您的位置:360文档中心› 基于属性的访问控制研究进展

基于属性的访问控制研究进展

合集下载

《2024年基于智能合约的CP-ABE访问控制策略更新方法研究》范文

《2024年基于智能合约的CP-ABE访问控制策略更新方法研究》范文

《基于智能合约的CP-ABE访问控制策略更新方法研究》篇一一、引言随着区块链技术的飞速发展,智能合约在各种场景下的应用愈发广泛。

作为一种可编程的自动化合约,智能合约通过确保执行条件下的透明性、公正性和自动化处理能力,提供了新型的访问控制模式。

特别是在安全敏感的数据访问中,访问控制策略变得尤为重要。

本文主要探讨的是基于智能合约的CP-ABE(基于属性的加密与基于属性的访问控制)访问控制策略更新方法的研究。

二、CP-ABE技术概述CP-ABE是一种结合了属性和加密的访问控制策略。

其中,“属性”指的是一种抽象概念,例如用户的角色、职位或权限等。

只有当用户的属性集合满足访问控制策略时,他才能被授权访问特定资源。

该技术提供了强大的灵活性,使得访问控制策略能够根据需求进行动态调整。

三、传统访问控制策略的局限性传统的访问控制策略在应对动态变化和灵活调整时,通常存在一些局限性。

例如,当组织结构发生变化或需要更新访问权限时,传统方法通常需要人工介入,这不仅效率低下,而且容易出错。

因此,如何实现快速、灵活且自动化的访问控制策略更新成为了亟待解决的问题。

四、基于智能合约的CP-ABE访问控制策略更新方法为了解决上述问题,本文提出了一种基于智能合约的CP-ABE访问控制策略更新方法。

该方法通过将CP-ABE技术与智能合约相结合,实现了访问控制策略的自动化更新和执行。

首先,该方法利用智能合约的编程能力,定义和实现了一套灵活的访问控制策略。

这些策略可以根据需要进行动态调整,而无需人工介入。

其次,通过CP-ABE技术对访问权限进行加密和授权。

只有当用户的属性集合满足访问控制策略时,智能合约才会自动执行相应的操作,如解密资源等。

最后,当需要更新访问控制策略时,管理员可以通过智能合约进行操作。

这包括添加、删除或修改用户属性以及调整访问控制策略等操作。

所有这些操作都可以通过智能合约自动执行,无需人工干预。

五、实验与分析为了验证上述方法的可行性和有效性,我们进行了实验分析。

《基于智能合约的CP-ABE访问控制策略更新方法研究》范文

《基于智能合约的CP-ABE访问控制策略更新方法研究》范文

《基于智能合约的CP-ABE访问控制策略更新方法研究》篇一一、引言随着区块链技术的发展,智能合约作为区块链上的可执行代码,已广泛应用于数字货币、物联网、供应链管理等各个领域。

访问控制策略(Access Control Policy,ACP)是智能合约中一个重要的组成部分,它决定了哪些用户或实体可以访问或操作合约中的数据和功能。

其中,基于属性的访问控制(Attribute-Based Access Control,ABAC)是一种重要的访问控制策略,它可以根据用户的属性来决定其访问权限。

而CP-ABE(Ciphertext-Policy Attribute-Based Encryption)是一种支持策略加密的ABAC技术,它在保护数据的同时提供了更灵活的访问控制策略。

