论文部分内容阅读
随着计算机技术的飞速发展,网络资源越来越丰富,资源的安全保护问题逐渐受到重视,对资源进行保护的访问控制技术成为研究热点。强制访问控制BLP模型是定义多级安全的基础,被视作基本安全公理。随着对信息安全保护领域研究的深入,BLP模型显露出某些方面的不足,但是其划分安全等级来保障主体和客体安全的基本思想始终没有动摇,仍然是解决多级安全问题的基础。本文针对BLP模型灵活性较差,难以适用于愈加复杂多变的网络环境,提出一种动态授权策略,对传统BLP模型进行改进形成DBLP模型,通过安全授权方式动态改变主体安全等级提高模型灵活性;针对BLP模型集中式管理的约束,难以很好的管理广泛存在的分布式系统的信息交互,提出一种适用于分布式系统的多级安全访问控制框架,提高访问控制分布式安全管理特性。本文以多级安全BLP模型为基础,侧重于保障信息安全机密性,从访问控制角度出发,提出动态授权安全策略,改进BLP模型,并例化DBLP模型,研究内容主要如下: (1)分析复杂网络环境下对访问控制策略的需求。深入研究传统BLP模型存在的不足,包括传统多级安全BLP模型在系统应用中存在的灵活性需求和分布式系统中对信息存取操作的访问控制技术的安全性和可管理性需求。 (2)针对多级安全BLP模型静态授权的“平稳性原则”,引入UCON模型的“条件”、“义务和“授权”等特性并将其具体实例化作为动态授权要素,提出一种动态访问控制授权策略,改进BLP模型成为DBLP模型,并对授权策略进行详细描述。 (3)对提出的DBLP模型进行介绍,主要包括:DBLP模型定义和模型构成要素;改进传统BLP模型的读写规则R1、R2和R4成为DBLP模型的规则DBLP-1、DBLP-2和DBLP-4;形式化描述DBLP模型新的读写规则;对改进的DBLP模型进行安全性证明。 (4)针对传统多级安全策略只能实现单系统环境下多级信息访问控制的集中式管理问题,加入“管理平台”和“中间件”模块,基于DBLP模型提出一种适用于分布式系统的多级安全访问控制框架,使得分布式系统访问控制的安全性和可扩展性大幅度提升。 (5)对提出的适用于分布式系统的多级安全框架进行XACML语言描述,实现安全框架的规范统一化,使得本文提出的多级安全访问控制框架存在进一步研究与推广的价值。