訪問控制作為保障信息安全的重要技術(shù)之一,可有效保護(hù)信息資源的合理受控使用,具有重要的理論價(jià)值與現(xiàn)實(shí)意義,受到了眾多科學(xué)研究人員與系統(tǒng)研發(fā)人員的密切關(guān)注。其中,訪問控制策略描述是訪問控制的重要組成部分,基于主體、操作、客體要素的訪問控制策略表達(dá)方式在實(shí)踐中被廣泛應(yīng)用。盡管現(xiàn)有的訪問控制策略描述方法能夠滿足系統(tǒng)中授權(quán)訪問受控資源的需求,但是這些方法往往適用于系統(tǒng)事先預(yù)設(shè)的靜態(tài)場(chǎng)景,而對(duì)于一些需要在系統(tǒng)運(yùn)行階段根據(jù)實(shí)際情況進(jìn)行動(dòng)態(tài)調(diào)整的場(chǎng)景則不夠靈活且維護(hù)成本較高。分析表明,現(xiàn)有訪問控制策略描述方法存在動(dòng)態(tài)性描述較為困難這一問題,一個(gè)重要原因是現(xiàn)有策略自身并不包含直接針對(duì)時(shí)間和空間進(jìn)行描述的要素。如果沿用傳統(tǒng)的策略表達(dá)方式,則導(dǎo)致在模型中額外引入時(shí)空算子之后,策略數(shù)量極易因時(shí)空要求的復(fù)雜程度而急劇增長(zhǎng),在浪費(fèi)策略存儲(chǔ)空間的同時(shí),也降低了策略的檢索效率,提高了人工維護(hù)成本。針對(duì)上述問題,本文開展如下研究:（1）建立了一種基于時(shí)空匹配計(jì)算的應(yīng)答許可方案,能夠分別借助時(shí)間和空間算子進(jìn)行動(dòng)態(tài)策略描述。該方案在一類具有時(shí)空敏感性的訪問控制中,可獲取訪問主體當(dāng)前的時(shí)間和空間屬性,利用應(yīng)答處理算法,分別基... 

【文章來源】：河南大學(xué)河南省

【文章頁數(shù)】：59 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖解Bell-LaPadula模型

訪問控制相關(guān)研究92.1.3自主訪問控制模型（DAC）自主訪問控制是指由用戶不僅對(duì)自身所創(chuàng)建的訪問對(duì)象（文件、數(shù)據(jù)表等）擁有訪問權(quán)限，而且可以授予或回收其他用戶對(duì)這些對(duì)象的訪問權(quán)，相對(duì)于ACL，DAC提高了可自主控制訪問權(quán)限的靈活性，但同時(shí)也不可避免地提高了系統(tǒng)管理人員對(duì)權(quán)限的管理難度，由于授權(quán)的權(quán)力分散，難以實(shí)現(xiàn)統(tǒng)一的全局訪問控制，對(duì)局部的濫用職權(quán)現(xiàn)象無法有效遏制，而可授權(quán)方一旦出現(xiàn)信息泄露，負(fù)面影響很容易快速散布。2.1.4基于角色的訪問控制模型（RBAC）基于角色的訪問控制模型（RBAC）的基本思想是給特定的角色分配不同的訪問許可權(quán)，用戶通過飾演不同的角色，獲得這些角色所擁有的訪問許可權(quán)，這樣既可以實(shí)現(xiàn)職責(zé)分離原則，又可以實(shí)現(xiàn)最小特權(quán)原則，簡(jiǎn)化了權(quán)限管理。根據(jù)不同的具體使用需求，用戶去選擇激活自身擁有的對(duì)應(yīng)的角色訪問權(quán)限，進(jìn)而執(zhí)行操作。該模型包括有五個(gè)基本數(shù)據(jù)元素，分別為：用戶（Users）、角色（Roles）、對(duì)象（Objects）、操作（Operations）、特權(quán)（Permissions）。特權(quán)分配（PA）過程可將一種特權(quán)同時(shí)授予多個(gè)角色，也允許一個(gè)角色同時(shí)擁有多種特權(quán)。同理，用戶分配（UA）過程可給一個(gè)用戶同時(shí)分配多個(gè)角色，也允許多個(gè)用戶共同組成一個(gè)角色。在創(chuàng)建會(huì)話后，每個(gè)用戶都可以有選擇性地激活他所擁有角色的子集并實(shí)施相應(yīng)的權(quán)限控制。具體的模型會(huì)話集如圖2-2所示。圖2-2RBAC模型會(huì)話集文獻(xiàn)[29]中提出了一種RBAC的統(tǒng)一模型，稱其為NISTRBAC，它相較于原始RBAC的一大特點(diǎn)是具有兩種明確的職責(zé)分配方式，如圖2-3所示：

