亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        聯(lián)盟環(huán)境下基于屬性存取的跨域認證授權(quán)機制

        2018-10-25 11:06:56劉其群
        計算機時代 2018年9期
        關(guān)鍵詞:服務(wù)策略隱私

        摘 要: 在隱私得到保護的前提下,為了解決位于不同自治域的主體之間動態(tài)地交換數(shù)據(jù)和實現(xiàn)資源共享的問題,提出了一個基于屬性的授權(quán)機制。該機制依賴于信任的第三方或聯(lián)盟中心,對位于各組織中的主體和對象的屬性進行映射,以屬性集合作為主體的代表,確保不同組織的屬性集合具有一致的存取權(quán)限。在本機制中給出了跨域?qū)傩杂成涞哪P秃头?wù)策略,并結(jié)合模型給出其工作流程,實現(xiàn)跨安全域的身份驗證并進行授權(quán)。

        關(guān)鍵詞: 隱私; 授權(quán)機制; 聯(lián)盟中心; 屬性映射; 服務(wù)策略

        中圖分類號:TP309.2 文獻標(biāo)志碼:A 文章編號:1006-8228(2018)09-14-03

        Abstract: In order to solve the problem of being able to exchange data and share resources dynamically under the premise of protecting privacy between subjects located in different autonomous domains, an attribute-based authorization mechanism is proposed. The mechanism relies on a trusted third party or federation center to map the attributes of the principals and objects located in each organization, with the attribute set as the representative of the subjects, ensuring that the attribute sets of different organizations have consistent access rights. In this mechanism, the cross-domain attribute mapping model and the service strategy are given, and the workflow is given according to the model. Authentication and authorization about the cross-security domain are implemented.

        Key words: privacy; authorization mechanism; federation center; attribute mapping; service strategy

        0 引言

        針對不同的應(yīng)用環(huán)境,采用不同的訪問控制策略,訪問控制技術(shù)一直是信息領(lǐng)域的研究熱點,主要包括自主訪問控制DAC、強制訪問控制MAC、基于角色的訪問控制RBAC和基于任務(wù)的訪問控制TBAC。

        其中基于角色的訪問控制RBAC,通過在用戶和權(quán)限之間引入角色,將用戶和角色聯(lián)系起來,能夠降低管理的復(fù)雜性和管理成本,通過對角色授權(quán)來控制用戶對系統(tǒng)資源的訪問[1-2]。RBAC目前在授權(quán)管理領(lǐng)域有較為廣泛的應(yīng)用,但存在著無法解決跨域多應(yīng)用系統(tǒng)高效統(tǒng)一授權(quán)問題[3]。

        為了解決跨域應(yīng)用系統(tǒng)的授權(quán)問題,我們基于RBAC原理,結(jié)合基于屬性的訪問控制[4],給出了聯(lián)盟環(huán)境下基于屬性存取的跨域認證授權(quán)機制。該機制在基于用戶角色的基礎(chǔ)上,根據(jù)主體所擁有的屬性及與當(dāng)前策略相關(guān)的環(huán)境條件,實現(xiàn)對訪問者進行統(tǒng)一授權(quán)控制的策略。

        1 架構(gòu)設(shè)計

        1.1 總體架構(gòu)

        聯(lián)盟環(huán)境下基于屬性存取的跨域認證授權(quán)機制涉及到多個自治域,每個自治域有各自的用戶、資源和屬性,能夠?qū)τ騼?nèi)用戶進行獨立的認證和授權(quán),系統(tǒng)總體架構(gòu)如圖1所示。其中D0代表認證授權(quán)機制的協(xié)調(diào)中心/聯(lián)盟中心,D0本身為一個安全自治域,主要負責(zé)資源/服務(wù)的組合與構(gòu)建、資源訪問權(quán)限和不同自治域?qū)傩孕畔⒅g的映射。Di(0

        D0在物理結(jié)構(gòu)上可位于任一Di中,但在邏輯上是一個獨立的組織。

        1.2 單域數(shù)據(jù)模型

        用戶得到授權(quán)后可以訪問聯(lián)盟組織內(nèi)的共享資源。當(dāng)用戶訪問聯(lián)盟組織內(nèi)本域的資源時,這是一個典型的單域訪問控制架構(gòu),此時用戶、服務(wù)和資源被同一個管理者所控制,其屬性存取控制模型架構(gòu)如圖2所示。

