论文部分内容阅读
随着分布式技术和网络技术的发展,安全互操作已经成为协同工作的一种重要形式,对于提高工作效率、进行资源共享有直接的意义。在互操作中,系统既是服务的提供者,也是服务的享用者,因此系统在保护本地资源的同时,必须遵守其它系统的安全规则。访问控制既可以实现企业系统安全需求,也可以保证合法用户的正常操作、防止非授权用户入侵以及用户失误操作引起的安全问题。但分布式系统中的访问控制,尤其是多管理域环境,由于安全策略异构、用户数量众多且动态变化和没有统一协调人等原因,使得安全管理面临更为复杂的情况。因此,如何进行恰当的访问控制,在有效支持互操作的同时确保系统安全成为至关重要的问题。由于不同管理域安全策略异构,如角色、权限命名差异和角色层次异构和职责分离约束差异等,难以实现多域协同和信息共享。为了实现不同域的信息和资源的共享和重用,本文在多管理域访问控制中引入了本体结构。本体能够在语义层次上定义领域中的一系列概念以及概念之间的关系。本文采用本体描述语言OWL来形式化描述不同域的安全策略本体,另外,通过语义映射规则建立策略本体映射表,从操作和客体的语义级别解决访问控制策略异构问题。本文以分布式系统中多域环境的访问控制作为切入点,提出了一种基于仲裁器的多域访问控制模型,该模型充分考虑了多域环境下异构安全策略的协调以及域间的协作,符合分布式系统的实际情况。在多管理域环境中实现访问控制,和单域集中式管理的一个最大的不同就是域间的互访,由于角色层次关系和域间互访的双重作用,使得安全约束一致性的维持变得更为困难,本文分析了域间可能出现的违反安全约束的现象,定义了安全属性,并形式化描述了环继承冲突和职责分离约束冲突,设计了检测算法,提供了有效的发现机制,从而加强模型的安全性。本文设计了一个多管理域访问控制的原型系统,该系统在离线处理部分根据不同域的访问控制策略,基于OWL语言建立各个域访问控制策略本体,并定义了语义映射的规则,通过语义映射规则来建立策略本体映射表,从操作和客体的语义级别解决访问控制策略异构问题。在线处理部分实现了用户请求处理和语义请求查询和安全约束不一致的检测等功能。