专利名称:用于包括pep和pdp的网络内的接入控制的方法
技术领域:
本发明涉及一种用于网络内的接入控制的方法,特别地,一种用于对象对网络资源的接入的控制的方法,其中,PEP(策略执行点)向PDP(策略决定点)发送要评估的接入请求,以及,PDP可以向PEP发送可包含至少一个职责的应答。此外,本发明涉及一种网络, 其中,提供了接入控制,特别地,对象对网络资源的接入的控制,其中,PEP(策略执行点)向 PDP (策略决定点)发送要评估的接入请求,以及,PDP可以向PEP发送可包含至少一个职责的应答。
背景技术:
近年来,OASIS(结构化信息标准促进组织)XACML已经成为接入控制策略语言的规范的最公认标准以及接入控制的通用框架。0ASISXACML的细节可从OASIS extensible Access Control Markup Language (XACML) Version 2. 0, Final Version, Errata of Jan 29 2008中获得。尽管对于接入控制自身来说策略语言足够灵活以涵盖诸如基于核心和分级角色的接入控制之类的方案,但是忽视了对职责(obligation)的处理。尽管这是很重要的问题,尤其是对于支持数据流的隐私和高级追踪来说。作为示例,职责可以迫使接入单元以将特定加密用于数据持续问题,或确保在给定的时间帧内执行特定动作。这可从 Q. Ni,E.Bertino,J. Lobo,An obligation model bridging access control policies and privacy policies, Proceedings of the 13 ACM symposium on Access Control Models and Technologies (SACMAT08),pp 133-142 以及 C. Bettini,S. Jajodia,X. Wang, and D. Wijesekera. Obligation monitoring in policy management. In 3rd Internation Workshop on Policies for Distributed Systems and Networks(POLICY 2002.), IEEE Computer Society 中获得。尽管职责的重要性是公认的,但仍有两个主要方面未被涵盖。第一,目前不存在一种用于以通用方式指定在策略执行点(PEP)与策略决定点 (PDP)之间交换的职责的方法。因此,在目前现有的解决方案中,仅使用专用和固定语言来表达潜在的职责。即使在OASIS XACML标准中,也仅假定PEP认知由PDP在收到接入请求时返回的职责并知道如何正确地实现这些职责。如果PEP未认知职责,则XACML标准仅假定请求被拒绝。因此,仅可以在运行时检测到PDP与PEP之间的不兼容性,即使这时,也不清楚是否某时可能出现未知的职责。该问题在分布式环境中甚至更严重,在分布式环境中, PDP和PEP不是由相同的组织实体来实现或控制的。第二,在适用于特定请求的各种策略下,必须应用组合算法。由于根据XACML标准不对职责进一步检查,因此仍以简单的方式对所附的职责进行处理,其中,XACML标准可从 OASIS extensible Access Control Markup Language (XACML) Version 3. 0, Working draft 05 of 10 0ctober2007, sec 7. 14获得。将具有相同的有效效果且属于所评估的策略的所有职责返回至PEP。甚至不考虑职责之间的冲突,从而不进行检测。通过标准化团体限制所支持的职责的集合不是针对动态非均勻环境的解决方案。因此,这仅适用于封闭且明确定义的应用环境。
发明内容
