论文部分内容阅读
授权代理是访问控制模型十分重要的组成部分,本文在深入研究几种现有权限委托代理模型的基础上,利用RBAC自身管理RBAC的思想,在PBDM模型的基础上提出了一种新的具有自我管理能力的支持角色层次的授权代理模型(Self-Administrative Sub-role based Delegation Model,ASRBDM)。本模型可同时支持用户-用户代理和角色-角色代理。模型根据角色的继承和委托特性将角色分为若干个子角色,以支持部分代理、权限级粒度代理和限制性继承,使授权代理高效、灵活,适应于分布式网络和工作流管理系统。为了验证模型的有效性,设计并实现了一个基于ASRBDM模型的授权代理系统(Authorization Delegation System,ADS)。该系统扩展了原有的PMI体系架构,可以同时支持基于角色和权限两级的授权代理控制,简化了授权管理。本文首先研究了权限代理和权限管理基础设施PMI相关理论,重点总结分析了现有的几种具有代表性的权限代理模型。其次在对现有权限代理模型进行深入分析的基础上,提出了一种新的具有自我管理能力的授权代理模型ASRBDM。为了验证模型的有效性和可用性,设计并实现了一个基于ASRBDM模型的授权代理系统ADS。最后,对原型系统以及系统在某银行业务系统中的访问控制应用进行了测试,并对测试结果进行分析。目前对授权代理模型的研究多在理论方面,而对模型的应用讨论较少。本文提出的改进模型ASRBDM以及设计的授权代理系统通过sub-role层次组件来实现受限的代理,使用户-用户代理和角色-角色代理在同一个模型中得以实现,增加了权限管理的灵活性,为开发集成PMI系统的多应用系统平台作了有益的探索,在大型的分布式网络、工作流和数据库系统等领域都有广泛的应用前景。