信息资源整合中访问控制方法研究

1、分类号：学校代码：密级：华北电力大学硕士学位论文题目：信息资源整合中访问控制方法研究英文题目：研究生姓名：张海燕专业：计算机应用技术研究方向：网络信息安全导师姓名：张少敏职称：教授年月日枣，。“，押士明明本人郑重声明：此处所提交的硕士学位论文信息资源整合中访问控制方法研究，是本人在华北电力大学攻读硕士学位期间，在导师指导下进行的研究工作和取得的研究成果。据本人所知，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得华北电力大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。学位

2、论文作者签名：熬：莓盔日期：兰盟哇三目曰关于学位论文使用授权的说明本人完全了解华北电力大学有关保留、使用学位论文的规定，即：学校有权保管、并向有关部门送交学位论文的原件与复印件；学校可以采用影印、缩印或其它复制手段复制并保存学位论文；学校可允许学位论文被查阅或借阅；学校可以学术交流为目的，复制赠送和交换学位论文；同意学校可以用不同方式在不同媒体上发表、传播学位论文的全部或部分内容。（涉密的学位论文在解密后遵守此规定）作者签名：亟温莲日期：呈翌芝垒至目日导师签名：赣，华北电力大学硕士学位论文摘要摘要在信息化进程中企业建立了大量的信息系统，由于历史及技术原因这些信息系统形成一个个“信息孤岛”，信息

3、资源整合显得尤为重要，其中的访问控制问题也不容忽视。本文的研究主要包括三部分：首先对采用不同访问控制模型的应用系统的集中授权进行研究，并对其决策过程进行了研究；由于企业间及企业内部应用系统间的协作越来越频繁，安全问题也变得尤为重要，本文对采用的系统间的互操作安全性进行了分析，给出了域间角色映射中的静态职责分离违规检测算法和跨域访问决策算法；最后将集中授权模型和域问角色映射理论应用到电力信息系统中，以提高了电力系统资源整合中的安全性。关键词：信息资源整合，集中授权，决策算法，域间角色映射，电力信息系统，“”，：，；，；，（）：，、一，：纵。；，华北电力大学硕士学位论文目录目录中文摘要英文摘要第一

4、章绪论选题背景及其意义国内外研究现状论文的主要研究内容论文的组织安排本章小结第二章相关理论研究访问控制技术概述传统访问控制模型自主访问控制模型强制访问控制模型基于角色的访问控制模型的基本概念模型互操作的访问控制技术介绍本章小结第三章支持多种访问控制模型的集中授权模型集中授权的核心模型集中授权模型基本定义集中授权模型授权过程在信息集成中的实现多访问控制决策系统设计决策算法决策冲突解决实例分析模型分析华北电力大学硕士学位论文目录集中授权模型信息的存储系统实现本章小结第四章跨域访问控制方法研究域间角色映射规则设计映射规则的存储域问角色映射的静态职责分离违规情况分析域间静态职责分离违规检测算法设计单域

5、策略修改对域间映射规则的影响分析本域角色删除的影响外域角色删除的影响外域用户角色分配算法设计本域互斥角色添加算法设计多域间访问决策基于请求的跨域决策考虑动态职责分离的跨域决策算法实例分析域间角色映射的应用系统实现本章小结第五章集中授权和域间映射规则在电力资源整合中应用研究电力信息资源整合现状集中授权和域间映射规则在电力系统中应用研究本章小结第六章总结与展望论文的主要工作及贡献未来工作展望参考文献致谢在学期间发表的学术论文和参加科研情况“卑华北电力大学硕士学位论文选题背景及其意义第一章绪论随着信息化社会的到来，人们在享受信息资源带来的便利的同时，也面临着网络信息安全的严峻考验。由于信息化建设的逐

