CN108494750B - 一种扩展xacml访问控制的排序策略授权方法及系统 - Google Patents
一种扩展xacml访问控制的排序策略授权方法及系统 Download PDFInfo
- Publication number
- CN108494750B CN108494750B CN201810195459.XA CN201810195459A CN108494750B CN 108494750 B CN108494750 B CN 108494750B CN 201810195459 A CN201810195459 A CN 201810195459A CN 108494750 B CN108494750 B CN 108494750B
- Authority
- CN
- China
- Prior art keywords
- policy
- strategy
- access
- management
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种扩展xacml访问控制的排序策略授权方法及系统,所述访法包括如下步骤:步骤一,定义并生成访问策略;步骤二,定义并生成管理策略,获得策略库;步骤三,将策略库中的策略按level值从大到小进行排序;步骤四,向xacml访问框架的策略判断点pdp提交访问请求;步骤五,搜索有序的策略库,返回level值最大的策略的判断结果,通过本发明,可提高授权策略的搜索效率。
Description
技术领域
本发明涉及网络空间安全领域,特别是涉及一种扩展xacml访问控制的排序策略授权方法及系统。
背景技术
在信息安全领域,访问控制管理是一种基于用户身份管理资源访问的方法,授权是一种灵活的访问管理机制,指用户可以将其特定资源的访问权限转移到其他实体。现存的大多数授权机制都是基于角色的访问控制(RBAC)模型,将访问权限给予角色进行授权,也有少数模型是基于属性访问控制(ABAC)模型的授权。
XACML v3.0 Administration and Delegation Profile Version 1.0,2014描述了一种基于xacml标准的授权机制,其通过搜索授权策略访问请求的<issuer>属性,生成基于PP、PI、DP和DI四种路径的策略图,进行图搜索寻找可信策略判断授权允许或拒绝。该方法会因多策略<issuer>搜索、属性判断造成严重的性能开销,且可信策略由省略<issuer>元素定义,缺乏验证机制,容易被伪造。
Malik Imran Daud等人在Ontology-based Delegation of Access Control:AnEnhancement to the XACML Delegation Profile,2015中提出基于访问主体的授权模型,定义访问策略、管理策略,在管理策略添加授权等级属性限制分配层级,为每个用户在本地维护单独的链接委托者的策略集,通过O(2n)时间复杂度搜索可信策略判断并返回授权结果,其中n为授权路径长度。然而该模型运用本地维护策略集、基于授权人的关系(如subjectID)搜索管理策略,搜索效率仍由进一步拓展空间。
发明内容
为克服上述现有技术存在的不足,本发明之目的在于提供一种扩展xacml访问控制的排序策略授权方法及系统,以提高授权策略的搜索效率。
为达上述及其它目的,本发明提出一种扩展xacml访问控制的排序策略授权方法,包括如下步骤:
步骤一,定义并生成访问策略;
步骤二,定义并生成管理策略,获得策略库;
步骤三,将策略库中的策略按level值从大到小进行排序;
步骤四,向xacml访问框架的策略判断点pdp提交访问请求;
步骤五,搜索有序的策略库,返回level值最大的策略的判断结果。
进一步地,于步骤一中,所述访问策略的元素包括带priority属性的<policy>、带priority属性的<rule>、subjectID、roleID、department、resourceID、resourcePath、actionID,level表示policy等级高低的指标,由形如abcdef的六位数特征值组成,其中a为优先级priority、b为主体subject、c为角色role、d为部门department、e为资源resource、f为操作action,priority为优先级,由大于等于0的整数值表示,为level的表示值之一。
进一步地,所述访问策略生成步骤如下:
步骤S11,对访问策略的基本属性赋值,计算并赋值level属性;
步骤S12,搜索管理策略库;
步骤S13,查找是否存在符合访问策略属性匹配的管理策略p,若存在,进入步骤S14,若不存在,则进入步骤S15;
步骤S14,将访问策略的id和type组合为policyindex,添加至管理策略p的delegatePolicySet中,并返回步骤S12;
步骤S15,将访问策略保存至策略库中,访问策略生成成功。
进一步地,于步骤S11中,规则rule的level值计算如下:
(a)优先级特征值a:未定义则默认值为0
(b)主体特征值b:有subjectId属性并匹配则为1,不匹配为0
(c)角色特征值c:有定义role属性并匹配则为1,否则为0
