| 题名 | 基于属性的访问控制模型与应用研究 |
| 作者 | 翟征德 |
| 学位类别 | 博士 |
| 答辩日期 | 2008-01-14 |
| 授予单位 | 中国科学院软件研究所 |
| 授予地点 | 软件研究所 |
| 关键词 | 基于属性的访问控制 基于角色的访问控制 跨域授权 委托 安全模型。 |
| 其他题名 | Research on Model and Application of Attribute Based Access Control |
| 中文摘要 | 访问控制是一种重要的信息安全支撑技术,提供对资源的机密性和完整性保护。基于属性的访问控制(ABAC)是一种新兴的访问控制技术,基于用户、资源和环境的安全属性进行授权,具有细致的授权粒度和灵活的属性框架,可以容易地描述多种安全策略。RBAC是一种有代表性的ABAC,显著降低了安全管理的代价,取得了广泛的现实应用。本文以ABAC及其特例—RBAC为中心,重点关注了访问控制模型、委托授权管理和跨域授权应用、实现框架,取得了以下研究成果: 1. 提出了一个灵活的形式化的基于属性的访问控制模型(F-ABAC)。该模型提供了灵活的属性与授权框架,能够精确描述多种访问控制策略;采用了一种细致和灵活的策略组合方法,允许同时实施多种访问控制策略。 2. 研究了基于ABAC的细粒度可控委托授权管理应用。首先以RBAC作为参考模型,提出了一个形式化的基于量化角色的可控委托模型QBCDM,引入了量化角色的概念,提供了灵活的委托粒度,避免了引入较高的管理代价;实现了一种结合强制与自主特征的细粒度委托约束机制,保证了多步委托过程中委托能力的收敛性。然后,将该模型的思想和方法推广到ABAC委托。 3. 研究了基于ABAC的跨域授权应用。首先以RBAC作为参考模型,提出了一个适用于大规模、开放式环境的细粒度可控委托授权模型FCDAM,基于信任度实现了对角色中具有不同敏感度的权限的传播控制;然后将相关思想和方法推广到基于ABAC策略的委托授权模型,为构建基于Internet的虚拟计算环境提供了一种有力的授权支撑技术。对安全互操作中角色映射引起职责分离约束违反的原因、检测方法和先决条件进行了讨论。提出了IRBAC2000违反静态互斥角色约束的充要条件和约束违反检测算法;给出了添加角色关联和用户/角色分配的先决条件,进而将相关结论推广到ABAC安全互操作,保证了互操作过程始终满足静态职责分离约束。 4. 基于XACML和SAML设计并实现了一个基于属性的通用访问控制中间件,实现了跨管理域的匿名资源访问控制,降低了上层应用开发的代价,增强了访问控制决策功能的可重用性,为ABAC的现实应用提供了技术支持。 总的来说,本文的理论研究成果从模型、委托授权管理和跨域授权应用三个角度促进了ABAC和RBAC的研究,本文提出的中间件架构为推动ABAC的现实应用奠定了技术基础。 |
| 语种 | 中文 |
| 公开日期 | 2011-03-17 |
| 页码 | 131 |
| 内容类型 | 学位论文 |
| 源URL | [http://ir.iscas.ac.cn/handle/311060/6320]  |
| 专题 | 软件研究所_中科院软件所_中科院软件所 |
| 推荐引用方式 GB/T 7714 | 翟征德. 基于属性的访问控制模型与应用研究[D]. 软件研究所. 中国科学院软件研究所. 2008. |
| 个性服务 |
| 查看访问统计 |
| 相关权益政策 |
| 暂无数据 |
| 收藏/分享 |
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。
修改评论