基于訪問控制列表的統(tǒng)一應(yīng)用權(quán)限理論研究及應(yīng)用實踐.pdf

1、在應(yīng)用系統(tǒng)中的權(quán)限管理一直是信息安全中比較重要的部分，在理論研究上也有非常眾多的成果和模式。特別是RBAC的出現(xiàn)，近乎主導(dǎo)了理論研究的主流。但是在我國電子政務(wù)中，RBAC的管理模式往往不能很好地體現(xiàn)密級和解放業(yè)務(wù)的保密管理思想，MAC和DAC的模式反而在現(xiàn)實中得到廣泛應(yīng)用。
　　本文深入分析了各類信息化應(yīng)用場景下各類授權(quán)管理的優(yōu)缺點，經(jīng)過總結(jié)，從中文語義分析出發(fā)，在信息系統(tǒng)中，利用主、謂、賓、定、壯的分析方法，設(shè)計了授權(quán)中的人、事

2、（進程）、時、地（設(shè)備）、物（資源）的授權(quán)五要素，并形成了五要素的授權(quán)管理系統(tǒng)框架體系。提出了信息系統(tǒng)的“策略-令牌”統(tǒng)一授權(quán)理論模型。隨后將這個框架體系應(yīng)用在電子政務(wù)中的文件管理中，設(shè)計了文件安全域分析方法，提出了以設(shè)備為基礎(chǔ)的文件安全域和以管理范圍為基礎(chǔ)的屬地安全域，解決了安全域中屬性和策略的沖突管理。并依照國家密碼管理局的《電子文件密碼應(yīng)用規(guī)范》，分析并細化了文件標簽在這個管理模式中應(yīng)有的數(shù)據(jù)結(jié)構(gòu)。最后介紹了作者在自己公司中，應(yīng)用

3、以上理論實現(xiàn)的企業(yè)級電子文件管理產(chǎn)品。
　　本文遵從理論創(chuàng)新，框架設(shè)計、應(yīng)用分析和產(chǎn)品實現(xiàn)四個部分，詳細解釋了如何將理論上的權(quán)限管理模型設(shè)計與應(yīng)用場景緊密結(jié)合，最后形成完整的產(chǎn)品體系。從設(shè)計理念上講，本文解決了大范圍授權(quán)中RBAC和DAC與MAC的關(guān)系，并提出了基于訪問控制的同時支持RBAC、DAC與MAC的授權(quán)模型。從設(shè)計方面講，理清了屬性和策略的關(guān)系，即處理好了授權(quán)與驗證的關(guān)系。從應(yīng)用設(shè)計方面，在電子文件管理上也提出了安全域各