(d)部门特征值d:由department属性长度组成
(e)资源特征值e:由resourceId属性和resourcePath属性组合的长度计算得出;
(f)操作特征值f:有定义actionID属性并匹配则为1,否则为0。
进一步地,访问策略policy的level值计算与规则rule的相同,但如果policy的target元素设定的属性ABCDE,小于policy内部所有rule的level最大值abcde,取rule的最大level值为policy的level值,即ABCDE等于abcde,否则,policy的level值取ABCDE。
进一步地,所述管理策略的元素包括subjectID、resourceID、actionID以及delegatePolicySet元素、delegateNumber元素、delegateScope元素。
进一步地,于步骤二中,所述管理策略生成过程如下:
步骤S21,对管理策略的基本属性赋值;
步骤S22,搜索访问、管理策略库;
步骤S23,查找是否存在符合授权规则的策略p;若存在,则进入步骤S24,否则进入步骤S25;
步骤S24,将策略p的id和type组合为policyindex,添加至delegatePolicySet中,并返回步骤S22;
步骤S25,判断管理策略的delegatePolicySet属性是否为空;
步骤S26,若不为空,则将delegatePolicySet有序集中第一个的policy的level值赋给管理策略的level属性,并保存至策略库,则管理策略生成成功,若为空,则管理策略生成失败。
进一步地,于步骤三中,将策略库划分为访问策略库、管理策略库,按策略比较算法将策略按level值从大到小进行排序。
进一步地,所述策略比较算法中访问策略ac与管理策略ad的比较算法如下:
步骤S31,判断管理策略ad的delegatePolicySet属性是否为空;
步骤S32,若为空,则访问策略ac胜于管理策略ad;若为空,则进入步骤S33;
步骤S33,选取管理策略ad的delegatePolicySet属性的第一个策略p;
步骤S34,判断策略p是否存在;
步骤S35,若否,则将策略p的policyindex从管理策略ad的delegatePolicySet中推出,并返回步骤S31;若策略p存在,则进入步骤S36;
步骤S36,判断策略p是否为访问策略,若否,则设管理策略ad2为策略p,进入下一级递归循环,并返回步骤S31,若是,则进入步骤S37;
步骤S37,按策略p的level值更新管理策略ad的level值,并比较管理策略ad和访问策略ac的level值,两者中值大者胜。
为达到上述目的,本发明还提供一种扩展xacml访问控制的排序策略授权系统,包括:
访问策略定义生成单元,用于定义并生成访问策略;
管理策略定义生成单元,用于定义并生成管理策略,获得策略库;
排序单元,用于将策略库中的策略按level值从大到小进行排序;
访问请求单元,用于向xacml访问框架的策略判断点pdp提交访问请求;
搜索处理单元,用于搜索有序的策略库,返回level值最大的策略的判断结果。
与现有技术相比,本发明一种扩展xacml访问控制的排序策略授权方法及系统基于xacml访问控制定义生成访问策略、管理策略,并将策略库中的策略按level值从大到小进行排序,提高了授权策略的搜索效率。
附图说明
图1为本发明一种扩展xacml访问控制的排序策略授权方法的步骤流程图;
图2为本发明具体实施例中扩展xacml的访问策略的实例示意图;
图3为本发明具体实施例之扩展xacml的访问策略的简略形式示意图;
图4为本发明具体实施例中访问策略生成流程图;
图5为本发明具体实施例中管理策略的简略形式示意图;
图6为本发明具体实施例中管理策略生成流程图;
图7为本发明具体实施例中策略比较算法流程图;
图8为本发明具体实施例中基于xacml的请求示例示意图;
图9为本发明一种扩展xacml访问控制的排序策略授权系统的系统架构图。
具体实施方式
以下通过特定的具体实例并结合附图说明本发明的实施方式,本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用,本说明书中的各项细节亦可基于不同观点与应用,在不背离本发明的精神下进行各种修饰与变更。
图1为本发明一种扩展xacml访问控制的排序策略授权方法的步骤流程图。如图1所示,本发明一种扩展xacml访问控制的排序策略授权方法,包括如下步骤:
步骤101,定义并生成访问策略。本发明按xacml(eXtensible Access ControlMarkup Language,可扩展的访问控制高标识语言)访问控制框架规定,由pap(PolicyAdministration Point,策略管理点)管理xacml策略,因此,按授权流程,需先定义被授权策略,即本发明规定的访问策略。在本发明具体实施例中,策略的元素包括带priority属性的<policy>、带priority属性的<rule>、subjectID、roleID、department、resourceID、resourcePath、actionID,具体地,扩展xacml的访问策略的实例如图2所示,其简略形式如图3所示,其属性含义如下:
