论文部分内容阅读
统一授权管理是各类信息系统和网络建设必不可少的信息安全技术平台,是网络安全信任体系建设的核心。其中对分布的各种资源进行统一管理是实现统一授权管理的重要前提和支撑。由于资源数量的激增、形态多样性和分布复杂性的增强,资源管理的可扩展性、规范性与安全性对授权管理产生深刻的影响,资源管理对授权管理的支撑性作用日益突出。然而现有授权管理的研究中,资源管理往往未受重视,缺乏深入系统的资源管理理论,资源的管理模式不具有通用性和可扩展性,影响着统一授权管理的实施和应用。为此,本文将资源管理从授权管理中单独提取出来作为专门的研究内容,提出面向授权管理的资源管理的概念,对面向授权管理的资源管理模型进行了深入系统的研究,旨在解决任意类型、任意粒度资源的统一管理问题,并为安全、规范的授权管理提供理论支撑。具体而言,本文的主要工作包括:1、提出了面向授权管理的资源管理的概念。指出资源管理及其安全性的重要支撑作用,并阐述了面向授权管理的资源管理的主要内容。2、创建了面向授权管理的资源管理基本模型。以面向对象思想为指导,根据资源的特征属性和可允许的操作对资源进行分类,通过建立和维护资源类型关系树实现资源的类型管理,将各种类型的资源组织为资源有向树,通过对资源类型关系树和资源有向树的动态管理,实现资源类型的可扩展和资源粒度的可控制;利用权限之间的衍生关系,实现自动授权,提高授权管理效率;通过制定资源管理安全约束和操作规则,保证授权过程中资源的安全规范管理。该模型具有类型可扩展、粒度可控制、权限可衍生的特性。3、针对分布式环境下资源分级管理的需求,提出了支持多级管理的资源管理扩展模型。在基本模型的基础上,通过引入虚实相结合的资源组织结构和资源管理分支的概念,实现资源管理权限的动态划分和委托;通过制定多级管理安全约束和操作规则,保证资源管理权限的安全委托。模型能够支持资源的分级、自治管理和管理权限的动态分配和回收,具有管理结构灵活、可扩展的特点。4、提出了面向授权管理的资源管理安全准则。以保障授权管理的安全性为目标,深入剖析了面向授权管理的资源管理安全需求,给出了一致性准则、权限无泄漏准则和职责分离准则等三项资源管理安全准则,该安全准则能够为授权管理的安全性提供有效支撑,为衡量资源管理的安全性提供了标准和依据。5、通过状态机理论分别对基本模型和支持多级管理的扩展模型的安全性进行证明。在描述模型状态转换系统的基础上,给出模型的安全状态不变式,并证明了安全不变式与资源管理安全准则之间的一致性关系。形式化证明了系统的初始状态和操作规则均满足和保持安全不变式,从而验证模型满足面向授权管理的资源管理安全准则。6、给出了面向授权管理的资源管理关键算法。针对基本模型中衍生权限的计算问题,提出了基于权限衍生可达矩阵的衍生权限快速计算算法,实验表明,该方法具有较高的计算效率;针对权限衍生关系与职责分离策略之间的兼容性问题,提出了权限衍生与职责分离策略兼容性判定定理和判定算法,解决了职责分离策略制定的合理性问题。