使用RBAC模型进行存取控制的分析和研究.pdf

华南理工大学
硕士学位论文
使用RBAC模型进行存取控制的分析和研究
姓名:滕凡
申请学位级别:硕士
专业:计算机软件理论
指导教师:奚建清
20030501
华南理工大学工学硕士学位论文
摘要
随着计算机网络技术的飞速发展,网络安全问题日益受到人们的重视,相关
的网络安全技术的研究也日趋深入。安全的访问控制更是成为热点,关于此方面
的模型和实现更是层出不穷。基于角色的存取控制模型,以其灵活性,科
学性,易管理性等诸多优点而备受推崇。许多大型的软件都对其进行了支持。但
由于每个商业软件的侧重点不同,支持的角度和粒度都不同。而大型的企业级的
应用都是由很多的软件模块组成的,这些软件模块可能来自于不同的软件提供商,
属于不同的体系架构,这就意味着开发者必须了解和精通各个组成部分软件提供
商的不同的安全控制解决方案,才能更科学地做出设计决策。系统成型以后,怎
样将安全控制策略的改变以尽量小的代价反映到系统中也是一个问题。
本文正是着眼于怎样在系统中更好的使用模型, 即怎样使
更好的和应用系统集成进行了探讨,创造性的提出了构建分布式安全控制管理平
台的构想。作为本课题研究的组成部分,本文的研究已经进行了部分的原型的实
现,并在文中给出了方案及原型实现的结论性评价。
具体来说,本文解决的问题包括了给出一个易于集成到当前已有系统中的
安全控制模型。定义了本地存取控制数据的数据结构。将面向方面的编程思想和
工具成功的运用于该安全控制模型中。
本文提出的分布式安全控制管理平台方案从多方面提供了一个较为完整的安
全控制解决方案,对有关安全控制方面的工程应用有重要的意义。
关键词模型存取控制面向方面的编程
华南理工大学工学硕士学位论文
第一章绪论
第一章绪论
,,背景知识
随着计算机网络的迅速发展,当前的用户管理系统越来越复杂化,对系统的
稳定性、安全性与协同性等都提出了非常高的要求。为了使得应用逻辑跟用户访
问权限分开并且方便数据的安全管理,建立了一个基于“用户。角色一权限”的层
次模型。在本模型中,参考了由美国国家标准技术研究所
等单位支持研究提出的模型。怎样将模
型应用到具体的商业环境中,不同的软件的提供商都有其解决的方法。
目前怎样将集成到具体的商业环境中存在的以下的问题
的实现都是私有的,不同的系统的数据不能共享。怎样在
不同的系统之间进行信息共享和交互
怎样在新的系统的设计和实现中将加入其中
怎样使策略和现有的,以及其他的遗留的系统进行
集成
, 的标准是所有需求的最小的交集,在实际应用时还要进行拓展才能
满足应用的需求
大型的企业解决方案中的组成的组件可能已经带有自己的存取控制功能。
如数据库产品,产品,应用服务器,防火墙等。
是使用这些现有的功能,将的综合的控制映射为这些相关产品的
具体的实现,还是在应用系统的设计和实现时完全自主的进行开发。
怎样保证系统的可拓展性。在业务需求变化时,组织结构变化时,存取控
制策略变化时,用最小的代价来使系统满足最新的存取控制的需求
研究内容
本文重点解决,怎样在具体的商业应用中用尽可能小的代价将基于的安
全存取控制机制进行集成二本文主要对以下的两个方面进行探讨
华南理工大学工学硕士学位论文
分布式的安全存取控制架构
具体怎样使用的思想和方法实践来在己有的系统中加入对
的支持
本文后面讨论的内容安排如下本章的下一节介绍与本文研究相关的工作。
第二章介绍基本模型和对其进行的扩展。第三章就目前商业系统中的
的实践进行了分析。包括关系型数据库,操作系统以及
分布式构架。第四章介绍了为什么使用面向方面的编程,面向方面
编程的语言标准。重点介绍了面向方面编程用语言实现的‘一第五章介
绍了本文提出的分布式存取控制管理系统。分别就设计思想,体系构架,服务部
署图,相关的工作流程,一些实现的细节等方面进行了阐述。第六章将该模型应
用于一个企业级的应用。
相关工作
分布式安全控制构架设计
建立一个安全系统更多的不是技术性的问题而是一个工程性的问题。建立一
个安全的系统是很复杂和繁琐的。来自于安全方面的威胁包括信息的窃取,信
息的篡改,信息的伪造,使信息不可用包括恶意删除,毁坏文件,攻击提供信息
的服务器等。作为一个安全系统必须提供相应的安全机制来防止上述的安全性攻
击。常用的安全机制包括加密,用户身份认证,存取控制和监听,审计。随着
网络技术的普及,更大的需求提出来了,怎样将各自独立的各个子系统组织起来,
提供一个全局一致的安全解决方案。本文就这个问题作了一些探讨,并提出了一
个