The invention discloses a sort strategy authorization method and system for extending XACML access control. The visit method comprises the following steps: step 1, defining and generating access policies; step 2, defining and generating management policies to obtain policy libraries; step 3, sorting the policies in the policy libraries according to level values; Fourth, an access request is submitted to the policy decision point PDP of the XACML access framework; fifth, an ordered policy library is searched and the decision result of the policy with the maximum level value is returned. Through the invention, the search efficiency of the authorization policy can be improved.
【技术实现步骤摘要】
一种扩展xacml访问控制的排序策略授权方法及系统
本专利技术涉及网络空间安全领域,特别是涉及一种扩展xacml访问控制的排序策略授权方法及系统。
技术介绍
在信息安全领域,访问控制管理是一种基于用户身份管理资源访问的方法,授权是一种灵活的访问管理机制,指用户可以将其特定资源的访问权限转移到其他实体。现存的大多数授权机制都是基于角色的访问控制(RBAC)模型,将访问权限给予角色进行授权,也有少数模型是基于属性访问控制(ABAC)模型的授权。XACMLv3.0AdministrationandDelegationProfileVersion1.0,2014描述了一种基于xacml标准的授权机制,其通过搜索授权策略访问请求的<issuer>属性,生成基于PP、PI、DP和DI四种路径的策略图,进行图搜索寻找可信策略判断授权允许或拒绝。该方法会因多策略<issuer>搜索、属性判断造成严重的性能开销,且可信策略由省略<issuer>元素定义,缺乏验证机制,容易被伪造。MalikImran...
【技术保护点】
1.一种扩展xacml访问控制的排序策略授权方法,包括如下步骤:步骤一,定义并生成访问策略;步骤二,定义并生成管理策略,获得策略库;步骤三,将策略库中的策略按level值从大到小进行排序;步骤四,向xacml访问框架的策略判断点pdp提交访问请求;步骤五,搜索有序的策略库,返回level值最大的策略的判断结果。
【技术特征摘要】
1.一种扩展xacml访问控制的排序策略授权方法,包括如下步骤:步骤一,定义并生成访问策略;步骤二,定义并生成管理策略,获得策略库;步骤三,将策略库中的策略按level值从大到小进行排序;步骤四,向xacml访问框架的策略判断点pdp提交访问请求;步骤五,搜索有序的策略库,返回level值最大的策略的判断结果。2.如权利要求1所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于:于步骤一中,所述访问策略的元素包括带priority属性的<policy>、带priority属性的<rule>、subjectID、roleID、department、resourceID、resourcePath、actionID,level表示policy等级高低的指标,由形如abcdef的六位数特征值组成,其中a为优先级priority,b为主体subject,c为角色role,d为部门department,e为资源resource,f为操作action,优先级priority由大于等于0的整数值表示,为level的表示值之一。3.如权利要求2所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于,所述访问策略生成步骤如下:步骤S11,对访问策略的基本属性赋值,计算并赋值level属性;步骤S12,搜索管理策略库;步骤S13,查找是否存在符合访问策略属性匹配的管理策略p,若存在,进入步骤S14,若不存在,则进入步骤S15;步骤S14,将访问策略的id和type组合为policyindex,添加至管理策略p的delegatePolicySet中,并返回步骤S12;步骤S15,将访问策略保存至策略库中,访问策略生成成功。4.如权利要求3所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于,于步骤S11中,规则rule的level值计算如下:(a)优先级特征值a:未定义则默认值为0(b)主体特征值b:有subjectId属性并匹配则为1,不匹配为0(c)角色特征值c:有定义role属性并匹配则为1,否则为0(d)部门特征值d:由department属性长度组成(e)资源特征值e:由resourceId属性和resourcePath属性组合的长度计算得出;(f)操作特征值f:有定义actionID属性并匹配则为1,否则为0。5.如权利要求4所述的一种扩展xacml访问控制的排序策略授权方法,其特征在于:访问策略policy的level值计算与规则rule的相同,但如果policy的target元素设定的属性ABCDE,小于policy内部所有rule的level最大值abcde,取rule的最大level值为policy的level值,即ABCDE等于abcde,否则,p...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。