6、步深入，各种信息系统，如电子邮件、网络办公、财务、人事管理等在各行各业得到了广泛应用，经过多年不断的积累和改进以及网络应用技术的不断发展和变化，系统功能越来越强，数量也越来越多，由于许多历史条件限制，各部门根据各自的信息要求和特定的需求选择了各自的应用系统，这些系统往往是由不同的开发商在不同的时期采用不同的技术开发的。由于各种信息分别保存在互不兼容的、自成一体的系统中，造成了目前许多系统的隔离，这些信息不能及时得到传递、汇总、查询和加工，不能达到很好的信息共享，因而形成了一个个“信息孤岛，【】。信息资源整合的目的就是采用最新信息技术和标准，实现现有和未来建设的计算机应用系统之间的信息互通、信息

7、资源共享；实现数据的一出更新、多处使用；保证数据的唯一性、准确性、完整性等，提高数据的可用程度，确保数据质量。因此如何有效的整合这些分散的应用和数据具有重要意义，而在信息资源整合过程中的安全问题也不容忽视。如果信息安全问题不能得到很好的解决，将阻碍电子政务、电子商务以及网络银行等的发展，也将使得个人信息安全得不到保证。在信息系统中，安全目标除了保密技术外，另一个重要方面就是身份认证和访问控制技术，身份认证技术主要对于防止非法用户对系统的主动攻击，访问控制则是在身份认证的基础上，在身份的合法性基础上提出的资源访问请求加以控制。单点登录系统是统一身份认证和实施访问控制的首要建设目标，是为解决传统认

8、证机制所存在的问题而提出的一种技术。当用户访问网络应用系统时采用单点登录方式，只需进行一次登录和身份认证，最主要的是要实现让用户在经过一次网络身份验证后，就可以访问所有授权的网络资源，而不需要额外验证，体现了以用户为中心的思想。】。它为管理员和普通用户提供统一的入口，同时集成了具体的各种应用，实现了各应用子系统之间异构数据的整合和共享，有效地解决大型企业、政府建设和使用中信息孤岛的局面。单点登录有效的解决了统一身份认证问题，用户完成统一身份认证后的，访问控制对资源的合法访问具有重要意义，是对资源进行保护的另一道屏障【击】。访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方法

9、，它是针对越权使用系统资源的防御措施，通过限制对关键资源的访问，防华北电力大学硕士学位论文止非法用户的侵入或者因为合法用户的不慎操作而造成的破坏，从而保证系统资源受控的、合法的利用。以授权策略来划分，访问控制模型主要可分为自主访问控制模型（，）、强制访问控制模型（，）和基于角色的访问控制模型（，）。不同的系统、资源对访问控制模型有着其各自不同的需求，并且由于历史的局限性各企业在不同时期所采用的模型也不同，这造成了访问控制模型的多样化。随着组织、企业规模的扩大和分布式应用的不断增加，需要统一的身份认证与访问控制机制，并能够在网上实现单点登录，为企业用户提供统一的信息资源访问入口，建立统一的个性化

10、的信息访问、集成平台。是由设计并推荐的新一代标记语言，它以一种开放的自我描述方式定义数据结构，在描述数据内容的同时能突出对结构的描述，从而体现出数据之间的关系【。以其简单性、可扩展性、互操作性、开放性等特点在很多方面得到应用，如设计行业领域标记语言、进行文件保值、数据交换、应用的互操作和集成等，特别是在数据交换和互换操作方面，以其显著的优势成为数据交换、存储的中介和工具。在数据集成领域，作为多种应用程序之问的桥梁，有效地解决了异构数据源之间数据交换的难题【。它为分布式异构环境下的访问控制策略提供了良好的技术支持。对一个大型企业系统的管理，采用分而治之的方式导致了域（）的概念的产生，系统管理员可

