資源描述:
《關(guān)于角色的細(xì)粒度訪問(wèn)控制分析與實(shí)現(xiàn)》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)��。
1、第一章緒論ORBAC����,所謂細(xì)粒度的訪問(wèn)控制模型,也稱與用戶實(shí)例相關(guān)的訪問(wèn)控制����。在這種訪問(wèn)控制模型中�����,不同的用戶在使用同一種權(quán)限時(shí)�����,能夠訪問(wèn)的資源和使用的功能是有差別的�,即與用戶相關(guān)的���。本文的研究?jī)?nèi)容如下:(1)首先對(duì)訪問(wèn)控制模型進(jìn)行研究,總結(jié)RBAC96模型的不足���,在RBAC96模型的基礎(chǔ)上進(jìn)行擴(kuò)展,將具有共同屬性的用戶和具有關(guān)聯(lián)關(guān)系的權(quán)限分組,通過(guò)用戶組和權(quán)限組授權(quán)���,提高授權(quán)效率;增加角色“是否是超級(jí)管理員"屬性將角色分為超級(jí)管理員角色和一般管理員角色�,并增加機(jī)構(gòu)元素實(shí)現(xiàn)對(duì)用戶和資源的劃分���,實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制,構(gòu)建分級(jí)的樹(shù)形用戶管理關(guān)系,減少集中式管理中管理員的工作負(fù)擔(dān),提高授權(quán)的效率�����。通
2����、過(guò)擴(kuò)展制定一個(gè)ORBAC擴(kuò)展模型。(2)對(duì)ORBAC擴(kuò)展模型的管理方式進(jìn)行研究����,給出了ORBAC模型管理的形式化定義和模型的控制策略,保證該模型應(yīng)用到大型系統(tǒng)時(shí)各授權(quán)管理系統(tǒng)協(xié)調(diào)運(yùn)行��,提高系統(tǒng)的安全性。(3)結(jié)合實(shí)際案例���,基于SSH技術(shù)��,對(duì)ORBAC模型進(jìn)行了實(shí)現(xiàn),并對(duì)系統(tǒng)進(jìn)行單元測(cè)試和功能測(cè)試���,對(duì)測(cè)試結(jié)果進(jìn)行分析�����。結(jié)果表明ORBAC模型在授權(quán)方面比RBAC傳統(tǒng)模型效率更高,并且可以實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制���,進(jìn)一步驗(yàn)證了ORBAC模型形式化定義和控制策略的有效性�����,以及模型的實(shí)用性�。1.4論文結(jié)構(gòu)論文分為六章�����,各章的內(nèi)容安排如下:第一章為緒論,簡(jiǎn)要介紹立題意義��,國(guó)內(nèi)外研究現(xiàn)狀���,研究?jī)?nèi)容和結(jié)構(gòu)安排�。第
3、二章介紹了幾種常見(jiàn)的訪問(wèn)控制技術(shù)���,并詳細(xì)介紹了RBAC96模型,分析了RBAC96模型的不足����。第三章提出一種擴(kuò)展的細(xì)粒度訪問(wèn)控制模型ORBAC��,給出了該模型管理的形式化定義,制定了ORBAC模型的控制策略。第四章結(jié)合實(shí)際案例�����,對(duì)ORBAC模型進(jìn)行實(shí)現(xiàn)。首先對(duì)應(yīng)用架構(gòu)進(jìn)行總體功能架構(gòu)的設(shè)計(jì)����,然后從邏輯上將系統(tǒng)分割成若干個(gè)獨(dú)立的模塊��,模塊內(nèi)實(shí)現(xiàn)高內(nèi)聚�����,模塊間實(shí)現(xiàn)低耦合,對(duì)各個(gè)模塊分別分析���,進(jìn)行服務(wù)組件設(shè)計(jì)����,數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)庫(kù)的設(shè)計(jì)和編碼實(shí)現(xiàn)�����,然后將各個(gè)模塊整合在一起�����,實(shí)現(xiàn)系統(tǒng)的總體功能����。第五章對(duì)實(shí)現(xiàn)系統(tǒng)進(jìn)行單元測(cè)試和功能測(cè)試���,并對(duì)測(cè)試結(jié)果進(jìn)行分析總結(jié)����。3基于角色的細(xì)粒度訪問(wèn)控制研究與實(shí)現(xiàn)第六章是結(jié)束
