XACML

摘要： 随着计算机技术的深入发展,各种物联网应用在人们生活中日益普及,然而面临的隐私和安全问题也日益突出,移动终端过度索权和过度收集数据是目前物联网环境下的严重隐患.为此,文章提出一种面向移动终端隐私保护的访问控制模型,通过将用户所有敏感数据存储在云端,由云端提供加解密和访问控制服务,进而保证敏感数据合理、受控地被使用.针对当前访问控制的不足,文章在XACML的基础上引入安全风险和操作需求评估进行扩展,提高访问控制的灵活性和适应性.仿真实验结果表明,文章方法能够准确、动态地实行访问控制,极大提高移动终端的安全性,并能有效减少移动终端的存储空间和电池电量开销.

摘要： 访问控制策略的描述与执行是信息系统资源保护的一种重要方式,影响到系统的业务化运行.针对目前评估效率较低的问题,研究人员提出了基于属性缓存和重排序等策略的评估方法,该方法提高了策略的评估效率,但尚未解决策略评估需要遍历所有相关规则的问题.针对此问题,在分析XACML(eRxtensible Access Control Markup Language)描述特点的基础上,利用属性与或矩阵和类型分析,提出一种基于属性与或矩阵和类型分析的XACML策略查询方法,以减少策略评估实施时的规则匹配数量.该方法修改了现有Context Handler的处理过程,增加了一个访问控制规则匹配预处理环节,在该环节中计算得出每个规则属性的区分度,利用区分度和属性与或矩阵筛选掉与当前访问控制请求无关的规则,然后对筛选后的规则集合进行匹配,提高策略评估效率.最后通过实验验证了所提方法的有效性.

摘要： 随着移动互联网技术的发展,具有计算功能的移动终端被大量部署,并在大量移动应用的支撑下完成各项任务;愈来愈多的企业允许员工带着他们的个人设备进入工作环境(BYOD模式).但不同的人员有不同的角色,不同的资源有不同的访问权限,敏感资源一旦被泄露,将可能给企业带来重大的损失.因此,要想全面支持BYOD,保障数据和系统的安全,需要相应移动应用对敏感资源的访问控制进行明确的规定,并在移动应用运行过程中执行.XACML是访问控制策略的统一描述语言,但目前还未见其对移动应用和BYOD的支持.提出基于XACML语言描述移动应用的访问控制策略,研究XACML访问控制策略的测试方法;在此基础上,面向BYOD,针对Android平台上的项目管理APP进行了实例研究,结果展示了所提方法的有效性.%With the development of mobile Internet technology,the mobile terminals that have the ability to compute are deployed in great quantities.They can complete various tasks with the support of a large number of mobile applications.More and more companies allow employees to bring their own devices into the work environment,and this can be called BYOD (Bring Your Own Device).But different people have different characters,and different resources have different access permissions.The leak of sensitive resources will lead to significant losses of the enterprise.If BYOD wants to be supported perfectly,it is important to ensure the security of data and system.The access control rules that are defined for access to sensitive resources from the corresponding mobile applications need to be clearly and to be implemented in the running process of mobile applications.XACML is an unified description language of access control policies.Until now,it is unable to support mobile applications and BYOD.In this paper,we proposed a study method of testing XACML policies based on that XACML can describe access control policies of mobile applications.We conducted a case study with a project management app facing BYOD on the Android platform and showed the validity of our method.

摘要： Extensible access control markup language XACML is widely used.To improve the efficiency of XACML policy evaluation,an XACML policy optimization algorithm based on Venn graphic method was proposed.The XACML policy and rule structure are expressed as the Venn diagrams in the set theory.On the basis of setting the combination algorithm priorities,the conflicts and redundancies among the policies and rules are detected and eliminated according to the intersection and union relations between the sets.The experimental tests show that the algorithm reduces the evaluation time by 10％ to 20％ for the mainstream engines and decreases the occupied memory space at the same time,which hence achieves the purpose of the policy optimization.%可扩展访问控制标记语言XACML得到了广泛应用.为提高XACML策略的评估效率,提出一种基于韦恩图法的XACML策略优化算法.将XACML策略规则的组成结构用集合论中的韦恩图表示,在设定合并算法优先级的基础上,借助集合间的交并关系,检测和消除策略规则间的冲突与冗余,提高策略评估效率.实验测试表明,该算法在各主流引擎下将请求评估时间平均缩短10％～20％,同时能减少占用的存储空间,达到策略优化的目的.

