訪問控制中權(quán)限的研究與應(yīng)用.pdf

1、權(quán)限管理是訪問控制策略的核心之一，目前的權(quán)限管理模型存在訪問效率低，授權(quán)和權(quán)限管理復(fù)雜及訪問安全性差等特點(diǎn)。為了適應(yīng)電子商務(wù)、電子政務(wù)、企業(yè)信息化等行業(yè)安全訪問控制的需求，本文提出了針對B/S結(jié)構(gòu)的權(quán)限管理模型——PrivilegeManagementforB/SAccessControlFramework(PM4BSFramework)。該模型在結(jié)合DAC和RBAC優(yōu)勢的基礎(chǔ)上，引入了權(quán)能域和域繼承。該模型具有以下特點(diǎn)： 1)

2、應(yīng)用DAC作為用戶訪問權(quán)限的基礎(chǔ)，以權(quán)能鏈方式實(shí)現(xiàn)DAC。 2)在用戶權(quán)限控制中，為了提高訪問效率，減小權(quán)能鏈的長度，引入了用戶組和權(quán)能域，并實(shí)現(xiàn)權(quán)限域的繼承。 3)把負(fù)權(quán)限引入到DAC中，并給出了權(quán)限沖突的解決機(jī)制。 4)提出了有限權(quán)限機(jī)制。在用戶權(quán)限控制中，有限權(quán)限的繼承以權(quán)能域的繼承方式實(shí)現(xiàn)；在基于角色的授權(quán)策略中，有限權(quán)限的繼承以角色的繼承方式實(shí)現(xiàn)。同時給出了權(quán)能域和角色的繼承方法。 5)模型區(qū)分

3、了控制權(quán)限和訪問權(quán)限，細(xì)化了訪問控制粒度，并給出具體的權(quán)限檢索機(jī)制。 6)在基于角色的授權(quán)策略中，為了減少授權(quán)的復(fù)雜度和權(quán)限冗余，給出了角色定義原則、為角色分配權(quán)限原則、為用戶和用戶組分配角色原則，提出了以用戶組為授權(quán)中心的授權(quán)模式。 7)在權(quán)限撤銷方面提出了低復(fù)雜性的角色非關(guān)聯(lián)刪除算法；模型支持轉(zhuǎn)授權(quán)，給出權(quán)限控制機(jī)制和轉(zhuǎn)授權(quán)機(jī)制，引入基于時限的轉(zhuǎn)授權(quán)機(jī)制，實(shí)現(xiàn)了多極授權(quán)和分布授權(quán)。 綜上所述，本文的研究工作是