基于可扩展标记语言安全策略的网格访问控制方法技术

基于可扩展标记语言安全策略的网格访问控制方法是为了解决网格计算访问控制过程中所涉及到的动态性和跨越不同安全域的问题。对角色进行安全域的限定，定义了不同安全域之间的角色继承关系，通过授权代理服务将本域的角色和其他域角色相关联建立域间的角色继承关系，对可能遇到的角色继承关系冲突给出了相应的解决方法。本发明专利技术是标准RBAC模型基础上进行扩展，通过引入主体事件和客体事件两种上下文机制给出了基于上下文的角色访问控制模型，该模型能够根据上下文信息实现动态的授权过程，形式化描述了由主体事件引起的角色状态改变和客体事件引起的权限状态改变的具体实现过程，同时对状态转换过程中的一致性分析表明该模型在状态转换过程中保持一致性。

【技术实现步骤摘要】

【技术保护点】
一种基于可扩展标记语言安全策略的网格访问控制方法，其特征在于该方法具体具体包括以下步骤：１）．首先配置用户－角色设置的策略，设定域内的角色有两种，访客和管理员；策略文件中＜规则＞元素内子元素＜主体匹配＞的＜属性值＞的值为预设邮箱地址，匹配的规则采用姓名判断函数，以邮箱后缀名来作为判断依据，给用户名为预设邮箱后缀的用户配以管理员角色；２）．配置角色－权限的策略，定义管理员角色对资源１０．１０．１３８．＊这个网段的资源节点有读、写和执行的权限，对资源＜资源＞１０．１０．１３８．＊采用子网匹配的函数；３）．配置基于资源的动态访问控制策略，对网格中资源根据策略来动态控制用户的访问，比如基于时间的资源策略和基于资源动态性能的访问控制策略；４）．用户向服务提出访问资源请求；５）．核实用户信息，根据用户访问控制请求转换器把经过网格认证系统认证的用户信息与请求信息，转换为可扩展的访问控制标记语言的规范格式，把用户的信息归为＜主体＞元素，把请求要访问的资源归为＜资源＞元素，把对资源的访问动作类型归为＜动作＞元素；６）．根据转换后的可扩展的防问控制标记语言格式请求，提取用户请求消息中＜资源＞元素，检查相应的资源防问控制策略，若该资源处于可用状态，则进行下一步，否则返回＜拒绝＞信息；７）．根据接收到的可扩展的访问控制标记语言请求中＜主体＞元素里包含的＜权限＞，查询用户－角色信息库，以判断该用户属何种角色，并给用户匹配相应的角色；８）．根据分配到的角色再查询角色－权限信息库，给该角色分配相应的权限，如读，写，运行的权限；９）．将该角色的权限与用户的请求＜动作＞对比，用户的请求动作属于该角色的权限则匹配合格进行下一步，请求动作在用户的权限之外则匹配失败则返回＜拒绝＞信息；１０）．以上步骤全部通过则给用户返回相应的最终访问协议，用户可以通过该协议对请求的资源做指定的动作。...

【技术特征摘要】

【专利技术属性】
技术研发人员：王汝传，郑卿，王海艳，王杨，张琳，邓勇，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：84