基于屬性的訪問(wèn)控制策略合成研究.pdf

1、隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)的迅猛發(fā)展，信息技術(shù)的應(yīng)用逐漸由傳統(tǒng)的集中式形態(tài)發(fā)展到分布式形態(tài)，各種分布式計(jì)算的形態(tài)也在逐漸演變，由傳統(tǒng)的分布式系統(tǒng)發(fā)展到網(wǎng)格計(jì)算，再到最近被廣泛關(guān)注的云計(jì)算，各種基于這些分布式環(huán)境的應(yīng)用使大量的協(xié)同工作和信息共享需要在整個(gè)互聯(lián)網(wǎng)范圍內(nèi)實(shí)現(xiàn)，因而分布式資源的聚合變得越來(lái)越重要。在分布式環(huán)境下，用戶和資源數(shù)量巨大，并且都是動(dòng)態(tài)變化的，訪問(wèn)控制策略是異構(gòu)的。在這種情況下，多個(gè)安全域的資源的聚合以及跨安全域的資源的協(xié)同

2、工作需要統(tǒng)一協(xié)調(diào)各個(gè)安全域并構(gòu)建一致的訪問(wèn)控制策略，并且這種方法還要能適應(yīng)分布式環(huán)境。而傳統(tǒng)的訪問(wèn)控制機(jī)制都是針對(duì)靜態(tài)環(huán)境下的應(yīng)用而設(shè)計(jì)的，對(duì)分布式環(huán)境下大規(guī)模、動(dòng)態(tài)的網(wǎng)絡(luò)應(yīng)用難以適應(yīng)，因而面臨著巨大的挑戰(zhàn)。
　　傳統(tǒng)的訪問(wèn)控制模型包括自主訪問(wèn)控制(DAC)，強(qiáng)制訪問(wèn)控制(MAC)，基于角色的訪問(wèn)控制(RBAC)。它們都是靜態(tài)的訪問(wèn)控制模型，在進(jìn)行安全策略的合成時(shí)需要先對(duì)各安全域的安全策略進(jìn)行重新定義或重新進(jìn)行角色映射，這大大增加

3、了系統(tǒng)管理的難度。在大規(guī)模分布式環(huán)境下，用戶和資源數(shù)量巨大且是動(dòng)態(tài)變化的，策略是異構(gòu)的，對(duì)安全策略的合成涉及到一個(gè)相當(dāng)大規(guī)模的用戶角色重新定義和映射，以致于難以完成。
　　基于屬性的訪問(wèn)控制（ABAC）是在分布式環(huán)境下發(fā)展起來(lái)的，它能較好地解決分布式環(huán)境下的訪問(wèn)控制問(wèn)題，已成為目前研究分布式訪問(wèn)控制問(wèn)題的主流。本文研究了傳統(tǒng)訪問(wèn)控制模型在解決分布式訪問(wèn)控制問(wèn)題時(shí)的局限性，提出了一種改進(jìn)的基于屬性的訪問(wèn)控制策略合成代數(shù)方法來(lái)實(shí)現(xiàn)訪問(wèn)

4、控制策略的合成。在本文中，訪問(wèn)控制策略由主體、客體、環(huán)境、操作四元組構(gòu)成，采用形式化的方法描述訪問(wèn)控制策略，并引入了一種高效靈活的訪問(wèn)控制策略合成代數(shù)算子來(lái)實(shí)現(xiàn)策略的合成，擴(kuò)展了訪問(wèn)控制策略的元組，增強(qiáng)了策略合成的語(yǔ)義表達(dá)能力和細(xì)粒度合成能力，增加了策略合成的靈活性。該方法具有良好的可擴(kuò)展性，為今后更進(jìn)一步地研究訪問(wèn)控制策略合成方法奠定了基礎(chǔ)。
　　另外，該方法在訪問(wèn)控制策略中將環(huán)境屬性作為一個(gè)獨(dú)立的元組，體現(xiàn)了在實(shí)際的分布式環(huán)境