16、增强 XACML 以实现连续使用控制功能的提案

于 2025-10-30 14:00:45 发布
阅读量17 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网格与服务计算前沿 文章标签: XACML UCON 连续使用控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jupyter5notebook/article/details/154437556

增强 XACML 以实现连续使用控制功能的提案

1 引言

过去十年,基于属性的访问控制优势凸显,其访问决策依据请求主体、访问对象以及计算系统运行环境的属性。传统授权场景假定属性随时间不变,授权条件仅在访问前检查一次,访问进行时也保持有效。

为表达更全面的使用场景,研究人员提出了 UCON 模型,该模型强调属性的可变性以及策略执行的连续性,对于长时间访问(如网格计算中的计算服务)尤为重要。近年来,UCON 作为最具表现力的基于属性的访问控制模型备受关注。

XACML 是 OASIS 标准,用于在分布式环境中表达、组合和管理访问控制策略。它具有可扩展性和互操作性,广泛应用于各种应用和环境中,但目前仅能表达传统访问控制。

有研究指出 XACML 需要扩展以实现访问决策的连续性,虽有尝试用 XACML 实现连续策略执行,但多关注架构和策略执行机制,对表达 UCON 模型的策略模型关注较少。本文提出了 U - XACML 策略语言,旨在增强 XACML 以融入 UCON 的新特性。

2 背景

2.1 UCON

UCON 是一种新颖的访问控制模型,用于解决现代分布式环境中的问题,具有两个显著特点:
- 属性可变性 :属性会随时间变化,由于属性用于访问决策评估,因此每当属性值发生变化时,策略声明都应重新评估。
- 策略执行连续性 :不仅在请求访问对象时执行安全策略,在实际使用对象时也需持续评估。对于长时间访问,如网格服务,这种连续评估至关重要。若使用过程中属性变化违反安全策略,访问将被撤销,资源使用终止。

