面向Web服務(wù)的角色訪問控制研究.pdf

1、基于角色的訪問控制模型是近十幾年來在自主訪問控制和強制訪問控制的基礎(chǔ)上發(fā)展起來的一種重要的訪問控制技術(shù)?；诮巧脑L問控制模型的特點是通過分配和取消角色來完成用戶權(quán)限的授予和取消，從而實現(xiàn)了用戶與訪問權(quán)限的邏輯分離。由于基于角色的訪問控制的諸多優(yōu)越性，它已成為訪問控制研究領(lǐng)域的一個熱點問題，得到了較為廣泛的研究和應(yīng)用，并且隨著最新一代訪問控制模型UCON的出現(xiàn)，它也表現(xiàn)出了很好的兼容性。 今天，Web服務(wù)得到了蓬勃的發(fā)展，呈現(xiàn)出

2、跨地域、大規(guī)模、復(fù)雜化等特點，而傳統(tǒng)的基于角色的訪問控制是在集中式的背景下提出來的，對于在地域上分布復(fù)雜的大規(guī)模系統(tǒng)的訪問控制已經(jīng)突顯出其不足，在普適計算環(huán)境中更是如此；此外，在Web環(huán)境下，系統(tǒng)的管理工作異常繁重，完全依賴系統(tǒng)管理者參與系統(tǒng)中的所有授權(quán)行為，嚴重加劇了系統(tǒng)的管理負擔，所以在面向Web服務(wù)的系統(tǒng)中需要一種分類式的細化角色方法；同時，傳統(tǒng)的訪問控制列表具有描述性較低、靈活性不夠、不易在大規(guī)模網(wǎng)絡(luò)中進行傳輸?shù)葐栴}，無法滿足系

3、統(tǒng)中的訪問控制需求。所以，認為在如何有效地構(gòu)建基于角色的訪問控制模型方面仍有較多的問題需要研究，以適應(yīng)Web服務(wù)系統(tǒng)獨有的特點。在此，利用XACML的標準特點以及現(xiàn)在它的逐漸發(fā)展，將其用于角色訪問控制中，并且在典型的面向Web服務(wù)的環(huán)境——普適計算環(huán)境中，根據(jù)需要對標準的XACML進行優(yōu)化和補充。 Web服務(wù)中使用RBAC的缺點有：由于角色主要是靜態(tài)的，需要一種潛在的高管理工作，而現(xiàn)在的訪問控制研究朝著復(fù)雜化方向發(fā)展，實用性差；

4、經(jīng)常在大型企業(yè)群發(fā)生的組織和功能變化，總是要求相當大數(shù)量roles的重新分配。隨之產(chǎn)生的管理工作通常是十分昂貴的。信息系統(tǒng)涉及的功能越來越多，結(jié)構(gòu)也越來越復(fù)雜。如：過去只需要“前臺顯示+后臺信息管理”，現(xiàn)在可能需要動態(tài)控制顯示的欄目，區(qū)分瀏覽者的類別，針對不同用戶提供不同的用戶界面等。 本文針對上述問題對面向Web服務(wù)的基于角色的訪問控制進行了研究。論文的研究內(nèi)容和創(chuàng)新點如下： 1.由于傳統(tǒng)RBAC模型在實際應(yīng)用中表現(xiàn)出

5、許多不足，在基于角色的訪問控制中提出了多級角色訪問控制的概念，提出多級角色訪問控制模型，來提供多級控制粒度，通過對信息流的控制來實現(xiàn)（保護信息流從高安全級別客體向低安全客體流動）。 2.在SUN公司用XACML描述的RBAC模型基礎(chǔ)上，將XACML模型中的請求處理步驟融入到基于角色的訪問控制實現(xiàn)中。 3.普適環(huán)境中的訪問控制是面向Web服務(wù)的訪問控制的一個很好的實例，將SUN公司實現(xiàn)的XACML中的角色訪問控制用于普適環(huán)