（通信与信息系统专业论文）基于属性标记的访问控制模型研究.pdf

摘要 访问控制技术是保障系统资源安全的关键技术之一。本文深入研究了自主访问 控制、强制访问控制和基于角色访问控制三种主流的访问控制技术，并分析了它 们的优缺点，从而为设计基于属性标记的访问控制模型奠定了基础。另外，本文 介绍了专门为访问控制设计的策略描述语言- x a c m l 语言，并分析了其数据流 模型、上下文模型和策略语言模型。 本文在基于以上研究的基础上，重点设计了基于属性标记的访问控制模型， 详细阐述了访问控制模型的设计思想，以满足高安全性，满足最小特权原则，并 且管理配置方便、灵活，能够根据系统的实际需求扩展属性标记的内容及相应的 访问控制策略。此外，本文还详细介绍了基于属性标记的访问控制模型的形式化 描述、模型结构和处理流程，属性标记的结构、授权、撤销和存储，策略合成及 包括策略执行模块，策略判决模块等主要模块的功能。最后，在一个应用场景中， 通过编写访问控制策略和策略判决模块，初步实现了基于属性标记的访问控制模 型，并对访问控制模型的安全性能进行了测试，分析了测试结果。 ， 关键字：访问控制属性标记x a c m l 信息安全 a b s t r a c t a b s t r a c t a c c e s sc o n t r o lt e c h n o l o g yi so n eo ft h ek e ys e c u r i 哆t e c h n o l o g i e st op r o t e c tt h e s y s t e mr e s o u r c e s i nt h i st h e s i s ，d i s c r e t i o n a r ya c c e s sc o n t r o l ，m a n d a t o r ya c c e s sc o n t r o l a n dr o l eb a s e da c c e s sc o n t r o lh a v eb e e nr e s e a r c h e di nd e p t h , a n dt h ea n a l y s i so ft h e i r a d v a n t a g e sa n dd i s a d v a n t a g e sh a v eb e e nd o n e ，t ol a yt h ef o u n d a t i o nf o rt h ed e s i g no f t h ea t t r i b u t em a r kb a s e da c c e s sc o n t r 0 1 i na d d i t i o n ，x a c m ll a n g u a g eb a s e do nx m l i ss t u d i e di nd e p t h ，i n c l u d i n ga na n a l y s i so fi t sd a t af l o wm o d e l ，c o n t e x tm o d e la n d p o l i c yl a n g u a g em o d e l i nt h i st h e s i s ，t h ea t t r i b u t em a r kb a s e da c c e s sc o n t r o lm o d e l ，w h o s ed e s i g ni d e ai s t om e e th i g hs e c u r i t y , t h ep r i n c i p l eo fl e a s tp r i v i l e g e ，f l e x i b l ec o n f i g u r a t i o n ，c o n v e n i e n t m a n a g e m e n ta n de a s ye x p a n d i n go fa t t r i b u t em a r k s c o n t e n t sa n dt h e i rc o r r e s p o n d i n g a c c e s sc o n t r o lp o l i c y , i sd e s i g n e db a s e do nt h er e s e a r c ha b o v e o t h e r w i s e ，t h ef o r m a l d e s c r i p t i o na n dt h em o d e l ss t r u c t u r e ，t h ep r o c e s sf l o wa r ee l a b o r a t e d ，i n c l u d i n gt h e s t r u c t u r e ，a u t h o r i z a t i o n , w i t h d r a w a la n ds t o r a g eo ft h ea t t r i b u t em a r k t h i st h e s i sa l s o d e t a i l st h es t r a t e g ys y n t h e s i sa n dt h ef u n c t i o n so fo t h e rm a i nm o d e l si n c l u d i n gp e pa n d p d pa n ds oo n f i n a l l y , i na na p p l i c a t i o ns c e n a r i o ，t h ea t t r i b u t em a r kb a s e da c