基于類簇的訪問控制客體層次模型

仲華惟

摘要：分析企業信息系統中對訪問控制客體的要求，提出基于類簇的客體層次模型，使用簇的動態特性實現靈活的訪問控制。研究訪問許可在類簇層次模型上的傳遞過程，定義許可在傳遞過程中的計算方法，最后給出用戶對數據的訪問控制算法。

關鍵詞：訪問控制；客體；類簇模型；層次模型

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）23-5559-03

1 概述

隨著企業信息化程度的提高，訪問控制技術發揮了越來越重要的作用，在很大程度上影響著企業信息系統的可用性、易用性和安全性[1]。訪問控制是指主體依據某些控制策略或權限對課題進行不同授權訪問。主體是發出訪問請求或對客體施加動作的所有主動實體的集合。每個主體都有定義其身份或標識其特征的屬性。客體是接收主體訪問行動的被動實體的集合，包括系統所保護的所有資源。主體和客體的概念是相對的，一個實體在某個時刻是主體在另一個時刻又變成客體，這取決于該實體是動作的執行者還是承受者。目前信息系統訪問控制的研究主要集中在對主體的控制，較少涉及到如何對客體進行動態控制[2]。

在信息系統開發過程中，面向對象的開放方式已經廣泛應用，但是單純基于對象和類的訪問控制粒度不能滿足要求。信息系統通常需要：1） 能夠為對象分組授權，如一個項目組只能查看本項目組數據對象；2） 關聯對象授權，如用戶只能檢索部分相關聯數據；3） 對象屬性授權，如用戶可以修改對象的幾個特定屬性，而其他的屬性只能瀏覽。……