访问控制聚合研究.pdfVIP

小 型 微 型 计 算 机 系 统 2008年 11月 第 11期 JournalofChineseComputerSystems Vo1．29 No．11 2008 访问控制聚合研究 周 宁 ，沈志宏 ，吴开超。 (中国科学院研究生院，北京 100049) (中国科学院计算机网络信息中心，北京 100190) E。mail：znmars@sina．com 摘 要：传统访 问控制实现机制在大规模信息系统的权限管理上具有较大的复杂度．本文研究在授权关系表的基础上对访问 控制信息的聚合处理 以实现授权管理．在用户端 权 限端的访 问控制聚合分别形成基于角色、基于分组的方法 ，通过对上述两种 方法的对比，分析 了访 问控制聚合的有效性，并通过实际系统验证 了上述结论．研究结果表 明，访问控制聚合是解决大型信息系 统访 问控制的有效方法，基于角色的方法通常能更易于满足系统的安全要求． 关 键 词：访问控制；授权管理；RBAC；GBAC；信息安全 中图分类号 ：TP391 文献标识码：A 文 章 编 号：1000—1220(2008)11-2167—04 Research andApplication ofAggregationforAccessControl ZHOUNing，SHENZhi—hong，WUKai—chao。 (GraduateSchoolofChineseAcademyofSciences，BeOing100049，China) 0(ComputerNetworkInformationCenter，ChineseAcademyofSciences，Beijing100190，China) Abstract：Implementationmechanism oftraditionalaccesscontrolismuchmorecomplexinlarge—scaleinformationsystem．Ag— gregationsofaccesscontrolbasedonauthorizationrelationsareresearchedinthispapertoimplementmanagementofauthoriza— tion．Aggregationsofaccesscontrolinusersideandpermissionsideform role—baseandgroup—basedmethod，respectively． Comparedwitheachofthetwomethods，validityofaggregationofaccesscontrolisanalyzed，andtheconclusionisverifiedin realapplication．Researchresultindicatesthataggregationofaccesscontroliseffectivemethodtosolvelargeinformationsys— tem ，androle～basedmethodisusuallyeasytomeetthesecurityrequirements． Keywords：accesscontro1；referencemonitor；HBAC；informationsecurity 1 引 言 访问矩阵通常为稀疏矩阵，当主客体数量较多时，直接存 储稀疏矩阵的开销会非常大 ，可以考虑采用按列、按行的方式 访问控制是信息安全领域的重要基础，是实施系统安全 存储该稀疏矩阵 ．按列方式存储形成访问控制列表 (Ac— 策略的软硬件底层实现 [】]．访问控制实现机制的基本逻辑模 cessControlList)，如图1所示；按行方式存储形成访 问能力 型是访问矩阵，具体体现为主体、客体、操作之问的三元关系， 表 (CapabilityList)，如图2(见下页)所示． 或用户、权限之间的二元关系． 访 问矩阵是访 问控制