基于属性的访问控制(abac)的跨域访问控制面向服务的体系结构(soa)_本科论文
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
理工学院
毕业设计外文资料翻译
专业:通信工程
姓名:
学号: 11L0751156
外文出处: 2012 International Conference On
Computer Science And Service System 附件: 1.外文资料翻译译文;2.外文原文。
附件1:外文资料翻译译文
基于属性的访问控制(ABAC)的跨域访问控制面向服务的体系结构
(SOA)
摘要传统的基于角色的访问控制模型(RBAC)不能满足面向服务的需求架构(SOA)的分布和开放,基于属性的访问控制(ABAC)更多细粒度访问控制,更适合SOA是敞开的环境。本文提出了一种ABAC-based跨域访问控制系统中,安全域的与主题、对象属性、权力的环境属性访问决策的基础,消除集成基于SOA框架的约束RBAC,某种程度上提高了可伸缩性和可变更性的系统,解决了跨域访问控制的问题。
关键字:SOA,基于属性的访问控制(ABAC),访问控制
1. 整体介绍
面向服务的体系结构(SOA)是一种组织方法和使用分布式资源的灵活性组织和管理资源的分布不同的管理领域[1 - 2]。越来越高的对信息集成的需求,松散耦合的、开放的SOA从业务和吸引了越来越多的关注学术界[3]。但是SOA的发展也面临着许多问题,比如安全保障,以及如何整合环境检测服务和原始数据[4]。它在特定的SOA安全系统,开放性,跨域访问安全性呈现给我们的是一个巨大的挑战。
基于角色的访问控制(RBAC)是在一个更合适的独立的安全域,不适合跨域访问。基于主体统一服务认证系统[7],使用不同的方法来处理访问跨域访问,它解决了这个问题在跨域访问企业信息集成一定程度上,但它的基于角色的想法不能最后一个方法实现SOA的开放性和信息集成。
为了解决上述问题,本文提出了一种基于属性的访问控制(ABAC)的跨域访问控制系统,该系统应用的思想属性的访问控制跨域访问控制。该系统消除过程中的缺陷基于角色的访问控制应用于SOA的作用。
2.基于属性的访问控制(ABAC)
基于属性的访问控制模型(ABAC)包括两个方面:政策模型,定义了ABAC策略和应用的体系结构模型web服务访问控制政策。我们首先解释概念的属性。
A.属性定义
ABAC模型可以定义权限基于而已对任何安全相关的特征,称为属性。访问控制的目的,我们关心的是三种类型的属性:
•主题属性。一个主题是一个实体(如。一个用户,应用程序或过程),采取行动的资源。每个主题有关联的属性定义主体的身份和特征。这样的属性可能包含主体的标识符名称、组织、职位等等。一个主题的作用,当然,也可以被视为一个属性。
•资源属性。资源是一个实体(例如,一个web服务,数据结构,或系统组件)是作用于一个主题。与主题、资源属性,可以利用访问吗控制决策。Microsoft Word文档的例子,可能属性,如标题、主题,日期,和作者。往往是资源属性提取的尤其各种web 服务元数据的属性可能相关的访问控制的目的,如所有权、服务分类、甚至质量服务(QoS)属性。
•环境属性是到目前为止在大多数的访问控制策略的忽视。这些属性描述的操作、技术,甚至情境的环境或上下文信息访问。例如,属性等当前的日期和时间、当前病毒/黑客
活动,和网络的安全级别�(互联网对比内联网),没有相关联的特定主题和资源,但可能也是如此相关应用的访问控制策略。
把角色和身份的特征校长,ABAC完全包含的功能IBAC和RBAC方法。此外,其考虑的能力额外的资源属性,如敏感信息使它能够解决MAC需求很容易。因此,我们相信,ABAC的自然融合现有的访问控制模型和超越他们的功能。语义上更加丰富和政策表示更多的表达,可以更细粒度的列线图,因为它可以基于任何组合的主题,资源和环境属性。
B . ABAC政策制定
在这里我们正式定义(基本)ABAC策略模型:
(1)S、R和E是主题,资源和环境,分别;
(2)SAk(1≤k≤K),RAm(1≤m≤M)和EAa(1≤n≤N)的预定义的属性是主题、资源、
分别和环境;
(3)ATTR(s),ATTR(r),和ATTR(e)为主题的年代,资源分配关系,和环境,分别为: ATTR(s)∈SA1×SA2×…×SAk
ATTR(r)∈SA1×SA2×…×SAm
ATTR(e)∈SA1×SA2×…×SAn
我们也使用这个函数赋值符号个人属性。例如:
角色(s)=“服务使用者”
服务商(r)= " XYZ公司"
当前时间(e)= " 01-23-2005 "
(4) 在最一般的形式,一个政策决定的规则年代主题是否可以在一个特定的访问资源r 环境e,的布尔函数s,r,e属性:
Rule:can_access(s,r,e)←f(ATTR(s) 、ATTR(r)、ATTR(e))
鉴于年代的所有属性分配,r,和e,如果函数评价正确,然后访问资源授予;否则,访问被拒绝。
政策规则或政策存储可能由一个基础策略规则,涉及许多学科和资源在一个安全域。访问控制决策过程在本质上相当于适用政策的评估规则在商店的政策。
现在我们可以展示不同的政策规则制定使用属性。一般人最简单的使用形式的策略规则涉及主题、资源、和环境属性是相互独立的。在通常这种情况下,策略规则匹配/资源/主题环境属性常量值。例如,一个规则与角色规定“‘用户管理人员’可能访问‘批准购买’网络服务”能够写成:
这个示例还说明传统RBAC的规则可以通过对ABAC模型很容易。然而,ABAC 模型的建模丰富的访问控制语义。例如,执行资源可能只是由其所有者访问,我们可以有一个规则如下:
R2: can_access (s,r,e) ←(UserID(s) = ResourceOwner(r))
更有趣的例子将在未来部分。
给属性赋值,评价政策规则可能归结为一阶的评价逻辑(或其简单的变体)表达式,和现有的算法(如。正向链接)可以方便地应用。然而,这超出了本文的讨论范围实际实现的政策评估。