本发明的目的是改进并进一步开发一种用于网络内的接入控制的方法以及一种用于允许有效地处理职责(尤其是在具有独立的PDP和PEP的分布式环境内)的相应网络。根据本发明,上述目的是利用包括权利要求1的特征的方法和包括权利要求27的特征的网络来实现的。根据权利要求1所述的方法的特征在于,使用元语言来规定职责。根据权利要求27所述的网络的特征在于,定义元语言来规定职责。根据本发明,已经认识到,可以允许使用元语言规定职责以有效地处理所述职责。 利用元语言来规定职责允许允许适当地定义和描述相应的职责。基于这种元语言,PEP和 PDP可以认知职责,即使在具有独立PDP和PEP的分布式环境中(例如,在SOA (面向服务的架构)或MaS(软件即服务)情形中)也是如此。在这些类型的分布式环境中,策略评估将得到职责的合并集合,职责的相互关系可以基于元语言来规定。优选地,所述元语言可以是通用语言。这种通用语言可以允许即使在分布式环境中也能通用地描述职责。在优选实施例中,不仅可以规定任意职责,而且可以规定职责的参数。优选地,还规定参数的特定数据类型。因此,职责的非常详细的规定和描述是可以基于所述元语言来进行的。对于非常有效地处理职责,可以根据职责规范和/或基于元语言的定义,提供对职责之间可能的冲突的检测和/或规定。这种对职责之间可能的冲突的检测和/或规定是可以以通用方式或者根据将至少一个匹配值指派给每个职责或两个职责的至少一个参数来提供的。换言之,这种检测和/或规定是可以根据两个职责的至少一个参数的匹配指派来提供的。在另一优选实施例中,可以根据规范和/或基于元语言的定义,提供与PEP和PDP 对职责的各自支持有关的协商。换言之,本发明可以指定元语言以规定职责以及这些职责之间潜在的冲突,以及一种用于在PDP与PEP之间交换这种规定并协商对所规定的职责的支持的方法。利用元语言对所支持的职责及其潜在冲突的描述将是本发明优选实施例的一个主要方面。本发明描述了一种使用基于该语言的规范来规定PDP和PEP的能力的方法。由此, 可以事先检测PEP与PDP之间的不兼容性。协商阶段允许PDP和PEP分别请求它们所需要和支持的职责的兼容性。在一些失配的情况下,可以应用解决方法。如上所述,可以在运行时重复该协商过程,以改变PDP与PEP之间使用的职责集合。在特殊情况下,可以跳过协商过程,并且可以对职责规范进行直接/手动交换。在PEP 不完全支持该规范的情况下,该部署失败。在完全支持的情况下,PDP和PEP均可以参考所支持的职责规范。在PEP和PDP对职责的各自支持失配的情况下,可以应用至少一种解决方法。因此,不仅可以定义或规定职责并指示规范之间潜在的冲突,而且可以对该冲突进行解决。为了提供对职责的有效处理,在PEP和PDP的部署期间协商职责规范。为了允许对发生改变的情形的适配,可以在运行时重复协商。在运行时期间,还可以检测规范之间的冲突。PDP与PEP之间的协商可以包括3种消息,称作请求消息、应答消息和解决消息。 基于所述3种消息,可以进行有效协商。根据各种情形,协商可以由PDP或PEP来发起。这两种情况都是可能的,都可以由操作者实现。 在优选实施例中,元语言或职责规范可以被实现为XACML标准的扩展或XACML标准中的结合。因此,仅需要对现有标准的较小修改和/或添加以实现本发明。为了提供非常简单的规范方法,职责可以包含唯一标识符。优选地,唯一标识符是 URI以及可通过URI指定其数据类型的参数的集合。因此,能够对职责进行非常简单的处理。在具体实施例中,可以将职责模式和策略模式保持分离。这种分离将在将元语言或规范实现为XACML标准的扩展的情况下提供。根据各种情形和需求,职责模式和策略模式的组合也是可能的。备选地,如果不请求与已有的或先前的定义或模式的相关性,则策略模式可以与已有的或先前的定义或模式无关。优选地,所有职责可以基于公共的、达成一致的或经过协商的职责规范。这将简化对职责的处理。这种公共职责规范可以与策略模式无关,以用于提供明确定义且清楚的组件结构。在优选实施例中,PEP和/或PDP可以检验来自PDP的响应是否仅包含公共职责规范中使用的职责。因此,仅可以使用经过协商的职责。为了有效地处理职责,优选地,所规定的职责的关系模型可以由PEP和/或PDP产生。如果职责之间存在关系,则可以解决或增强可能的冲突以进一步处理。在本发明的方法或本发明的网络的具体实施例中,PEP和PDP可以彼此独立。在该上下文中,PEP和PDP可以在分布式环境中提供。在这种分布式环境中,本发明对于处理职责来说特别有效。为了在网络操作期间提供对发生改变的情形的良好适配,职责规范和/或定义和 /或协商可以是动态的。本发明提供了一种方法,用于以通用方式或者根据所指派的动态值来指定包括参数的任意职责以及这些职责之间潜在的冲突,可用于在部署期间以及在运行时检测不兼容性,以及运行时的附加冲突检测。此外,可以在常规操作之前基于职责关系以及PEP所支持的职责和PDP所需要的职责的协商来进行冲突检测和解决。本发明提供了具有对任意职责的支持的分布式且独立的PEP和PDP实现。此外,能够在部署期间检测职责之间的不兼容性,并且能够在运行时检测组合的职责之间的冲突。示出了如何基于职责的原始规定在评估接入请求期间检测潜在冲突。提供了一种元语言,用于以通用方式或者根据所指派的动态值来规定职责以及这些职责之间潜在的冲突。可以规定PEP所支持的职责和PDP所需要的职责。还可以在PDP 与PEP之间失配的情况下协商所需要和所支持的职责,并在评估策略请求期间检测组合的职责之间的冲突。
