（计算机应用技术专业论文）基于双边意愿的委托授权协商研究.pdf

，l 本人郑 立进行研究 包含任何其 究做出重要 的法律责任由本人承担。 论文作者签名： 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名： 乡习， 导师签霸鱼翘日期：& 出! 壁 - t j l l 一 2 1 访问控制5 2 2 委托授权j 6 2 2 1 委托授权基本概念6 2 2 2 基于角色的委托授权8 2 2 3 委托授权模型1 0 2 3 谓词逻辑1 2 2 3 1 谓词逻辑基本形式1 2 2 3 2 谓词逻辑应用1 3 2 4 模糊逻辑1 4 2 4 1 模糊理论1 4 2 4 2 模糊推理系统1 5 2 5 本章小结1 6 第3 章基于谓词逻辑的委托授权协商1 7 3 1 委托授权意愿1 7 3 2 委托授权意愿逻辑( d e l e g a t i o ni n t e n t i o nl o g i c ，d i l ) 1 7 3 3 意愿细化及逻辑推理1 9 3 4 委托授权协商实例分析2 2 3 5 本章小结2 5 第4 章基于模糊理论的委托授权协商2 6 山东大学硕士学位论文 4 1 意愿模糊表达和匹配问题2 6 4 2 意愿属性分类与差异度2 7 4 2 1 意愿属性分类2 7 4 2 2 意愿属性差异度2 7 4 3 模糊化的意愿属性差异度2 9 4 3 1 差异度标准化2 9 4 3 2 差异度模糊化2 9 4 4 模糊化的意愿匹配3 0 4 4 1 意愿的模糊化表达3 0 4 4 2 意愿的模糊推理3 1 4 4 3 意愿协商评估3 2 4 5 实例分析3 2 4 6 本章小结3 9 第5 章系统实现与数据分析4 0 5 1 委托授权协商模型4 0 5 1 1 委托授权协商模型组成4 0 5 1 2 委托授权协商模型工作流程4 1 5 2 实验环境4 2 5 3 强制性意愿匹配4 3 5 3 1 实验目的j 4 3 5 3 2 实验数据4 4 5 3 3 实验内容与结果分析4 4 5 4 可选性意愿匹配系统4 5 5 4 1 系统目标4 5 5 4 2 可选性意愿匹配系统实现4 5 5 5 本章小结4 7 第6 章总结与展望4 8 6 1 本文总结4 8 1 k ， l 山东大学硕士学位论文 6 2 工作展望4 9 参考文献5 0 致谢5 4 攻读学位期间发表的学术论文目录5 5 攻读硕士学位期间参与的项目5 6 山东大学硕士学位论文 t a b l eo fc o n t e n t s a b s t r a c ti nc h i n e s e i a b s t r a c ti ne n g l i s h i i i c h a p t e r1i n t r o d u c t i o n 1 1 1r e s e a r c hb a c k g r o u n d 1 1 2p r o b l e md e s c r i p t i o n 。2 1 3p a p e rc o n t r i b u t i o n 3 1 4p a p e rs t r u c t u r e 4 c h a p t e r2r e l a t e dw o r k ，5 2 1a c c e s sc o n t r o l 5 2 2d e l e g a t i o n 6 2 2 1b a s i cc o n c e p t 6 2 2 2r o l eb a s e dd e l e g a t i o n 8 2 2 3d e l e g a t i o nm o d e l 1 0 2 3p r e d i c a t el o g i c 1 2 2 3 1b a s i cf o r m 1 2 2 3 2a p p l i c a t i o n 1 3 2 4f u z z yl o g i c 1 4 2 4 1f u z z y t h e o r y j 1 4 2 4 2f u z z yr e a s o n i n gs y s t e m 1 5 2 5s u m m a r y 1 6 c h a p t e r3p r e d i c a t el o g i cb a s e dd e l e g a t i o na g r e e m e n t 1 7 3 1d e l e g a t i o ni n t e n t i o n 1 7 3 2d e l e g a t i o ni n t e n t i o nl o g i c 1 7 3 3d e l e g a t i o ni n t e n t i o ng r a n u l a t i n ga n dr e a s o n i n g 1 9 3 4c a s es t u d y 。2 2 3 5s u m m a r y 。