level:表示policy等级高低的指标,由形如abcdef的六位数特征值组成,其中a为优先级(priority)、b为主体(subject)、c为角色(role)、d为部门(department)、e为资源(resource)、f为操作(action)。
Pirority:优先级,由大于等于0的整数值表示,为level的表示值之一。
图4为本发明具体实施例中访问策略生成流程图。如图4所示,访问策略生成过程如下:
步骤S11,对访问策略的基本属性赋值,计算并赋值level属性;
在本发明具体实施例中,规定访问策略rule的基本属性priority、subject、role、department、resource、action由形如abcdef的六位数特征值组成,其中a为优先级(priority)、b为主体(subject)、c为角色(role)、d为部门(department)、e为资源(resource)、f为操作(action)。采用Level值大的策略“胜于”Level值小的策略,即level值大的策略生效。
具体地,level值的计算如下:
a.规则rule的level值计算如下:
(a)优先级特征值a:未定义则默认值为0
(b)主体特征值b:有subjectId属性并匹配,则为1,不匹配为0
(c)角色特征值c:有定义role属性并匹配,则为1,否则为0
(d)部门特征值d:由department属性长度组成,规定department长度计算规则为由”/”划分的字符串段数,如dep1/dep2长度为2,不匹配为0
(e)资源特征值e:由resourceId属性和resourcePath属性组合的长度计算得出。规定resourcePath为形如/path1/path2的字符串路径,与resourceId组合为/path1/path2/resourceId,计算规则为由”/”划分的字符串段数,如page1/resourceId1长度为2,不匹配为0
(f)操作特征值f:有定义actionID属性并匹配,则为1,否则为0
例如,以上规则在bce匹配的情况下计算level值abcdef为011221。
b.访问策略(policy)的level值计算:
访问策略的level值计算同规则rule。但是如果policy的target元素设定的属性ABCDE,小于policy内部所有rule(policy存在多个rule元素)的level最大值abcde,取rule的最大level值为policy的level值,即ABCDE等于abcde,否则,policy的level值取ABCDE。
policy按level值从大到小排序,且level值大的策略作用大于level值小的策略,即效果能覆盖level值小的策略。组合算法采取first-applicable,即Level值相同时,优先出现的策略获胜。
步骤S12,搜索管理策略库;
步骤S13,查找是否存在与访问策略属性匹配的管理策略p,如访问策略request访问请求为roleId为“role1”进行resourceId为“book”、actionId为“add”的操作(按xacml规范,pip还将根据userId补全request的基本属性),与管理策略规定roleId为“role1”的用户进行resourceId为“book”、actionId为“add”操作的权限为permit(或deny),此时即为匹配,效果为允许(或拒绝);若存在,进入步骤S14,若不存在,则进入步骤S15;
步骤S14,将访问策略的id和type,即policyId(生成policy时的随机hash值)和policyType(access或admin两种类型)组合为policyindex,添加至管理策略p的delegatePolicySet中,并返回步骤S12;
步骤S15,将访问策略保存至策略库中,访问策略生成成功。
步骤102,定义并生成管理策略。按授权流程,需定义授权策略,即本发明规定的管理策略。在本发明具体实施例中,管理策略的元素包括subjectID、resourceID、actionID,具体地,为方便描述将管理策略简化为如图5所示,其属性含义如下:
policyIndex:为policyId+policyType组成的策略标识,可按policyid所指向的策略level值比较大小;
delegatePolicySet:指元素为policyIndex,按policyid所指向policy的level值从小到大排序的序列,包括permit和deny的policy;
delegateScope:可授权的范围取值为0或1,0表示该管理策略不能再授权,1表示该受管理策略授权的策略可再授权。若子管理策略的父管理策略(即delegatePolicySet中所指的policy)的delegateScope没有为1的策略,则子管理策略的delegateScope不能设为0。实时判断时,若因撤销授权顺序的原因发现,所有管理策略父类的delegateScope为0,则授权为deny;
delegateNumber:可授权的次数。当delegateScope为0时,delegateNumber默认为0;当delegateScope为1时,可设置delegateNumber值限制可再授权的数量,且随着授权出的权利次数依次递减至0;如果delegateNumber为n或设置具体某个负数特征值,如设定为-1时,可表示该策略不限制授权次数。