然而,在传统的CP-ABE系统中,访问控制策略的更新是一个复杂且耗时的过程,这限制了其在实际应用中的灵活性。

因此,研究基于智能合约的CP-ABE访问控制策略更新方法具有重要的理论和实践意义。

二、CP-ABE访问控制策略概述CP-ABE是一种基于属性的加密算法,它允许用户通过指定策略对加密数据进行访问。

这种技术非常适合应用于分布式环境中,尤其是那些需要细粒度访问控制和保护数据隐私的应用场景。

在智能合约中应用CP-ABE可以有效地保护数据安全,同时提供灵活的访问控制策略。

三、当前问题与挑战尽管CP-ABE在智能合约中具有广泛的应用前景,但当前存在的主要问题是访问控制策略的更新困难。

在传统的CP-ABE系统中,一旦加密数据和访问控制策略被设定,若要更改这些策略,往往需要解密并重新加密整个数据集,这不仅耗时且成本高昂。

在智能合约中,这种问题尤为突出,因为合约一旦部署,其代码和逻辑通常不能随意更改。

四、基于智能合约的CP-ABE访问控制策略更新方法针对上述问题,本文提出了一种基于智能合约的CP-ABE访问控制策略更新方法。

该方法通过引入智能合约的动态更新机制和CP-ABE策略更新算法来实现对访问控制策略的灵活调整。

空间约束的基于属性和角色的访问控制研究

空间约束的基于属性和角色的访问控制研究
第2 7卷 第 6期 21 00年 1 2月
贵州大学学报 ( 自然科 学版 ) Junl f uzo nvr t N tr c ne ) ora i uU i sy( a a S i cs oG h ei ul e
V0 .2 .6 1 7 No
De .2 l e OO
信 息 系 统 ( eg p i I o ao y e , 称 G or hc n r tn Ss m 简 a fm i t GS 技术 的 广 泛应 用 ,GS的安 全 访 问控 制 研 究 I) I 已成为 计算 机科 学 的研究 热点 之一 。
20 03年 Hasn和 Oehhk提 出 了一个 基 于 ne l eu s RA B C的空 间 数 据 的访 问控 制 授 权 模 型 【 。2 0 2 05 ] 年 ,et o 提出 了 G OR A Brn 等 i E .B C模 型 【 , 中 的空 3其 ] 间角色是 受地 理位 置约束 的角色 , 用户 角色 是否 被 激 活取决 于用 户所 在 的地 理位 置 , 并且 引入 了角 色 模式 的概 念 。20 0 6年 ,iaaK smi aak 根 Lln au s oa等 i S
采用 O eGSC noi O C 定义 的基于 pn I os tm( G ) ru 简单空间特征概念的矢量数据 。这种数据模型 ]
实 际上是 O C采 用 的抽 象 特 征 模 型 的 一 种 ; 些 G 一
商用的空间数据管理平台对这个模型进行了改进 。 在这个模型中, 空间特征通过专题属性和几何属性
要: 传统 的访 问控 制模 型难 以满足 空间环 境 下 的 需求 。本 文提 出 了一 个 空 间约 束 的基 于属
性 和 角 色的空 间数据访 问控 制模 型( pt l R A , 用 网络 本体 语 言 ( WLD ) 模 型本 体 Saa- B C) 利 i A O L 对 进 行 了描 述 并对 空 间约束 进 行 了形 式化 定 义 。 系统 根 据 用 户 的属 性 和 资源 的 属 性 动 态 分 配 角 色, 实现 了细粒度 的 、 活的 空间约 束 的访 问控 制 。 并将 其应 用到 GS城 市 消防 系统 。 灵 I

基于属性加密的气象云数据访问控制策略研究

基于属性加密的气象云数据访问控制策略研究

关键词
属性 加密 , 气象数 据 , 访 问控 制, 细粒度 T P 3 9 1 . 4 文 献标 识码 A
中图法分 类号
Re s e a r c h O n Ac c e s s Co n t r o l P o l i c y o f Me t e o ol r o g i c a l Cl o u d Da t a wi t h At t r i b u t e - b a s e d En c r y p t i o n
第4 0 卷 第l 2 期
2 0 1 3年 1 2月
{ + 算 机 科 学
Co mp u t e r S c i e n c e
1 . 4 o N o . 1
De c 2 01 3
基 于属 性 加 密 的气 象 云数 据 访 问控 制 策 略 研 究
方 忠进L 。 夏 志 华L 。 周 舒L 。 ( 南京 信 息工程 大 学计算 机 与软件 学院 南京 2 1 0 0 4 4 ) ( 南京信 息 工程 大学 滨江 学院 南 京 2 1 0 0 4 4 ) 。

