基于屬性值變異的動態(tài)角色訪問控制模型及訪問控制策略正確性驗證.pdf

1、訪問控制是信息安全中保證數(shù)據(jù)機密性和完整性的有效機制，尤其是基于角色的訪問控制模型更是獲得了廣泛的應(yīng)用。然而隨著云計算、物聯(lián)網(wǎng)等新型系統(tǒng)的出現(xiàn)，數(shù)據(jù)呈爆炸式增長，用戶數(shù)也呈現(xiàn)出急速上升的現(xiàn)象，進而使得傳統(tǒng)角色訪問控制模型中用戶角色的分配與管理的復(fù)雜性日益增大，其在擴展性和性能上面已經(jīng)不能滿足要求。另一方面，訪問控制本質(zhì)是對數(shù)據(jù)的安全性提供保障，對數(shù)據(jù)安全性的保障核心在于構(gòu)成訪問控制模型的策略的正確性，而目前對驗證構(gòu)成訪問控制模型策略正確

2、性的研究還是比較少的。
　　本文在傳統(tǒng)角色訪問控制的基礎(chǔ)上，提出了一種新的訪問控制模型-基于屬性值變異的動態(tài)角色訪問控制模型。首先對角色添加屬性來實現(xiàn)角色由靜態(tài)到動態(tài)的轉(zhuǎn)變，提高了角色訪問控制的擴展性，其次在對資源的操作上引入繼承的概念，而在角色分配單位上引入用戶組的概念，以避免重復(fù)冗余的授權(quán)，提高了訪問控制系統(tǒng)的性能。為保證設(shè)計的訪問控制模型策略的正確性，設(shè)計規(guī)則覆蓋性測試與規(guī)則完備性測試，通過測試提高模型的可信度。論文的主要工

3、作如下:
　　1.論文首先對傳統(tǒng)角色訪問控制模型中的角色添加屬性，由角色與屬性共同決定權(quán)限，通過變異屬性值實現(xiàn)角色由靜態(tài)到動態(tài)的轉(zhuǎn)變，盡可能避免創(chuàng)建性質(zhì)相同而權(quán)限不同的角色，以簡化角色的管理。其次，對資源的“增”、“刪”、“改”、”查”、“讀”引入“繼承”概念實現(xiàn)對資源基本操作的關(guān)聯(lián)分配，角色通過被分配子操作權(quán)限而自動被分配父操作的權(quán)限，減少角色權(quán)限分配次數(shù)。
　　2.在基于屬性值變異的動態(tài)角色訪問控制基礎(chǔ)上，我們將角色的分

4、配單位用戶擴展為用戶集合簡稱“用戶組”，將擁有相同角色的用戶歸納到組，以組進行角色分配，組內(nèi)用戶自動繼承組的角色。其次，考慮到組內(nèi)用戶之間的差異性（組內(nèi)用戶擁有相同角色的同時也擁有各自特有的角色），將分配單位擴展為用戶與用戶組，對用戶組分配公共角色，對用戶分配特有角色，減少原本公共角色的重復(fù)分配問題。
　　3.為測試構(gòu)成動態(tài)角色訪問控制模型策略的正確性，提出基于模型檢測的覆蓋性測試與完備性測試。其基本思想將規(guī)則集及其變異分別視為模