技術領域

本發明涉及一種用于網絡內的接入控制的方法，特別地，一種用于對象對網絡資源的接入的控制的方法，其中，PEP(策略執行點)向PDP(策略決定點)發送要評估的接入請求，以及，PDP可以向PEP發送可包含至少一個職責的應答。此外，本發明涉及一種網絡，其中，提供了接入控制，特別地，對象對網絡資源的接入的控制，其中，PEP(策略執行點)向PDP(策略決定點)發送要評估的接入請求，以及，PDP可以向PEP發送可包含至少一個職責的應答。

背景技術

近年來，OASIS(結構化信息標準促進組織)XACML已經成為接入控制策略語言的規范的最公認標準以及接入控制的通用框架。OASISXACML的細節可從OASIS?eXtensible?Access?Control?Markup?Language(XACML)Version?2.0，Final?Version，Errata?of?Jan?29?2008中獲得。盡管對于接入控制自身來說策略語言足夠靈活以涵蓋諸如基于核心和分級角色的接入控制之類的方案，但是忽視了對職責(obligation)的處理。盡管這是很重要的問題，尤其是對于支持數據流的隱私和高級追蹤來說。作為示例，職責可以迫使接入單元以將特定加密用于數據持續問題，或確保在給定的時間幀內執行特定動作。這可從Q.Ni，E.Bertino，J.Lobo，An?obligation?model?bridging?access?control?policies?and?privacy?policies，Proceedings?of?the?13?ACM?symposium?on?Access?Control?Models?and?Technologies(SACMAT08)，pp?133-142以及C.Bettini，S.Jajodia，X.Wang，and?D.Wijesekera.Obligation?monitoring?in?policy?management.In?3rd?Internation?Workshop?on?Policies?for?Distributed?Systems?and?Networks(POLICY?2002.)，IEEE?Computer?Society中獲得。

盡管職責的重要性是公認的，但仍有兩個主要方面未被涵蓋。

第一，目前不存在一種用于以通用方式指定在策略執行點(PEP)與策略決定點(PDP)之間交換的職責的方法。因此，在目前現有的解決方案中，僅使用專用和固定語言來表達潛在的職責。即使在OASIS?XACML標準中，也僅假定PEP認知由PDP在收到接入請求時返回的職責并知道如何正確地實現這些職責。如果PEP未認知職責，則XACML標準僅假定請求被拒絕。因此，僅可以在運行時檢測到PDP與PEP之間的不兼容性，即使這時，也不清楚是否某時可能出現未知的職責。該問題在分布式環境中甚至更嚴重，在分布式環境中，PDP和PEP不是由相同的組織實體來實現或控制的。

第二，在適用于特定請求的各種策略下，必須應用組合算法。由于根據XACML標準不對職責進一步檢查，因此仍以簡單的方式對所附的職責進行處理，其中，XACML標準可從OASIS?eXtensible?Access?Control?Markup?Language(XACML)Version?3.0，Working?draft?05?of?10?October2007，sec?7.14獲得。將具有相同的有效效果且屬于所評估的策略的所有職責返回至PEP。甚至不考慮職責之間的沖突，從而不進行檢測。

通過標準化團體限制所支持的職責的集合不是針對動態非均勻環境的解決方案。因此，這僅適用于封閉且明確定義的應用環境。

發明內容

本發明的目的是改進并進一步開發一種用于網絡內的接入控制的方法以及一種用于允許有效地處理職責(尤其是在具有獨立的PDP和PEP的分布式環境內)的相應網絡。

根據本發明，上述目的是利用包括權利要求1的特征的方法和包括權利要求27的特征的網絡來實現的。根據權利要求1所述的方法的特征在于，使用元語言來規定職責。

根據權利要求27所述的網絡的特征在于，定義元語言來規定職責。