[发明专利]用于包括PEP和PDP的网络内的接入控制的方法

说明书

技术领域

本发明涉及一种用于网络内的接入控制的方法，特别地，一种用于对象对网络资源的接入的控制的方法，其中，PEP(策略执行点)向PDP(策略决定点)发送要评估的接入请求，以及，PDP可以向PEP发送可包含至少一个职责的应答。此外，本发明涉及一种网络，其中，提供了接入控制，特别地，对象对网络资源的接入的控制，其中，PEP(策略执行点)向PDP(策略决定点)发送要评估的接入请求，以及，PDP可以向PEP发送可包含至少一个职责的应答。

背景技术

近年来，OASIS(结构化信息标准促进组织)XACML已经成为接入控制策略语言的规范的最公认标准以及接入控制的通用框架。OASISXACML的细节可从OASIS eXtensible Access Control Markup Language(XACML)Version 2.0，Final Version，Errata of Jan 29 2008中获得。尽管对于接入控制自身来说策略语言足够灵活以涵盖诸如基于核心和分级角色的接入控制之类的方案，但是忽视了对职责(obligation)的处理。尽管这是很重要的问题，尤其是对于支持数据流的隐私和高级追踪来说。作为示例，职责可以迫使接入单元以将特定加密用于数据持续问题，或确保在给定的时间帧内执行特定动作。这可从Q.Ni，E.Bertino，J.Lobo，An obligation model bridging access control policies and privacy policies，Proceedings of the 13 ACM symposium on Access Control Models and Technologies(SACMAT08)，pp 133-142以及C.Bettini，S.Jajodia，X.Wang，and D.Wijesekera.Obligation monitoring in policy management.In 3rd Internation Workshop on Policies for Distributed Systems and Networks(POLICY 2002.)，IEEE Computer Society中获得。

尽管职责的重要性是公认的，但仍有两个主要方面未被涵盖。

第一，目前不存在一种用于以通用方式指定在策略执行点(PEP)与策略决定点(PDP)之间交换的职责的方法。因此，在目前现有的解决方案中，仅使用专用和固定语言来表达潜在的职责。即使在OASIS XACML标准中，也仅假定PEP认知由PDP在收到接入请求时返回的职责并知道如何正确地实现这些职责。如果PEP未认知职责，则XACML标准仅假定请求被拒绝。因此，仅可以在运行时检测到PDP与PEP之间的不兼容性，即使这时，也不清楚是否某时可能出现未知的职责。该问题在分布式环境中甚至更严重，在分布式环境中，PDP和PEP不是由相同的组织实体来实现或控制的。

第二，在适用于特定请求的各种策略下，必须应用组合算法。由于根据XACML标准不对职责进一步检查，因此仍以简单的方式对所附的职责进行处理，其中，XACML标准可从OASIS eXtensible Access Control Markup Language(XACML)Version 3.0，Working draft 05 of 10 October2007，sec 7.14获得。将具有相同的有效效果且属于所评估的策略的所有职责返回至PEP。甚至不考虑职责之间的冲突，从而不进行检测。

通过标准化团体限制所支持的职责的集合不是针对动态非均匀环境的解决方案。因此，这仅适用于封闭且明确定义的应用环境。

发明内容

本发明的目的是改进并进一步开发一种用于网络内的接入控制的方法以及一种用于允许有效地处理职责(尤其是在具有独立的PDP和PEP的分布式环境内)的相应网络。

根据本发明，上述目的是利用包括权利要求1的特征的方法和包括权利要求27的特征的网络来实现的。根据权利要求1所述的方法的特征在于，使用元语言来规定职责。

根据权利要求27所述的网络的特征在于，定义元语言来规定职责。