论文部分内容阅读
随着信息技术的发展,网络环境逐渐由集中式转变成分布式,用户之间的交互及信息资源的共享也变得更加频繁,我们正在逐渐进入一个大规模的信息共享时代,这意味着在信息急剧膨胀的同时,主客体数量庞大、资源种类繁多且变化频繁的系统也在逐渐增多。信息共享势必会产生更多的网络安全隐患,因此需要投放更多精力去防止用户对信息进行越权存取,保护用户及企业自身的隐私不被泄露。而访问控制技术是解决网络安全问题的一种常见手段,能够有效解决上述提到的问题。经过研究表明,现有的访问控制模型在主客体数量庞大、资源种类繁多且变化频繁的系统中进行实际应用都存在一定的问题,难以满足实际的应用需求。因此,本文在对现有访问控制模型的实际应用进行深入研究的基础上,提出了一种新的访问控制模型——基于资源和属性的访问控制模型,称为RA-BAC模型。本文经过深入的调查与研究,目前已经有了一定的研究成果,可以将其概述成如下几点:第一,针对现有访问控制模型在实际应用中存在的缺陷,本文提出了一种新的访问控制模型——基于属性和资源的访问控制模型。本文分别对RA-BAC模型的主体、资源、操作及环境这四类属性进行了形式化定义,并着重对资源属性集中的元素permission进行了描述,同时基于属性表达式制定了该模型的访问控制策略。接下来,本文给出了该模型的模型框架,并对其实际工作流程及模型框架中的每一个模块进行了详细的阐述。第二,从理论分析及工程实验两个角度对RA-BAC模型与其他模型进行了比较。由于在RA-BAC模型中,访问控制策略存储在与资源关联的访问控制列表中,且只存储允许权限,因此不存在策略冲突的问题;策略的分散式存储方式,解决了基于属性的访问控制模型中存在的策略库膨胀的问题;同时,由于该模型中使用环境属性来对上下文因素进行描述,因此应用起来更加灵活。而针对该模型与基于属性的访问控制模型在权限查询、授予和回收的效率问题,设计并进行实验对比了二者实际使用的时间,通过实际数据进一步体现了该模型具有的优势。第三,本文将工业4.0背景下的一个工业企业作为一个典型的主客体数量庞大、资源种类繁多且变化频繁的系统,在分析了RA-BAC模型在该系统中应用的必要性之后,设计了该模型的具体应用方案,同时对系统中的具体应用场景汽车生产车间进行了介绍,阐述了RA-BAC模型在该具体场景中的应用过程。第四,针对RA-BAC模型在上述具体场景中的应用过程,本文设计并进行实验对其进行实现,进一步说明了模型的运行过程和在实际场景中进行应用的可行性。本文提出了一种基于资源和属性的访问控制模型,该模型侧重于应用在主客体数量庞大、资源种类繁多且变化频繁的系统中。本文不但对该模型中的实体属性及策略进行了形式化定义,而且详细描述了其模型框架及应用过程,并采用工程实验的方式进一步体现了该模型在实际应用中的可行性及具有的优势,对未来研究有一定的启发作用。