模糊时间约束角色访问控制的分析与应用.pdfVIP

重庆邮电大学硕士论文 目录 6．1结论……………………………………………………………………………………………．53 6．2未来的工作…………………………………………………………………．53 致 谢……………………………………………………………………………………………………54 攻硕期间从事的科研工作及取得的研究成果………………………………………55 参考文献……………………………………………………………………………．．56 重庆邮电大学硕士论文 第一章绪论 第一章绪论 1．1引言 计算机及互联网技术的快速发展，为信息资源电子化提供了方便。互联网的 安全问题也随之凸现出来。恶意攻击、密码窃取、合法用户的不当操作、内部管 理员的渎职等都会给信息安全构成威胁。网络信息安全的日益突出，成为网络的 发展瓶颈。安全问题必须得到圆满解决，网络才能更好地为企业服务。访问控制 技术是可以对资源的访问进行控制，从而有效地遏制了系统内部的安全威胁。良 好的访问控制系统可以解决大部分的内部安全威胁，因此访问控制研究一度成为 全服纠I】就有访问控制技术。 随着互联网信息技术的不断完善，无论电子政务、电子商务、企业信息管理 等等系统中都面临安全问题。主要有系统内、外两部分威胁。内部威胁包括：操 作人员的误操作、内部人员恶意泄密、系统管理员的失职和权利滥用(篡改数据、 篡改系统、安全管理失职等)、用户身份非法使用(冒用、滥用、误用、非法转 让等)。内部威胁则一般用访问控制策略来解决。外部威胁：系统外部人员的恶 意攻击、地震洪水以及类似的难以抵御的自然现象等。外部威胁多采用防火墙解 决，如下图1．1： 图1．1系统的内外威胁 重庆邮电大学硕士论文 第一章绪论 访问控制系统可以有效地克服内部安全的威胁。访问控制从用户进入系统到 用户操作资源的全程控制，其作用是根据对访问策略的某些限制排除非法的资源 访问。访问控制方法通常用于合法用户设置密码。如果用户名和密码是有效的， 那么允许它访问系统资源，如果没有，禁止着陆。 访问控制技术是为确保信息的安全才应运而生。其中基于角色的访问控制 RBAC(Role-basedAccessContr01)【2】技术有效地克服了传统访问控制技术的不 足，在授权管理上采用全新的技术。RBAC模型引进了角色中介，权限管理也就可 以根据需要定义各种角色，并对角色设置相应的访问权限，从而省去了职员离职 后必须删除其信息再添加新员工的信息的麻烦。但是传统基于角色访问控制存在 不足，本文提出了一种新的基于角色的访问控制模型一基于模糊时间角色访问控 制。 1．2RBAC的发展及研究现状 1992年Ferraiol和Kuhn第一次提出RBAC[3J模型。 型基础上的分布式管理。 Ferraiolo，Ravi 2001年David Sandhu等人联合拟定了一个RBAC模型的 美国国家标准草案。 NASI标准【61。 尽管RBAC已趋于成熟，但RBAC仍有不足的地方。 国内主要是中科院软件研究所、华中科技大学、大连理工大学等，其他组织有ACM of (纽约的计算机协会AssociationComputing on and Interest Security，AuditControl(保密稽核控制专业 Special Group 组织)。其他一些有影响国际会议(如ACM 一些权威杂志 (如计算机科学、软件学报、计算机学报，小型微型计算机系统， 计算机工程等)相继出版了一些有关RBAC的文章。 了HRBAC模型【7】，该模型使得访问控制可以分层管理，即可集中也可分散管理， 2 重庆邮电大学硕士论文