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
12、基于XACML使用控制策略执行原型
pz890123456的博客
07-15 37
本文介绍了一种基于XACML使用控制策略执行原型,通过增强标准XACML语言实现使用控制(Usage Control)的完整支持。原型引入了U-XACML策略模式,新增了表达条件和义务评估时间的结构,同时设计了属性检索策略机制,用于动态捕获可变属性的变化并触发策略重新评估。系统架构包括策略决策点(PDP)、策略执行点(PEP)、策略信息点(PIP)、使用监视器(UM)等关键组件,实现了对云IaaS场景中虚拟机操作的细粒度访问控制。文章还分析了该原型在实际应用中的优势、挑战及未来发展方向。
深入了解ABAC与XACML在访问控制中的应用
weixin_35755562的博客
05-16 432
本文深入探讨了基于属性和策略的访问控制(ABAC与PBAC),以及XACML语言在构建灵活且多维的访问控制策略中的关键作用。文章通过分析角色层次结构、策略决策流程以及XACML的规则定义,阐释了ABAC如何通过复杂规则集管理不同环境特征下的资源访问,并强调了政策的版本控制和管理对于确保系统安全的重要性。
22、扩展 XACML 访问控制架构:实现基于细粒度偏好的访问控制
a1b2c的博客
10-23 14
本文提出了一种扩展XACML架构的解决方案,以实现基于细粒度偏好的访问控制,满足欧洲数据保护法规对个人数据使用的合规要求。通过引入属性授权机构(AA)及其子组件,将隐私偏好管理与访问决策分离,在保障数据主体对个人数据控制权的同时,确保PDP仅获取必要决策信息而不泄露敏感数据。系统利用AAPML合同协商机制规范数据使用行为,并通过加密机制安全传输数据。该方案兼容现有IAM系统,具有模块化、可扩展的特点,未来将进一步支持对多数据主体的访问请求管理。
xacml_使用XACML控制信息访问
cuyi7076的博客
06-22 2918
在有关XML安全性的系列的最后一篇文章中,我介绍了安全性断言标记语言(SAML)。 关于可扩展访问控制标记语言(XACML)的文章从该文章的开头继续。 尽管SAML提供了一种进行身份验证和授权声明的机制以及一种传达它们的机制,但是XACML提供了一种语言,该语言定义了做出必要的授权决策所需的规则。 例如,考虑一种情况,即主体请求访问目标资源。 在执行决策并将目标资源释放给主体之前,策略执行...
44、XACML 中的策略实现
study的专栏
07-22 34
本文详细介绍了在XACML实现策略的多个核心组件,包括policy.Impl包、Credential包、Obligations包和StickyPolicy包。通过这些包和类的设计,可以灵活定义和管理数据访问策略,满足不同场景下的数据安全与隐私保护需求。文章还通过mermaid流程图展示了义务的触发执行过程和整体策略实现的主要流程,为实际应用提供了理论与技术支持。
软考高级-系统架构师-访问控制XACML与RBAC
孤夜的博客
10-09 1127
本篇博文主要记录软考高级系统架构师考试访问控制XACML与RBAC的学习总结。
35、基于XACML的访问控制管理计算模型
quiet的专栏
10-03 18
本文提出了一种基于XACML的访问控制管理计算模型,通过引入具有组件和团队级过滤的并行多重集字符串处理器的分层网络(HctNPMPF0L系统),形式化地支持XACML中的规则组合策略,特别是Deny-overrides和Permit-overrides机制。文章定义了系统状态转换、信息增长与通信函数,并证明其动态行为可由D0L发展系统建模。该模型为信息系统中的访问控制提供了理论基础和形式化分析工具,适用于云计算、物联网等复杂环境下的安全策略实现与优化。
16、数据使用控制:保障数据主权与安全的数据经济之道
pluto的博客
07-10 72
本文探讨了在数据密集型商业环境中,如何通过数据使用控制保障数据主权与安全,推动数据经济的发展。文章分析了传统访问控制的局限性,并介绍了以数据为中心的使用控制机制,涵盖其组件、流程、相关技术和未来发展方向,为企业实现数据主权提供了全面的技术实现思路。
21、多派对等内容认证与XACML访问控制架构扩展
a1b2c的博客
10-22 12
本文提出了一种多派对等内容认证协议的形式化分析框架,并基于博弈论证明了该协议在无可信第三方情况下的理性与合作稳定性。同时,为满足数据主体对个人可识别信息的细粒度控制需求,文章扩展了XACML访问控制架构,引入属性授权机构(AA)以实现基于存储偏好的动态授权机制。该方案确保隐私偏好与个人数据的绑定管理,防止访问控制组件直接接触敏感信息,从而提升隐私保护能力。通过理论分析与架构设计,本文为自组织对等网络中的安全文件共享与合规数据使用提供了可行的技术路径。
增强XACML连续使用控制特性的方案
### 增强XACML连续使用控制特性的方案 #### 1. 引言 过去十年,基于属性的访问控制优势凸显,访问决策依据请求主体、访问对象以及计算系统运行环境的属性。传统授权场景假定属性随时间不变,授权条件只需在访问前...
使用XACML策略实现网络访问控制服务
