分布式環(huán)境下訪問(wèn)控制策略的融合與優(yōu)化研究.pdf

1、隨著Internet的飛速發(fā)展，分布式系統(tǒng)得到了廣泛應(yīng)用，為信息的存儲(chǔ)、傳遞、發(fā)布及獲取方式帶來(lái)了重大變革，同時(shí)也為數(shù)據(jù)完整性、非授權(quán)訪問(wèn)等安全問(wèn)題帶來(lái)了新的威脅。訪問(wèn)控制是保障信息安全的一項(xiàng)核心技術(shù)，而分布式訪問(wèn)控制從本質(zhì)上可以看作是對(duì)分布的資源獲取進(jìn)行控制。然而，分布式系統(tǒng)中來(lái)自不同系統(tǒng)的訪問(wèn)控制策略其安全模型、描述語(yǔ)言、邏輯表達(dá)方式與數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)等均存在差異，甚至這些異構(gòu)策略的組合可能會(huì)引發(fā)各種類型的安全沖突，給系統(tǒng)帶來(lái)嚴(yán)重的安全

2、隱患。
　　傳統(tǒng)的訪問(wèn)控制研究以建立模型為基礎(chǔ)，繼而分析該模型的安全性，這種方法不能從根本上保證系統(tǒng)的安全性。本文主要針對(duì)分布式環(huán)境下的訪問(wèn)控制需求，對(duì)分布式環(huán)境下的訪問(wèn)控制策略進(jìn)行融合與優(yōu)化，這是運(yùn)用訪問(wèn)控制技術(shù)保護(hù)分布式環(huán)境中信息的機(jī)密性和完整性的關(guān)鍵所在。具體而言，主要研究工作包括以下三部分內(nèi)容:
　　(1)在跨域互操作過(guò)程中，對(duì)于角色映射在制定訪問(wèn)控制策略時(shí)缺乏靈活性和連續(xù)性，不能滿足動(dòng)態(tài)、連續(xù)轉(zhuǎn)換的需求，從屬性角度

3、出發(fā)，通過(guò)對(duì)屬性進(jìn)行分類，提出一種能夠?yàn)閯?dòng)態(tài)屬性轉(zhuǎn)換快速建立靈活策略的屬性映射機(jī)制。通過(guò)建立聯(lián)系，增強(qiáng)主體屬性及目標(biāo)屬性的可變性，將外部屬性動(dòng)態(tài)地映射到本地屬性，并基于本地屬性對(duì)用戶進(jìn)行授權(quán)。
　　(2)在跨域互操作過(guò)程中，來(lái)自不同自治域的訪問(wèn)控制策略之間可能發(fā)生沖突，針對(duì)靜態(tài)職責(zé)分離策略與可用策略并存時(shí)，互斥的安全與可用需求可能引發(fā)訪問(wèn)控制策略非一致性沖突問(wèn)題，提出一種優(yōu)化的策略沖突消解方法:①基于靜態(tài)裁剪減少所需考慮的策略數(shù)量

4、;②通過(guò)計(jì)算最小沖突覆蓋集合以降低問(wèn)題求解的規(guī)模;③度量刪除每一個(gè)靜態(tài)職責(zé)分離策略和可用策略所引發(fā)的安全性與可用性損失，并以此評(píng)估各個(gè)沖突消解方案的優(yōu)先級(jí);④提出一種基于優(yōu)先級(jí)的最大化一致性子基算法，并通過(guò)仿真實(shí)驗(yàn)論證所提算法的性能。
　　(3)對(duì)分布式環(huán)境下RBAC會(huì)話中的跨域用戶授權(quán)問(wèn)題進(jìn)行優(yōu)化。對(duì)于用戶請(qǐng)求獲得的一組權(quán)限集合，在本系統(tǒng)中需找一組適當(dāng)?shù)慕巧?，使其包含的?quán)限集合滿足請(qǐng)求權(quán)限集合的相關(guān)要求。對(duì)用戶授權(quán)查詢問(wèn)題進(jìn)