网络访问控制系统中XACML框架扩展系统及方法技术方案

技术编号:15399291 阅读:138 留言:0更新日期:2017-05-23 11:09
本发明专利技术公开一种网络访问控制系统中XACML框架扩展系统和方法,系统由本体构建模块、规则制定模块、规则推理模块、一致性检测模块和策略规则生成模块组成。方法为:1、本体构建模块构建本体;2、规则制定模块制定规则;3、规则推理模块生成访问控制结果;4、一致性检测模块检测访问控制结果之间是否存在冲突;5、规则制定模块制定冲突消解规则,规则推理模块生成冲突消解规则的访问控制结果;6、一致性检测模块检测冲突是否消解;7、策略规则生成模块生成可扩展访问控制标记语言策略规则。本发明专利技术对访问控制结果的冲突检测,具有检测效率高和自动化的优点。

System and method for expanding XACML framework in network access control system

The invention discloses a network access system and method of extended XACML framework in the control system, the system consists of ontology construction module, rules module, rule reasoning module, consistency checking module and policy rule generation module. Method: 1, ontology construction module ontology; 2, rules 3, module rules; rule based reasoning module generates access control results; if there is a conflict between the 4, consistency detection module access control results; 5, the rules formulated module conflict resolution rules and rule reasoning module to generate conflict resolution rules of access the control results; 6, the consistency of the detection module detects whether a conflict resolution; 7, policy rules generate XACML policy rules. The invention has the advantages of high detection efficiency and automation for collision detection of access control results.