2 5 c h a p t e r4f u z z yt h e o r yb a s e dd e l e g a t i o na g r e e m e n t 2 6 ， 月 山东大学硕士学位论文 4 1f u z z ye x p r e s s i o na n dm a t c ho f i n t e n t i o n 2 6 4 2c l a s s i f i c a t i o na n dd i v e r s i t yo f i n t e n t i o na t t r i b u t e 2 7 4 2 1c l a s s i f i c a t i o no f i n t e n t i o na t t r i b u t e s 2 7 4 2 2d i v e r s i t yo f i n t e n t i o na t t r i b u t e s 2 7 4 3f u z z i f i c a t i o no f i n t e n t i o na t t r i b u t e sd i v e r s i t y ：2 9 4 3 1s t a n d a r d i z a t i o n 2 9 4 3 2f u z z i f i c a t i o n 2 9 4 4f u z z yd e l e g a t i o ni n t e n t i o nm a t c h 3 0 4 4 1i n t e n t i o nf u z z ye x p r e s s i o n 3 0 4 4 2i n t e n t i o nf u z z yr e a s o n i n g 31 4 4 3a g r e e m e n te v a l u a t i o n 3 2 4 5c a s es t u d y 3 2 4 6s u m m a r y 3 9 c h a p t e r5s y s t e mi m p l e m e n t a t i o na n dd a t aa n a l y s i s 4 0 5 1d e l e g a t i o na g r e e m e n tm o d e l 4 0 5 1 1c o n s t r u c t i o no f d e l e g a t i o na g r e e m e n tm o d e l 4 0 5 1 2w o r kp r o c e s so f d e l e g a t i o na g r e e m e n tm o d e l 4 1 5 2e x p e r i m e n te n v i r o n m e n t 4 2 5 3m a n d a t o r yi n t e n t i o nm a t c h 4 3 5 3 1e x p e r i m e n tp u r p o s e 4 3 5 3 2e x p e r i m e n td a t a 4 4 5 3 3e x p e r i m e n tp r o c e s sa n dr e s u l t sa n a l y s i s 4 4 5 4e l e c t i v ei n t e n t i o nm a t c hs y s t e m 4 5 5 4 1s y s t e mp u r p o s e 4 5 5 4 2i m p l e m e n t a t i o no f e l e c t i v ei n t e n t i o nm a t c hs y s t e m 4 5 5 5s u m m a r y 4 7 c h a p t e r6c o n c l u s i o n sa n df u t u r ew o r k 4 8 6 1c o n c l u s i o n s 4 8 垤卜 山东大学硕士学位论文 6 2f u t u r ew o r k 4 9 r e f e r e n c e 5 0 a c k n o w l e d g e m e n t s 5 4 p u b l i s h e dp a p e r s 5 5 p r o j e c t sp a r t i c i p a t e di n 5 6 矿一 山东大学硕士学位论文 摘要 访问控制是保障信息系统安全的一种有效手段，它限定只有合法的用户才能 拥有合适的访问权限，以防止非法用户或合法用户的非法操作对信息系统造成破 坏。委托授权是一种重要的授权方式，是指用户将自己拥有的权限转让给其他用 户，从而使其替代自己完成相关任务的过程，可以提高系统授权管理的效率和灵 活性。现有的委托授权研究工作主要针对委托授权的时效性、单调性、委托深度、 广度和粒度、委托授权的撤销等方面进行了充分讨论，提出了不同的委托授权模 型和解决方法，能够较好地解决上述问题。然而，在委托授权协商方面，现有委 托授权机制主要采用单边委托授权方式，即按照委托者的意愿实施委托授权。