图6为本发明具体实施例中管理策略生成流程图。生成管理策略过程即授权过程,其中其基本属性(priority、subject、resource、action、delegateNumber、delegateScope)由授权时生成,而delegatePolicySet为搜索匹配的策略生成,最后level值根据上述的level值计算规则生成。管理策略的level值为delegatePolicySet中,所有policy的最大level值,即第一个policyId所指策略的level值,并随着delegatePolicySet序列的变化更新其level值。具体地,如图6所示,管理策略生成过程如下:
步骤S21,对管理策略的基本属性赋值;
步骤S22,搜索访问、管理策略库;
步骤S23,查找是否存在符合授权规则的策略p,即策略的基本属性匹配,如具roleId为role2、department为dep1的用户添加管理策略,其rule effect为permit、subject内元素为roleId为“role1”、resource为book,action为add,即具备role2角色的用户允许role1对资源book进行add操作,则roleId为role2,resourceId为book,actionId为add的访问策略,或department为dep1,resourceId为book,actionId为add的管理策略都与之匹配;若存在,则进入步骤S24,否则进入步骤S25;
步骤S24,将策略p的id和type组合为policyindex,添加至delegatePolicySet中,并返回步骤S22;
步骤S25,判断管理策略的delegatePolicySet属性是否为空;
步骤S26,若不为空,则将delegatePolicySet有序集中第一个(level值最大)的policy的level值赋给管理策略的level属性,并保存至策略库,则管理策略生成成功,若为空,则证明没有策略提供给该管理策略授权,管理策略生成失败。
步骤103,将策略库中的策略按level值从大到小进行排序。为提高查询效率,可选地,可将策略库可划分为访问策略库、管理策略库。按策略比较算法将策略按level值从大到小进行排序,因访问策略的level值由其属性规定,不会改变,因此仅具体说明访问策略与管理策略的比较的算法,如图7所示,管理策略之间比较仅比较两者的level值即可。具体地,访问策略ac与管理策略ad的比较算法如下:
步骤S31,判断管理策略ad的delegatePolicySet属性是为空;
步骤S32,若为空,则访问策略ac胜于管理策略ad,即访问策略生效,管理策略被覆盖,比较结束;若不为空,则进入步骤S33;
步骤S33,选取管理策略ad的delegatePolicySet属性的第一个策略p;
步骤S34,判断策略p是否存在;
步骤S35,若否,则将策略p的policyindex从管理策略ad的delegatePolicySet中推出,并返回步骤S31;若策略p存在,则进入步骤S 36;
步骤S36,判断策略p是否为访问策略,若否,则设管理策略ad2(这里的管理策略ad2仅用于区别递归循环的策略p)为策略p,进入下一级递归循环,并返回步骤S31,若是,则进入步骤S37;
步骤S37,按策略p的level值更新管理策略ad的level值,并比较管理策略的ad和访问策略ac的level值,两者中值大者胜。
在此需说明的是,这里定义策略比较如下:策略p1胜于策略p2指的是,策略p1生效,策略p2被覆盖。
步骤104,向pdp(xacml访问框架的策略判断点)提交访问请求。按xacml访问控制框架,由PEP(Policy Enforcement Point,策略执行点)向pdp提交访问请求,请求内容按照xacml3.0规定所述,其内容示例如图8所示。
步骤105,搜索有序策略库,返回level值最大的策略的判断结果。在有序策略库中查找匹配查询条件的策略,匹配即可按照该策略(匹配策略中level值最大的策略)effect值判断deny(拒绝)或permit(允许)。
图9为本发明一种扩展xacml访问控制的排序策略授权系统的系统架构图。如图9所示,本发明一种扩展xacml访问控制的排序策略授权系统,包括:
访问策略定义生成单元901,用于定义并生成访问策略。本发明按xacml(eXtensible Access Control Markup Language,可扩展的访问控制高标识语言)访问控制框架规定,由pap(Policy Administration Point,策略管理点)管理xacml策略,因此,按授权流程,需先定义被授权策略,即本发明规定的访问策略。在本发明具体实施例中,访问策略的元素包括带priority属性的<policy>、带priority属性的<rule>、subjectID、roleID、department、resourceID、resourcePath、actionID,
访问策略定义生成单元901进一步包括:
访问策略赋值单元,用于对访问策略的基本属性赋值,计算并赋值level属性;
