xacml_使用XACML控制信息访问

最新推荐文章于 2022-10-09 19:40:46 发布
最新推荐文章于 2022-10-09 19:40:46 发布
阅读量2.6k 收藏 11
点赞数 1
文章标签: 算法 python java 编程语言 人工智能
原文链接:https://www.ibm.com/developerworks/xml/library/x-xacml/index.html
版权

xacml

在有关XML安全性的系列的最后一篇文章中,我介绍了安全性断言标记语言(SAML)。 关于可扩展访问控制标记语言(XACML)的文章从该文章的开头继续。 尽管SAML提供了一种进行身份验证和授权声明的机制以及一种传达它们的机制,但是XACML提供了一种语言,该语言定义了做出必要的授权决策所需的规则。

例如,考虑一种情况,即主体请求访问目标资源。 在执行决策并将目标资源释放给主体之前,策略执行点(PEP)与策略决策点(PDP)进行检查。 访问目标资源的请求的生成以及随后的授予或拒绝访问的响应属于SAML的范围。 XACML解决了PEP和PDP之间的策略决策交换。

访问控制和XACML

XACML是为访问控制和授权系统开发标准的一项举措。 当前大多数系统以专有方式实现访问控制和授权。

典型的访问控制和授权方案包括三个主要实体- 主题资源操作 -及其属性。 主题请求许可以对资源执行操作。 例如,在访问请求“允许财务经理在财务服务器上的发票文件夹中创建文件”中,主题为“财务经理”,目标资源为“财务服务器上的发票文件夹”,并且操作是“创建文件”。

在专有的访问控制系统中,有关这些实体及其属性的信息保存在存储库中。 这些存储库称为访问控制列表(ACL)。 不同的专有系统具有不同的实现ACL的机制,这使得它们之间难以交换和共享信息。

XACML目标

XACML旨在实现以下目标:

  • 创建描述访问控制实体及其属性的可移植标准方法。
  • 提供一种机制,它提供了比简单地拒绝或授予访问权限更精细的粒度访问控制,即一种可以在“允许”或“拒绝”许可权之前和之后执行某些操作的机制。

XACML和SAML:有何不同和相似之处?

XACML架构与SAML架构紧密相连。 它们都共享许多概念和一个域-身份验证,授权和访问控制的域。 但是,它们在同一域中解决的问题有所不同。 尽管SAML解决了身份验证并提供了在合作实体之间传输身份验证和授权决策的机制,但是XACML专注于用于获得那些授权决策的机制。

SAML标准提供了允许第三方发送其身份验证和授权请求的接口。 XACML标准解决了内部如何处理这些授权请求。 XACML不仅处理授权请求,而且定义了用于创建规则,策略和策略集的完整基础结构以得出授权决策的机制。 我将在XACML中详细讨论这些概念:螺母和螺栓

鉴于SAML和XACML都共享同一个域,因此很有可能并希望将这两个规范最终合并为一个。

XACML架构

XACML由图1中描述的许多组件组成。 其中一些组件也与SAML共享。 共享的组件用红色边框标记。

图1. XACML主要组件
XACML体系结构和主要组件

授权请求位于策略执行点(PEP) 。 PEP创建一个XACML请求,并将其发送到Policy Decision Point(PDP) ,后者对请求进行评估并发送回响应。 在适当的义务下,响应可以是允许访问或拒绝访问。 我将在本文后面解释义务。

PDP在评估相关政策和其中的规则后做出决定。 可能有许多策略:PDP不会评估所有策略; 根据政策目标,仅选择相关的评估。 策略目标包含有关主题,操作和其他环境属性的信息。 稍后在“ 策略目标创建”中说明如何通过PDP选择策略进行评估的完整过程。

为了获得策略,PDP使用策略访问点(PAP)来编写策略和策略集,并将其提供给PDP。 PDP还可以调用策略信息点(PIP)服务来检索与主题,资源或环境有关的属性值。 PDP得出的授权决定将发送到PEP。 PEP履行义务,并且根据PDP发送的授权决定,允许或拒绝访问。

XACML:螺栓和螺母

为了说明各种XACML组件,我将向您展示如何接受特定的访问请求并创建处理该请求所需的所有XACML组件。 访问请求如下:属于owner组(主题的属性)的主题mverma@secf.com试图对资源file:///D:/Documents/Administrator/Desktop/Project Plan.html执行open操作file:///D:/Documents/Administrator/Desktop/Project Plan.html 。 创建所有必需的XACML组件之后,您应该获得此请求的授权决定。

请记住,XACML具有三个顶级组件:策略,PEP和PDP。 为定义的请求创建XACML基础结构的过程仅围绕这三个组件。 图2中的图说明了这些组件如何相互链接:

图2.策略语言模型
政策语言模型

您需要做的第一件事是创建一个处理请求的策略。

XACML政策

策略包括:一组规则,用于规则组合算法的标识符,一组义务和一个目标。 到目前为止,这是XACML的最重要方面。 XACML中的大多数操作都发生在策略中。

我将向您展示如何创建可以处理请求的策略-策略的范围需要比请求的范围更广。 您将创建的策略将如下所示:允许secf.com命名空间中具有电子邮件名称的任何用户对资源file:///D:/Documents/Administrator/Desktop/Project Plan.html执行任何操作file:///D:/Documents/Administrator/Desktop/Project Plan.html 。 请注意,该策略比请求更通用。

规则组合算法

规则组合算法将策略中所有规则的效果组合在一起,以得出最终的授权决策。 XACML定义了以下规则组合算法(您也可以定义自己的算法):