        從圖2中可以看出單域存取控制模型是一個標(biāo)準(zhǔn)的(U,R,A,Op,Ob)五元組,其中U代表用戶子集,R代表角色子集,A代表角色擁有的屬性子集,Op代表操作集,Ob代表對象子集。

        設(shè)單域環(huán)境下基于屬性/權(quán)限的分配策略為PR、權(quán)限集為Pe,則:

        Pe?2(OpХOb) 其中Х為笛卡爾積操作。

        PR=(U,A,Pe)

        設(shè)屬性集A'?2A,即{A'|A'?A},自治域內(nèi)屬性/權(quán)限分配 AP?A'ХPe,設(shè)a1,a2為A的兩個元素,如果({a1,a2},P)∈AP,則表示擁有屬性集合{a1,a2}的實體擁有權(quán)限P。

        1.3 多域數(shù)據(jù)模型

        當(dāng)用戶通過聯(lián)盟中心訪問本聯(lián)盟中外域的資源時,用戶、屬性、服務(wù)/資源和分配策略分別被不同的管理者所控制。用戶首先進行本地認證,再通過協(xié)調(diào)中心的屬性映射來實現(xiàn)跨域資源存取,其屬性存取控制模型架構(gòu)如圖3所示。

        2 機制的實現(xiàn)

        2.1 系統(tǒng)實現(xiàn)

        2.1.1 問題分析與定義

        參與跨域數(shù)據(jù)共享的所有自治域構(gòu)成一個集合D,D={D0,D1,D2,...,DN},其中D0代表協(xié)調(diào)中心。

        設(shè)多域數(shù)據(jù)模型由N個自治域組成,Di(0

        2.1.2 相關(guān)服務(wù)策略

        對每個自治域而言,它們都是身份提供者IDP和資源提供者SP的統(tǒng)一體。

        對每個IDP來說,它是一個(U,A,P)的三元組,U、A、P的定義同上,其中P=(U,A),表示具有屬性A的用戶被賦予操作權(quán)限P;UA?(UXA)表示用戶U具有屬性A;AP?(AXP) 表示從屬性到權(quán)限的映射。

        對每個SP而言,它是一個(A,Op,Ob)的三元組,AS?(AXS) 表示從屬性到服務(wù)的映射,在多域環(huán)境下,假設(shè)域集合用D_total表示、屬性集合用A_total表示、操作對象集合用Ob'表示、權(quán)限集合用Pe'表示、整個聯(lián)盟環(huán)境下訪問控制機制的屬性/權(quán)限集相關(guān)策略用AP'表示,Op各域一致,則有:

        2.1.3 跨域?qū)傩杂成?/p>

        由于聯(lián)盟環(huán)境下各個自治域之間的屬性是相互透明的,本機制通過協(xié)調(diào)中心來建立各域?qū)傩灾g的映射。

        跨域?qū)傩杂成涞木唧w實現(xiàn)如下:

