湖南大学硕士学位论文访问控制技术研究及应用姓名:尹绍锋申请学位级别:硕士专业:软件工程指导教师:杨贯中;杨志新20081001T f?硕I:学位论文摘要访问控制技术是构成信息安全体系不可缺少的重要组成部分。
随着信息化进程的深化,尤其是网络应用的迅速増加,信息系统的用户规模在不断膨胀。
传统的访问控制技术采用人工方式实现对访问控制体系运行期的维护。
当访问控制体系变得庞大时,这种维护方式错误率会增高、维护变得困难、运行成本也随着增长起来。
本文希望构建ー种能够适用于大用户数信息系统的访问控制体系,使之运行期的维护工作变得简化。
本文一方面对现有访问控制技术,尤其对基于角色访问控制技术,进行了学习、研究。
熟悉掌握了该领域中的各种概念,对比了各种技术在用户管理上的实现模式,分析这些模式对大用户量管理的支持。
同时,对访问控制体系的维护管理,尤其是运行期的用户管理与用户授权管理这两项工作进行了研究。
从多个角度分析运行期期的维护逻辑与业务逻辑之间的关系,发现在多数.管理信息系统中,用户的权限与业务体系中的信息有着一定的依存关系,提出可以依靠业务系统的信息来驱动访问控制体系的权限分配的思想。
基于此,作者提出了一种自适应的访问控制技术,在ー些应用范围内,该技术能够自动适应业务部分的变化,完成用户授权的控制,从而简化访问控制机制运行期的维护管理。
通过对基于角色访问控制模型的开放性及可扩展性的分析,以基于角色访问控制模型为基础,构建出自适应访问控制模型。
并从技术实现与开发成本等角度分析讨论了该访问控制技术的可行性。
最后,将自适应的访问控制技术在ー个高校人事管理系统中进行了应用。
该应用以人事业务为基础,对自适应模块进行了实现,使该系统具备了对用户及其权限进行自维护的能力,解决了人工管理可能存在的问题。
通过实际应用,一方面,通过实例验证了自适应访问控制技术实现的可行性,同时也明确了访问控制体系下ー步的研究方向。
关键词:信息安全;访问控制;维护;自适应AbstractAccess control technology takes a vital part in the safety of information system. With the popularization of the information system and especially the rapid increase or internet application, the size of users m access control system needed to be supervised is increasing fast. So to administrate the large number of users by the traditional pure man-managed way is more and more difficult. And this research is intended to find an&适应》问拧制技术的研究り/、V:用access control system which can be used by the information system with large number of users.The author first made a careful and deeply study of the existing access control systems. During the process, some certain kinds of representative access control technologies were consulted by the author to analyze the principles of achieving access control technology. The author mastered the orientation and effect of these definitions in access control system. The author believed that the rule of authority had lot to do with its applying situation, and this rule could be existed the applying situation of access control, fhe author found that there was a relationship of leading and concluding between the authority of users and statistic information in the operation system. So the author came up with the intellectualized access control technology based on these researches, which aimed to construct an intellectualized control model by introducing an intellectualized model in the role-based access control system. And this Auto-adapt Access Control technology and its possibility were discussed froe the angle of technology achievement and cost.At last, a set of Auto-adapt Access Control system was applied in the personnel management in an university. This was based on the personnel operation, and achieved the Auto-adapt model, to make the system can correctly assign the management of the users and their authority. And it solved the countless problems which were caused by man-managed administration. By the application of this system, the possibility, merits and demerits of the intellectualized access control system has been proved preliminarily on one hand, and it established the basis for the further research on the other hand.Key words: Information Security;Access Control;Maintenance;Auto-adaptT程硕丨:学位论文插图索引图 1.1 RB-RBAC图 (4)图2.1访问控制矩阵图 ...................................... :.. (7)图2.2 RBAC96模型四个子模型之间的关系图 (9)图2.3 RBAC96模型中RBAC3模型图 (10)图2.4 RBAC97模型图 (11)图3.1自适应访问控制模型图 (16)图3.2用户自适应管理模块图 (16)图3.3授权自适应管理模块图 (17)图3.4岗位与系统身份图 (18)图3.5访问控制体系维护示意图 (19)图3.6维护成本时间关系图 (21)图3.7自适应访问控制系统框架图 (22)图3.8基于人事业务的自适应访问控制管理流程示意图 (23)图3.9用户行为管理图 (23)图4.1人事管理信息系统业务功能模块简图 (26)图4.2系统用户继承关系图 (26)图4.3自适应访问控制子系統体系结构图 (29)图4.4人事管理信息系统体系结构图 (29)图4.5角色、许可管理类图 (32)图4.6用户管理类图 (34)图4.7用户角色与菜单示意图 (38)图4.8输入界面生成序列图 (38)图4.9用户登录序列图 (39)图4.10访问控制许可管理界面图 (40)图4.11身份管理界面图 (40)图4.12粒度管理界面图 (41)illf i适应访问柠制技术的研究リ应用附表索引表4.1许可表 (31)表4.2 #色表 (32)表4.3用户表 (33)表4.4职员基本信息表 (33)表4.5身份描ki表 (35)表4.6粒度描述表 (37)T g硕I:学位论文湖南大学学位论文原创性声明本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。
除了文中特別加以标注引用的内容外,本论文不包含任何其它个人或集体已经发表或撰写的成果作品。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律后果由本人承担。
学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的規定,同意学校保留井向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权湖南大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
本学位论文属于1、保密□,在_年解密后适用本授权书。
2、不保密口。
(请在以上相应方框内打“十’)円期::^8:年/ム月/ n円期:ルパ/Wi,日T程硕丨.•学位论文第1章绪论1.1研究背景信息化不仅在科技、经济、社会等各个领域中强有力的支持者现代化建设进程,而且在人类物质文明和精神文件的整体上引导着世界发展m。
在信息化建设飞速发展的同时,信息化安全中的访问控制技术,随着信息系统规模的快速增长,也面临着严峻的考验,这些问题主要体现在人工维护存在处理速度慢、管理成本高、风险高,以及相关的信息管理人员缺乏。
现在的计算机系統得用户量随着网络应用推广在迅速增长[2],其规模已经轻易突破千计,而且十万、百万用户量的系统也变得普遍起来,在这种用户量情况下,单靠人工来管理,完成用户的注册、维护以及用户的授权管理,简直是不可能的事情。