这 种方案没有考虑受托者的意愿，没有真正意义上的面向委托授权双方的委托授权 协商。这种类型的委托授权经常应用于上下级层次明确、对执行力度要求较高的 组织，如军事组织、政府组织等，但是也容易造成系统资源分配不均等问题。双 边委托授权协商同时考虑委托者和受托者双方的意愿，能够使委托授权更加符合 用户的需求，提高委托授权的有效性，平衡系统资源负载，提高系统运作效率， 在灵活需求的环境中具有现实意义。 本文针对这一问题展开研究，详细的分析了现有访问控制模型和委托授权机 制，讨论了实现双边委托授权协商的各种需求，并在此基础上提出了委托授权意 愿和意愿匹配的概念。根据安全和业务需求的不同，委托授权意愿可以分为强制 性意愿和可选性意愿：前者指必须完全得到满足的意愿，如系统安全策略和安全 约束等：后者指用户希望满足但非必须的意愿。 针对强制性意愿，本文基于谓词逻辑系统提出了委托授权意愿逻辑用于描述 委托者和受托者的意愿。该逻辑具有较强的意愿表达能力，能够有效的对委托者 和受托者的意愿进行表达和存储。此外，委托授权意愿逻辑还具有较好的知识推 理能力，通过基于委托者和受托者意愿的演绎推理，能够高效的对委托者和受托 者的意愿进行匹配，从而实现双边委托授权协商。 针对实际应用中许多可选性意愿无法精确的表达和匹配这一情况，本文引入 模糊逻辑理论对委托授权意愿逻辑进行扩展，提出了意愿属性差异度的概念。在 进行委托授权协商的过程中，对委托授权意愿各个属性取值的差异度进行计算， 山东大学硕士学位论文 通过对匹配结果的模糊化处理和模糊推理获取整体意愿的差异程度，进而实现了 意愿的模糊化匹配。 在意愿的表达和匹配的基础上，本文提出了一个委托授权协商模型。该模型 考虑了委托授权协商中的各种需求，并可以与现有的访问控制模型和委托授权机 制有机整合，实现了基于双边意愿的委托授权协商。基于v i s u a lp r o l o g 平台，本 文对所提出的方法和模型进行了实现，从而验证了其有效性和可行性。 关键词：访问控制：委托授权：委托协商：逻辑 i i 叠 山东大学硕士学位论文 a b s t r a c t a c c e s sc o n t r o li sa ne f f e c t i v ew a yt op r o t e c tt h ei n f o r m a t i o ns y s t e m sw h i c ha l l o w o n l ya u t h o r i z e du s e r a c c e s ss y s t e mr e s o u r c e s i tc a l lp r o t e c tt h es y s t e mf r o mb e i n g b r e a k e db yi l l e g a lu s e r so ri l l e g a lo p e r a t i o n so fa u t h o r i z e du s e r s d e l e g a t i o ni sa l l i m p o r t a n tw a yo fa u t h o r i z a t i o n ，w h i c hr e f e r st o t h ed e l e g a t o rw h og r a n t sh i so w n p e r m i s s i o n st ot h ed e l e g a t e e ，s ot h a tt h ed e l e g a t e ec a ni m p l e m e n tt h em i s s i o n sa n d w o r kw h i c ha r ea p p l i e db yt h ed e l e g a t o r d e l e g a t i o nc a l li m p r o v et h ee f f i c i e n c ya n d f l e x i b i l i t yo fa u t h o r i z a t i o nm a n a g e m e n t a l t h o u g hc u r r e n tr e s e a r c hp r o p o s e dd i f f e r e n t d e l e g a t i o nm o d e l sa n ds o l u t i o n sw h i c hf o c u so np e r m a n e n c e ，l e v e l so fd e l e g a t i o n ， m u l t i p l ed e l e g a t i o na n dt o t a l i t y , r e v o c a t i o no fd e l e g a t i o na n ds oo n ，m o s to fe x i s t i n g d e l e g a t i o nm o d e l sa d o p t su n i l a t e r a ld e l e