（管理科学与工程专业论文）基于访问控制体系的港航政务系统的应用研究.pdf

中文摘要 摘要 随着网络技术的迅速发展，越来越多的企事业单位依托i n t e m e t 构建了自己的 电子政务系统，如何在互联网环境下保护企业核心数据的安全已经成为人们关注 的热点。访问控制作为国际化标准组织定义的五项标准安全服务之一，是防止非 授权访问的一种重要的网络安全手段。从二十世纪七十年代以来，先后出现过多 种访问控制策略，其中基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 是目前主流的访问控制模型。然而，r b a c 作为一种抽象模型需要识别业务过程 的规则，目前针对港航单位业务特点，架设在i n t e m e t 上的、包含多个不同机构、 不同用户种类的企业级电子政务系统并不多见，而且已有的系统中访问控制模块 同业务过程高度耦合，不利于系统的扩展和维护。 本文从实际出发，依托云南省交通厅航务管理局“航务海事综合应用系统” 下属的船舶登记系统项目。首先介绍了访问控制三种主流技术：自主访问控制、 强制访问控制、基于角色的访问控制，着重研究了基于角色访问控制的几种主要 模型。在对比分析各个模型特点、优势与不足的基础上，分析了r b a c 模型的特 点和运用在大型电子政务系统中的优势。其次基于r b a c 理论，根据港航事业单 位用户种类众多、关系复杂、业务过程的繁杂的特点，对r b a c 模型进行扩展， 引入地域和节点角色的概念，使之成为适合船舶登记系统的访问控制理论。最后 对该模型的具体设计和实现进行阐述，详细给出了模型的数据库设计，以及用户 管理模块实现的关键代码，重点说明了如何实现访问控制模块的低耦合。 本文实现的访问控制扩展模型已经在实践中得到了成功的应用。通过本文的 研究，能为该领域信息化的应用研究提供有力的帮助。 关键词：基于角色；访问控制；r b a c ；电子政务 英文摘要 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fn e t w o r kt e c h n o l o g y ，m o r ea n dm o r ee n t e r p r i s e s h a v eb u i l di t so w ne g o v e r n m e n ts y s t e m so n l i n e ，a n dh o wt ok e e pt h ec o r ed a t a s e c u r i t y h a sb e c o m et h eh o ts p o to fp e o p l e a c c e s sc o n t r o lw h i c hi sd e f i n e db y i n t e r n a t i o n a ls t a n d a r d so r g a n i z a t i o n sa so n eo ft h ef i v es t a n d a r ds e c u r i t ys e r v i c e si sa l l i m p o r t a n tn e t w o r ks e c u r i t ym e t h o dt op r e v e n tu n a u t h o r i z e da c c e s s s i n c et h e19 7 0 s ， t h e r eh a sb e e nav a r i e t yo fa c c e s sc o n t r o lp o l i c i e s a n dn o wr b a c ( r o l e - b a s e da c c e s s c o n t r 0 1 ) i st h em a i n s t r e a mo fa l lt h em o d e l h o w e v e r , a st h er b a cm o d e li sa na b s t r a c t m o d e lw h i c hn e e dt oi d e n t i f yt h eb u s i n e s sp r o c e s sr u l e s ，t h ee g o v e r n m e n ts y s t e mt h a t s u i tf o rt h ep o r t - n a v i g a t i o n sb u s i n e s sc h a r a c t e r i s t i c ，s e tu po nt h ei n t e r n e t ，c o n t a i na n u m b e ro fd i f f e r e n ta g e n c i e sa n dd i f f e r e n tt y p e so fa r ev e r yr a r e a l s ot h ee x i s t i n g a c c e s sc o n t r o lm o d u l ec o u p l e dw i t l lb u s i n e s sp r o c e s sm o d u l ei nah i g hd