11、依照功能职责，对象所处位置等对域的进行划分，然后进行集中管理，或者指派给不同的下级管理员进行管理。域是一种抽象的概念，某些对象属于同一个域并不代表这些对象客观上是聚集在一起的，或者说要将这些对象放在一起。一个域的内部可以有多个更小的域，称之为子域。域也可以有等级层次的关系，多个域之间也可以交叉重叠，即一个对象可以属于多个域，一个企业可以作为一个域，企业内部的一个或多个应用系统也可以作为一个域。国内外研究现状访问控制技术起源于世纪年代，主要研究大型主机系统上共享数据的授权。年提出了访问矩阵的概念【，此后逐渐形成了自主访问控制（）。为了克服不够安全的缺点，年等提出了模型（）们，开始了强制访问控（）

12、的研究。于年提出了比较完整的模型（】，于年提出了的管理模型，于年形成参考模型【。与此同时，各种关于的扩展和应用也不断出现。现今关于分布式环境下访问控制的研究很多。文献，】设计和实现了实华北电力大学硕士学位论文用的访问控制中间件，把访问控制模块提高到中间件（）的高度，对分布式系统进行集中式的访问控制。文献【】分析了典型的基于中问件的安全访问技术，通过增加相应的转换和管理模块，将系统访问控制列表中的用户作为角色访问控制模型中的角色，方便地实现基于角色的访问控制，既实现了更灵活的访问控制，又充分利用了中间件的安全特性。文献【】根据统一资源访问控制的需求和模型存在的问题，提出了基于角色和上下文的访问控

13、制型（）。文献】提出了以权限为中心的混合访问控制模型，它指出在一个大型组织或信息系统中存在着不同的用户和信息源，不同的情况所适合访问控制模型不同，因此在一个系统中同时使用不同的访问控制模型，在权限表中添加项，对于用户访问请求，系统首先判断其访问控制类型，进一步再据此访问相应的数据表，判断用户是否有此权限。文献】设计了的权限管理模型，设计了统一的安全认证，通过域、操作员、角色、权限等实体对象来进行权限的统一管理，系统实现了应用系统内部资源级的集中授权；本系统采用了基于角色的访问控制模型。针对多域间的安全互操作相关研究也有很多，用域间的动态角色转化实现多域间的安全互操作，但是这个模型没有考虑职责分

14、离（，）约束，通过域问的动态角色转换可能违背职责分离原则。文献对违背约束的各种情况进行了分析，指出如果动态角色转换违背静态互斥角色约束，那么必定存在一个外域角色使得静态互斥角色约束中的所有角色或者它的祖先属于该外域角色经过动态角色转换后得到的本域角色集合，并对不同的映射情况进行了分析。在文献】中，域间角色违规策略被分为以下三类：角色分配违规，角色继承违规和角色互斥违规，并对本域和外域的角色层次发生改变的情况进行分析，并提出了解决方法。文献【】指出文献【】中的不足，并提出了引起违背本域静态职责分离的原因在于外域的用户角色分配。文献】对分布式环境下，采用的多个域间的角色映射过程中角色拆分问题进行了

15、分析研究。论文的主要研究内容本文针对大型组织、企业信息化进程中，采用的平台、后台数据库具有异构性，所采用的访问控制模型也不同的各个应用系统信息资源整合过程中的安全问题进行研究，对现今分布式系统信息资源整合中，系统访问控制存在的问题进行了分析和研究。具体的研究内容包括：）在分布式环境下，对采用不同的访问控制模型的异构应用系统，实现系统华北电力大学硕士学位论文内部资源级的集中授权，对用户及其权限进行集中管理。包括采用模型的系统间互操作管理，对域间规则制定中的违规进行检测，从而保证域间映射规则的安全性与自治性。）支持多访问控制模型的访问控制决策系统的研究，其中包括通过域间映射规则进行的跨域访问控制决