g a t i o na g r e e m e n t ，w h i t hi m p l e m e n to n l y b a s e do nd e l e g a t o r si n t e n t i o n t h es c h e m e i sn o tat r u l yb i l a t e r a ld e l e g a t i o n a g r e e m e n t t h i sk i n do fd e l e g a t i o nm o d e lr e f e r so n l yt oo r g a n i z a t i o n sw i t hc l e a r l e v e l sa n dh i g hi m p l e m e n t a t i o nc a p a c i t ys u c ha sm i l i t a r yo r g a n i z a t i o n ，g o v e r n m e n t a n ds oo nw h i c hm a yc a u s ei m b a l a n c eo fs y s t e mr e s o u r c e s b i l a t e r a ld e l e g a t i o nw h i c h t a k e si n t oa c c o u n tt h er e q u i r e m e n t so fb o t hd e l e g a t o ra n dd e l e g a t e ea tt h es a m et i m e m a k e st h ed e l e g a t i o ni nl i n ew i t ht h er e q u i r e m e n to fu s e r s ，i m p r o v e st h ev a l i d i t yo f d e l e g a t i o n ，b a l a n c e ss y s t e mr e s o u r c e sl o a d ，a n di m p r o v e st h eo p e r a t i o n a le f f i c i e n c yo f t h es y s t e ma n dh a st h ep r a c t i c a ls i g n i f i c a n c e t os o l v et h ep r o b l e m , t h i sp a p e rg i v ead e t a i l e da n a l y s i sa b o u te x i s t i n ga c c e s s c o n t r o lm o d e l sa n dt h ed e l e g a t i o nm e c h a n i s m s ，d i c u s sa l lr e q u i r e m e n t si na c h i e v i n g b i l a t e r a ld e l e g a t i o na g r e e m e n t ，a n dt h e np r o p o s et h ec o n c e p t i o n so fd e l e g a t i o n i n t e n t i o na n di n t e n t i o nm a t c h b a s e do ns e c u r i t ya n db u s i n e s sr e q u i r e m e n t s ， d e l e g a t i o ni n t e n t i o nc a nb ed i v i d e di n t om a n d a t o r yi n t e n t i o na n de l e c t i v ei n t e n t i o n w h e r et h ef o r m e rm e a n sd e l e g a t i o ni n t e n t i o nt h a tm u s tb es a t i s f i e ds u c ha ss y s t e m s e c u r i t yp o l i c ya n ds e c u r i t yc o n s t r a i n t sa n dt h el a t t e rm e a n st h ed e l e g a t i o ni n t e n t i o n s n e e dt ob es a t i s f i e da sm u c ha sp o s s i b l e f o rm a n d a t o r yi n t e n t i o n ，tt h ep a p e rp r e s e n t sd e l e g a t i o ni n t e n t i o nl o g i c ( d i