4�����、語(yǔ),對(duì)論文的工作進(jìn)行總結(jié)����,指出進(jìn)一步研究的問(wèn)題。4第二章訪問(wèn)控制的相關(guān)研究2.1訪問(wèn)控制技術(shù)訪問(wèn)控制就是通過(guò)某種途徑準(zhǔn)許或者限制訪問(wèn)主體訪問(wèn)能力以及范圍的一種方法����,是信息得到安全保護(hù)的核心技術(shù)和有效手段【l射���。訪問(wèn)控制的目的是防止對(duì)任何資源進(jìn)行非授權(quán)的訪問(wèn)����。通過(guò)訪問(wèn)控制���,可以限制對(duì)關(guān)鍵資源的訪問(wèn)�,防止非法用戶的侵入或者因非法用戶的不慎操作所造成的破壞�。訪問(wèn)控制模型一般包括三部分【l】:主體(Subject)���,客體(Object)和訪問(wèn)控制策略。主體一般是發(fā)出訪問(wèn)控制的實(shí)體���,一般指用戶,客體是被訪問(wèn)的資源��,訪問(wèn)控制策略是判斷主體是否有權(quán)限訪問(wèn)客體的規(guī)則�����。計(jì)算機(jī)信息系統(tǒng)中出現(xiàn)較早的兩種訪問(wèn)控制模型
5����、【11【21陰是強(qiáng)制訪問(wèn)控制(MandatoryAccessControl,MAC)模型和自主訪問(wèn)控制(DiscretionaryAccessControl�,DAC)模型。MACl2]是一種多級(jí)訪問(wèn)控制策略��,系統(tǒng)事先給訪問(wèn)主體和受控對(duì)象分配不同的安全級(jí)別屬性����,在實(shí)施訪問(wèn)控制時(shí)系統(tǒng)先對(duì)訪問(wèn)主體和受控對(duì)象的安全級(jí)別屬性進(jìn)行比較�����,再?zèng)Q定訪問(wèn)主體能否訪問(wèn)該受控對(duì)象���。它的缺點(diǎn)在于如果企業(yè)的組織機(jī)構(gòu)或者體系的安全需求出現(xiàn)變化時(shí)��,就需要進(jìn)行大量繁瑣的授權(quán)變動(dòng)���,系統(tǒng)管理員的工作將變得非常繁重��,更重要的是容易發(fā)生錯(cuò)誤�,造成一些意想不到的安全漏洞。DAC[3】是根據(jù)自主訪問(wèn)控制策略建立的一種模型�����,允許合法用戶以用
6�����、戶或者用戶組的身份訪問(wèn)策略規(guī)定的客體�,同時(shí)阻止非授權(quán)用戶訪問(wèn)客體����,某些用戶還可以自主地把自己所擁有的客體的訪問(wèn)權(quán)限授予其它用戶���。但是�����,它的缺點(diǎn)在于用戶可以任意傳遞權(quán)限���,因此安全性比較低�,不能給系統(tǒng)提供充分的數(shù)據(jù)保護(hù)?�;诮巧脑L問(wèn)控制模型RBAC的提出��,極大地方便了授權(quán)的管理����。RBAC被譽(yù)為“為多域數(shù)字政府機(jī)構(gòu)中提供安全性保證最具吸引力的解決方案’’[61,并且在基于Web的應(yīng)用中顯示了巨大的優(yōu)勢(shì)和潛力l¨�����。通過(guò)使用角色來(lái)組織訪問(wèn)權(quán)限大大簡(jiǎn)化了授權(quán)管理的復(fù)雜度�����。例如�����,如果一個(gè)用戶在組織中換了一個(gè)新的崗位�,用戶可以被指派為一個(gè)新的角色,而把原來(lái)的角色去掉即可���。然而,在先前的非RBAC模型中�,用戶
7、舊的權(quán)限必須被全部廢除���,新的權(quán)限需要被重新定義���,然后授權(quán)。職責(zé)分離(SoD��,SeparationofDuties)是一種被廣泛接受的授權(quán)限制方法����,降低了因?yàn)樵试S個(gè)體在系統(tǒng)中擁有足夠的5基于角色的細(xì)粒度訪問(wèn)控制研究與實(shí)現(xiàn)權(quán)限而行使詐騙和違法行為的危險(xiǎn)��。在RBAC模型中��,當(dāng)需要施加限制來(lái)阻止信息的誤用和違法行為時(shí)����,通過(guò)將SoD限制作用于角色����、用戶.角色指派、角色.權(quán)限指派�,可以很容易實(shí)現(xiàn)這一需求��。基于
