一种通用访问控制管理模型

摘要

目前的访问控制管理模型都是针对某种特定的访问控制模型提出的,不能适应多访问控制模型共存于一个大型系统的情况,一个管理模型不能同时适用于多访问控制模型的主要原因是管理者管理范围定义包含了某种访问控制模型中特有的组件.通过使用各种访问控制模型中共有的主体和权限来定义管理模型中的管理范围,将管理模型与访问控制模型之间的关系抽象为一个用于计算策略相关管理范围的函数,提出了一种能够用来管理不同访问控制模型的通用访问控制管理模型,为了便于模型实际使用,在模型中引入管理空间的概念与实际组织结构相对应,形成分布式访问控制管理结构,同时模型严格区分了管理空间的直接管理者和间接管理者在管理权限上的不同,使得管理者具有一定的自治性.最后讨论了管理模型中的管理规则和语义,证明了模型的完备性,并讨论和分析了针对不同访问控制模型的policy*算法.