ABAC成语(精选8篇)
篇1:ABAC成语
abac的成语大全
1. 假痴假呆 装傻;假装糊涂。
2. 允文允武 形容能文能武。
3. 一丘一壑 丘:土山;壑:山沟。原指隐者所居之地。后多用以指寄情山水。
4. 卖官卖爵 收受钱财,出卖官爵。
5. 三沐三薰 再三沐浴熏香。表示郑重或虔敬。亦作“三沐三熏”。
6. 谢天谢地 表示目的达到或困难解除后满意轻松的心情。
7. 没轻没重 指言语或动作鲁莽。
8. 缩头缩脑 形容害怕不敢向前,或胆小不敢出头负责。
9. 无休无了 没完没了,没有终了。同“无了无休”。
10. 讪皮讪脸 指嘻皮笑脸。
11. 无党无偏 形容处事公正,没有偏向。同“无偏无党”。
12. 无踪无影 没有一点痕迹、影子。形容完全消失。
13. 活神活现 形容生动逼真,像真的一样。
14. 如切如磋 比喻互相商讨砥砺。
15. 一张一弛 意思是宽严相结合,是文王武王治理国家的方法。现用来比喻生活的松紧和工作的`劳逸要合理安排。
16. 有头有脸 有面子;头面人物。
17. 七纵七擒 比喻善于运用策略,使对方心服。同“七纵七禽”。
18. 今生今世 此生此世。指有生之年。
19. 如饥如渴 形容迫切的心情或要求。
20. 娇声娇气 形容说话娇滴滴的声气。
21. 民膏民脂 脂、膏:脂肪。比喻人民用血汗换来的财富。多用于指反动统治阶级压榨人民来养肥自己的场合。
22. 乳声乳气 形容说话声音象小孩子那样尖细。
23. 人千人万 形容人多。
24. 适材适所 指办事能力与所安排的工作位置或场所相当。
25. 公说公有理,婆说婆有理 比喻双方争执,各说自己有理。
26. 快人快事 爽快人办爽快事。
27. 无边无际 际:边缘处。形容范围极为广阔。
28. 鬼头鬼脑 形容行为举止诡秘,不光明正大。
29. 无偏无陂 不偏向;不邪曲。
30. 无父无君 孟轲斥责墨翟、杨朱之语。后以讥刺无伦常者。
31. 没颠没倒 指没分晓或纷乱的样子。
32. 话言话语 犹谈话。
33. 进贤进能 犹言进贤任能。举荐贤者,任用能人。
34. 一成一旅 成:古时以方圆十里为一成;旅:古时以兵士五百人为一旅。形容地窄人少,力量单薄。
35. 古色古香 形容器物书画等富有古雅的色彩和情调。
36. 亦步亦趋 原意是说,你慢走我也慢走,你快走我也快走,你跑我也跑。比喻由于缺乏主张,或为了讨好,事事模仿或追随..
37. 一箪一瓢 一箪食物,一瓢饮料。形容读书人安于贫穷的清高生活。
38. 先知先觉 知:认识;觉:觉悟。指认识事理较一般人为早的人。
39. 胡里胡涂 形容不明事理或对事物的认识模糊。
40. 无声无色 没有声音和色彩。形容平淡不动人。
41. 宜家宜室 形容家庭和顺,夫妻和睦。
42. 三战三北 北:败逃。打三仗,败三次。形容屡战屡败。
43. 无适无莫 适:厚;莫:薄。待人处事不分厚薄,没有偏向。
44. 一针一线 比喻极微小的东西。
45. 无挂无碍 没有任何牵挂。同“无罣无碍”。
46. 一心一德 大家一条心,为一个共同目标而努力。
47. 三浴三衅 衅:以香涂身。多次沐浴并用香料涂身。这是我国古代对人极为尊重的一种礼遇。
48. 难分难舍 分:分离;舍:放下。形容感情很好,不愿分开。亦作“难舍难分。”。
49. 无牵无挂 形容没有拖累,非常放心。
50. 见神见鬼 好象看见了鬼神。比喻多疑。
51. 无伤无臭 没有声音,没有气味。比喻没有名声,不被人知道。
52. 马去马归 比喻世事多变,得失无常。
53. 一棒一条痕 比喻做事扎实。
54. 勿怠勿忘 勿:不要;怠:懈怠;忘:忘记。告诫不要懈怠,不要忘记。
55. 无倚无靠 形容孤苦无依。同“无依无靠”。
56. 假仁假意 伪装仁慈,其实内心奸恶。
57. 假门假氏 做得像真的一样。同“假门假事”。
58. 无边无沿 形容范围极为广阔。同“无边无际”。
59. 撅坑撅堑 撅:挖。掘深坑。比喻设计害人。
60. 一龙一蛇 比喻人的处藏或出或处,或显或隐,随着情况的不同而变更。
61. 尽美尽善 尽:极。极其完善,极其美好。形容事物完无缺。同“尽善尽美”。
62. 克俭克勤 克:能够。既能勤劳,又能节俭。
63. 一德一心 德:心意。大家一条心,为一个共同目标而努力。
64. 公事公办 公事按公事的原则办,不讲私人情面。
65. 相亲相爱 形容关系密切,感情深厚。
66. 惟妙惟肖 描写或模仿的非常逼真。
67. 无情无义 没有一点情义。形容冷酷无情。
68. 同袍同泽 袍:长衣服的通称;泽:内衣。原形容士兵互相友爱,同仇敌忾。比喻共事的关系(多指军人)。也指有交情的..
69. 七死七生 佛数谓小乘初果者,尚须往返天上人间,受七度生死,才能证得阿罗汉果。亦作“七生七死”。
70. 如醉如狂 形容神态失常,不能自制。亦指为某人某事所倾倒。
篇2:ABAC成语
不慌不忙 一生一世 无影无踪 有声有色 大是大非 自吹自擂
不屈不挠 一针一线 无缘无故 有血有肉 大摇大摆 自高自大
不亢不挠 一草一木 无边无际 有头有脸 大风大浪 自给自足
不伦不类 一言一行 无法无天 有利有弊 大吃大喝 自生自灭
一举一动
武爵武任、勿怠勿忘、误打误撞、先圣先师、先知先觉
闲非闲是、闲是闲非、闲言闲语、涎脸涎皮、涎皮涎脸
涎言涎语、现世现报、相安相受、相反相成、相辅相成
相克相济、相切相磋、相亲相爱、相生相成、相生相克
相呴相济、相因相生、像模像样、像心像意、小恩小惠
小手小脚、谢天谢地、心上心下、新人新事、旋得旋失
旋生旋灭、学书学剑、询迁询谋、要死要活、一班一辈
一班一级、一板一眼、一悲一喜、一步一鬼、一步一趋
一草一木、一长一短、一倡一和、一唱一和、一朝一夕
一成一旅、一弛一张、一吹一唱、一搭一档、一箪一瓢
一旦一夕、一德一心、一点一滴、一分一毫、一根一板
一鼓一板、一还一报、一晦一明、一家一火、一家一计
一举一动、一口一声、一夔一契、一来一往、一鳞一爪
一龙一蛇、一龙一猪、一马一鞍、一模一样、一年一度
一喷一醒、一嚬一笑、一颦一笑、一琴一鹤、一丘一壑
一觞一咏、一生一代、一生一世、一式一样、一手一脚
一手一足、一丝一毫、一死一生、一天一地、一五一十
一夕一朝、一笑一颦、一心一德、一心一腹、一心一计
一心一力、一心一路、一心一意、一熏一莸、一薰一莸
一言一行、一吟一咏、一饮一啄、一迎一和、一缘一会
一张一弛、一针一线、一针一缐、一枝一节、一枝一栖
一肢一节、一重一掩、一字一板、一字一句、一字一泪
一字一珠、一坐一起、宜嗔宜喜、宜家宜室、宜室宜家
宜喜宜嗔、遗老遗少、疑鬼疑神、疑神疑鬼、倚门倚闾
亦步亦趋、亦趋亦步、亦庄亦谐、溢美溢恶、庸言庸行
永生永世、用心用意、忧国忧民、油嘴油舌、有板有眼
有本有原、有本有源、有财有势、有胆有识、有风有化
有根有底、有根有苗、有来有往、有棱有角、有利有弊
有凭有据、有钱有势、有三有俩、有声有色、有始有终
有始有卒、有说有笑、有条有理、有头有脸、有头有脑
有头有尾、有物有则、有心有意、有血有肉、有勇有谋
有枝有叶、又红又专、予取予夺、予取予求、予取予携
予智予雄、愚夫愚妇、怨天怨地、做鬼做神、咂嘴咂舌
杂七杂八、载沉载浮、载驰载驱、载歌载舞、载欢载笑
载驱载驰、载笑载言、再接再厉、再接再砺
再三再四、贼眉贼眼、贼头贼脑、窄门窄户、詀言詀语
张眉张眼、真刀真枪、真心真意、真赃真贼、镇日镇夜
知彼知己、知地知天、知己知彼、知微知彰、知足知止
直上直下、至大至刚、至善至美、至圣至明、至再至三
至尊至贵、陟岵陟屺、众好众恶、昼日昼夜、逐句逐字
逐字逐句、祝哽祝噎、祝鲠祝噎、祝鲠祝饐、祝僇祝鲠
祝咽祝哽、捉贼捉赃、捉贼捉脏、濯足濯缨、自暴自弃
自吹自擂、自吹自捧、自高自大、自给自足、自觉自愿
自卖自夸、自媒自炫、自暴自弃、自轻自贱、自生自灭
自始自终、自私自利、自言自语、自业自得、自由自在
自怨自艾、自作自受、作福作威、作好作歹、作威作福
做好做歹、做好做恶、做人做世、做神做鬼、做张做势
做张做致、独来独往
ABAC式的成语是重叠成语下的`一个分支,常见的重叠成语还有AABC式、ABCC式、ABAB式、AABB式、ABCB式
AABC式
如:头头是道 孜孜不倦
ABCC式