l ) t o d e s c r i b et h ei n t e n t i o no fd e l e g a t o ra n dd e l e g a t e eb a s e do np r e d i c a t es y s t e mt h ed i l u i 山东大学硕士学位论文 h a ss t r o n ga b i l i t yo fi n t e n t i o ne x p r e s s i n g ，w h i c hc a l le x p r e s sa n ds t o r et h ed e l e g a t i o n i n t e n t i o ne f f e c t i v e l y b e s i d e s ，d i lh a v es t r o n ga b i l i t yo f k n o w l e d g ei n f e r e n c e ，w h i c h c a nm a t c ht h ei n t e n t i o n so fd e l e g a t o ra n d d e l e g a t e ee f f i c i e n t l yb yd e d u c t i v ei n f e r e n c e b a s e do ni n t e t i o n so fb o t hs i d e sa n dt h e na c h i e v et h eb i l a t e r a ld e l e g a t i o na g r e e m e n t t os o l v et h eq u e s t i o no fi n t e n t i o nf u z z ye x p r e s s i o na n df u z z ym a t c hw h i c hm a y a p p e a ri nt h ep r o c e s so fd e l e g a t i o na g r e e m e n t ，w el e a di nf u z z yt h e o r yt oe x p a n dd i l a n dp r o p o s e dt h ec o n c e p t i o no fi n t e n t i o na t t r i b u t e d i v e r g e n c e w ec o m p u t et h e d i v e r g e n c ed e g r e eo ft h ei m e n t i o na t t r i b u t e si nt h ep r o c e s so fd e l e g a t i o na g r e e m e n t ， a n d g e tt h ed i v e r g e n c ed e g r e eo fw h o l ei n t e n t i o nt h r o u g hf u z z yi n f e r e n c e b a s e do ni n t e n t i o ne x p r e s s i o na n dm a t c h i n g ，w ep r e s e n tad e l e g a t i o na g r e e m e n t m o d e lw h i c hc o n s i d e r e dt h en e e d so fd e l e g a t i o na g r e e m e n t i tc a l lw o r ka l o n gw i t h e x i s t i n g a c c e s sc o n t r o lm o d e l sa n dd e l e g a t i o nm e c h a n i s m s t h em e c h a n i s m sc a n r e a l i z et h eb i l a t e r a li n t e n t i o n sb a s e d d e l e g a t i o na g r e e m e n t w em a d ee x p e r i m e n t so n t h ep l a t f o r mo fv i s u a lp r o l o ga n dv e r i f i e dt h ev a l i d i t ya n df e a s i b i l i t yo ft h ep r o p o s e d m e t h o da n dm o d e l k e y w o r d s ：a c c e s sc o n t r o l ；d e l e g a t i o n ；d e l e g a t i o n a g r e e m e n t ；l o g i c i v 讧 瓴 山东大学硕士学位论文 1 1 研究背景 第1 章绪论 随着计算机技术和网络技术的飞速发展，信息系统在人们生产和生活中被 越来越多的使用，越来越多的公司、企业、机关、学校和医院等机构和组织选 择采用信息系统来提高工作的效率和准确率。