16、策。）将集中授权和访问控制决策应用在在电力系统资源整合中，保证电力系统的安全性。论文的组织安排全文共分为六章。第一章绪论。本章介绍了课题的研究背景及意义，概述了国内外相关领域的研究现状，并介绍了本文的主要研究内容和论文的组织安排。第二章理论基础。本章介绍了常见的访问控制模型，包括自主访问控制模型，强制访问控制模型以及基于角色的访问控制模型，介绍了域间角色映射模型；最后介绍了技术。第三章给出了支持多种访问控制（，）模型的集中授权模型，对该模型在信息集成中的应用进行了研究，并对该模型的决策过程进行了描述。给出了集中授权模型的授权信息存储格式，并进行了安全性分析，其中用户和权限信息采用文档格式存储。

17、第四章随信息化发展应用系统的协作变得越来越重要，本章对信息资源整合中跨域访问控制进行了研究。制定了域间映射规则，并对其可能引起的静态职责分离违规进行了研究，给出了违规检测算法；指出了单域策略改变将对域间映射规则产生影响，给出了相应解决方案；并对跨域访问决策及决策过程中的动态职责分离问题的进行了研究。第五章给出了集中授权模型和域间角色映射在电力资源整合中的应用。第六章总结了本文主要的研究工作及其成果，并对未来的工作方向进行了简单的讨论和展望。本章小结本章说明了课题的研究背景、研究意义，概述了信息资源整合中访问控制的国内外研究现状，并简要介绍了研究内容及论文的组织结构。华北电力大学硕士学位论文访问

18、控制技术概述第二章相关理论研究访问控制作为计算机和网络安全服务的一个重要部分，它是针对越权使用资源的防御措施，防止未授权情况下的资源访问，从而使得信息系统在合法的范围内使用，可以有效组织非法用户的侵入，以及合法用户对系统资源的非法越权访问。访问控制的有效性建立在两个基础上，第一个是用户的鉴别与确认，保证每个用户只能使用自己的访问权，用户在登录系统，进行身份认证时完成这个功能。第二说明每个用户或程序的访问权限信息是受保护的，不会被非法修改，这通过用户与客体间的访问控制策略实现。访问控制技术一直以来都是确保信息系统安全性的主要技术手段之一。访问控制系统主要包括：）主体（）：它是发出访问操作、存取要

19、求的主动方，但不一定是动作的执行者，可以是人，也可以使任何主动发出访问请求的智能体，包括程序、进程、服务等。）客体（）：被调用的程序或与存取的数据访问，包括所有受访问控制保护的资源，通常包括文件、设备、信号量和网络节点等：）访问控制策略（）：确定主体对客体的访问权利。它体现了一种授权（）行为，也就是客体对主体的权限允许，即主体可以对某资源执行的动作，例如读、写、执行和禁止访问等等。访问控制实施主要包括授权和访问决策两方面【。授权（）指的是将一些对客体的操作许可赋予主体，授予主体一定的权力，制定访问控制策略，提供给访问决策使用。访问决策（）发生在主体要求访问客体的时候，检查是否存在授权制定的相应

20、访问控制策略，如果有才允许进行客体资源访问，否则拒绝访问，如图所示。访问决策问请求策管理图授权与访问控制系统功能图警一苗圈鼍芦釜一华北电力大学硕士学位论文在中描述了访问控制模型的基本结构。的访问控制框架如图所示，该框架主要包含部分【明，它们分别是：团盎扯决图通用的访问控制框架）访问者：它提出对目标访问请求，访问请求说明在目标所实施的操作。）目标：它是系统的资源，包括文件、设备等。）访问控制执行单元（，）：它负责对访问控制请求进行处理，并将访问请求提交给访问控制决策单元。决策请求是指询问某个特定的访问请求是被允许还是拒绝。它实际是应用内实现访问控制的一段代码或者监听程序。）访问控制决策单元（，）

