一种扩展的XACML访问控制模型的研究

摘要

互联网已经深刻地改变了软件世界，这是因为越来越多的应用软件系统运行于网络之上。为了节省开发应用软件的精力，为应用程序提供web服务以供调用，在此将web服务看作可复用的软件组件。在开发web服务的过程中，确保web服务执行时的安全信息访问是十分重要的事情。伴随企业信息化程度的不断提高，我们不得不重视安全信息访问的问题。幸运的是，访问控制技术能够有效地保证授权用户对于敏感信息的访问。因此，对访问控制模型及其实现的研究无疑具有非常大的理论及实用价值。
　　世界著名的结构化信息标准促进组织OASIS（Organization for the Advancement of Structured Information Standards）已经构建了专用于表述安全访问控制策略的可扩展的访问控制标记语言XACML（eXtendible Access Control Markup Language）的规范标准，XACML具有平台无关、通用、分布式以及可扩展等诸多特点。目前，基于角色的访问控制策略正日益得到广泛应用，而XACML也已经构建了基于角色的访问控制RBAC（Role-Based Access Control）框架来支持这种策略。遵循此框架，安全访问控制的实现将变得容易。
　　迄今为止，已经出现了许多有关web服务访问控制模型的研究成果。然而，许多从事这方面研究的研究人员仅仅关注于允许或拒绝某个请求者访问一个web服务。通过对现有的web服务访问控制模型的研究，发现如下两个问题有待解决：①现有模型仅仅做出了“允许或拒绝”的决策，这种决策在web服务访问控制中不够精确；②通过现有模型的控制，一旦允许一个请求者调用了某个web服务，那么该web服务就必须完成所请求的一切事情而不管非安全访问的情况是否会发生。为了解决这两个问题，本文系统地研究了XACML规范、XACML策略的RBAC框架和XSLT/XPATH转换技术，而后提出了一种新型的称为Ex-XACML的访问控制模型，它是XACML的一种扩展模型，并且对该模型的主体模块进行了实现。
　　既然数据库表结构的数据与XACML形式的数据均是结构化的数据，并且它们都能容易地通过XML形式来进行描述，因此本文主要通过XSLT/XPATH转换技术来把以数据库表结构存储的数据转换成由XACML所表述的数据。同时，为了规范统一访问请求的生成，本文实现了访问请求生成模块来生成标准的访问请求。

目录

封面

中文摘要

英文摘要

目录

1 绪 论

1.1 课题背景

1.2 研究现状

1.3 研究目的与意义

1.4 本文主要研究内容

1.5 论文组织结构

2 相关概念与技术介绍

2.1 XACML概念与技术介绍

2.2 RBAC概念与技术介绍

2.3 信息流控制概念与技术介绍

2.4 本章小结

3基于扩展的XACML访问控制模型

3.1 Web服务

3.2 XACML的体系结构

3.3 Ex-XACML

3.4 本章小结

4 系统设计与实现

4.1 开发环境与实验平台

4.2 Ex-XACML模型功能模块设计

4.3 从数据库数据到XACML策略的转换设计

4.4 实验测试

4.5 本章小结

5 总结与展望

5.1 工作总结

5.2 后续研究工作的展望

致谢

参考文献

附 录