摘要： 针对分布式信息系统的资源共享及安全互操作问题,在多级安全模型基础上加入管理平台和中间件模块,提出一种适用于分布式系统的多级安全访问控制策略,保证数据机密性和访问过程安全可控.用XACML语言对安全策略进行标准化描述,并对策略进行安全性和灵活性分析.

摘要： 为了解决不同访问控制策略语言所带来的交互授权问题,提出了一种将物联网第三方机构数据库中基于角色的访问控制策略翻译为物联网中基于属性的XACML访问控制策略的方法,将数据库策略翻译到哈希表中,再对哈希表进一步翻译生成XACML策略,在翻译的过程中检测角色多重继承所产生的重复授权,避免策略重复生成.并对翻译后的访问控制策略进行优化,将2条规则属性对比以检查这2条规则是否可以合并,通过策略中规则的合并减少策略的规模.实验证明了翻译与优化方法的有效性.

摘要： This paper studied the XACML and Amazon Web Services cloud computing platform, identified the five properties such as time property、user property, action property requirements to support for the AWS based on XACML access control system design. Based on the data type of the AWS acceptable JSON, user information acquisition method to determine the system module:Collecting user information,user Information and divide attribute of XACML access control and JSON access control strategy, finally designed the system.%通过对XACML 和Amazon Web Services云计算平台的研究，确定了时间属性、用户属性、动作属性等5个属性需求用以支持针对AWS的基于XACML访问控制系统的设计，根据AWS可接受的数据类型JSON以及用户信息采集方法确定了3个基本的系统模块：用户信息采集，分属性用户信息及XACML访问控制策略和JSON格式访问控制策略，最终实现系统设计。

摘要： 针对传统访问控制安全策略管理的不灵活和扩展性差等问题,提出基于策略的访问控制方法,将安全策略有机地注入CUC模型中.介绍了PBCUC的组件和体系结构,并用代数方法对其进行了形式化描述,同时研究了PBCUC的实现问题,提出用XACML表示PBCUC的安全策略,使用多域环境安全策略管理框架来管理这些策略,用iX-MIDD方法处理访问请求.仿真实验表明,这种方法的访问请求决策时间很快,可在μs级时间完成.

摘要： 从提高策略评估效能出发,研究应用iMIDD方法对XACML策略进行评估.介绍了XACML和iMIDD与iX-MIDD的基本概念,对策略集、策略、规则及策略树进行了定义,并给出了两种方案将XACML策略转换成iMIDD与iX-MIDD图.方案一处理对象的次序完全符合XACML标准,但处理效率上可能稍差.方案二效率方面更好,但对象处理次序却不一定完全符合XACML标准.给出了用iX-MIDD评估访问请求的处理过程.用GEYSERS项目的实际访问控制策略进行了仿真实验,表明用此方法进行XACML策略评估效率高,非常实用.

摘要： 可扩展的访问控制标记语言(eXtensible Access Control Markup Language,XACML)逐渐成为访问控制的标准之一.为了确保系统可用性,访问控制系统需要高效的XACML策略评估引擎.针对这一问题,从XACML策略本身潜在的不足出发,从冗余消除和属性数值化两个方面对XACML策略进行了优化.冗余消除在不影响策略评估结果的前提下去除策略库中的冗余规则,同时结合规则压缩消除规则间的冗余状态.属性数值化将文本的XACML策略属性转化为数值属性,使评估引擎匹配使用高效的数值匹配方式而不是低效的字符串匹配方式,同时使用Hash表结构存储数值属性与文本属性的映射关系有利于策略维护.仿真实验结果表明,提出的策略优化方法的性能与原始Sun XACML相比有较大提升.

