基于属性的访问控制模型及其在企业信息系统中的应用

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于属性的访问控制模型及其在企业信息系统中的应用范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要： 分析了基于属性的访问控制模型（ABAC）的工作原理及特点，并以在企业信息系统中的应用为例说明了该模型的有效性。

关键词： 基于属性的访问控制； 企业信息系统； 信息安全

中图分类号：TP309.2 文献标志码：A 文章编号：1006-8228(2012)05-39-02

Attribute-based access control and its application in enterprise information system

Han Daojun, Jia Peiyan, Ma Yuxiang

（Institute of Data and Knowledge Engineering, Henan University, KaiFeng, Henan 475004, China）

Abstract： The process and features of attribute based access control (ABAC) is analyzed, and the effect of ABAC by an example of applying ABAC in enterprise information system is explained.

Key words： attribute-based access control； enterprise information system； information security

0 引言

访问控制是一种常用的资源保护手段，在众多的信息系统中均需要使用这种重要的信息安全技术。访问控制的核心是授权策略。授权策略是用于确定一个主体是否对客体拥有访问能力的一套规则。在统一的授权策略下，得到授权的用户就是合法用户，否则就是非法用户[1]。企业信息系统是一种业务系统，主要处理企业运行过程中产生的各种信息。企业信息系统涉及到业务流程复杂、资源种类众多和用户数量巨大等问题，因此，人们对访问控制技术也更为关注。在现有的访问控制模型中，基于属性的访问控制模型（Attribute-based Access Control, ABAC）以一种统一的方式对访问控制的各个要素进行描述，使得系统的安全策略描述变得简单、清晰，引起了研究人员和工作人员的密切关注[2]。本文首先介绍ABAC模型的工作原理和特点，然后给出ABAC在企业信息系统中的应用过程和具体应用步骤，并进一步说明了该模型的有效性。

1 背景

ABAM用属性值元组来描述访问矩阵中行和列对应的主体和客体，并用关于属性的谓词来描述指令执行条件，通过指令来修改系统状态，然后在指令和属性满足某个特定条件下，确认ABAM的安全问题是可判定的[3]。在ABAM描述的基础上，可将其扩展至统一框架――基于属性的访问控制（ABAC）。ABAC表示能力较强，可以作为一种统一访问控制框架，且有相应的访问控制语言XACML提供支持[4]。

ABAC中的基本元素包括请求者，被访问资源，访问方法和条件。这些元素统一使用属性来描述，而且各个元素所关联的属性可以根据系统需要定义。属性概念的引入，可以将访问控制中对所有元素的描述统一起来，提供一种统一描述的框架。一种典型的ABAC框架如图1所示。

[AA][NAR][PEP][资源][访问][PDP] [PAP] [AAR][响应] [属性请求/响应] [策略][NAR：原始访问请求 AA：属性权威 AAR：基于属性访问请求

PEP：策略执行点 PDP：策略判定点 PAP：策略管理点]

图1 ABAC框架示意图

在ABAC中，一次访问控制判定过程描述如下。PEP接收原始访问请求(NAR)，然后根据NAR，利用不同的属性权威(AA)中存储的属性信息构建一个基于属性的访问请求(AAR)。AAR描述了请求者、资源、方法和环境属性。PEP将AAR传递给PDP，PDP根据从PAP处获取的策略对AAR进行判定，并将判定结果传给PEP，PEP执行此访问判定结果。

2 应用及分析

企业信息系统是伴随企业信息化过程而产生的业务系统。企业信息化实质上是将企业的生产过程、物料移动、事务处理、现金流动、客户交互等业务过程数字化，通过各种信息系统网络加工生成新的信息资源。显然，这些信息资源需要合理而受控地使用。例如，销售计划是一种信息资源，在系统的使用过程中需要对其进行保护，只能提供给有权限的人员进行操作和使用。假设销售计划的访问规则P1为销售部的人能够读取销售计划，则该控制规则如图2所示。

[Sales][Sale plans] [Read]

图2 一个访问控制规则示例

在使用ABAC的前提下，我们可以构造访问控制规则P1：PermitsCategory=Sales, aID=Read, rCategory=Sale plans。

对于系统中的访问控制规则库，可以将其存储在数据库或XML文件中。由于XML文件的可扩展性强，我们选用这种方式进行编码。对于P1，核心部分的代码如下。

function:rfc822Name-match">

XMLSchema#string">

Sale

names:tc:xacml:1.0:subject:subject-role"

DataType="urn:oasis:names:tc:xacml:1.0:data-type:rfc822Name"/>

resource-type" DataType="www.省略/2001/

XMLSchema#anyURI">

Sales Plan

action:action-id" DataType="www.省略/2001/

XMLSchema#string">

read

在系统的使用过程中，如果有访问请求，可以根据请求者的属性信息、访问对象及操作类型，构造访问控制请求。访问控制请求核心部分的代码如下。

subject:subject-role" DataType="urn:oasis:names:tc:xacml:

1.0:data-type:rfc822Name">

Sales

resource:resource-id"DataType="www.省略/2001/

XMLSchema#anyURI">

Sales Plan

action-id"DataType="www.省略/2001/

XMLSchema#string">

read

系统的访问控制功能模块经过处理后，可以产生访问控制应答结果，其代码如下。

Permit

根据以上的应答结果，可以得到该次请求被允许的信息，即系统允许该用户进行读取操作的信息。

3 结束语

访问控制技术是信息安全的一种常用手段，能够保障资源的合理与受控使用。基于属性的访问控制模型对访问控制的各个要素统一进行描述，使得访问控制的策略描述较为方便，并且易于在软件系统中使用。本文在分析ABAC模型工作原理的基础上，结合企业信息系统的特点，以一个规则的描述及使用过程为例说明了该模型的有效性。我们进一步的研究工作将结合应用场景，找出一种适合用于企业信息系统的策略冲突解决方法。

参考文献：

[1] 韩道军,高洁,翟浩良,李磊.访问控制模型研究进展[J].计算机科学,

2010.37(11):29~33

[2] 李晓峰,冯登国,陈朝武,房子河.基于属性的访问控制模型[J].通信学

报,2008.4:90~98

[3] ZHANG X, LI Y, NALLA D. An attribute-based access matrix

model[C].Proceedings of the 2005 ACM Symposium on Applied Computing,2005:359~363

[4] OASIS Standard[OL]. docs.省略/xacml/2.0/

access_control-xacml-2.0-core-spec-os.pdf.