訪問控制的權(quán)限委托模型研究與實(shí)現(xiàn).pdf

1、訪問控制作為信息系統(tǒng)的安全性服務(wù)，是通過恰當(dāng)?shù)乜刂圃L問主體對(duì)信息資源的訪問及操作來實(shí)現(xiàn)系統(tǒng)業(yè)務(wù)資源安全性的管理方法，以保障信息的機(jī)密性、完整性、可用性。訪問控制研究至今，從傳統(tǒng)的自主訪問控制、強(qiáng)制訪問控制，到當(dāng)今應(yīng)用最廣泛的基于角色的訪問控制及其一系列擴(kuò)展，在安全性、靈活性、易管理和易維護(hù)多方面越來越完善。權(quán)限委托作為訪問控制的一種擴(kuò)展，一定程度上實(shí)現(xiàn)了權(quán)限持有者對(duì)權(quán)限的自由分配。然而，雖然委托機(jī)制增加了訪問控制的靈活性，卻對(duì)安全性與管

2、理性能提出了挑戰(zhàn)?；镜奈袡C(jī)制采用粗粒度的權(quán)限委托，這不僅便于實(shí)現(xiàn)，而且更重要是可保證操作和管理的高效率。但是，這種粗粒度的委托很可能因包含了不應(yīng)委托的細(xì)微權(quán)限而導(dǎo)致安全隱患。為了克服這個(gè)困難，多數(shù)基于角色的訪問控制委托模型的通過角色的較細(xì)粒度劃分，實(shí)現(xiàn)細(xì)粒度的權(quán)限委托。這種方案雖然降低了權(quán)限委托帶來的安全風(fēng)險(xiǎn)，但又帶來了新的問題，最明顯的就是造成角色數(shù)量激增，操作和維護(hù)管理難度大大增加。同時(shí)，針對(duì)權(quán)限委托的靈活性要求，許多研究者還對(duì)

3、委托的時(shí)限性和受限傳播性進(jìn)行了探討，具體包括委托時(shí)限、權(quán)限撤銷、受托者對(duì)權(quán)限的再委托等，而這些要素又會(huì)進(jìn)一步使得問題成倍復(fù)雜化。因此，訪問控制的權(quán)限委托不是單一方向的簡(jiǎn)單問題，如何綜合權(quán)限委托需求、安全性、易用性、維護(hù)管理的效率、多維度約束，考慮權(quán)限委托的粒度、動(dòng)態(tài)性，有諸多亟待研究的課題。針對(duì)這一背景，本文做了如下工作：
　　①對(duì)各類訪問控制的模型進(jìn)行了闡述，特別分析了基于角色的訪問控制模型；對(duì)權(quán)限委托模型進(jìn)行了系統(tǒng)性分析，總結(jié)