基于SaaS的科研項目管理系統(tǒng)的訪問控制研究與應用.pdf

1、當前云計算不斷興起，其中SaaS模式的提出和應用解決了傳統(tǒng)科研項目管理系統(tǒng)中“一對一”的服務模式。但是如何在保證靈活性、安全性的前提下，實現(xiàn)SaaS供應商和租戶之間以及系統(tǒng)內(nèi)部的訪問控制也就成了新的問題。本文提出了將科研項目管理系統(tǒng)與SaaS服務模式結合，建立了基于任務和角色的訪問控制模型，以提升系統(tǒng)管控的靈活性。
　　本文首先對SaaS模式下的科研項目管理系統(tǒng)進行了詳細的訪問控制特性分析，闡述了其系統(tǒng)具有大業(yè)務量，且需要自行靈活

2、配置的特點，導致權限分配控制過度復雜化，很容易引起權限管理的不一致，產(chǎn)生沖突。然后針對SaaS模式下科研項目管理系統(tǒng)的訪問控制提出一種改進的基于任務與角色的訪問控制模型，并命名為SRP-TRBAC。此模型保留了TRBAC模型動態(tài)授權的優(yōu)點，并且解決了與SaaS之間的跨越判斷問題，也在一定程度上解決了系統(tǒng)訪問控制過程的安全性問題。
　　本文著重針對SaaS模式下的科研項目管理系統(tǒng)的訪問控制提出的SRP-TRBAC模型進行研究。該模型

3、在傳統(tǒng)的基于任務與角色的訪問控制的基礎上進行改進，首先通過SaaS約束來判斷并約束用戶的最初權限，使得SaaS軟件供應商能夠動態(tài)控制租戶租賃服務所對應的權限。然后將模型中的任務設定時間約束和優(yōu)先級的屬性，時間約束規(guī)則使權限隨著任務的激活或撤銷而產(chǎn)生或失效，解決了用戶擁有權限時間過長而可能實施非法操作以此影響系統(tǒng)安全性的問題。任務優(yōu)先級則是在某用戶同時接受到不同任務時根據(jù)任務優(yōu)先級別來決定處理順序，解決了突發(fā)性的任務調(diào)度問題。另外為防止S

4、aaS供應商的超級管理員與科研項目管理系統(tǒng)的超級管理員權限過大而造成的潛在安全問題，模型中將角色進一步擴展，除了超級管理員之外，增加審計員和安全員，形成三權分立，實現(xiàn)相互制約。此模型的訪問控制規(guī)則鏈由最小權限規(guī)則、特權分離規(guī)則、時間約束規(guī)則、職責分離約束規(guī)則組成，限定了權限的使用范圍，也保證了系統(tǒng)的安全性，還靈活的實現(xiàn)了系統(tǒng)的動態(tài)授權。該模型將“角色”以及“任務”同時放到訪問控制模型中心，采用了靜態(tài)職責分離與動態(tài)職責分離相結合的方式對指