多域网络访问控制模型及其安全策略管理

论文摘要

随着网络技术和社会的发展,各个领域和部门间的协作日益加强。域间资源共享和安全互操作带来的安全性问题受到人们的广泛关注。访问控制技术可有效地防止非法用户使用系统和合法用户越权使用系统,在保证安全域间最大限度的资源共享和信息交互的同时保证系统的安全性。基于角色的访问控制(RBAC)具有角色层次、最小特权和权限分离等重要特性,与自主访问控制(DAC)和强制访问控制(MAC)相比,更加适合多域环境下的访问控制应用。因此,建立基于RBAC的多域网络访问控制模型及其安全策略管理机制,满足安全域间多层次的访问需求和安全保证,为提高多域系统间安全协作的安全性和效率提供有力支撑。本文提出了一种基于RBAC策略的多域网络访问控制模型。该模型结合了静态策略合并和动态授权搜索,考虑到多域环境下域间的安全协作以及安全策略的制定,针对不同的网络环境应用不同的访问控制策略。与相关模型相比,本模型提高了多域访问控制决策的安全性和灵活性,具有更广的应用范围。本文提出了一种基于RBAC的多域授权搜索方法,利用访问请求权限驱动域间访问授权过程,动态地建立域间安全互操作,克服了传统模型中利用静态角色映射策略实施访问控制的局限性。然后,本文分析了多域访问控制模型的安全策略管理,讨论了系统的策略组成、策略描述和策略存储。文章提出了一种基于有向图的策略冲突检测方法,把安全域角色系统抽象成有向图,利用成熟的有向图理论设计策略的冲突检测方法。该策略冲突检测方法对策略冲突进行分类,并对不同的策略冲突类型自动化地调用相应的冲突检测方法进行策略冲突检测。最后,本文提出了一种基于安全标签和层次RBAC策略的多域网络访问控制系统及其策略配置管理平台的原型实现,安全标签作为访问控制的决策依据,携带主客体的安全属性信息。文章重点讨论了安全标签的设计思想、传输策略和访问控制逻辑,然后给出系统策略配置管理平台的设计和实现。该原型系统把基于主机的访问控制策略扩展到多域网络环境,实现了地址过滤策略、多级安全访问控制策略和多域访问控制策略。与传统网络访问控制系统相比,具有访问控制粒度细、安全性高等特点,可满足多层次的访问控制需求。该访问控制模型的原型系统已经在实验室平台上得到初步实现,实验结果证明了本文设计的多域网络访问控制模型的可行性和有效性。

论文目录

摘要

ABSTRACT

英文缩略语对照表

第一章绪论

1.1 研究背景

1.2 主要研究内容

1.3 论文组织结构

第二章相关理论研究

2.1 访问控制技术概述

2.1.1 访问控制的内容

2.1.2 访问控制的策略

2.2 基于角色的访问控制理论

2.2.1 形式化定义

2.2.2 角色层次

2.2.3 角色约束

2.3 多域网络访问控制理论

2.4 安全策略管理

2.4.1 安全策略描述语言

2.4.2 安全策略的存储

2.5 本章小结

第三章多域网络访问控制模型的设计

3.1 安全目标

3.1.1 网络GTRBAC 模型分析

3.1.2 多域网络访问控制的目标

3.2 多域网络访问控制模型设计

3.2.1 模型的设计思想

3.2.2 模型的组成

3.2.3 模型的工作流程

3.3 基于权限的多域授权搜索

3.3.1 相关定义

3.3.2 角色查找

3.3.3 角色激活检测

3.4 本章小结

第四章多域网络访问控制模型的安全策略管理

4.1 安全策略组成和策略描述

4.2 安全策略的冲突检测

4.2.1 安全策略冲突描述

4.2.2 安全策略冲突检测

4.3 基于XACML 的层次RBAC 策略描述

4.4 安全策略的存储管理

4.5 本章小结

第五章基于安全标签的多域网络访问控制系统设计和实现

5.1 系统环境描述

5.2 安全标签的定义

5.3 安全标签的提取和传输

5.3.1 安全策略标签的处理流程

5.3.2 主体安全标签的处理流程

5.3.3 客体安全标签的处理流程

5.4 安全标签的访问控制逻辑

5.4.1 系统功能拓扑

5.4.2 主要模块设计与实现

5.5 策略配置管理系统的设计和实现

5.5.1 关键模块和技术

5.5.2 系统组成和应用

5.6 本章小结

第六章全文总结和展望

6.1 本文研究内容总结

6.2 进一步研究工作展望

参考文献

致谢

攻读硕士学位期间已发表或录用的论文

多域网络访问控制模型及其安全策略管理

论文摘要

论文目录

相关论文文献

猜你喜欢