访问控制(access control)是信息系统安全的核心策略之一,它与信息加密(cryptography),身份认证(authentication),安全审计(auditing),入侵检测(intrusion detection),系统恢复(system recovery),风险分析(risk analysis)和安全保障(assurance)等系统安全理论与技术有机结合,构成了信息系统中存储、处理和传输数据的安全基础设施(infrastructure),这种基础设施为防止非授权用户访问系统资源和防止泄密数据提供了有效机制,以确保国家政治、军事和经济以及个人隐私信息安全。 访问控制模型用于表达信息系统安全的访问控制策略,对策略之间的一致性进行验证,并且为访问控制策略实施提供有效机制。实施访问控制策略的主要方法是授权(authorization)。由于90年代初提出的基于角色的访问控制模型RBAC(role-based access control model)具有策略中立、高效授权管理、组织结构与访问控制空间之间的自然映射关系等诸多优点,它已经被公认为目前最有发展潜力的新一代访问控制模型,正得到深入研究和广泛应用。现有的RBAC模型建立在一个共同假设基础上:授权管理任务(如创建角色、分配角色、撤消角色等)只能由授权管理用户完成,非授权管理用户对角色可能有使用权而没有管理权。然而,在分布式、网络和协同计算系统中,用户数量、权限数量和资源数量往往十分庞大,它们之间的关系复杂,因此集中式授权模型RBAC不能满足分布式、网络和协同计算系统的授权管理需要。访问控制模型必须具有用户与用户之间自主进行权限转移(授权)的能力,并且能够对这种权限转移进行有效控制,以确保分布式授权管理的安全性,增强分布式和大规模信息系统的访问控制灵活性和有效性。用户之间的权限转移称之为权限委托代理授权(delegation)。 本文深入分析了现有的基于角色的委托代理授权模型的缺陷,提出了新的角色委托代理授权准则;运用图理论、一阶谓词逻辑方法和事件代数理论,以目前被深入研究和广泛应用的ARBAC97模型为基础,提出了一种时态角色委托代理授权图模型TRDG(temporal role delegation graph model)。由于图模型所固有的分布式建模特点,建立在图理论基础上的TRDG模型对角色委托代理授权能够进行分布式建模。提出了一系列新的角色委托代理授权概念,定义了新的角色委托代理授权支持关系和授权链(chain),并对它们的性质进行了研究;提出了新的角色委托代理授权策略和授权撤消策略,给出了相应的策略实施算法;研究了角色委托代理授权约束;对TRDG模型的性质进行了分析;讨论了TRDG模型原型系统设计与实现的关键技术、数据流和主要数据结构。 本文的创新点主要包括: (1) 提出了8条新的角色委托代理授权准则,结合已有的7条委托代理授权准则,构成了一个比较完备的角色委托代理授权准则体系。 (2) 提出了新的角色委托代理授权概念、关系和图模型TRDG。定义角色委托代理授权为一个七元组:(委托代理授权时间,被委托代理授权角色,被委托代理授权角色的直接支持角色,委托用户,代理用户,委托代理授权直接支持用户,委托代理授权依赖的初始时态角色)。授权支持关系刻划了授权之间的局部依赖关系,授权链(chain)概念描述了授权之间的全局依赖关系。允许普通用户在其享有的时态角色基础上创建新角色,实现了完全/部分角色委托代理授权和可重复角色委托代理授权。 (3) 提出了单调和非单调角色委托代理授权策略、时间触发的角色委托代理授权撤消策略、级连与非级连角色委托代理授权撤消策略、带优先级的授权依赖角色委托代理授权撤消