种适合 云环境下大数据的属性加 密方案 , 解决 了气象部 门用户 多类性情况 下的资料 细粒度访 问控 制 问题 , 同时引入
全局 I 【 ) 概念 和 多方授 权机制 , 解决 了不 同机构用 户在 气象部 门各资料存储机构 间的访 问权 限问题 。 系统具有较 高的
安 全 性 和 良好 的 实用 价 值 。
F A NG Z h 0 n g - j i n 1 , 。 , 。 X I A Z h h u a 1 , 。 Z HO U s h u 1 , 。
( s c h ∞1 o f C o mp u t e r& S o f t w a r e , Na n j i n g Un i v e r s i t y o f I n f o r ma t i o n S c i e n c e& Te c h n o l o g y , Na n j i n g 2 1 0 0 4 4 , C h i n a ) ( B i n j i a n g ol C l e g e 。 Na n j i n g Un i v e r s i t y o f I n f o r ma t i o n S c i e n c e& T e c h n o l o g y , Na n j i n g 2 1 0 0 4 4 , C h i n a ) z ( J i a n g s u E n g i n e e r i n g C e n t e r o f Ne t w o r k Mo n i t o r i g, n Na n j i g n Un i v e r s i t y o f I n f o r ma t i o n ci S e n c e& Te c h n o l o g y , Na n j i g n 2 1 0 0 4 4 , C h i n a ) 3

基于属性访问控制中的敏感属性保护研究

基于属性访问控制中的敏感属性保护研究

(1)A.—D, r 意为 A定义 D是角色 A r . 的成 员 , A声 或
明 D拥 有 属 性 r 。
何使用 协 商策 略 一属性 确 认 策 略 (t bt ako l gm n ar u cnw de et i e e
pl is简称 A k策略) oce, i c 和协商协议 一信任 目标 图(rs —t . t t a u r
的属性凭证 :
传统 的授权是基 于请 求访问 资源 的实体 的身 份 , 是基 或 于直接或间接分 配给 这些实 体的 角色 。但 在象 Itre 这样 n nt e
的开放系统 中, 资源和请 求者通 常位于不 同的安全域 中 , 他们
之间一 般没有先前建 立的关系 , 不知晓彼此 的身份 , 份信 互 身 息( 如用户名和 口令 、 身份 证书) 不适合 于确定 一个 实体 是 并 否值得 信任 , 于身份的访 问控制 机制显得 不太适 合。相反 , 基
容 易造成敏感属性 的暴露 问题 。 自动信任协商 ( T 技 术正好能 解决这 一问题。本 文分析和研 究 了A A T 系 A N) B CA N
统 中如何使 用属性 确认策略和信任 目标 图协议 建立资源请 求者和 资源提 供 商之 间的信任 关 系, 护请求者的敏 感属 保
性 和 隐私 , 讨论 了相 关 的 安 全 问 题 。 并
(2)A.—B r, r . 意为 A定 义它的 r 角色包含 所有 B中
gt r hT') eg p ,I 协议, a G 来建立资源请求者和资源提供商之间的
信任关 系并保护请求者 的敏感属性 , 以及相关的安全 问题 。
2 B C中属性凭证 的表 示 A A
角色 r的成员 , , 换句话说 , 体具有属 性 B r, 一定 具有 若炙 .,则

访问控制技术研究及应用

访问控制技术研究及应用

访问控制技术研究及应用访问控制技术是计算机安全领域的一个重要研究方向,其主要目标是确保只有授权的用户或实体能够访问系统资源。

访问控制技术在各种应用中被广泛应用,如操作系统、数据库管理系统、网络安全等领域。

本文将介绍访问控制技术的基本原理、主要分类、研究进展和应用情况。

一、访问控制技术的基本原理1.身份识别和认证:确定用户或实体的身份,常用的身份验证方式有密码、指纹、虹膜等生物特征识别技术。

2.权限授权:根据用户或实体的身份和权限进行授权,确定其能够访问的资源,常用的权限授权策略有访问控制列表(ACL)、角色基于访问控制(RBAC)等。

3.安全策略:定义系统的安全策略,包括资源的保护级别、访问控制策略、访问审计等。

二、访问控制技术的主要分类根据实现方式和策略的不同,访问控制技术可以分为以下几类:1.逻辑访问控制:基于用户或实体的身份和权限来控制对系统资源的访问,常用的技术有身份认证、访问控制列表等。

2.物理访问控制:通过物理手段来限制对资源的访问,如门禁系统、安全门等。

3.操作系统级访问控制:主要包括基于角色的访问控制、强制访问控制(MAC)等技术,用于保护操作系统资源。

4.数据库访问控制:用于限制对数据库中数据的访问权限,常用的技术有基于角色的访问控制、行级访问控制等。

5.网络访问控制:主要包括防火墙、入侵检测系统等技术,用于保护网络资源免受未经授权的访问。

三、访问控制技术的研究进展1.基于属性访问控制(ABAC):ABAC是一种新兴的访问控制模型,它通过基于属性的访问策略来控制对资源的访问,相比传统的基于身份和权限的访问控制更加灵活和精细。