如:板上钉钉 气势汹汹
ABAB式
如:研究研究 思考思考
AABB式
如:干干净净 明明白白 清清楚楚
ABCB式
篇3:基于多优化技术的ABAC模型
随着Internet的不断发展,出现了越来越多的组织组成联盟进行协同工作。而在分布式协作系统(Decentralized collaboration system)中参与协作的主体和客体具有高度自治、无序成长和复杂多样等特性,应用从集中、封闭、相对静止、面向熟知用户群体的服务模式向分布、开放、动态、面向陌生用户群体的服务模式转变,跨组织域或安全域的事务处理、交互行为和动态协作需求更加突出[9,10]。
传统的基于角色访问控制RBAC(Role Based Access Control)在用户与权限之间加入了角色的概念,通过用户-角色-权限进行授权管理,用户通过角色聚拢再去访问客体资源,大大减少了授权的复杂性,降低了管理的开销。但基于角色的访问控制仍然只通过ID(即用户身份)进行标识,不能更好地适应开放的网络环境,同时不能通过用户的属性或者所处的环境,动态地获得权限,这就限制了RBAC的使用范围。文献[2]提出广义的时间限制的访问控制模型(GTRBAC)[2],允许时间的约束,并对角色层次和职责分离原则进行了描述,提出了三种状态:就绪-挂起-激活。文献[6]首次提出了行为的概念,并为行为进行了定义,将时态,环境,角色用行为综合。文献[4]在文献[6]的行为定义的基础上提出了基于行为的云计算访问控制安全模型,在云计算的环境下对用户在外部客观因素下的权限进行约束。文献[5]提出了基于上下文感知和用户组的访问控制模型,其目的是为了适应应用环境的动态改变,基于行为[4,6]和基于上下文感知[5]的访问控制模型都是将环境、时态等属性作为访问控制决策约束参与访问控制决策,这并不适应云计算分布式环境下对跨域访问,细粒度访问控制授权,并使得实体属性语义不明确,缺乏统一性[1]。
基于属性的访问控制ABAC,即将访问控制中的主体、客体、权限三大实体用其属性进行统一描述,用实体属性之间的关系对安全需求进行形式化的建模,通过预先定义的属性访问策略实现对客体资源的有效访问。ABAC能够有效解决分布式开放环境下的大规模用户动态扩展问题,细粒度访问控制授权[1]和克服跨域访问下实体标识的授权方式无法精确地根据环境变化动态的获得权限等问题。本文摆脱了基于角色的访问控制的基于身份ID认证的缺点,将角色作为主体的属性之一,使其成为一种单一属性特例。并对ABAC策略评估时引入了属性分块的概念和策略分层管理的概念,将实际应用中的业务逻辑引入到检索中,优化属性检索和策略检索,克服基于属性的访问控制中对属性检索和策略检索采用的传统的逐条匹配的方式所带来的效率低下的问题,从而满足商业应用高业务吞吐量的需求。
1 ABAC形式化描述
基于属性的访问控制(ABAC)模型其包括了主体(资源访问的请求者),客体(被访问的资源),环境(访问请求相关的环境属性的集合),和操作(对客体的具体操作)四大实体,下面对其进行形式化的定义:
定义1(属性){attrname|attrnamei∈ATTRNAME},其中ATTRNAME为用户请求,策略判定及AA(属性权威)的统一属性名称的集合。属性是用来描述实体特征的变量。
定义2(属性值)访问请求中初始所带的主体,客体,操作的属性值。用sattr,oattr,eattr,pattr分别代表主体属性值,客体属性值,环境属性值和操作属性值。
定义2(属性谓词)属性的真值表达式。如ATTRi=val或ATTRi>val等都属于属性谓词。在attr前加入前缀S、O、E、P分别代表主体属性谓词、客体属性谓词、环境属性谓词、和操作属性谓词,统称用G表示。这里要区分属性值和属性谓词的区别。属性值作为访问请求传递的具体的值,而属性谓词则作为策略判定时的授权约束。
定义3(属性元组)一组属性值的集合即可称为属性元组,<attr1,attr2,…,attrk,…,attrn>(k=1,2,…,n),用具有特定取值的属性元组即可以表示任意的实体。
定义4(实体)在属性元组定义时,提到可以用具有特定取值的属性元组代表任意实体,这里用属性元组对主体,客体,环境,操作进行描述,记作SATTR,OATTR,EATTR,PATTR。以主体为例,SATTR=<sattr1,sattr2,…,sattrk,…,sattrn>(k=1,2,…,n)。
定义5(授权模式)授权模式是一个四元组<SATTR,OATTR,EATTR,PATTR>,是一个属性元组的集合,通过属性元组集合的操作,得到策略评估集中的某一个结果。即<<sattr1,sattr2,…,sattrk,…,sattrn>,<oattr1,oattr2,…,oattrk,…,oattrn>,<eattr1,eattr2,…,eattrk,…,eattrn>,<pattr1,pattr2,…,pattrk,…,pattrn>>。具有sattr1,sattr2,…,sattrk,…,sattrn主体对具有oattr1,oattr2,…,oattrk,…,oattrn的客体在具有eattr1,eattr2,…,eattrk,…,eattrn的环境下进行具有pattr1,pattr2,…,pattrk,…,pattrn的操作。
定义6(策略评估集)策略评估集指通过策略评估所得到的结果的集合,RESULT={Permit,Deny,Unknow},Permit指访问者可以访问请求的资源;Deny指访问者的请求被拒绝;Unknow指所获得属性谓词不足以支撑策略的判定,此时要采取其他评估方法。
定义7(策略评估)策略评估形式
2 ABAC模型优化
2.1 ABAC模型介绍
目前针对ABAC的理论模型并没有一个规范的定义,本文主要以XACML[12]为主要参考,模型化了ABAC模型。XAC-ML———访问控制标记语言,XACML是OASIS制定用一种基于XML框架格式来描述通用访问控制策略的策略语言,其目标是提供一个精细的访问控制模型和访问控制规范语言。XACML给出了访问控制实施框架。如图1所示。
(1)策略管理点PAP(Policy administration point)策略及策略集存储仓库,策略编辑接口。
(2)策略决策点PDP(Policy decision point)策略评估和授权决定组件。ABAC的核心组件。
(3)策略信息点PIP(Policy information point)服务检索
与主体,客体,环境相关的属性值。
(4)策略执行点PEP(Policy enforcement point)是接受策略管理的网络实体,负责执行由策略决策点分配的决策。
PEP接受用户请求request,提交上下文处理器处理,PIP检索属性权威AAs中与request相关的各实体属性,上下文处理器根据各实体属性值构建一个基于属性的访问控制请求AAR。根据AAR检索PAP中的匹配策略,PDP决策,将response+obligation返回PEP,PEP履行义务,并根据PDP发送的授权决策允许或拒绝访问。
2.2 ABAC属性检索优化
目前对ABAC的研究多集中在策略建模验证上,并没有考虑属性检索对评估带来的影响。使得ABAC模型实用性不强,大部分采用传统的穷举遍历的方式检索属性库。一般来说,在数以万计的属性条目中,热门业务经常使用的属性可能只是其中的几百条,其他的条目可能在很长时间内才会用到一次。按业务划分属性区域块,利用业务建立索引,提高检索速度。
将属性按业务逻辑分为多种区域块,与业务逻辑有密切相关的属性进行统一存储。Attr B代表属性区域块,Attr B=<attrname1,attrname2,…,attrnamek,…,attrnamen>(k=1,2,…,n)。需要注意的是这里有可能会出现同一属性在多个业务属性区域块中存储。为了减少空间的浪费,部分公用属性会存储在一个特殊的区域,在一定程度上避免了属性的重复存储。Attr B0做为公共属性存储区。Attr B1到Attr Bn属于义务属性存储区。traffic flow业务流,TF简称。