摘要： 针对分布式环境下各自主域访问控制模型的异构性以及跨域访问中域自治与协作问题,提出了一种基于策略的跨自主域访问控制模型.该模型通过自主域间访问主体的不同粒度映射机制,支持域间的安全互操作;通过安全控制器并结合基于XACML的访问控制策略,实现了域间用户权限的逻辑整合.各域的相关权限信息封装在域内,既保持原有的独立性又实现了域间的协作,同时屏蔽了域间主体差异,解决了不同域系统互不认知和异构访问控制模型映射问题。

摘要： 针对分布式环境下各自主域访问控制模型的异构性以及跨域访问中域自治与协作问题,提出了一种基于策略的跨自主域访问控制模型.该模型通过自主域间访问主体的不同粒度映射机制,支持域间的安全互操作;通过安全控制器并结合基于XACML的访问控制策略,实现了域间用户权限的逻辑整合.各域的相关权限信息封装在域内,既保持原有的独立性又实现了域间的协作,同时屏蔽了域间主体差异,解决了不同域系统互不认知和异构访问控制模型映射问题。

摘要： 针对分布式环境下各自主域访问控制模型的异构性以及跨域访问中域自治与协作问题,提出了一种基于策略的跨自主域访问控制模型.该模型通过自主域间访问主体的不同粒度映射机制,支持域间的安全互操作;通过安全控制器并结合基于XACML的访问控制策略,实现了域间用户权限的逻辑整合.各域的相关权限信息封装在域内,既保持原有的独立性又实现了域间的协作,同时屏蔽了域间主体差异,解决了不同域系统互不认知和异构访问控制模型映射问题。

摘要： 针对分布式环境下各自主域访问控制模型的异构性以及跨域访问中域自治与协作问题,提出了一种基于策略的跨自主域访问控制模型.该模型通过自主域间访问主体的不同粒度映射机制,支持域间的安全互操作;通过安全控制器并结合基于XACML的访问控制策略,实现了域间用户权限的逻辑整合.各域的相关权限信息封装在域内,既保持原有的独立性又实现了域间的协作,同时屏蔽了域间主体差异,解决了不同域系统互不认知和异构访问控制模型映射问题。

摘要： 本发明公开了基于XACML访问控制机制的Android应用访问控制代码生成方法，给定一个Android应用的功能实现代码，以及描述其行为和资源的访问控制需求的XACML策略、刻画其活动的UML活动图模型，能够为需要访问控制授权的行为和资源生成满足访问控制策略的代码，并插入到Android应用源代码中相应位置，使其成为一个完整的Android应用系统。本发明所述的方法使用XACML语言描述访问控制策略，可以更细粒度地对访问控制策略进行定义，对应用系统的访问控制需求可以进行更具体的描述。本方法通过生成访问控制代码的方式，实现了访问控制逻辑的产生和复用，降低了应用系统的开发人员的工作量和错误率。

摘要： 本发明公开一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块；跨域认证管理模块设在SAML处理服务器上，授权管理模块设在子系统XACML服务器上，机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上。该平台利用XACML对用户进行授权和访问控制，利用SAML跨域数据交互对用户进行身份认证。采用基于RBAC访问控制模型的XACML框架，通过读取用户的XACML文件来对用户权限进行限制，大大增强了对用户细粒度的授权。分布式系统中不同平台通过互相交换SAML信息来提供断言的方式，使得平台之间传输信息更加安全，数据传输量更少。

摘要： 本发明提供一种XACML安全策略的评估优化方法，包括以下步骤：消除冗余规则；建立判定结果缓存池和XACML安全策略缓存池；动态改变XACML安全策略/规则的位置。本发明针对现有XACML标准在策略规模和策略语义复杂性的上升时性能上的不足以及功能上的缺陷，提出一种基于策略冗余去除、缓存、重排序的XACML安全策略评估优化方法，该方法能够在提供策略分析、规则匹配、判定响应等相关的优化处理方法对资源进行细粒度访问控制的同时，有效提升XACML安全策略评估引擎处理策略信息检索、多策略匹配等问题时的效率，加强系统可用性，且能够适应各种策略合并算法，灵活性和可用性强。

