访问控制模型研究及在网络信息系统中的应用.docVIP

　　访问控制模型研究及在网络信息系统中的应用 第一章绪论 1.1引言 安全在各个领域均是一个热点问题，尤其在当今全球信息化的大背景下，人们在充分享受资源、信息共享的同时，信息安全问题凸显。棱镜事件[1]更是对我们敲响了警钟，对于安全问题的管控刻不容缓。同时，企业信息化、电子商务、电子政务等方面越发地受到重视，已经成为学者们研究、应用的焦点，这些信息化科技产物正在加速社会的进步，对我国的经济结构转型将起到至关重要的作用。因此，对于这类网络信息系统的访问控制显得尤为重要，这关系到一个企业的兴衰，甚至是国家重要机密的保护。鉴于网络信息系统安全访问的重要性，通过有效手段对系统用户的访问行为进行精准地控制具有重要意义，而访问控制方法与模型正是解决此问题的关键技术。访问控制（Access Control)是信息安全研讨课题的一部分，是系统保密性、完整性、可用性和合法使用性的重要基础，它假设已经通过认证过程而获得了最终正确的用户身份，针对用户身份采取相应的特异性控制。因此，访问控制即是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方法[2]，也是系统根据用户身份以及所属策略组限制其使用数据资源能力的手段[3]，无疑这种控制具有重大意义。通过探究访问控制理论以及部分经典模型，在己有研究基础上提出新观点并改进，针对当前模型的业务针对性相对较强的现状，设计出一套在网络信息系统中较为通用的访问控制模型，同时将该模型在具体的系统中设计、实现并应用以验证模型可用性，这一研究具有重要的科学研究价值和工程实践意义。 . 1.2课题背景及意义 随着全球信息化程度的加深，人类正在跨进第三次革命浪潮，在这个以共享、智能为主题的信息时代中，信息无论对于个人、群体、国家还是整个人类社会来讲，都变得愈发宝贵，这是不可逆转的发展趋势，采取有效的措施保护信息的安全十分重要。信息安全的研讨课题一般包括：入侵检测（Intrusion Detection)、加密（Encryption)、认证（Authentication)、访问控制（Access Control)以及审核（Auditing)等。访问控制是信息安全的关键技术之一，且已被国际化标准组织ISO在网络安全标准IS07498-2中定义为五大信息安全服务功能之一，其余四项为身份认证服务、数据保密服务、数据完整性服务以及不可否认性服务。访问控制作为一项不可或缺的安全控制措施，对其进行研究具有重要的意义。访问控制概念的提出至今已有四十多年的历史，其根本目标在于约束己经正确通过认证后的用户（主体）的行为，从而保护敏感信息或特定功能。访问控制己经被成功应用于各个领域之中，例如人们熟知的计算机操作系统、数据库系统以及网络信息系统等，但其实现往往对特定领域的安全控制业务以及级别依赖程度较高。在近四十年的发展历史中，访问控制技术和模型层出不穷，广泛被学者们认可的三种访问控制模型有：自主访问控制模型是一种比较宽松的、接入式访问控制模型，属主自己决定是否将自己所拥有的客体访问权或部分权利赋予其他主体，这种自主控制方式可以说非常的灵活，也保证了有效地阻止非法访问行为，但权限的扩散导致管理困难，因此DAC常被用于操作系统和数据库中。强制访问控制模型将系统中的信息分级别和类型进行管理，从而限制主体只能访问那些已经被标明可以由其访问的信息，即根据主体和客体的固定安全级别、属性来检测主体的访问权，MAC的限制性很强，常被应用于军事系统和国家安全方面。基于角色的访问控制模型己经成为当前的主流模型，其较好的克服了 DAC与MAC的主要缺点，基本思想是间接地将系统操作的各种权限授予主体，在主体集合和权限集合之间建立角色集合，每一种角色对应一组相应的权限，当前基于RBAC的各种拓展模型在国内己经被广泛应用于各个领域，尤其是网络信息系统中，对企业信息化、电子商务等的访问控制提供了有力的支持，RBAC模型也是本文研究的重点以及提出新模型的基础。 第二章访问控制理论及模型研究 2.1访问控制理论 当下，世界各国都在积极关注并大力发展高新技术，其中信息技术，特别是计算机技术与网络技术成为比拼的关键。随着计算机与互联网的结合，网络的幵放性与多元性充分发挥了其特点，使我国的信息化水平得到了大幅度提升。但，开放与多元带来的双刃剑的另一面是个人、国家的信息安全均受到了极大威胁。因此，网络安全成为我国信息化战略的七大要素之一，访问控制则是公认的关键技术之一。同样地，对于信息系统来说，访问控制也起着至关重要的安全控制作用，其对于系统的正常运转、后台数据的保护等方面均是一道坚实的屏障。访问控制作为保护系统资源的第二道壁垄（第一道为认证)，其主要任务是保证资源不被非法访问和非法使用。通过定义主体对客体的访问权限，从而控制主体的行为，可以有效地对各种信息进行保护。信息安全