收藏本站
《贵州大学》 2008年
收藏 | 手机打开
二维码
手机客户端打开本文

柔性访问控制研究

张明生  
【摘要】: 信息安全是可信计算的一个领域,访问控制是整个信息安全的基础。访问控制是保护安全系统所维护的数据和资源,以避免未授权访问与不恰当修改,同时确保对合法用户的可用性。访问控制系统的开发过程总是基于安全策略、安全模型和安全机制的多阶段实施。 然而,访问控制策略/模型的定义是非平凡的,它的最大难点在于如何以恰当的定义和明确的规则解释真实世界的安全策略(通常是复杂的,有时是模糊的)及其转化,并使它们易于计算机系统的实现。随着访问控制理论的发展和实际应用中对安全需求的日益提高,表达能力和灵活性现在已成为一个访问控制系统中的优先要求,而访问控制又经常要求处理冲突性、简单性和有效性,即现代访问控制策略要求是柔性的足以刻画现实世界中的安全需求。 柔性访问控制主要涉及柔性授权、逻辑形式化和策略集成等当今访问控制中的热点问题和发展趋势。研究如何使用逻辑程序强大的表达能力和计算能力确定现实中的柔性访问控制策略;如何平衡柔性访问控制规范的表达性、简单性和有效性;如何处理柔性访问控制中的冲突;如何在一个框架下集成已有柔性访问控制理论的优点;如何使用常识推理(即非单调推理)刻画柔性特征。本文研究主要集中于下列几个问题:柔性访问控制的概念;基于角色访问控制模型(RBAC)的柔性;柔性访问控制策略中的冲突消解;基于逻辑程序的柔性授权框架的设计与分析。 基于上述问题的深入研究,我们取得了四个方面的成果与创新: (1)柔性访问控制规范与分析 就我们所知,有关柔性访问控制的概念尚无明确定义与总结,我们认为其含义是模糊的和处于进化过程中的。我们可以简单地理解柔性为“多属性”和“多域性”,但今天的柔性访问控制已涉及到信任管理和信任协商等问题,因此对柔性访问控制的概念归纳与特征描述是必要的。进一步,我们分析了如何用逻辑程序表示柔性访问控制策略所涉及的几个问题,特别是如何用逻辑程序规则确定“柔性”特征。我们也研究了几个流行的授权框架理论。这样,我们获得了以下结果: —柔性访问控制的概念外延可归纳为:表达从显式到隐式、决策从身份标识到主体属性、更新从静态到动态、实施从单一到组合、环境从封闭到开放; —柔性访问控制的特征有:条件(系统、上下文与历史)、层次(主体、客体、权限和角色)、正负授权、基于属性的规范、动态环境、授权推理; —分析逻辑程序的结构特征能确定相应的安全需求性质,同时也决定其语义计算; —几个经典的授权框架优缺点互补交叉,这给我们进一步研究的空间。 (2) RBAC模型的柔性 在分析RBAC柔性的基础上,我们提出了“在RBAC中实现LBAC策略的形式化分析”问题,它涉及如何用RBAC的机制来实施基于格的访问控制(LBAC)策略。尽管已有一些有关LBAC与RBAC关系的研究,但大多是非形式化的。我们的研究是基于形式化的方法,涉及到关系、逻辑与同态等。这一研究主要有下列贡献: —形式化分析显示如何用RBAC框架使关键的LBAC策略有效,RBAC有一个好的机制——角色在统一处理一系列LBAC系统中所起的作用; —研究得出几个基于格的访问控制策略能在RBAC中实现,并且也清楚地探索出RBAC控制管理机制; —通过使用一种安全模型来统一研究其它的方法,使我们探索一种有关集成安全策略的推理成为可能。 (3)偏好冲突消解策略 据我们所知,少有基于文字偏好冲突消解用于访问控制领域。根据冲突消解原理,我们研究问题:用LPOD程序消解冲突,用带有序析取的逻辑程序(LPOD)规则消解冲突。我们所提出的方法有下列优点: —这一方法是偏好冲突消解方法,它是基于文字与上下文依赖的,不同于规则优先和基于组织的策略,它有精细的粒度; —LPOD程序的语义不是通常的稳定模型,但它的语义计算可转化为稳定模型计算。因此它是新颖的; —选择LPOD程序回答集的选择标准是灵活的,并能很好适应于实际需求。 (4)基于逻辑程序的柔性授权框架 我们提出授权框架由三个程序模块组成:PRAP组件、URAP组件与UR-RP授权策略,PRAP指“权限角色分配程序”负责分配权限给角色,URAP表示“用户角色分配程序”,其功能是分配角色予用户,UR-RP程序结合PRAP和URAP实施多策略集成。这个授权框架有下列优点: —由于该框架的管理机制是基于RBAC,所以它易于进一步扩展与精化; —因为这个框架是基于逻辑程序的,所以它是柔性的。使用RBAC组织策略规范中的规则可强化规范的结构; —框架中的组件模块能充分利用已有理论的优点。例如,PRAP对角色、客体与权限使用Bertino99框架中的精细粒度和结构化的遗传机制,URAP对用户利用FAF理论中的多重冲突消解与决策策略,UR-RP显式地体现出RBAC中会话功能; —各组件模块在一个统一的框架下独立地实施策略并进行交互。事实上这种实施和交互功能是基于逻辑程序的结合; —由于非单调理论应用于我们的授权框架,所以我们能应用信念修改来实现现实世界中的柔性策略。 上面所有结果无论在理论还是实践方面都是有价值的,同时也是我们进一步研究柔性访问控制的基础。
【学位授予单位】:贵州大学
【学位级别】:博士
【学位授予年份】:2008
【分类号】:TP393.08