一種具有時(shí)間與空間約束的動(dòng)態(tài)訪問控制研究10圖2-3NISTRBAC模型（1）靜態(tài)職責(zé)分配（SSD）：將互不相斥的角色分配給同一用戶，避免角色間的沖突（2）動(dòng)態(tài)職責(zé)分配（DSD）：將完成具體任務(wù)所需要的最小角色集分配給用戶，相當(dāng)于滿足了最小權(quán)限原則。由此每個(gè)用戶都可以在面對(duì)不同任務(wù)時(shí)擁有不同的角色。2.1.5使用控制模型（UCON）上述四種訪問控制模型的側(cè)重點(diǎn)都放在訪問控制的授權(quán)方式和授權(quán)過程，而未能顧及在實(shí)施權(quán)限控制過程中的其他限定要素，文獻(xiàn)[30]中提出控制模型（UCON）填補(bǔ)了這一缺陷，它除了傳統(tǒng)訪問控制模型的基礎(chǔ)三元素：主體（Subject）、客體（Object）、權(quán)限（Right）之外，還定義了三個(gè)與授權(quán)有關(guān)的元素：義務(wù)（Obligation）、條件（Condition）、授權(quán)規(guī)則（AuthorizationRule），以此提供了一種更全面描述策略的方式，如圖2-4所示。圖2-4UCON模型

【參考文獻(xiàn)】：
期刊論文
[1]基于屬性輕量級(jí)可重構(gòu)的訪問控制策略[J]. 謝絨娜,李暉,史國(guó)振,郭云川.  通信學(xué)報(bào). 2020(02)
[2]基于信任度的公安合成作戰(zhàn)平臺(tái)動(dòng)態(tài)訪問控制策略[J]. 石興華,曹金璇,朱衍丞.  計(jì)算機(jī)應(yīng)用與軟件. 2019(08)
[3]云計(jì)算下震害預(yù)測(cè)基礎(chǔ)數(shù)據(jù)庫(kù)的自主訪問控制算法[J]. 周新淳.  災(zāi)害學(xué). 2019(03)
[4]信息安全等級(jí)保護(hù)技術(shù)之強(qiáng)制訪問控制技術(shù)探討[J]. 魏興民,賀江敏.  電子世界. 2019(08)
[5]Multi-attribute-Based Access Control Policy for Supply Chain Data Service[J]. ZOU Junwei,LAN Jiewei,WANG Xiaoke,LUO Hong.  Chinese Journal of Electronics. 2018(06)
[6]基于角色的訪問控制模型（RBAC）研究[J]. 余楊奎.  計(jì)算機(jī)技術(shù)與發(fā)展. 2019(01)
[7]基于UCON改進(jìn)模型在云環(huán)境虛擬訪問控制中的應(yīng)用[J]. 李敏,于仕.  科學(xué)技術(shù)與工程. 2018(21)
[8]基于時(shí)間和環(huán)境約束的四層訪問控制模型研究[J]. 李懷明,宋方方,王連慶.  計(jì)算機(jī)應(yīng)用與軟件. 2018(01)
[9]基于證書的服務(wù)組合動(dòng)態(tài)訪問控制策略[J]. 蘇雪,宋國(guó)新,張小云.  計(jì)算機(jī)應(yīng)用與軟件. 2017(01)
[10]數(shù)據(jù)庫(kù)的安全機(jī)制及訪問控制策略分析[J]. 趙坤,方鵬.  通訊世界. 2016(23)

碩士論文
[1]基于情景感知訪問控制技術(shù)的研究與應(yīng)用[D]. 鄧敏強(qiáng).暨南大學(xué) 2018
[2]面向業(yè)務(wù)流程的訪問控制關(guān)鍵技術(shù)研究[D]. 商錚.解放軍信息工程大學(xué) 2012



本文編號(hào)：3312055