基于RB-RBACex模型的PMI系統(tǒng)的研究與設(shè)計.pdf

1、訪問控制是信息安全保障機制的核心內(nèi)容,著重于解決與數(shù)據(jù)機密性、完整性和可用性相關(guān)的問題。基于角色的訪問控制模型RBAC是當前研究得較為深入的訪問控制模型。RBAC模型中的用戶-角色關(guān)系的分配工作依賴于管理員的手工操作。隨著系統(tǒng)的規(guī)模和開放性的增加,用戶規(guī)模也隨之不斷擴大,這項工作也變得十分復(fù)雜而難以完成?；谝?guī)則和角色的訪問控制模型RB-RBAC在RBAC模型的基礎(chǔ)上引入了用戶屬性和授權(quán)規(guī)則,使得用戶-角色分配能夠自動完成。不過,RB-

2、RBAC模型也存在著以下兩點不足：一、除用戶-角色分配之外,角色-權(quán)限分配也非常重要,因為資源數(shù)量龐大且經(jīng)常容易產(chǎn)生變化,這項工作也非常復(fù)雜,而這一點在RB-RBAC模型中沒有得到改進。二、RB-RBAC模型中訪問控制判決過程考慮的因素過于單一,無法適應(yīng)更為復(fù)雜和安全性要求更高的系統(tǒng)安全策略要求。本文在研究RB-RBAC模型的基礎(chǔ)上提出了改進后的RB-RBACex模型。該模型在資源屬性表達式的基礎(chǔ)上提出了權(quán)限表達式的概念,通過角色與權(quán)限

3、表達式的關(guān)聯(lián)實現(xiàn)了角色-權(quán)限關(guān)系的動態(tài)分配,大大降低了這項工作的復(fù)雜度,并能很好的適應(yīng)資源的新增、刪除、屬性修改等變化情況。此外,在模型中通過引入角色激活條件實現(xiàn)了多元判決的思想,在訪問判決的決策過程中不僅僅考慮用戶被授予的角色,還全面地考慮用戶屬性、環(huán)境屬性、系統(tǒng)整體安全狀況等多種因素,有效地解決了RB-RBAC模型中訪問控制判決因素過于單一的問題,使得其能夠適應(yīng)更為復(fù)雜的訪問控制需要。權(quán)限管理基礎(chǔ)設(shè)施PMI是一個通用的授權(quán)管理和授權(quán)