基于属性的访问控制模型采用pull模式的属性传递技术,即根据需求对属性库进行实时检索。初始属性索引的建立无规则,只是通过索引快速定位属性位置,但是随着访问量的不断增加,借用cache原理,正在使用的业务属性区将被再次用到的可能性很大,索引会根据访问次数不断的调整,此时索引的建立会进入一种自学习的状态,不断调整,缩短第一层索引检索时间,最大限度提高速度。采用唯一索引结构,防止添加将在属性权威中创建重复键值的新数据。例如,如果在AAs中建立了TF1的唯一索引,则在AAs中任何两个TF都不允许重名。
如图2所示,建立一层索引映射模式,以TF与attr建成这一层映射。并通过访问次数不断调整索引顺序。
当request发送给PEP,经过上下文处理器,提取到TF信息,作为消息发送给PIP处理,PIP在收到此请求信息后,检索索引结构,找到相匹配的TF索引值后,其NUM加1,根据其存储的地址快速定位找到需要的属性值,返回给上下文处理器,与此同时,PIP内置的索引调整组件开始工作,重新根据NUM重新排序。此时索引值重新排序的顺序并不影响ABAC主程序,两个工作是相互独立的。
简要分析建立属性检索后属性检索的匹配效率,设定属性AAs中属性条目为N,其中包含公有属性M,业务区域块P((N—M)≥P),request(TFK,attrname1,…,attrnamek),按照request中公有属性为m,TFk中包含剩余(k-m)属性,则按属性索引检索所需属性时间复杂度为O(m M+P),若不采用索引机制,则attrnamei(i=1,2,…,k)总的时间复杂度为O(KN),从理论上可以明显看出O(m M+P)<O(KN)。
2.3 ABAC策略检索优化
制定聚合资源的访问控制策略(如通过协定,协商等),抽象来看,最后确定的策略均可视为对各方策略以某种方式行成[11]。由于ABAC强大的表达能力,策略的描述可以表达基于属性的逻辑语义,同样可以使用策略描述业务逻辑。但是随着规模的扩大,业务逻辑复杂性的上升,评估效率,策略检索已成为制约系统的关键因素。
策略索引的建立不同于属性索引的建立,这是因为不同域或者在业务不同时期制定的策略会出现对同一客体具有不同的策略判定结果,如若只对其中某一策略进行判定而忽略其他策略,则会出现判定结果不准确而导致的安全隐患。在属性索引结构的基础上为配合策略索引特殊的要求进行了结构上的改进。为介绍策略索引的结构,先要理解几个概念。
ABAC模型中策略条目的制定是主体、客体、操作、环境属性的笛卡尔积的子集。其中操作属性即可以认为是对资源的具体操作。τ(XATTR)指代的是ATTR的幂集。
PA是策略的全集,其中存在若干不产生实际效果的策略,这些策略体现在具体应用上没有实际的意义,这里称为冗余策略。剔除冗余策略后,产生的PA子集称为策略精集PAR。任何域所协定的策略都是这个精集的一个子集。PAR符合策略集合的层次关系。
设PA'PAR,PA'PA',PA'包含于PAR,PA″包含于PA’,在PAR中存在多个包含关系,而根据集合包含关系的基本性质,包含关系是集合间的一个非严格偏序关系,真包含是集合间的一个严格的偏序关系。
若在偏序集合中,如果PA',PA″∈PAR,PA″≤PA',且不存z∈PAR,使得PA″≤z,z≤PA',则这样的集合称为cov PAR,映射到策略集中则指在策略PA'和PA″具有直接继承关系。构造此偏序集合的哈斯图,在每个链中从最高节点出发沿盖住方向遍历该链中所有节点,则此条权利继承链则作为索引结构的一部分。索引结构如图4所示。
这里注意的是,虽然将TF作为索引值,对属性检索和策略检索进行优化,但是会出现一种情况即TF在进行属性和策略检索时,会遗漏某些属性或者策略,此时对于TF索引值的建立,需要一个最优算法去建立。对于多条策略都匹配访问请求,利用策略评估合并算法(permit-override、deny-override、first-applicable、only-one-applicable)计算最终的评估结果。
在请求传递给上下文处理器时,上下文处理器做两个工作:1)将请求中提取到的TF提交给PIP;2)与此同时,将TF也提交给PDP,两者同时独立工作,即都利用TF给出的索引值,将AttrB和Policy分别放到attr cache和policy cache中。这里提到了attr cache和policy cache,缓存的建立是优化评估判定效率的又一关键技术,在缓存方面效率比较有成效的Enterprise XACML[13],其设计了两类缓存机制:1)策略缓存,策略以Target做为索引被加载到hash map cache中,当request到来时,通过Target得到相应评估策略;2)结果缓存,结果以请求和策略两类标识做为检索的索引。本文在缓存方面为发挥其最大优势,结合前两节中在建立索引时的结构,适应本模型的结构,改进缓存中索引的建立结构,以TF做为索引值。如图5所示。
2.4 应用举例
本节以一个应用举例介绍ABAC模型中前两节介绍的属性检索和策略检索建立索引的过程。在企业技术开发与创新过程中,包括2个主要业务:1)课题立项;2)课题研究。以这两个业务实体为例,为简化描述,此应用举例不考虑环境属性且仅选择部分代表性权限,这并不影响其最终结果,其策略如下:
1.课题立项,课题申请人对某一项目的课题申请表具有读写操作。
课题组对计划表单具有读写权限。
本部门专家对申请表具有读操作,并对其具有否定/同意权限。
2.课题研究,研发组对各类辅助创新工具(tool指代所有)有使用权限。
研发组对创新技术及产品具有记录及发布的权限。
通过上述权限策略,设置其主体、客体、操作的属性谓词及其索引值。
在AA中存放的是散列的没有直接语义的谓词表达式,需要通过PAP判断多个谓词表达式组合在一起的策略结果。在企业技术开发与创新过程中会存在多个表格,且每种表格对应的专项不同,表格内容也会不同,按业务实体建立索引,可快速定位此资源实体的属性值。用户发送request=<SID=user1,RID=form,PID=read&write,TF1>,SID,RID,PID在request context中获得,评估所需的其他属性值则需要通过Attribute Designator在外域中检索,通过索引TF1快速定位,找到策略所需属性值。通过context handler转换成标准格式的基于属性的请求。以第一条的第一个rule为例说明。
检索策略以TF1为索引,查询其潜在的评估链,分别判断其评估结果,通过多策略评估函数get MultiPoliciesDecision做出最终判定。
1)课题申请人对某一项目的课题申请表具有读写操作。
2)在部门工作不到1年的员工不能申请项目,即对项目申请表没有写权限。
企业在初始制定策略时,只有policy1,随着业务的不断成熟,policy2被提出,在不改变原有策略库的基础上,增加policy2,在进行项目申请时,policy1和policy2都要被评估。policy1和policy2就会形成一条链,Policy1Policy2。
3 实验结果分析
为验证此模型在效率上的优势,在CPU为Inter Core 2内存为3 GB,操作系统为Win7环境下对决策工具进行了测试。测试的试验样本是将XACML提供的测试用例套件[14](其中包括了382个策略请求对)作为干扰策略集,根据模型所针对的场景进行了扩充,使其能够充分发挥索引机制的效果。策略匹配框架采用enterprise XACML[13]做为引擎核心模块,在其基础上增加:1)PEP-contex handler-PIP之间的交互,测试属性索引检索;2)PDP-PAP策略索引检索;3)结果缓存,策略缓存。注:表格中“+”代表在上一行基础上增加,如第三行代表(original+PolicyRetriever+Policy cache)。
表1分析可以看出在第二条优化策略下,即加入了策略索引检索,在策略规模为1的情况下速度并没有提高,反而降低了,这是因为策略库中规模为1时,需要先查询索引从而找到策略。这比直接从只有一条策略的策略库中取策略要多一次查询时间。但随着策略规模的扩大加入策略检索之后的评估的时间缩短了。在加入了策略索引结构之后,加入策略缓存和结果缓存之后的模型,对于首次请求需要实质性的判定,表中数据所指的时间是对其后的重复请求所需的时间,可以看出,这里缓存显示了其性能优势。策略规模的增加没有对评估效率造成实质性的影响。
