基于約束的委托授權(quán)研究.pdf

1、在訪問控制的三種策略中，基于角色的訪問控制(RBAC)策略近些年來一直是研究的熱點。相比較另外的兩種訪問控制策略：自主訪問控制(DAC)與強(qiáng)制訪問控制(MAC)，RBAC具有更高的靈活性和擴(kuò)展性，而且在滿足信息系統(tǒng)的安全需求方面更是顯示出了很大的優(yōu)勢。
　　委托授權(quán)是分布式系統(tǒng)中一種重要的訪問控制機(jī)制。委托授權(quán)是指系統(tǒng)中的某些主動實體將自己的權(quán)限指派給其它實體，使得權(quán)限的接收方可以代替前者完成一定的工作。目前主流的委托授權(quán)模型都是

2、在基于角色的基礎(chǔ)之上進(jìn)行研究的，但是這些委托模型還不是很完善，在委托授權(quán)的安全約束等方面還沒有進(jìn)行詳細(xì)的論述。
　　中國墻安全策略(CWSP)是商業(yè)信息領(lǐng)域中很重要的，也是應(yīng)用的很廣泛的一種訪問控制策略。CWSP結(jié)合了DAC和MAC的特征，可以防止用戶訪問同一個利益沖突類(COI)下的不同公司數(shù)據(jù)集?，F(xiàn)有的文獻(xiàn)中也有很多研究委托授權(quán)約束的，但是卻很少涉及中國墻安全策略下的委托操作及其實現(xiàn)，沒有考慮到中國墻安全策略對委托授權(quán)的約束。

3、這些傳統(tǒng)的委托模型主要是針對通用環(huán)境，對CWSP的特殊性考慮不夠，不能應(yīng)用于咨詢等商業(yè)領(lǐng)域。
　　本文主要做了以下幾個方面的工作：
　　1.首先對現(xiàn)有的三種基于角色的委托模型做了系統(tǒng)的分析，主要從委托深度、委托粒度、以及委托授權(quán)與撤銷策略等方面進(jìn)行了綜合的比較，列舉出了這三種模型的不同之處和優(yōu)缺點，并指出了三者在委托約束方面的不足。
　　2.重點研究了委托授權(quán)過程中的安全約束，并提出了一個基于約束的委托授權(quán)模型(CDA

4、M)。該模型是充分考慮了中國墻安全策略對委托授權(quán)的約束，在委托約束中除了加入幾種常見的約束條件外，還把CWSP限制也加入其中。詳細(xì)介紹了模型中的幾種委托約束條件：先決條件、職責(zé)分離約束、時間約束、委托深度約束、CWSP約束，并給出了CWSP約束判定的兩個重要算法。
　　3.對CDAM模型中的委托授權(quán)和撤銷做了重點的研究。給出了委托授權(quán)的沖突檢測算法，并詳細(xì)闡述了CDAM模型中的委托授權(quán)過程；最后提出了CDAM模型的兩種委托撤銷策略