分布式環(huán)境下基于部分角色的轉授權模型的研究.pdf

1、在開放、分布的環(huán)境中實現(xiàn)資源共享，傳統(tǒng)的認證加訪問控制列表的授權機制不再適用。同時，分布式環(huán)境下的系統(tǒng)管理工作繁重，若還需要管理者參與系統(tǒng)中所有的授權行為，則更加重了系統(tǒng)的管理負擔。基于角色的轉授權技術允許將分布式環(huán)境中的集中式授權工作分散實施，是解決分布式系統(tǒng)中授權問題的重要技術。 當前對基于角色的轉授權問題的研究主要從兩個方向進行：系統(tǒng)對角色成員指派權的轉授和角色用戶對其所享受的權限的轉授。然而，當前的模型不能很好地融合這兩

2、種轉授權，同時未能解決部分權限轉授的問題。針對這些問題，本文主要的工作有： 首先，本文設計了一個基于部分角色的綜合轉授權模型PRIDM05。該模型定義了四種類型的角色：常規(guī)角色、可轉授角色、轉授角色和指派角色。角色用戶享受的所有權限指派給常規(guī)角色，將用戶可轉授的權限指派給可轉授角色，限制了用戶轉授權限的范圍。轉授角色分為系統(tǒng)轉授角色和用戶轉授角色，系統(tǒng)或用戶將某個可轉授角色權限的子集指派給這些轉授角色，進行初始的轉授。同時在后繼

3、轉授過程中，使用由01序列組成的屏蔽值，屏蔽轉授角色中不轉授的權限，這兩點實現(xiàn)了基于部分角色的轉授權，同時對轉授施加了一種可傳遞的約束條件。指派角色中的權限是對某個角色的指派權，用來實現(xiàn)對角色用戶指派權的顯示轉授。定義了轉授路徑和標記轉授圖，從撤銷是否依賴授權者的角度出發(fā)，定義了三種類型的層疊撤銷方案。 其次，本文實現(xiàn)了一個基于約束邏輯程序的轉授控制引擎的原型，以形式化的方法說明模型的合理性。為每個轉授角色所指派的權限分配唯一標

4、識號，使用集合約束靈活地實現(xiàn)了模型中mask值屏蔽的方法和傳遞的轉授對象約束的方法，同時采用整數約束實現(xiàn)了對轉授長度實施傳遞的約束。本文描述了策略數據庫中的27條策略規(guī)則，這些規(guī)則能夠很好地對基于部分角色的轉授權和轉授權的撤銷進行判定。對于約束邏輯程序的推論的問題，本文采用的算法在滿足自底向上推論的可終止性和自頂向下推論的目的導向性的同時，還適應分布式的策略推論。 本文提出的模型結合了兩種轉授權的優(yōu)點，有效地實現(xiàn)了權限轉授和權限