表2所用时间指未加入策略评估技术,单算属性检索所用时间。属性库中存储了1000条属性信息,这些属性信息按业务分类,公有属性放在公有属性区,按业务索引值定位属性信息,从实验数据可以看出加入优化技术之后效率提高了。
4 结语
本文针对ABAC模型在属性检索及策略检索方面速度慢的问题,提出了通过业务建立索引,加快检索速度,并结合前人的研究,将结果缓存,策略缓存加入到模型中,整体优化模型,提高效率。使用XACML作为此ABAC模型的实现框架,实现了访问控制决策机制。给出具体应用实例,介绍索引建立及属性及策略检索过程。通过仿真实验,验证了此ABAC模型在一定环境下效率上的优势。
摘要:为应对开放网络环境以及跨域访问的需求,提出一种基于属性的访问控制概念。针对此概念设计一种多优化技术的ABAC(Attribute Based Access Control)模型。采用XACML(extensible access control markup language)标准实现了ABAC模型,在进行属性检索和策略检索时引入业务逻辑,以业务为索引值建立索引机制,加快属性和策略检索的匹配效率,并在策略评估时加入了缓存机制,进一步提高评估效率。仿真实验的结果表明该模型的效率与传统ABAC模型相比具有优势。
篇4:ABAC成语
关键词:同源成语 同义成语 通用·异体成语
有三类成语在内涵和外延上都有纠缠、交错之处,即同源成语、同义成语和通用·异体成语。
本文拟从来源、结构、意义等方面分析这三类成语的同异之处。
同源成语指一组具有共同语源的成语,如出自同一寓言传说、历史故事、诗文小说等,其结构方式可以是诗、文的截取或典故的概括。
从生成方式来看,同源成语可分为原生式和再生式两类。原生式指对同一语源从不同引用角度构成不同成语,成语间都是直接同源的关系。如“睚眦之怨”和“睚眦必报”两个成语同出自《史记·范睢蔡泽列传》,原文为“一饭之德必偿,睚眦之怨必报”,由此段话截取这两个原生式成语。
再生式同源成语指在某语源的基础上产生某成语,再在这个成语的基础上产生另一个新成语。后出现的新成语称再生式,和先出现的构成间接同源的关系。如“睚眦之怨”产生后,在此基础上又出现了“睚眦之私、睚眦之嫌、睚眦之隙”这三个成语,这三个成语和“睚眦之怨”是间接同源的关系。
从意义来看,无论是原生式成语还是再生式成语,意义都可相近、相关或相异。如“既往不咎”,指对过去做错的事不再责备,源自《论语·八佾》“成事不说,遂事不谏,既往不咎”,尔后,“咎”改为“究”,而“既往不究”指对过去做错的事不再追究,二者意义相近。
又如“望洋兴叹”“见笑大方”“大方之家”三个同源成语皆出自《庄子·秋水》中河伯见北海若的寓言。但“望洋兴叹”喻大开眼界而惊奇,或喻做事力量不足而元可奈何;“见笑大方”谓让高明者取笑;“大方之家”指学识渊博者,三者意义相关。
再如“自以为是”指总以为自己是正确的,源自《孟子·尽心下》:“自以为是,而不可与入尧舜之道,故日德之贼也。”尔后,人们改“是”与“非”,表示经常想到自己的错误和不足,两个成语意义相反。
同义成语指一组意义相同或相近的成语。意义相近的同义成语往往具有取义角度、表义倾向等差别。如:“亲密无间”和“形影不离”,二者都表“关系亲密”,但取义角度不同——“亲密无问”表没有丝毫隔阂,着重心灵的相通,可用于异地或同地;“形影不离”表一刻也不分离,着重空间的距离相近,只能用于同地。
意义相同的同义成语往往具有语体的差异,如“杀鸡取卵”(书面语)——杀鸡取蛋(口语);“声色犬马”(书面语)——声色狗马(口语)。
同义成语可能是同源成语,如前“睚眦之怨”“睚眦之私”“睚眦之嫌”“睚眦之隙”。既可是原生式,也可是再生式。但也可能不是同源成语,如“螳臂当车”和“蚍蜉撼树”都比喻“自不量力”,但语源不同。“螳臂当车”源自《庄子·人世间》“汝不知夫螳螂乎,怒其臂以当车辙,不知其不胜任也”;“蚍蜉撼树”源自唐朝韩愈《调张籍》诗“蚍蜉撼大树,可笑不自量”。
通用·异体成语是依据成语的社会使用频率来确定的。在一组成语中,社会使用频率最高的叫通用成语,意义较明确、精炼、贴切、通俗的成语往往通用,其余的叫异体成语(也叫或体成语)。通用·异体成语都是同源成语和同义成语,但大都分别是同源成语中的原生式和再生式,是同义成语中意义相同的。
通用·异体成语可以分三类(以下各例在前者为通用成语,在后者为异体成语)
一、异序式
异序式指成语语言单位不变,但词序发生变化。如:AB-BA式,成语中的两个语言单位倒序构成一个新成语。如:
轰轰烈烈——烈烈轰轰
大名鼎鼎——鼎鼎大名
光明正大——正大光明
班门弄斧——弄斧班门
以上各例是成语的全部语言单位倒序。其他形式也十分复杂。如:
凶多吉少——多凶少吉 (ABCD——BADC)
尔虞我诈——尔诈我虞 (ABCD——ADCB)
舞文弄墨——舞弄文墨 (ABCD——ACBD)
节衣缩食——缩衣节食 (ABCD——CBAD)
铁石心肠——铁肠石心 (ABCD——ADBC)
夜以继日——日以继夜 (ABCD——DBCA)
变换语序的成语由于语言单位没有改变而意义基本不变。
二、异素式
这类通用·异体成语是通过替换不同语素而构成的。例如:
异口同声——异口同音 (“声”“音”为近义语素)
返老还童——反老还童(“返”为今字,“反”为古字)
首倡义举——首唱义举(“倡”为本字,“唱”为通假字)
心如铁石——心如金石(“铁”“金”语义关联)
三言两语——三言五语(“两”“五”数字语素相异)
雄才大略——雄材大略(“才”“材”为异体词)
书声琅琅——书声朗朗(“琅琅”“朗朗”为同音语素)
三、长短式
这类成语长度不同,大都是通用成语较长,为了语言精炼,结构简洁,通过压缩、概括或截取,构成另一个(些)异体成语。如:
有志者事竟成——有志竟成(异体成语为通用成语的部分粘合)
近水楼台先得月——近水楼台(异体成语为通用成语的截取 )
这类成语一般意义不变,但详式较精细,运用频率较高。简式较概括,有时意义不明确,需以详式作为参照。
通用成语和异体成语之间的意义较为复杂。意义较明确、精炼、贴切、通俗的成语往往是通用成语,运用频率较高,其他则是异体成语。
由于两种成语都有本义、引申义和比喻义,因此,可以产生各种复杂的意义联系。
一组通用·异体成语的意义关系可以分为三类:
(一)意义全同
包括:1.本义同;2.本义、引申义同;3.本义、比喻义同;4.本义、引申义、比喻同。例如:
翻江倒海——倒海翻江。(本)形容水势很大,波涛汹涌澎湃。(引)①形容破坏极甚,状况混乱不堪。(引)②形容心潮起伏,激荡翻滚。(喻)比喻力量巨大或者声势浩大。以上一组通用·异体成语基本义、本义、引申义、比喻义全部相同。
(二)意义部分相同
包括本义异、引申义同以及本义异、比喻义同的情况。如:日暮途穷——日暮途远。以上一组通用·异体成语本义相反,“穷”表路尽了,“远”表路很长;但这两个成语都可比喻“无路可走,力竭计穷,接近灭亡”。
(三)意义有细微差别
往往本义和引申义、比喻义都有所差别。如:重起炉灶——另起炉灶。以上“重起炉灶”本义为“重新支起炉灶”,比喻义强调把以前中断的事业恢复起来。“另起炉灶”本义为“另外支起炉灶”,比喻义强调从某一团伙中分离出去。
简而言之,上述三类成语的差异为:同源成语注重其来源,同义成语注重其意义,通用·异体成语注重其运用频率。一组同源成语都有其相同的来源,其构成方式有原生式和再生式,其意义可以相近、相关和相异。
一组同义成语可以有共同的来源(这一部分兼同源成语),方式可能是原生式或再生式;也可以来源不同(这一部分非同源成语),但意义相同或相近。一组通用·异体成语都是同源成语(可有原生式或再生式),也都是同义成语。但同源成语意义不同的不是通用·异体成语;同义成语来源不同的也不是通用·异体成语。
参考文献:
[1]许肇本,段益民.通用·异体成语词典[Z].北京:中国书籍出版
社,2003,(3).