2.基于机器学习的访问控制:利用机器学习技术来进行访问控制决策,通过分析大量的历史数据和行为模式来识别异常访问行为,提高对未知攻击的检测和预防能力。

3.云计算访问控制:由于云计算环境中的资源共享性和虚拟化特性,访问控制变得更加复杂和关键。

因此,研究人员提出了基于角色的云访问控制、多租户访问控制等技术,以应对云环境下的安全挑战。

基于角色的访问控制技术研究进展

2 1 年第 1 0 1 2期
计 算 机 与 现 代 化 J U N IY IN A H A I A J U XA D l U S
总第 16 9 期
文章编号 : 0 - 7 (0 1- 0 — i 6 45 21 )2 05 4 0 2 1 0 0
基 于角 色 的访 问控制 技术 研究 进 展
C HAN Y n d G a . e
( ea m n o o ue Si c n eh o g , o ̄ n esy S aga 2 10 , hn ) D p r et f mptr c neadTc nl y T n i i rt, h nhi 0 8 4 C ia t C e o U v i A s atR A ( o . ae cesC n o)pasa pr n r ei acs cnr hc n f ri lehoois o bt e :B C R l BsdA cs ot 1 ly ni ot t o ces ot l i i oeo ic cnlg r r e r m a l n o w hs c ta t ef
Ke od :CeS o tl R l.ae cesC n o ( B C ; akR l B sdA cs C nrl( - B C) oe tiu yw r saCS nr ; o B sdA cs ot l R A ) Ts— o ae ces ot TR A ;R l- tb t c o e r e o Ar e
理员 是不现 实的 , 因此 Snh 提 出 了 A B C A — adu又 R A ( d mnsa r B C 的 管理模 型 , 称 A B C 7模 型 。 iirt A ) t oR 也 RA 9
文献 [ ] Fr io un 1 将 e a l K h 模型与 Snh 等人的框架 ro — adu 集成在 一起 , 成 了统 一 的标 准 , 在 20 形 并 04年被 采用

基于属性的访问控制关键技术研究综述


制可保障数据仅能被拥有 相应权限的用户访问 , 得到 了广泛的研究. 其中, 基于属性 的访 问控制通过使 用属性作 为
访 问 控 制 的关 键 要 素 , 有 效 解 决 了具 有 大 规 模 、 强 动 态 性 及 强 隐 私 性 特 点 的 新 型 计 算 环 境 下 的 细 粒 度 访 问 控 制 问 题, 为 云计 算 、 物 联 网计 算 等 新 型 计 算 环 境 提 供 了 理 想 的访 问控 制 策 略. 该 文 将 基 于 属 性 的 访 问控 制 的 整 体 流 程 分 为 准 备 阶 段 和 执 行 阶段 , 并 对 两 阶 段 面 临 的关 键 问题 、 研 究现状 和发 展趋势进 行分析. 针对 其 中的实体属 性发现 、
FANG Li a n g ’ 。 ’ 。 ’ YI N Li — Hu a ’ ∞ GUO Yun — Chu a n ’ FANG Bi n — Xi ng ’
( S c h o o l o f C o mp u t e r S c i e n c e ,B e i j i n g U n i v e r s i t y o f Po s t s a n d T e l e c o mmu n i c a t i o n s , B e i j i n g 1 0 0 8 7 6 )
摘 要 云 计 算 、 物 联 网 等 新 型 计 算 模 式 为 我 们 提 供 了便 捷 的 数 据 共 享 、 高效计算 等服务 , 极 大 地 提 高 了 数 据 的处 理效率 , 提 升 了 计 算 和 存 储 资 源 的利 用 能 力 . 但 这 些 新 型 计 算 模 式 存 储 并 融 合 了大 量 具 有 “ 所有权” 特征 的数据 , 如 果 不 对 这 些 数 据 提 供 可靠 的 保 护 , 一 旦 泄 漏 就 会 给用 户 带 来 巨 大 的 损 失 . 作 为 数 据 保 护 的基 石 性 技 术 之 一 , 访 问 控