21、：它负责判断允许还是拒绝访问控制请求，并将结果返回给访问控制执行单元，然后执行访问请求的结果。它在实际应用中是一个判断逻辑，如访问控制代码中的判断函数。访问控制就是要在访问者和目标之间假如一个安全机制，验证发起者的权限、控制受保护的目标。访问者提出对目标的访问请求，访问控制执行单元将其截获，并将请求信息和目标信息以决策请求的方式提交给访问控制决策单元：访问控制决策单元根据系统策略进行判断，并最终生成决策结果（允许访问或者是拒绝）；最后访问控制执行单元根据决策结果决定是否执行对目标的访问。其中执行单元和决策单元不必是分开的模块【。访问控制模型是访问控制技术的核心，传统访问控制模型主要包括自主访问

22、控制模型和强制访问控制模型，并且在上世界七十年代还八十年代占据了主导地位。随着信息技术的发展，尤其是大型分布式企业信息系统的出现，来自企业信息系统的安全性需求变得越来越复杂，传统访问控制模型灵活性和访问的安全控制有些力不从心，二十世纪九十年代基于角色的访问控制模型很好弥补了这一缺陷。传统访问控制模型传统的访问控制模型主要包括自主访问控制模型（，华北电力大学硕士学位论文）和强制访问控制模型（，）。自主访问控制模型系统中的主体（用户或用户进程）可以自主地将其拥有的对客体的访问权限（全部或部分）授予其他主体，并且可以在随后任意时刻对这些权限进行回收。其实现方法一般是建立访问控制矩阵，矩阵行对应主体，

23、列对应客体，元素表示主体对客体的访问权限。应用较为广泛的访问控制列表（，）就是属于自主访问控制的范畴，是带有访问权限的矩阵，在中按列存放了每个客体的访问控制信息，即对于每个客体而言都有那些主体对此客体拥有哪些权限。它的特点是根据主体的身份及允许访问的权限进行决策。灵活性好，被大量采用它的弱点是：访问控制授权是可以传递的，信息容易泄密。不保护受保护客体产生的副本，即一个用户不能访问某一个客体，却能够访问它的拷贝，增加了管理难度。同时，在大型系统，尤其是分布式的系统中，由于系统中主体、客体数量巨大，无论采用哪一种形式的，都会效率低下、难以维护，系统的开销大。强制访问控制模型强制访问控制在用户自主授

24、权方面进行了严格限制，它要求安全管理员或专门的授权机构对系统中的主体、客体分配一个固有的安全属性，而用户无权改变自己以及其他主体或客体的固有安全属性。主体对客体的访问主要有四种方式：）向下读：主体安全级别高于客体信息资源的安全级别时允许查阅或读操作。）向上读：主体安全级别低于客体信息资源的安全级别时允许查阅或读操作。）向下写：主体安全级别高于客体信息资源的安全级别时允许执行动作或是写操作。）向上写：主体安全级别低于客体信息资源的安全级别时允许执行动作或是写操作。强制访问控制模型中最著名的是模型，主体对客体的访问基于两个原则：简单安全特性和特性。）简单安全特性：主体能够读客体必须满足（）（）；）

25、特性：主体能够写客体必须满足【）（）。其中，简单安全特性和木特性分别保证用户“无上读和“无下写。这两个特性使得信息只能在同级之间或者从低级向高级流动。允许低级别的主体写高级别的客体，就是说低级别的主体可能破坏高级别的数华北电力大学硕士学位论文据。为了防止这种可能性的发生，保护数据完整性，可以采用严格规则。）严格特性：主体能够写客体必须满足（）（）。强制访问控制配置的粒度较大，灵活性较差，多用于军方和政府的应用中，它是基于多级安全需求的，因为在军用系统中关键是防止信息由高安全级流向低安全级，关心的是信息的机密性，并不对信息的完整性做出保证。基于角色的访问控制模型的基本概念的基本思想是：授权给用户

