XACML模型中基于SAML的PEP与PDP通信实现

"这篇论文研究了基于SAML的策略执行点(PEP)与策略决策点(PDP)的通信模型设计与实现，旨在解决XACML访问控制模型中实体间的授权请求与响应传输问题。通过扩展OASIS的SAML规范，论文提出了一种灵活且可扩展的通信模型，该模型利用SAML处理模块将XACML授权请求和响应转化为SAML格式，再通过Spring Web Service架构在PEP-WS和PDP-WS模块之间进行传输，实现了传输的透明性和不同实现方式的PEP与PDP的集成，增强了XACML模型的部署灵活性和可扩展性。" 本文首先介绍了可扩展访问控制标记语言(XACML)作为OASIS提出的基于XML的访问控制技术，强调其开放性、标准化和可扩展性。在XACML访问控制模型中，PEP和PDP是关键组件，PEP负责生成和执行授权请求，而PDP则负责策略评估并做出允许或拒绝的决策。目前，PEP的常见实现是消息拦截器，而PDP的性能取决于其策略评估效率。 接着，论文提到了Romain Laborde等人设计的与应用无关的PEP，以及面向方面编程(AOP)为PEP实现提供的新思路。另一方面，SUNXACML是由SIJN公司开发的开源策略评估引擎，它为Java语言提供了XACML规范的实现，但也有其他如XACMLight、XACML.NET和XEngine等替代方案，它们针对不同的技术和场景进行了优化。 论文的核心贡献在于提出了一种基于SAML的PEP与PDP通信模型。通过扩展SAML，可以将XACML的授权请求和响应转换为SAML的授权请求和响应，这种转换机制使得PEP和PDP之间的通信更加高效和标准化。同时，采用Spring Web Service架构实现了PEP-WS和PDP-WS模块，确保了不同实现方式的PEP和PDP能够相互通信，从而提高了系统的互操作性和灵活性。 最后，该模型的实现有助于解决分布式环境下的访问控制问题，尤其是在需要跨系统、跨平台进行权限管理时，这种通信模型可以提供一个统一的接口，简化系统的复杂度，并为未来的扩展和升级提供了便利。这篇论文的研究成果对于理解和改进基于XACML的访问控制系统具有重要的理论和实践价值。