動(dòng)態(tài)周期性RBAC系統(tǒng)中的SoD檢測(cè)策略.pdf

1、隨著信息技術(shù)的快速發(fā)展,訪問(wèn)控制已成為保護(hù)網(wǎng)絡(luò)信息安全的一種重要策略?；诮巧脑L問(wèn)控制(RBAC)是一種先進(jìn)的訪問(wèn)控制技術(shù),在各企業(yè)組織中得到了廣泛應(yīng)用。職責(zé)分離(SoD)作為RBAC中的一項(xiàng)重要安全原則,能夠限制不合理的授權(quán)關(guān)系,減少欺詐行為,使RBAC更加貼近于實(shí)際應(yīng)用。
　　SoD檢測(cè)是實(shí)現(xiàn)SoD的基礎(chǔ),引起了研究者的廣泛關(guān)注。目前,SoD檢測(cè)技術(shù)大都是在RBAC背景下實(shí)施的,而更加符合實(shí)際應(yīng)用的帶有時(shí)間約束的RBAC模型

2、中的SoD檢測(cè)技術(shù)還沒(méi)有得到解決。因此,如何有效地解決時(shí)間RBAC模型中的SoD檢測(cè),關(guān)系到SoD能否有效地應(yīng)用到時(shí)間RBAC模型中,也關(guān)系到RBAC的進(jìn)一步發(fā)展和應(yīng)用,是一個(gè)亟待解決的問(wèn)題。
　　首先,本文研究了RBAC模型中的SoD檢測(cè)技術(shù),并對(duì)標(biāo)準(zhǔn)RBAC模型中的SoD定義進(jìn)行分析,發(fā)現(xiàn)基于互斥角色的SoD實(shí)現(xiàn)容易受權(quán)限-角色指派和角色-角色指派關(guān)系更改的影響,因此,本文從互斥權(quán)限的角度重新定義了RBAC中的SoD,給出了靜

3、態(tài)職責(zé)分離(SSD)和動(dòng)態(tài)職責(zé)分離(DSD)的形式化定義,以及用戶(hù)-角色指派、權(quán)限-角色指派和角色-角色指派的SSD檢測(cè)算法。在檢測(cè)算法的設(shè)計(jì)過(guò)程中,為降低SoD定義和檢測(cè)的復(fù)雜性,本文引入了“部門(mén)”的概念,將一些專(zhuān)業(yè)性強(qiáng)的角色劃分到特定部門(mén)中,進(jìn)一步方便了SoD的實(shí)現(xiàn)。
　　其次,本文對(duì)帶有時(shí)間約束的RBAC中的SoD進(jìn)行了詳細(xì)研究,完整定義了周期性RBAC中基于互斥權(quán)限的SSD約束,包括弱SSD約束、強(qiáng)SSD約束和超強(qiáng)SSD約

4、束。并在無(wú)時(shí)間約束的SSD檢測(cè)算法基礎(chǔ)上，給出了周期性RBAC中用戶(hù)-角色指派、權(quán)限-角色指派和角色-角色指派的SSD檢測(cè)算法。該檢測(cè)算法能夠有效地檢測(cè)并消除動(dòng)態(tài)周期性RBAC中的SSD沖突,保證SSD策略的有效實(shí)施。
　　最后,本文給出了一個(gè)動(dòng)態(tài)周期性醫(yī)療系統(tǒng)的例子,真實(shí)詳細(xì)地模擬了醫(yī)療系統(tǒng)中SoD問(wèn)題。該系統(tǒng)具有四種功能:添加和刪除用戶(hù)/角色/周期性指派關(guān)系,對(duì)周期性指派請(qǐng)求進(jìn)行 SSD檢測(cè),顯示用戶(hù)/角色的權(quán)限歷史、角色的高