● 摘要
许多网络应用系统将访问控制作为处理安全管理问题的有效解决方案。随着企业网络应用系统的大规模部署,各种应用的访问控制机制经常使网络管理变得十分繁杂和困难。为了解决这样的问题,某承担科研项目的国防机构将建立全局访问控制基础设施,为各种网络应用系统提供访问控制服务。本论文依托该项目,重点研究如何在架构层实现访问控制。本论文首先分析了基于角色的访问控制模型和使用控制模型,明确了这两种模型在形式化描述访问控制架构方面的不足之处,然后给出了一种形式化访问控制架构(Military Access Control Framework,简写为MACF),其中包括三个部分:架构实体、模型组件、功能规范集。架构实体描述了访问控制架构的各种实体及其属性;模型组件包括角色模型和策略模型,体现了访问控制架构的静态访问控制机制和动态访问控制机制;功能规范集给出了该架构的参考性功能描述。最后,根据应用系统的实际需求,设计了MACF架构的总体结构,并且重点实现了策略管理单元。论文工作表明:MACF形式化访问控制架构能够反映全局性访问控制的模型特点,并为依托项目的进一步研究提供了架构层次的访问控制实现方法。