e g r e ew h i c h c a u s eh a r m f u ls y s t e me x p a n s i o na n dm a i n t e n a n c e t os o l v et h ea b o v ep r o b l e m ，b a s e do nt h es h i pr e g i s t r a t i o ns y s t e mw h i c hi s s u b p r o j e c to ft h ei n t e g r a t e ds e r v i c e sp l a t f o r mo fy u n n a ns h i p p i n ga d m i n i s t r a t i o n t h i sa r t i c l ef i r s ti n t r o d u c et h r e et y p e so fa c c e s sc o n t r o l ：d i s c r e t i o n a r ya c c e s sc o n t r o l ， m a n d a t o r ya c c e s sc o n t r o l ，r o l e - b a s e da c c e s sc o n t r o l ，a n df o c u so ns e v e r a lk e y m o d e l so fr b a c c o m p a r et h ea d v a n t a g e sa n dd i s a d v a n t a g e so fe a c hm o d e l ，t h i sa r t i c l e a n a l y s i st h ec h a r a c t e r i s t i c so ft h e r b a cm o d e la n di t sa d v a n t a g ew h e nu s e di n l a r g e s c a l ee - g o v e r n m e n ts y s t e m t h e n , a c c o r d i n gt or b a ct h e o r ya n dt h ec o m p l e x u s e rr e l a t i o n s h i p s ，d i v e r s i f i e db u s i n e s sp r o c e s s e so fp o r t - n a v i g a t i o ne n t e r p r i s e s ，t h i s a r t i c l ee x t e n dt h er b a cm o d e l t h r o u g ht h ei n t r o d u c t i o no ft h ec o n c e p to ft h er o l eo f g e o g r a p h i c a la n d n o d er o l e ，t h i se x t e n dm o d e lb e c o m em o r es u i t a b l ef o rs h i pr e g i s t r a t i o n s y s t e mf i n a l l yt h ea r t i c l ei n t r o d u c et h ed e s i g na n di m p l e m e n t a t i o no f t h ee x t e n dm o d e l ， e s p e c i a l l ye x p l a i nt h ed a t a b a s ed e s i g na n dt h eu s e rm a n a g e m e n tm o d u l ei nd e t a i la n d e m p h a s i st h ew a y t oi m p l e m e n ta c c e s sc o n t r o lm o d u l eo ft h el o wc o u p l i n g t h er e a l i z a t i o no ft h i se x t e n dm o d e lh a sb e e na p p l i e di np r a c t i c es u c c e s s f u l l y ，t h i s a r t i c l eh o p et op r o v i d ee f f e c t i v eh e l pi nt h ef i e l dt h et h r o u g ht h i sr e s e a r c h k e yw o r d s ：r o l e b a s e d ；a c c e s sc o n t r o l ；r b a c ；e - g o v e r n m e n t 大连海事大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：本论文是在导师的指导下，独立进行研究工作所取得的成果， 撰写成硕士学位论文= = 基王边间控剑签丕鲍鲞航邀釜丕红数廑眉婴塞：。