在此情况下，信息系统安全问题 的重要性也愈发的突出。 为了保障信息系统和数据的安全，访问控制技术被广泛的应用在信息系统 中。通过采用授权的方法，访问控制系统针对不同的用户授予了不同的权限， 从而对用户在信息系统中的各种操作和访问进行限制和管理，提高了信息系统 的安全性。实施合适的访问控制和授权是构建一个安全的信息系统的有效保证。 然而，在保障信息系统安全性的过程中，却不可避免的损害了信息系统的 效率和弹性。由于授权机制和访问控制技术的应用，使得系统中的用户分别拥 有不同的权限。当特定用户因为出差、生病等原因出现缺失的情况时，由于其 所承担的工作无人有权代为完成，导致整个任务的延迟，从而使得整个信息系 统的工作效率降低。委托授权机制的提出有效的解决了这一问题。委托授权是 一种重要的授权方式，指用户将自己拥有的权限转移给他人，从而使后者可以 替代自己或者协助自己执行有关操作，其中将权限委托出去的用户被称为委托 者( d e l e g a t o r ) ，接受委托授权的用户被称为受托者( d e l e g a t e e ) 。 委托授权有着十分重要的作用【1 1 ，如当系统中特定用户因故无法执行任务 时，为保证任务的顺利执行，可以将其拥有的权限委托授权给合适的替代者从 而保证工作的继续：在另外的一些情况下，为实现各部门间或者各用户间的协 作，可能需要通过委托授权的方式将权限临时委托授权给协作用户。 委托授权在众多组织机构中都有着十分重要的实际意义。在企业中，委托 授权可以实现不同部门间的协作和配合，从而提高整体工作的效率；在医院中， 委托授权可以实现信息资源的共享，从而在保证数据安全和保密的前提下进行 必要的数据共享。 由于委托授权是对传统的集中式授权方式的一种扩充，使得普通用户拥有 将自己所拥有的权限授予其他用户的权利，因此在实行委托授权的过程中就要 山东大学硕士学位论文 对其进行充分的管理，避免对系统的安全性造成损害。 1 2 问题描述 在委托授权的建立过程中，需要考虑委托者、受托者、委托授权本身和委 托授权环境等诸多要素。其中，委托者和受托者的意愿是构建委托授权的基础。 委托授权协商是指在委托授权建立的过程中，委托者和受托者确定执行委托授 权需要满足的条件和约束的过程。根据协商机制的不同，委托授权可分为单边 委托和双边委托【2 】： 单边委托是指由委托者单方决定委托条件的委托授权，一旦委托者决定将 权限委托，受托者必须接受这一委托。在单边委托的情况下，当委托者a l i c e 请 求将所承担的任务委托授权给b o b 时，b o b 必须接受a l i c e 的委托。采用单边委托， 可以使得系统能够高效的执行命令，比较适用于军事部门等要求执行力度高的 组织，但是可能会导致系统中出现部分用户空闲而另一部分用户过度繁忙的情 况。 在实际应用中，除单边委托外，还有很多情况需要双边委托。在双边委托 中，需要由委托授权的双方共同决定执行委托授权需要满足的条件和约束，即 双边委托授权协商。在上面的例子中，如果采用双边委托，b o b 可以根据自己的 工作负载和能力选择无条件接受，有条件接受或者拒绝接受该委托授权。双边 委托，可以充分的利用资源，保证各个用户的工作负载均衡，提高工作效率。 在委托授权协商的问题研究上，现有的研究工作大多针对委托者和受托者 已经确定的情况实施，只考虑了委托者的意愿，没有考虑受托者的意愿，属于 单边委托授权协商，即只能由委托者单方面决定委托条件，受托者只能被动地 接受。 为了实现基于双边意愿的委托授权协商，需要首先获取委托者和受托者的 委托授权意愿。因此选用一套合适的委托授权意愿表达方法是实现委托授权协 商的基础。 在得到用户的委托授权意愿后，需要采用有效的方法对委托授权意愿进行 j 分析和比对，判断委托意愿和受托意愿是否可以匹配。此外，在进行委托授权 协商的过程中，还需要考虑到系统中现有的安全策略和约束条件是否可以得到 2 山东大学硕士学位论文 满足。 委托授权协商的目标是选择合适的受托者来接受委托者的委托授权。因此， 在进行委托授权协商后，需要从包含多个候选受托者的集合中选择受托者执行 委托授权。 最后，为了实现与现有系统的协同工作，需要建立一套有效的委托授权机 制，将委托授权意愿的表达、匹配和判断等工作有机的结合起来，从而实现基 于双边协商的委托授权的目标。 1 3 研究内容 为了满足实际应用中对双边委托授权协商的需求，本文将对委托条件的概 念进行扩展，通过分析实现委托授权协商的需求，提出了委托授权意愿逻辑。 委托意愿和受托意愿分别由委托者和受托者制定，利用逻辑推理的方法实现意 愿的匹配，并通过委托授权协商模型，有机地整合到现有委托授权模型中，从 而在委托授权过程中实现了对双边协商的支持。本文的研究工作主要包括以下 几点： 1 针对必须满足的强制性委托授权意愿，基于谓词逻辑理论提出了一套委托 授权意愿逻辑用于委托意愿和受托意愿的表达和描述。