基于风险分析的应用系统访问控制模型研究.docVIP

下载本文档

2
0
约8.89千字
约 6页
2017-02-11 发布于重庆
举报
版权申诉

基于风险分析的应用系统访问控制模型研究.doc

1、本文档共6页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

基于风险分析的应用系统访问控制模型研究

基于风险分析的应用系统访问控制模型研究高志民1，王声远2 1.北京交通大学信息安全体系结构研究中心，北京,中国 100044 2.北京大学软件与微电子学院，北京,中国 102600 1. zhimingao@163.com 摘要：针对越来越复杂的应用系统，本文提出了一种基于风险分析的访问控制模型，该模型通过风险概念建立了业务目标和访问控制策略间的直接对应关系，以业务流程运营绩效指标作为风险度量的基准，并将风险计算作为访问控制授权决策的约束方程，同时，在最小权限原则和职责分离原则基础上，还给出了“业务-安全”均衡原则，并为之建立了相应授权决策规则。本文的研究成果有助于摈弃“安全或不安全”的二元制授权决策规则，建立适应业务灵活性和互操作性发展的柔性授权决策方法。关键词：风险分析；访问控制；基于角色的访问控制；基于任务的访问控制 Research on risk analysis-based access control model of application system GAO Zhi-Min1, Wang Sheng-Yuan2 1. Research Centre of Information Security Architecture, Beijing Jiaotong University, Beijing 100044,China 2. School of Software and Microelectronics,Peking University,Beijing 102600 ,China 1. zhimingao@163.com Abstract: Facing to complex application systems, an access control model based on the risk analysis is proposed. The directed connection between the business objectives and the access control strategies is established in the model according to the concept of risk, with business process operational performance indicators as a basis on the risk measurement and the risk calculation as the constraint equation of the access control authorization decision. At the same time, besides the principle of least privilege and the principle of responsibility of separation, the principle of business-security equilibrium is also given, and according to which the appropriate authorization decision rules are also established. The research results in the article aid to establish a flexible decision-making method to adapt to the development of the business flexibility and interoperability, with getting rid of the safe or unsafe dual authorization decision rule. Keywords: risk analysis; access control; role-based access control; task-based access control 近四十年来，针对访问控制模型和实现机制研究一直是信息安全领域的主要内容之一，尤其是当前“无实体不可数字化”的信息化时代，政府管理、经济运作、社会生活等均离不开相应的应用系统，而确保应用系统中的用户得到合理的授权，降低权限滥用的可能性及其影响，一直是信息安全的重点。回顾访问控制发展历程，其模型要素总体上与当时人们对应用系统的期望功能及其复杂程度相一致。在这期间，众多研究者提出了很多访问控制模型。访问控制作为一种安全策略，最早出现在20世纪70年代初期的分时系统中，模型中包含授权决策的基本要素（S