訪問控制策略是信息系統(tǒng)安全需求的集中體現(xiàn)，訪問控制管理為維護(hù)訪問控制策略的安全、一致提供了重要保障。多級(jí)跨域等級(jí)化信息系統(tǒng)分布、異構(gòu)、動(dòng)態(tài)的特點(diǎn)對(duì)訪問控制管理提出了新的挑戰(zhàn)。如何對(duì)多級(jí)跨域訪問控制進(jìn)行有效管理，確保訪問控制策略的一致性是亟待解決的關(guān)鍵問題。本文深入研究了多級(jí)跨域環(huán)境下的訪問控制管理技術(shù)，主要工作如下：1、構(gòu)建了層次化、細(xì)粒度的多級(jí)跨域訪問控制管理模型。針對(duì)現(xiàn)有訪問控制管理模型存在指派關(guān)系復(fù)雜、擴(kuò)展性差、缺乏對(duì)跨域訪問管理有效支撐的問題，結(jié)合多級(jí)跨域系統(tǒng)特性和訪問控制管理的細(xì)粒度要求，提出了多級(jí)跨域訪問控制管理模型，給出了模型的基本元素、元素關(guān)系、約束條件和管理規(guī)則，證明了模型的安全性。與現(xiàn)有研究相比，該模型具有良好的可擴(kuò)展性，支持細(xì)粒度的管理操作，能夠有效支撐多級(jí)跨域環(huán)境下安全、統(tǒng)一的訪問控制管理，保證安全策略的一致性。2、形式化規(guī)約了多級(jí)跨域等級(jí)化信息系統(tǒng)的策略沖突。針對(duì)等級(jí)化信息系統(tǒng)實(shí)施跨域互操作存在的策略沖突問題，分析了沖突的產(chǎn)生機(jī)理和過程，給出了顯式策略沖突和隱式策略沖突的定義，并進(jìn)行了形式化規(guī)約，為設(shè)計(jì)高效的策略沖突檢測(cè)和消解算法奠定基礎(chǔ)。3、提出了基于屬性分... 

【文章來源】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)河南省

【文章頁數(shù)】：96 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

IRBAC模型角色層次關(guān)聯(lián)Freudenthal等[25]

了管理效率，得到了國(guó)際標(biāo)準(zhǔn)化組織、國(guó)內(nèi)外學(xué)術(shù)機(jī)構(gòu)和許多知名廠商的高度關(guān)注。信息系統(tǒng)的安全策略主要是指訪問控制策略。通常，安全策略管理包括策略從制定、描述、翻譯、分發(fā)、沖突檢測(cè)與消解到策略執(zhí)行、監(jiān)控、審計(jì)的整個(gè)生命周期，如圖2.2所示。圖 2.2 安全策略管理生命周期l 安全策略制定從功能上講，安全策略是可以改變系統(tǒng)行為的信息，描述影響分布式系統(tǒng)中管理行為的方法；從內(nèi)容上講，安全策略是一組規(guī)則的集合，對(duì)網(wǎng)絡(luò)資源的訪問進(jìn)行管理和控制[30]。安全策略制定是管理員制定能夠滿足系統(tǒng)安全需求的一組規(guī)則集合的過程。信息系統(tǒng)的安全策略主要是指訪問控制策略。l 安全策略描述安全策略描述是實(shí)現(xiàn)以策略為中心的安全管理的關(guān)鍵。目前，比較流行的安全策略描述語言有Ponder[31]，PDL[32]，XACML[33]等。Ponder是英國(guó)皇家學(xué)院策略研究組于2000年提出的基于語義的安全策略描述語言，其提供策略結(jié)構(gòu)化技術(shù)來滿足在復(fù)雜應(yīng)用環(huán)境下策略管理的需要，具有以策略指導(dǎo)系統(tǒng)行為、以策略語言運(yùn)行策略規(guī)格、以角色機(jī)制簡(jiǎn)化策略管理等特點(diǎn)。2009年

