《] 基于扩展rbac模型的钱塘权限管理系统研究与实现》由会员分享,可在线阅读,更多相关《] 基于扩展rbac模型的钱塘权限管理系统研究与实现(78页珍藏版)》请在金锄头文库上搜索。
1、分类号: TP311.52 单位代码: 10335 密 级: 学 号: 20721090 硕士学位论文 中文论文题目:中文论文题目:基于扩展基于扩展 RBACRBAC 模型的模型的钱塘钱塘权限管理系权限管理系 统研究与实现统研究与实现 英 文 论 文 题 目英 文 论 文 题 目 : Research and Implementation of Jtang Privilege Management Infrastructure Based On Extended RBAC Model 申请人姓名: 丁小明 指导教师: 姚敏 教授 李莹 副教授 尹建伟 教授 专业名称: 计算机应用技术 研究方向
2、: 中间件技术 所在学院: 计算机科学与技术学院 论文提交日期论文提交日期 2010/1/26 浙江大学研究生学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 除了文中特别加以标注和致谢的地方外, 论文中不包含其他人已经发表或撰写过的研究成 果,也不包含为获得 浙江大学浙江大学 或其他教育机构的学位或证书而使用过的材料。与我一 同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名: 签字日期: 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解 浙江大学浙江大学 有权保留并向国家有关部门或机构送交本 论
3、文的复印件和磁盘,允许论文被查阅和借阅。本人授权 浙江大学浙江大学 可以将学位论文的 全部或部分内容编入有关数据库进行检索和传播,可以采用影印、缩印或扫描等复制手段 保存、汇编学位论文。 (保密的学位论文在解密后适用本授权书) 学位论文作者签名: 导师签名: 签字日期: 年 月 日 签字日期: 年 月 日 浙江大学硕士学位论文 摘要 i 摘要摘要 信息技术的深入应用与飞速发展,使得信息安全问题日益突出,访问控制和 权限管理是系统安全体系中的重要环节。 论文针对大型分布式系统中权限管理混 乱及开发复用费用高等问题,结合国家发改委高技术产业化项目, 面向金融证券 等高端行业,研制统一的权限管理基础
4、框架-钱塘权限管理服务中间件 (JTangPMI),实现了异构安全模型的融合、权限管理、跨域访问控制、安全审计 等常用安全服务,提高信息系统的开发效率,简化企业用户的安全管理负担。 论文针对经典 RBAC(Role-Based Access Control 基于角色的访问控制)模 型在复杂应用系统中操作繁琐以及难以映射组织结构等不足之处, 提出了支持角 色双向继承的约束 RBAC 模型,通过虚拟角色层次结构及其约束关系,该模型可 以增强系统安全访问,并提供更灵活的授权机制;同时针对分布式环境中授权决 策通常要考虑不同的上下文环境信息等特点, 我们定义了上下文约束来增强模型 功能。 针对现有 P
5、MI(Privilege Management Infrastructure 权限管理基础设施 )系统 对分布式应用及跨域授权管理支持不足等问题,论文提出了改进的分布式 PMI 框架, 该框架基于本文提出的约束 RBAC 模型, 同时设计了基于 XACML 的 JTangPMI 授权策略,定义了策略的结构,并研究了基于策略的访问控制流程。 文章还对 SOD (Separation Of Duty 责任分离)约束条件下的授权冲突情况 进行详细分析,并给出了相应的冲突检测方法;同时设计了本文的约束 RBAC 模 型的访问控制关键算法。 最后, 介绍钱塘权限管理服务中间件系统的设计和实现, 并在恒生
6、电子证券交易系统中得到了应用验证。 关键字关键字:权限管理,访问控制,RBAC,双向继承 浙江大学硕士学位论文 Abstract ii Abstract With the in-depth application and rapid development of information technology, information security issues have become increasingly prominent, while access control and privilege management are important parts of security sy
7、stem. The thesis aims at the problems of disordered privilege management and high cost of reuse in large-scale distributed systems,combines the hign-tech industrialization project of Natinoal Development and Reform Commission,faces to financial securities and other high-end industy, we develop a uni
8、fied framework for privilege management JTang Privilege Management Infrastructure(JtangPMI).Through this platform,we achieve the integration of heterogemeous cecurity model and common security services such as privilege management,cross-domain access control,security audit.By using the platform ,we
9、can improve the efficiency of development of information systems and simplify the security mamagement burden on business users. For the inadequacies of the classic RBAC model like the cumbersome operation in complex systems and the difficulty to map organization structures ,the thesis proposes a rol
10、e bidirectional-inheritance supported constrained RBAC model called BI-RBAC.Through virtual role hierarchies and the constraints on it ,the proposed model can enhances system security access ,and provides a more flexible authorization mechanisms.Meanwhile,bases the features of decision making of aut
11、horization policy for distributed environment often have to consider the context information,we define a context constraint to enhance the model function. For the inadequacies of the current PMI system like lacking support for distributed applications and cross-domain authorization,the paper propose
12、s a imporved framework based on the proposed BI-RBAC model,and designs structure of JTangPMI authorization policy based on XACML language,studies the policy-based access control process. The paper also conducts a detailed analysis of the conflict situation under the 浙江大学硕士学位论文 Abstract iii Sepetatio
13、n of Duty (SOD) constraints,and gives the corresponding conflict resulation methods.We propose the key access control algorithms of model BI-RBAC.At last,the paper introduces the design and implemention of JTang privilege management service middleware system,and its application on the Hundsun Electronic stock trading system. Keyword: Privilege Management, Access Control, RBAC, Bidirectional-inheritance. 浙江大学硕士学位论文 目录 I 目录目录 摘要. i Abstract . ii 目录. I 图目录. IV 第 1 章 绪论. 1