【技术实现步骤摘要】
网络访问控制系统中XACML框架扩展系统及方法
本专利技术属于计算机
,更进一步涉及计算机网络安全
中的一种可扩展访问控制标记语言(eXtensibleAccessControlMarkupLanguage,XACML)框架扩展系统及方法。本专利技术可用于网络访问控制系统中访问控制结果的冲突检测及冲突消解,生成可扩展访问控制标记语言策略规则,以确保网络访问控制系统中授权用户的正确访问,同时拒绝非授权用户的访问。
技术介绍
OASIS发布的可扩展访问控制标记语言XACML可通过多种属性类型定义细粒度的访问控制规则,但属性的细粒度化容易导致策略规则冲突,可扩展访问控制标记语言XACML中给出了若干冲突消解算法,从结果可判定角度规避了策略规则冲突对访问请求决策的影响,但其未能从管理角度分析造成冲突的细节原因,结果难以分析并容易造成权限泄漏。为了检测和消解策略规则冲突,目前的方法主要是在策略判定之前对策略规则进行策略,对可扩展访问控制标记语言XACML策略规则管理有如下方法:中国科学院软件研究所拥有的专利技术“一种XACML策略规则检测方法”(申请号200810119404.7授权公告号CN100592315C)提出针对XACML策略规则进行了规则状态定义、规则状态相关性定义、冲突类型分析,并在此基础上,建立了基于语义树的策略索引并实施具体的XACML策略规则检测。该方法的具体步骤是:第一,构建XACML策略规则分析的形式化模型;第二,制定XACML中的权限继承和权限蕴含规则;第三,定义XACML中规则状态的关系,分为状态覆盖、状态相交或状态无关;第四,通过描述属性层次操作关联类型;第五,建立基于资源语义树的策略索引结构;第六,运行基于属性层次操作关联的冲突检测算法;第七,运行基于状态相关的其他类型冲突检测算法。该专利技术存在的不足是:当一个网络访问控制系统中存在大量用户和大量资源,需要制定大量访问控制规则时,将每个规则中的属性进行形式化过于复杂,并且生成的策略索引树将很庞大,从而冲突检测效率很低下。因此该方法只适用于拥有少量用户和资源的网络访问控制系统中,只能检测少量访问控制规则之间的冲突,从而无法确保大量授权用户的正确访问和拒绝非授权用户的访问。F.Huang,Z.HuangandL.Liu发表的论文“ADL-basedmethodforaccesscontrolpolicyconflictdetecting”(Internetware,Beijing,China,2009,pp.1-5,ACM,USA)公开一种利用描述逻辑(DescriptionLogic,DL)将XACML策略规则形式化,利用推理工具的一致性检测功能对形式化的策略规则进行检测的方法。该方法的具体步骤是:第一,将XACML策略规则中的基本元素,如:Subject、Resource、Action和Effect元素及元素的属性映射到描述逻辑中的概念及概念之间的关系;第二,将每一个XACML策略规则相应映射为描述逻辑策略规则实例;第三,利用推理机的实例一致性检测功能对规则实例进行检测。该方法存在的不足是:由于描述逻辑缺乏足够支持访问控制规则语义的描述能力,当一个访问控制系统需要对拥有多个属性的授权用户进行访问控制,需要制定细粒度的访问控制规则时,用描述逻辑描述策略规则实例将很复杂,从而无法确保网络访问控制系统中拥有多属性的授权用户的正确访问。综上所述,目前的现有技术是将已制定好的XACML策略规则形式化后再进行冲突检测的方法,由于形式化方法的复杂性,只适用于检测少量访问控制规则之间的冲突,而用于检测大量访问控制规则之间的冲突时,检测的效率很低下,且很容易检测不出冲突,从而容易导致授权给用户的权限不一致和未授权用户的非法访问。由于描述逻辑缺乏足够支持访问控制规则语义的描述能力,当一个访问控制系统需要根据用户的多个属性进行决策时,基于描述逻辑无法描述细粒度的访问控制规则,从而无法检测出细粒度的访问控制规则之间的冲突,容易导致网络访问控制系统中权限的泄漏。
技术实现思路
本专利技术的目的在于针对上述现有技术的不足,提出一种网络访问控制中扩展XACML框架系统和方法,将可扩展访问控制标记语言XACML框架中的策略管理点PAP进行扩展,以确保网络访问控制系统中授权用户的正确访问,同时拒绝非授权用户的访问。实现本专利技术目的的思路是,根据访问控制系统的访问控制要求,利用语义网规则语言SWRL制定访问控制规则、主体权限继承规则和主体权限蕴含规则,利用规则推理机自动推理生成访问控制规则对应的访问控制结果,并推理生成隐含的访问控制结果。对访问控制结果利用一致性检测推理机进行冲突检测,访问控制结果之间的冲突即反应了制定的对应的访问控制规则之间的冲突,从而完成对访问控制规则的冲突检测。当访问控制结果之间存在冲突时,利用语义网规则语言SWRL制定冲突消解规则,再通过规则推理机推理生成消解规则对应的访问控制结果,从而完成对访问控制规则的冲突消解。将最后没有冲突的访问控制结果和访问控制结果对应的访问主体和客体的本体,自动转换为可扩展访问控制标记语言XACML策略规则,为可扩展访问控制标记语言XACML框架中的策略决策点PDP提供用于决策的策略规则,提高网络访问控制系统中访问控制决策结果的一致性和正确性,从而确保网络访问控制系统中授权用户能够获得正确的和一致的访问操作权限,同时拒绝非授权用户的访问。本专利技术的系统,包括本体构建模块、规则制定模块、规则推理模块、一致性检测模块和策略规则生成模块,其中:本体构建模块,用于利用网络本体语言OWL,完成网络访问控制系统中的主体、客体、操作权限,以及主体和客体实例的属性的本体构建。规则制定模块,用于利用语义网规则语言SWRL,根据网络访问控制系统中主体对客体的访问控制要求、主体的上下级关系、客体的上下层关系和访问控制结果冲突消解算法类型,制定访问控制规则、主体权限继承规则、主体权限蕴含规则和冲突消解规则。规则推理模块,用于对本体构建模块构建的本体和规则制定模块制定的规则进行规则推理,生成规则制定模块中的规则所对应的访问控制结果。一致性检测模块,用于检测规则推理模块生成的访问控制结果之间是否存在冲突和冲突是否消解。策略规则生成模块,用于将规则推理模块中不存在冲突的访问控制结果,以及本体构建模块中对应此访问控制结果的主体和客体的本体,转换为可扩展访问控制标记语言XACML格式的访问控制策略规则,为可扩展访问控制标记语言XACML框架中的策略决策点PDP提供用于决策的策略规则。本专利技术的方法,包括步骤如下:(1)构建本体:(1a)本体构建模块将网络访问控制中发起请求的主体集合和请求操作的客体集合,利用网络本体语言OWL,分别定义为主体类和客体类;(1b)将发起请求的主体定义为主体类的实例,将操作的客体定义为客体类的实例;(1c)将主体实例与不同类型数值的关系,用网络本体语言OWL的数据属性表示;(1d)将主体实例对客体实例的操作权限,用网络本体语言OWL的对象属性表示。(2)制定规则:(2a)规则制定模块将主体实例本体和客体实例本体的连接,作为语义网规则语言SWRL访问控制规则的前提,将该主体对该客体拥有的操作权限,作为语义网规则语言S本文档来自技高网
...
网络访问控制系统中XACML框架扩展系统及方法