搜索单元,用于搜索管理策略库,查找是否存在符合访问策略属性匹配的管理策略p,若存在,则启动组合单元,若不存在,则启动保存单元;
组合单元,用于将访问策略的id和type组合为policyindex,添加至管理策略p的delegatePolicySet中;
保存单元,用于将访问策略保存至策略库中,访问策略生成成功。
管理策略定义生成单元902,用于定义并生成管理策略。按授权流程,需定义授权策略,即本发明规定的管理策略。在本发明中,生成管理策略过程即授权过程,其中其基本属性(priority、subject、resource、action、delegateNumber、delegateScope)由授权时生成,而delegatePolicySet为搜索匹配的策略生成,最后level值根据上述的level值计算规则生成。管理策略的level值为delegatePolicySet中,所有policy的最大level值,即第一个policyId所指策略的level值,并随着delegatePolicySet序列的变化更新其level值。具体地,管理策略定义生成单元802进一步包括:
管理策略赋值单元,用于对管理策略的基本属性赋值;
搜索单元,用于搜索访问、管理策略库,查找是否存在符合授权规则的策略p;若存在,则启动组合单元,否则启动判断单元;
组合单元,用于将策略p的id和type组合为policyindex,添加至delegatePolicySet中;
判断单元,用于判断管理策略的delegatePolicySet属性是否为空;
判断结果处理单元,于判断结果为不为空时,将delegatePolicySet有序集中第一个(level值最大)的policy的level值赋给管理策略的level属性,并保存至策略库,则管理策略生成成功,于判断结果为空时,则证明没有策略提供给该管理策略授权,管理策略生成失败。
排序单元903,用于将策略库中的策略按level值从大到小进行排序。为提高查询效率,可选地,可将策略库可划分为访问策略库、管理策略库。按策略比较算法将策略按level值从大到小进行排序,因访问策略的level值由其属性规定,不会改变,因此仅具体说明访问策略与管理策略的比较的算法,管理策略之间比较仅比较两者的level值即可。具体地,访问策略ac与管理策略ad的比较算法如下:
步骤S31,判断管理策略ad的delegatePolicySet属性是为空;
步骤S32,若为空,则访问策略ac胜于管理策略ad,即访问策略生效,管理策略被覆盖;若不为空,则进入步骤S33;
步骤S33,选取管理策略ad的delegatePolicySet属性的第一个策略p;
步骤S34,判断策略p是否存在;
步骤S35,若否,则将策略p的policyindex从管理策略ad的delegatePolicySet中推出,并返回步骤S31;若策略p存在,则进入步骤S 36;
步骤S36,判断策略p是否为访问策略,若否,则设管理策略ad2为策略p,进入下一级递归循环,并返回步骤S31,若是,则进入步骤S37;
步骤S37,按策略p的level值更新管理策略ad的level值,而后比较管理策略ad和访问策略ac的level值,两者中值大者胜。
在此需说明的是,这里定义策略比较如下:策略p1胜于策略p2指的是,策略p1生效,策略p2被覆盖。
访问请求单元904,用于向pdp(xacml访问框架的策略判断点)提交访问请求。按xacml访问控制框架,由PEP(Policy Enforcement Point,策略执行点)向pdp提交访问请求,请求内容按照xacml3.0规定所述。
搜索处理单元905,用于搜索有序的策略库,返回level值最大的策略的判断结果。在有序的策略库中查找匹配查询条件的策略,匹配即可按照该策略(匹配策略中level值最大的策略)effect值判断deny(拒绝)或permit(允许)。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下,对上述实施例进行修饰与改变。因此,本发明的权利保护范围,应如权利要求书所列。
Claims (7)
1.一种扩展xacml访问控制的排序策略授权方法,包括如下步骤:
步骤一,定义并生成访问策略;
步骤二,定义并生成管理策略,获得策略库;
步骤三,将策略库中的策略按level值从大到小进行排序;
步骤四,向xacml访问框架的策略判断点pdp提交访问请求;
步骤五,搜索有序的策略库,返回level值最大的策略的判断结果;
于步骤一中,所述访问策略的元素包括带priority属性的<policy>、带priority属性的<rule>、subjectID、roleID、department、resourceID、resourcePath、actionID,level表示policy等级高低的指标,由形如abcdef的六位数特征值组成,其中a为优先级priority,b为主体subject,c为角色role,d为部门department,e为资源resource,f为操作action,优先级priority由大于等于0的整数值表示,为level的表示值之一;
所述访问策略生成步骤如下:
步骤S11,对访问策略的基本属性赋值,计算并赋值level属性;
步骤S12,搜索管理策略库;
