文档介绍:doi:.1671-,刘江,代向东,王义功(,河南郑州450001;,河南郑州450001)访问控制管理为维护访问控制策略的安全、一致提供了重要保障。针对现有访问控制管理摘要:模型存在指派关系复杂、扩展性差、缺乏对跨域访问管理有效支撑的问题,结合多级跨域系统特性和访问控制管理的细粒度要求,文章提出了多级跨域访问控制管理模型,给出了模型的基本元素、元素关系、约束条件和管理规则。与现有研究相比,该模型具有良好的可扩展性,支持细粒度的管理操作,能够有效支撑多级跨域环境下安全、统一的访问控制管理。多级跨域;访问控制管理;细程度关键词:中图分类号:TP309文献标识码:A文章编号:1671-1122(2014)02-0001-06AMulti-Level&Inter-essControlAdministrativeModelZHANGHong-qi,LIUJiang,DAIXiang-dong,WANGYi-gong(,ZhengzhouHenan450001,China;,ZhengzhouHenan450001,ChinaAbstract:,scalabilityandlackingofeffectivesupportforcross-essmanagementofexsistingmodels,thispaperproposesamulti-level&inter-esscontroladministrativemodel(ML-biningthecharacteristicsofmulti-level&inter-domainsystemandthefine-esscontroladministration,bringingforwardthemodel’sbasicelements,elementrelationships,paredwithrelatedworks,theML-IDACAMmodelwhichhasgoodexpansibilityandfine-:multi-levelandinter-domain;accesscontroladministration;fine-gramed0引言访问控制是支撑信息系统安全的一项重要机制,访问控制策略集中体现了信息系统的安全需求,其有效实施为系统资源的机密性和完整性保护提供了重要保证。但是,如果缺乏安全可靠的访问控制管理技术作为支撑,即使已经制定和实施访问控制策略,也难以真正实现信息的“安全共享”。同时,随着我国等级保护建设工作[1,2]的全面展开,等级化信息系统规模不断扩大,表现出了访问控制策略数目剧增、策略管理对象复杂多变、多种访问控制模型并存的新特征,在很大程度上增加了访问控制管理的难度。因此,如何对访问控制策略实施统一、全局的管理,以保证等级化信息系统间的安全互操作是一个亟待解决的关键问题。。具体而言,多级跨域是指等级保护系统中由包含相同或不同收稿日期:2013-10-10基金项目:国家“973”重点基础研究发展计划[2011CB311801]、国家“863”高技术研究发展计划[2012AA012704]作者简介:张红旗(1962-,男,河北,博士生导师,教授,博士,主要研究方向:等级保护、可信计算、安全管理;刘江(1988-),男,陕西,博士研究生,主要研究方向:安全策略管理;代向东(1977-),男,四川,讲师,硕士,主要研究方向:访问控制、安全管理;王义功(1987-),男,河南,讲师,硕士,主要研究方向:访问控制、安全管理。1等级的定级系统组成的安全域之间,通过安全互操作进行信息交互和资源共享的分布式网络环境。所谓安全域[3],是指将具有相同安全需求且遵循共同访问控制策略的定级系统按照物理或逻辑关系划分的等级保护区域。针对各等级化信息系统安全域的不同安全需求,通过制定合理的安全策略,科学实施分级保护,能够有效避免因过度保护而造成系统运行效能降低和投资浪费的问题。安全域之间具有层次关系,每个安全域只有一个上级安全域,但可以包含多个下级安全域。度、操作明确等优点,代表RBAC管理模型的最新研究成果。在国内研究中,中科院的夏鲁宁[9]提出基于层次命名空间的RBAC管