基于屬性的訪問控制策略合成研究.pdf

1、隨著計算機技術(shù)和互聯(lián)網(wǎng)的迅猛發(fā)展，信息技術(shù)的應(yīng)用逐漸由傳統(tǒng)的集中式形態(tài)發(fā)展到分布式形態(tài)，各種分布式計算的形態(tài)也在逐漸演變，由傳統(tǒng)的分布式系統(tǒng)發(fā)展到網(wǎng)格計算，再到最近被廣泛關(guān)注的云計算，各種基于這些分布式環(huán)境的應(yīng)用使大量的協(xié)同工作和信息共享需要在整個互聯(lián)網(wǎng)范圍內(nèi)實現(xiàn)，因而分布式資源的聚合變得越來越重要。在分布式環(huán)境下，用戶和資源數(shù)量巨大，并且都是動態(tài)變化的，訪問控制策略是異構(gòu)的。在這種情況下，多個安全域的資源的聚合以及跨安全域的資源的協(xié)同

2、工作需要統(tǒng)一協(xié)調(diào)各個安全域并構(gòu)建一致的訪問控制策略，并且這種方法還要能適應(yīng)分布式環(huán)境。而傳統(tǒng)的訪問控制機制都是針對靜態(tài)環(huán)境下的應(yīng)用而設(shè)計的，對分布式環(huán)境下大規(guī)模、動態(tài)的網(wǎng)絡(luò)應(yīng)用難以適應(yīng)，因而面臨著巨大的挑戰(zhàn)。
　　傳統(tǒng)的訪問控制模型包括自主訪問控制(DAC)，強制訪問控制(MAC)，基于角色的訪問控制(RBAC)。它們都是靜態(tài)的訪問控制模型，在進行安全策略的合成時需要先對各安全域的安全策略進行重新定義或重新進行角色映射，這大大增加

3、了系統(tǒng)管理的難度。在大規(guī)模分布式環(huán)境下，用戶和資源數(shù)量巨大且是動態(tài)變化的，策略是異構(gòu)的，對安全策略的合成涉及到一個相當大規(guī)模的用戶角色重新定義和映射，以致于難以完成。
　　基于屬性的訪問控制（ABAC）是在分布式環(huán)境下發(fā)展起來的，它能較好地解決分布式環(huán)境下的訪問控制問題，已成為目前研究分布式訪問控制問題的主流。本文研究了傳統(tǒng)訪問控制模型在解決分布式訪問控制問題時的局限性，提出了一種改進的基于屬性的訪問控制策略合成代數(shù)方法來實現(xiàn)訪問

4、控制策略的合成。在本文中，訪問控制策略由主體、客體、環(huán)境、操作四元組構(gòu)成，采用形式化的方法描述訪問控制策略，并引入了一種高效靈活的訪問控制策略合成代數(shù)算子來實現(xiàn)策略的合成，擴展了訪問控制策略的元組，增強了策略合成的語義表達能力和細粒度合成能力，增加了策略合成的靈活性。該方法具有良好的可擴展性，為今后更進一步地研究訪問控制策略合成方法奠定了基礎(chǔ)。
　　另外，該方法在訪問控制策略中將環(huán)境屬性作為一個獨立的元組，體現(xiàn)了在實際的分布式環(huán)境