委托授权意愿逻辑能够 有效的表达委托者和受托者的委托意愿和受托意愿，并且可以方便的转化为逻 辑程序，女n p r o l o g 程序，借助现有逻辑开发平台实现推理。通过逻辑推理，使用 委托意愿逻辑表达的委托意愿和受托意愿可以快速的进行匹配，从而选择满足 条件的受托者。 2 在委托授权的建立过程中，经常出现意愿无法精确描述的情况。针对这一 情况，我们借助模糊集合理论和模糊逻辑扩充了委托授权意愿逻辑，使其可以 支持模糊意愿的表达和模糊推理，从而实现了委托授权意愿的模糊匹配，有效 的扩充了委托授权意愿的表达能力和委托授权协商的能力。 3 提出了一个委托授权协商模型，在意愿匹配的基础上，进行委托授权协商， 实现了与现有访问控制系统和委托授权机制的有机结合，从而在委托授权过程 中实现了基于双边意愿的委托授权协商。 山东大学硕士学位论文 1 4 论文结构 第二章，综述了访问控制、委托授权、谓词逻辑和模糊逻辑等相关工作和成 果，对现有工作进行了描述和分析。 第三章，基于谓词逻辑，提出了委托授权意愿逻辑用于对委托授权意愿进行 描述和表达，并给出了基于逻辑推理对意愿进行匹配的方法。 第四章，应用模糊集合理论和模糊推理技术对委托意愿逻辑进行扩展，扩充 了委托授权意愿逻辑的表达能力和推理能力。 第五章，提出了一个委托授权协商模型，利用v i s u a l p r o l o g 平台对委托授权 意愿逻辑进行了实验，并实现了委托授权意愿模糊匹配的原型系统。 第六章，总结本文工作，讨论了下一步的研究方向。 4 山东大学硕士学位论文 2 1 访问控制 第2 章相关工作 访问控制是信息安全的- - ( - j 核心技术，通过限制主体对客体信息的访问和操 作实现对系统安全性的控制。通过访问控制，系统可以对重要信息和关键资源进 行保护，防止对系统的恶意的或者无意的破坏。主体、客体和访问控制策略是访 问控制技术的三个主要组成部分，其中主体是指发出访问请求的实体，客体是信 息系统中能够被主体所访问的资源，访问控制策略则是用于决定主体是否拥有访 问客体权限的一组规则。 现有的操作系统、数据库和信息系统等均采用了相应的访问控制技术。访问 控制已经成为i s 0 7 4 9 8 2 中规定的安全的信息系统的基础架构中必须包含的一 种安全服务。 访问控制主要包括两种重要措施：认证和授权。 认证主要解决访问系统的用户的身份鉴别问题。用户通过了认证，则表明用 户的身份已经为系统所接受，从而可以拥有该身份所对应的各种权限。最常见的 认证方式是使用用户标识和口令相结合的方式。 授权决定了拥有特定身份的用户拥有何种权限。基于对用户身份的认证，系 统授权用户与此身份相对应的权限，从而允许用户对系统中的资源执行相应的操 作。 访问控制领域的研究发展十分迅猛，大量的访问控制策略先后被提出。如 h a r r i s o n ，r u z z o 和u l l m a n 提出了h r u 模型，j o n e s 等人提出了t a k e g r a n t 模型 等。在各种不同的访问控制策略中，自主访问控制( d a c ) 1 3 1 ，强制访问控制( m a c ) 嗍 和基于角色的访问控制( r b a c ) 【5 】成为使用较多的几种访问控制策略。 d a c 是传统的访问控制策略之一，这一访问控制策略允许主体对其拥有的 资源进行管理，决定哪些主体可以对这些资源进行访问。现有的l i n u x 、u n i x 和w i n d o w s 等操作系统都提供了对d a c 的支持。 m a c 也叫基于格的访问控制l b a c ( l a t t i c e b a s e da c c e s sc o n t r 0 1 ) ，是另 一种传统的访问控制策略，其基本思想是通过对主体和客体设置安全标记来实现 访问控制控制。b e l l l a p a d u l a 模型 6 1 和b i b a 模型【7 1 是两种经典的强制访问控制模 山东大学硕士学位论文 型。在m a c 中，系统为主体和客体分配不同的安全属性标签，而这些属性是不 可被改变的。系统通过对主体和客体安全属性的匹配比较来决定是否允许访问继 续进行。强制访问控制在操作系统中采用的最为普遍，在数据库管理系统中也有 很大的实际价值。 1 9 9 2 年，f e r r a i o l o 和k u h n 提出了r b a c 模型框架嘲，并于上世纪九十年代 成为一种被广泛接受的访问控制策略。r b a c 弓i a y “角色”的概念，更加真实的 一 反映了实际应用中用户与权限之间的对应关系，从而有效的降低了访问控制和授 权的复杂度。在r b a c 中，权限不是直接与用户绑定，而是与指定的角色绑定。 当用户被赋予一个角色时，即同时获取了该角色所绑定的所有权限。1 9 9 6 年， s a n d h u 等人1 9 1 提出了r b a c 9 6 模型，并随后又提出了a r b a c 9 7 模型1 1 0 1 和 a r