本文關(guān)鍵詞：支持資源管理的多域多級授權(quán)管理模型關(guān)鍵技術(shù)研究，由筆耕文化傳播整理發(fā)布。

【摘要】：網(wǎng)絡(luò)安全信任體系的建立對信息化建設(shè)起到至關(guān)重要的作用,授權(quán)管理是構(gòu)建網(wǎng)絡(luò)安全信任體系的關(guān)鍵技術(shù)。在多域環(huán)境的信息系統(tǒng)中,授權(quán)管理對象數(shù)量巨大、訪問控制需求靈活多樣,為授權(quán)管理的理論研究帶來了新的挑戰(zhàn)�，F(xiàn)有的授權(quán)管理模型往往針對某一方面的問題提出解決思路,沒有提供能夠同時解決動態(tài)、跨域和多級授權(quán)管理,同時兼顧資源管理問題的完整的多域多級授權(quán)管理模型,無法滿足應(yīng)用需求。本文針對多域環(huán)境下授權(quán)管理所面臨的挑戰(zhàn),圍繞域內(nèi)授權(quán)管理、跨域授權(quán)管理、多級授權(quán)管理、細粒度資源管理和多級資源管理等幾個問題,研究實用性強、可擴展性好的支持資源管理的多域多級授權(quán)管理模型,為多域多級環(huán)境下授權(quán)管理模型的理論研究奠定基礎(chǔ)。研究授權(quán)管理模型的安全分析與證明方法,以及職責(zé)分離策略的分析與判定,為授權(quán)管理模型的安全應(yīng)用提供支撐。本文的主要研究工作包括：(1)支持資源管理的多域多級授權(quán)管理模型。針對現(xiàn)有基于RBAC的訪問控制研究存在角色設(shè)置單一使得適應(yīng)性差,多域環(huán)境下存在角色或權(quán)限冗余,不能同時解決動態(tài)、跨域和多級授權(quán)管理及對資源管理關(guān)注不夠等問題,提出支持資源管理的多域多級授權(quán)管理模型。將ABAC中的屬性與RBAC相結(jié)合,實現(xiàn)細粒度的、動態(tài)的授權(quán)管理：通過雙層角色劃分,提出基于職能角色和任務(wù)角色的雙層角色架構(gòu),使得模型更加符合實際,也更具適應(yīng)性；引入組織的概念并與雙層角色相結(jié)合,對角色和權(quán)限的概念加以擴展,兼顧授權(quán)管理和資源管理,使得模型可支持多域多級授權(quán)管理和細粒度資源管理。該模型不僅保留了RBAC的特點與優(yōu)勢,可同時支持動態(tài)授權(quán)、細粒度授權(quán)、多級授權(quán)、跨域授權(quán)和多級資源管理,且比RBAC具有較低的復(fù)雜度并更適合于由多個相似組織構(gòu)成的分布式多域環(huán)境。(2)支持資源管理的多域多級授權(quán)管理模型的基本部分研究。在支持資源管理的多域多級授權(quán)管理模型基礎(chǔ)上,對其中解決單域環(huán)境下的域內(nèi)動態(tài)授權(quán)管理、細粒度資源管理等問題進行了研究,將屬性與角色相結(jié)合,實現(xiàn)基于屬性的用戶-角色動態(tài)分配、動態(tài)角色激活、動態(tài)權(quán)限繼承等,并基于屬性實現(xiàn)了會話角色可用權(quán)限的自動縮減,使得模型能夠很好地實現(xiàn)動態(tài)授權(quán)、細粒度授權(quán)并支持最小權(quán)限原則和職責(zé)分離原則。基于面向?qū)ο蟮乃枷雽Y源的統(tǒng)一描述、組織和管理問題展開研究,根據(jù)資源特征屬性及可支持的操作對資源進行分類管理,通過建立資源類型關(guān)系樹和資源有向樹,實現(xiàn)了資源類型的可擴展和資源粒度的可控制,深入分析資源類型及其操作之間關(guān)系,給出了權(quán)限衍生關(guān)系,實現(xiàn)了任務(wù)角色-權(quán)限的自動授權(quán),提高了授權(quán)管理效率,實現(xiàn)了類型可擴展、粒度可控制、權(quán)限可衍生的資源管理�；趧討B(tài)描述邏輯對模型的基本部分進行了形式化定義。(3)支持資源管理的多域多級授權(quán)管理模型的多域多級部分研究。針對現(xiàn)有研究在多級跨域分布式環(huán)境下存在的問題,對模型的基本部分進行多域多級環(huán)境的擴展,實現(xiàn)了多域多級環(huán)境下的授權(quán)管理。通過合理劃分管理范圍,將對管理范圍的權(quán)限分解為支配權(quán)與管理權(quán),解決現(xiàn)有RBAC管理模型中管理范圍劃分不明晰、管理權(quán)限分配不明確等問題。在跨域授權(quán)管理方面,提出跨域單向角色映射的思想,將職能角色劃分為域內(nèi)職能角色和跨域職能角色,又將跨域職能角色進一步劃分為起點角色和終點角色,確保域間訪問權(quán)限的單向流動,解決跨域角色映射中容易出現(xiàn)的權(quán)限隱蔽提升、域穿梭等安全問題。