基于SaaS的科研項目管理系統(tǒng)的訪問控制研究與應(yīng)用.pdf

1、當(dāng)前云計算不斷興起，其中SaaS模式的提出和應(yīng)用解決了傳統(tǒng)科研項目管理系統(tǒng)中“一對一”的服務(wù)模式。但是如何在保證靈活性、安全性的前提下，實現(xiàn)SaaS供應(yīng)商和租戶之間以及系統(tǒng)內(nèi)部的訪問控制也就成了新的問題。本文提出了將科研項目管理系統(tǒng)與SaaS服務(wù)模式結(jié)合，建立了基于任務(wù)和角色的訪問控制模型，以提升系統(tǒng)管控的靈活性。
　　本文首先對SaaS模式下的科研項目管理系統(tǒng)進行了詳細的訪問控制特性分析，闡述了其系統(tǒng)具有大業(yè)務(wù)量，且需要自行靈活

2、配置的特點，導(dǎo)致權(quán)限分配控制過度復(fù)雜化，很容易引起權(quán)限管理的不一致，產(chǎn)生沖突。然后針對SaaS模式下科研項目管理系統(tǒng)的訪問控制提出一種改進的基于任務(wù)與角色的訪問控制模型，并命名為SRP-TRBAC。此模型保留了TRBAC模型動態(tài)授權(quán)的優(yōu)點，并且解決了與SaaS之間的跨越判斷問題，也在一定程度上解決了系統(tǒng)訪問控制過程的安全性問題。
　　本文著重針對SaaS模式下的科研項目管理系統(tǒng)的訪問控制提出的SRP-TRBAC模型進行研究。該模型

3、在傳統(tǒng)的基于任務(wù)與角色的訪問控制的基礎(chǔ)上進行改進，首先通過SaaS約束來判斷并約束用戶的最初權(quán)限，使得SaaS軟件供應(yīng)商能夠動態(tài)控制租戶租賃服務(wù)所對應(yīng)的權(quán)限。然后將模型中的任務(wù)設(shè)定時間約束和優(yōu)先級的屬性，時間約束規(guī)則使權(quán)限隨著任務(wù)的激活或撤銷而產(chǎn)生或失效，解決了用戶擁有權(quán)限時間過長而可能實施非法操作以此影響系統(tǒng)安全性的問題。任務(wù)優(yōu)先級則是在某用戶同時接受到不同任務(wù)時根據(jù)任務(wù)優(yōu)先級別來決定處理順序，解決了突發(fā)性的任務(wù)調(diào)度問題。另外為防止S

4、aaS供應(yīng)商的超級管理員與科研項目管理系統(tǒng)的超級管理員權(quán)限過大而造成的潛在安全問題，模型中將角色進一步擴展，除了超級管理員之外，增加審計員和安全員，形成三權(quán)分立，實現(xiàn)相互制約。此模型的訪問控制規(guī)則鏈由最小權(quán)限規(guī)則、特權(quán)分離規(guī)則、時間約束規(guī)則、職責(zé)分離約束規(guī)則組成，限定了權(quán)限的使用范圍，也保證了系統(tǒng)的安全性，還靈活的實現(xiàn)了系統(tǒng)的動態(tài)授權(quán)。該模型將“角色”以及“任務(wù)”同時放到訪問控制模型中心，采用了靜態(tài)職責(zé)分離與動態(tài)職責(zé)分離相結(jié)合的方式對指