除论 文中已经注明引用的内容外，对论文的研究做出重要贡献的个人和集体，均已在 文中以明确方式标明。本论文中不包含任何未加明确注明的其他个人或集体已经 公开发表或未公开发表的成果。本声明的法律责任由本人承担。 学位论文作者签名：j 哗 学位论文版权使用授权书 本学位论文作者及指导教师完全了解大连海事大学有关保留、使用研究生学 位论文的规定，即：大连海事大学有权保留并向国家有关部门或机构送交学位论 文的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将本 学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印或扫 描等复制手段保存和汇编学位论文。同意将本学位论文收录到中国优秀博硕士 学位论文全文数据库( 中国学术期刊( 光盘版) 电子杂志社) 、中国学位论 文全文数据库( 中国科学技术信息研究所) 等数据库中，并以电子出版物形式 出版发行和提供信息服务。保密的论文在解密后遵守此规定。 本学位论文属于：保密口在年解密后适用本授权书。 不保密口( 请在以上方框内打“ ) 论文作者签名；弹锣名导师签名：陬垫 日期：扫，口年么月留日 基于访问控制体系的港航政务系统的应用研究 第1 章绪论 1 1 本文背景和研究意义 近年来，随着全球网络化热潮的兴起，以网络技术和i n t e m e t 为基础建立起来 的各种信息系统，深刻地改变着社会的行为和面貌。越来越多的政府机构改变传 统的政府机构的行政模式，将自身的活动延伸到i n t e m e t 上，建立自己的电子政务 信息系统，期望通过网络信息化实现更多的数据和服务的共享。但由于政府信息 数据的高保密性、高安全性要求，以及网络本身的安全隐患，基于w e b 的电子政 务系统的安全问题也变得日益突出，如何保证信息资源具有足够的安全性已成为 人们首要考虑的问题。 国际标准化组织i s o 在其制定的有关开放系统互连参考模型的安全体系结构 ( i s 0 7 4 9 8 2 ) 中定义了五项标准安全服务【l l ：身份认证服务、访问控制服务、数据 保密服务、数据完整性服务和不可否认服务。 在这五项服务中，身份认证机制识别用户的身份，是其他服务的前提条件。 访问控制( a c c e s sc o n t r 0 1 ) 限制一个合法的用户( 已经通过认证机制验证的) 的行为 和操作，也就是对合法的用户的信息访问进行授权控制【2 】。访问控制作为五项标准 安全服务之一，可以限制对关键资源的访问，是保护数据安全的一项重要途径， 美国国防部的可信计算机系统评估标准把访问控制作为评价系统安全的主要指 标。 目前，访问控制策略被广泛运用于各种信息系统的建设中，但这些访问控制 策略都存在设计和实现方面的诸多问题，特别是很多系统中访问控制与业务系统 紧密结合，一方的修改导致另一方不得不作出巨大改变才能适应。因此，在大型 复杂系统的应用层面的访问控制依然是一个具有研究价值的和研究潜力的课题。 本文以云南省交通厅航务管理局“航务海事综合应用系统 下属的船舶登记 系统子项目为背景，船舶登记业务是航务管理局按照国家相关法律法规，对所辖 水域的船舶进行所有权、抵押权等各项船舶基本信息进行相关登记的业务，是航 务管理局代表国家进行水上运输管理的基础业务。 第1 章绪论 船舶登记系统是一个面对多个用户，拥有多个业务功能的大型综合港航信息 系统，在船舶登记系统中，将会存在不同部门，不同地域和不同层次的用户，系 统需要对用户进行验证，对用户的操作进行授权，还要根据业务动态提供用户访 问和操作系统中数据的权限，如何设计满足港航领域业务需要而且易于实现访问 控制模块与业务系统低耦合的系统成为船舶登记系统访问控制模型的研究重点。 基于上述业务现状与云南省航务海事业务发展需求，本文选择以r b a c 模型为基 础，对r b a c 模型进行扩展，提出地域约束和节点角色的概念，并根据模型进行 了系统设计和实现。由于港航领域近年来信息化步伐加快，从发展趋势来看，本 项目的研究与实施，能有效带动港航领域综合业务向纵深发展，并在推动该领域 信息化方面起着重要作用。 1 2 国内外研究现状综述 自7 0 年代以来，访问控制技术便成为信息系统安全问题研究的热点。访问控 制( a c c e s sc o n t r 0 1 ) ，是通过某种途径控制不同用户对信息资源的访问权限，简单 地说就是关注“谁能做什么”的问题。通过访问控制，既可以限制对关键资源的 访问，也能够防止非法用户的侵入或者因合法用户的不慎操作而造成的破坏【3 】。 传统的访问控制方法包括了美国国防部颁布的橘皮书( o r a n g eb o o k ) 中制订的 两种方法：自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 和强制访问控制 ( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 4 - 7 】。这二种策略有共同点也有区别，由于其优 势，自提出以来，应用在诸多领域，能较好的满足系统安全的需要。但是随着计 算机技术的发展，这两种策略在互联网环境中，在系统用户数量和数据资源数量 不断增大的情况下，越发显得力不从心难以满足企业的发展需求。