針對資源的多級管理,將資源類型進行全局和局部劃分,資源劃分為虛資源和實資源,通過引入虛實相結(jié)合的資源組織結(jié)構(gòu)和資源管理分支實現(xiàn)了資源管理權(quán)限的動態(tài)分配和委托,支持資源的分級、自治管理和管理權(quán)限的動態(tài)分配與回收�；趧討B(tài)描述邏輯對模型的多域多級部分進行了形式化定義。(4)授權(quán)管理模型中基于RBAC的授權(quán)管理安全準則。針對安全準則在授權(quán)管理安全性驗證中具有的重要作用,提出了基于RBAC的授權(quán)管理安全準則。以保障授權(quán)管理的安全性為目標,深入剖析了授權(quán)管理安全需求,從授權(quán)管理的正確性、權(quán)限的非預(yù)期撤銷,滿足職責(zé)分離原則、最小特權(quán)原則、權(quán)限隱蔽提升、權(quán)限滲透、管理權(quán)限撤銷與回收,及數(shù)據(jù)一致性、授權(quán)無冗余、結(jié)構(gòu)完整性等方面給出了授權(quán)正確性準則、授權(quán)安全性準則和授權(quán)完整性準則等授權(quán)管理安全準則。分析表明,該安全準則可支持現(xiàn)有的RBAC安全特性,能夠為基于RBAC授權(quán)管理的安全性提供有效支撐,為衡量其安全性提供標準和依據(jù)。(5)授權(quán)管理模型的安全性證明。基于授權(quán)管理安全準則,分別針對授權(quán)正確性、授權(quán)安全性和授權(quán)完整性準則三個方面給出不滿足安全準則的安全違反公式,對系統(tǒng)的不安全狀態(tài)進行了精確描述,基于動態(tài)描述邏輯DDL的推理驗證功能,分析了所有的授權(quán)管理操作均不能滿足安全違反公式。分析表明,授權(quán)管理模型能夠滿足授權(quán)正確性準則、授權(quán)安全性準則和授權(quán)完整性準則。因此,授權(quán)管理模型是相對安全的。(6)職責(zé)分離策略的一致性分析與判定方法。針對基于RBAC的授權(quán)管理模型中職責(zé)分離策略易存在冗余、沖突等一致性問題,提出了一種職責(zé)分離策略的一致性分析與判定方法。從職責(zé)分離策略之間的一致性和職責(zé)分離策略與權(quán)限衍生關(guān)系之間的一致性兩個方面對職責(zé)分離策略的一致性問題進行了分析。分別對兩種一致性問題進行了形式化定義并給出了相應(yīng)判定定理�；谝恢滦耘卸ǘɡ�,給出了職責(zé)分離策略的一致性判定算法,從正確性和復(fù)雜度兩個方面分析了算法的正確性和執(zhí)行效率,說明算法可有效判定系統(tǒng)中職責(zé)分離策略的一致性。
【關(guān)鍵詞】：多域環(huán)境 跨域 多級管理 授權(quán)管理 訪問控制 資源管理 基于角色的訪問控制模型 安全準則 動態(tài)描述邏輯 安全性分析 職責(zé)分離
【學(xué)位授予單位】：解放軍信息工程大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要4-6
• Abstract6-15
• 第一章 緒論15-39
• 1.1 研究背景15-18
• 1.2 相關(guān)研究現(xiàn)狀18-35
• 1.2.1 基本概念18-21
• 1.2.2 RBAC的起源與發(fā)展21-23
• 1.2.3 RBAC的相關(guān)研究現(xiàn)狀23-31
• 1.2.4 基于動態(tài)描述邏輯的安全性分析現(xiàn)狀31-35
• 1.3 論文的研究思路35-36
• 1.4 研究內(nèi)容36-38
• 1.5 本文的結(jié)構(gòu)安排38-39
• 第二章 支持資源管理的多域多級授權(quán)管理模型——基本部分39-89
• 2.1 問題描述39-41
• 2.2 支持資源管理的多域多級授權(quán)管理模型MDLAM41-45
• 2.2.1 MDLAM模型的基本思想41
• 2.2.2 MDLAM模型的總體結(jié)構(gòu)41-43
• 2.2.3 MDLAM模型的組成43
• 2.2.4 模型特點分析43-45
• 2.3 MDLAM模型的基本部分45-66
• 2.3.1 角色管理45-49
• 2.3.2 資源管理49-57
• 2.3.3 權(quán)限管理57-66
• 2.4 基于DDL的基本部分形式化描述66-87
• 2.4.1 基本部分的術(shù)語知識庫66-74
• 2.4.2 基本部分的授權(quán)管理操作74-87
• 2.5 本章小結(jié)87-89
