基于扩展RBAC模型的钱塘权限管理系统研究与实现

摘要

信息技术的深入应用与飞速发展，使得信息安全问题日益突出，访问控制和权限管理是系统安全体系中的重要环节。论文针对大型分布式系统中权限管理混乱及开发复用费用高等问题，结合国家发改委高技术产业化项目，面向金融证券等高端行业，研制统一的权限管理基础框架—钱塘权限管理服务中间件(JTangPMI)，实现了异构安全模型的融合、权限管理、跨域访问控制、安全审计等常用安全服务，提高信息系统的开发效率，简化企业用户的安全管理负担。
　　 论文针对经典RBAC(Role—Based Access Control基于角色的访问控制)模型在复杂应用系统中操作繁琐以及难以映射组织结构等不足之处，提出了支持角色双向继承的约束RBAC模型，通过虚拟角色层次结构及其约束关系，该模型可以增强系统安全访问，并提供更灵活的授权机制；同时针对分布式环境中授权决策通常要考虑不同的上下文环境信息等特点，我们定义了上下文约束来增强模型功能。
　　 针对现有PMI(Privilege Management Infrastructure权限管理基础设施)系统对分布式应用及跨域授权管理支持不足等问题，论文提出了改进的分布式PMI框架，该框架基于本文提出的约束RBAC模型，同时设计了基于XACML的JTangPMI授权策略，定义了策略的结构，并研究了基于策略的访问控制流程。
　　 文章还对SOD(Separation Of Duty责任分离)约束条件下的授权冲突情况进行详细分析，并给出了相应的冲突检测方法；同时设计了本文的约束RBAC模型的访问控制关键算法。最后，介绍钱塘权限管理服务中间件系统的设计和实现，并在恒生电子证券交易系统中得到了应用验证。

目录

文摘

英文文摘

论文说明：图表目录

声明

第1章 绪论

1.1 引言

1.2 国内外现状

1.2.1相关产品介绍

1.2.2技术发展趋势

1.2.3面临的挑战和存在的问题

1.3 论文的课题背景和研究内容

1.4 本章小结

第2章 JtangPMI权限管理架构

2.1 PMI技术

2.1.1 PMI基本概念

2.1.2 PMI的权限管理模式

2.1.3 PMI系统架构

2.2 JTangPMI系统架构

2.2.1需求背景

2.2.2总体架构

2.2.3系统特点与优势

2.3 本章小节

第3章 基于扩展RBAC的分布式PMI

3.1 基于角色的访问控制

3.1.1访问控制概述

3.1.2 RBAC96模型结构

3.1.3经典RBAC的不足

3.2 支持角色双向继承的约束RBAC模型

3.2.1 BI-RBAC模型定义

3.2.2虚拟角色与双向继承

3.2.3增强约束集

3.3 基于扩展RBAC的PMI模型

3.3.1 JTangPMI模型结构

3.3.2模型的工作流程

3.4 授权策略和策略管理

3.4.1 JTangPMI授权策略

3.4.2基于XACML的策略管理

3.5 本章小节

第4章 冲突检测和访问控制算法

4.1 责任分离约束的冲突检测

4.2.1冲突情况分析

4.2.2责任分离约束的检测

4.2.3权限角色分配时的SOD检测

4.2.4权限分配和角色分配中的SOD检测

4.2.5角色层次关系中的SOD约束检测

4.2 访问控制关键算法设计

4.3.1角色分配算法

4.3.2权限分配算法

4.3.3权限验证算法

4.3 本章小节

第5章 权限管理中间件系统的实现与应用

5.1 权限管理系统设计

5.1.1总体模块设计

5.1.2数据模块设计

5.1.3功能模块设计

5.2 关键流程和外部接口

5.2.1系统关键流程

5.2.2外部接口

5.3 系统实现

5.3.1人员组织角色管理

5.3.2资源管理

5.3.3授权管理

5.3.4扩展字段配置

5.4 系统应用

5.4.1实例开发流程

5.4.2应用总结

5.5 本章小节

第6章 总结与展望

6.1 工作总结

6.2 未来展望

参考文献

致谢

附录