        將域Di中的屬性Aa映射到域Dj中的屬性Ab上,從而使域Di中的屬性Aa和域Dj中的屬性Ab具有相同的屬性值時具有相同的權(quán)限。

        2.2 工作流

        通過前面的定義和分析,結(jié)合系統(tǒng)的實現(xiàn),一個正常的跨域授權(quán)服務(wù)工作流程如圖4所示主要包含以下幾個步驟。

        ⑴ 用戶向目標(biāo)域中的資源發(fā)出訪問申請。

        ⑵ 系統(tǒng)通過發(fā)現(xiàn)服務(wù)將用戶重新定向到用戶所在安全域進行認證[6]。

        ⑶ 通過認證的用戶,將一個含有本地屬性的令牌發(fā)送到協(xié)調(diào)中心。

        ⑷ 協(xié)調(diào)中心通過屬性映射,將包含有新屬性的外地令牌傳送到目標(biāo)域。

        ⑸ 目標(biāo)域結(jié)合本地策略和環(huán)境條件對屬性進行驗證。

        ⑹ 如果通過驗證,則允許用戶訪問資源。

        3 結(jié)束語

        本文研究了聯(lián)盟環(huán)境下多自治域之間資源訪問控制問題,考慮到各個安全域的獨立性和用戶隱私等特點,在單域RBAC訪問控制的基礎(chǔ)上,構(gòu)建了基于屬性的跨域認證授權(quán)機制?;趯傩缘拇嫒】刂坪蛥f(xié)調(diào)中心的權(quán)限策略的通用認證和授權(quán)架構(gòu)支持不同的認證技術(shù),保留并利用了各個自治域原有的認證系統(tǒng);每個自治域保持資源聯(lián)盟的獨立性,在此基礎(chǔ)上實現(xiàn)身份透明的屬性聚合方案,并且保護了用戶隱私。本機制可滿足大型企業(yè)和聯(lián)盟組織之間的資源共享,在實際應(yīng)用中有較大的價值,該機制在Windows平臺下已經(jīng)實現(xiàn)并得以應(yīng)用,Linux平臺下的設(shè)計和實現(xiàn)將是下一步努力和研究的方向。

        參考文獻(References):

        [1] Sandhu RS, Coyne EJ, Feinstein HL, Youman CE.Role-Based access control models. IEEE Computer,1996.29(2):38-47

        [2] Ferraiolo D, Sandhu R.Proposed NIST Standard for Rolebased Access Control[J]. ACM Transactions on Information and System Security,2001.4(3):224-274

        [3] 申巍葳,王寶生,賀建忠.一種面向公共服務(wù)的跨域授權(quán)模型的研究及實現(xiàn)[J].國防科技大學(xué)學(xué)報,2011.10:123-127

        [4] Vincent C. Hu,David Ferraiolo,Rick Kuhn,Adam Schnitzer,Kenneth Sandlin,Robert Miller,Karen Scarfone,Guide to Attribute Based Access Control(ABAC) Definition and Considerations.http://dx.doi.org/10.6028/NIST.SP.800-162

        [5] 張帥,孫建伶,徐斌,黃超.KAVSAleksanderJ,基于RBAC的跨多企業(yè)服務(wù)組合訪問控制模型[J].浙江大學(xué)學(xué)報,2012.11:2037

        [6]劉其群,跨域認證授權(quán)機制的研究[J].河南農(nóng)業(yè),2017.8:58-59

        猜你喜歡
        服務(wù)策略隱私
        MOOC 環(huán)境下高校圖書館的應(yīng)對策略
        數(shù)據(jù)安全事件頻發(fā) “隱私”何處安放?
        新形勢下個人信息隱私保護研究
        網(wǎng)絡(luò)環(huán)境下的隱私保護
        青春歲月(2016年21期)2016-12-20 15:56:01
        重慶市失獨人群社會互動策略研究
        智富時代(2016年12期)2016-12-01 16:23:59
        新環(huán)境下高校圖書館專利信息服務(wù)策略分析
        智富時代(2016年12期)2016-12-01 14:44:49
        室內(nèi)窗簾裝飾性探析
        戲劇之家(2016年22期)2016-11-30 17:18:18
        淺議隱私權(quán)的邊界
        微利時代下油服企業(yè)服務(wù)策略芻議
        高校檔案服務(wù)大學(xué)文化建設(shè)的探討
        科技視界(2016年20期)2016-09-29 13:15:50
        精品系列无码一区二区三区| 天天爽天天爽夜夜爽毛片| 精品国产一区二区三区av 性色| 免费一本色道久久一区| av天堂一区二区三区精品| 亚洲成人免费av影院| 午夜性无码专区| 精品视频入口| 久久久99精品国产片| 亚洲精品在线国产精品| 人妻av乱片av出轨| 亚洲大片免费| 久久色悠悠综合网亚洲| 久久天堂av综合合色| 人人玩人人添人人澡| 欧美日本国产亚洲网站免费一区二区| 亚洲无人区乱码中文字幕动画| 国产精品无码dvd在线观看| 男人边吻奶边挵进去视频| 最新手机国产在线小视频| 日韩有码在线一区二区三区合集 | 亚洲免费毛片网| av天堂免费在线播放| 人禽交 欧美 网站| 欧美激情在线不卡视频网站| 视频福利一区二区三区| 亚洲最大免费福利视频网| 精品国产人妻一区二区三区| 国产日本在线视频| 国产自拍一区在线视频| 国产精品人妻一区二区三区四| 91精品一区国产高清在线gif| 亚洲区福利视频免费看| 人妖一区二区三区四区| 亚洲国产另类久久久精品黑人 | 日本黄色高清视频久久| 国产精品视频永久免费播放| 国产在线无码一区二区三区| 熟女系列丰满熟妇av| 亚洲色图在线免费观看视频| 四虎影视在线影院在线观看|