[2]段益民.论通用·异体成语的优选机制[J].徐州师范大学学报
(哲学社会科学版),2007,(4).
篇5:abac式词语成语
1) 维妙维肖 维:语助词;妙:手艺巧妙;肖:相似,逼真。形容描写或模仿的非常逼真。
2) 如梦如醉 形容处于不清醒、迷糊状态中。同“如醉如梦”。
3) 糊里糊涂 认识模糊,不明事理。也形容思想处于模糊不清的状态。
4) 宜室宜家 形容家庭和顺,夫妻和睦。
5) 民膏民脂 脂、膏:脂肪。比喻人民用血汗换来的财富。多用于指反动统治阶级压榨人民来养肥自己的场合。
6) 无了无休 没完没了,没有终了。
7) 有板有眼 比喻言语行动有条理、有步调。
8) 尖言尖语 指言语尖酸刻薄。
9) 改步改玉 步:古代祭祀时祭者与尸相距的步数,以地位排列。改变步数,改换玉饰。指死者身份改变,安葬礼数也应变更。
10) 假门假事 做得像真的一样。
11) 使贪使愚 使:用;贪:不知足;愚:笨。用人所短,为己服务。也形容利用人的不同特点,以发挥他的长处。
12) 无相无作 ①佛教语。指弃绝众相,不事造作。②泛指不务空言。
13) 如渴如饥 形容迫切的心情或要求。同“如饥如渴”。
14) 一步一个脚印 比喻做事踏实。
15) 无踪无影 没有一点痕迹、影子。形容完全消失。
16) 漫地漫天 漫:满。充满天地之间。形容数量极多,到处皆是。亦作“漫天漫地”。
17) 好言好语 好:美好,友善。指友善和中听的言语。
18) 无昼无夜 不分日夜;日日夜夜。
19) 速战速决 用快速的战术结束战局。也比喻用迅速的办法完成任务。
20) 假痴假呆 装傻;假装糊涂。
21) 一唱一和 一个先唱,一个随声应和。原形容两人感情相通。现也比喻二人互相配合,互相呼应。
22) 无情无绪 没有心思,苦闷无聊。
23) 一丝一毫 丝、毫:十丝为一毫,十毫为一厘。一点点儿,极小或极少。
24) 若隐若现 隐隐约约,看不清楚。
25) 非驴非马 不是驴也不是马。比喻不伦不类,什么也不象。
26) 三十三天 佛教称欲界第六天为三十三天,即忉利天。后形容最高的地方。
27) 如兄如弟 情如兄弟。比喻彼此感情好,关系密切。
28) 庸言庸行 指平平常常的言行。
29) 同心同德 同德:为同一目的而努力。指思想统一,信念一致。
30) 没里没外 里外不分,指说话做事不分场合。
31) 七纵七禽 比喻善于运用策略,使对方心服。亦作“七纵七擒”。
32) 无情无彩 犹无精打彩。形容不高兴,提不起劲儿。
33) 敢怒敢言 敢于愤怒,又敢于说出来。
34) 无偏无颇 不偏向;不邪曲。同“无偏无陂”。
35) 人千人万 形容人多。
36) 宜家宜室 形容家庭和顺,夫妻和睦。
37) 吠影吠声 比喻跟在别人后面盲目附和。
38) 楞头楞脑 ①形容鲁莽冒失或傻呵呵的样子。②形容发楞发呆的样子。
39) 若有若无 形容事物不清晰或关系不亲密。
40) 快人快性 指为人爽直痛快,不忸怩作态。
41) 一琴一鹤 原指宋朝赵抃去四川做官,随身携带的东西仅有一张琴和一只鹤。形容行装简少,也比喻为官清廉。
42) 无拳无勇 拳:力气,力量。没有武力,也没有勇气。
43) 乃武乃文 本用以赞誉天子之德,指其文经天地,武定祸乱。后多指人既有武功又有文德。亦作乃文乃武。
44) 撒痴撒娇 形容仗着受人宠爱,故意做作。同“撒娇撒痴”。
45) 三沐三薰 再三沐浴熏香。表示郑重或虔敬。亦作“三沐三熏”。
46) 善有善报 善:好的。报:报应。做好事必有好的.报答。常与“恶有恶报”连用
47) 三吐三握 以之为求贤殷切之典。
48) 如醉如狂 形容神态失常,不能自制。亦指为某人某事所倾倒。
49) 一言一行 每句话,每个行动。
50) 无尽无穷 没有止境,没有限度。同“无穷无尽”。
51) 拣精拣肥 比喻挑剔,苛求。
52) 无明无夜 犹言不分昼夜。
53) 活神活现 形容生动逼真,像真的一样。
54) 问长问短 仔细地问,表示关心。
55) 一棒一条痕 比喻做事扎实。
56) 一龙一蛇 比喻人的处藏或出或处,或显或隐,随着情况的不同而变更。
57) 有条有理 形容层次、脉络清楚。
58) 乐山乐水 乐:喜爱,爱好。有人喜爱山,有人喜爱水。比喻各人的爱好不同。
59) 一草一木 比喻极微小的东西。
60) 胡天胡地 用于贬义,形容言语荒唐、行为放肆。同“胡天胡帝②”。
61) 假门假氏 做得像真的一样。同“假门假事”。
62) 敢作敢当 敢:有胆量。敢于放手行事,敢于承担责任。
63) 一字一珠 一个字就象一颗珍珠。形容歌声婉转圆润。也比喻文章优美,辞藻华丽。
64) 无冬无夏 无论冬天还是夏天。指一年四季从不间断。
65) 无亲无故 没有亲属和故旧。形容孤单。
66) 无情无义 没有一点情义。形容冷酷无情。
67) 屡试屡验 验:有效果。多次试验,都很灵验。
68) 三战三北 北:败逃。打三仗,败三次。形容屡战屡败。
69) 有头有尾 有开头,有结尾。指做事能坚持到底。
70) 一觞一咏 觞:古代盛酒器,借指饮酒;咏:吟诗。旧指文人喝酒吟诗的聚会。
71) 怜我怜卿 指彼此相爱怜。多指情人或夫妻之间。
72) 如醉如梦 形容处于不清醒、迷糊状态中。
73) 三盈三虚 盈:满。虚:空。指孔子的满门弟子,被少正卯讲学所吸引,多次离开孔子之门。形容讲学效果好,影响大。
74) 有头有脸 有面子;头面人物。
75) 双宿双飞 宿在一起,飞在一起。比喻相爱的男女形影不离。
76) 如醉如痴 形容神态失常,失去自制。
77) 如埙如篪 埙、篪、乐器名。这两种乐器合奏时,埙唱而篪和,用以比喻两物之响应、应和。
78) 胡作胡为 犹胡作非为。不顾法纪或舆论,毫无顾忌地做坏事。
79) 所作所为 指人所做的事。
80) 若存若亡 有时记在心里,有时则忘记掉。用以形容若有若无,难以捉摸。
81) 头高头低 形容用秤称东西时,秤杆的一端高一点或低一点,难免稍有出入。
82) 稳扎稳打 扎:安营。稳当而有把握地打击敌人。比喻有把握、有步骤地工作。
83) 无天无日 犹言不见天日。比喻社会黑暗,见不到一点光明。
84) 己溺己饥 视人民的疾苦是由自己所造成,因此解除他们的痛苦是自己不可推卸的责任。
篇6:abac词语 四字成语
不存不济 bù cún bù jì
成语解释:支持不住,受不住。形容半死不活的样子
不痴不聋 bù chī bù lóng
成语解释:人不傻,耳朵也不聋。常与“不成姑公”连用,意为不故作痴呆,不装聋作哑,就不能当阿婆阿公。形容长辈要宽宏大量。
不得不尔 bù dé bù ěr
