访问控制是保护信息资源的一种重要机制,通过对用户访问行为的限定从而达到保护敏感信息的目的。因此,实施合适的访问控制是构建安全信息系统的基本要求。访问控制通常依据一定的安全策略进行实施,即表达为实施在访问控制主体、客体、操作等元素上的安全约束,这种安全约束反映了组织的安全和业务需求。例如,职责分离安全约束要求一定数量的用户共同执行特定的敏感任务,用于防范用户的欺诈行为。然而,在大型组织内部定义的安全约束,可能导致安全约束之间存在矛盾或者系统授权不能有效地反映安全和业务需求,从而影响组织目标的实施。因此,分析和验证授权的安全性和安全约束的有效性,对于确保系统安全和组织目标的实施,不仅具有重要的理论意义,更具有重要的现实意义。授权安全性分析主要是根据组织的安全需求,分析当前授权满足安全需求的情况,发现授权与安全需求之间存在的不一致,并给出相应的解决方法。根据授权与安全需求的不一致情况,可分为严格授权和宽松授权。严格的授权超出基本的安全需求,过多地限定用户应有的访问权限,在一定程度上影响系统的可用性:而宽松的授权会低于基本的安全需求,过多地允许用户非法的访问权限,在一定程度上影响系统的安全性。授权的安全性验证主要是通过验证授权与安全需求的一致性,来分析授权是否合适。在授权安全性分析和验证方面,现有研究通常讨论职责分离约束、环境约束和上下文约束等安全约束,通过检查安全约束的可满足性以及匹配安全需求的程度,验证安全约束的有效性,并根据验证结果适当地调整安全约束,使其更吻合安全需求。这些研究工作在满足授权执行用户选择方面仅讨论了严格满足约束的情况,能够满足一般的安全需求,但是对于存在多个用户满足安全约束而需要选择更合适的执行用户时,缺乏进一步细粒度的定量分析。针对上述问题,本文在授权执行选择方面展开研究,细致地分析组织不同的安全需求,提出相应的解决方案,主要贡献是:一、分析了组织在授权执行用户选择上的安全需求,提出了一种基于多约束关系的安全授权模型,讨论了职责分离约束、用户资质约束、执行风险约束等安全约束之间的关系,提供了定性、定量、定性与定量相结合等方式选择授权执行用户的方法,解决了当前在授权执行用户选择方面的不足。分析了组织对执行用户的资质需求,规范了用户资质约束,提供了基于用户资质约束定性地选择执行用户的方法。分析了授权风险,基于模糊理论定义了的用户角色授权风险,并根据组织对任务的执行风险的需求,定义了执行风险约束。给出了执行风险的评估模型,提供了基于执行风险约束定量地选择执行用户的方法。进行了相关实验,实验结果说明了相关算法在运算时间上是有效的,提供的执行用户选择方法是可行的。二、分析了安全约束检测的需求,研究了进行安全约束有效性验证的可行方法。分析了访问控制模型验证的要素构成、严格约束和宽松约束的特点,讨论了通用的基于Alloy的约束验证方法。研究了在Alloy中表达职责分离约束、用户资质约束和执行风险约束的方法,并讨论了验证这些约束的可满足性、分析与安全需求相匹配程度的方法。进行了相关实验,实验结果表明相关验证方法在实践中是可行的。