d a c 太弱，m a c 太强，二者都无法提供一种具有强扩展力的访问控制模型，于是基于角色的访问 控制r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 模型的概念就被提了出来。 在国外，关于r b a c 研究最早的学术论文是美国国家标准与技术研究所 ( n i s t ) 的研究人员d a v i df e r r a i o l o 和r i c h a r dk u h n 在1 9 9 4 年发表的( ( r o l e b a s e d a c c e s sc o n t r 0 1 ) ) 【8 】。1 9 9 6 年美国学者r a v is s a n d h u 教授在学术论文( ( r o l e b a s e d a c c e s sc o n t r 0 1 ) ) 一文中，正式提出了r b a c 9 6 模型家族，r b a c 9 6 模型是由四个 2 基于访问控制体系的港航政务系统的应用研究 嵌套模型组成的一个模型族，极大的提高了系统灵活性和可用性，对r b a c 进一 步的深入研究奠定了基础1 9 】。1 9 9 7 年s a n d h u 等人又更进一步提出a r b a c 9 7 ( a d m i n i s t r a t i v er o l e b a s e da c c e s sc o n t r 0 1 ) 模型。a r b a c 9 7 模型良好的继承了 r b a c 9 6 模型的优点，提出了利用r b a c 模型本身来进行r b a c 模型的管理的思 想，将r b a c 9 6 模型的角色分为常规角色和管理角色，管理角色和常规角色一样 具有等级结构和权限继承【1 0 - 1 1 1 。 在我国，对r b a c 的研究起步较晚。最早的相关学术论文是1 9 9 4 年华中理工 大学马建平的硕士学位论文一种无干扰的访问控制模型i x 2 】。 目前国外r b a c 研究机构主要是以下二个：美国国家标准与技术研究所 ( n i s t ) 和r a v i s a n d h u 教授主持的g e o r g em a n s i o nu n i v e r s i t yl i s t 实验室。其中 前者n i s t 主要是进行相关模型的标准化工作，而l i s t 实验室侧重于对r b a c 扩 展模型的创建、形式化描述，在w e b 中的应用以及评价分析等。在国内对r b a c 的研究主要集中在中国科学院软件研究所和华中科技大学计算机科学与工程系， 他们主要是对r b a c 模型扩展和应用方面进行深入的研究【1 2 耶】。 在应用方面，关于r b a c 的研究已应用于p m i 、c o r b a 等体系架构中，而 且在电子商务、各类信息系统中也得到广泛应用。国外大型软件公司的产品，包 括s y b a s e l1 4 、o r a c l e 8 0 等数据库，w i n d o w s 2 0 0 0 、w i n d o w s x p 等操作系统对r b a c 模型都提供了或大或小的支持及扩展1 6 以8 1 。在应用开发方面，国内还没有比较大 规模的应用产品，而且仍然还不够完善，与国际著名厂商和研究机构相比，国内 对r b a c 的研究和应用相对滞后。 1 3 本文研究内容 在规模日益扩大，发展迅速的现代电子政务系统中，r b a c 模型以其高效率、 低成本的优势，成为企业级的大型信息系统的首选。虽然对r b a c 模型的研究与 扩展已经取得较多的成果，但是仍有许多亟待研究解决的问题。特别是在应用实 现上，如何将r b a c 理论模型应用于业务系统中，在实现对系统信息资源的高效 安全访问的基础上，让整个系统具有更强的可扩展性，灵活性，仍然需要大量研 究。 第1 章绪论 基于以上原因，为了可以在基于i n t e m e t 的企业级大型电子政务系统中较为完 善地对用户访问控制进行管理，本文以云南省航务海事局船舶登记系统为背景， 对当前的访问控制模型和相关技术进行了一系列的研究工作，在分析对比的基础 上，以r b a c 模型作为实现船舶登记系统访问控制体系的理论基础，针对业务系 统的特点，在r b a c 模型原有的基础上进行了扩展，使之成为适合云南省航务管理 局船舶登记系统的访问控制理论。该系统设计实现后，应用于实际的项目，提高 了政府办公的效率，收到了良好效果。 本文共分五章，主要研究内容如下： 第一章绪论。介绍论文的研究背景、研究意义、访问控制技术的国内外发展 现状以及本文的主要研究内容。 第二章访问控制理论基础。先简单介绍了传统的访问控制理论( d a c 和 m a c ) ，重点介绍了r b a c 模型的相关概念以及r b a c 9 6 模型族，最后简介了 a r b a c 9 7 模型，在此基础上对比了访问控制各个模型之间的优缺点，引出了以 r b a c 模型为基础的原因。 第三章基于航务海事系统动态业务流程的访问控制模型的构建。在第二章的 基础上，进一步分析船舶登记系统业务流程以及组织结构的特点。通过对船舶登 记系统特点的分析，在r b a c 模型的基础上，先提出了适用于船舶登记系统动态 业务流程的访问控制模型m d b p r b a c 模型，解释了模型的核心概念并对模型进 行了形式化定义。 第四章m d b p r b a c 在船舶登记系统中的设计与实现。在第三章提出的动态 业务流程的访问控制模型m d b p r b a c 模型的基础上对系统访问控制进行了总体 设计。从设计目标、流程设计等方面进行了详细的阐述，接着从数据库设计、详 细功能模块及关键代码几个方面展示了m d b p r b a c 访问控制体系在系统中的应 用情况。 第五章总结与展望。总结了本文的主要研究成果，提出了论文中仍然存在的 不足，展望了下一步深入研究的方向。 4 基于访问控制体系的港航政务系统的应用研究 第2 章访问控制理论基础 2 1 访问控制概述 在信息安全中，访问控制技术一直是重要的组成部分和关键技术之一。拥有 一个好的访问控制机制对于一个系统来说是不可缺少和至关重要的。访问控制技 术不但要让合法用户可以正常访问系统的信息资源，同时也要防止未授权的用户 非法访问受保护的资源。为了达到这个目的，访问控制机制作用于用户和被访问 的资源，作用的方式分为直接或间接方式，它相当于一个受保护资源和用户间的 中间层，使用户对资源的访问在一定的策略下，被严格管理，这样可以有效的保 护企业信息资源受到控制，并保证合法的被用户使用f 1 9 】。 因此有的文献定义2 0 】“访问控制( a c c e s sc o n t r 0 1 ) 就是通过某种途径显式地准 许或限制用户访问能力及范围的一种方式”。而m i c r o s o f tt e c h n e t 中给出的访问控 制的定义是【2 1 】“批准用户、组和计算机访问网络上的对象的过程”。这些概念定 义表述方式上虽有所不同，表达的意思却相似，既访问控制是一种对资源的保护 措施，使计算机资源在合法的范围内被使用。信息系统通过实施访问控制，可以 限制对关键信息资源的访问，防止非法用户的侵入或者因合法用户的不慎操作而 造成的破坏。 下面先引入访问控制涉及到三个基本概念：主体，客体和访问授权。 ( 1 ) 主体( s u b j e c t ) ：是一个主动的实体，发出访问操作要求的主动方，它包 括用户、用户组、终端、主体或者一个应用的进程圈。 ( 2 ) 客体( o b j e c t ) ：是指被保护的资源，它可以是一个字节、字段、记录、程 序、文件、或者是处理器、存储器等设备【2 2 】。 ( 3 ) 访问授权：指主体是否对客体拥有访问能力。对每一对主体和客体来说 访问授权是给定的。例如，某用户对某个文件有读、写、执行的权利。用户的访 问授权是由系统的安全策略决定的勿。 在一个信息系统中，当主体提出对客体的访问的要求时，能不能实现访问操 作取决于系统的授权，拥有授权，客体允许主体的访问，没有授权客体拒绝主体 第2 章访问控制理论基础 的访问要求。同时主体和客体之间的关系是相对的2 3 么】，并不是绝对的，一成不 变的，并不是一旦成为主体，就固定为主体不能改变，而是主体与客体可以位置 互换。比如当某个主体被另一个主体所访问时，该主体就成为客体。而且一个主 体在运行中也可能创建别的主体，如管理员创建一个新用户、用户发起一个主动 进程等。 二十世纪七十年代以来，先后有如下三种访问控制策略被依次提出：自主访 问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 、强制访问控制( m a n d a t o r ya c c e s s c o n t r o l ，m a c ) 和基于角色的访问控制( r o l e b a s e d a c c e s sc o n t r o l ，r b a c ) 2 5 】。这三 种访问控制策略在现有的访问控制中研究较深且应用较广，接下来我们将依次分 析这三种访问控制技术并指出其优缺点，重点分析本论文所依托的理论基础一基 于角色的访问控制技术( r b a c ) 。 2 2 传统访问控制技术 2 2 1 自主性访问控制( d a c ) 自主性访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) ，又称为任意访问控制， 是多用户环境下最常用的一种访问控制技术，最早出现在二十世纪七十年代初期 的分时系统中。自主性访问控制( d a c ) 基于这样的思想2 6 之7 】：客体的主人( 即资源 所有者) 全权管理有关该客体的访问授权，有权泄露、修改该客体的有关信息。因 此，有些学者把d a c 称为“基于主人的访问控制”。而其命名中自主的含义也来 源于客体的主人可以自主转让权限。在现实世界中，常用的操作系统( w i n d o w s ) 中的文件系统就是采用d a c 访问控制类型的典型观点【2 8 1 。 d a c 实现的理论基础是访问控制矩阵( a c c e s sc o n t r o lm a t r i x ) ，它将系统中主 体和客体，以及主客体间的访问权限用一个矩阵形式来表达，矩阵的每行表示一 个主体，每列表示一个受保护的客体【2 9 】。矩阵中的元素表示主体可以对客体的访 问模式( 读操作权限，写操作权限) ，访问控制矩阵如表2 1 所示： 6 基于访问控制体系的港航政务系统的应用研究 表2 1 访问控制矩阵 t a b 2 1a c c e s sc o n t r o lm a t r i x o b j e c t1o b j e c t2o b j e c t3 访问控制矩阵( a c c e s sc o n t r o lm a t r i x ) 一般都是稀疏矩阵，这是因为对于一个 用户来说，并不一定拥有全部或者大部分的客体的访问权限。因此如果系统保存 这个稀疏矩阵，势必增加了系统的负担，为了节约空间和提高效率，系统采取不 保存这个稀疏矩阵的策略，而是在具体实现时基于矩阵的行或者列来实现访问控 制策略。目前最常用的是基于列( 客体) 的访问控制列表( a c c e s sc o n t r o ll i 瓯 a c l ) 。a c l 表示访问矩阵的原理是将一个主体明细表附加在客体上，表中的每一 项包括主体的身份以及对该客体的访问权【3 0 】。 自主访问控制模型( d a c ) 采用访问控制矩阵( a c c e s sc o n t r o lm a t r i x ) 的策略， 表述直观、存取自由、易于实现，但由于用户可以自主随意的传递权限，给访问 权的管理带来了巨大的困难。特别是应用到网络规模较大、业务过程相对复杂的 信息系统中时，就暴露出了以下不足： 一方面，访问权的授予是可以传递的，这是d a c 最大的特点，也是最大的缺 点。因为一旦访问权被传递出去将难以控制，造成没有c 访问权限的a 用户可以 通过b 用户得到访问权限。这种委托授权无法撤销，难以保障系统安全，这样会 带来严重的安全问题。其次从企业的角度来看，信息资源是整个企业所有的，而 不是某一个个体用户独有的，可随意分配给他人的，企业希望实现统一的全局的 企业资源管理分配，不允许用户自主处理，滥用职权 3 1 - 3 2 】。 7 第2 章访问控制理论基础 另一方面，d a c 不保护受保护的客体产生的副本，即一个用户不能访问某一 客体，但能够访问它的拷贝，这样无形中增加了管理难度，最严重的是不能对系 统中信息流进行保护，信息容易泄漏【3 3 】。 此外，采用访问控制列表( a c c e s sc o n t r o ll i s t ，a c l ) 的d a c 很难适应环境的 变化。比如组织结构的变化包括：用户离职，升职，换岗等人事变动，管理员都 必须对每一项资源重新设置用户访问的诸多细节。在组织结构简单，用户人数较 少的情况下，系统的开销可能可以承受，但是当信息资源数目庞大，组织机构结 构复杂且变动频繁时，特别是互联网环境下，用户人数众多，很容易导致系统效 率低下并且容易出错。 因此d a c 虽然简单容易实现，却难以实现高质量的系统安全保障，且效率低， 难以适应组织结构等多个方面的变化，属于比较弱的安全策略，不能满足大型应 用系统特别是网络环境下多用户的应用系统的需求。 2 2 2 强韦0 性访问控韦0 ( m a c ) 自主访问控制模型( d a c ) 由于对系统安全保障低，不能满足对安全性要求 很高的系统，因此为了满足这种高安全性的访问控制需求，美国政府和军方开发 定义了比d a c 更为严格的访问控制策略，既强制性访问控制( m a n d a t o r ya c c e s s c o n t r o l ，m a c ) 。 强制性访问控制最早出现在1 9 6 5 年由a t & t ( 美国电报电话公司) 和m i t ( 麻 省理工学院) 联合开发的安全操作系统m u l t i c s 系统中【3 4 】，命名强制的原因是m a c 是“强加”给访问主体的，即系统强制主体服从访问控制政策。m a c 的基本思想 是【3 5 】：预先定义主体的可信任级别和客体的安全级别，当用户提出访问控制要求 时，系统通过对二者的安全级别进行比较以确认访问是否合法。强制性访问控制 如图2 1 所示： 8 基于访问控制体系的港航政务系统的应用研究 用户 资源 图2 1 强制访问控制策略 f i g 2 1s t r a t e g yo fm a c 绝密 机密 在m a c 中，虽然主体和客体被赋予安全级别，但只有管理员能够修改客体的 安全级别和用户的可信任级别，用户无法对已经定义好的客体和自身的安全级别 进行修改，显然，在m a c 中，用户无权将任何资源的访问权“赠送 给别的用户， 也就没有d a c 的访问权的传递了。 m a c 一般都要求主体对客体的访问满足b l p ( b e l la n dl a p a d u l a ) 安全模型的 两个原则【3 6 。9 】： ( 1 ) 读操作安全性原则：仅当主体的安全级别不低于客体的安全级别且主体 的类别集合包含客体的类别集合时，才允许该主体读该客体。 ( 2 ) 写操作安全性原则：仅当主体的安全级别不高于客体级别且客体的类别 集合包含主体的类别集合时，才允许该主体对该客体进行写操作。 这两个原则保证了信息的单向流动，可用“无上读、无下写”来简单表述该模 型的特点。既不允许低信任级别的用户读高敏感度的信息，也不允许高敏感度的 信息写入低敏感度区域，即信息只能向高安全属性的方向流动。 9 第2 章访问控制理论基础 同自主访问控制( d a c ) 相比，m a c 不能传递权限。此外，强制访问控制通过 不允许进程生成共享文件，从而防止了进程通过共享文件将信息从合法用户传递 到非授权用户，进一步加强了系统的安全性，因此m a c 是比d a c 功能更强的访 问控制机制。 + m a c 虽弥补了d a c 过弱的特点，但正因为这种严格的访问控制机制，也使 m a c 存在以下几个方面的不足： ( 1 ) m a c 对权限的控制严格，因而缺乏弹性，影响系统的灵活性，安全等级 的划分无法适应现实要求，造成管理不便，导致m a c 策略的应用领域比较窄，一 般只用于军方等具有明显等级观念且安全性要求非常高的行业或领域。 ( 2 ) 在m a c 系统中实现单向信息流的前提是系统中不存在逆向潜信道。逆向 潜信道的存在会导致信息违反规则的流动，而现代计算机系统中这种潜信道是难 以去除的，如大量的共享存储器以及为提升硬件性能而采用的各种c a c h e 等，这 给系统增加了安全性漏洞1 4 0 4 2 1 。 因此m a c 虽然能严格保障高质量的系统安全保障，但过于严格的对信息的流 程控制，导致m a c 同企业快速发展的需求脱节，难以适应组织结构等多个方面的 变化，不能满足多用户大型应用系统特别是网络应用系统的需求。 2 3 基于角色的访问控制技术( r b a c ) 直接将主体和客体绑定在一起是传统的访问控制技术( d a c 和m a c ) 的共同 特点，同样这个也是传统访问控制的缺点，这种缺点在用户较少，组织业务简单 时并不能体现出来，但在当主体和客体达到较高的数量级之后，仍然直接对每对 主体及客体指定访问许可，这时候授权工作量及系统的开销非常巨大。 随着信息技术的快速发展，特别是网络的运用普及，人们对访问控制服务的 质量也提出了更高的要求，上述的两种传统的访问控制方法己很难满足现代企业 飞速发展对访问控制的新需求。二十世纪九十年代以来，随着对在线多用户、多 系统的研究不断深入，逐渐形成角色的概念，在此基础上逐步产生了以角色为中 心的访问控制模型( r o l e b a s ea c c e s sc o n t r o l ，r b a c ) 1 4 3 1 。r b a c 相较于传统的访 问控制模型( d a c 和m a c ) ，拥有极大的优势，在实践应用中，能极大的满足在 l o 基于访问控制体系的港航政务系统的应用研究 商业和政府部门领域系统的安全需求，因此，它已成为近年来发展的热点领域， 受到了人们广泛的关注。 2 3 1r b a c 基本概念 同传统访问控制技术将访问权限直接分配给用户不同，r b a c 的核心思想是： 引入“角色( r o l e ) 的概念，从逻辑上将用户( u s e r ) 和权限( p e r m i s s i o n ) 分开】。 权限不再与用户直接相联系，而是通过作为用户和权限中间媒介的角色来相联， 用户通过角色间接地获取访问系统资源的权限。r b a c 访问控制的安全策略可以简 单地表述为图2 2 ： 图2 2r b a c 访问控制的安全策略 f i g 2 2s t r a t e g yo fr b a c 图2 2 的解释如下：一个用户在实际中可以拥有多个角色，一个角色可以被多 个用户扮演。用户和角色间建立了一种多对多关系，同理，一个角色可以拥有多 个权限，一个权限可以被多个角色拥有，角色和权限也建立了一种多对多的关系， 还可以根据应用需要将分配给用户的某些角色撤消，也可以将分配给角色的某些 权限撤消。通过角色的引入，用户拥有的权限其实是指一个用户拥有的角色的所 有权限的并集m j 。 角色的设定一般是根据组织中不同的责任和岗位需要而定，角色一旦确定， 只要为角色分配相应的权限，并根据用户的职权赋予相应的角色，用户即可获得 权限。角色作为用户和权限的中间代理层，解耦了权限和用户的关系，用户可以 被赋予多个角色，获得不同的权限，系统可以对角色进行管理维护，这样r b a c 能以一种更加近似于企业组织机构的方式，对应用系统进行访问控制管理【4 6 4 9 1 。 此外在角色概念引入后，角色权限之间的变化比角色用户关系之间的变化相对 要慢得多，在组织结构变动，出现人员流动，升迁时，仅需要去简单改变角色用 第2 章访问控制理论基础 户关系之间，而无需改变角色权限之间的关系，这样减小了授权管理的复杂性， 降低管理开销。 r b a c 中所涉及到的几个主要的基本概念【5 0 垃】： ( 1 ) 用户( u s e r ) ：请求访问客体资源的主体集合，一般情况下是指一个被授权 使用计算机的人，也可以是计算设备、进程等，我们用u 表示全体用户的集合。 ( 2 ) 角色( r o l e ) ：是指一个组织或任务中的工作或位置，代表了一种资格、权 利和责任。我们用r 表示全体角色的集合。角色是一种语义综合体，可以是一种 抽象概念，也可以对应于具体应用领域内的职位和权利。 ( 3 ) 权限( p e r m i s s i o n ) ：也称为许可，权限一般是一种抽象的概念，它表示对 计算机系统中的数据或者用数据表示的其它资源进行访问的许可，例如：对数据 库系统中表的查询、插入和删除操作。它允许用户在系统内执行权限许可范围内 的操作。在一些模型中将权限进行细化为二元组( 操作，对象) ，其中对象是访问 控制系统中的真正客体，操作是作用在该对象上的一种访问方式比如：删除，查 询等。 ( 4 ) 用户角色分配( u s e r - t o r o l ea s s i g n m e n t ，u a ) ：指根据用户在组织机构中 的职责和权力被赋予对应各个角色的成员，即为用户分配一定的角色，建立用户 与角色间的多对多关系。 ( 5 ) 角色权限分配( p e r m i s s i o n - t o r o l ea s s i g n m e n t ，p a ) ：为角色分配一组访问 权限，即建立角色与访问权限的多对多关系。这样通过角色把用户与访问权限联 系起来，用户具有其所属诸角色的访问权限的总和。 ( 6 ) 会话( s e s s i o n s ) ：在r b a c 系统中，每个用户进入系统得到控制权时，就 激活了一个会话。相对而言，用户是一个静态的概念，会话则是一个动态的概念， 是用户与被激活角色集合之间的映射集合，表示用户进行角色激活的过程。每个 会话都是动态产生的，从属于一个用户。对于该用户而言，在一个会话内可能激 活的角色集合是该用户全部角色的一个子集，因此用户可以在每次会话中激活不 同的角色来获得不同的访问权限。一个用户可以建立多个会话，但一个会话只允 许一个用户参与。 1 2 基于访问控制体系的港航政务系统的应用研究 ( 7 ) 限制( c o n s t r a i n i s ) ：是在整个模型上的一系列约束条件，用来控制指派操 作，指定职责分离( s e p a r a t i o no f d u t y ，s d ) 以及避免冲突等。这个概念非常抽象， r b a c 模型中并没有给出限制的类型和表述方式。 2 3 2r b a c 基本原则 ( 1 ) 角色继承原则【5 3 】 在i 疆a c 模型中，为反映现实企业中，不同岗位的入拥有的权利不同，却有 部分权利重叠的现状，同客观实际相结合，引入了“角色继承 的概念，继承的 意思是指：角色在拥有自己的权限和属性的同时还可以继承其它己存在角色的权 限和属性。譬如：经理应具有职员的访问权限，同时还应具有普通职员不具备的 权限，如制定和修改计划，考核每个人的业绩等。这种继承一般是高级管理人员 继承低级用户的权限，角色继承关系能够很自然的反映组织内部成员之间的职权、 责任关系。避免权限的重复设置，提高系统的应用效率。角色继承关系可以用图 2 3 来表示： 图2 3 角色继承关系 f i g 2 3t h er o l eo fi n h e r i t a n c e 在角色继承关系图中，不同层级的角色拥有的权限不同，越往上走，权限越 大，也往下走，权限越小，上层角色除继承了下层角色的权限还拥有自身特有的 权限。同时，角色的继承关系还具有传递性，如上图所示，角色c 继承了角色d 和角色a 继承了角色c ，这样角色a 就通过角色c 得到了角色d 的权限，角色a 实际上拥有角色c 和角色d 两个角色的权限。 第2 章访问控制理论基础 ( 2 ) 最小特权原则 最小特权原则要求用户被分配的权限应是完成其职责所需的最少权限，否则 会导致权力的滥用【5 3 】。实现最小权限原则，需要依据企业组织内的规章制度、岗 位权责来设计拥有不同权限的角色，使其权限不超过它执行操作所需要的最小权 限。 ( 3 ) 职责分离原则 在现实生活中，作为公司制度或是安全原则之一，为尽可能防止或减少欺诈， 避免安全上的漏洞，某些职务不能由同一个人担任，比如公司中的会计和出纳， 这就需要指定具有不同利益的多个个体去完成整个业务中的不同部分，从而更好 的防止同一员工在履行多项职责时可能发生的舞弊，这就是职责分离的概念。职 责分离长久以来在工业，商业，政府中广泛运用。将这一点抽象到r b a c 模型中， 就得到了r b a c 的职责分离原则，r b a c 模型中的职责分离分为静态职责分离和 动态职责分离两种形式，通过角色互斥机制实现【5 4 5 5 1 。 静态职责分离【1 5 】：是指限制定义在用户指派( 角色授权) 阶段，与会话及角色 激活无关。如果定义两个角色为静态的角色互斥，那么任何一个用户都不能同时 被指派到这两个角色【s 6 。如申请人和审批人是一对互斥角色，按静态职责分离的 概念，对应用户a ，不能同时拥有申请和审批这二个角色。静态职责分离实现简 单，语义清晰，便于管理，但是不够灵活，有些实际情况无法处理。 动态职责分离【1 5 】【5 6 】：是指限制定义在角色激活阶段，作用域在会话内部。如 果定义两个角色为动态的角色互斥，那么一个用户可以同时被指派这两个角色， 但是在任何一个会话中都不能同时激活它们。如申请人和审批人是一对互斥角色， 按动态职责分离的概念，对应用户a ，可以同时拥有申请和审批这二个角色。但在 用户a 的一个会话中，这个角色不能同时被激活。由此可见动态职责分离更灵活， 基本上能处理各种实际情况，但实现略复杂。 ( 4 ) 数据抽象原则 在创建新的角色时，要指定角色的容量，规定在特定的时间段内，部分角色 只能由一定人数的用户占用。如总经理角色只能由一人担当【5 3 1 。 1 4 基于访问控制体系的港航政务系统的应用研究 2 3 3r b a c 9 6 模型 在目前所出现的几种r b a c 模型中，