论文部分内容阅读
随着机构内部应用系统的逐渐增多,应用安全问题也愈发突出。鉴于应用系统及其安全的复杂性和多样性,如何合理表示应用安全成为难题,现有研究成果都仅面向应用安全的某一个侧面而缺乏针对性,还没有系统性的应用安全形式化描述模型。文章首先通过分析主客体访问机制,区分业务功能、安全功能和应用策略,对应用系统进行形式化描述。然后对两种最常用的安全功能(身份认证和权限控制)进行形式化定义。权限控制引入保密概念,分析了三种角色(岗位角色、业务角色和保密角色)和客体密级,并区分权限管理方、权限验证方和权限依赖方。在此基础上,通过引入用户身份信息、统一门户等概念,研究了四种统一管理策略和表示方法。