云计算系统的性能调优与访问控制策略分析研究

云计算系统的性能调优与访问控制策略分析研究随着云计算技术的快速发展,越来越多的企业和个人开始将其业务和数据存储在云计算平台上。

然而,云计算系统面临着性能调优和访问控制策略分析的挑战。

本文将探讨如何对云计算系统进行性能调优,并分析不同访问控制策略的优劣之处。

一、云计算系统性能调优云计算系统的性能调优是指通过对系统内部的资源管理和优化,以提高系统的吞吐量、响应时间、可用性以及整体性能。

以下是云计算系统性能调优的几个关键方面:1. 资源调度与负载均衡:对于大规模的云计算系统来说,有效的资源调度和负载均衡是提高性能的关键。

通过合理地分配计算、存储和网络资源,可以最大化地利用系统资源,提高用户体验并确保服务的可靠性。

2. 数据存储与访问优化:云计算系统中的数据存储对性能有着重要的影响。

使用高效的数据存储技术,如冗余阵列磁盘(RAID)和分布式文件系统,可以提高数据的读写速度和可靠性。

此外,采用数据缓存和数据压缩等技术也可以减少对存储资源的需求,进一步提高性能。

3. 数据传输与网络优化:云计算系统中大量的数据传输对网络性能有着重要影响。

通过使用高速网络和合理的数据传输协议,如TCP/IP协议,可以加速数据的传输速度,降低延迟,并提高数据传输的可靠性。

4. 系统监控与故障处理:实时监控云计算系统的运行状态和性能参数是及时发现问题并进行调优的重要手段。

通过合理设置监控指标和使用监控工具可以追踪系统运行状态,并及时发现潜在的性能瓶颈和故障点,进而采取措施进行处理。

二、云计算系统访问控制策略分析云计算系统的安全性是用户关注的重点,而访问控制是确保云计算系统安全的重要手段之一。

以下是几种常见的云计算系统访问控制策略:1. 基于角色的访问控制(RBAC):RBAC是一种常见的访问控制策略,通过将用户与角色关联起来,给予不同的角色不同的权限。

RBAC可以简化访问控制管理,提高系统的安全性和可扩展性。

2. 基于属性的访问控制(ABAC):ABAC是一种灵活的访问控制策略,根据用户的属性和环境的上下文来进行访问控制。

开放网络环境中基于属性的通用访问控制框架

u i es lat b e ba e c e s c nr lfa e r s p o s d I o k a u i e t o o dipo e t e at b ts o s r , n v r a tr ut— s d a c s o to rm wok wa r po e . tt o n f d me h d t s s h tr ue fu es i i i r s u c s o r to s a d r ni o e t smp i e h o e o r e , pea in n un ng c ntx , i lf d te c mplx wa fp r s in e em iai n i r d t na i e y o e miso s d tr n to n ta ii lRBAC nd o a o h ra c s c n rl t e c e s o to mo e , tus nh n i t e e s t iy n fe iiiy f c es c n r] s se d s h e a cng h v rai t a d l xb l o a c s o to y t m. At h s m e i e l t t e a tm ,
开 放 网 络 环 境 中 基 于 属 性 的 通 用 访 问 控 制 框 架
钟 将 , 素娟 侯
( 庆 大 学 计 算 机 学 院 , 庆 40 3 重 重 00 0)
(0 8 4 2 7 @c u e u c ) 2 0 0 0 0 q . d . n 1

