基于角色的跨域使用控制模型及其应用研究

摘要

随着互联网规模的日益扩大,分布式开放环境中的信息共享和资源交换的需求与日俱增。域间的跨域访问通过提供分布式资源共享的方式,提高了资源的利用率,同时也带来了跨域安全问题。如何实现跨域授权与访问控制成为当前网络安全领域亟待解决的关键问题,具有重要的研究价值。多域环境下的访问控制具有异构性、并发性和可变性等特点,传统基于角色的访问控制(Role Based Access Control, RBAC)采用集中式管理方法,已不能满足分布式环境下跨域互操作的安全需求。使用控制(Usage Control, UCON)模型是新一代访问控制模型,可满足现代信息系统安全需求的属性易变性和连续控制等要求。
　　本文将针对多自治域之间互操作安全需求,在RBAC和UCON模型的基础上,深入研究基于角色的跨域使用控制模型及其应用实现技术,主要工作如下:(1)提出了一个基于角色的跨域使用控制模型CD_UCON。在分析了目前常用的几种访问控制技术及存在的局限性基础上,将便于授权管理的角色概念引入了使用控制模型,通过分析分布式环境对访问控制的安全需求,针对多域异构的开放环境,角色映射存在的客观局限性,利用属性映射机制构建了基于角色的跨域使用控制模型CD_UCON(Cross-Domain UCON)。该模型结合了RBAC的权限机制和使用控制模型的框架,对UCON模型中的属性、授权等要素进行了详细研究。(2)研究了CD_UCON模型的映射机制和授权规则。通过映射规则实现跨域交互,并实现了访问控制中属性易变性和连续性的要求。论文结合物资采购管理系统,探讨了CD_UCON模型在实际中的应用及安全性。(3)将访问控制的时间特性引入到研究模型CD_UCON中。对时间特性进行了分析,提出了具有时限的CD_UCON模型,对时间特性进行了扩展,将用户属性与时间约束进行关联,动态控制用户使用资源的时间约束。(4)对模型在物资采购管理系统中进行了应用实现。从物资采购管理系统应用环境出发,分析了物资采购管理的安全需求和对访问控制的需要,将RBAC模型和UCON模型的特点融入到物资采购管理系统中,给出了系统的访问控制模块框架和数据库实现,举例说明了模型在物资采购管理系统中的应用。

目录

摘要

Abstract

第一章 绪论

1.1 课题研究背景和意义

1.2 访问控制的研究现状

1.3 本文的主要工作及组织结构

1.3.1 本文的主要工作

1.3.2 本文的组织结构

第二章 访问控制模型研究

2.1 基于角色的访问控制模型RBAC

2.2 基于属性的访问控制模型ABAC

2.3 使用控制模型UCON

2.4 本章小结

第三章 基于角色的跨域使用控制模型(CD_UCON)

3.1 CD_UCON模型的总体结构

3.1.1 CD_UCON模型的基本思想

3.1.2 CD_UCON模型结构

3.2 CD_UCON模型的角色与属性映射

3.2.1 属性分类

3.2.2 跨域映射规则

3.3 CD_UCON的域间授权

3.3.1 授权规则

3.3.2 授权规则的连续性

3.4 CD_UCON模型的访问流程和属性更新流程

3.4.1 CD_UCON模型的域内和跨域访问控制流程

3.4.2 属性的更新机制

3.5 CD_UCON模型的实现机制

3.6 本章小结

第四章 具有时限的CD_UCON模型研究

4.1 时间约束特性分类

4.2 具有时限的基于角色的跨域使用控制模型

4.2.1 基本的访问控制决策模型

4.2.2 RBAC模型与时间的结合

4.2.3 具有时限的基于角色的单域访问控制决策模型

4.2.4 具有时限的基于角色的跨域使用控制模型

4.3 安全性分析

4.4 本章小结

第五章 具有时限的CD_UCON模型的应用

5.1 系统概述

5.2 系统设计与实现

5.2.1 系统的访问控制架构

5.2.2 数据库设计

5.2.3 系统应用实例

5.3 本章小结

第六章 总结与展望

6.1 总结

6.2 展望

参考文献

致谢

作者简介