成语解释:得:能;尔:如此。不得不这样
不打不相识 bù dǎ bù xiāng shí
成语解释:指经过交手,相互了解,能更好地结交、相处
不打不成相识 bù dǎ bù xiāng shí
成语解释:指经过交手,彼此了解,结交起来就更投合。
不当不正 bù dāng bù zhèng
成语解释:不:语助词,没有实际意思。表示端端正正
不悱不发 bù fěi bù fā
成语解释:悱:心里想说而说不出来。发:启发。指不到学生想说而说不出来时,不去启发他。这是孔子的教学方法。
不丰不俭 bù fēng bù jiǎn
成语解释:指不奢不俭,多少合宜。
不丰不杀 bù fēng bù shā
成语解释:丰:厚;杀:减少。不奢侈也不啬俭。不增加也不减少。
百发百中 bǎi fā bǎi zhòng
成语解释:百:形容多;发:发射;也指射箭;中:正对上;恰恰合上。①指射箭技术高明;每次都能命中目标。②比喻料事准确;算计高明或做事有充分把握;绝不落空。
不尴不尬 bù gān bù gà
成语解释:“不”是衬字;无实际意义;尴尬:不自然。形容事情或举动不正常、不三不四。也形容处境窘迫;办事被动;左右为难。
半间半界 bàn gān bàn gà
成语解释:①不彻底,不深透。②不明确。③犹言不上不下。④谓平庸。
毕恭毕敬 bì gōng bì jìng
成语解释:形容十分恭敬的样子
不干不净 bù gān bù jìng
成语解释:净:洁净。指粗俗,下流。淫乱的婉辞
必恭必敬 bì gōng bì jìng
成语解释:必:一定;十分;恭:有礼貌;敬:尊敬;有礼貌地对待。形容态度神情十分恭敬谦逊;也作“毕恭毕敬”。
碍足碍手 ài zú ài shǒu
成语解释:同“碍手碍脚”。
不卑不亢 bù bēi bù kàng
成语解释:卑:自卑;亢:高傲。既不自卑;也不高傲。也作“不亢不卑”。
彼此彼此 bǐ cǐ bǐ cǐ
成语解释:指两者比较差不多
不偢不倸 bù chǒu bù cǎi
成语解释:偢:同“瞅”,看;倸:同“睬”,理睬。不看也不答理,也指一切事情都不注意
不瞅不睬 bù chǒu bù cǎi
成语解释:不看也不答理。
不茶不饭 bù chá bù fàn
成语解释:不思饮食。形容心事重重。
阿狗阿猫 ā gǒu ā māo
成语解释:旧时人们常用的小名。引申为任何轻贱的,不值得重视的人或著作。
阿姑阿翁 ā gū ā wēng
成语解释:阿:名词的前缀。姑:丈夫的母亲。翁:丈夫的父亲。指公公婆婆。
挨家挨户 āi jiā āi hù
成语解释:挨:依次;顺次。一家一户;户户不漏。
阿家阿翁 ā jiā ā wēng
成语解释:阿:助词,用在称呼的前头;家:通“姑”,丈夫的母亲;翁:丈夫的父亲。公公婆婆
阿猫阿狗 ā māo ā gǒu
成语解释:旧时人们常用的.小名。引申为任何轻贱的,不值得重视的人或著作。
挨门挨户 āi mén āi hù
成语解释:挨:按照顺序。按照住户的顺序一家也不漏。同“挨门逐户”。
暗气暗恼 àn qì àn nǎo
成语解释:受了气闷在心里。
碍手碍脚 ài shǒu ài jiǎo
成语解释:碍;妨碍;阻碍。指多方受阻;难以顺利做事。也指妨碍他人做事;使人感到不方便。
傲头傲脑 ào tóu ào nǎo
篇7:abac型四字成语
觉人觉世 戒骄戒躁 今生今世 尽美尽善 尽情尽理 尽善尽美 尽心尽力 尽多尽少
进贤进能近朱近墨 侭多侭少 浸明浸昌 浸微浸灭 浸微浸消 九攻九距 九天九地
九战九胜 久而久之 酒言酒语 酒醉酒解 救苦救难 救人救彻 就深就浅 举仇举子
撅坑撅堑 绝子绝孙 倔头倔脑 磕牙磕嘴 可丁可卯 可歌可泣 可歌可涕 可惊可愕
可泣可歌 可喜可愕 可喜可贺 可有可无 克爱克威 克逮克容 克丁克卯 克恭克顺
克俭克勤 克勤克俭 刻肌刻骨 肯构肯堂 肯堂肯构 苦绷苦拽 快人快事 快人快性
快人快语 快言快语 来回来去 浪声浪气 乐山乐水 乐水乐山 累死累活 楞头楞脑
abac式的成语造句:
1) 浪费了今生今世,人就再也得不到什么来生来世。
2) 富贵几时有,仰头问苍天,不知今生今世,等待到何年?
3) 如果上天让我许三个愿望,那么第一个是今生今世和你在一起,第二个是来生来世和你在一起,第三个是永生永世和你在一起。
4) 一个人只有今生今世是不够的,他还应当有诗意的世界。王小波
5) 记住:过了今生今世,人就再也得不到什么来生来世。眼前的人生,对谁都无二致。我们浪费或得到的,恰恰都是正在飞逝的光阴。马可·奥勒留
6) 决定跟你结婚,是正确的选择。愿你今生今世做我的情人。
7) 如果上天让我许三个愿望,第一个是今生今世和你在一起,第二个是再生再世和你在一起,第三个是永生永世和你不分离。
8) 如果上天让我许三个愿望,第一个是今生今世和你在一起,第二个是再生再世和你在一起,第三个是永生永世和你不分离。情人节快乐!
9) 拿起支笔,划到银河,今生今世不寂寞;鹊桥搭起,几笔即可,浪漫爱情机遇多;美女只需画一个,真爱马上从天落;记住找笔别错过,美女今天从天落,漂亮痴情真不错,赶快行动吧!预祝七夕更快乐!
10) 有一种爱,叫今生今世;有一种爱,叫别无所求;有一种爱,叫心心相印;有一种爱,叫白头偕老。誓爱妻日,愿你与妻子白头偕老!
11) 我今生今世只爱王丹颖你一个人!
12) 今生今世绝不要与他人共侍一夫,她们说过要做令人称啧巾帼英雄,做让人刮目相看的女中丈夫。
13) 皇上,民女小姑对彭郎之情天地可鉴,今生今世,永不变心。
14) 她说起话来噼里啪啦,节奏很快,快人快语快性子。
15) 我们的班长快人快语,跟他相处很愉快。
16) 他为人十分豪爽,快人快语,替他做事的人,对他都心悦诚服。
17) 刘大姐是个爽快人,一向快人快语。
18) 他快人快语深得人们的喜爱。
19) 十全十美金秋月,一心一意庆佳节。快人快语送祝福,乐在其中齐欢腾。十一快乐。
20) 她是个很粗犷的年轻女子,快人快语,非常热情。
21) 快人快语的宋五嫂见了太上皇毫不畏惧,对太上皇说:小奴本是东京人氏,是随着御驾来到这里的。
22) 关于刚刚死去的竞争对手,一贯快人快语的贝茨先生这样说道,塞德里克遭到了这样的不幸,我真的感到非常遗憾。
23) 我这个人快人快语,有不对的地方请您见谅.
24) 他只给载涛叩了个头,涛七爷一挥手,就快人快语地对管家吩咐道:“别拦着他了,让孩子奔去吧。
25) 好,钟兄弟快人快语,岳某就替刘三应下了,此处不是说话的地方,古坊街,万祥古玩店,走!
