基于策略的訪問控制關(guān)鍵技術(shù)研究.pdf

1、訪問控制是支撐信息系統(tǒng)安全的一項(xiàng)重要技術(shù)，廣泛應(yīng)用于各種系統(tǒng)安全防護(hù)中。目前已有的訪問控制技術(shù)由于其約束條件配置管理的局限性和執(zhí)行機(jī)制的約束，在會(huì)話管理的靈活性、適應(yīng)性及綜合化控制方面存在很大的不足，因此探討具有新型控制機(jī)制的訪問控制方法具有十分重要的理論和實(shí)際意義。 從保證系統(tǒng)會(huì)話請求控制的適應(yīng)性、靈活性和多策略支持特性這一角度出發(fā)，初步構(gòu)建了一個(gè)基于安全策略的訪問控制模型PBAC（Policy-based Access Co

2、ntrol）。該模型分基本模型和擴(kuò)展模型。在基本模型中，為增強(qiáng)會(huì)話實(shí)體管理的適應(yīng)性，采用了可重構(gòu)對象描述技術(shù)對會(huì)話實(shí)體實(shí)施統(tǒng)一管理。同時(shí)，基本模型取消了對會(huì)話主體的權(quán)限配置，改變了根據(jù)主體擁有的權(quán)限來約束會(huì)話請求的基本訪問控制模式，統(tǒng)一建立了會(huì)話相關(guān)屬性描述，實(shí)現(xiàn)了會(huì)話特性的全面約束管理。此外，基本模型還改變了現(xiàn)有訪問控制模型通過權(quán)限等約束條件間接描述策略的模式，制定了獨(dú)立的策略描述和管理機(jī)制，實(shí)現(xiàn)了訪問控制策略的靈活管理，提高了模型的

3、多策略支持能力。 以基本模型為基礎(chǔ)，構(gòu)建了PBAC的擴(kuò)展模型。論述了擴(kuò)展模型的會(huì)話實(shí)體和行為內(nèi)在的邏輯特點(diǎn)，給出了擴(kuò)展模型中邏輯關(guān)系的描述和管理機(jī)制，討論了模型中實(shí)體要素間的分組關(guān)系、繼承關(guān)系、約束關(guān)系和依存關(guān)系等對訪問控制管理機(jī)制的影響。給出了PBAC模型在移動(dòng)代理系統(tǒng)中的應(yīng)用機(jī)制。 從策略的可用性、靈活性以及描述的一致性角度出發(fā)，制定了基于XML（Extensible Markup Language）的訪問控制策略描

4、述語言規(guī)范XBACPL（XML-based Access Control Policy Language），并以會(huì)話實(shí)體、行為等要素為基礎(chǔ)構(gòu)建了XBACPL的基本策略，給出了基本策略的分類定義和描述方法。在此基礎(chǔ)上，結(jié)合元建模理論擬定了XBACPL的元策略管理機(jī)制，建立了訪問控制策略內(nèi)部的邏輯關(guān)系。此外，針對XBACPL的可用性和一致性要求，描述了滿足這些要求的策略管理算法。 結(jié)合MAS（Mobile Agent System）

5、的特點(diǎn)，討論了PBAC在MAS中的應(yīng)用模型。同時(shí)，構(gòu)建了基于策略的網(wǎng)絡(luò)安全防護(hù)框架，在該框架下結(jié)合網(wǎng)絡(luò)層訪問控制的特點(diǎn)，開發(fā)了一個(gè)PBAC的網(wǎng)絡(luò)安全防護(hù)應(yīng)用原型。原型系統(tǒng)包含一個(gè)訪問控制實(shí)體、屬性及策略的配置管理工具，同時(shí)在網(wǎng)絡(luò)驅(qū)動(dòng)層NDIS上實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包基于策略規(guī)則的過濾。通過原型系統(tǒng)的建立，驗(yàn)證了PBAC模型的靈活性、擴(kuò)展性和多策略支持特性。 通過對基于策略的訪問控制相關(guān)問題研究，取得了若干具理論價(jià)值和實(shí)用價(jià)值的研究成果