论文题目: 基于角色访问控制(RBAC)中属性约束委托模型研究
论文类型: 博士论文
论文专业: 计算机应用技术
作者: 叶春晓
导师: 吴中福,符云清
关键词: 信息安全,访问控制,属性,委托模型
文献来源: 重庆大学
发表年度: 2005
论文摘要: 访问控制是信息安全技术的重要组成部分,经历了多个阶段发展。当前访问控制的研究重点和热点是基于角色的访问控制-RBAC。其中又以Sandhu提出的RBAC96模型的应用最为广泛。RBAC主要完成对角色、权限、用户-角色指派(URA)和权限-角色指派(PRA)的管理。其主要思想是通过用户与权限的分离,使权限管理方便灵活。通过用户与角色的指定,角色与权限的配置,又可使RBAC达到所需的安全要求,成为一种适应多种场合的中性安全策略。委托(delegation)又称为转授权,它表示系统中某个处于活动的实体(可以是用户,也可以是代表用户的程序、进程等)将自己的权力转授给其他活动实体,使被授予的实体可以代表授给实体执行相应的权力。委托的类型有多种,目前研究的重点是基于角色的用户-用户委托。在基于角色的委托模型中,委托被看作是一种特殊的URA过程。与RBAC中URA的主要不同在于委托中的URA及其撤销主要是由委托者自己完成,而RBAC中的URA及其撤销主要是由系统管理员或安全管理员完成。委托增加了访问控制中授权的灵活性,可看作在一定程度上实现了自主访问控制(DAC)安全策略。本论文的研究是在教育部博士点基金项目“基于用户和角色属性的访问控制研究”(项目编号20040611002)的资助下进行的。文中,为解决目前几种基于角色委托模型普遍存在委托过程安全性过多地依赖委托者和系统管理员的问题,提出在委托过程中引入用户属性作为委托约束的一部分来增强委托过程安全性的方法。本论文提出了属性约束委托模型-ARDM,该模型包含三个子模型ARDM0、ARDM1和ARDM2。其中ARDM0和ARDM1主要针对用户-用户的委托,而ARDM2主要针对角色-角色的委托。其主要研究内容如下:1、由于属性和属性表达式是实现属性约束委托模型的基础,因而本论文首先对其进行定义。同时,由于委托过程中需要对用户和权限以及角色的属性表达式进行比较,还对属性表达式的优先级判断进行了研究。与已有委托模型的不同之处在于本论文的属性、属性表达式和属性表达式优先级判断更能满足实际应用。2、传统的角色工程主要关注角色和权限的产生过程,几乎没有涉及属性表达式的产生方法。本论文利用软件工程相关知识,给出了完整的用户和权限的属性表达式产生方法,并就用户和权限属性表达式的管理给出了相应的方法。3、提出了完整的属性约束委托模型。针对现有委托模型的缺点,本论文将属性引入到委托模型中,实现了委托模型的扩展,从而使得委托过程更加安全和方便。ARDM0是一个属性约束的用户-用户委托模型。该子模型对现有的用户-用户
论文目录:
中文摘要
英文摘要
1 绪论
1.1 基础知识
1.2 现有委托模型存在的问题
1.3 本论文提出的解决方法
1.4 本论文的主要工作与创新
1.5 本论文的工作内容与组织
2 委托及其相关技术综述
2.1 委托模型
2.2 访问控制约束条件
2.2.1 访问控制约束条件表达
2.2.2 访问控制约束条件的产生
2.3 XML 及XACML 在访问控制中的应用
2.3.1 XML
2.3.2 XACML
2.4 本章小结
3 属性的表达
3.1 基本定义
3.2 属性表达式优先级
3.3 本章小结
4 属性表达式的产生
4.1 属性表达式的产生过程
4.1.1 识别权限所需的约束条件
4.1.2 产生初始pae
4.1.3 生成aeg
4.1.4 产生规范后的ae
4.1.5 产生规范化的cae
4.1.6 产生最终pae
4.2 属性的变化
4.3 用户属性表达式的管理
4.3.1 用户属性表达式的产生
4.3.2 用户属性表达式的修改
4.4 本章小结
5 属性约束委托模型(ARDM)
5.1 概述
5.1.1 现有委托模型的分析
5.1.2 问题的提出
5.1.3 解决思路
5.2 ARDM0 模型
5.2.1 概述
5.2.2 委托模型
5.2.3 其他委托类型支持
5.2.4 委托撤销
5.2.5 委托与撤销优先级
5.2.6 ARDM0 模型小结
5.3 ARDM1 模型
5.3.1 问题的提出
5.3.2 概述
5.3.3 权限pae 的临时修改
5.3.4 委托及撤销
5.3.5 ARDM1 模型
5.4 ARDM2 模型
5.4.1 概述
5.4.2 委托方式
5.4.3 用户状态
5.4.4 多步委托
5.4.5 永久委托
5.4.6 委托撤销
5.4.7 ON 状态
5.4.8 委托与撤销时机
5.4.9 完整模型
5.5 与已有模型的比较
5.6 本章小结
6 属性的 XML 及 XACML 表达
6.1 语言简介
6.2 A-XML
6.2.1 A-XML 语法规则
6.2.2 属性表达式的A-XML 表达
6.2.3 uae、pae 和rae 的A-XML 表达
6.2.4 URA、PRA 和RRA 的表示
6.2.5 用户、权限、角色的A-XML 表示
6.2.6 自定义优先级
6.3 A-XACML
6.3.1 A-XACML 语法规则
6.3.2 权限属性表达式规则
6.3.3 角色属性表达式规则
6.3.4 访问控制请求上下文(Request context)
6.4 本章小结
7 ARDM 应用与实现
7.1 案例分析
7.1.1 角色及权限设置
7.1.2 权限pae 的产生
7.1.3 委托案例
7.2 系统结构
7.2.1 系统结构
7.2.2 委托
7.2.3 撤销
7.3 系统实现
7.3.1 A-XML Document Repository
7.3.2 A-XML to A-XACML Translator
7.3.3 XML Processor
7.3.4 A-XACML Document Module
7.3.5 Delegation Processor
7.3.6 Revocation Processor
7.4 本章小结
8 总结与进一步工作
8.1 总结
8.2 进一步工作
致谢
参考文献
附录A:第三章定理证明
附录B:属性表达式的A-XML 和A-XACML 表达例子
附录C:攻读博士学位期间发表论文及参加科研情况
独创性声明
学位论文版权使用授权书
发布时间: 2006-12-05
参考文献
- [1].数据网格安全若干关键技术研究[D]. 邓勇.南京邮电大学2011