返回
基于属性的访问控制模型及其在企业信息系统中的应用

基于属性的访问控制模型及其在企业信息系统中的应用

ID:21875394

大小:54.50 KB

页数:5页

时间:2018-10-25

基于属性的访问控制模型及其在企业信息系统中的应用_第1页
基于属性的访问控制模型及其在企业信息系统中的应用_第2页
基于属性的访问控制模型及其在企业信息系统中的应用_第3页
基于属性的访问控制模型及其在企业信息系统中的应用_第4页
基于属性的访问控制模型及其在企业信息系统中的应用_第5页
资源描述:

《基于属性的访问控制模型及其在企业信息系统中的应用》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于属性的访问控制模型及其在企业信息系统中的应用  摘要:分析了基于属性的访问控制模型(ABAC)的工作原理及特点,并以在企业信息系统中的应用为例说明了该模型的有效性。  关键词:基于属性的访问控制;企业信息系统;信息安全  :TP309.2文献标志码:A:1006-8228(2012)05-39-02  Attribute-basedaccesscontrolanditsapplicationinenterpriseinformationsystem  HanDaojun,JiaPeiyan,MaYuxiang  (

2、InstituteofDataandKnopleofapplyingABACinenterpriseinformationsystemisexplained.  Keyationsystem;informationsecurity  0引言  访问控制是一种常用的资源保护手段,在众多的信息系统中均需要使用这种重要的信息安全技术。访问控制的核心是授权策略。授权策略是用于确定一个主体是否对客体拥有访问能力的一套规则。在统一的授权策略下,得到授权的用户就是合法用户,否则就是非法用户[1]。企业信息系统是一种业务系统,主要处理

3、企业运行过程中产生的各种信息。企业信息系统涉及到业务流程复杂、资源种类众多和用户数量巨大等问题,因此,人们对访问控制技术也更为关注。在现有的访问控制模型中,基于属性的访问控制模型(Attribute-basedAccessControl,ABAC)以一种统一的方式对访问控制的各个要素进行描述,使得系统的安全策略描述变得简单、清晰,引起了研究人员和工作人员的密切关注[2]。本文首先介绍ABAC模型的工作原理和特点,然后给出ABAC在企业信息系统中的应用过程和具体应用步骤,并进一步说明了该模型的有效性。  1背景  ABA

4、M用属性值元组来描述访问矩阵中行和列对应的主体和客体,并用关于属性的谓词来描述指令执行条件,通过指令来修改系统状态,然后在指令和属性满足某个特定条件下,确认ABAM的安全问题是可判定的[3]。在ABAM描述的基础上,可将其扩展至统一框架基于属性的访问控制(ABAC)。ABAC表示能力较强,可以作为一种统一访问控制框架,且有相应的访问控制语言XACML提供支持[4]。  ABAC中的基本元素包括请求者,被访问资源,访问方法和条件。这些元素统一使用属性来描述,而且各个元素所关联的属性可以根据系统需要定义。属性概念的引入,可

5、以将访问控制中对所有元素的描述统一起来,提供一种统一描述的框架。一种典型的ABAC框架如图1所示。  [AA][NAR][PEP][资源][访问][PDP][PAP][AAR][响应][属性请求/响应][策略][NAR:原始访问请求AA:属性权威AAR:基于属性访问请求  PEP:策略执行点PDP:策略判定点PAP:策略管理点]  图1ABAC框架示意图  在ABAC中,一次访问控制判定过程描述如下。PEP接收原始访问请求(NAR),然后根据NAR,利用不同的属性权威(AA)中存储的属性信息构建一个基于属性的访问请求(

6、AAR)。AAR描述了请求者、资源、方法和环境属性。PEP将AAR传递给PDP,PDP根据从PAP处获取的策略对AAR进行判定,并将判定结果传给PEP,PEP执行此访问判定结果。  2应用及分析  企业信息系统是伴随企业信息化过程而产生的业务系统。企业信息化实质上是将企业的生产过程、物料移动、事务处理、现金流动、客户交互等业务过程数字化,通过各种信息系统X络加工生成新的信息资源。显然,这些信息资源需要合理而受控地使用。例如,销售计划是一种信息资源,在系统的使用过程中需要对其进行保护,只能提供给有权限的人员进行操作和使用

7、。假设销售计划的访问规则P1为销售部的人能够读取销售计划,则该控制规则如图2所示。  [Sales][Saleplans][Read]  图2一个访问控制规则示例  在使用ABAC的前提下,我们可以构造访问控制规则P1:Permit←sCategory=Sales,aID=Read,rCategory=Saleplans。  对于系统中的访问控制规则库,可以将其存储在数据库或XML文件中。由于XML文件的可扩展性强,我们选用这种方式进行编码。对于P1,核心部分的代码如下。            Sale   

8、   DataType=urn:oasis:names:tc:xacml:1.0:data-type:rfc822Name/>          SalesPlan      read        在系统的使用过程中,如果有访问请求,可以根据请求者的属性信息、访问对象及操作类型,构造访问控制请求。访问控制请求核心部分的代码

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。