  • 拒绝覆盖:
最低0.47元/天 解锁文章
cuyi7076
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网格服务中基于XACML和SAML的安全访问控制
10-20
为了解决网格环境下资源访问控制存在的安全性问题,...模型采用可扩展访问标记语言XACML描述访问控制的授权策略,以SAML声明为载体传递用户认证和授权信息,提供安全、细粒度的访问控制,具有较高的灵活性和可扩展性。
xacml简介和优点
12-01
xacml简介和优点
XACML简介
热门推荐
yanick技术博客
07-15 1万+
1.1 基本概念本节介绍Web服务访问控制中的如下一些基本概念。(1)主体(Subject)主体即请求对某种资源执行某些动作的请求者。(2)资源(Resource)资源即系统提供给请求者使用的数据、服务和系统组件。(3)策略(Policy)策略是一组规则,规定主体对资源使用的一些要求,多个策略组合形成策略集(Policy Set)。(4)策略执行点(Policy Enforcement Point
云中的XACML
danpu0978的博客
04-16 243
可扩展访问控制标记语言 (XACML)是事实上的授权标准。 该规范定义了一种架构 (请参见右图),该架构关联了组成基于XACML的系统的不同组件。 这篇文章探讨了更适合在云中使用的标准体系结构的一种变体。 云端授权 在云计算中 ,多个租户 共享他们通过网络到达的相同资源 。 当然,必须使用策略执行点 (PEP)保护进入云的入口点。 由于XACML实现了基于属性的访问控...
XACML知识初识
YoungLee16的博客
09-22 9881
XACML(可扩展的访问控制高标识语言)简单概述(百度百科): 文章中更多采用的是从网上整理的资料,因为刚刚学习,所以自己的见解很少,日后会更. XACML是一种用于决定请求/响应的通过访问控制策略语言和执行授权策略的框架,他在传统的分布式环境中北广泛用于访问控制策略的执行.在典型的访问控制框架中,有策略执行点(PEP)(Policy Enforcement Point)和策略决定点PDP
ABAC相关标准在数据服务中的应用—— XACML与NGAC的分析比较
Enlink_Young的博客
09-24 697
XACML与NGAC很相似,它们都提供灵活的、与机制无关的、不同粒度的策略规则表示,并且它们都通过属性来计算决策。但是,XACML和NGAC在策略的表达、属性的处理、决策的计算和请求的表示上有很大的不同。本节主要从访问控制功能与专有操作环境的分离度以及NIST SP 800-162中提及的4个ABAC考虑因素(支持策略的范围和类型、运行效率、属性和策略管理,对审查和资源发现的支持),来分析了这些异同。 为了进行比较,本文对XACML和NGAC的一些术语进行了统一。 1 访问控制与专有操作环境的
Xacml.rar_XACML_clearhistory.r_sunxacml_xacml ja
09-24
**XACML(eXtensible Access Control Markup Language)**是一种标准的权限访问控制语言,用于定义和实施基于策略的访问控制。它是由OASIS(Organization for the Advancement of Structured Information Standards...
XACML.rar_XACML
09-20
XACML,全称为eXtensible Access Control Markup Language,是一种标准的权限访问控制语言,用于定义、评估和管理组织的访问控制策略。这个“XACML.rar_XACML”压缩包包含了一系列与XACML相关的源代码文件,特别是与...
论文研究-SAML和XACML相结合的Web服务访问控制模型 .pdf
08-22
SAML和XACML相结合的Web服务访问控制模型,赵玲,许峰,访问控制安全是Web服务安全体系结构中至关重要的一部分。本文对SAML和XACML相关规范进行研究,将二者结合实施访问控制,构造了一个应
XACML实例和中文说明文档
07-24
代码直接导入Myeclipse就能运行, 运行 TestPDP文件即可得到结果
sun's xacml
09-19
sun's xacml project 一个基于java的xacML工程
XACML策略语言规范
01-24
XACML规范XACML规范XACML规范XACML规范XACML规范XACML规范XACML规范XACML规范XACML规范XACML规范
论文研究-基于AC的XACML访问控制模型的设计及实现.pdf
07-22
通过分析传统访问控制模型及其实现机制的优缺点,提出了一种基于AC证书的XACML访问控制模型及其实现方法,并对模型的安全性进行了分析。
软考高级-系统架构师-访问控制XACML与RBAC
孤夜的博客
10-09 879
本篇博文主要记录软考高级系统架构师考试访问控制XACML与RBAC的学习总结。
XACML demo
美丽世界的孤儿
06-05 518
sample policy http://localhost:8280/services/echo/
xacml开源代码
石头
09-22 1934
pam_xacml the extensible access control markup language (xacml) allows for generic access control policies in ... pam_xacml provides
XACML简介(beegee译稿)
01-17 1058
引文:http://blog.csdn.net/beegee/archive/2004/09/15/105935.aspx总结:1.XACML(eXtensible Access Control Markup Language),即可扩展的访问控制高标记语言(OASIS组织)2.主要功能: 1)描述访问控制策略  2)描述判断访问控制的请求和应答方法3.PEP根据请求者的属性、请求资源、动作以
策略描述语言,XACML是什么,使用实例
最新发布
04-19
使用XACML,可以描述哪些用户可以访问哪些资源、以及在何种情况下可以访问这些资源,通过定义一系列属性,它可以实现高灵活性和精细的访问控制。一个简单的使用实例是,假设我们有一个系统,其中有两种角色:管理员和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值