一种基于T-RBAC的访问控制模型的研究与应用

摘要

随着计算机网络的迅速普及和网络应用在社会生活各个层面中的日益深入，网络安全成为了一个重要问题。访问控制是国际标准化组织ISO在网络安全标准(IS07498-2)中定义的安全信息系统的基础架构中必须包含的五种安全服务之一。目前，基于角色的RBAC模型是主流的访问控制模型之一，它具有比传统的自主访问控制和强制访问控制提供了更高的灵活性和可扩展性。在此基础上提出的基于任务的角色访问控制T-RBAC模型，综合了RBAC中角色的概念和基于任务的访问控制模型TBAC中任务的概念，有效减小数据冗余，方便安全管理。然而，时间等约束条件的缺乏限制了该模型在对安全性要求较高的系统中的应用。
　　 本文针对扩展T-RBAC模型在军事环境中应用的问题进行了研究。首先系统地分析了自主访问控制、强制访问控制、基于角色的访问控制和基于任务的角色访问控制方法，总结了它们的特性和优缺点。其次分析了军事环境中对访问控制的特殊要求，并在此基础之上提出了一种军用的基于任务的角色访问控制方法，称为AT-RBAC模型。该模型在角色的授予和任务的执行过程中加入时间的约束条件，增加了时间特征；将角色间的继承分为开放式继承和封闭式继承两种方式，减小了继承粒度；同时提出了角色等级、任务优先级、任务的分类和任务之间相互依赖关系的概念：AT-RBAC模型有效的增强了约束限制，满足了军事环境中准确性和安全性要求。本文最后以军事自动化系统为例，详细讨论了AT-RBAC模型的应用问题，具体描述了该系统中各模块工作流程、数据库设计和主要代码部分的实现。经过测试验证，结果表明该系统能够实现AT-RBAC的预期功能，论证了设计方案在军事环境中的可行性。

目录

文摘

英文文摘

第1章 绪论

1.1 课题背景与意义

1.2 国内外研究现状

1.3 本文的主要工作

1.4 本文的组织结构

第2章 访问控制技术简介

2.1 访问控制策略概述

2.2 访问控制策略的简介

2.2.1 自主访问控制(DAC)

2.2.2 强制访问控制(MAC)

2.2.3 基于角色的访问控制(RBAC)

2.3 三种访问控制策略的比较

2.4 本章小结

第3章 RBAC技术和模型的研究

3.1 RBAC的基本概念

3.2 RBAC96模型

3.2.1 RBAC0模型

3.2.2 RBAC1模型

3.2.3 RBAC2模型

3.2.4 RBAC3模型

3.3 ARBAC97模型

3.3.1 URA97模型

3.3.2 PRA97模型

3.3.3 RRP97模型

3.4 基于角色和任务的访问控制模型T-RBAC

3.4 RBAC模型的特点讨论

3.5 本章小结

第4章 AT-RBAC模型

4.1 AT-RBAC模型的构建

4.2 时间约束(Temporal Constraint: TC)

4.2.1 时间的概念

4.2.2 时间约束的分类

4.2.3 时间约束在AT-RBAC模型中的应用

4.2.4 时间约束的表示形式

4.3 角色管理

4.3.1 角色继承的约束(Role Inheritance Constraint: RIC)

4.3.2 角色等级(Role Level: RL)

4.4 任务管理

4.4.1 任务的分类(Task Fraction: TF)

4.4.2 任务的优先级(Task Priority: TP)

4.4.3 任务间的相互依赖关系(Task Dependency: TD)

4.5 模型的安全性

4.5.1 最小特权原则

4.5.2 职责分离

4.5.3 时间限制

4.6 本章小结

第5章 AT-RBAC访问控制系统的设计与实现

5.1 军事指挥自动化系统的总体设计

5.2 权限控制系统的结构设计

5.3 权限控制系统应用服务的结构与流程

5.4 权限控制系统应用服务的模块设计

5.4.1 对象定义模块

5.4.2 角色定义模块

5.4.3 任务定义模块

5.4.4 权限定义模块

5.4.5 用户委派模块

5.4.6 任务授权模块

5.4.7 权限配置模块

5.5 权限控制系统的数据库设计

5.5.1 用户信息库

5.5.2 角色信息库

5.5.3 任务信息库

5.5.4 权限信息库

5.5.5 用户、角色、任务间的授权关系信息库

5.5.6 动态约束信息库

5.6 权限加载的实现

5.6.1 接口部分

5.6.2 权限加载的实现

5.7 开发与运行环境

5.8 性能测试

5.9 本章小结

第6章 总结与展望

参考文献

致谢