环境下访问控制模型具有重要的意义。

在面向服务的环境中，息的访问通常是动态的。传统信电子商务环境下的访问控制模型，如访问控制列表 ( C )基 A L、

性等考虑不足。2世纪 9年代以来出现的一种基于角色的 O O访问控制 RB AC( oeB sdAcesC nr1技术有效地克 R l ae cs t ) - o o服了传统访问控制技术中存在的不足之处

,以减少授权管可理的复杂性，降低管理开销，而且还能为管理员提供一个比较好的实现安全政策的环境 L。I A 1 t C的核心思想就是将访问] B权限与角色相联系，通过给用户分配适合的角色，让用户与访问权限相联系。角色是根据企业内为完成各种不同的任务需要而设置的，根据用户在企业中的职权和责任来设定他们的角色，用户可以在角色间进行转换，系统可以添加、删除角色， 还可以对角色的权限进行添加、除。删一

于角色的访问控制 ( ),是静态的、粒度的，以等都粗所 它们并不能很好地在面向服务的环境中应用。本文针对 we服务环境的特点， b提出了一种基于属性的访问控制模型 ( B C,结合 S ML Scry A sro ru a- A A )它 A ( ui se i Makp Ln e t tng ae安全声明标记语言) X C ug,和 A ML( xes l Aces E tni e cs b

o t l k p g ae可扩展访问控制标记语言 )术， C n o M ru nug, r a a L技 基于主体、客体和环境的属性来动态地、细粒度地进行授权。本文接下来将先分析现有访问控制模型在 We b服务环境下的局限性，然后详细介绍新型的基于属性的访问控制模型 ( BA ) A C以及 S ML、 AC A X ML技术在 A A B C模型中的应用，最后介绍如何应用开源工具来实现 We服务的 A AC模型。 b B

将安全性放在

个接近组织结构的自然层面上进行管理。 以上这些访问控制模型虽然在某些情况下非常有效，但

并不能完全满足 We b服务环境的要求，主要表现在以下两个方面：

2现有的访问控制模型访问控制是指通过某种途径显式地准许或限制访问能力傅鹤岗副教授，硕士生导师，主要研究方向：软件工程、电子商务。李

首先，传统信息系统只需要处理系统已知的用户，也用户只访问已知的系统。然而在 We b服务环境下，服务消费者与服务提供者通常来自不同的域，彼此是陌生的，他们之间关系竞研究生，主要研究方向：电子商务、 b We服务 11 1

本文来源：https://www.bwwdw.com/article/43y1.html