基于角色与任务的访问控制模型研究

作     者：余文森 

作者单位：江西师范大学 

学位级别：硕士

导师姓名：余敏

授予年度：2004年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：访问控制 角色 任务 基于角色的访问控制模型 基于任务的访问控制模型 

摘      要：对多用户之间信息和其它资源共享的控制需求，导致了访问控制模型的发展。访问控制模型为在多用户系统中指定、分析、实施安全策略提供形式化的框架，期望这些模型能够灵活地适应不同的安全策略。已经提出的许多访问控制模型，有的是通过抽象成主体、客体、访问权限来定义，有的是抽象成角色、许可、用户来定义。基于角色的访问控制(RBAC)是一种灵活、策略中立的访问控制技术，因而倍受关注。近年己提出了不少的RBAC模型，但都不够完善，本文针对它们的不足，提出一个改进的RBAC模型，解决了私有权限问题，并提出了时间约束描述语言(TRCL)。 基于任务的访问控制(TBAC)适合工作流环境、分布式计算、多点访问控制。本文把角色的概念引入TBAC中，把TBAC与RBAC结合起来，从而给TBAC带来更大的灵活性。 本文所做的工作主要包括以下三个部分： 首先，对基于角色的访问控制模型进行了改进。 其次，根据改进的RBAC模型，设计、实现了一个原型系统。 最后，把角色的概念引入基于任务的访问控制模型中，提出了改进的基于任务的访问控制模型。 通过上述工作，本文的主要研究贡献体现在以下几点： 第一，解决了传统基于角色访问控制模型中由于权限继承而导致的私有权限问题。引入传播深度，允许管理员指定一条权限向上传播的深度，按照传播深度把角色的权限分为公有权限(传播深度大于零的权限)和私有权限(传播深度等于零的权限)，公有权限可以被父角色继承而私有权限则不能。从而解决了私有权限问题。 第二，把层次关系及继承机制扩展到客体和操作上，从而简化了授权管理。 第三，提出了一个能够描述RBAC模型中时间约束的约束描述语言(TRCL)，利用自定义谓词扩展语言的表达能力，可以描述各种不同的约束。 第四，根据改进的RBAC模型，实现了一个简单的原型系统。 第五，把角色的概念引入到基于任务的访问控制模型中，提出了改进的基于任务的访问控制模型。