c e s s c o n t r o lm o d e li sa c h i e v e di n i t i a l l yt h r o u g hc o d i n ga c c e s sc o n t r o ls t r a t e g i e sa n dp d p m o d e l t h es e c u r i t yo fa c c e s sc o n t r o lm o d e li st e s t e d ，a n dt h er e s u l t sa r ea n a l y z e d k e yw o r d s ：a c c e s sc o n t r o l a t t r i b u t em a r kx a c m l i n f o r m a t i o ns e c u r i t y 第一章绪论 第一章绪论 j 1 研究背景和意义 进入2 l 世纪，互联网应用已经全面渗透到日常生活、金融、电信、电子商务、 电子政务和军事等社会的各个领域。但是互联网本身具有的开放性和动态性正在 越来越多地引发各种安全问题，而且速度越来越快，范围越来越大。全世界由于 计算机系统的安全脆弱性而导致的经济损失正在逐年上升，平均每2 0 秒就发生一 次入侵计算机互联网的事件。互联网的防火墙，超过三分之一被攻破。因此，包 括m i c r o s o f t ，s u n 和i b m 在内的众多系统软件厂商开始重视并逐步建立起安全和 可信的信息系统。 一分防护胜过十分检测，访问控制是常用的重要安全防护技术，是信息安全 保障体制的核心内容。它是实现数据保密性和完整性机制的主要手段。信息系统 中的访问包括打开文件、读取数据、更改数据、运行程序、发起连接等。访问控 制是为了限制主体( 或称为发起者，是一个主动地实体，如用户、进程、服务等) ， 对访问客体( 需要保护的资源，如文件、设备、端口等) 的访问权限，从而使计 算机系统在合法范围内使用。访问控制机制决定用户及代表用户在系统中活动的 程序能干什么，及做到什么程度。很多重要的计算机安全产品都是以访问控制为 核心，如防火墙、虚拟专用网和安全数据库。毫无疑问，在操作系统安全机制中 访问控制也是核心。访问控制、身份认证和审计结合起来构成操作系统安全机制 的最基础部分。信息安全的风险( i n f o r m a t i o ns e c u r i t yr i s k s ) 可以被总结为c i a ： 信息机密性( 1 n f o r m a t i o nc o n f i d e n t i a l i t y ) 、信息完整性( i n f o r m a t i o ni n t e g r i t y ) 和 信息可用性( i n f o r m a t i o n a v a i l a b i l i t y ) 【l 】。访问控制作为计算机网络安全解决方案 中的一种，主要为信息机密性和信息完整性提供保障。 用户通过系统认证后登陆到系统中，访问系统的主体发送请求给访问控制的 引用监视器，引用监视器在参考授权数据库之后决定是否允许访问。授权系统管 理员通过安全管理工具进行管理。所有用户的操作都被审计记录下来，以便事后 追踪。认证的目的是确保用户身份的合法性和真实性，为访问控制做好铺垫；审 计以防止访问控制活动作为主要的授权情况，为访问控制进行事后追责；安全管 理为访问控制修改主体访问客体的授权情况，为访问控制服务；访问控制居于操 作系统安全机制的核心，直接阻挡非法和越权访问。 2 基于属性标记的访问控制模型研究 安全 管理员 用户 ( 主体) 安全管理 认证访问控制 图1 1 访问控制基本模型 图1 1 展示了访问控制的基本模型。授权管理系统是访问控制决策的依据。引 用监视器是访问控制的核心，源自引用控制理论。从访问策略上说，访问控制包 括自主访问控制、强制访问控制和基于角色访问控制等。 1 2 相关内容研究现状 自从计算机操作系统诞生以来，访问控制技术经历了几个发展阶段：从最初 的自主访问控制、强制访问控制，再到后来的基于角色的访问控制。现在人们还 在针对计算机网络中出现的各种安全问题研究着新的访问控制技术。 1 自主访问控制( d a c ，d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 在自主访问控制中，对某个客体具有所有权的主体能够对该客体的各种权限 自主的授予给其他主体，并在随后的任何时刻将这些授予权予以取消，用户可以 按照自己的意愿，有选择的与其他用户共享它的文件。自主访问控制中系统的状 态可以表示成一个矩阵的形式。 1 9 7 6 年，h a r r i s o n 、r u z z o 、u l l m a n 提出了h r u 模型 2 1 ，该模型用控制矩阵 来表示主客体之间的访问权限关系，主客体间权限的任何变化都会造成矩阵状态 的改变，利用分析程序对矩阵状态进行监控并根据安全规则进行检查就可以完成 对主体对客体授权的控制。 同年，j o n e s 等于提出t a k e c n a n t 3 1 ，它也是用存取矩阵来表示主客体的权限 关系，和h r u 模型不同的是，它用图结构来表示系统的授权关系，表达更加丰富。 由于访问控制矩阵多为稀疏矩阵，因此按照一般方式存储空间利用率极低，t r o n g w u 提出了钥锁对方法【4 1 ，为主、客体分别分配一个钥值和锁值，当主体访问客 体时，系统根据钥值和锁值进行运算来验证访问的权限。 2 强制访问控制( m a c ，m a n d a t o r y a c c e s sc o n t r 0 1 ) 强制访问控制是“强加 给访问主体的，即系统强制主体服从访问控制策略。 