支持多種訪問控制方法的統(tǒng)一授權(quán)系統(tǒng)研究.pdf

1、在分布式計算環(huán)境中，由于大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)分別屬于不同的部門和不同的業(yè)務(wù)系統(tǒng)。若這些業(yè)務(wù)系統(tǒng)都獨(dú)立維護(hù)一套用戶權(quán)限管理系統(tǒng)，當(dāng)系統(tǒng)管理員同時對多個系統(tǒng)進(jìn)行維護(hù)時，工作復(fù)雜度會成倍地增加。且多個權(quán)限管理系統(tǒng)會對用戶的使用造成不便。目前分布式計算環(huán)境下訪問控制技術(shù)的一種發(fā)展趨勢是采用集中式的身份與授權(quán)策略管理，即由一專門的系統(tǒng)為企業(yè)、機(jī)構(gòu)的各類計算機(jī)系統(tǒng)、應(yīng)用服務(wù)系統(tǒng)提供集中的身份與授權(quán)策略管理。許多公司的授權(quán)系統(tǒng)都采用了集

2、中式身份與授權(quán)策略管理技術(shù)，并據(jù)此實現(xiàn)訪問控制。但是，這種集中式的授權(quán)管理系統(tǒng)在實際應(yīng)用中也面臨著一些技術(shù)問題，比較突出的有：如何同時支持不同的訪問控制方法，如ACL(AccessControl List)、RBAC(Role-based Access Control)、ABAC(Attribute-based AccessControl)等；如何對眾多的、不同的資源進(jìn)行統(tǒng)一的、有效的授權(quán)策略管理。
　　 本文對集中式身份與授權(quán)

3、策略管理技術(shù)進(jìn)行了研究，提出了一種新的統(tǒng)一權(quán)限與策略管理方式。該方式針對不同的訪問控制方法同時定義不同類型的授權(quán)策略（如ACL、RBAC、ABAC授權(quán)策略）并以通用的形式存放在數(shù)據(jù)庫中，使得授權(quán)系統(tǒng)可以根據(jù)訪問控制方法的需要靈活的選擇使用授權(quán)策略，從而支持多種訪問控制方法。
　　 本文同時提出了一種可以自動根據(jù)請求類型查詢指派授權(quán)Provider(提供者)的Manager-Provider（管理者-提供者）架構(gòu)。該架構(gòu)使用多個P

4、rovider以提供針對不同訪問控制方法的授權(quán)功能，并由一個Manager進(jìn)行管理。并通過提供對這些Provider的查詢服務(wù)，自動引導(dǎo)外界選擇、使用Provider進(jìn)行授權(quán)。這種Manager-Provider架構(gòu)使得統(tǒng)一授權(quán)系統(tǒng)可以很好的嵌入到使用各種訪問控制方法的系統(tǒng)平臺中，而且可以動態(tài)增加新的組件以擴(kuò)展其授權(quán)決策功能。
　　 本文還提出了一種策略繼承機(jī)制，該機(jī)制簡化了資源、策略信息的組織結(jié)構(gòu)，大大提高了在線授權(quán)決策的效率