步骤S13,查找是否存在符合访问策略属性匹配的管理策略p,若存在,进入步骤S14,若不存在,则进入步骤S15;
步骤S14,将访问策略的id和type组合为policyindex,添加至管理策略p的delegatePolicySet中,并返回步骤S12;
步骤S15,将访问策略保存至策略库中,访问策略生成成功。
2.如权利要求1所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于,于步骤S11中,规则rule的level值计算如下:
(a)优先级特征值a:未定义则默认值为0
(b)主体特征值b:有subjectId属性并匹配则为1,不匹配为0
(c)角色特征值c:有定义role属性并匹配则为1,否则为0
(d)部门特征值d:由department属性长度组成
(e)资源特征值e:由resourceId属性和resourcePath属性组合的长度计算得出;
(f)操作特征值f:有定义actionID属性并匹配则为1,否则为0。
3.如权利要求2所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于:访问策略policy的level值计算与规则rule的相同,但如果policy的target元素设定的属性ABCDE,小于policy内部所有rule的level最大值abcde,取rule的最大level值为policy的level值,即ABCDE等于abcde,否则,policy的level值取ABCDE。
4.如权利要求1所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于:所述管理策略的元素包括subjectID、resourceID、actionID以及delegatePolicySet元素、delegateNumber元素、delegateScope元素。
5.如权利要求4所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于,于步骤二中,所述管理策略生成过程如下:
步骤S21,对管理策略的基本属性赋值;
步骤S22,搜索访问、管理策略库;
步骤S23,查找是否存在符合授权规则的策略p;若存在,则进入步骤S24,否则进入步骤S25;
步骤S24,将策略p的id和type组合为policyindex,添加至delegatePolicySet中,并返回步骤S22;
步骤S25,判断管理策略的delegatePolicySet属性是否为空;
步骤S26,若不为空,则将delegatePolicySet有序集中第一个policy的level值赋给管理策略的level属性,并保存至策略库,则管理策略生成成功,若为空,则管理策略生成失败。
6.如权利要求1所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于,于步骤三中,将策略库划分为访问策略库、管理策略库,按策略比较算法将策略按level值从大到小进行排序。
7.如权利要求6所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于,所述策略比较算法中访问策略ac与管理策略ad的比较算法如下:
步骤S 31,判断管理策略ad的delegatePolicySet属性是否为空;
步骤S32,若为空,则访问策略ac胜于管理策略ad;若为空,则进入步骤S33;
步骤S33,选取管理策略ad的delegatePolicySet属性的第一个策略p;
步骤S34,判断策略p是否存在;
步骤S35,若否,则将策略p的policyindex从管理策略ad的delegatePolicySet中推出,并返回步骤S31;若策略p存在,则进入步骤S 36;
步骤S36,判断策略p是否为访问策略,若否,则设管理策略ad为策略p,进入下一级递归循环,并返回步骤S31,若是,则进入步骤S37;
步骤S37,按策略p的level值更新管理策略ad的level值,并比较管理策略ad和访问策略ac的level值,两者中值大者胜。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810195459.XA CN108494750B (zh) | 2018-03-09 | 2018-03-09 | 一种扩展xacml访问控制的排序策略授权方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810195459.XA CN108494750B (zh) | 2018-03-09 | 2018-03-09 | 一种扩展xacml访问控制的排序策略授权方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108494750A CN108494750A (zh) | 2018-09-04 |
| CN108494750B true CN108494750B (zh) | 2021-04-06 |
Family
ID=63338569
