论文检索
论文发表

全程一致的访问控制体系研究

发布时间:2017-10-03 22:16

  本文关键词:全程一致的访问控制体系研究


  更多相关文章: 全程一致 访问控制 等级保护 跨系统访问控制 本体


【摘要】:访问控制作为系统安全的基础,是等级保护信息系统安全建设的一项重要内容。在等级保护信息系统建设过程中,管理者为了保护系统安全,引入了大量的防护设备和防护措施,然而由于这些设备和措施往往各自为政,不考虑相互之间的关联,极易出现访问控制的冲突、遗漏等不一致的问题;同时,在多系统互联环境下,由于对各定级系统之间的访问控制措施缺乏有效的协调机制,在用户跨系统访问时往往会出现非法信息流,从而造成跨系统访问控制的不一致问题。为了解决上述等级保护系统中定级系统内部访问和跨系统访问控制不一致的问题,本文基于策略语义一致性、信息流一致性以及策略执行一致性的思想,提出了全程一致的访问控制体系结构,该体系结构以可信计算技术为基础,有机融合了策略语义一致性机制、基于信息流控制的跨系统访问控制模型以及访问控制一致性保障机制,这些机制互相配合,能够有效解决系统访问控制不一致的问题。策略语义一致性机制主要用于解决定级系统内部访问控制不一致问题,该机制充分考虑了访问控制节点间的内在关联,其在建立各节点访问控制策略语义模型基础上,通过策略一致性检测和不一致解决技术,能够发现并解决各节点由于相互关联而造成的不一致问题。跨系统访问控制模型重点解决跨系统访问控制不一致问题,其在各系统语义一致性基础上,为跨系统访问制定了相应的访问控制规则,这些规则能够有效阻止由于跨系统访问而产生的非法信息流。访问控制一致性保障机制以可信计算技术为基础,通过访问控制可信管道和TCB扩展模型,能够有效保护访问控制TCB及访问控制上下文传输的安全,从而实现了整个系统的访问控制策略在执行时的安全。具体来说,本文主要工作包括以下几个方面:(1)从系统地解决信息系统内部和多系统互联条件下的访问控制一致性问题出发,分析了目前安全体系在实施过程中存在的问题,给出了全程一致访问控制应该满足的安全需求。根据上述需求,提出了全程一致访问控制的体系结构,该体系结构有效结合了基于语义的访问控制策略一致性实现机制、跨系统访问控制模型、基于可信的访问控制一致性保障机制,可解决定级系统内部的访问控制一致、多系统互联条件下的访问控制一致、访问控制运行一致的问题。(2)针对定级系统内部访问控制不一致的问题,从整合不同节点访问控制策略角度出发,通过基于属性的访问控制实现了各设备强制访问控制、自主访问控制等主要访问控制模型相关策略语法的统一。为了描述不同访问控制节点语义上的关联,引入了本体理论作为各节点访问控制要素关联的描述手段,提出了信息系统访问控制策略的语义模型,并给出了访问控制策略本体知识库的构建方法。基于该语义模型和本体知识库,采用策略原子化的手段给出了同类节点集内部不一致和外部约束不一致的检测规则,利用这些规则能够有效发现并解决信息系统内部访问控制策略在语义层面的不一致问题。(3)针对跨系统访问过程中访问控制不一致的问题,从信息的机密性保护角度出发,在充分分析跨系统访问控制不一致性产生原因的基础上,遵循授权一致性和信息流一致性的原则,通过对BLP模型安全标记的扩展,提出了实现动态多标记的MBLP访问控制模型。该模型首先通过多本体集成的方法,对各定级系统参加访问控制的局部本体进行集成,并依据授权一致性原则对跨系统访问进行授权,然后依据信息流一致性的原则,通过动态多标记的方法给出了阻断非法信息流动的安全访问控制规则。该模型充分考虑了跨系统访问控制中存在的安全问题,经形式化证明是安全的。同时,在引入完整性标记后,该模型所提出的动态多标记方法也适用于解决系统的完整性问题。(4)针对访问控制策略执行时存在的不一致问题,以可信计算技术为基础,在分析了传统密码技术存在的不足的基础上,提出了访问控制可信管道相关概念、性质和构建机制,并基于该机制给出了TCB扩展模型,通过纵向和横向扩展两个阶段,不但实现了终端上TCB互操作的安全性,还实现了全系统TCB互操作的安全可信,为定级系统内部访问控制和跨系统访问控制提供有效的安全保障。(5)为了实现全程一致访问控制体系和相关机制,给出了系统实现的总体结构和工作流程,同时还给出了安全管理中心与可信边界网关的结构和主要的工作流程;提出了基于XACML的统一策略描述的实现方法、基于OWL的本体知识表示与推理技术、基于可信计算的可信管道实现技术。相关系统结构和实现技术满足了全程一致访问控制体系和相关机制的实现需求,对于全程一致访问控制体系的构建具有良好的实际指导意义。
【关键词】:全程一致 访问控制 等级保护 跨系统访问控制 本体
【学位授予单位】:北京工业大学
【学位级别】:博士
【学位授予年份】:2015
【分类号】:TP309
【目录】:
  • 摘要4-6
  • ABSTRACT6-12
  • 第1章 绪论12-30
  • 1.1 引言12-13
  • 1.2 研究背景13-18