• 第三章 支持資源管理的多域多級授權(quán)管理模型——多域多級部分89-125
• 3.1 問題概述89-90
• 3.2 MDLAM模型的多域多級部分90-100
• 3.2.1 多域多級部分應(yīng)滿足的安全需求90-91
• 3.2.2 主要思想91-92
• 3.2.3 基于組織層次結(jié)構(gòu)的多級授權(quán)管理92-94
• 3.2.4 基于單向角色映射的跨域授權(quán)管理94-96
• 3.2.5 基于資源管理分支的多級資源管理96-100
• 3.3 基于DDL的多域多級部分形式化描述100-124
• 3.3.1 多域多級部分的術(shù)語知識庫100-112
• 3.3.2 多域多級部分的授權(quán)管理操作112-124
• 3.4 本章小結(jié)124-125
• 第四章 授權(quán)管理模型中基于RBAC的授權(quán)管理安全準則125-138
• 4.1 問題描述125
• 4.2 授權(quán)管理的安全性分析125-126
• 4.3 基于RBAC的授權(quán)管理安全需求126-133
• 4.3.1 授權(quán)的正確性126-127
• 4.3.2 授權(quán)的安全性127-130
• 4.3.3 授權(quán)的完整性130-133
• 4.4 基于RBAC的授權(quán)管理安全準則133-136
• 4.4.1 授權(quán)正確性準則133
• 4.4.2 授權(quán)安全性準則133-135
• 4.4.3 授權(quán)完整性準則135-136
• 4.5 授權(quán)管理安全準則分析136-137
• 4.6 本章小結(jié)137-138
• 第五章 授權(quán)管理模型的安全性分析138-182
• 5.1 基于授權(quán)管理安全準則的安全違反公式138-146
• 5.1.1 針對授權(quán)正確性準則的安全違反公式138-139
• 5.1.2 針對授權(quán)安全性準則的安全違反公式139-143
• 5.1.3 針對授權(quán)完整性準則的安全違反公式143-146
• 5.2 模型基本部分的安全性分析146-169
• 5.2.1 授權(quán)管理操作滿足授權(quán)正確性準則146-150
• 5.2.2 授權(quán)管理操作滿足授權(quán)安全性準則150-160
• 5.2.3 授權(quán)管理操作滿足授權(quán)完整性準則160-164
• 5.2.4 資源管理操作滿足授權(quán)完整性準則164-169
• 5.3 模型多域多級部分的安全性分析169-181
• 5.3.1 多級授權(quán)管理操作滿足授權(quán)安全性準則169-172
• 5.3.2 多級授權(quán)管理操作滿足授權(quán)完整性準則172-173
• 5.3.3 跨域授權(quán)管理操作滿足授權(quán)正確性準則173-174
• 5.3.4 跨域授權(quán)管理操作滿足授權(quán)安全性準則174-178
• 5.3.5 跨域授權(quán)管理操作滿足授權(quán)完整性準則178-180
• 5.3.6 多級資源管理操作滿足授權(quán)安全性準則180
• 5.3.7 多級資源管理操作滿足授權(quán)完整性準則180-181
• 5.4 本章小結(jié)181-182
• 第六章 授權(quán)管理模型中職責(zé)分離策略的一致性分析與判定182-195
• 6.1 問題描述182-183
• 6.2 職責(zé)分離策略的一致性183-185
• 6.2.1 職責(zé)分離策略的定義與形式化描述183-184
• 6.2.2 職責(zé)分離策略的一致性分析184-185
• 6.3 職責(zé)分離策略之間的一致性185-186
• 6.3.1 一致性分析185
• 6.3.2 一致性定義與判定185-186
• 6.4 職責(zé)分離策略與權(quán)限衍生關(guān)系間的一致性186-189
• 6.4.1 一致性分析與定義186-188
• 6.4.2 一致性判定定理188-189
• 6.5 職責(zé)分離策略的一致性判定算法189-192
• 6.5.1 算法思想189-190
• 6.5.2 算法描述190-191
• 6.5.3 算法分析191-192
• 6.6 示例分析192-194
• 6.7 本章小結(jié)194-195
• 第七章 結(jié)束語195-199
• 7.1 主要工作總結(jié)195-197
• 7.2 有待進一步研究的問題197-199
• 致謝199-201
• 參考文獻201-213
• 作者簡歷 攻讀博士學(xué)位期間完成的主要工作213-214