摘要： 本发明公开了一种基于XACML的可验证的云访问控制方法，本方法为：1)用户向物联网的传感器节点发出访问请求信息；2)该传感器节点的策略实施点PEP将访问请求生成决定权请求并将其转发给该传感器节点的云决策与验证点CDVP；3)CDVP将访问请求发给位于云A的策略决策点CPDP_A和云B的策略决策点CPDP_B；4)CPDP_A和CPDP_B分别对该访问请求进行访问控制决策，然后将决策结果返回给CDVP，对两返回结果进行比较：若一致则将PEP执行返回结果；否则选择一返回结果发送给该传感器节点的策略决策点，然后CDVP做出授权决策发送给PEP执行。本方法充分利用云计算的计算能力，大大提高了计算效率。

摘要： 本发明公开一种网络访问控制系统中XACML框架扩展系统和方法，系统由本体构建模块、规则制定模块、规则推理模块、一致性检测模块和策略规则生成模块组成。方法为：1、本体构建模块构建本体；2、规则制定模块制定规则；3、规则推理模块生成访问控制结果；4、一致性检测模块检测访问控制结果之间是否存在冲突；5、规则制定模块制定冲突消解规则，规则推理模块生成冲突消解规则的访问控制结果；6、一致性检测模块检测冲突是否消解；7、策略规则生成模块生成可扩展访问控制标记语言策略规则。本发明对访问控制结果的冲突检测，具有检测效率高和自动化的优点。

摘要： 本发明提供了基于XACML的访问控制策略冲突检测方法，包括：步骤1、基于规则、策略以及策略集建立策略树；步骤2、根据建立的策略树和规则的效果建立索引结构；步骤3、获取待检测策略中的规则，将该规则与处于不同策略树中且效果相反的规则进行一一比较；步骤4、若比较结果为有交，则表示该规则对冲突，将该规则对存储到待输出队列，重复步骤3‑步骤4直至完成待检测策略中所有规则的比较，输出待输出队列中的所有规则对。本发明提出的方案采用全新的策略索引结构，基于表达式树比较，能实现复杂策略的冲突检测，并标记冲突产生的原因。用户可根据冲突标记，灵活配置消解策略冲突，实现高效精准的策略管控。

摘要： 本发明公开了基于XACML访问控制机制的Android应用访问控制代码生成方法，给定一个Android应用的功能实现代码，以及描述其行为和资源的访问控制需求的XACML策略、刻画其活动的UML活动图模型，能够为需要访问控制授权的行为和资源生成满足访问控制策略的代码，并插入到Android应用源代码中相应位置，使其成为一个完整的Android应用系统。本发明所述的方法使用XACML语言描述访问控制策略，可以更细粒度地对访问控制策略进行定义，对应用系统的访问控制需求可以进行更具体的描述。本方法通过生成访问控制代码的方式，实现了访问控制逻辑的产生和复用，降低了应用系统的开发人员的工作量和错误率。

摘要： 本发明公开一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块；跨域认证管理模块设在SAML处理服务器上，授权管理模块设在子系统XACML服务器上，机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上。该平台利用XACML对用户进行授权和访问控制，利用SAML跨域数据交互对用户进行身份认证。采用基于RBAC访问控制模型的XACML框架，通过读取用户的XACML文件来对用户权限进行限制，大大增强了对用户细粒度的授权。分布式系统中不同平台通过互相交换SAML信息来提供断言的方式，使得平台之间传输信息更加安全，数据传输量更少。

摘要： 本发明公开了一种扩展xacml访问控制的排序策略授权方法及系统，所述访法包括如下步骤：步骤一，定义并生成访问策略；步骤二，定义并生成管理策略，获得策略库；步骤三，将策略库中的策略按level值从大到小进行排序；步骤四，向xacml访问框架的策略判断点pdp提交访问请求；步骤五，搜索有序的策略库，返回level值最大的策略的判断结果，通过本发明，可提高授权策略的搜索效率。

摘要： 本发明公开了一种扩展xacml访问控制的排序策略授权方法及系统，所述访法包括如下步骤：步骤一，定义并生成访问策略；步骤二，定义并生成管理策略，获得策略库；步骤三，将策略库中的策略按level值从大到小进行排序；步骤四，向xacml访问框架的策略判断点pdp提交访问请求；步骤五，搜索有序的策略库，返回level值最大的策略的判断结果，通过本发明，可提高授权策略的搜索效率。