### XACML在网络访问控制中的应用:策略定义与实施 #### 1. 引言 近年来,策略规范语言的关注度日益提升,在安全、网络管理、工作流模型等...本文将介绍如何使用XACML定义基于AAA架构和SAML的网络访问控制场景(NAS -
nvidia-docker离线安装包
11-25
安装顺序 dpkg -i libnvidia-container1_1.13.5-1_amd64.deb dpkg -i libnvidia-container-tools_1.13.5-1_amd64.deb dpkg -i nvidia-container-toolkit-base_1.13.5-1_amd64.deb dpkg -i nvidia-container-toolkit_1.13.5-1_amd64.deb dpkg -i nvidia-docker2_2.13.0-1_all.deb dpkg -i nvidia-container-runtime_3.13.0-1_all.deb
触点云 iOS 联动交互控制
11-25
智慧社区中主要分业主与访客,业主可以通过集成该SDK的手机APP,轻松且安全的出入社区大门及楼栋相对应的大门。业主的车及访客的车进入小区都可以通过集成该SDK的手机APP进行进出小区的相应预约设置。如果想进一步了解触点云业务或者购买我们公司的智能设备的可以登录[泛达集团官网](http://www.farbell.com.cn/ "泛达集团官网")或[触点云开放平台](http://open.trudian.com/web/#/ "触点云开放平台")。 ## 业务场景 ### 家庭管理使用场景 管理家庭成功,让每个家庭成员也有同等的业务功能。如果你的房子用于出租,则有房东与租客关系,利用家庭管理关系租客在正常租房时可以有相应开门权限,当退租的时候。则不能使用原有的权限。 ### 增值服务使用场景 提供平台给业主二手物品交易,提供房屋买卖平台和推荐获收益渠道 ### 积分商场使用场景 让业主足不出户就能优惠的购买的日常需要的物品,同时与周边的餐饮店合作提供优惠的价格给业主。
【电能质量扰动】基于ML和DWT的电能质量扰动分类方法研究(Matlab实现
11-25
【电能质量扰动】基于ML和DWT的电能质量扰动分类方法研究(Matlab实现)内容概要:本文研究了一种基于机器学习(ML)和离散小波变换(DWT)的电能质量扰动分类方法,并提供了Matlab实现方案。首先利用DWT对电能质量信号进行多尺度分解,提取信号的时频域特征,有效捕捉电压暂降、暂升、中断、谐波、闪变等常见扰动的关键信息;随后结合机器学习分类器(如SVM、BP神经网络等)对提取的特征进行训练与分类,实现对不同类型扰动的自动识别与准确区分。该方法充分发挥DWT在信号去噪与特征提取方面的优势,结合ML强大的模式识别能力,提升了分类精度与鲁棒性,具有较强的实用价值。; 适合人群:电气工程、自动化、电力系统及其自动化等相关专业的研究生、科研人员及从事电能质量监测与分析的工程技术人员;具备一定的信号处理基础和Matlab编程能力者更佳。; 使用场景及目标:①应用于智能电网中的电能质量在线监测系统,实现扰动类型的自动识别;②作为高校或科研机构在信号处理、模式识别、电力系统分析等课程的教学案例或科研实验平台;③目标是提高电能质量扰动分类的准确性与效率,为后续的电能治理与设备保护提供决策依据。; 阅读建议:建议读者结合Matlab代码深入理解DWT的实现过程与特征提取步骤,重点关注小波基选择、分解层数设定及特征向量构造对分类性能的影响,并尝试对比不同机器学习模型的分类效果,以全面掌握该方法的核心技术要点。
小爱课程表适配教程[源码]
最新发布
11-25
本文详细介绍了如何适配新版小爱课程表与正方教务系统课表,包括安装开发者工具、分析文档、编写代码(provider.js、parser.js、timer.js)以及处理特殊课程情况(如专修课、个人课表、多周循环课程)。文章提供了完整的代码示例和解析方法,帮助开发者快速实现课表适配。通过本文的指导,读者可以轻松完成小爱课程表与教务系统的对接,提升课表管理的便捷性。
51单片机c源码-非门数字芯片测试
11-25
51单片机c源码-非门数字芯片测试
Python创建3D水循环模型[可运行源码]
11-25
本文介绍了如何使用Python的科学计算库NumPy和可视化库Matplotlib来创建一个3D水循环模型。通过示例代码展示了如何生成数据并利用Matplotlib的3D绘图功能进行可视化。代码中使用了numpy生成线性空间数据,并通过数学函数计算x、y、z坐标,最终使用mpl_toolkits.mplot3d的Axes3D模块进行3D绘图。这为想要学习Python科学计算和3D可视化的读者提供了一个实用的入门示例。
51单片机c源码-实用密码锁
11-25
51单片机c源码-实用密码锁
XACML在CAS访问控制中的应用与实现
"这篇论文探讨了如何在CAS(Central Authentication Service)系统中应用基于XACML(eXtensible Access Control Markup Language)的访问控制模型,以增强其安全性和灵活性。作者王子才等人提出了一种整合方案,通过...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值