26、的访问权限，通常由用户在一个组织中担当的角色来确定。用户不能随意访问资源对象，访问权限只能与角色相联系，用户必须是相应角色的成员。这种方法不但简化了授权管理工作，同时又使的指定和执行个性化保护策略的过程更加灵活。用户可以根据实际情况定义相应角色，也可根据需要重新改变角色，新的应用和新的操作产生新的角色和权限，需要时角色还可以被取消。用户用什么角色对资源进行访问，决定了用户所拥有的权限及可执行何种操作，所以在中，访问的主体变成了角色。通过采用“角色继承”的概念，把角色组织起来，很好的反映了组织内部人员之间的职权、责任关系，这既提高了效率，又避免了相同职权的重复定义。标准的模型有个不同层次，分别为

27、，和。图描述了它们之间的层次关系【】。，、多多、；谕，、图模型的层次关系）模型，也称作。它是模型的核心，它规定了任何系统所必须的最小要求，包括实体：用户集、角色集、权限集和会话集。同时还定义了关系：用户分配以及权限分配。）模型，也称作，它是层次模型，在的基础加入角色继承的概念，也称为角色。分层模型，它是根据组织内部权力和责华北电力大学硕士学位论文任的结构来构建角色与角色之间的继承关系。一般用偏序来描述角色间的继承关系，它满足自反、传递和非对称性质。通过角色等级关系，上级角色继承下级角色的权限，多级继承之后，再和自身具有的权限一起构成此角色最终的权限。例如，一个部门经理拥有对本部门内员工信息的访

28、问权限，总经理不仅拥有此权限，还可以访问其他部门员工信息资料，以及完成部门间人员的调度等，这极大的方便了用户及权限管理。）模型，也称作，它在的基础上增加了约束概念来规定各种操作是否可以被接受。基本的约束包括：最小权限原则：权限集合是满足用户授权实施任务所需的最小的集合，在完成某种操作时所赋予每个主体必不可少的权限，即用户被分配的权限不能超过其职责范围所要求的权限，否则会导致滥用职权，从而将可能产生差错的诱因减至最少。职责分离原则：即在不同角色之间，将任务和其相关联的权限进行分离，以防止用户拥有超过他们职位所需的权力。其动机是为了保证欺骗和大的错误不会出生，除非多个用户蓄意勾结，这对于消除欺骗行

29、为是非常有效的。职责分离（，）又分为静态职责分离（，）和动态职责分离（，）两种。符合静态职责分离要求职能由个人角色的分配和事务角色的分配决定的。动态职责分配，其中符合动态职责分离的职能在系统操作期间决定，动态职责分离目的是使得操作更灵活。基数约束：通过访问控制安全策略限制分配给用户的角色数量以及某个角色可以拥有权限的数量。先决约束：用户在获得某个角色之前必须满足一定的条件，如在数据库系统中先有对表的访问权限，才能对表的字段进行修改。）模型是中最高层的模型，它是对和的集成，它不仅包括角色层次，还包括约束关系。模型即的核心模型。用户通过角色拥有权限，并且必须支持用户一角色授权的多对多映射，支持授权

30、角色的多对多映射，支持用户角色授权的检索，用户可以同时使用多个角色的权限。定义：实体集，分别表示所有用户、角色、操作、访问对象和会话的集合，如图所示。）实体集肋耵伽，表示的所有权限的集合。华北电力大学硕士学位论文），从用户集合到角色集合的多对多映射，表示赋予给用户的角色。），从权限集合到角色集合的多对多映射，表示授予给角色的权限。）：（：）魄们，映射每个角色到一组用户，返回指定给角色的用户的集合。）：（：）删协加，映射每个角色到一组权限，返回指定给角色的权限的集合。）：（：），映射每个会话到唯一的用户，用户与会话之问是一对多关系。）之间是多对多关系，用户可以通过建立会话选择激活执行特定任务所需

