基于推理的角色授權管理系統(tǒng).pdf

1、安全的網(wǎng)絡需要可靠的訪問控制服務作為保證，尤其是當網(wǎng)絡規(guī)模比較大和用戶較多的時候。在安全訪問控制模型的研究方面，RBAC模型比傳統(tǒng)的訪問控制技術相比具有明顯的優(yōu)勢，簡化了授權過程的管理，同時可以實現(xiàn)細粒度的訪問控制。 然而，RBAC模型只是一個概念框架，沒有涉及到具體應用，因此本文對RBAC模型進行了擴充，提出RAM(RoleAuthorizeManagement)模型，進一步縮小了模型與現(xiàn)實世界的差距。RAM模型對授權過程的基

2、本元素(域、用戶、角色、對象、操作、權限、互斥角色集合、先決條件角色和角色基數(shù))做出了詳細定義。元素和元素之間的聯(lián)系構成了模型中關系的定義，一共定義了六種關系：指派關系、屬于關系、綁定關系、繼承關系、互斥關系、先決關系。另外，在實際中約束是廣泛存在的?；旧厦總€RBAC模型都談到了約束問題的概念，但是大部分都并沒說明如何實現(xiàn)約束，以及約束關系的存在會給基本信息帶來什么其它的約束。在RAM模型中，對約束進行沖突檢測實現(xiàn)了企業(yè)的安全策略。在

3、定義和分析各種類型的約束關系的基礎上，總結了相關的公理、定理和引理，并用形式證明序列給出了定理的證明，實現(xiàn)了責任分離原則以及最小權限原則。 基于RAM模型，設計實現(xiàn)了基于推理的角色授權管理系統(tǒng)。它作為一個獨立組件，向應用系統(tǒng)提供關于系統(tǒng)的安全訪問控制服務。角色授權管理系統(tǒng)中，資源包括域以及域中數(shù)據(jù)，如用戶、角色、操作、對象、權限、綁定關系。對于資源這種基本的信息數(shù)據(jù)適合用數(shù)據(jù)庫進行保存。在基本信息的基礎上，引入責任分離約束的相關

4、概念。對約束而言，涉及到推理和目標匹配等步驟，因此根據(jù)RAM模型所建立的授權推理形式系統(tǒng)，用PROLOG文件來保存約束信息，實現(xiàn)邏輯推理。由于PROLOG是一種描述性語言，而不是過程性語言，因此，更加方便的實現(xiàn)了約束控制。根據(jù)授權推理形式系統(tǒng)中的前提生成PROLOG程序，通過對PROLOG程序的目標進行查詢，即可實現(xiàn)授權管理過程中的約束控制檢測。也就是說通過邏輯推理，實現(xiàn)了訪問控制系統(tǒng)中的安全策略問題。 由于角色授權管理系統(tǒng)的約