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810195459.XA Active CN108494750B (zh) | 2018-03-09 | 2018-03-09 | 一种扩展xacml访问控制的排序策略授权方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108494750B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132326B (zh) * | 2019-12-31 | 2022-08-09 | 华为技术有限公司 | 一种访问控制方法、装置及系统 |
| CN112131434B (zh) * | 2020-09-24 | 2023-02-07 | 西安电子科技大学 | 基于匹配树的可扩展访问控制标记语言策略搜索方法 |
| CN112615815B (zh) * | 2020-11-26 | 2023-04-07 | 中国人民解放军战略支援部队信息工程大学 | 基于令牌的用户权限管理方法 |
| CN115834186B (zh) * | 2022-11-21 | 2024-05-28 | 四川启睿克科技有限公司 | 基于远程访问的授权模型建立方法及授权控制方法 |
| CN116760640B (zh) * | 2023-08-18 | 2023-11-03 | 建信金融科技有限责任公司 | 访问控制方法、装置、设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101876994A (zh) * | 2009-12-22 | 2010-11-03 | 中国科学院软件研究所 | 一种多层次优化的策略评估引擎的建立方法及其实施方法 |
| CN103198361A (zh) * | 2013-03-09 | 2013-07-10 | 西安电子科技大学 | 基于多种优化机制的xacml策略评估引擎系统 |
| CN103795688A (zh) * | 2012-10-31 | 2014-05-14 | 中国航天科工集团第二研究院七○六所 | 一种基于属性的模糊访问控制计算方法 |
| CN103902742A (zh) * | 2014-04-25 | 2014-07-02 | 中国科学院信息工程研究所 | 一种基于大数据的访问控制判定引擎优化系统及方法 |
| CN104836807A (zh) * | 2015-05-11 | 2015-08-12 | 中国电力科学研究院 | 一种xacml安全策略的评估优化方法 |
| CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
| US9185090B1 (en) * | 2008-09-10 | 2015-11-10 | Charles Schwab & Co., Inc | Method and apparatus for simplified, policy-driven authorizations |
| CN107547549A (zh) * | 2017-09-06 | 2018-01-05 | 哈尔滨工程大学 | 一种访问控制策略优化方法 |
-
2018
- 2018-03-09 CN CN201810195459.XA patent/CN108494750B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9185090B1 (en) * | 2008-09-10 | 2015-11-10 | Charles Schwab & Co., Inc | Method and apparatus for simplified, policy-driven authorizations |
| CN101876994A (zh) * | 2009-12-22 | 2010-11-03 | 中国科学院软件研究所 | 一种多层次优化的策略评估引擎的建立方法及其实施方法 |
| CN103795688A (zh) * | 2012-10-31 | 2014-05-14 | 中国航天科工集团第二研究院七○六所 | 一种基于属性的模糊访问控制计算方法 |
| CN103198361A (zh) * | 2013-03-09 | 2013-07-10 | 西安电子科技大学 | 基于多种优化机制的xacml策略评估引擎系统 |
| CN103902742A (zh) * | 2014-04-25 | 2014-07-02 | 中国科学院信息工程研究所 | 一种基于大数据的访问控制判定引擎优化系统及方法 |
| CN104836807A (zh) * | 2015-05-11 | 2015-08-12 | 中国电力科学研究院 | 一种xacml安全策略的评估优化方法 |
| CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
| CN107547549A (zh) * | 2017-09-06 | 2018-01-05 | 哈尔滨工程大学 | 一种访问控制策略优化方法 |
Non-Patent Citations (2)
| Title |
