论文部分内容阅读
基于属性的访问控制是目前新兴的一种访问控制技术,由于其具有良好的可扩展性而得到广泛认可。本文对基于属性的访问控制模型和基于属性的访问控制管理模型进行了研究,分析并改进了可扩展访问控制标记语言委托策略(XACMLAdmin)描述方式,并提出一种策略预处理方案。本文的主要研究成果如下:
①形式化描述了基于属性的访问请求判定过程,将其归结为四个关系的计算,给出了基于属性的访问控制中策略冲突、策略合并元策略和策略依赖图的定义。并针对策略依赖图,分析了可获取有效的访问控制判定应满足的充分条件。
②讨论了基于属性的访问控制策略管理问题,用属性逻辑表达式来表示管理范围,给出基于属性的委托策略定义,同时给出了委托策略的语义解释,总结、提出了三种信任链的建立方式,讨论了这三种方式之间的区别。
③形式化描述了XACML和XACMLAdmin中的策略集、策略、规则,以及其组成元素之间的逻辑关系。针对XACMLAdmin草案中,对于规则中委托限制处理上存在的问题,提出一种解决方案。
④提出了一个将XACML策略树分割为访问策略树和管理策略树来提高在线判定性能的匹配方案。并在此基础上,通过构造委托图,删除管理策略树和访问策略树中的无效节点,从而避免在线判定时引起拒绝服务攻击的无效策略。