基于屬性值變異的動(dòng)態(tài)角色訪問控制模型及訪問控制策略正確性驗(yàn)證.pdf

1、訪問控制是信息安全中保證數(shù)據(jù)機(jī)密性和完整性的有效機(jī)制，尤其是基于角色的訪問控制模型更是獲得了廣泛的應(yīng)用。然而隨著云計(jì)算、物聯(lián)網(wǎng)等新型系統(tǒng)的出現(xiàn)，數(shù)據(jù)呈爆炸式增長，用戶數(shù)也呈現(xiàn)出急速上升的現(xiàn)象，進(jìn)而使得傳統(tǒng)角色訪問控制模型中用戶角色的分配與管理的復(fù)雜性日益增大，其在擴(kuò)展性和性能上面已經(jīng)不能滿足要求。另一方面，訪問控制本質(zhì)是對(duì)數(shù)據(jù)的安全性提供保障，對(duì)數(shù)據(jù)安全性的保障核心在于構(gòu)成訪問控制模型的策略的正確性，而目前對(duì)驗(yàn)證構(gòu)成訪問控制模型策略正確

2、性的研究還是比較少的。
　　本文在傳統(tǒng)角色訪問控制的基礎(chǔ)上，提出了一種新的訪問控制模型-基于屬性值變異的動(dòng)態(tài)角色訪問控制模型。首先對(duì)角色添加屬性來實(shí)現(xiàn)角色由靜態(tài)到動(dòng)態(tài)的轉(zhuǎn)變，提高了角色訪問控制的擴(kuò)展性，其次在對(duì)資源的操作上引入繼承的概念，而在角色分配單位上引入用戶組的概念，以避免重復(fù)冗余的授權(quán)，提高了訪問控制系統(tǒng)的性能。為保證設(shè)計(jì)的訪問控制模型策略的正確性，設(shè)計(jì)規(guī)則覆蓋性測(cè)試與規(guī)則完備性測(cè)試，通過測(cè)試提高模型的可信度。論文的主要工

3、作如下:
　　1.論文首先對(duì)傳統(tǒng)角色訪問控制模型中的角色添加屬性，由角色與屬性共同決定權(quán)限，通過變異屬性值實(shí)現(xiàn)角色由靜態(tài)到動(dòng)態(tài)的轉(zhuǎn)變，盡可能避免創(chuàng)建性質(zhì)相同而權(quán)限不同的角色，以簡(jiǎn)化角色的管理。其次，對(duì)資源的“增”、“刪”、“改”、”查”、“讀”引入“繼承”概念實(shí)現(xiàn)對(duì)資源基本操作的關(guān)聯(lián)分配，角色通過被分配子操作權(quán)限而自動(dòng)被分配父操作的權(quán)限，減少角色權(quán)限分配次數(shù)。
　　2.在基于屬性值變異的動(dòng)態(tài)角色訪問控制基礎(chǔ)上，我們將角色的分

4、配單位用戶擴(kuò)展為用戶集合簡(jiǎn)稱“用戶組”，將擁有相同角色的用戶歸納到組，以組進(jìn)行角色分配，組內(nèi)用戶自動(dòng)繼承組的角色。其次，考慮到組內(nèi)用戶之間的差異性（組內(nèi)用戶擁有相同角色的同時(shí)也擁有各自特有的角色），將分配單位擴(kuò)展為用戶與用戶組，對(duì)用戶組分配公共角色，對(duì)用戶分配特有角色，減少原本公共角色的重復(fù)分配問題。
　　3.為測(cè)試構(gòu)成動(dòng)態(tài)角色訪問控制模型策略的正確性，提出基于模型檢測(cè)的覆蓋性測(cè)試與完備性測(cè)試。其基本思想將規(guī)則集及其變異分別視為模