存在多种方式来以有利的方式设计并进一步开发本发明的教导。为此,一方面参考从属于专利权利要求1的专利权利要求,另一方面参考由附图示意的、对本发明优选实施例的以下解释。与借助附图对本发明优选实施例的解释相结合,解释一般优选实施例和对教导的进一步开发。在附图中图1示意了根据本发明的现有标准的扩展的结构;以及图2示意了本发明的方法的使用的总览。
具体实施例方式从图1中可获得现有XACML标准的扩展的结构。为了指定PDP所需要以及PEP所支持的职责,根据本发明提出了通用元语言。然后,可以基于该语言规范,在文件中规定PEP和PDP中使用的包括相关策略的具体职责。在图1中,假定相关规范被实现为现有XACML标准的扩展,因此将职责模式和策略模式保持分离。组合规范也是可能的,而且是未扩展任何先前定义的独立策略模式。具体职责规范是独立的部分,因此,任何策略规范必须参考其所使用的职责规范。实施例的重要方面在于·职责模式的定义,包含〇每个职责的唯一标识符;〇包括名称和数据类型的参数;〇与其他职责的关系·与职责的当前值无关;·与职责的一些值有关;·与职责的所有值有关。·职责之间的关系,包括冲突、包含、矛盾、上级、下级等。·扩展策略模式以支持对由所规定的策略使用的职责规范的参考。·扩展PDP与PEP之间交换的消息以包括对职责规范的参考。·不必须改变PDP实现以处理不同的职责集合。作为这些方面的实施例,如图1所示,规定了 OASIS XACML(例如2. 0)语言的扩展。在图1中将策略模式示作当前策略模式的扩展。策略规范基于策略模式,并定义了可被处理的相应职责的标识符。职责模式包括定义职责的结构。职责规范包括职责的类型,例如,向给定地址发送通知的职责。策略规范基于策略模式,并参考职责规范。职责规范基于职责模式,参见图1。图2示意了职责规范的使用示例的总览。在部署PEP和PDP期间,对职责规范进行协商。如果检测到一侧规定的职责与另一侧所需要或支持的职责之间的失配,则可以应用如下解决策略协商过程可以由PDP或PEP发起。发起方首先发送具有请求职责的列表。接收方分析该列表并指示其是支持该职责还是不支持该职责。对于后一种情况,其可以通过指示职责的参数列表不匹配或者指示参数的类型在第一眼看去不同,来指示潜在的解决方案。 如果没有解决方案可用,则协商可以以失败终止。发起方可以通过接受参数的包括空值在内的固定值或者接受对不同类型的赋值, 来对所提出的解决方案进行反应。此外,其可以收回职责或者在该职责出现的情况下要求另一侧忽视该职责。最后,协商过程也可以在此时以失败终止。可以在运行时重复该协商过程,以改变PDP与PEP之间使用的职责集合。在特殊情况下,可以跳过该协商过程,并且可以对职责规范进行直接/手动交换。在PEP不完全支持该规范的情况下,部署失败。在完全支持的情况下,PDP和PEP均可以参考所支持的职责规范。PDP在加载策略规范期间确保其仅包含职责规范中所定义的职责。PEP可以独立地检验每个接入应答是否仅包含所规定的那些职责。可以基于所支持的职责规范来检验不兼容的职责规范的使用。PEP和PDP可以独立地产生职责规范中所包含的所有职责的关系模型。可以使用各种技术来高效地实现该关系模型,包括但不限于图形、链接列表或散列图。基于冲突,创建单向关系(如包含)并给出相关参数和所产生的冲突。对于给定的应答,可以在一般情况下或者基于具体参数值,针对关系检验所包含的职责。如果存在关系, 则可以解决或增强所产生的冲突以进一步处理。基于职责规范,PEP和PDP均可以独立地检验·应答仅包含职责规范中所使用的职责;·基于以下各项,在应答中不给出不兼容的职责〇其他职责的一般使用;〇相同数据在一些参数中的使用;〇相同数据在所有参数中的使用;·在不兼容职责的情况下,可以开始其他错误处理; 针对诸如包含(在包含的情况下,可以视为完成特定职责)和上级/下级之类的职责关系的冲突解决。利用职责之间的上级/下级关系,暗示执行顺序,并且可以由PEP来解决。本发明提供了对职责的一般描述,尤其是在分布式环境中。可以在PDP与PEP之间交换所需要和所支持的职责,以避免运行时的未知职责。可以标识职责之间不同类别的关系。可以在进行中的接入请求中检测冲突的职责。受益于以上描述和相关附图中给出的教导,本发明所属领域技术人员可以想到这里阐述的本发明的许多修改和其他实施例。因此,应当理解,本发明不限于所公开的具体实施例,修改和其他实施例也应包括在所附权利要求的范围内。尽管这里采用了特定术语,但是仅在一般描述性意义上使用这些术语,而不意在进行限制。
