论文部分内容阅读
访问控制是信息安全体系中非常重要的一环,是实现数据保密性和完整性机制的主要手段,访问控制模型及其扩展一直是一个重要的研究课题。随着应用系统复杂度的提高,复杂的应用环境下需要定义动态的和细粒度的访问控制策略,传统的访问控制模型无法很好的适应这种需求。为此,本文深入分析了系统中与访问控制相关的上下文信息,提出了上下文约束的角色访问控制模型,说明如何应用该模型解决基数策略、时态策略、数据权限和职责分离等几个问题。接着用一种基于XML的策略描述语法对访问控制策略进行描述和建模。最后提出基于上下文约束的角色访问控制实现框架。论文提出的理论和方法扩展并完善了传统的角色访问控制模型,支持更丰富的访问控制策略,对各种环境下的访问控制系统的设计与实现具有普遍的理论指导意义。
论文的主要成果及创新点如下:
1.提出了上下文约束的访问控制理论模型CCRBAC。该模型在传统RBAC模型基础上加入上下文约束,规范了上下文属性、属域、值域、原子条件、上下文条件及上下文约束等概念,对CCRBAC进行了形式化描述,提供了有效解决上下文条件冲突和冗余的方法,为访问控制约束策略的统一描述和实现奠定了理论基础;
2.基于CCRBAC模型,并且结合实际应用案例,详细分析了常用的基数约束、时态约束、数据权限和隐私约束等访问控制策略,并且通过定义利益冲突的角色集、权限集、操作集、用户集、客体集等上下文及相应的上下文约束,对职责分离策略进行了更深入的分析,描述并实现了多个层面的职责分离策略。表明了CCRBAC模型不仅具有丰富的访问控制策略表达能力,而且更易于理解和实现,为复杂环境下的应用系统访问控制策略的描述和实现机制提供了更普遍的参考和指导;
3.在CCRBAC理论模型的基础上,建立了基于XML的CCRBAC策略描述规范。采用X-Grammar语法对访问控制策略进行描述和建模,给出了CCRBAC模型中各实体和关系的形式描述,提供了一种形式统一、与应用无关的安全策略描述和存储方式,支持异构系统间安全策略的交换和共享;
4.设计了基于XML及CCRBAC模型的通用访问控制系统的框架,采用可视化建模语言UML来表示模型概念结构,包括静态视图、功能视图和动态视图,并且详细分析了访问控制策略管理和访问决策两大子系统的结构及相应的实现算法,在理论模型和具体实现之间搭建了桥梁。