基于对称rbac模型的配置委托权限管理研究.pdf

中南大学
硕士学位论文
基于对称RBAC模型的配置委托权限管理研究
姓名:佩斯
申请学位级别:硕士
专业:计算机应用技术
指导教师:张祖平
20090501
摘要自从人类有了资产保护,就有了授权这个概念。守卫、门以及锁自古以来就被用于限制私自访问贵重物品。在今天的信息技术环境中,授权关心的是用户如何访问计算机系统的资源;通俗地说,就是谁能做什么事。授权无疑是今天最根本和最普遍使用的安全机制。从商业的角度来看,授权有可能促进最佳地分享和交流资源,但它也有可能阻碍用户,增加大量的行政费用,并导致重信任管理系统的授权,比传统的访问控制系统更加令人印象深刻,如基于委托驼如职责的分离P湃喂芾硐低嘲ㄈ鲋饕W槌刹糠郑菏谌ň定、证书存储和检索、信任协商。在此论文中,授权决定被当做基于配置委托系已经作为行为模型的一部分而被加入。其中的只竟叵等缦拢汉怯有者的数据信息,只要函数能访问资源或者网络中的任何一个节点有权使用函数去访问信息或资源。这些函数被分配给角色,且角色只能管理函数以及其他角色。角色也可以下放给组或另一个角色,这意味着其全部或部分权限可以委托给角色或组。组是管理角色和用户的实体。管理角色意味着管理分配给角色的权限和函数。管理用户意味着大多数用户应分配到一个组并且一个用户只能论文提出的模型之所以被认为是对称的,是因为模型的一边的行为与另一边是类似的,它能降低开发成本,致力于开发代码重用,并减少开发时间。模型在委托过程中使用了基于组件的配置文件,这些组件是:时间消亡机制、约束、委托状态、深度和私人密钥。这些组件使系统具有更大的灵活性,可扩展性和简单的方式进行维修。基于配置文件和网络中两个节点间的路径使得撤销要信息未经授权的披露。角色的访问控制,又如现在分布式系统的安全机制,采用了更先进的功能架构的对称委托模型的关键而提出,这个架构已制定并组织了三个步骤或部分:语义模型、设计和实旖。对称委托模型被分为多个池,如用户、组、函数和数据。这些池之间的关用函数通过组访问一个角色。用户与角色的函数拥有相同的行为,用户根据谁有权在网络中做一些具体的行为被分配到不同的组。只有这样,用户才可以访问作为组一部分或与组相关的信息或资源。事实上,有可能允许的组合是:疐,琑虶,以补全用户和数据间的路径。进程非常的容易。
组件中的时间到期机制使得能自动撤销许可,因为时间已经到点,需要协商增加新的时间来延长访问。这就是为什么在配置文件中一直考虑用状态,因为在最初的概念中,所有的委托都是暂时的,并且时间仅仅是因为组织或公司或角色,还有助于了解一些具体分支中的级联委托;私人密钥与每条路径相关;密钥使用加密算法。从存储信息的角度看,加密该文件有特殊的重要性。每条路径上的密钥是为了让正确的用户能够看到氯返穆肪丁O旅姹闶记用于未来新委托和全部或部分撤销的所有事件的详细信息。算法和部分撤销算法。委托算法已经注意到:角色群和组群之间、在一个角色内部或一个组内部、特定的委托。部分撤销的重点是在不触及其他地方的权限前提下,从一特定用户撤销具体功能,并且这些改变能通过网络执行。全部撤销移除所有实体请求的权限,甚至有可能删除实体本身,而其他的用户并没有撤销过程的发生。在所有的情况下,系统的其他过程是透明的。这个模型如何在一个实例系统中包含所有的组件。和完成整个模型的实现。配置文件对于管理员方便管理系统的权限提供很好的帮助,它能让管理员信任管理系统中基于对称的角色访问控制模型的委托是一个确保和控制系性的关键。这个模型确保授权用户能在正确时间以最好的质量获取足够的信关键字:安全、基于角色的访问控制、委托、撤销、配置的政策才定义的。组件中的深度对于获知关注的用户群中的用户或组的水平和架构是非常重要的。深度的值可以表示实体是否能否产生新的委托给另外的组这个模型的轮廓:对于网络中的每个委托,这个模型需要使用一个配置文件登三种类型的过程已被审议并设计了有效的后续算法:委托算法、全部撤销在设计中,挥糜诒硎鲇美肌⒂没、订墓叵怠⒐赜诙猿颇P徒馐的类图、和所有用于解释算法的实例的状态图。在设计的最后,类图用来展示在模型的实际应用中,用于存储信息,用来管理整个坏境。操作系统使用的是疟居镅院蚐语言用于开发准确获知委托是怎样且何时发生。论文论述了如何展示在整个权限管理系统中委托和撤销任意一个节点的方法。统中用户访问的健壮的模型。这个模型提供对称属性以增强它的易构建性和降低它的实现成本。配置文件代表了模型可审计性、可扩展性、可用性和可维护息。‘
甒...,—,猤:瑂甌:.,琣,,,懿.,甀琯瑀,,琲瑅
...,甌:甀.,,珼琑琍
.——Ⅵ琾——
作者签名:早蛰俨日期:等年潞作者签名:ず挪η┟原创性声明关于学位论文使用授权说明本人声明,所呈交的学位论文是本人在导师指导下进