首页 > 其他分享> > 《基于属性的访问控制策略模型》阅读总结

《基于属性的访问控制策略模型》阅读总结

2020-04-15 19:54:04 作者：互联网

摘要

研究属性、属性谓词、属性名值对的抽象与描述；提出一种基于属性的访问控制策略模型，对策略、策略评估进行形式化定义；描述在设置策略合并算法和系统缺省授权下的访问控制判决过程；设计一种改进的策略管理框架。

基于属性的访问控制(Attribute—Based Access Control，ABAC)，利用与主体、客体、环境相关的属性作为授权策略制定的基础。

XACML是一种基于ABAC策略和请求的标准描述语言，它提供多种逻辑算法对授权过程进行控制。

1、属性attr ：是具有指定数据类型和值域的变量，可抽象定义为三元组< attr，VAL，R(VAL)>，分别表示属性名、值域和不同取值间的关系。

用sattr，oattr，eattr分别表示主体属性、客体属性和环境属性；
属性的值域VAL有连续型和离散型之分
- 取值连续的属性，其不同取值通常表现出数值比较关系，R(VAL)可表示为{(val1～val2)|val1～val2∈VAL,～∈{=,≠,≤,>,≥}
- 取值离散的属性，其不同取值相互独立或者表现为偏序关系，R(VAL)通常表示为{((val1～val2)|val1～val2∈VAL,～∈{=,≠,>,<}，其中>表示“优先于”、“继承”等偏序关系，<含义与>相反

2、属性谓词ap ：定义为三元组 < attr,∝,val>，其中，为操作符，用以限定属性的取值范围.

3、ABAC策略p：定义为sign←(SAP,OAP,EAP,ACT)

1、属性名值对avp：表示属性的具体取值，定义为二元组<attr，val>，即attr=val。savp、oavp、eavp分别表示主体、客体和环境属性名值对。

2、属性谓词评估：

给定属性名值对avp=(attr=value) 和属性谓词ap=(attr∝va1)，ap对avp的评估结果‖ap‖avp为真，当且仅当两者的属性名相同且avp的取值属于ap限定的范围,形式化定义：
给定属性名值对集合AVP={avp1,avp2,…,avpm}，属性谓词ap对AVP的评估结果‖ap‖AVP为真, 当且仅当存在avp∈AVP使得‖ap‖AVP为真，否则为假。形式化定义：
给定属性名值对集合和属性谓词组合AP=ap1∧ap2∧…∧apn，AP对AVP的评估结果‖AP‖AVP为真, 当且仅当对于任意ap∈AP有‖ap‖AVP为真，形式化如下：

3、用户的访问请求Req：抽象定义为四元组<S,O,E,act>

4、访问控制策略评估：

给定访问控制策略P=sign←(SAP,OAP,EAP,ACT)和用户请求Req=<S,O,E,act>，当‖SAP‖s、‖OAP‖o、‖EAP‖E均为真且act∈ACT时，策略P适用此用户请求，策略评估结果‖P‖Req即为其授权标识sign，否则，‖P‖Req为not—applicable

5、策略集评估：

XACML在IETF策略框架的基础上提出了面向策略实施的数据流模型。

标签：策略,访问,取值,Req,ap,名值,控制策略,属性
来源： https://www.cnblogs.com/fanxiaonan/p/12707555.html