权利要求
1.一种用于网络内的接入控制的方法,特别地用于对象对网络资源的接入的控制,其中,PEP(策略执行点)向PDP(策略决定点)发送要评估的接入请求,以及,PDP能够向PEP 发送能够包含至少一个职责的应答,其特征在于,使用元语言来规定职责。
2.根据权利要求1所述的方法,其中,所述元语言是通用语言。
3.根据权利要求1或2所述的方法,其中,规定所述职责的参数。
4.根据权利要求3所述的方法,其中,规定所述参数的特定数据类型。
5.根据权利要求1至4之一所述的方法,其中,根据职责规范或根据基于所述元语言的定义,提供对职责之间可能的冲突的检测和/或规定。
6.根据权利要求5所述的方法,其中,以通用方式或者根据将至少一个匹配值指派给每个职责的至少一个参数,提供对职责之间可能的冲突的检测和/或规定。
7.根据权利要求1至6之一所述的方法,其中,根据规范和/或基于所述元语言的定义,提供与PEP和PDP对职责的各自支持有关的协商。
8.根据权利要求7所述的方法,其中,在对职责的各自支持出现失配的情况下,应用至少一个解决方法。
9.根据权利要求7或8所述的方法,其中,在部署PEP和PDP期间协商职责规范。
10.根据权利要求7至9之一所述的方法,其中,在运行时重复协商。
11.根据权利要求7至10之一所述的方法,其中,跳过协商,并对职责规范进行直接/ 手动交换。
12.根据权利要求7至11之一所述的方法,其中,协商包括3种消息请求、应答和解决消息。
13.根据权利要求7至12之一所述的方法,其中,协商由PDP或PEP来发起。
14.根据权利要求1至13之一所述的方法,其中,所述元语言或职责规范被实现为 XACML标准的扩展或XACML标准中的结合。
15.根据权利要求1至14之一所述的方法,其中,职责包含唯一标识符。
16.根据权利要求15所述的方法,其中,所述唯一标识符是URI以及参数集合,所述参数的数据类型能够通过URI来指定。
17.根据权利要求1至16之一所述的方法,其中,将职责模式和策略模式保持分离。
18.根据权利要求1至16之一所述的方法,其中,对职责模式和策略模式进行组合。
19.根据权利要求1至18之一所述的方法,其中,策略模式与已有的或先前的定义或模式无关。
20.根据权利要求1至19之一所述的方法,其中,优选地,所有职责基于公共的、达成一致的或经过协商的职责规范。
21.根据权利要求20所述的方法,其中,职责规范与策略模式无关。
22.根据权利要求20或21所述的方法,其中,PEP和/或PDP检验来自PDP的响应仅包含职责规范中使用的职责。
23.根据权利要求1至22之一所述的方法,其中,优选地,所规定的职责的关系模型由 PEP和/或PDP产生。
24.根据权利要求1至23之一所述的方法,其中,PEP和PDP彼此独立。
25.根据权利要求1至M之一所述的方法,其中,PEP和PDP是在分布式环境中提供的。
26.根据权利要求1至25之一所述的方法,其中,职责规范和/或定义和/或协商是动态的。
27.—种网络,优选地,用于执行根据权利要求1至沈中任一项所述的方法,其中,提供了接入控制,特别是对象对网络资源的接入的控制,其中,PEP(策略执行点)向PDP(策略决定点)发送要评估的接入请求,以及,PDP能够向PEP发送能够包含至少一个职责应答, 其特征在于,定义元语言来规定职责。
全文摘要
为了允许有效地处理职责,本发明公开了一种用于网络内的接入控制的方法,特别地,用于对象对网络资源的接入的控制,其中,PEP(策略执行点)向PDP(策略决定点)发送要评估的接入请求,以及,PDP向PEP发送包含至少一个职责的应答。从而,使用元语言来规定职责,例如OASIS XACML。
文档编号H04L29/06GK102273173SQ201080004132
公开日2011年12月7日 申请日期2010年1月11日 优先权日2009年1月9日
发明者马里奥·里斯切卡 申请人:Nec欧洲有限公司