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 任志宇;陳性元;;基于屬性的用戶-角色委派模型可達性分析[J];計算機應(yīng)用;2014年02期

2 任志宇;陳性元;單棣斌;;基于雙層角色映射的跨域授權(quán)管理模型[J];計算機應(yīng)用;2013年09期

3 李瑞軒;魯劍鋒;李添翼;辜希武;唐卓;;一種訪問控制策略非一致性沖突消解方法[J];計算機學(xué)報;2013年06期

4 王超;陳性元;;基于加權(quán)熵的訪問控制策略安全性分析研究[J];電子學(xué)報;2013年01期

5 張斌;張宇;;基于屬性和角色的訪問控制模型[J];計算機工程與設(shè)計;2012年10期

6 劉淼;李鵬;湯茂斌;唐春明;;結(jié)合屬性和角色的Web服務(wù)訪問控制[J];計算機工程與設(shè)計;2012年02期

7 吳檳;馮登國;;多域環(huán)境下基于屬性的授權(quán)委托模型[J];軟件學(xué)報;2011年07期

8 常亮;陳立民;;基于動態(tài)描述邏輯DDL的動作理論[J];計算機科學(xué);2011年07期

9 黃廷森;葉春曉;胡海波;;網(wǎng)格環(huán)境下基于屬性的訪問控制策略合成研究[J];計算機應(yīng)用研究;2011年07期

10 王婷;陳性元;張斌;任志宇;王魯;;基于互斥角色約束的靜態(tài)職責(zé)分離策略[J];計算機應(yīng)用;2011年07期

中國博士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 廖俊國;多域環(huán)境下的授權(quán)管理模型研究[D];華中科技大學(xué);2007年

  本文關(guān)鍵詞：支持資源管理的多域多級授權(quán)管理模型關(guān)鍵技術(shù)研究，，由筆耕文化傳播整理發(fā)布。

本文編號：457813