集成統(tǒng)一授權管理系統(tǒng)研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展和普及，有效的安全訪問控制機制是合理地使用系統(tǒng)信息、充分發(fā)揮信息系統(tǒng)作用的一個前提，而采用何種方法來組織、描述用戶、資源、操作之間的關系是訪問控制機制的關鍵，目前有多種訪問控制方法都比較流行，例如基于用戶/用戶組的訪問控制方法ACL(Access Control List)、基于角色的訪問控制方法RBAC(Role-based Access Control)以及基于屬性的訪問控制方法ABAC(Attribute-ba

2、sed Access Control)等。
　　 但是由于各種原因，不同的應用系統(tǒng)可能采用不同的訪問控制方法，因此針對具體的訪問控制方法設計的授權管理系統(tǒng)往往是專用的，這給分布式交互帶來了很大的局限性。如何同時支持不同的訪問控制方法，如何對眾多的、不同的資源進行統(tǒng)一、有效的授權策略管理以及如何利用可移植的、統(tǒng)一的方法和更豐富的詞匯來描述訪問控制內容等都是實際應用中面臨的嚴重問題。
　　 針對以上問題，為了能在統(tǒng)一的授權管

3、理系統(tǒng)下支持、擴展不同的訪問控制方法，本研究提出一種集成統(tǒng)一的授權管理系統(tǒng)，它通過創(chuàng)建用戶樹、角色樹、資源樹和功能樹實現(xiàn)了基于ACL的、基于角色的和基于屬性的三種訪問控制方法，以及通過引入可擴展的訪問控制標記語言XACML，實現(xiàn)了一種能夠表示復雜策略的、更通用的訪問控制方法，并提供完整的在線授權決策流程。
　　 該系統(tǒng)由身份與權限數(shù)據(jù)庫、身份與權限服務模塊、身份與權限管理模塊、授權決策模塊和授權實施模塊組成。身份與權限數(shù)據(jù)庫是一

4、個LDAP數(shù)據(jù)庫，用于存儲用戶身份、用戶組、角色、資源、功能和訪問控制規(guī)則等信息。身份與權限服務模塊，實現(xiàn)對身份與權限數(shù)據(jù)庫的各種操作，并向身份與權限管理模塊和授權決策模塊提供本地和遠程接口。身份與權限管理模塊，是一個Web應用程序，主要提供用戶信息、角色信息、資源信息以及包括ACL、RBAC和ABAC在內的多種訪問控制策略的創(chuàng)建和管理功能。授權決策模塊主要功能是對應用服務程序提交的授權決策請求做出響應，實現(xiàn)在線授權功能。授權實施模塊采