要 : 对 传 统 访 问控 制 模 型 在新 一代 可 信 互联 网 环 境 应 用 中存 在 用 户 角 色赋 值 效 率 不 高 、 域 访 问控 制 实 针 跨
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Key words : security policy ; access control ; ABAC ; entity attribute ;formal model
1 引言
访问控制(access control) 技术依据预先定义的访问 授权策 略 授 予 主 体 ( subject) 访 问 客 体 (object) 的 权 限 (right) ,并对主体使用权限的过程进行有效控制 ,从而 实现系统资源的授权访问 ,防止非授权的信息泄露 ,是 确保计算系统安全的核心技术之一[1] . 基于属性的访问 控制 (Attribute Based Access Control ,ABAC) 能解决复杂 信息系统中的细粒度访问控制和大规模用户动态扩展 问题[2] ,为开放网络环境提供了较理想的访问控制方 案. 因此 ,ABAC 已成为复杂计算系统安全领域国内外 目前研究的热点.
众所周知 ,现实生活中的实体可以通过实体特性 (组合) 来进行有效区分 ,这种可以对实体进行区分的实 体特性称为实体属性 ( attribute) . 使用实体属性这个核 心概念对主体 、客体 、权限及授权约束进行统一描述 ,用 属性或属性组来区分不同的实体 ,用实体属性之间的关
系对安全需求进行形式化建模 ,能够有效解决分布式开 放环境下的细粒度访问授权和大规模用户动态扩展问 题. 但是 ,传统的访问控制方法并没有把属性概念作为 独立要素纳入访问控制策略模型之中进行建模. 虽然近 年来提出的一些访问控制策略模型用约束 ( constraint) 概念把实体的某些属性纳入到访问控制决策过程之中 , 但是实体依然用唯一的身份标识来区分 ,实体属性特征 仅仅作为访问控制决策约束参与访问控制决策 ,这类访 问控制策略模型在分布式开放环境下面临的问题是实 体属性的语义往往不明确 ,缺乏统一性 ;当系统规模增 大时 ,约束规则数量面临爆炸性增长 ,从而导致访问控 制系统效率低下.
总之 ,ABAC 能够解决传统访问控制难以解决的细 粒度访问控制和面向大规模主体动态授权的问题 ,并 具有很强的灵活性和良好的可扩展性 ,是未来开放网 络环境中较为理想的访问控制策略模型 ,具有广阔的 应用前景. 本文从 ABAC 的理论研究和应用研究两个方 面详细分析和总结 ABAC 国内外现有研究成果 , 并对 ABAC 亟待解决的问题及未来研究趋势进行讨论 ,为未 来开放网络环境中的复杂信息系统访问控制研究提供 新思路和文献参考.
为描述简便 , 以下把主体 、客体 、权限和环境统称 为实体(entity) . 于是 , 实体共有四种类型 :主体类 ( s) , 客体类( o) ,权限类 ( p) 和环境类 ( e) , 实体类型全体为 { s , o , p , e} . 每一类实体其特征用一组属性变量描述.
定义 2 实体属性是描述实体固有特征的变量. 实体属性值是实体属性变量的取值. 实体属性变量的 取值范围称为该属性变量的域( domain) .
定义 3 实体模式是对实体属性的描述 , 形式表 示为 X ( U , D , dom , F) , 其中 X 是实体名 , U 为刻画该 类实体的属性变量集合 , D 为 U 中属性变量的域 , dom 为属性变量到属性变量域的指派 ( assign) dom : U →D , F 为属性变量值之间的依赖关系 , 用来对属性之间的 复杂关系进行描述.
关键词 : 安全策略 ; 访问控制 ; 实体属性 ; 形式化模型 ; ABAC 中图分类号 : TP309 文献标识码 : A 文章编号 : 037222112 (2010) 0721660208
Re search Pro gre ss o n Attribute2Ba sed Acce ss Co ntrol
定义 7 ABAC 访问控制策略评估是在给定的策 略评估环境 (AAR) 下的一个映射 POE : PO →{ permit ,
deny ,unknown} . 对任意 po ∈PO , 如果 po 的策略体内所有谓词全
集 TP( po) 中的每一个谓词和布尔表达式的值均为真 (true) ,则 POE( po) = permit ,表示访问请求可以被授权; 如果存在一个或一个以上的谓词或者布尔表达式的值 为假 (false) , 则 POE ( po) = deny , 表示访问请求不可以 被授 权 ; 如 果 存 在 一 个 实 体 属 性 变 量 var | X. A , 则 POE( po) = unknown ,表示访问请求无法判定. 一般情况 下 ,对一个特定的 AAR 和与该 AAR 相关的策略集合 PO ,当 AAR 的元素语义明确时 , 对任意 po ∈POAAR , 要 么 POE( po) = permit , 要么 POE( po) = deny , 二者有且仅 有一种情况成立 , 表明访问控制策略判定结果是无歧 义的. 如果存在 poi ∈PO , poj ∈PO , 使得 POE ( poi) = permit , 并且 POE( poj) = deny , 则产生了策略冲突 , 称 PO 为冲突策略集. 此时 , 需要引入冲突消解策略对判定结 果进行二次决策.
