随着社会信息化程度越来越高,信息系统已广泛深入地渗透到各个领域,其结果导致了社会、企业等对信息系统极大的依赖性。而实施系统审计,确保信息系统的可靠、安全和有效是信息化的基础,已成为健全地进入信息化社会必不可少的重要环节,并越来越多地受到国际国内的关注。 基于角色的权限代理是访问控制模型十分重要的组成部分,已成为分布式计算环境下重要的访问控制实施机制,也是近年来访问授权研究的一个重点和热点课题。一个完备的访问控制系统应该支持权限代理机制,也应该支持确保系统安全可靠的审计机制。因此,本文拟构建一个新的基于角色的权限代理审计模型RBDAM(Role-based Delegation Audit Model),并对RBDAM模型的体系结构进行分析研究,在此基础上设计实现RBDAM模型的原型系统。 本文首先简单介绍了基于角色的访问控制RBAC模型,总结分析了现有的几种具有代表性的基于角色的权限代理模型;其次在对现有的权限代理模型进行深入分析的基础上,提出了一种新的相对完善的基于角色的用户-用户代理和角色-角色代理统一的权限代理模型IRBDM(Integrated Role-Based Delegation Model);然后为确保权限代理模型的安全和可靠,充分考虑系统审计的目的和意义,提出了基于角色的权限代理审计模型RBDAM。为尽可能适应不同规模应用的需要,RBDAM模型可分为三层:RBDAM0、RBDAM1和RBDAM2,第一层RBDAM0是最基本的权限代理审计模型,其余两层都递增了权限代理的特性和审计功能;最后为验证本文提出的代理审计模型RBDAM的有效性和可用性,以RBDAM2模型为研究对象,在力求该模型的实现与具体应用项目无关的前提下,提供了一种通用的有很大参考价值的实现基于角色的权限代理审计模型的设计思路和范式。 本文工作所取得的主要结果是: 1.对典型的基于角色的权限代理模型RDBMO,RDM2000,PBDM的主要特征及其优缺点进行了系统的比较研究,指出了其共同之处和存在的不足之处。 2.提出一种新的基于角色的权限代理统一模型IRBDM,它使用户-用户代理和角色-角色代理在同一个模型中得以实现,并支持完全/部分角色代理、用户-用户的多步代理、角色-角色的单步代理以及多种代理、撤消策略。 3.在IRBDM模型的基础上提出了基于角色的权限代理审计模型RBDAM。