文档介绍:硕士学位论文
基于最小权限原则和静态职责分离约束的
RBAC 策略设计
RBAC POLICY DESIGN WITH LEAST
PRIVILIGE AND SSD CONSTRAINTS
刘金玲
哈尔滨工业大学
2011 年 12 月
国内图书分类号:TP399 学校代码:10213
国际图书分类号: 密级:公开
工学硕士学位论文
基于最小权限原则和静态职责分离约束的
RBAC 策略设计
硕士研究生: 刘金玲
导师: 黄荷姣教授
申请学位: 工学硕士
学科: 计算机科学与技术
所在单位: 深圳研究生院
答辩日期: 2011 年 12 月
授予学位单位: 哈尔滨工业大学
Classified Index: TP399
:
Thesis for the Master Degree in Engineering
RBAC POLICY DESIGN WITH LEAST
PRIVILEGE AND SSD CONSTRAINTS
Candidate: Jinling Liu
Supervisor: Prof. Hejiao Huang
Academic Degree Applied for: Master of Engineering
Speciality: Computer Science & Technology
Affiliation: Shenzhen Graduate School
Date of Defence: December, 2011
Degree-Conferring-Institution: Harbin Institute of Technology
哈尔滨工业大学工学硕士学位论文
摘要
随着信息技术的发展,各种来自内部和外部的攻击正源源不断地威胁着
信息资源,于是保护信息资源的安全已成为一项刻不容缓的任务。访问控制
是种行之有效的重要保护措施之一。近年来,基于角色的访问控制(Role-Based
Access Control, 简称 RBAC)策略以其独特的优点,得到了越来越广泛的应用。
虽然 RBAC 安全策略有着增加灵活性、支持分布式管理等众多优点,但
是要将其有效地应用在现实中,还存在很多问题有待进一步解决。比如说,
最小权限问题。在访问控制中,用户拥有的权限越多,对信息资源的威胁也
就越大。如何保证每个用户可以拥有尽可能少的权限来完成其工作,就是一
个值得研究的课题。而本课题恰恰就是研究如何进行用户-角色分配,以保证
最小权限原则的。
本论文首先证明了找到满足最小权限原则的用户-角色分配方案是 NP 难
的。通过数学抽象的方法,可以将如何按照用户的任务需求来给用户分配最
适合的角色以行使其职责的问题转化为相应的数学模型。然后通过对转化后
问题的分析与论证,最终得出本文所研究的课题是 NP 难的。
其次,本文设计了用户-角色分配的近似算法。本文利用 RBAC 安全策略
中的最小权限原则,设定了一些参数,并设计了贪婪算法 GA-UA,可以得到
某种意义下的局部最优解。根据实际应用的要求,对用户-角色的分配方案添
加静态职责分离(Static Separation of Duty,简称 SSD)的约束,并设计了满
足该约束条件的 GA-UASSD 算法。同时,本文还对所设计的算法进行了详细
的性能分析,最终得出了近似比在每个角色都不含有冗余权限的情况下是
Н(γ),在每个角色都仅含有一个目标权限和所有的冗余权限的情况下是|T|(1+
ln |T|)。
最后,本文分别针对角色的添加与删除两种情况,重新调整了用户-角色
分配算法,以保证调整后的用户-角色分配算法依然可以满足最小权限原则和
静态职责分离约束。
关键词:RBAC;最小权限原则;静态职责分离;用户-角色分配;近似比
-I-
哈尔滨工业大学工学硕士学位论文
Abstract
With the development of information technology, all kinds of external and
internal threatens continuously intimidate the resource of information, so there is
no time to delay to p