基于屬性的訪問控制模型及應(yīng)用研究.pdf

1、基于屬性的訪問控制模型及應(yīng)用研究重慶大學碩士學位論文學生姓名：侯素娟指導(dǎo)教師：鐘將副教授專業(yè)：計算機軟件與理論學科門類：工學重慶大學計算機學院二O一O年十月重慶大學碩士學位論文中文摘要I摘要隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和分布式計算能力的不斷加強，社會經(jīng)濟、科學和文化的發(fā)展使得企業(yè)分工更細，動態(tài)協(xié)作性加強，業(yè)務(wù)過程也往往是跨企業(yè)的組織邊界，企業(yè)之間的業(yè)務(wù)相互合作更加頻繁，大范圍的資源共享成為一種趨勢，再加之網(wǎng)絡(luò)中用戶的數(shù)目急劇增長，各個網(wǎng)絡(luò)安

2、全域之間的大規(guī)模用戶安全互訪及大范圍內(nèi)的資源共享成為必須要解決的問題，而跨域鑒別和訪問授權(quán)是保障這種資源共享的安全性的重要措施之一。目前在網(wǎng)絡(luò)環(huán)境下大多采用用戶名口令的方式實現(xiàn)身份鑒別，用戶的身份往往局限在某個企業(yè)或者某個網(wǎng)站內(nèi)部，由于各個企業(yè)之間的邏輯處理和業(yè)務(wù)規(guī)則各不相同，訪問授權(quán)機制的具體實現(xiàn)方式和定義方式各不相同，一個企業(yè)的用戶需要重新注冊申請成為另一個企業(yè)下的用戶，跨企業(yè)的安全訪問沒有一個通用靈活的方式。在傳統(tǒng)的訪問控制中，基

3、于角色的訪問控制RBAC由于其突出的優(yōu)點使系統(tǒng)管理員能夠根據(jù)企業(yè)安全政策和部門的不同劃分不同的角色以執(zhí)行特定的任務(wù)，因此得到了廣泛的應(yīng)用。然而隨著用戶數(shù)目的膨脹，RBAC模型的角色分配和管理使得角色權(quán)限管理工作變得龐大且繁瑣。而且不能很好的應(yīng)用在當前開放網(wǎng)絡(luò)中的跨域訪問中。針對傳統(tǒng)訪問控制模型在新一代可信互聯(lián)網(wǎng)環(huán)境應(yīng)用中存在用戶角色賦值效率不高、跨域訪問控制實現(xiàn)困難等局限性，本文提出了基于屬性的通用訪問控制模型的方法，該模型對用戶、資源

4、、操作和上下文四類對象的屬性信息進行統(tǒng)一的描述和處理，簡化了傳統(tǒng)RBAC及其它訪問控制系統(tǒng)復(fù)雜的權(quán)限判定方式，從而增強了訪問控制系統(tǒng)的通用性和靈活性。同時，對于跨域的訪問應(yīng)用了基于屬性證書的驗證方式并給出了相應(yīng)的策略評估方案和評估算法，能夠針對不同應(yīng)用域中用戶的訪問需求動態(tài)實施資源管理和訪問控制，另外，模型中引入的運行上下文對象機制，使得采用該模型的系統(tǒng)能夠針對開放網(wǎng)路環(huán)境中的完全匿名用戶實施動態(tài)的訪問控制，進一步提升了該模型對復(fù)雜、動