分布式环境下授权管理模型的信任机制分析-计算机应用技术专业论文.docx

华 华 中 科 技 大 学 博 士 学 位 论 文 II II 了协商实体之间的交互性，而且也刻画了授权操作的自主性。 在现有自动信任协商系统中，主体拥有的不同属性之间可能存在某种关联，其中某 些属性的披露会导致其他敏感信息的泄露，即存在着推理攻击。在已有的相关研究中， 并没有对 ATN 推理攻击给出有效的防御方案，敏感信息泄露问题依然存在。针对上述 问题，分析了属性之间的关联特性，提出了隐私属性敏感强度的概念，并给出了敏感强 度偏序关系的形式化定义。基于敏感强度偏序关系提出了 ATN 层次化模型，该模型不 仅反映了主体与属性、属性与保护策略之间的关联，而且反映了不同属性之间的线性关 系。此外，重点分析了自动信任协商系统中的几类推理攻击，并给出了相应的防御方案， 这些防御方案安全性也得到了详细分析。 在现有的 ATN 研究中，都没有对 ATN 抽象模型严格的形式化定义，也没有引入 时间概念，因而没有严格的形式化模型来刻画 ATN 的处理过程，并且没有考虑随时间 变化而引起模型的动态变化，特别是存在着 DoS 攻击。针对上述问题，提出了 ATN 抽 象模型的基本组件，引入状态变换系统定义 ATN 抽象模型.在此形式化基础上，对 ATN 做时间特性上的扩展，分析和讨论了 ATN 的时间语义。构造一个带时间特性的状态变 化系统来描述扩展了的 ATN，能够有效的抵御 DoS 攻击。最后运用新的安全性分析方 法对 ATN 中安全策略的可满足性进行了分析。 授权管理是动态结盟系统间协同和资源共享的重要前提。现有的研究中，基于主观 信任的授权方式是高效、流行的方法之一。然而，仅仅基于信任的授权管理是不充分的。 例如，某个实体能被信任从事技术任务，但不能被信任从事管理工作，在层次化企业结 构中，高级管理人员的信任度高于专业技术人员，但高级管理人员成功完成技术任务的 可能性低于专业技术人员。在此情况下，成功完成指定任务的可能性可以用风险来描述。 虽然也有部分学者在已有的信任模型中引入了风险的概念，但是它们不具备丰富的表达 能力，模型相对简单。针对上述问题，提出了授权安全风险的概念，用它来描述安全目 标与实际出现的结果之间存在的距离。在此基础上，引入信任-风险联合评估机制，运 用模糊集合理论对联合评估模型进行建模，并给出了实体间信任-风险联合关系的推导 规则。基于信任-风险联合评估机制定义了授权管理模型，并分析了授权管理中的一致 性证明问题和职责分离问题。 关键词：访问控制，授权管理，角色，信任管理，授权风险，信任协商，推理攻击 III III Abstract With the rapid development of computer science and network, there is an urgent need for coordinating and resource sharing in open networks. Whereas, controlling on privileges for accessing resourse is still a crucial aspect for systemic security. Authorization management is the core of access control. Many researchers do much work on authorization management, and obtain great achievement. However, with the development of computer network and application, some issues on authorization management are not resolved effectively. It is necessary to do further research on these issues. In single administrative domain, role-based access control is widely used. However, in the administration model for RBAC, the assignment component maybe still induce leakage of privileges due to illegal operation executed by un-trusted subject. Systemic security strategy is described by security query in administrative mo