基于策略的訪問控制關鍵技術研究.pdf

1、訪問控制是支撐信息系統(tǒng)安全的一項重要技術，廣泛應用于各種系統(tǒng)安全防護中。目前已有的訪問控制技術由于其約束條件配置管理的局限性和執(zhí)行機制的約束，在會話管理的靈活性、適應性及綜合化控制方面存在很大的不足，因此探討具有新型控制機制的訪問控制方法具有十分重要的理論和實際意義。 從保證系統(tǒng)會話請求控制的適應性、靈活性和多策略支持特性這一角度出發(fā)，初步構建了一個基于安全策略的訪問控制模型PBAC（Policy-based Access Co

2、ntrol）。該模型分基本模型和擴展模型。在基本模型中，為增強會話實體管理的適應性，采用了可重構對象描述技術對會話實體實施統(tǒng)一管理。同時，基本模型取消了對會話主體的權限配置，改變了根據(jù)主體擁有的權限來約束會話請求的基本訪問控制模式，統(tǒng)一建立了會話相關屬性描述，實現(xiàn)了會話特性的全面約束管理。此外，基本模型還改變了現(xiàn)有訪問控制模型通過權限等約束條件間接描述策略的模式，制定了獨立的策略描述和管理機制，實現(xiàn)了訪問控制策略的靈活管理，提高了模型的

3、多策略支持能力。 以基本模型為基礎，構建了PBAC的擴展模型。論述了擴展模型的會話實體和行為內(nèi)在的邏輯特點，給出了擴展模型中邏輯關系的描述和管理機制，討論了模型中實體要素間的分組關系、繼承關系、約束關系和依存關系等對訪問控制管理機制的影響。給出了PBAC模型在移動代理系統(tǒng)中的應用機制。 從策略的可用性、靈活性以及描述的一致性角度出發(fā)，制定了基于XML（Extensible Markup Language）的訪問控制策略描

4、述語言規(guī)范XBACPL（XML-based Access Control Policy Language），并以會話實體、行為等要素為基礎構建了XBACPL的基本策略，給出了基本策略的分類定義和描述方法。在此基礎上，結合元建模理論擬定了XBACPL的元策略管理機制，建立了訪問控制策略內(nèi)部的邏輯關系。此外，針對XBACPL的可用性和一致性要求，描述了滿足這些要求的策略管理算法。 結合MAS（Mobile Agent System）

5、的特點，討論了PBAC在MAS中的應用模型。同時，構建了基于策略的網(wǎng)絡安全防護框架，在該框架下結合網(wǎng)絡層訪問控制的特點，開發(fā)了一個PBAC的網(wǎng)絡安全防護應用原型。原型系統(tǒng)包含一個訪問控制實體、屬性及策略的配置管理工具，同時在網(wǎng)絡驅動層NDIS上實現(xiàn)對網(wǎng)絡數(shù)據(jù)包基于策略規(guī)則的過濾。通過原型系統(tǒng)的建立，驗證了PBAC模型的靈活性、擴展性和多策略支持特性。 通過對基于策略的訪問控制相關問題研究，取得了若干具理論價值和實用價值的研究成果