论文部分内容阅读
随着互联网技术的发展以及社会分工的不断细化,越来越多的组织为了共同的目标联合起来协同工作。这种动态协同环境给授权管理提出新的挑战。基于角色的访问控制适用于大型组织的授权管理已经成为研究人员的共识,通过两种方式实施灵活授权,包括委托和互操作。本文扩展基于角色的访问控制,对动态协同环境下实施基于角色授权管理的关键技术展开研究,取得以下主要成果:
在基于委托方式的授权管理方面,分析现有基于角色的委托模型,发现存在两类缺陷:首先,委托者无法限制委托权限的使用方式,可能造成权限的非法滥用和恶意扩散;其次,使用二元信任描述委托操作,不支持重复委托和受控委托。提出基于规则的细粒度委托限制框架实施严格的委托限制,分为条件委托和受控使用,保证委托者能够控制委托权限的使用方式。提出基于信任级别的可控委托模型,引入多级信任描述委托关系,支持多重委托,增加委托的可控性、灵活性和可扩展性。
在基于互操作方式的授权管理方面,基于角色交叉映射的自组互操作方案存在安全性和隐私性的缺陷。提出基于信任度的自组安全互操作方法,引入信任度描述自治域和用户正确参与协作的程度,自治域的不公正推荐和用户的恶意操作降低其信任度,影响协作域的授权决策。自组互操作中资源查找是授权的前提条件。分析现有方案中授权集合的缺陷,使用向量描述授权策略,增强授权的灵活性;提出支持隐私保护的路径发现方法,利用同态加密机制和安全两方计算保护用户的访问路径,提高授权的隐私性。
在动态协同环境下灵活授权可能带来安全风险,管理员无法明确授权是否包含其他权限。本文对最新的管理模型UARBAC实施隐式授权分析,发现其中存在的定义缺陷和实施缺陷,修正定义缺陷并给出基于贪心算法的可行实施方案,帮助管理用户实施最小授权。
本文的研究成果解决了动态协同环境下授权管理的一些关键技术问题,为实施灵活授权,授权安全性判定等问题的进一步研究奠定一定的理论和实践基础,为开发适应动态协同环境的授权系统提供重要参考。