【技术保护点】
一种网络访问控制系统中XACML框架扩展方法,该方法是基于网络访问控制系统的本体构建模块(1)、规则制定模块(2)、规则推理模块(3)、一致性检测模块(4)、策略规则生成模块(5)实现的,包括如下步骤:(1)构建本体:(1a)本体构建模块(1)将网络访问控制中发起请求的主体集合和请求操作的客体集合,利用网络本体语言OWL,分别定义为主体类和客体类;(1b)将发起请求的主体定义为主体类的实例,将操作的客体定义为客体类的实例;(1c)将主体实例与不同类型数值的关系,用网络本体语言OWL的数据属性表示;(1d)将主体实例对客体实例的操作权限,用网络本体语言OWL的对象属性表示;(2)制定规则:(2a)规则制定模块(2)将主体实例本体和客体实例本体的连接,作为语义网规则语言SWRL访问控制规则的前提,将该主体对该客体拥有的操作权限,作为语义网规则语言SWRL访问控制规则的结论;(2b)将下级主体的正向操作权限和上下级主体实例本体的连接,作为语义网规则语言SWRL权限继承规则的前提,将上级主体继承自下级主体对该客体的正向操作权限,作为语义网规则语言SWRL权限继承规则的结论;(2c)将主体对上层客体的负向操作权限和上下层客体实例本体的连接,作为语义网规则语言SWRL权限蕴含规则的前提,将该主体对该下层客体的负向操作权限,作为语义网规则语言SWRL权限蕴含规则的结论;(3)生成访问控制结果:规则推理模块(3)中的规则推理机,生成访问控制规则对应的访问控制结果,并生成隐含的本体知识和访问控制结果;(4)检测是否存在冲突:一致性检测模块(4)中的一致性检测推理机,检测生成的访问控制结果之间是否存在冲突,若存在,则执行步骤(5);否则,执行步骤(7);(5)消解冲突:(5a)根据访问控制结果之间的冲突类型和访问控制系统中的访问控制要求,选择访问控制结果冲突消解算法类型;(5b)规则制定模块(2)根据访问控制结果冲突消解算法类型,将冲突的两个访问控制结果的连接作为语义网规则语言SWRL冲突消解规则的前提,将冲突消解后的访问控制结果作为语义网规则语言SWRL冲突消解规则的结论;(5c)将冲突消解规则输入到规则推理模块(3),根据冲突消解规则,利用规则推理机,生成冲突消解规则对应的访问控制结果;(6)检测冲突是否消解:一致性检测模块(4)中的一致性检测推理机,检测经过步骤(5)后,访问控制结果之间的冲突是否消解,若是,则执行步骤(7);否则,执行步骤(5);(7)生成可扩展访问控制标记语言策略规则:策略规则生成模块(5)中的可扩展标记语言XML文本转换器,将生成的不存在冲突的访问控制结果,以及构建的本体中对应此访问控制结果的主体和客体的本体,转换成可扩展访问控制标记语言XACML格式的访问控制策略规则,为可扩展访问控制标记语言XACML框架中的策略决策点PDP提供用于决策的策略规则。...

【技术特征摘要】
1.一种网络访问控制系统中XACML框架扩展方法,该方法是基于网络访问控制系统的本体构建模块(1)、规则制定模块(2)、规则推理模块(3)、一致性检测模块(4)、策略规则生成模块(5)实现的,包括如下步骤:(1)构建本体:(1a)本体构建模块(1)将网络访问控制中发起请求的主体集合和请求操作的客体集合,利用网络本体语言OWL,分别定义为主体类和客体类;(1b)将发起请求的主体定义为主体类的实例,将操作的客体定义为客体类的实例;(1c)将主体实例与不同类型数值的关系,用网络本体语言OWL的数据属性表示;(1d)将主体实例对客体实例的操作权限,用网络本体语言OWL的对象属性表示;(2)制定规则:(2a)规则制定模块(2)将主体实例本体和客体实例本体的连接,作为语义网规则语言SWRL访问控制规则的前提,将该主体对该客体拥有的操作权限,作为语义网规则语言SWRL访问控制规则的结论;(2b)将下级主体的正向操作权限和上下级主体实例本体的连接,作为语义网规则语言SWRL权限继承规则的前提,将上级主体继承自下级主体对该客体的正向操作权限,作为语义网规则语言SWRL权限继承规则的结论;(2c)将主体对上层客体的负向操作权限和上下层客体实例本体的连接,作为语义网规则语言SWRL权限蕴含规则的前提,将该主体对该下层客体的负向操作权限,作为语义网规则语言SWRL权限蕴含规则的结论;(3)生成访问控制结果:规则推理模块(3)中的规则推理机,生成访问控制规则对应的访问控制结果,并生成隐含的本体知识和访问控制结果;(4)检测是否存在冲突:一致性检测模块(4)中的一致性检测推理机,检测生成的访问控制结果之间是否存在冲突,若存在,则执行步骤(5);否则,执行步骤(7);(5)消解冲突:(5a)根据访问控制结果之间的冲突类型和访问控制系统中的访问控制要求,选择访问控制结果冲突消解算法类型;(5b)规则制定模块(2)根据访问控制结果冲突消解算法类型,将冲突的两个访问控制结果的连接作为语义网规则语言SWRL冲突消解规则的前提,将冲突消解后的访问控制结果作为语义网规则语言SWRL冲突消解规则的结论;(5c)将冲突消解规则输入到规则推理模块(3),根据冲突消解规则,利用规则推理机,生成冲突消解规则对应的访问控制结果;(6)检测冲突是否消解:一致性检测模块(4)中的一致性检测推理机,检测经过步骤(5)后,访问控制结果之间的冲突是否消解,若是,则执行步骤(7);否则,执行步骤(5);(7...

【专利技术属性】
技术研发人员:马文平陆亚红
申请(专利权)人:西安电子科技大学
类型:发明
国别省市:陕西,61

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1