  • 1.2.1 国外等级保护开展情况和相关标准13-15
  • 1.2.2 国内等级保护工作开展情况15-16
  • 1.2.3 我国等级保护相关技术标准及对访问控制要求16-17
  • 1.2.4 等级保护设计框架与访问控制一致性问题17-18
  • 1.3 国内外研究现状18-26
  • 1.3.1 访问控制模型及局限性19-20
  • 1.3.2 定级系统内访问控制一致性研究现状20-23
  • 1.3.3 跨定级系统访问控制一致性研究现状23-25
  • 1.3.4 研究现状总结25-26
  • 1.4 课题来源与研究内容26-27
  • 1.5 论文组织结构27-30
  • 第2章 全程一致的访问控制体系结构30-46
  • 2.1 相关研究内容30-34
  • 2.1.1 安全管理中心支撑下的三重防护多级互连结构30-31
  • 2.1.2 可信计算体系31-34
  • 2.2 等级保护系统访问控制一致性需求分析34-38
  • 2.2.1 访问控制在等级保护中的应用情况34-36
  • 2.2.2 访问控制不一致需求分析36-38
  • 2.3 全程一致访问控制体系38-45
  • 2.3.1 全程一致访问控制定义38-40
  • 2.3.2 访问控制不一致产生原因分析40-41
  • 2.3.3 全程一致访问控制体系结构41-44
  • 2.3.4 体系完备性分析44-45
  • 2.4 本章小节45-46
  • 第3章 基于语义的系统内策略一致性检测机制46-74
  • 3.1 相关研究背景知识46-49
  • 3.1.1 基于属性的访问控制46-47
  • 3.1.2 本体与描述逻辑47-49
  • 3.2 问题分析和主要思路49-51
  • 3.3 信息系统访问控制策略语义模型51-60
  • 3.3.1 基于属性的访问控制策略统一描述51-52
  • 3.3.2 基于本体的访问控制策略语义模型及构建方法52-60
  • 3.4 基于语义的访问控制策略一致性检测60-73
  • 3.4.1 正规继承树60-61
  • 3.4.2 元策略与策略原子化61-65
  • 3.4.3 策略一致性检测定理65-70
  • 3.4.4 策略不一致的解决方法70-71
  • 3.4.5 检测方法在实际系统中的实施71-73
  • 3.5 本章小节73-74
  • 第4章 基于多本体集成的跨系统访问控制模型74-96
  • 4.1 相关研究背景知识74-76
  • 4.1.1BLP模型74-75
  • 4.1.2 无干扰理论75-76
  • 4.2 跨系统访问控制不一致性分析76-80
  • 4.3 基于多本体集成的MBLP模型80-89
  • 4.3.0 模型构建原则与思路80-82
  • 4.3.1 多系统本体集成82-84
  • 4.3.2 跨系统访问控制MBLP模型84-89
  • 4.4 MBLP模型的一致性分析89-94
  • 4.4.1 MBLP模型的语义一致性检测与消解89-90
  • 4.4.2 MBLP模型信息流一致性证明90-93
  • 4.4.3 MBLP模型应用实例93-94
  • 4.5 本章小结94-96
  • 第5章 基于可信管道的访问控制一致性保障机制96-114
  • 5.1 访问控制运行一致性问题分析96-97
  • 5.2 访问控制可信管道97-102
  • 5.2.1 访问控制信息流分析97-98
  • 5.2.2 访问控制可信管道概念和性质98-99
  • 5.2.3 访问控制可信管道的构建原则99-102
  • 5.3 访问控制可信管道相关实现机制102-109
  • 5.3.1 可信管道构建机制102-105
  • 5.3.2 基于安全域隔离的信息传输安全保护机制105-109
  • 5.4 基于可信管道的TCB可信扩展模型109-112
  • 5.4.1 全局TCB与可信扩展模型109-112
  • 5.4.2 可信扩展模型的安全性证明112
  • 5.5 本章小节112-114
  • 第6章 全程一致访问控制系统的设计与实现114-124
  • 6.1 系统结构与流程设计114-118
  • 6.1.1 系统总体结构114-115
  • 6.1.2 安全管理中心与策略制定流程设计115-117
  • 6.1.3 可信边界网关的设计访问控制流程117-118
  • 6.2 系统关键实现技术118-122
  • 6.2.1 基于XACML的统一策略的描述技术118-120
  • 6.2.2 本体知识表示与推理技术120-121
  • 6.2.3 可信管道实现技术121-122
  • 6.3 本章小节122-124
  • 结论124-126
  • 参考文献126-134
  • 攻读博士学位期间所发表的学术论文134-136
  • 致谢136

