The invention discloses a network access system and method of extended XACML framework in the control system, the system consists of ontology construction module, rules module, rule reasoning module, consistency checking module and policy rule generation module. Method: 1, ontology construction module ontology; 2, rules 3, module rules; rule based reasoning module generates access control results; if there is a conflict between the 4, consistency detection module access control results; 5, the rules formulated module conflict resolution rules and rule reasoning module to generate conflict resolution rules of access the control results; 6, the consistency of the detection module detects whether a conflict resolution; 7, policy rules generate XACML policy rules. The invention has the advantages of high detection efficiency and automation for collision detection of access control results.
【技术实现步骤摘要】
网络访问控制系统中XACML框架扩展系统及方法
本专利技术属于计算机
,更进一步涉及计算机网络安全
中的一种可扩展访问控制标记语言(eXtensibleAccessControlMarkupLanguage,XACML)框架扩展系统及方法。本专利技术可用于网络访问控制系统中访问控制结果的冲突检测及冲突消解,生成可扩展访问控制标记语言策略规则,以确保网络访问控制系统中授权用户的正确访问,同时拒绝非授权用户的访问。
技术介绍
OASIS发布的可扩展访问控制标记语言XACML可通过多种属性类型定义细粒度的访问控制规则,但属性的细粒度化容易导致策略规则冲突,可扩展访问控制标记语言XACML中给出了若干冲突消解算法,从结果可判定角度规避了策略规则冲突对访问请求决策的影响,但其未能从管理角度分析造成冲突的细节原因,结果难以分析并容易造成权限泄漏。为了检测和消解策略规则冲突,目前的方法主要是在策略判定之前对策略规则进行策略,对可扩展访问控制标记语言XACML策略规则管理有如下方法:中国科学院软件研究所拥有的专利技术“一种XACML策略规则检测方法”(申请号200810119404.7授权公告号CN100592315C)提出针对XACML策略规则进行了规则状态定义、规则状态相关性定义、冲突类型分析,并在此基础上,建立了基于语义树的策略索引并实施具体的XACML策略规则检测。该方法的具体步骤是:第一,构建XACML策略规则分析的形式化模型;第二,制定XACML中的权限继承和权限蕴含规则;第三,定义XACML中规则状态的关系,分为状态覆盖、状态相交或状态无关;第四 ...
【技术保护点】
一种网络访问控制系统中XACML框架扩展方法,该方法是基于网络访问控制系统的本体构建模块(1)、规则制定模块(2)、规则推理模块(3)、一致性检测模块(4)、策略规则生成模块(5)实现的,包括如下步骤:(1)构建本体:(1a)本体构建模块(1)将网络访问控制中发起请求的主体集合和请求操作的客体集合,利用网络本体语言OWL,分别定义为主体类和客体类;(1b)将发起请求的主体定义为主体类的实例,将操作的客体定义为客体类的实例;(1c)将主体实例与不同类型数值的关系,用网络本体语言OWL的数据属性表示;(1d)将主体实例对客体实例的操作权限,用网络本体语言OWL的对象属性表示;(2)制定规则:(2a)规则制定模块(2)将主体实例本体和客体实例本体的连接,作为语义网规则语言SWRL访问控制规则的前提,将该主体对该客体拥有的操作权限,作为语义网规则语言SWRL访问控制规则的结论;(2b)将下级主体的正向操作权限和上下级主体实例本体的连接,作为语义网规则语言SWRL权限继承规则的前提,将上级主体继承自下级主体对该客体的正向操作权限,作为语义网规则语言SWRL权限继承规则的结论;(2c)将主体对上层 ...
【技术特征摘要】
1.一种网络访问控制系统中XACML框架扩展方法,该方法是基于网络访问控制系统的本体构建模块(1)、规则制定模块(2)、规则推理模块(3)、一致性检测模块(4)、策略规则生成模块(5)实现的,包括如下步骤:(1)构建本体:(1a)本体构建模块(1)将网络访问控制中发起请求的主体集合和请求操作的客体集合,利用网络本体语言OWL,分别定义为主体类和客体类;(1b)将发起请求的主体定义为主体类的实例,将操作的客体定义为客体类的实例;(1c)将主体实例与不同类型数值的关系,用网络本体语言OWL的数据属性表示;(1d)将主体实例对客体实例的操作权限,用网络本体语言OWL的对象属性表示;(2)制定规则:(2a)规则制定模块(2)将主体实例本体和客体实例本体的连接,作为语义网规则语言SWRL访问控制规则的前提,将该主体对该客体拥有的操作权限,作为语义网规则语言SWRL访问控制规则的结论;(2b)将下级主体的正向操作权限和上下级主体实例本体的连接,作为语义网规则语言SWRL权限继承规则的前提,将上级主体继承自下级主体对该客体的正向操作权限,作为语义网规则语言SWRL权限继承规则的结论;(2c)将主体对上层客体的负向操作权限和上下层客体实例本体的连接,作为语义网规则语言SWRL权限蕴含规则的前提,将该主体对该下层客体的负向操作权限,作为语义网规则语言SWRL权限蕴含规则的结论;(3)生成访问控制结果:规则推理模块(3)中的规则推理机,生成访问控制规则对应的访问控制结果,并生成隐含的本体知识和访问控制结果;(4)检测是否存在冲突:一致性检测模块(4)中的一致性检测推理机,检测生成的访问控制结果之间是否存在冲突,若存在,则执行步骤(5);否则,执行步骤(7);(5)消解冲突:(5a)根据访问控制结果之间的冲突类型和访问控制系统中的访问控制要求,选择访问控制结果冲突消解算法类型;(5b)规则制定模块(2)根据访问控制结果冲突消解算法类型,将冲突的两个访问控制结果的连接作为语义网规则语言SWRL冲突消解规则的前提,将冲突消解后的访问控制结果作为语义网规则语言SWRL冲突消解规则的结论;(5c)将冲突消解规则输入到规则推理模块(3),根据冲突消解规则,利用规则推理机,生成冲突消解规则对应的访问控制结果;(6)检测冲突是否消解:一致性检测模块(4)中的一致性检测推理机,检测经过步骤(5)后,访问控制结果之间的冲突是否消解,若是,则执行步骤(7);否则,执行步骤(5);(7...
【专利技术属性】
技术研发人员:马文平,陆亚红,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。