19、基于属性图的访问控制策略转换方法

基于属性图的访问控制策略转换方法

在当今复杂的组织协作环境中，如何高效、安全地管理资源访问权限是一个关键问题。本文将介绍一种基于属性图的方法，用于将基于角色的访问控制（RBAC）策略转换为基于凭证的策略，以解决外部用户访问资源时的权限管理难题。

1. 背景与问题提出

假设 HapSys 是一家提供专业服务的公司，SkyCo 是其客户之一。HapSys 为参与 SkyCo 项目的员工添加了专门的角色，例如在 “Code Red” 和 “Blue Skies” 这两个项目中，不同的项目可能有不同的项目经理，他们对项目资源拥有不同的权限。而需求分析师、软件开发人员和系统测试人员可能会参与两个项目的部分工作，以确保分析、编码和测试的一致性。

现在，SkyCo 希望允许第三方组织 Test-it-Sys 的成员审查 “Blue Skies” 项目的测试结果，HapSys 同意了这一请求。如果为每个 Test-it-Sys 的用户分配一个 HapSys 系统的用户 ID 并添加到相应的角色中，当用户数量众多或有多个项目需要外部访问时，这将给 HapSys 带来管理上的困难。因此，我们需要一种更高效的方法，即通过将 HapSys 角色的属性映射到三个组织都认可的凭证属性，让 Test-it-Sys 的用户只需提交他们的凭证即可访问资源。

2. 预备知识

2.1 资源

每个组织实体都维护着一组可以与其他组织实体共享的资源。资源可以包括数据对象以及联盟实体提供的服务。每个资源都属于一个资源类型，通过资源类型层次结构进行组织。

• 资源类型定义 ：资源类型