26) 韦公子快人快语,那我就直说了吧。
27) 我知道杨洋是快人快语,只是无奈的笑了笑。
28) 武飞雪快人快语,三言两语就把凤姐的意思表达了出来。
29) 危老师傅果然快人快语,我严某人几时让四位英雄吃过亏,黄金,美女,只要开口。
30) 说得好,小兄弟,看你快人快语,老头子还真是打心里喜欢,要不咱们一起去吃顿饭,咱爷俩好好聊聊?
篇8:ABAC成语
传统的访问控制模型,如自主访问控制DAC(Discretionary Access Control)[1]、强制访问控制MAC(Mandatory Access Control)[1]、基于角色的访问控制RBAC(Role Based Access Control)[2]等,并不能完全适应Web Services环境下的访问控制要求,它们不能表示复杂的细粒度的访问控制策略,对主体和资源都缺乏详细的描述,而且往往忽略上下文信息。一种新基于属性的访问控制模型ABAC[3]被提出,文献[4]采用类图的方式对ABAC进行了建模,使用ABAC机制解决面向Web Services的访问控制问题,其偏重于主体属性细粒度描述,重点探讨了主体X.509属性证书的表示、获取等问题。文献[5]利用ABAC解决分层式资源的访问控制问题,重点探讨了基于XACML[6]的策略决策机制和策略查找算法,但并不能直接适用于Web Services访问控制环境。本文在前述研究基础上,给出了ABAC策略模型的定义,设计了典型的ABAC访问控制架构,并利用基于XML的策略描述语言XACML实现了Web Services的细粒度访问控制。
1 ABAC模型
ABAC模型(如图1所示)基于任何与安全相关的特征进行授权,这些特征称为属性。传统模型大多依据主体和资源的标识制定访问控制策略,而ABAC中充分考虑主体、资源和访问所处环境的属性信息来描述策略,策略的表达能力更强、灵活性更大。当判断主体对资源的访问是否被允许时,决策者要收集实体和环境的属性作为策略匹配的依据,进而作出授权决策。以下我们对ABAC中的属性进行说明,并给出ABAC的策略模型定义。
1.1 属性说明
(1) 主体属性
主体是对资源执行操作的实体(如用户、应用程序或进程)。每个主体拥有相关属性,这些属性定义了主体的身份和特征。属性可以包括主体标识、姓名、单位、职位、年龄、IP地址、Email地址等等。主体的角色也可看作是一个属性。
(2) 资源属性
资源是被主体执行操作的实体(如Web Services、数据或系统组件)。与主体一样,资源也拥有可用于访问控制决策的属性。例如,一份办公文档,拥有属性:标题、主题、日期和作者。资源属性通常来自于资源的“元数据”。特别的,Web Services元数据中的元素可作为访问控制相关的属性,例如:URL、方法、参数等。
(3) 环境属性
在大多访问控制模型中环境属性往往被忽略。环境属性描述了访问发生时的环境或上下文信息,比如当前日期和时间、当前的病毒/黑客活动和网络安全等级等。它不同于主体或资源属性,但可用于制定访问控制策略和进行策略决策。
1.2 ABAC策略模型定义
ABAC策略模型定义如下:
(1) S,R,E(分别为主体、资源、环境)。
(2) SAk(1≤k≤K),RAm(1≤m≤ M),EAn(1≤n≤N),分别是预定义的主体属性、资源属性和环境属性。
(3) ATTR(s),ATTR(r),ATTR(e),分别是针对主体s、资源r、环境e的属性分配关系。其中:
ATTR(s)⊆SA1×SA2×…×SAK
ATTR(r)⊆RA1×RA2×…×RAM
ATTR(e)⊆EA1×EA2×…×EAN
举例(用函数表示法说明对单个属性的分配操作):
Role(s)=″Student″
ServiceOwner(r)=″PLAIEU″
CurrentDate(e)=″2010-09-10″
(4) 一条策略规则,它决定在一个特定的环境e中一个主体s能否访问一个资源r,是一个基于s、r和e的属性的布尔函数:
Rule:can_access(s, r, e)←
f(ATTR(s),ATTR(r),ATTR(e))
对于给定的s、r和e的所有属性分配,如果这个函数的评估值为true,则对资源的访问被允许,否则访问被拒绝。
(5) 一个策略仓库由许多的策略规则组成,访问控制决策处理本质上是对策略仓库中的可用策略规则的评估。
下面我们看一下如何基于属性表示不同的策略规则。一个最简单且一般化的策略规则形式包括彼此独立的主体、资源和环境的属性。访问控制决策是通过匹配主体/资源/环境的属性得出的。例如,规则“具有角色‘Manager’的用户可以访问‘ApprovePurchase’服务”表示为:
R1:can_access(s,r,e)←
(Role(s)=′Manager′)∧(Name(r)=′ApprovePurchase′)
从这个例子也可以看出ABAC模型能够容易地表示传统的RBAC规则。不仅如此,ABAC模型还能够表达更丰富的访问控制语义。比如,“要求资源只可被其所有者访问”可以表示为:
R2:can_access(s,r,e)←(UserID(s)=ResourceOwner(r))
在这个模型的基本定义中,我们假定了属性是单值的,策略决策是基于唯一的规则。实际上,模型可以被扩展以支持多值属性和多规则的组合算法。需要说明的是,ABAC没有给出实际的策略表示格式。一种基于XML的策略语言XACML,能够提供对ABAC策略模型的完全支持。
2 ABAC访问控制架构设计
一个典型的ABAC访问控制架构设计如图2所示。
属性权威AA(Attributes Authority),负责创建和管理主体、资源或环境的属性。AA是一个逻辑实体,本身可以存储属性信息,也可以不存储(比如,一个主体AA可以选择从机构的LDAP目录获取属性)。但是,它负责把属性绑定到相应的实体,在提供和发现属性方面扮演重要的角色。
策略实施点PEP(Policy Enforcement Point),负责请求授权决策并实施决策。它截取主体对资源的请求,实施访问控制。图2中,PEP被表示为一个单一的实施点,实际上它可以是网络中物理分布的多个点。PEP实现中需要考虑的一个重要安全问题是:主体对保护资源访问时PEP不能被旁路。
策略决策点PDP(Policy Decision Point),负责评估适用的策略,作出授权决策(允许/拒绝)。PDP本质上是一个策略评估引擎。当请求中没有给出策略需要的主体、资源或环境属性时,它从相应的AA中获取属性值。
策略管理点PAP(Policy Administration Point),负责创建和管理访问控制策略,为PDP提供策略查询服务。策略由策略规则、条件和其它访问限制组成。
3 Web Services访问控制的实现
3.1 XACML概述
XACML是基于XML的安全策略管理标准,它定义了一种通用的用于保护资源的策略语言和一种访问决策语言。XACML资源访问策略是基于主体、资源和环境的属性,而不是基于请求者的身份,所以可提供比基于身份的、简单地拒绝访问或授权访问更细粒度的控制访问机制。XACML策略语言最主要的三个组件是:规则<Rule>、策略<Policy>和策略集<PolicySet>。所有XACML访问控制策略的根是<Policy>或<PolicySet>。一个<Policy>表现为一个单一访问控制策略的引用,它通过一套规则<Rule>来表现。多个策略或规则会有不同的访问控制判断结果决定,在XACML中通过策略/规则合并算法(Combining Algorithms)来实现判断结果的协调。XACML PDP要做的一部分工作是根据一个请求找到对应的策略。为了实现这一点,XACML提供一个被称为<Target>的特性。一个<Target>基本上来说是一套简化了的在一个请求中必须遇到的关于主体<Subject>、动作<Action>、资源<Resource>的属性条件限制。这些条件限制都使用布尔判断来比较一个请求中的参数值和一个<Target>里面的条件对应值。如果一个<Target>中的所有的条件都符合,该请求就被关联到相应的<Policy>、<PolicySet>或<Rule>上。一旦<Policy>被找到并被用于验证一个请求,其规则<Rule>即发生作用。<Policy>可以容纳任意数量的<Rule>,这些<Rule>中包含一个XACML策略的核心逻辑。绝大多数的<Rule>表现为一个条件布尔判断。当条件为真时,规则的结果 (Permit或Deny)即被返回。
3.2 XACML访问控制系统设计
利用XACML实现Web Services的授权服务。XACML访问控制系统设计如图3所示,工作过程如下:
(1) PAP维护策略仓库,即创建和管理访问控制策略(步骤1)。
(2) 访问请求者提出访问请求(即调用Web Services),PEP拦截请求消息(步骤2)。
(3) PEP向PDP提出访问决策请求,即通过生成<XACMLAuthzDecisionQuery>来向PDP提交访问请求者对Web Services的调用请求(步骤3)。
(4) PDP向PAP提出策略信息请求,PAP收集相应的策略规则并回送给PDP(步骤4、步骤5)。
(5) PDP向PIP提出属性信息请求,PIP收集相应主体、资源及环境的属性信息并回送给PDP(步骤6~步骤8)。
(6) PDP依据授权决策请求、相应的策略信息和属性信息评估产生授权决策,生成<XACMLAuthzDecisionStatement>并回送给PEP,告诉PEP是否允许此访问请求(步骤9)。
