一种基于层次客体的访问控制模型.pdfVIP

( U 0 1 咱 口 叫m m …种基于层次客体的访问控制模型 刘波 1 ，门涛 2 ，谭明杰 l (1.四川广播电视大学，四川成都 61ω73 ， 2. 乐山师班学院，四川乐山 61柏04) ω m n c m M 叶 〈 摘要:在需要管理大量权限的系统中，现行的访问策略不能解决客体的层次关系，提出了…种多级层次客体的管纽模型，定 义了客体的层次关系，并给出了客休的管级算法，满足了多级1.杂客体权限系统的要求。 关键询:层次客体:容休:访问控制;安全 Access Control Model 日ased on Multi-Ievel Object L1U Bo. , MEN Tao2 ，丁AN Ming-jie l (!.S!即阻n 加刷刷了V (/mversity， α阳胁，拗幽 t]!(J(J7J， CM晶晶5 P.L甜削阳回/!JniJ阳9ity， L，甜酬，倒削 t]!4(J(J4， α翻IJ) Abstract : In 1.1附 system of managing many privHeges , Acω55 policy c制. 1. solve tl始 prob阳n about tl黯 hierarchy of objects. a rna.nagement mωel of 阳Iti…hierarchiω1 obj饥t was proposed in this ar忧Ie . The model 伽fin创 the relatíonship among h抱rarchical objects , gave the algorithm , satísfiω 阳 ne曹d of complex mu比i-híerarchical 0问ects. Key words: Multi-rnerarchical object; 00.知的 ;Acωωcontrol ; 5ecuríty 力留给用户个人，这使得管理员难以确定哪些用户对哪费 资拥有访问权限，不利于实现统一的金周坊问控制。而 MAC 由于偏m保密性，对系统连续工作能力、授权的可 管理性等考虑不足。 RBAC 有妓地克服了传统访问控制技术中存在的不足 之处，可以躏少攒权管理的提杂性，降低管理卉销，还能 为管理员提供一个比较好的实现安全政策的环擒。 TBAC 为基于工作流的安全模型奠定了基础， ;;装模型是面向应用 的动态的管理模割，相对于 RBAC 其控制的粒鹿更细。 2 层次寄体模型 在 RBAC 和 TBAC 等模型中，对窑体的粒度定义都 是比较粗的，不能满足现实系统对权限管理的需要。对于 RBAC 模型描述的某个极限，在层次客体模搜(见回1) 可以看着一个单袖的节点，根据权限的定义，这个节点是 由一个(操作，对象)二元细究成的，即是某个可以操作 端个对象的操作和被操作的客体构成，层次客体之间存艇 着树型控制提系，父节点可以控制子节点。 ①① 。 G 随着计算机技术的发展和计算机网络应用的普及，信 息安全间睡变得越来越重要，因此，在绝大多数的系统中， 安全管理一直是设计的核心部分，从管理的抱回来划分， 安全管理呵以划分为外部安金和内部安全两大部分。外部 安全主要是独立于本系统的内部，如硬件设施、操作系统、 网络的安全，内部常金:t:要体现在权限的控制，因为系统 的各个部分不可能对所有的用户开放，这样做既不利于数 据保帘，又会对系统安全运行造成威胁。 访问栓制管理正是实现既定安全策略的系统安会技术， 它管理所有资源坊问请求，即根据安全策略的要求，对每 个资掘访问请求做出是否许可的判断，能布效地防止非怯 用户坊问系统资掘和合法用户非措使用资源。 阁 1 层次客体模型 2.1 层次替你 也义 l M，叫。 ;αPS， t: 归侃，)叶{o s;; OPS，t s;; TAGS.oxt s;;MωIBS} 囊 m~四II~ 1 访问指制技术 前间控制技术最早产生于上世纪 60年代，出现了两 种重要的谕问控制技术z 自主型坊问控制 (Discretionary ACJ:Ii!?. Control, DAC) (I J 和强制型坊问甜制 (Mandatory Access Control , MAC) [1). J二世纪 90 年代以来出现 的基于角色的坊问控制 (Role-Based Access Control , RBAC) [2J 技术和基于任务的访问控制 (Task-Based Authorization Control , TBAC) [坷。在国内也出现了其 他如用户群组 l刑的控制策略运用。 DAC 是目前计算机系统中实现最多的访问控制机制， 它是在确认1:.体身份以及(戒)它们所属绵的基础上对访 问进行限定的…种方法。 MAC 是强加给