面向協(xié)同工作環(huán)境的多層級訪問控制模型研究及應用.pdf

1、隨著計算機和網(wǎng)絡技術的發(fā)展,傳統(tǒng)的單機單用戶工作模式已逐步發(fā)展為跨地域、跨組織的多用戶協(xié)同群體工作模式。計算機支持的協(xié)同工作CSCW(ComputerSupportedCooperatiVeWork)支持地域上分散的群體共同協(xié)調(diào)與協(xié)作來完成一項任務[1],已廣泛應用于協(xié)同產(chǎn)品設計、電子政務、電子商務、遠程醫(yī)療和軍事指揮等領域。協(xié)同工作環(huán)境群體性、交互性、分布性和協(xié)作性等特征使其面臨著日益嚴峻的安全威脅。面向協(xié)同工作環(huán)境的訪問控制技術研究

2、具有重要的理論意義和應用價值。
　　 論文主要研究工作和創(chuàng)新點如下:
　　 從訪問控制的角度,分析了協(xié)同環(huán)境中與訪問控制策略有關的因素。在此基礎上,將協(xié)同環(huán)境中的群體間協(xié)同工作模式分為:數(shù)據(jù)級協(xié)同(群體間可以共享數(shù)據(jù)資源,一個成員的行為會影響到其他成員,但各成員間可能沒有共同的工作目標)、活動級協(xié)同(各成員在數(shù)據(jù)共享的基礎上共同完成某個群體型活動)、流程級協(xié)同(成員問的協(xié)作具有結(jié)構化和流程化特點,協(xié)同任務可以分解為工作流

3、中的一系列活動)和多域間的任務級協(xié)同(成員分屬于不同的管理域,每個管理域按照其業(yè)務職能的不同,承擔著協(xié)同工作中的不同任務)等四個層次。分析了四種模式的特點和訪問控制需求。
　　 提出了基于特征碼的共享數(shù)據(jù)角色訪問控制模型,解決了復雜協(xié)同環(huán)境下角色和角色繼承等實體關系的表達,適用于數(shù)據(jù)級的協(xié)同工作模式.弓I入了角色素數(shù)特征碼、角色繼承信息組和用戶角色指派參數(shù)的概念。每個角色對應一個唯一的素數(shù)特征碼;角色繼承信息組由上層角色信息和下

4、層角色信息組成,分別定義為該角色加入系統(tǒng)時其所有上層角色和下層角色的素數(shù)特征碼乘積;用戶角色指派參數(shù)為直接指派給用戶的各角色素數(shù)特征碼乘積。由于素數(shù)乘積的分解式是唯一的,因此,有效地簡化了這些實體關系的刻畫與表達。
　　 建立了面向群體協(xié)同活動的協(xié)作訪問控制模型,解決了活動級協(xié)同模式下協(xié)作各方共有資源的安全保護問題。某些涉及群體共同利益的敏感活動是需要多用戶參與的群體型協(xié)同活動。為了有效防止職權濫用和欺詐行為的發(fā)生,這些活動的執(zhí)

5、行權限或活動中共享數(shù)據(jù)的訪問權限往往需要多用戶共同參與授權決策。在特征碼角色訪問的基礎上,將需要多用戶協(xié)作決策的權限定義為協(xié)同權限,并引入權限權重概念來體現(xiàn)不同角色在訪問相同協(xié)同權限時的信任度差異,建立了多用戶共同參與決策的授權機制。通過至少2個不同用戶的參與,有效保護了協(xié)同工作中共有敏感資源的安全,確保了協(xié)作各方的利益。
　　 提出了應用于工作流的柔性訪問控制模型,實現(xiàn)了流程級協(xié)同模式下基于上下文的動態(tài)授權,支持授權流與與工作

6、流的同步。模型通過引入角色授權策略的概念,定義了各活動執(zhí)行期間各角色可被授予的權限及相應的上下文約束,實現(xiàn)了工作流中的動態(tài)訪問控制和靈活的授權策略定義。
　　 提出了支持域間任務級協(xié)同的共享權限訪問控制模型,解決了多域間協(xié)同時的資源共享與安全互操作問題。模型根據(jù)實際應用中本域?qū)ν庥蜷_放的資源和權限相對固定的情況,將域內(nèi)權限分為私有權限和共享權限,避免了采用傳統(tǒng)角色映射機制所帶來的沖突和難以管理的問題。針對不同的共享權限,可以根據(jù)