第一章   绪论

由于大型企业网络环境中的规则数目庞大、关系复杂，并且不同域之间的管理者之间缺乏协作，这就导致整个网络环境中极易产生冲突，称为相融冲突。本文研究的相融冲突主要分为两种类型：授权相融冲突和通信相融冲突，分别对应应用系统授权需求和应用系统通信需求。其中，授权相融冲突是指应用系统授权需求之间出现矛盾所引发的冲突；通信相融冲突是指底层的网络设备规则无法满足上层应用系统通信需求所引发的冲突。本部分首先简要地介绍了访问控制需求的基本概念和描述语言，网络设备规则的基本概念和表达形式，接着综述了需求与规则间的验证技术、RBAC（Role Based Access Control，基于角色的访问控制）需求的冲突检测方法以及网络设备规则的冲突检测方法，最后对现存问题进行了分析总结。针对这一问题，文献[27]提出了基于授权和授权约束的 RBAC 冲突模型，并分析了需求配置不正确时可能导致的两种冲突，文中并未给出具体的检测算法；文献[28]提出了基于角色和元策略的冲突检测算法，其方法拓展了 RBAC 模型，提出借助域和元策略等概念进行冲突检测；文献[29]提出了基于有向无环图模型(DAG)的检测方法，利用 DAG中节点的连通性来判断 RBAC 元素之间的继承关系，能够检测出符号冲突和职责分离冲突；文献[30]和文献[31]提出了通过构造描述逻辑知识库，从而将策略冲突检测转化为 ABox 一致性验证问题的方法，该方法能够判断需求冲突，但由于推理系统通常在ABox 不一致时停止工作，因此无法给出冲突发生的位置和原因。

...........

第二章   相关理论和技术

2.1    RBAC 的概念定义

RBAC 概念体系中的实体主要有用户、角色、权限和会话。由于 RBAC 的静态冲突检测并不涉及到会话，因此我们不会对会话的概念过多展开。概念体系中的关系主要有用户角色映射、角色继承映射、角色权限映射和用户权限映射。其概念体系的基本模型如图6所示[35]。用户(user)是访问的主体，一般对应于组织中一个具体的成员，记为user Users。 角色(role)对应一组权限的概念，一般对应组织中的一个职位，记为role Roles。 权 限 (permission) 描 述 了 对 某 个 资 源 执 行 某 项 操 作 的 授 权 ， 可 表 示 为permission  {res,opt,act}，其中 permission Permissions ， res 表示资源，opt 表示读、写、执行等操作，act是我们在原有 RBAC 模型的基础之上新加入的一个元素，表示允许、禁止等授权动作。原有 RBAC 模型的授权动作是只有允许授权一种，没有被授权的角色或用户默认是被禁止访问的，但是目前一部分的基于 RBAC 的应用系统，如微软活动目录的文件访问控制系统是带有禁止授权的，为了保持模型的兼容性，我们在原有RBAC 模型的基础之上加入了禁止授权动作。

2.2    RBAC 的冲突定义

定义 2 职责分离冲突(Segregation of Duties Conflict)是指某个用户同时继承了两个角色，而这两个角色按照职责分离约束应该是互斥的所产生的冲突。公式表示为1 2 1 2SODCs {(u, r, r) u Users r, r Roles 1 2 1 2sod_ constrain(r, r) u r u r} ，其中1 2sod_ constrain(r, r) 表示1r 与2r 之间具有职责分离约束。定义 4 用户基数冲突(User Cardinality Conflict)是指某个角色被用户继承的次数超过 了 用 户 基 数 约 束 的 限 制 所 引 发 的 冲 突 。 公 式 表 示 为UCCs {rr Roles user_ number(r) uc_ constrain(r)}，其中user_ number(r) 表示实际继承r的用户数，uc_constrain(r)表示用户基数约束规定的r的最大用户数。

第三章 应用系统需求模型 ................................... 15

3.1  授权需求的着色 Petri 网模型 ...................................... 15

3.2  通信需求的两层架构模型 .................... 16

第四章 网络与应用相融冲突检测技术的关键算法 .................................... 20

4.1  基于着色 Petri 网的授权相融冲突检测算法 .................................. 20

4.2  基于 OBDD 的通信相融冲突检测算法 ......................... 26

第五章 网络与应用相融冲突检测原型系统设计与实现 .................. 46

5.1  设计目标 ................................ 46

 5.2  总体设计 .......................................... 46

5.3  详细设计 .................................... 49

5.4  开发环境 ........................ 55

5.5  本章小结 ............................... 56

第六章   实验与结果分析

6.1    实验目标

根据系统设计目标，拟定了如下的实验验证目标： 1、网络与应用相融冲突检测系统能够自动解析 XML 语言描述的应用系统需求文件和Json[58]语言描述的网络拓扑文件。 2、能够在正确解析输入文件后，结合初始 RBAC 模型对应用系统授权需求进行CPN 建模，即库所、变迁和有向弧的形式，利用变迁触发的原理进行授权需求的冲突检测，并且给出冲突检测报告。 3、能够根据网络拓扑各节点之间的关系得出全网布尔函数，在此基础上基于OBDD 理论分析网络设备规则的与应用系统通信需求之间的相融冲突，并且给出冲突检测报告。

6.2 实验环境

硬件环境： Intel (R) Core (TM) i5-2400 CPU 3.1GHz，内存 4.00GB。 软件环境： Windows 7 操作系统； Visual Studio 6 with SP6 编译环境。

...........

结论与展望

本文通过分析网络与应用相融冲突检测的相关概念，建立了网络与应用相融冲突检测的着色 Petri 网模型和两层架构模型，在此基础上分析了应用系统需求与访问控制规则之间的关系及相融冲突分类，并由此给出相融冲突检测模型。此后，还提出了基于着色 Petri 网的授权相融冲突检测关键算法以及基于 OBDD 的通信相融冲突检测关键算法。在这些研究结果的基础上，设计并实现了网络与应用相融冲突检测原型系统，随之给出了该系统的相关实验和结果分析。

本文主要完成了如下工作：

1、分析了网络与应用系统之间的冲突检测方法的国内外研究现状，指出 RBAC 模型具有描述能力强、易于理解的特点，但是目前还没有采用 RBAC 模型来描述应用系统授权需求的先例；现有的网络设备规则冲突检测方法在网络规模上只考虑单个或简单串联防火墙内部的规则冲突，较少考虑复杂网络拓扑中多个防火墙的规则冲突，同时规则冲突检测时也未考虑应用系统的需求。 2、根据研究现状，本文明确了网络与应用相融冲突检测的相关概念，随后，给出了网络与应用相融冲突检测的概念及检测模型。这些模型为网络与应用相融冲突检测技术所需要完成的各项功能奠定了基础，也为后续的关键算法提供了必要的依据。

3、研究了企业网络环境下网络与应用相融冲突检测的关键算法。包括：基于着色Petri 网的授权相融冲突检测算法和基于 OBDD 的通信相融冲突检测算法。

4、基于上述模型和关键算法，设计并实现了网络与应用相融冲突检测原型系统，包括预处理模块、授权相融冲突检测模块、通信相融冲突检测模块以及文件读取和结果显示模块。

............

参考文献（略）