手机知网App
【相似文献】
中国期刊全文数据库 前10条
1 柳金强;;电视播控机房的安全策略[J];科技信息;2011年15期
2 刘佰泉;贾立柱;;Web站点安全策略探析[J];科技与企业;2011年08期
3 梁大卫;;企业管理信息系统的安全策略[J];企业技术开发;2011年11期
4 郭刚;;浅议网络信息安全及防范[J];现代商业;2011年21期
5 陈孟建;;防火墙安全策略的研究与分析[J];科教新报(教育科研);2011年26期
6 戴玲;冯蕾;;电子档案的安全目标及策略[J];云南档案;2011年06期
7 夏冰;郑秋生;;一种定量和定性的安全策略评估方法[J];中原工学院学报;2011年02期
8 任月鸥;高文举;李秋菊;;在校园网络环境下防火墙技术的应用研究[J];硅谷;2011年12期
9 裴莉;;高校校园网信息安全策略[J];科技信息;2011年17期
10 冯春艳;庄海燕;;中小企业ERP系统在使用和维护中的安全策略[J];技术与市场;2011年07期
中国重要会议论文全文数据库 前10条
1 任海华;;企业信息安全——以人为本[A];经济、技术与环境——全国经济管理院校工业技术学研究会第九届学术年会论文集[C];2008年
2 王为;李笑林;尹晓晖;;内部网络中客户端计算机安全策略[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
3 陈波;;制定有效信息系统安全管理策略[A];第二十二届中国(天津)'2008IT、网络、信息技术、电子、仪器仪表创新学术会议论文集[C];2008年
4 耿翕;崔之祜;;网络防火墙技术的应用及分析[A];第十九次全国计算机安全学术交流会论文集[C];2004年
5 华建兴;;网上银行的安全策略探讨[A];第十六次全国计算机安全学术交流会论文集[C];2001年
6 李超;;网络安全技术及策略[A];第六届全国计算机应用联合学术会议论文集[C];2002年
7 胡庭川;;企业信息网络安全的策略及技术——上海烟草(集团)公司信息网络安全策略的规划[A];中国烟草行业信息化研讨会论文集[C];2004年
8 刘庆江;王建华;郭昕;;移动Agent在校园网络安全管理模型中的应用研究[A];黑龙江省计算机学会2007年学术交流年会论文集[C];2007年
9 赖宏应;;信息化建设中的信息网络安全专题——安全威胁和安全策略[A];四川省通信学会2003年学术年会论文集[C];2003年
10 敖军;;集控自动化系统中WEB的应用[A];贵州省电机工程学会2007年优秀论文集[C];2008年
中国重要报纸全文数据库 前10条
1 郭志中;本地安全策略恢复小技巧[N];电脑报;2005年
2 沈建;谨防安全策略的五大基本错误[N];计算机世界;2008年
3 ;一般无线产品采取的安全策略[N];中国计算机报;2002年
4 李汉强;做好你的安全策略[N];中国电脑教育报;2004年
5 广东 李新祥;隐私文件的安全策略[N];电脑报;2002年
6 张琳;2008更加注重安全策略[N];网络世界;2008年
7 裴秋红;两种安全策略并行[N];网络世界;2002年
8 飘零雪;用好“本地安全策略”[N];电脑报;2003年
9 双力;WinXP的五点安全策略[N];中国计算机报;2004年
10 ;安全策略和需求分析[N];计算机世界;2001年
中国博士学位论文全文数据库 前10条
1 张明生;柔性访问控制研究[D];贵州大学;2008年
2 杨明;分布式环境下的安全策略关键技术研究[D];吉林大学;2011年
3 吴蓓;安全策略转换关键技术研究[D];解放军信息工程大学;2010年
4 张志勇;数字版权管理中的安全策略分析与选取[D];西安电子科技大学;2009年
5 温红子;商务安全策略及其形式分析研究[D];中国科学院研究生院(软件研究所);2005年
6 徐震;支持多策略的安全数据库系统研究[D];中国科学院研究生院(软件研究所);2005年
7 吉建民;提高ASP效率的若干途径及服务机器人上应用[D];中国科学技术大学;2010年
8 王昌达;隐通道可计算性的研究[D];江苏大学;2006年
9 朱鲁华;安全操作系统模型和实现结构研究[D];中国人民解放军信息工程大学;2002年
10 蒋卫华;智能网络入侵检测与安全防护技术研究[D];西北工业大学;2003年
中国硕士学位论文全文数据库 前10条
1 陆萍萍;多Agent系统中信任管理研究[D];扬州大学;2007年
2 张翼;基于SOA的铁路信息共享平台安全策略研究[D];北京交通大学;2008年
3 马芳;石家庄市工商银行中间业务安全方案设计[D];四川大学;2003年
4 李京旭;数字校园中J2EE安全研究与应用[D];国防科学技术大学;2004年
5 朱靓;税务信息系统中信息安全保障的研究[D];福州大学;2006年
6 张健;川师大校园网安全方案设计与实现[D];四川大学;2005年
7 何为超;网络安全管理系统的设计与实现[D];西北工业大学;2006年
8 高羽;多层次的金融信息系统安全体系研究[D];西北大学;2006年
9 张栋;网格环境下基于模糊集合理论的层次型信任关系研究[D];解放军信息工程大学;2006年
10 祖峰;计算机终端安全管理策略及应用的研究[D];北京邮电大学;2008年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026