訪問控制的通用化授權判定研究.pdf

1、隨著網絡規(guī)模的逐漸增大,所儲存數據的逐漸增多,安全性已成為網絡建設的第一要素。訪問控制作為實現數據保密性和完整性機制的重要手段,被美國國防部可信計算機系統(tǒng)評估標準TCSEC認定為評價系統(tǒng)安全的主要指標,在保護網絡資源的作用越來越受重視。訪問控制模型發(fā)展至今,提出了許多訪問控制策略或模型,包括經典傳統(tǒng)訪問控制技術,即自主訪問控制、強制訪問控制和基于角色的訪問控制,和新一代訪問控制技術UCON等。已有的訪問控制技術在保護網絡資源上都起到重要

2、作用,并應用到許多領域;但是各模型技術間在實際應用中并沒有統(tǒng)一的授權判定方法,即不同的訪問控制模型實現授權判定的形式都不統(tǒng)一,造成每次訪問控制模型應用的都需要大量的設計成本,并且模型之間很難相互移植。隨著新一代訪問控制模型UCON的提出,雖然UCON憑著其完善的機制深受業(yè)界推崇,但在UCON模型中,各子模型的授權判定實現也需要結合每次應用的具體情況來設計訪問控制模型的授權判定,大大增加了UCON模型的設計成本。而且UCON模型提出至今,

3、對UCON模型的研究只停留在理論研究上,面向模型應用的研究數量少,尤其缺乏對模型設計中的授權判定研究;復雜、抽象的授權機制也大大阻礙了UCON模型的推廣。
　　針對各控制訪問技術間授權判定不通用與模型技術間缺乏可移植性,本文提出了一種基于度量權力的訪問控制通用授權判定設計模型,即GAD-MC模型。GAD-MC模型以通用化授權判定方法的理念出發(fā),構建了權力集到自然數集的映射機制,提出基于映射機制得到的度量權力來解決訪問控制模型的通用

4、授權判定問題。通過將度量權力引入訪問控制模型中,直接將授權過程中的權力判定轉換成自然數值比較,不但簡化了訪問控制模型的授權判定,而且可以統(tǒng)一已有的訪問控制模型的授權判定,使得訪問控制模型間可以相互簡易移植;在實際模型應用中,本文提出一種基于GAD-MC模型的使用控制模型,即UCON2011模型。UCON2011模型融入度量權力的概念,提出決策權力的概念,將決策權力代替主客體屬性,與授權、義務和條件一起構成模型授權判定的依據,從而使得UC