圖 2.3 安全策略沖突分類（Lupu）策略沖突與策略模式和策略目標(biāo)相關(guān)聯(lián)。當(dāng)策略行為同時(shí)被允許和拒絕，或者同時(shí)被強(qiáng)制執(zhí)行和禁止執(zhí)行時(shí)，發(fā)生模態(tài)沖突；當(dāng)系統(tǒng)中供多個(gè)服務(wù)共享的資源不足以滿足多個(gè)策略動(dòng)作同時(shí)執(zhí)行的需要時(shí)，發(fā)生優(yōu)先級(jí)沖突；當(dāng)兩條正向授權(quán)策略的主體集和客體集都存在交集時(shí)，發(fā)生職責(zé)沖突；當(dāng)兩條正向授權(quán)策略的主體集存在交集，且同時(shí)對(duì)客體集實(shí)施管理操作時(shí)，發(fā)生主體重疊沖突；當(dāng)兩條策略的客體集存在交集時(shí)，可能發(fā)生多管理沖突；當(dāng)一條策略的主體集與另一條策略的客體集存在交集時(shí)，發(fā)生自管理沖突。Dunlop等人[48]按照策略作用對(duì)象間的關(guān)系將策略沖突基于角色劃分為內(nèi)部策略沖突、外部策略沖突、策略空間沖突和角色沖突，如圖2.4所示。圖 2.4 安全策略沖突分類（Dunlop）內(nèi)部策略沖突是指當(dāng)多個(gè)策略賦予同一個(gè)角色，而策略之間規(guī)定了相互矛盾的角色動(dòng)作；外部策略沖突發(fā)生在一個(gè)用戶具有多重角色，而多重角色的存在可能發(fā)生角色間策略

【參考文獻(xiàn)】：
期刊論文
[1]訪問控制模型研究進(jìn)展及發(fā)展趨勢(shì)[J]. 李鳳華,蘇铓,史國(guó)振,馬建峰.  電子學(xué)報(bào). 2012(04)
[2]自適應(yīng)多Agent系統(tǒng)的運(yùn)行機(jī)制和策略描述語言SADL[J]. 董孟高,毛新軍,常志明,王戟,齊治昌.  軟件學(xué)報(bào). 2011(04)
[3]基于分類概念格的動(dòng)態(tài)策略存取模型[J]. 焦素云,劉衍珩,魏達(dá).  通信學(xué)報(bào). 2011(02)
[4]基于屬性的訪問控制研究進(jìn)展[J]. 王小明,付紅,張立臣.  電子學(xué)報(bào). 2010(07)
[5]屬性集重要性的研究[J]. 馬秀琴,馮百明,秦紅武.  計(jì)算機(jī)應(yīng)用. 2010(07)
[6]基于時(shí)間限制的多級(jí)安全模型[J]. 范艷芳,韓臻,曹香港,何永忠.  計(jì)算機(jī)研究與發(fā)展. 2010(03)
[7]BLP模型的完整性增強(qiáng)研究[J]. 劉彥明,董慶寬,李小平.  通信學(xué)報(bào). 2010(02)
[8]一種XACML規(guī)則沖突及冗余分析方法[J]. 王雅哲,馮登國(guó).  計(jì)算機(jī)學(xué)報(bào). 2009(03)
[9]多域環(huán)境下安全互操作研究進(jìn)展[J]. 金莉,盧正鼎,趙峰.  計(jì)算機(jī)科學(xué). 2009(02)
[10]一種基于層次命名空間的RBAC管理模型[J]. 夏魯寧,荊繼武.  計(jì)算機(jī)研究與發(fā)展. 2007(12)

博士論文
[1]訪問控制策略的安全與效用優(yōu)化方法研究[D]. 魯劍鋒.華中科技大學(xué) 2010

碩士論文
[1]多策略支持下的策略沖突檢測(cè)與消解研究[D]. 李添翼.華中科技大學(xué) 2011
[2]基于角色訪問控制的策略沖突消解研究[D]. 楊黎.華中科技大學(xué) 2007
[3]基于有向圖覆蓋關(guān)系的安全策略沖突檢測(cè)模型[D]. 魏雁平.四川大學(xué) 2006



本文編號(hào)：3115122