基于XACML的访问控制安全策略模型

摘要

访问控制安全是计算机应用安全中的一个重要分支。随着新一代分布式Web服务的发展,传统的访问控制模型已远远不能满足Web服务分散、动态、异构、开放的特性。Web环境下需要根据资源属性、网络角色、网络安全环境等各种不同安全因素进行不同安全粒度的资源控制和访问。因此,有必要根据Web服务的分布式特点,设计适用于开放式环境的、通用的安全的新一代访问控制模型。XACML是新一代访问控制模型的建议标准之一,XACML语言和模式能够支持自定义的数据类型、函数,并允许定义复杂（或简单）的组合逻辑函数。因此,本文考虑利用XACML的优点,以解决分布式环境下的网络访问控制安全中的部分问题。
　　 本文从讨论XACML技术的发展历史和现状入手,对目前XACML在安全模块表达、网络安全场景的表达和约束条件表达三个方向的最新研究进展进行了较为全面的研究与分析,并在此基础上设计了一个分布式环境下网络访问的控制安全策略模型:选用TCPWrapper安全策略作为样本策略,通过该模型控制对TCPWrapper安全策略文件的修改和访问；同时通过结合标准的XACML框架、角色代理模型和权限代理模型,用模型描述代理授权下的访问控制规则,从而实现模型对代理授权安全场景的支持；通过利用XACML策略的属性自扩展性,实现了对安全组件的规则的可扩充性.
　　 本文还实现了一个根据上述设计的控制安全策略模型开发的原型系统。该原型系统能够实现控制安全策略模型中的大部分功能,实现了分布式环境下安全策略的访问控制,并能够满足一般访问控制模型的基本要求。这一原型系统的开发,为分布式下网络访问控制的进一步研究奠定了基础。
　　 本文设计并实现的控制安全策略模型,不仅具有平台无关性,而且可以支持分布式网络环境下安全策略文件的跨平台访问控制。因此,该模型可以朋在安全组件上以增强防火墙性能,也可以跨平台运行并控制安全策略的访问和修改。因此,本文所给出的模型可作为分布式环境下.访问的安全控制手段之一在网络环境中加以实施,以增强网络插件被访问后的安全性。