基于XACML访问控制模型在Web服务中的应用摘要：访问控制是信息系统保护中及其重要的组成部分。传统的访问控制机制缺少表示复杂访问策略的能力，而XACML规范解决了上述问题。本文在研究XACML的基础上，阐述了基于XACML的应用系统访问控制模型。关键词：XACML访问控制Web服务：TP393文献标识码：A：1007-9416（2014）03-0178-01随着信息化建设的不断深入，应用系统的安全成为了一个愈来愈突出的问题。而访问控制作为应用系统安全中的一个至关重要的环节越来越被关注。一个企业的访问安全策略有许多因素和外力点，传统应用系统的访问控制功能多采用基于权限或访问控制列表（ACL）的方式实现，这些实现机制缺少表示复杂访问策略的能力，因此，访问控制策略通常被嵌入应用程序代码中，这种策略与程序代码的高度耦合，使更改策略变得非常困难。1XACML标准XACML（eXtensibleAccessControlMarkupLanguage，可扩展访问控制标记语言）是由OASIS开发的一个基于XML的标准，用来描述授权策略和授权决策请求/响应。XML的XACML标准的提出统一了访问控制策略的表达形式，规范了访问控制请求信息和授权响应信息的格式。2XACML的策略语言模型XACML的语法结构模型如（图1）。XACML策略语言定义了三个顶层元素：规则，策略和策略集。规则用来描述访问控制的要求，确定一个主体是否能对应用系统资源拥有某种操作能力的一套规则。规则由目标、条件和结果组成。目标表达了适用于该规则的决策请求的范围，包含主体，资源、动作及环境要素。条件是一个布尔型的表达式，通过对访问请求对象属性的判断给出该规则的结果（Permit或Deny）。在现实应用中，一个决策请求经常需要评估多个决策的组合才能获得授权决策结果。策略集通过策略组合算法（Policy-combiningalgorithm）将多个策略链接在一起。策略和策略集也可包含目标元素，用于确定策略或策略集适用于哪些范围的决策请求。3XACML规范模型在不同的应用环境下，访问请求因环境特点不同可能有其特殊的描述方式。XACML为了适应各种应用环境，需要将特定应用环境下的请求转换为XACML能够识别的请求，因此，XACML提出了XACML上下文概念。图中阴影区域为XACML规范模型，XACML上下文描述了PDP组件可以接受的请求格式和返回的响应格式。PDP组件根据接收到的XACML上下文格式的访问请求评估所有适用于该请求的策略和策略集，并给出XACML上下文格式的授权决策响应。XACML上下文的定义使XACML规范适应各种应用环境，核心语言通过XACML上下文与应用环境隔离。4基于XACML的访问控制模型（1）各组件功能介绍：①PEP：策略执行点，负责发送用户的决策请求并且执行授权决策。②PDP：策略决策点，负责评估可应用于决策请求的策略并且给出一个授权决策。③contexthandler：上下文处理器，将应用本地格式的请求转换为XACML格式的请求上下文，并且将XACML格式的授权决策转换成应用本地格式的授权决策相应。④PIP：策略信息点，负责提供各种属性信息的值。⑤PAP：策略管理点，负责创建可应用于PDP的策略或策略集。（2）XACML访问控制模型的工作流程：①用户发送一个访问请求给PEP。②PEP将用户格式的访问请求发送给上下文处理器，上下文处理器接到请求后，将该请求转换为XACML上下文格式的访问请求并发送给PDP。③PDP根据接收到的访问请求，通过上下文处理器获得访问请求相关属性值，从PAP获得适用于该请求对象的所有策略和策略集，并对策略和策略集进行评估，最后，将评估后的授权决策结果以XACML上下文格式返回给上下文处理器。④上下文处理器将XACML上下文格式的授权决策相应转换成用户端可以识别的格式返回给PEP。⑤PEP执行该授权决策响应。如果访问被允许，则PEP允许用户访问请求资源；否则，拒绝用户访问请求资源。5结语XACML作为一种基于XML的标准，具有功能强大、通用性、开放性、灵活性及无异构性等特点。采用XACML标准技术实现应用系统的访问控制功能使应用系统规则与应用代码间的耦合程度降低，从而便于应用规则的管理和维护；PDP的共用机制最高限度的节省了企业软件的开发成本及开发周期；访问控制规则的规范化给企业内部、各个行业内部乃至不同行业之间的进一步协作...