返回
一种多策略的授权设置语言

一种多策略的授权设置语言

ID:44023029

大小:167.00 KB

页数:9页

时间:2019-10-18

一种多策略的授权设置语言_第1页
一种多策略的授权设置语言_第2页
一种多策略的授权设置语言_第3页
一种多策略的授权设置语言_第4页
一种多策略的授权设置语言_第5页
资源描述:

《一种多策略的授权设置语言》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、一种多策略的授权设置语言MASL李栋栋叫虎嵩林1,白硕彳1(中国科学院计算技术研究所软件室,北京100080)2(中国科学院研究生院,北京100039)3(上海证券交易所,上海200120)E-mail:lidongcl()ng@softwaeict・ac.cn摘要:形式化的访问控制模型对于权限管理系统的可信度具有十分重要的意义,而形式化访问控制模型的构建取决于能否把安全策略规范地进行描述。本文我们设计了一种能够用一个单一的框架来表达不同访问控制策略的语言,该语言支持用户自定义谓词和复杂授权规则的设置,表达力强且方便扩充

2、,并且提供一种通用的机制来实现多种访问策略,为跨管理域和多个不同平台提供了一种统一的访问控制策略的设置和执行。该语言通过对内置谓词及用户自定义谓词的支持,使得不仅能够对文件、目录以及各种更细粒度数据单元设置授权,而且还可以对各种带有复杂参数的服务进行授权设置。关键词:授权,访问控制,访问控制策略,逻辑语言1、背景及相关工作现代企业集成环境中存在大量分布的、界构的应用系统,在权限管理方而存在以下突出的挑战性问题♦多策略共存:支持自主访问矩阵、强制访问和RBAC等多个模型,支持跨应用的复杂安全策略的设置。♦支持多粒度:针对I

3、P地址、用户域、访问控制列表等进行授权与访问控制。不仅可以实现基于用户的域名、IP地址或访问控制列表的较粗粒度访问操作,还可以实现基于规则的细粒度操作。♦涉及复杂的主客体结构:主客体不仅H身结构复杂,而且它们Z间的关系也比较复杂,主客体间不仅存在读、写、执行这样简单的“访问”关系,还存在一些“非访问”关系,比如授权关系、汇报关系等等,甚至是一次对象请求。当一个应用的保护需求不同于内置在系统屮的策略时,目前多数系统采用的解决方法是将该策略作为应用代码的一部分来完成。从安全角度讲,这种方法是很危险的,它使策略的验证、修改和充

4、分执行变得非常困难。为了解决上述问题,很有必要提供一种通用的机制来实现多种访问控制策略的设置,用以支持跨管理域和界构应用的权限管理。访问控制策略的设置趋势有两种:一种是集中化,即统一制定访问控制策略,放在集中管理的权限引擎之中,具体的访问请求只有符合统一的访问控制策略方被允许。另一种是证卩化,即把特定用户可以访问的资源集合一次性地写进一个证书载体,具体的访问请求只有比对证书成功才被允许。基金项目:国家863高技术研究发展计划资助项目(编号863-306-ZD02-01-3)作者简介:李栋栋,女,1972年生,博士研究生,

5、主要研究方向为信息安全技术、企业建模、业务集成等。虎嵩林,男,1973年生,博士,主要研究方向为服务网格、企业业务集成等。白硕,男,1956年生,研究员,博士生导师,主要研究方向为自然语言处理、信息安全等。集中化的趋势要求设计一种能够用一个单一的框架来表达不同访问控制策略的语言,用于提供一种通用的机制来实现多种访问控制策略,为跨管理域和多个不同平台提供一种统一的访问控制策略的设置和构成;证书化的趋势也要求把与特定用户相关的访问控制策略概括性地而不是枚举性地描述出来,这同样需耍借助某种描述语言。但是这种语言本质上是集中化趋

6、势所要求的描述语言的一个了集。因此我们的做法是,按照集屮化趋势的要求给出访问控制策略的描述语言,并在集屮化模式下实现相应的实验系统,相信这种语言也能适用于基于证书的访问控制。在集屮化访问控制策略的设置上,先前的研究多采川逻辑语言的方式來表示授权规则及约束,主要的工作有:Woo和Lam[11提出了一种授权设置逻辑语言,这种语言并没有考虑到访问控制系统屮常有的诸如权限的推导、冲突解决等谓词和约束的类型,而是使用一种通用语言来表示这些约束,这就使得其表达力和性能Z间很不平衡;更为主要的是,对语言的缺少限制乂可能使得模型的设置是

7、不可决策的或者不可实现的。Bert!no121等提出了一种逻辑语言来设置访问允许和约束,但是该逻辑语言主要用于解决时序约束,没有考虑其它的一些约束策略,例如:没有考虑系统中各元素之间的关系,以及可能的冲突解决策略。Bertino131中对改语言进行了改进,用C-datalog语言來形式化描述访问控制策略,支持用户口定义谓词,并提出了评价访问控制模型表达力的方法。但是,他所提出的逻辑语言没有真正地实现细粒度的访问控制,并且无法重用某些规则。Jajodia⑷⑸等提出了一种设迸授权规则的逻辑语言,且表明了该语言如何表示儿种访问

8、控制策略。用该语言描述的程序是分层Datalog程序的一个子集,因此,每个程序都产生一个唯一的授权集合。该语言的谓词集合是固定的,主要设计用于表示传统的自主型和基于如色的访问控制。不支持用户定义谓词,因此不能满足一些特定应用的访问控制要求。在我们提出的基于木体的权限管理模型中,也采用了逻辑语言来设置访问控制策略,即用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。