31、的最小角色集合。）：（：）朋加如耵，映射每个角色到一组权限，表示指定角色拥有的权限集合。图模型（）即的层次模型（），它定义了角色之间的继承关系，如图所示。它基于，支持角色继承，并且需要支持任意层级和有限层级继承。定义：）口，它是角色集合上的一个偏序关系，记做。）：（：），洳邮，映射每个角色到一组用户，返回指定给角色的用户的集合。包括通过角色继承关系获取角色的用户，形式化描述为：（，）【（玑厂）酬】）：（：）华北电力大学硕士学位论文）：（：）蛔，映射每个会话到一组角色，用户可以通过建立会话选择激活执行特定任务所需的最小角色集合，可以激活的角色集合包含会话对应的用户所具有的角色及它们的子角色。（）

32、，（，）【（），）】）：（：）册栅哪，映射每个角色到一组权限，表示指定角色拥有的权限集合，包括通过角色继承获得的权限。：（：）伽（厂）【瓴，）日】）必须满足下面的条件：，（）（）（）（）图模型（）同样是基于最初的模型，但它引入了约束概念，如图所示。例如，可以约束一个用户是否能拥有某一角色。然而，约束也可以被用于许多其它情况下，它可以用于建立一个特定角色的成员资格，也可以被用于作为授予一个角色的先决条件。例如，可以约束用户能被授权为角色的先决条件是他拥有角色。在系统中，如果一个用户被授予几个相互冲突的角色上，就会带来安全上的冲突。静态责任分离要求在为用户授予角色的时候实施约束，从而预防安全冲突。

33、标准中规定的静态责任分离约束机制作用于角色集上。定义约束的静态职责分离）眦，必须满足下面的条件：，（，厅），昭华北电力大学硕七学位论文以（）囝，其中，（：）寸啪来自定义）具有角色继承关系的静态职责分离，使用定义中的（：）专懒约束静态责任分离在给用户赋予角色的时候实施约束，从而限制用户的访问权限，动态责任分离也是为了限制用户的访问权限，但实施约束的时机与机制不同。动态责任分离对用户会话中可以激活的角色实施约束，即几个相互冲突的角色可以授予给同一个用户，但是不能在同一个会话中一起激活。标准中规定的动态责任分离约束机制也作用于角色集上。定义约束中的动态职责分离），囟，必须满足下面的条件：地，（，）：

34、除并且洮毙站懈玛帕趿磊“幻拒触（）爿，其中，：（：审专眦来自定义）具有角色继承关系的静态职责分离，使用定义中的：（：）眦来约束。图模型（）模型就是，如图所示。这是最复杂的模型，它包括了角色继承和约束，在中，在角色继承关系上增加了约束。例如，低级别角色可能被限定最大的派生角色数量，多个低级别角色可能被限定只能派生不同的高级别角色，或限定用户所能拥有的高级别角色的数量，在中出现的华北电力大学硕士学位论文这些继承和约束间的交互使得它成为最复杂的模型。图模型（）互操作的访问控制技术互操作指的是多个系统或者组件之间交换信息并且使用这些信息的能力，不同来源的系统能够相互协调、通信、合作，共同完成一个更复杂

35、的功能。互操作为分布式应用提供了一种共享资源和服务的方式，提高了资源和服务的效率。分布式应用的互操作为企业和企业、政府和企业、政府和政府、企业和客户等之间架起了一座桥梁，将分散更多的资源和服务集中、组合在一起，更加快捷的满足不断变化的需求。互操作的访问控制是指在互操作的过程中实施的访问控制，保证互操作的安全性。由于互操作的主体、客体都处于分布式环境中，因此互操作的访问控制要解决的主要问题是如何在分布式应用之间共享访问控制的主体和客体信息，制定主体和客体之间的访问控制策略。互操作的访问控制机制是实现分布式应用的安全互操作需要解决的核心问题。在分布式环境下，各个分布式应用中的访问控制系统形成了独立