【参考文献】

中国期刊全文数据库 前10条

1 沈昌祥;陈兴蜀;;基于可信计算构建纵深防御的信息安全保障体系[J];四川大学学报(工程科学版);2014年01期

2 张斌;王曦;;面向Web服务的SAML路径验证协议及其性能分析[J];计算机科学;2013年03期

3 ;积极做好新型信息技术环境下的信息安全等级保护工作——对话国家信息化专家咨询委员会委员、中国工程院院士 沈昌祥[J];中国传媒科技;2013年01期

4 闫建红;彭新光;;可信计算软件构架的检测研究[J];计算机测量与控制;2011年11期

5 冯登国;秦宇;汪丹;初晓博;;可信计算技术研究[J];计算机研究与发展;2011年08期

6 石文昌;;操作系统信任基的设计研究[J];武汉大学学报(信息科学版);2010年05期

7 沈昌祥;张焕国;王怀民;王戟;赵波;严飞;余发江;张立强;徐明迪;;可信计算的研究与发展[J];中国科学:信息科学;2010年02期

8 古亮;郭耀;王华;邹艳珍;谢冰;邵维忠;;基于TPM的运行时软件可信证据收集机制[J];软件学报;2010年02期

9 刘毅;沈昌祥;;一种可信软件栈的兼容性改进方案[J];武汉大学学报(理学版);2009年01期

10 林莉;怀进鹏;李先贤;;基于属性的访问控制策略合成代数[J];软件学报;2009年02期

中国博士学位论文全文数据库 前5条

1 解福;云计算环境中认证与密钥协商关键技术研究[D];山东师范大学;2014年

2 龚雷;应用安全透明支撑平台体系结构与模型研究[D];解放军信息工程大学;2013年

3 孙瑜;高安全级操作系统结构化关键技术研究[D];北京工业大学;2011年

4 张兴;无干扰可信模型及可信平台体系结构实现研究[D];解放军信息工程大学;2009年

5 高明霞;问答式OWL知识检索技术[D];北京工业大学;2008年

中国硕士学位论文全文数据库 前1条

1 梁邦乾;基于ARM的TPCM的设计[D];北京工业大学;2013年



本文编号:967029

资料下载
论文发表

本文链接:https://www.wllwen.com/shoufeilunwen/xxkjbs/967029.html

上一篇:剂量引导放射治疗中三维剂量重建方法研究  
下一篇:高分辨率近似纹理图像立体匹配技术研究
论文发表
最近更新
教材专著
热点文章

Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户83852***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com