超级会员免费看
跨组织访问控制模型管理与多源系统安全互操作性平台
在当今数字化时代,跨组织的协作与多源系统的交互变得日益频繁。然而,随之而来的访问控制模型异构性以及安全互操作性问题成为了亟待解决的挑战。本文将介绍两种解决方案,一是基于属性的访问控制(ABAC)架构,用于管理跨组织访问控制模型的异构性;二是ISER平台,用于确保多源系统之间的安全互操作性。
基于ABAC的跨组织访问控制架构
在跨组织协作中,不同组织可能采用不同的访问控制模型,这给资源的共享和访问带来了困难。为了解决这个问题,我们提出了一种基于ABAC的架构。
- ABAC层的作用
- 管理员可以根据采用的访问控制模型定义新的元素,如新角色、新任务等。
- 在服务提供者端,引入ABAC层来拦截每个传入请求,并根据内部访问控制模型允许或拒绝访问。
- 新的合同涉及在ABAC组件的策略中定义新规则,这些策略基于XACML(一种支持ABAC的基于XML的策略语言)定义。策略根据主体属性、资源属性和环境属性来定义访问规则。
- 授权流程
- ABAC层拦截组织之间的每一次通信,对调用提供的服务进行授权。
- 策略执行点(PEP)拦截SOAP消息,根据接收到的属性生成请求并发送到策略决策点(PDP)。
- PDP根据请求属性、收集的属性和定义的策略做出允许或拒绝的决策。为确保发起组织的身份,PEP可以通过参考身份存储或可信权威来检查主体属性(接收的令牌)的有效性
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