定义 6 ABAC 策略形式为 R ( po) ←Gi , …, Gn , Ψ ,其中 n ≥1 ,1 ≤i ≤n , Gi 是基于属性的授权谓词 , Ψ 是环境属性合取式 , 表示授权约束 , 符号“,”表示合取. 对 Gi和 Ψ 中的任意变量 var , var 的结构为 x . ai . 称 var 为实体属性变量 , 其全集记为 X. A , G1 , …, Gn , Ψ 为策 略体 , R ( po) 为策略头部 , po 是一个常量 , 标识当前策 略. 一个系统的 ABAC 策略全集记为 PO.
定义 4 属性元组是实体模式的实例. 对实体模 式 X ( x . a1 , x . a2 , …, x . an ) , 其 属 性 元 组 形 式 为 < x . v1 , x . v2 , …, x . vn > , 表示各属性值分别为 v1 , v2 , …, vn 的 x 类实体集合 , 其中 x ∈{ s , o , p , e} .
2 ABAC 基本概念
目前 ,ABAC 还没有统一的形式化定义. 本文借鉴 文献[4 ]对 ABAC 形式化定义如下 :
定义 1 ABAC 是一个四元组 ( S , O , P , E) , 其中 S , O , P 和 E 分别是由主体属性 、客体属性 、权限属性 和环境属性确定的主体 、客体 、权限和环境集合.
201第0 年7 期7 月
电 子 学 报 ACTA ELECTRONICA SINICA
Vol . 38 No. Jul . 2010
7
基于属性的访问控制研究进展
王小明 ,付 红 ,张立臣
(陕西师范大学计算机科学学院 ,陕西西安 710062)
摘 要 : 基于属性的访问控制 (ABAC) 能够解决开放网络环境下资源保护所面临的细粒度问题以及网络系统所 面临的大规模用户问题 ,为未来的开放网络环境提供了较为理想的访问控制策略方案. 本文从 ABAC 理论和应用研究 两个方面详细分析和总结了 ABAC 国内外的现有研究成果 ,分析了 ABAC 研究尚待解决的问题及未来研究趋势 ,为未 来开放网络环境中的复杂信息系统访问控制研究提供借鉴和文献参考.
在开放环境下 , 实体模式通常是静态 、相对稳定
的 ,属性元组是动态 、随时间不断变化的. 定义 5 ABAC 授权是一个四元组 ( < s . v1 , s . v2 ,
…, s . vn > , < o. v′1 , o. v′2 , …, o. v′m > , < p. v″1 , p. v″2 , …, p. v″k > , E) , 表示属性值为 v1 , . v2 , …, . vn 的主体对 属性值为 v′1 , v′2 , …, v′m 的客体在环境属性集合 E 满足 条件下 , 实施属性值为 v″1 , v″2 , …, v″k 的操作.
© 1994-2011 China Academic Journal Electronic Publishing House. All rights reserved.
第 7 期
王小明 :基于属性的访问控制研究进展
1661
达细粒度 、复杂的访问授权和访问控制策略 ,从而增强 访问控制系统的灵活性和可扩展性. ABAC 的突出优点 是它具备强大的表达能力[3] . 属性可以从不同的视角 描述实体. 用属性描述的策略可以表达基于属性的逻辑 语义 ,灵活地描述访问控制策略. 如果将传统访问控制 中的身份 、角色以及资源安全密级等信息抽象化为实体 属性 ,ABAC 则能有效实现传统访问控制模型的功能.
实体模式通常简记为 X ( x . a1 , x . a2 , …, x . an) , 其 中 X 为实体名 , x . a1 , x . a2 , …, x . an 为实体属性变量 名 , x ∈{ s , o , p , e} , x 决定 X 属于哪一类实体 ; 域名及 属性向域的指派通常直接说明为属性的类型[5] .
ABAC 把实体属性 ( 组) 概念贯穿于访问控制策略 、 模型和实现机制三个层次 ,把与访问控制相关的时间 、 实体空间位置 、实体行为 、访问历史等信息当作主体 、客 体 、权限和环境的属性来统一建模 ,通过定义属性之间 的关系描述复杂的授权和访问控制约束 ,能够灵活地表
收稿日期 :2009203224 ;修回日期 :2010201214 基金项目 :国家自然科学基金 (No. 60773224 ,No. 60970054) ;教育部科学研究重点项目 (No. 107106) ;教育部留学回国人员科研启动基金
WANG Xiao2ming ,FU Hong ,ZHANG Li2chen
( School of Computer Science and Technology , Shaanxi Normal University , Xi’an , Shaanxi 710062 , China)
相关文档
最新文档