分布式環(huán)境下基于部分角色的轉(zhuǎn)授權(quán)模型的研究.pdf

1、在開放、分布的環(huán)境中實現(xiàn)資源共享，傳統(tǒng)的認(rèn)證加訪問控制列表的授權(quán)機(jī)制不再適用。同時，分布式環(huán)境下的系統(tǒng)管理工作繁重，若還需要管理者參與系統(tǒng)中所有的授權(quán)行為，則更加重了系統(tǒng)的管理負(fù)擔(dān)。基于角色的轉(zhuǎn)授權(quán)技術(shù)允許將分布式環(huán)境中的集中式授權(quán)工作分散實施，是解決分布式系統(tǒng)中授權(quán)問題的重要技術(shù)。 當(dāng)前對基于角色的轉(zhuǎn)授權(quán)問題的研究主要從兩個方向進(jìn)行：系統(tǒng)對角色成員指派權(quán)的轉(zhuǎn)授和角色用戶對其所享受的權(quán)限的轉(zhuǎn)授。然而，當(dāng)前的模型不能很好地融合這兩

2、種轉(zhuǎn)授權(quán)，同時未能解決部分權(quán)限轉(zhuǎn)授的問題。針對這些問題，本文主要的工作有： 首先，本文設(shè)計了一個基于部分角色的綜合轉(zhuǎn)授權(quán)模型PRIDM05。該模型定義了四種類型的角色：常規(guī)角色、可轉(zhuǎn)授角色、轉(zhuǎn)授角色和指派角色。角色用戶享受的所有權(quán)限指派給常規(guī)角色，將用戶可轉(zhuǎn)授的權(quán)限指派給可轉(zhuǎn)授角色，限制了用戶轉(zhuǎn)授權(quán)限的范圍。轉(zhuǎn)授角色分為系統(tǒng)轉(zhuǎn)授角色和用戶轉(zhuǎn)授角色，系統(tǒng)或用戶將某個可轉(zhuǎn)授角色權(quán)限的子集指派給這些轉(zhuǎn)授角色，進(jìn)行初始的轉(zhuǎn)授。同時在后繼

3、轉(zhuǎn)授過程中，使用由01序列組成的屏蔽值，屏蔽轉(zhuǎn)授角色中不轉(zhuǎn)授的權(quán)限，這兩點(diǎn)實現(xiàn)了基于部分角色的轉(zhuǎn)授權(quán)，同時對轉(zhuǎn)授施加了一種可傳遞的約束條件。指派角色中的權(quán)限是對某個角色的指派權(quán)，用來實現(xiàn)對角色用戶指派權(quán)的顯示轉(zhuǎn)授。定義了轉(zhuǎn)授路徑和標(biāo)記轉(zhuǎn)授圖，從撤銷是否依賴授權(quán)者的角度出發(fā)，定義了三種類型的層疊撤銷方案。 其次，本文實現(xiàn)了一個基于約束邏輯程序的轉(zhuǎn)授控制引擎的原型，以形式化的方法說明模型的合理性。為每個轉(zhuǎn)授角色所指派的權(quán)限分配唯一標(biāo)

4、識號，使用集合約束靈活地實現(xiàn)了模型中mask值屏蔽的方法和傳遞的轉(zhuǎn)授對象約束的方法，同時采用整數(shù)約束實現(xiàn)了對轉(zhuǎn)授長度實施傳遞的約束。本文描述了策略數(shù)據(jù)庫中的27條策略規(guī)則，這些規(guī)則能夠很好地對基于部分角色的轉(zhuǎn)授權(quán)和轉(zhuǎn)授權(quán)的撤銷進(jìn)行判定。對于約束邏輯程序的推論的問題，本文采用的算法在滿足自底向上推論的可終止性和自頂向下推論的目的導(dǎo)向性的同時，還適應(yīng)分布式的策略推論。 本文提出的模型結(jié)合了兩種轉(zhuǎn)授權(quán)的優(yōu)點(diǎn)，有效地實現(xiàn)了權(quán)限轉(zhuǎn)授和權(quán)限