技術領域

本發明屬于計算機技術領域，更進一步涉及計算機網絡安全技術領域中的一種可擴展訪問控制標記語言(eXtensible?Access?Control?Markup?Language，XACML)框架擴展系統及方法。本發明可用于網絡訪問控制系統中訪問控制結果的沖突檢測及沖突消解，生成可擴展訪問控制標記語言策略規則，以確保網絡訪問控制系統中授權用戶的正確訪問，同時拒絕非授權用戶的訪問。

背景技術

OASIS發布的可擴展訪問控制標記語言XACML可通過多種屬性類型定義細粒度的訪問控制規則，但屬性的細粒度化容易導致策略規則沖突，可擴展訪問控制標記語言XACML中給出了若干沖突消解算法，從結果可判定角度規避了策略規則沖突對訪問請求決策的影響，但其未能從管理角度分析造成沖突的細節原因，結果難以分析并容易造成權限泄漏。為了檢測和消解策略規則沖突，目前的方法主要是在策略判定之前對策略規則進行策略，對可擴展訪問控制標記語言XACML策略規則管理有如下方法：

中國科學院軟件研究所擁有的專利技術“一種XACML策略規則檢測方法”(申請號200810119404.7授權公告號CN100592315C)提出針對XACML策略規則進行了規則狀態定義、規則狀態相關性定義、沖突類型分析，并在此基礎上，建立了基于語義樹的策略索引并實施具體的XACML策略規則檢測。該方法的具體步驟是：第一，構建XACML策略規則分析的形式化模型；第二，制定XACML中的權限繼承和權限蘊含規則；第三，定義XACML中規則狀態的關系，分為狀態覆蓋、狀態相交或狀態無關；第四，通過描述屬性層次操作關聯類型；第五，建立基于資源語義樹的策略索引結構；第六，運行基于屬性層次操作關聯的沖突檢測算法；第七，運行基于狀態相關的其他類型沖突檢測算法。該專利技術存在的不足是：當一個網絡訪問控制系統中存在大量用戶和大量資源，需要制定大量訪問控制規則時，將每個規則中的屬性進行形式化過于復雜，并且生成的策略索引樹將很龐大，從而沖突檢測效率很低下。因此該方法只適用于擁有少量用戶和資源的網絡訪問控制系統中，只能檢測少量訪問控制規則之間的沖突，從而無法確保大量授權用戶的正確訪問和拒絕非授權用戶的訪問。

F.Huang,Z.Huang?and?L.Liu發表的論文“A?DL-based?method?for?access?control?policy?conflict?detecting”(Internetware,Beijing,China,2009,pp.1-5,ACM，USA)公開一種利用描述邏輯(Description?Logic，DL)將XACML策略規則形式化，利用推理工具的一致性檢測功能對形式化的策略規則進行檢測的方法。該方法的具體步驟是：第一，將XACML策略規則中的基本元素，如：Subject、Resource、Action和Effect元素及元素的屬性映射到描述邏輯中的概念及概念之間的關系；第二，將每一個XACML策略規則相應映射為描述邏輯策略規則實例；第三，利用推理機的實例一致性檢測功能對規則實例進行檢測。該方法存在的不足是：由于描述邏輯缺乏足夠支持訪問控制規則語義的描述能力，當一個訪問控制系統需要對擁有多個屬性的授權用戶進行訪問控制，需要制定細粒度的訪問控制規則時，用描述邏輯描述策略規則實例將很復雜，從而無法確保網絡訪問控制系統中擁有多屬性的授權用戶的正確訪問。

綜上所述，目前的現有技術是將已制定好的XACML策略規則形式化后再進行沖突檢測的方法，由于形式化方法的復雜性，只適用于檢測少量訪問控制規則之間的沖突，而用于檢測大量訪問控制規則之間的沖突時，檢測的效率很低下，且很容易檢測不出沖突，從而容易導致授權給用戶的權限不一致和未授權用戶的非法訪問。由于描述邏輯缺乏足夠支持訪問控制規則語義的描述能力，當一個訪問控制系統需要根據用戶的多個屬性進行決策時，基于描述邏輯無法描述細粒度的訪問控制規則，從而無法檢測出細粒度的訪問控制規則之間的沖突，容易導致網絡訪問控制系統中權限的泄漏。

發明內容

本發明的目的在于針對上述現有技術的不足，提出一種網絡訪問控制中擴展XACML框架系統和方法，將可擴展訪問控制標記語言XACML框架中的策略管理點PAP進行擴展，以確保網絡訪問控制系統中授權用戶的正確訪問，同時拒絕非授權用戶的訪問。