基于組織的分布式訪問控制模型研究與應(yīng)用.pdf

1、訪問控制模型是訪問控制技術(shù)的核心，建立規(guī)范的訪問控制模型，是實現(xiàn)嚴(yán)格訪問控制策略的基礎(chǔ)。盡管RBAC是現(xiàn)在應(yīng)用最為廣泛的訪問控制標(biāo)準(zhǔn)，但是當(dāng)系統(tǒng)變得特別龐大，尤其是當(dāng)運行多個應(yīng)用系統(tǒng)時，會導(dǎo)致管理工作復(fù)雜繁瑣。因此，在保證系統(tǒng)安全的前提下，簡化各個系統(tǒng)的權(quán)限管理工作，具有重要的現(xiàn)實意義。
　　 本文針對一個企業(yè)中多系統(tǒng)訪問控制管理困難問題，借鑒了Composite RBAC模型的思想，提出了一個擴展的RBAC模型-OBDAC(O

2、rganization-BasedDistributed Access Control Model)。該模型把應(yīng)用系統(tǒng)分為“組織結(jié)構(gòu)層次”和“系統(tǒng)層次”，并在“組織結(jié)構(gòu)層次”中引入崗位和組織這2個元素，使“組織結(jié)構(gòu)層次”對現(xiàn)實組織機構(gòu)進行映射；而“系統(tǒng)層次”只對各個應(yīng)用子系統(tǒng)的角色和權(quán)限進行管理。這樣既降低了開發(fā)的難度和工作量又便于系統(tǒng)的維護。當(dāng)企業(yè)的組織層次結(jié)構(gòu)發(fā)生變動的時候，只需要對“組織結(jié)構(gòu)層次”中的元素進行相關(guān)調(diào)整即可適應(yīng)變化；

3、當(dāng)系統(tǒng)的權(quán)限或系統(tǒng)數(shù)量發(fā)生變化時，只需要對“系統(tǒng)層次”的元素進行改動。此外它還全面增強了系統(tǒng)的安全管理性能，盡可能的降低了管理維護時的復(fù)雜度，能夠很好的適應(yīng)大型企業(yè)或政府的需要。
　　 然后，本文將訪問控制策略定義為訪問控制圖的形式，并加入上閉包的定義來解決多系統(tǒng)之間的訪問控制策略發(fā)生變化的問題。當(dāng)系統(tǒng)層次發(fā)生了訪問控制策略的改變，本文按照自定義的三種原則來判斷每個子系統(tǒng)的訪問控制策略是否需要變化以及如何改變，使各子系統(tǒng)的訪問控