(7) PEP依据授权决策允许或拒绝访问请求,并调用义务服务履行义务,如记录访问日志等(步骤10)。
(8) 如果访问请求被允许,则PEP转发访问请求给Web Services提供者,并将相应的响应消息回送给访问请求者。
3.3 SOAP网关的实现
Web Services主要以SOAP[7]消息进行通信,SOAP网关是Web Services访问控制的核心,对SOAP消息进行拦截、处理和转发,是XACML访问控制系统的关键实现。我们利用微软WSE[8]技术构建SOAP消息路由器,并在该路由器中添加XACML访问控制功能,以实现SOAP网关。
WSE的命名空间Microsoft.Web.Services3. Addressing和Microsoft.Web.Services3.Referral提供了对WS-Addressing(Web Services Addressing Protocol,Web服务寻址协议)和WS-Referral(Web Services Referral Protocol,Web服务指引协议)规范的支持。通过创建基于.NET的Web应用程序(站点或虚拟目录),并依据WS-Referral规范配置服务指引文件,然后在Web应用程序配置文件中引入WSE运行时的支持,就可以实现一个简单的SOAP路由器。以下是实现步骤:
(1) 创建文件夹Router,并在IIS 6.0下把它发布为一个站点或虚拟目录(假设为http://www.plaieu.edu.cn/Router);
(2) 在文件夹Router下创建服务指引文件referralCache. config,编写相应的服务路由指令;
(3) 在文件夹Router下创建Web应用程序配置文件Web.config,在文件中添加microsoft.web.services3配置节,配置<referral>元素关联referralCache.config文件。在该配置文件的<httpHandlers>节配置将所有对后缀名为“.asmx”的文件的HTTP请求交由路由处理器类SoapHttpRouter处理。
通过以上步骤,虚拟目录“http://www.plaieu.edu.cn/ Router”即成为一个SOAP消息路由器。在将SOAP消息转发前必须能够对SOAP消息进行处理,以实现访问控制功能,使SOAP路由器成为一个真正的SOAP网关。我们需要实现一个自定义的继承自SoapHttpRouter的类MyRoutingHandler,然后更改Web.config文件中<httpHandlers>配置节中路由处理器类为MyRoutingHandler,由MyRoutingHandler接管SOAP消息路由功能。然后,在MyRoutingHandler中重写父类SoapHttpRouter的ProcessRequestMessage方法,以实现对SOAP请求消息的访问控制,核心C#代码摘要如下:
protected override Uri
ProcessRequestMessage (SoapEnvelope message)
{ Uri uri_base = base.ProcessRequestMessage(message);
//准备XACML策略文档
PolicyDocument policy = GetPolicyFromXacml();
//生成策略决策请求
ContextDocument request = GetXacmlRequest(message);
//使用XACML.NET引擎评估策略决策请求
EvaluationEngine engine = new EvaluationEngine();
ResponseElement response=engine.Evaluate(policy,request);
//如果评估结果不是Permit,则拒绝访问
if (response.Results[0].Decision != Decision.Permit)
return null;
else
return uri_base;
}
4 系统在IEUPortal项目中的应用
IEUPortal项目旨在整合大学现有业务系统和数据,是提供综合信息查询、网上办公和业务处理的一体化服务门户。在IEUPortal中Web Services是重要的信息资源,特别是综合信息服务子系统的数据来源于各业务单位(教务处、研究处等)提供的Web Services。综合信息服务子系统则是一个整合各Web Services的ASP.NET Web应用程序。由于Web Services的开放性,如果不对其进行访问控制,任何互联的计算机均可获取它们的服务信息。为对敏感的Web Services资源进行保护,我们依据用户的属性信息(职务、部门、职称和IP地址等)、服务资源的信息和其它限制要求(如开放时间等)提供授权服务,并把Web Services的访问控制机制引入了IEUPortal的系统架构(如图4所示)。其中,统一认证/授权服务器集中存储和管理用户库、授权/策略库、资源库,为各子系统提供认证和授权服务。资源库收集了系统功能资源和所有需要保护的Web Services资源,Web Services资源以XML文档进行存储;系统管理员负责根据访问控制的要求制定XACML访问控制策略,供SOAP网关在执行策略决策时检索。用户访问门户网站时,首先得到基于功能/模块资源的粗粒度授权,然后通过门户网站请求Web Services获取具体信息,此时将受到SOAP网关的细粒度访问控制。另外,各业务单位的Web Services服务器要配置为只接受来自SOAP网关的SOAP请求,以避免SOAP网关被旁路。从IEUPortal的测试和应用情况来看,SOAP网关对敏感Web Services资源进行了有效的保护。
5 结 语
Web Services的安全问题是制约其发展的关键因素,而有效的访问控制机制是其发展的重要保证。基于属性的访问控制是一种有效的具备诸多特点的控制访问机制,能够适应Web Services环境下的访问控制要求。基于ABAC机制,利用XACML能够实现Web Services访问控制,该机制在IEUPortal项目中得到了较好的运用,同时验证了XACML访问控制系统的有效性。在具体实现中还需要进一步研究Web Services资源的细粒度表示方法。对Web Services资源属性(一般来自于资源本身的元数据)进行定义,以满足细粒度的访问控制要求,在此基础上实现资源的自动发现和自动收集,为授权服务提供更好的支撑。
摘要:为解决Web Services访问控制问题,分析了传统访问控制模型在Web Services应用中的不足,给出了面向Web Services的基于属性的访问控制模型ABAC(Attribute Based Access Control)的定义,设计了ABAC访问控制架构,并利用可扩展的访问控制标记语言XACMLe(Xtensible Access Control Markup Language)实现了细粒度的Web Services访问控制系统。系统的应用有效保护了Web Services资源。
关键词:ABAC,Web Services,访问控制,XACML
参考文献
[1]沈海波,洪帆.访问控制模型研究综述[J].计算机应用研究,2005(6):9-11.
[2]David F Ferraiolo,Ravi Sandhu,Serban Gavrila,et al.Proposed NISTStandard for Role-Based Access Control[J].ACM Transactions on In-formation and System Security,2001,4(3):224-274.
[3]Yuan E,Tong Jing.Attribute Based Access control(ABAC)forW ebServices[C]//Proc.of the IEEE International Conference on W ebServices.P iscataway,USA:IEEE Computer Society,2005:561-569.
[4]沈海波,洪帆.面向W eb服务的基于属性的访问控制研究[J].计算机科学,2006,33(4):92-96.
[5]陈凯,郎波.面向分层式资源的基于属性的访问控制方法[J].计算机工程,2010,36(7):132-135.
[6]OASIS Standard.eX tensib le Access ControlMarkup Language(XAC-ML)Version 2.0[EB/OL].2008.http://docs.oasis-open.org/xac-m l/2.0/access_control-xacm l-2.0-core-spec-os.pdf.
[7]W3C Note.Simple ObjectAccess Protocol(SOAP)1.1[EB/OL].2000-05.http://www.w3.org/TR/2000/NOTE-SOAP-20000508/.08.
【ABAC成语】相关文章:
abac词语范文05-23
abac的词语范文06-06
abac型词语范文06-06
表示颜色的词语abac式04-20
成语成语知识总结06-25
成语大全成语谜语06-25
成语解释生肖成语06-25
成语解释和成语造句08-05
成语大全四字成语查询10-24
成语大全500四字成语06-05