36、的访问控制域，映射机制就是在访问控制域之间直接建立访问控制要素的关联，从而让某一个访问控制域内的要素在其他的访问控制域内具有对等要素所包含的访问控制策略信息。主要包括主体映射、客体映射和角色映射【。主体映射：主要是指基于主体要素的映射机制，分布式应用中通常都有大量独立的用户信息，如服务的开放环境，用户通常需要访问其他结点中的应用，在维护本结点用户信息的同时需要考虑域间访问的安全性问题【甜。客体映射：是指基于客体要素的映射机制。角色映射：在大型的分布式应用中，主体映射和客体映射都存在的局限性，因客体映射，会使得维护工了一个非常重要映射要素，它通过在两个基现两个域的角色之间的直系列的映射关联，这些

37、映射关联形成了一个组合的偏序的角色关系。模型在本域和外域角色层次之间定义了一组角色关联，从而形成一个合并的具有偏序关系的层次，用表示本域角色的集合，表示外域角色的集合，是上的角色层次，是上的角色层次，和都是偏序关系。如果用表示角色的层次比高，那么角色继承角色的所有权限。图示例图给出了一个系统的示例。关联是一个传递关联，则域的角色及其祖先角色，都可以转换为域的角色。关联是一个非传递关联，因此域的角色可以转换为域的角色，而域的角色不能直接转换为域的角色。但是由于在中，一个角色的用户成员同时也拥有该角色的子孙角色，因此中角色的用户成员可以凭借其角色的成员身份转换到域的。介绍，可扩展标记语。吉（），是

38、（万维网联盟）认可的文档标记标准，它满足不断增长的网络应用需求，同时确保网络交互具有良好的可靠性与操作性。它定义了利用简单的、人类可读的标签对数据进行标记所采华北电力大学硕士学位论文用的一般语法，提供了计算机文档的一种标准格式。这种格式很灵活，可以进行定制以用于各种领域，如网站、电子数据交换等。所谓标记，是指一系列特殊的字符或符号，可以通过向其中插入文本来存储文档内容，标记语言除了可以存储文档的基本信息外，还可以存储文档的显示格式、文档布局、逻辑结构等附加信息。已经成为一种人们广泛接受的用户描述语言和创建标记的语言标准。最主要特征是数据独立性，即描述与内容相分离。它严格地定义可移植的结构化数据

39、，并对数据赋予上下文相关功能。除了易于建立和易于分析外，主要的优点在于它既与平台无关，又与厂商无关，这种开放性比技术优越性更重要。服务使用作为数据表示的基本格式，这为服务实现平台无关、语言无关奠定了坚实的基础。语言的主要优点是：）良好的可扩展性。允许各个不同的行业根据自己特有的需要制定自己的一套标记，同时，并不要求所有浏览器都能处理这成千上万个标记，也不要求一个标记语言能够适合各个行业各个领域的应用，这种具体问题具体分析的方法更有助于标记语言的发展。）内容与形式的分离。中信息的显示方式已经从信息本身中抽取出来，放在了“样式单”中。这样做便于信息表现方式的修改和数据的查询，也使得具有良好的自描述

40、性，能够描述信息本身的含义甚至它们之间的关系。）遵循严格的语法要求。不但要求标记配对、嵌套，而且还要求严格遵守或的规定。这提高了网页文档的可读性和可维护性，减轻了浏览器开发人员的负担，提高了浏览器的时空效率。）跨平台性。语言独立于特定的平台，而且支持世界上所有主要语言编写的混合文本，从而可以在不同的开发环境、不同平台中使用。它便于不同系统之间信息的传输，不同企业、不同部门中往往存在着许多不同的系统，可以用作各种不同系统之间的交流媒介，是一种非常理想的网际语言。）开放性。标准时完全开放的，并且可以免费获得，文档本身也很开放。本章小结本章介绍了现今使用的各种访问控制模型，主要包括自主访问控铝（）、强制访问控铝（）和基于角色的访问控带（）策略，并对的基本理论及工作机制进行介绍。具有良好的可移植、跨平台特性，这为分布式访问控制奠定了坚实的理