|---|
| XACML v3.0 Administration and Delegation Profile Version 1.0;OASIS;《http://docs.oasis-open.org/xacml/3.0/administration/v1.0/csprd02/xacml-3.0-administration-v1.0-csprd02.html》;20141113;全文 * |
| XACML策略优化方法研究;陈俊;《中国优秀硕士学位论文全文数据库 信息科技辑》;20150115;正文第2.2节以及第3章 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108494750A (zh) | 2018-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108494750B (zh) | 一种扩展xacml访问控制的排序策略授权方法及系统 | |
| Kogan et al. | SAX-PAC (scalable and expressive packet classification) | |
| US9430662B2 (en) | Provisioning authorization claims using attribute-based access-control policies | |
| Yingchareonthawornchai et al. | A sorted-partitioning approach to fast and scalable dynamic packet classification | |
| Wong et al. | Non-homogeneous generalization in privacy preserving data publishing | |
| US20130232104A1 (en) | Duplication in decision trees | |
| Colantonio et al. | A cost-driven approach to role engineering | |
| US7302708B2 (en) | Enforcing computer security utilizing an adaptive lattice mechanism | |
| EP2659412B1 (en) | A system and method for using partial evaluation for efficient remote attribute retrieval | |
| CN111611324B (zh) | 一种跨域访问策略优化方法及装置 | |
| US7200757B1 (en) | Data shuffling procedure for masking data | |
| US8875222B1 (en) | Efficient XACML access control processing | |
| CN111935115A (zh) | 一种采用多种信息整合方式区块链 | |
| WO2014108678A1 (en) | Improved information sharing | |
| CN108683672B (zh) | 一种权限管理的方法及装置 | |
| Pan et al. | An Attribute‐Based Access Control Policy Retrieval Method Based on Binary Sequence | |
| Fang et al. | Checking intra-switch conflicts of rules during preprocessing of network verification in SDN | |
| Wang et al. | A trust and attribute-based access control framework in internet of things | |
| CN109670339A (zh) | 基于本体的面向隐私保护的访问控制方法及装置 | |
| CN112822004B (zh) | 一种基于信念网络的靶向型隐私保护数据发布方法 | |
| SE1051167A1 (sv) | A system and method for performing partial evaluation in order to construct a simplified policy | |
| CN112231733A (zh) | 对象代理特征数据库的mac防护增强系统 | |
| CN107818368A (zh) | 线上风险控制规则引擎系统 | |
| CN107679099B (zh) | 访问控制要素图构建方法、策略描述方法、访问控制判定方法及框架 | |
| CN101052944B (zh) | 用于关系数据库中存储数据的细化访问控制的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |