（测试计量技术及仪器专业论文）基于pic16f877的公交车智能投币机的设计.pdf

河北科技大学学位论文原创性声明 一本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取 得的成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。除文中 已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品或成 果。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：屋彳缛 指导教师签 j 7 ，9 年j 1 编沙l q 年sa 醌b 河北科技大学学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国 家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权河北科技 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存和汇编本学位论文。 口保密，在一年解密后适用本授权书。 本学位论文属于， 耐不保密。 ( 请在以上方框内打“4 ) 学位论文作者签名：尾才琴 匈p 年r 月唁日 指导教师签名： ? j l o 刨，月帚 摘要 摘要 访问控制是网络安全防范和保护的主要策略，确保网络资源不被非法使用和访 问是其的主要任务。传统的访问控制己经不能满足日益增长的安全性需求。基于角 色的访问控制a c ) 增加了。甭色这一概念，通过将用户映射为在一个组织中的某种 角色，角色拥有一定的访问权限授权，就可以根据用户所扮演的角色进行访问授权 与控制，从而有效地整合了传统访问控制技术的优势，同时又克服了传统访问控制 技术的不足，企业保护策略的执行过程将会更加灵活，并为管理员提供了一个更好 的实现安全策略的环境。 本文首先分析比较了传统的访问控制d a c 、m a c 和基于角色的访问控制r b a c 然后详细分析研究了i 出a c 菇模型。在对r b a c 9 6 模型分析的基础上，本文对 r b a c 9 6 模型进行了扩展。针对随着系统的不断扩展，角色和用户的数目还会不断 增长，使得“用户一角色”授权管理的越来越复杂和工作量越来越大，使得管理员 工作的难度增大，基于角色的访问控制的效率降低的情况，本改进模型中引入了用 户组概念。同时针对r b a c 模型没有审计功能，对于授权用户的操作没有作任何的 限制，其可以在其权限范围内进行任意操作，而对于授权用户的操作没有任何监控 的情况，将审计引入到本系统。本文给出了加入分组和审计功能的扩展r b a c 模型 的形式化定义，并就分组和审计两部分进行了详细的介绍。 最后将扩展的r b a c 模型应用到高校办公自动化系统中，给出了详细的访问控 制系统的访问控制、用户管理、角色管理、权限管理各个模块的设计，最后介绍了 系统的实现和运行情况。 关键词访问控制；组；审计；角色；基于角色的访问控制 a b s t r a c t 。 a b s t r a c t ， ， ， r n l ea c c e s sc o n t r o li st h em a i ns t r a t e g yo ft h en e t w o r ks e c u r i t yg u a r da n dp r o t e c t i o n , w h i c hg u a r a n t e e st h a tt h ei l l e g a lu s ec a nn o tv i s i tt h en e t w o r kr e s o u r c e s i ti so n eo ft h e m o s ti m p o r t a n tc o r es t r a t e g i e so fg u a r a n t e e i n gn e t w o r ks e c u r i t y n l et r a d i t i o n a la c c e s s c o n t r o l 船nn o tm e e tt h ei n c r e a s i n g l ys e c u r en e e d 功er o l e - b a s e da c c e s sc o n t r o l ( r b a c ) t e c h n i q u ei n t r o d u c e st h er o l ec o n c e p t o w i n gt o r o l e ，r b a cm a k e su s e ri m a g ea c e r t a i n r o l ea n de x e c u t e sa c c e s sc o n t r o lb a s e do n au s e r sr o l ei na no r g a n i z a t i o n ，w h i c h e f f e c t i v e l yo v e r c o m e st h es h o r t a g e so ft r a d i t i o n a la c c e s sc o n t r o lt e c h n i q u e i tc a r lm a k e t h ep r o c e s so fe x e c u t i n gs p e c i f i cp o l i c yo fp r o t e c t i o nm o r ef l e x i b l e ，w h i c hp r o v i d e s 轧 b e t t e re n v i r o n m e n tt oi m p l e m e n tp o l i c yo fs e c u r i t yf o r t h ea d m i n i s t r a t o r 1 f 1 1 ed i s s e r t a t i o na n a l y s e st h r e ep o p u l a rt e c h n o l o g yo ft h ea c c e s sc o n t r o l ，e s p e c i a lt h e r o l eb a s e da c c e s sc o n t r o lm o d e l ( r b a cm o d e l ) t h e ni ta n a l y s e st h ec o n c e p t sa n de l i t e s a b o u tt h er b a c 9 6m o d e li nd e t a i l b a s e do nt h ea n a ! y s i s ，t h i sd i s s e r t a t i o np r o p o s e da n e x t e n d e dr b a cm o d e l n o wt h eq u a n t i t yo fu s e r sa n dr o l e si nm a n a g e m e n ts y s t e mi s m o r ea n dm o r ea st h es c a l eo ft h es y s t e mi sb i g g e r 1 1 1 eu s e r - r o l ea s s i g n m e n ti sh a r d e r , s o t h ea d m i n i s t r a t o rw i uh a v em o r ew o r kt od oa n da c c e s sc o n t r o lw i l lb ei n e f f i c i e n t f o rt h i s c o n d i t i o n ，t h i sd i s s e r t a t i o na d d st h ed e f i n i t i o no f g r o u p ”t or b a cm o d e l r b a cm o d e l h a sn o ta i a d i t i n gf u n c t i o n ：t h eo p e r a t i o no fa u t h o r i z e du s e r sw i l lb en o tr e s t r i c t e d n e a u t h o r i z e du s e rc a nd oa n y t h i n gw i t h i nh i sa u t h o r i t y f o rt h i sc o n d i t i o n ，t h i sd i s s e r t a t i o n a d d sa u d i t i n gf u n c t i o nt or b a cm o d e l t l l i sd i s s e r t a t i o ni n t r o d u c e st h ef o r m a ld e f i n i t i o n o ft h ee x t e n d e dr b a cm o d e la n dd i s c u s s e dt h eg r o u pa n da u d i t i n gi nd e t a i l a tt h ee n do ft h ed i s s e r t a t i o n , i n t r o d u c e st h ea p p l i c a t i o no ft h ee x t e n d e dr b a c m o d e li nc o l l e g ea u t o m o t a t i o no f f i c es y s t e m n l ed e s i g no ft h ea c c e s sc o n t r o lm o d e l ，u s e r m a n a g e m e n tm o d e l ，r o l em a n a g e m e n tm o d e l ，p r i v i l e g em a n a g e m e n tm o d e li na c c e s s c o n t r o ls y s t e mh a v eb e e nd i s c u s s e di nd e t a i l a tl a s tt h ed i s s e r t a t i o nt h i sd i s s e r t a t i o n i n t r o d u c e st h ei m p l e m e n t a t i o na n d r u n n i n go ft h ea c c e s sc o n t r o ls y s t e m k e yw o r d s a c c e s sc o n t r o l ；g r o u p ；a u d i t i n g ；r o l e ；r o l e - b a s e da c c e s sc o n t r o l i l 目录 目录 摘要_ t ：i a b s t r a c t “譬：j i i 第1 章绪论1 1 1 研究背景及意义l 1 2 国内外研究现状2 1 3 课题的研究内容4 1 4 论文的组织结构4 第2 章访问控制技术- ：6 2 1 访问控制技术概述6 2 2 访问控制的实现6 2 2 1访问控制的实现机制6 2 2 2 访问控制矩阵o 7 j 2 2 3 访问控制表：7 2 2 4 访问控制能力列表”8 2 2 5 访问控制安全标签列表8 2 3 访问控制模型- 8 2 3 1 自主访问控制模型( d a c ) j 。：一一8 2 3 2 强制访问控制模型( m a c ) 9 2 3 3 基于角色的访问控制模型( r b a c ) 9 2 3 4r b a c 与d a c ，m a c 的比较l o 2 4 基于角色的访问控制模型r b a c 9 6 1 1 2 4 1 基本模型r b a c o 1 2 2 4 2 角色分层模型r b a c i 1 3 2 4 3 角色约束模型r b a c 2 1 4 2 4 4 统一模型r b a c 3 “16 2 5a r b a c 9 7 模型l6 2 6a i 己b a c 0 2 模型一19 2 7i m a c 模型的特点1 9 2 8 本章小结2 l 第3 章改进的基于角色的访问控制模型2 2 3 1基本思想2 3 i i i 弋 河北科技大学硕士学位论文 3 2 形式化定义2 3 3 3用户组”2 4 3 3 1 角色与用户组和用户的关系”2 4 3 3 2 用户与用户组的关系2 4 3 3 3管理“2 5 3 4 审计2 6 3 5 扩展模型的特点：2 7 3 6 本章小结2 8 第4 章扩展模型在办公自动化系统中的设计2 9 4 1 设计原则2 9 4 2 总体设计2 9 4 3 功能模块设计3 0 4 3 1 访问控制模块3 0 4 3 2 用户管理模块3 l 4 3 3角色管理3 4 4 3 4 权限管理3 8 4 3 5 审计管理：3 9 4 4 数据库设计4 1 4 4 1 存储过程设计4 3 第5 章扩展模型在办公自动化系统中的实现一4 5 5 1 系统概述4 5 5 1 1 功能及模块4 5 5 1 2 开发环境4 6 5 2 应用技术介绍4 6 5 2 1 b s 模式4 6 5 2 2 a s e n e t 4 6 5 2 3 a d o n e t ”4 5 5 3 系统实现4 8 5 3 1 页面基类4 8 5 3 2 身份认证4 9 5 3 3系统运行5 2 5 4 本章小结。5 3 结论：5 4 参考文献i d o o q i oa 5 6 i v 目录 攻读硕士学位期间所发表的论文“5 9 致 射6 0 个人简历6 1 v 气 第1 章绪论 1 1 研究背景及意义 第l 章绪论 迅猛发展的互联网提供了更加完善的信息资源共享方法，企业在信息资源共享 的同时也要阻止未经授权用户对企业敏感信息的访问。访问控制是网络安全标准 ( i s 0 7 4 9 8 2 ) 中定义的五个层次型安全服务【l 】中的一个组成部分。该网络安全标准是由 国际标准化组织i s o 所通过的。 访问控制是信息系统安全的重要功能组件，其主要目的是对抗涉及计算机及通 信系统未授权的操作的威胁。这些威胁可以被细分为未授权使用、泄露、修改、破 坏和d o s 拒绝服务等 2 1 。 。 访问控制技术是7 0 年代兴起的，访问控制能够确保信息系统的用户( 内部和外 部) 对系统资源访问、存取都受安全策略的控制，尤其是对系统中敏感信息的访问 存取的控制。系统中的哪些用户能够访问系统的那些资源以及用户如何使用这些资 源都是由访问控制来控制的。访问控制的手段一共包括以下几种，分别为用户识别 代码、口令、登录控制、资源授权、授权审查、日志、审计。 自主访问控s t j ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 和强制访问控伟1 ( m a n d a t o r y a c c e s sc o n t r 0 1 m a c ) t 3 睫比较传统的访问控制策略。d a c 提供的数据访问控制手段 方便灵活，但是其存在权限扩散问题。比如用户a 本来对文件f 不具有访问权限， 但是用户b 可将其对文件f 的访问权限传递给用户a ，从而使用户a 可访问文件f 。 这样非法用户可以绕过它提供的安全保护而获得访问权限，因此其具有的安全性较 低。m a c 为所有主体及其所控制的客体标明敏感标签，主体根据其与客体标签的高 低进行访问控制，因此非法用户很难绕过它所提供的安全保护，安全性相对来说较 强，但m a c 实施非常复杂，在大型应用背景下很难使用。 基于角色的访问控制( r o l e b a s e d a c c e s sc o n t r o l ，r b a c ) t 4 1 弓l a 角色这一概念， 角色作为中介将权限和用户关联起来，当为用户分配相应的角色，从而用户可以获 得角色所对应的权限，逻辑分离了用户和访问权限。当用户岗位发生变动时，只要 变换用户所对应的角色，即管理员将用户对应的角色转移到另一个角色，进而就能 实现权限的协调转换，这样就可以降低了权限管理和系统维护的复杂性。在组织机 构的职能发生改变时，系统管理员只需要对角色进行重新授权或撤消某些权限，系 统就能够重新适应需要。r b a c 的这些特点使其具有无可比拟的灵活性和易操作性， 因此它比较适合应用在大型管理信息系统的授权管理，同时也是目前访问控制技术 研究的热点。 7 人们越来越广泛的认同了基于角色的权限控制模型，其被广泛应用在各种信息 1 河北科技大学硕士学位论文 应用系统中，这样权限管理将会更加简单直观、更易于维护，更适合网络系统和大 型管理系统的使用。 1 2国内外研究现状 随着信息系统的不断庞大和日益复杂化、多元化，经典的d a c 和m a c 不能够 满足日益增长的安全需求，因此从2 0 世纪8 0 年代开始，先后有人提出了 b e l l - l o p a d u l a 模型、h r u 模型、t a k e g r a n t 模型、b i b a 模型等许多的访问控制模型， 但是都不能从根本上解决问题【5 】。后来，研究者将角色( r o l e ) 作为一个管理权限的 实体单独抽象出来，并通过为用户分配角色从而获得某些权限，进一步发展成为 r b a c 模型。r b a c ( r o l e b a s e d a c c e s sc o n t r 0 1 ) 是访问控制的良好实现模式，近年 来逐渐成为信息安全领域访问控制方面的研究热点和重点。 19 9 2 年由d a v i df e r r a i o l o 和r i c kk u t m 提出的模型，称为f e r r a i o l o k u h n 9 2 t 6 】模 型是r b a c 第一个模型。其第一次引入了角色的概念并给出模型的基本语义，并且 在该r b a c 模型中实现了最小权限原则( 1 e a s tp r i v i l e g e ) 和职责分离原则( s e p a r a t i o n o f f u t y ) ，并且给出了一种集中式管理的r b a c 方案。1 9 9 6 年，美国乔治梅森大学的 r s a n d h u1 9 9 6 年提出了著名的r b a c 9 6 模型i _ 7 1 ，其具体阐述在i e e ec o m p u t e r 期刊 上发表的经典文献“r o l e b a s e da c c e s sc o n t r o lm o d e l s 中，该模型完整地描述了 r b a c 基本框架，按照需要将传统的r b a c 模型拆分成四种嵌套的模型并给出形式 化定义，较大地提高了系统灵活性和可用性。+ 1 9 9 7 年，他们更进一步提出一种分布 式r b a c 管理模型a r b a c 9 7 t 引，该模型是用角色管理角色，既增加管理角色，用“角 色范围 和“先决条件 的途径来授权管理角色来用于管理自身的模型。现今基于 角色的访问控制研究都以这两个模型作为基础的，随后的a r b a c 9 9 和a r b a c 0 2 更进一步完善了r b a c 的管理功能。 a r b a c 9 9 首次引入了静态和非静态的用户和权限的概念，并且先决条件被引入 到a r b a c 的回收机制中，a r b a c 的表达能力得到了加强，提高了对基于角色的访 问控制系统的管理能力。a r b a c 9 7 和a r b a c 9 9 都给r b a c 系统的管理问题提供了 可行的解决途径，能够很好地把安全策略的集中控制和分散管理结合起来，实现了 在r b a c 模型基础上的分布式管理【1 0 1 。 a r b a c 0 2 模型是一种与a r b a c 9 7 模型相比更先进的管理模型。其在a r b a c 9 7 模型的主要特征之上，针对其中一些缺点做出了改进i 引入了新的概念“组织结构 【l l 】 o 在r b a c 模型的发展过程中，在r b a c 9 6 模型家族的基础上国内外研究者提出 了许多扩展模型。a i k a h t a n i 和s a n d h u 提出了基于规则的r b a c 模型( r u l e b a s e d r b a c ) n 2 1 ，该模型在r b a c 9 6 模型的基础上引入了规则( m l e ) ，隐式为用户分配角色， 进而能够自动为用户分配角色。这种非人工且规范的授权机制可以在减轻安全管理 2 第1 章绪论 工作量的同时，较大限度地确保系统的安全。b e r t i n o 等人提出了t e m p o r a l r b a c 模 型f 1 3 】，该模型在r b a c 9 6 模型的基础上引入了时间( t i m e ) 参数，在角色分配时增加时 间限制，对权限之间的临时依赖关系提供支持。j o s h i ，b e r t i n o 等人进一步扩充了 t e m p o r a l r b a c 模型，提出了g e n e r a l i z e dt e m p o r a lr b a c 模型u4 1 ，进一步在角色的 层次、职责分离等方面增加时间的限制。 2 0 0 1 年，f e r r a i o l o 和k u h n 等人提出了一致的r b a c 模型建议，即n i s t r b a c t b j ， 试图统一各个不同模型中的术语，并用伪码定义了所有r 3 a c 的基本操作。在r b a c 研究团体对r b a c 模型进行了进一步的提炼后，美国国家信息技术标准委员会 ( a n s i i n c i t s ) 于2 0 0 4 年2 月将n i s tr b a c 定为美国国家标准( a n s ii n c i t s 3 5 9 2 0 0 4 ) 1 1 6 。2 0 0 6 年1 月，n i s t 发布了r b a c 实现标准草案【l 。1 ，草案具体定义了 一个r b a c 系统实现的各个方面，当然还有很多地方仍然需要完善。但是可以预见， 该实现标准将会成为r b a c 系统实现的工业规范化文档。 美国n i s t 和g e o r g em a n s i o nu n i v l i s t 实验室( p r o f r a v i s a n d h u ) 是目前国外 r b a c 主要研究机构。n i s t 主要工作是进行r b a c 及其相关模型的标准化，而创建、 形式化描述、评价分析r b a c ，r b d m 及其扩展模型以及其在w e b 中的应用等【l 引则 是l i s t 的研究重点。 i_ 华中理工大学马建平于1 9 9 4 年撰写的硕士学位论文一种无干扰的访问控制模 型t 1 9 中对r b a c 模型进行了扩展，这是国内最早的相关学术论文。目前中国科学 院软件研究所、华中科技大学、华东理工大学、四川大学等高校或科研单位对r b a c 模型展开了广泛的研究，他们的研究主要体现在对r b a c 模型扩展和应用等方面。 d t e 模型域思想为借鉴，来自中国科学院软件研究所的甘泉、贺也平等人又提 出了新的解决方法，该方法通过引入主体和客体的属性( 区域) 参数以及虚拟权限使得 角色的规模大大减少了，角色管理的复杂性【2 0 】也降低了。 参照分组和分片的概念，来自重庆大学的段辉映、杨丹等人提出了r b a c 9 6 改 进模型，该模型包含权限生成子模型，并给出了形式化描述1 2 。 通过分析角色与权限的关系，来自四川大学的李健、陈杰对权限进行了分类， 提出了两种角色继承机制，使得r b a c 模型角色数量减少了将近一半，从而使权限 管理更具灵活性、可扩展性、安全性和实用性1 2 2 。 从r b a c 模型演化而来的一种树状细粒度r b a c 模型( t r e e l i k ea n dl i t t l e g r a n u l a r i t y o r i e n t e dr b a c ，t g r b a c ) ，是由江南大学的李志华提出的，其还给出该 模型的实现模型，该实现模型是基于j 2 e e 架构的，对在企业中普遍存在的垂直领导 具有的角色的约束问题进行了较深刻的研究1 2 3 j 。 来自西南交通大学的李志英、楼新远等人也提出了改进模型，该改进模型是针 对传统r b a c 模型的角色管理过于复杂、权限粒度较粗等缺陷提出的，模型中详细 3 河北科技大学硕士学位论文 描述了该改进模型的特点，增加了限制元素和特有权限等新概念。在该模型中功能 模块及其相关操作被映射为权限数据，从而完全解耦了权限代码和业务逻辑代码 阱】 o、 一种改进p m i 角色模型由来自华中科技大学的徐兰芳和王飞提出的，在该改进 模型中引入了用户组规范属性证书和用户组分配属性证书，还增加授权策略库、本 地角色规范属性证书库以及访问控制策略库。其中授权策略库是针对s o a ( 或a a ) 的，而后两项是针对用户权限验证者的【2 5 】 迄今，r b a c 模型已在p m i ，c o r b a ，c s c w 等体系架构中广泛应用，并在电 子商务、大型信息系统中也得到广泛应用。众多访问控制策略与模型中，基于角色 的访问控制是目前应用最广、效果最好的。 】 1 3 课题的研究内容 一 相对传统的访问控制d a c 、m a c ，r b a c 的确在信息系统访问控制的安全性和 实用性上都具有优势，但是仍存在着一些缺陷，其中较大一个缺点就是对授权用户 的操作没有任何限制，这也是存在于大多数信息系统中的隐患。比如系统管理员拥 有管理用户信息和权限分配的特权，其登录系统就可以无限制地在其权限范围内做 任何事情。同样一般用户只要被授予一定的权限后，在其所在权限范围内就可以进 行任意操作，而没有任何控制监督。可以看出，这个问题的根本原因是系统没有一 种有效的机制对用户的操作实行监控和限制。本文针对以上情况，引入审计功能【2 2 7 】实现对用户( 包括系统管理员) 的监控。同时针对用户量较大的时候，管理员的 工作量和难度增大的情况，增加了分组【2 8 2 9 1 概念，并设置管理模式为集中分布式管 理方式，提出了扩展r b a c 模型，并把该扩展模型应用到一个高校办公自动化系统 中，介绍该扩展模型在高校办公自动化系统中的详细的设计和实现。 1 4 论文的组织结构 本文共分六章。 第1 章绪论。主要介绍了课题研究的背景和意义，回顾了r b a c 模型的发展 过程及国内外研究现状，并给出了论文的研究内容和组织结构。 第2 章访问控制技术。主要介绍了访问控制的基本概念及实现机制，详细介 绍了d a c 、m a c 和r b a c 的特点及比较，对r b a c 9 6 模型、a r b a c 9 7 模型及 a r b a c 0 2 模型作了重点介绍。 第3 章改进的基于角色的访问控制模型。首先介绍传统r b a c 模型应用到高 校办公自动化系统中存在的不足，随后提出对r b a c 模型进行改进，该模型在 r b a c 9 6 模型的基础上加入了分组概念和审计功能。形式化定义了扩展模型，并就 分组和审计两个方面分别进行了详细的阐述。 4 一。兰卫坌；生二垒一。；一 - _ 目l _ _ _ _ l - l _ 目_ - _ - 目_ l _ _ 。5 4 2 。5 4 。一一一 第4 章扩展模型在办公自动化系统中的设计。将第3 章中提到的r b a c 模型 应用到高校办公自动化系统，描述了访问控制系统的设计，并对各个模块的设计作 了详细的介绍。 第5 章扩展模型在办公自动化系统中的实现。首先介绍了办公自动化系统的 总体结构及系统开发的环境和关键技术，然后介绍了系统的实现，具体介绍了页面 基类和访问控制的实现。最后给出了系统的运行情况。 结论。总结全文和作出展望。 5 河北科技大学硕士学位论文 第2 章访问控制技术 2 1 访问控制技术概述 访问控制技术是一个确保信息系统安全不可缺少的措施，其基本目标是防止非 法用户进入系统以及合法用户对系统资源的非授权使用。为了达到这个目标，用户 身份认证是实现访问控制的前提，控制未授权用户进入系统，各种访问控制策略都 是以此为基础的，从而实现对合法用户在系统中的行为的控制和规范，进而保证系 统的信息资源受控地、合法地使用。 一般在一个完整的访问控制系统中包括以下三个要素： 1 ) 主体( s u b j e e t ) ：执行访问、存取操作的主动方。通常指用户或是任何主动发 出访问操作请求的智能体，包括程序、进程、服务等。 2 ) 客体( o b j e c t ) ：包括所有受访问控制保护的资源。针对不同的应用背景，其有 相当广泛的定义，比如在办公自动化系统中可以是一个打印文件，在数据库里可以 是一个表中的记录，而在w e b 应用系统中上可以是一个页面。i 3 ) 授权策略：一套确定主体对客体是否拥有访问权限的规则。其是访问控制的 根本。在一定的授权策略下，得到对该资源授权的用户就是该资源合法用户，否则 就是不合法用户。 在访问控制模型中既定义了主体、客体，也定义了主体对客体的访问是如何表 示和操作的，授权策略的表达能力和灵活性受访问控制模型影响。目前被大家广泛 接受的主流访问控制模型主要有以下三种：自主访问控f l ；i j ( d a c ) 、强制访问控制 ( m a c ) 和基于角色的访问控s u ( r b a c ) 。其中d a c 和m a c 作为比较传统的访问控制 方式，已得到普遍的应用，而基于角色的访问控制则是在最近十多年才逐渐发展起 来的策略。下面将对这三种访问控制模型及其优缺点进行逐一分析，并且着重分析 在本论文所使用的基于角色的访问控制模型。 2 2 访问控制的实现 2 2 1 访问控制的实现机制 访问控制模型的建立和实现都是抽象和复杂的行为，实现对访问的控制不仅要 确保授权用户使用的权限与其所具有的权限对应，阻止未授权用户的未授权行为； 还要防止敏感信息的交叉感染。为了方便讨论访问控制的实现机制，就对文件的访 问控制为例具体说明访问控制的实现。一般用户访问信息资源( 文件或是数据库) ，可 能的行为为读、写和管理。为方便起见，用r e a d 或是r 代表读操作，w r i t e 或是w 代 表写操作，o w n 或是。代表管理操作。由于管理员也许会对控制规则本身或是文件 6 第2 章访问控制技术 的属性等做修改，即对在后面提到的访问控制表进行修改，所以将管理操作从读写 中分离出来。 访问控制的实现方式一般有访问控制矩阵( a c c e s sc o n t r o lm a t r i x ，a c m ) ，访问 控制列表( a c c e s sc o n t r o ll i s t s ，a c l s ) ，访问能力列表( a c c e s sc a p a b i l i t i e sl i s t s ) 及访 问控制安全标签列表( a c c e s sc o n t r o ls e c u r i t yl a b e l sl i s t s ，a c s l l s ) - 等四种方式m3 1 1 ， 下文将详细介绍这四种方式。 2 2 2 访问控制矩阵 访问控制矩阵是用矩阵形式表示访问控制规则和授权用户的权限的方法。也就 是说，对每一个主体而言，其所具有对哪些客体的哪些访问权限；而对每一个客体 而言，可以对他实施访问又有哪些主体。控制矩阵描述的就是这种关联关系。如表 2 1 所示。 、 表2 1 谰司控制矩阵 1 由2 ia c c e s sc o n t r o l m a t r i x 文件l文件2文件3文件4 。 域a册 r - - 一- o 域b 玎矽0。1 - - 域c r - -r w -r o 域d r - 孙阳 - - o 域eo阱啪 访问控制矩阵的实现简单，但是要查找用户是否具有某些权限有一定的难度。 尤其是如果用户和文件系统要管理的文件很多，那么访问控制矩阵就会以几何级数 的体积增长，会占用大量的空余空间，要查找相应信息将更加困难。 2 2 3 访问控制表 j 对象1 ：( 域a ，肭) ，( 域b ，r w - ) ，( 域d ，r - o ) ，( 域e ，- 、o ) ； 对象2 ：( 域a ，一o ) ，( 域c ，w - ) ，( 域d ，r - o ) ； 每个对象在列表中列出了访问该对象的全部域及如何访问，如果域为空则不显 示。文件、文件组或目录都可以作为对象。这样的表称为访问控制表a c l 。 访问控制表机制最适合于用户类别较少的情况，并且要求这些用户中的绝大多 数是稳定的情况。如果访问控制表过大或需要经常变更，维护访问控制表将会成为 很大的问题。 7 河北科技大学硕士学位论文 2 2 4 访问控制能力列表 和访问控制表相反，访问控制能力列表是按用户或域来划分权限的，也就是说 访问控制能力列表显示的是某用户或域对所有的对象有怎样的操作权限。如下： 域a - ( 对象1 ，r w o ) ，( 对象2 ，r w - ) ，( 对象3 ，r - o ) ，( 对象5 ，- - 0 ) 域b ：( 对象l ，r - ) ，( 对象3 ，r w - ) ，( 对象4 ，一o ) ； 主体可以访问的客体及其具有的权限可以很容易从访问控制能力列表中看出。 但是在访问控制能力列表中权限是分散存储的，这增加了对某对象的访问权限撤消 的难度，系统很难找出该对象的全部权限并收回。一种可行的方法是增加个中间 对象，让权限指向该中间对象，而不再是指向对象本身。 2 2 5 访问控制安全标签列表 。 安全标签是用来限制主体或客体上的一组安全属性信息或是附属在主体或客体 上的一组安全属性信息。安全标签的含义比能力更为广泛和严格，一个严格的安全 等级集合也因此建立了。访问控制标签列表是限定用户对客体目标访问的安全属性 集合。访问控制标签列表如表2 2 所示，其中有两个安全级别，第一个是用户对应的 安全级别，第二个文件系统对应的安全级别。- 如图用户u s e b 的安全级别为中级，那 么当u s e r b 请求访问文件f i l e l 时，由于文件f i l e l 的安全级别是高级，该访问就被拒 绝；而当u s e r a 请求访问文件f i l e 2 时，由于f i l e 2 的安全级别是低级的，该访问被 许可。 表2 2 访问控制标签列表 t a b 2 - 2a c c 铭sc o n t m ls e c u r i t yl a b e l s 墙t g 用户安全级别文件安全级别 u s e r a 低 f j 】e 1 向 u s e i b中f ：i 】e 2低 由于安全标签能够区分敏感信息，所以其就可以对用户和客体资源执行强制安 全策略，因此，在强制访问控制中经常会用到这种实现机制。 2 3 访问控制模型 2 3 1 自主访问控制模型( d a c ) 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 3 2 1 是以主体为核心的权限控 制，它允许用户自主地为其他用户授予他自己所拥有的对资源的访问权限或者收回 其授予其他用户的权限。d a c 可以为用户提供灵活和简单的数据访问控制方式，但 其具有较低的安全性。访问控制矩阵和访问控制列表是在实现该模型一般被采用的， 访问控制矩阵或列表存放着不同主体的访问控制信息，通过其达到对主体访问权限 r 第2 章访问控制技术 的限制。其优势在于表述直理、容易理解，并且能够轻松查出对某一特定资源具有 访问权限的所有用户，易于实施有效的授权管理，因而目前被广泛地应用在商用系 统中。不足之处是用户个人同时具有授予或取消访问权限的权利，这使得管理员很 难确定对某些资源拥有访问权限的究竟是哪些用户，很难实现对全局的统一的访问 控制，安全方面考虑欠妥。 2 3 2 强制访问控制模型( m a c ) 强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 3 3 1 是系统强制主体服从访问控制 策略的一种访问方式。其主要思想是：每个主体和客体都有已确定的安全属性，主 体是否能够对客体执行特定的操作由两者安全属性之间的关系决定。系统决定用户 是否可以访问该喀钵的依据是用户和访问客体的安全属性，如果用户的安全属性比 客体的安全属性高则允许，否则拒绝。主体不具有改变主体或客体被赋予的安全属 性，只有系统管理员具有确定主体的访问权限的权力，这是与d a c 最大的区别之处。 另外，强制访问控制不允许任何进程生成共享文件，进而防止了进程通过共享文件 将信息从一个合法用户传给别的用户。对安全级别要求较高的计算机一般采用这种 策略，军队和国家重要机构常采用这种策略，比如将数据分为绝密、机密、秘密和 一般四类。对用户的访问权限也作类似定义，限制只有拥有相应权限的用户才可以 访问与其安全级别相同或低的数据，从而避免了自主访问控制方法中存在的访问传 递问题。 。 在m a c 中信息只能向安全属性的方向流动，因为m a c 对客体施加了更加严格 的访问控制，既不允许低信任级别的用户读取高敏感度的信息，也不允许将高敏感 度的信息写入敏感度较低的区域，从而保证了信息流动的单向性。m a c 的这种信息 的单向流动可以有效的防止信息扩散，因而其可以防止木马程序偷窃受保护的信息， 比如特洛伊木马。同时m a c 也能有效地预防由于用户的意外而造成机密信息泄露发 生的可能性。其不足之处主要在于其实现起来工作量较大，管理不便，不够灵活， 而且其将过多地强调了保密性，而对系统连续工作能力、授权的可管理性方面考虑 不够，造成系统维护和管理方面的复杂性。