多網(wǎng)域多級(jí)安全訪問(wèn)控制策略管理研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)和社會(huì)的發(fā)展，銀行、軍事、醫(yī)藥、政府等對(duì)信息安全具有更高安全等級(jí)需求的各個(gè)領(lǐng)域和部門間的協(xié)作日益加強(qiáng)。在多域網(wǎng)絡(luò)環(huán)境中，多種訪問(wèn)控制模型并存、訪問(wèn)控制策略數(shù)目劇增、策略管理對(duì)象復(fù)雜多變，在很大程度上增加了訪問(wèn)控制管理的難度。如何在高安全級(jí)別的多網(wǎng)域環(huán)境中對(duì)訪問(wèn)控制實(shí)施統(tǒng)一、全局的管理，保證信息系統(tǒng)間的安全互操作，已經(jīng)成為當(dāng)前多網(wǎng)域安全研究重要的課題。
　　訪問(wèn)控制管理主要指訪問(wèn)控制的策略管理，本文在基于映射機(jī)制的多網(wǎng)域

2、多級(jí)安全訪問(wèn)控制模型的基礎(chǔ)上，給出多網(wǎng)域多級(jí)安全訪問(wèn)控制策略管理框架。采用XACML語(yǔ)言對(duì)訪問(wèn)策略進(jìn)行統(tǒng)一描述，并制定了策略模版?？紤]到現(xiàn)有的訪問(wèn)控制策略一致性檢測(cè)的不足，該管理框架中提出了對(duì)訪問(wèn)控制策略進(jìn)行不完備性檢測(cè)，為訪問(wèn)控制行為的正確授權(quán)提供了保障。
　　本文提出了一種基于聯(lián)合有向無(wú)環(huán)圖(U-DAG)模型的策略一致性檢測(cè)方法，證明了U-DAG的存在性，并給出了U-DAG的建立流程。在該方法中著重研究了等價(jià)節(jié)點(diǎn)的判定算法，相

3、鄰子節(jié)點(diǎn)的判定算法，策略完備性檢測(cè)算法和環(huán)路沖突檢測(cè)算法。該方法是在建立U-DAG的過(guò)程中實(shí)現(xiàn)對(duì)策略不完備性和策略沖突的檢測(cè)，最終形成正確有效的有向無(wú)環(huán)圖，再利用有向圖的層級(jí)結(jié)構(gòu)為系統(tǒng)主客體添加等級(jí)信息，為訪問(wèn)控制行為的判決提供基礎(chǔ)。
　　最后，設(shè)計(jì)并實(shí)現(xiàn)了訪問(wèn)控制域內(nèi)策略管理仿真系統(tǒng)。該系統(tǒng)實(shí)現(xiàn)了策略編寫(xiě)，策略導(dǎo)入，策略一致性檢測(cè)等功能。用示例對(duì)仿真系統(tǒng)進(jìn)行測(cè)試，對(duì)測(cè)試結(jié)果進(jìn)行了分析，驗(yàn)證了策略一致性檢測(cè)算法的正確性。并與其它基