论文部分内容阅读
访问控制是一种重要的信息安全支撑技术,提供对资源的机密性和完整性保护。基于属性的访问控制 ABAC)是一种新兴的访问控制技术,基于用户、资源和环境的安全属性进行授权,具有细致的授权粒度和灵活的属性框架,可以容易地描述多种安全策略。RBAC是一种有代表性的ABAC,显著降低了安全管理的代价,取得了广泛的现实应用。本文以ABAC及其特例-RBAC为中心,重点关注了访问控制模型、委托授权管理和跨域授权应用、实现框架,取得了以下研究成果:
1.提出了一个灵活的形式化的基于属性的访问控制模型(F-ABAC)。该模型提供了灵活的属性与授权框架,能够精确描述多种访问控制策略;采用了一种细致和灵活的策略组合方法,允许同时实施多种访问控制策略。
2.研究了基于ABAC的细粒度可控委托授权管理应用。首先以RBAC作为参考模型,提出了一个形式化的基于量化角色的可控委托模型QBCDM,引入了量化角色的概念,提供了灵活的委托粒度,避免了引入较高的管理代价;实现了一种结合强制与自主特征的细粒度委托约束机制,保证了多步委托过程中委托能力的收敛性。然后,将该模型的思想和方法推广到ABAC委托。
3.研究了基于ABAC的跨域授权应用。首先以RBAC作为参考模型,提出了一个适用于大规模、开放式环境的细粒度可控委托授权模型FCDAM,基于信任度实现了对角色中具有不同敏感度的权限的传播控制;然后将相关思想和方法推广到基于ABAC策略的委托授权模型,为构建基于Internet的虚拟计算环境提供了一种有力的授权支撑技术。对安全互操作中角色映射引起职责分离约束违反的原因、检测方法和先决条件进行了讨论。提出了iRBAC2000违反静态互斥角色约束的充要条件和约束违反检测算法;给出了添加角色关联和用户/角色分配的先决条件,进而将相关结论推广到ABAC安全互操作,保证了互操作过程始终满足静态职责分离约束。
4.基于XACML和SAML设计并实现了一个基于属性的通用访问控制中间件,实现了跨管理域的匿名资源访问控制,降低了上层应用开发的代价,增强了访问控制决策功能的可重用性,为ABAC的现实应用提供了技术支持。
总的来说,本文的理论研究成果从模型、委托授权管理和跨域授权应用三个角度促进了ABAC和RBAC的研究,本文提出的中间件架构为推动ABAC的现实应用奠定了技术基础。