RBAC訪問(wèn)控制方法的改進(jìn)與應(yīng)用.pdf

1、人們對(duì)訪問(wèn)控制技術(shù)的探索已擁有很長(zhǎng)的歷史，各種訪問(wèn)控制模型層出不窮。伴隨當(dāng)今互聯(lián)網(wǎng)技術(shù)、電子技術(shù)、無(wú)線網(wǎng)絡(luò)技術(shù)以及分布式網(wǎng)絡(luò)技術(shù)的逐漸成熟，物聯(lián)網(wǎng)和云計(jì)算等新一波技術(shù)浪潮正席卷而來(lái)，構(gòu)成了今天規(guī)模巨大而混雜的泛化WEB服務(wù)網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)系統(tǒng)發(fā)展的越快，其威脅也相應(yīng)增多。生存于如此龐大的網(wǎng)絡(luò)環(huán)境下的應(yīng)用系統(tǒng)的脆弱性在所難免，如何保證信息系統(tǒng)的安全一直是長(zhǎng)期備受關(guān)注的問(wèn)題。
　　訪問(wèn)控制技術(shù)的思想和方法以其強(qiáng)大的安全保護(hù)能力廣泛應(yīng)用于

2、網(wǎng)絡(luò)信息系統(tǒng)的各個(gè)領(lǐng)域，針對(duì)不同的網(wǎng)絡(luò)環(huán)境出現(xiàn)了各種適用于特定網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制模型。然而，單獨(dú)使用一種訪問(wèn)控制模型已經(jīng)不能適用于當(dāng)今開(kāi)放式、大規(guī)模的web服務(wù)網(wǎng)絡(luò)環(huán)境，特別是當(dāng)今分布式、移動(dòng)性、云等各種計(jì)算模式的興起，對(duì)細(xì)粒度、全面約束、多級(jí)安全的訪問(wèn)控制模型的研究提出了更高的要求。為了建立一個(gè)具備更全面約束能力、多級(jí)安全的訪問(wèn)控制模型，本文采用RBAC與ABAC、基于時(shí)態(tài)的訪問(wèn)模型相結(jié)合的思想對(duì)傳統(tǒng)的基于角色的訪問(wèn)控制模型進(jìn)行改進(jìn)

3、與擴(kuò)展，充分考慮了時(shí)間屬性約束，提出了一個(gè)新的基于角色的訪問(wèn)控制模型。
　　基于角色的訪問(wèn)控制模型在當(dāng)今復(fù)雜大型系統(tǒng)的應(yīng)用中存在著授權(quán)機(jī)制不夠靈活、授權(quán)模式單一、角色劃分粒度不夠細(xì)致、角色靈活性差、不能支持對(duì)時(shí)間敏感的應(yīng)用等的不足，本文對(duì)其進(jìn)行如下幾方面的改進(jìn)：
　　1．對(duì)基于角色的訪問(wèn)控制模型中的用戶(hù)角色、會(huì)話、權(quán)限等元素添加時(shí)間屬性約束，設(shè)計(jì)適用于時(shí)間敏感的應(yīng)用系統(tǒng)的訪問(wèn)控制模型。
　　2．采用密級(jí)管理，實(shí)現(xiàn)用戶(hù)、

4、角色、權(quán)限以及文件的分級(jí)管理，將用戶(hù)、角色以及文件密級(jí)分級(jí)對(duì)應(yīng)，構(gòu)建以密級(jí)劃分的多級(jí)安全系統(tǒng)，解決粗粒度的角色劃分。
　　3．采用分級(jí)授權(quán)、自主授權(quán)、群組授權(quán)相結(jié)合的授權(quán)方式，提出授權(quán)模板概念，解決授權(quán)的重復(fù)問(wèn)題，備份授權(quán)機(jī)制，簡(jiǎn)化授權(quán)流程，以提高授權(quán)效率。
　　4．提出邏輯安全組概念對(duì)角色概念加以擴(kuò)充，邏輯安全組可以臨時(shí)被建立并在任務(wù)完成后被解散，以此解決臨時(shí)授權(quán)問(wèn)題，提高角色的靈活性。
　　本文最后闡述了以上提出的