强制访问控制( m a c ) 的主要特征是对所有主体及其所控制的客体( 例如进程、 第一章绪论3 文件、设备) 实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是 等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统通过比较 主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能 改变他自己及任何其它客体的敏感标记，从而使系统可以防止特洛伊木马的攻击。 1 9 7 3 年b e l l 和l ap a d u l a 提出了第一个可证明的强制访问控制的数学模型 b e l l - l ap a d u l a 安全模型【5 】( 简称b l p 模型) ，用于实现军事安全策略。b l p 模 型分别为主体和客体分配安全级，安全级之间只有支配、相等和不可比三种关系。 b l p 模型的规则由简单安全性和安全性组成。 近年来，还有人对强制访问控制进行更深入的研究。例如，研究针对x m l 文 档细粒度的强制访问控制模型【6 j ，把强制访问控制与m y s q l 数据库相结合的研究 【7 】还有在实时系统中实现强制访问控制【8 】，等等。 3 基于角色的访问控制( 1 m a c ，r o l e b a s e d a c c e s sc o n t r 0 1 ) r b a c 的基本思想是对系统操作的各种权限不是直接授予具体的用户，而是 在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。 一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。这样做 的好处是，不必在每次创建用户时都进行分配权限的操作，只要分配用户相应的 角色即可，而且角色的权限变更比用户的权限变更要少得多，这样将简化用户的。 权限管理，减少系统的开销【9 】。 1 9 9 2 年，由d a v i df e r r a i o l o 和r i c kk u h n 提出了第一个r b a c 模型，它综合 了此前许多人的研究成果、重要概念( 操作系统用户组概念、d b m s 权限组概念一 等) 、原则( 职责分离原则等) 提出了一个单一的关系模型，称为f e r r a i o k u h n 9 2 模型【10 1 。 1 9 9 6 年，美国g e o r g em a s o n 大学的r s a n d h u 教授在进一步研究的基础上发 展了r b a c ，并发表了经典文献“r o l e b a s e da c c e s sc o n t r o l ，完整地描述了r b a c 的基础框架，这就是具有里程碑意义的r b a c 9 6 模型【l l 】。 1 9 9 7 年，s a n d h u 提出r b a c 9 7 模型1 1 2 1 ，即r b a c 管理模型，从而实现对 r b a c 9 6 模型中的各元素进行管理的策略。 2 0 0 1 年，美国国家技术局( n i s t ，n a t i o n a li n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ) 委托s a n d h u 、f e r r a i o l o 和k u h n ，发表了1 1 1 en i s tm o d e lf o rr o l eb a s e da c c e s s c o n t r o l ：t o w a r d a u n i f i e ds t a n d a r d ) ) ( n i s t r b a c 模型) ，被美国国家标准技术局定 为r b a c 标准【1 3 】【1 4 】。 随后对r b a c 模型的研究层出不穷，有研究分布式环境下基于角色访问控制 的实现f 1 5 】，有研究把角色进行分解为普通角色和管理角色【16 1 ，改进基于角色访问 控制的权限管理系统【1 7 1 ，把角色与工作流管理系统相结合进行研究【1 引，还有把基 于角色访问控制与具体的办公系统相结合进行研究和设计【l9 1 ，把角色访问控制和 4 基于属性标记的访问控制模型研究 强制访问控制相结合【2 们，等等。 4 x a c m l 策略描述语言 x a c m l ( 可扩展访问控制标记语言，e x t e n s i b l ea c c e s sc o n t r o lm a r k u p l a n g u a g e ) 是o a s i s 标准组织提出的一种基于x m l 语言的访问控制标记语言。 它可以作为一个通用的策略描述语言。以x m l 作为策略描述语言的基础，使 x a c m l 继承了其可以适应多种平台的优良特性。x a c m l 可以灵活定义规则和策 略，并将其组合成为策略集。它也可以对主体、资源、环境、操作等各个属性来 编写策略或策略集用于特定的判决，比较方便实现访问控制模型。另外它还继承 了x m l 可扩展性的特点，当系统需要一些规范中没有的功能时，用户可以根据自 己的需求扩展其功能。 x a c m l 语言规范的版本已经出现了1 0 、1 1 ，最新的版本是2 0 t 2 1 1 ，另外 x a c m l 3 0 版本还在制定中。x a c m l 的规范还在不断地发展和完善中1 2 2 1 。针对 x a c m l 的规范主要由x a c m l l 2 的j a v a 实现和x a c m l n e t 的c 撑实现。通过 这些开源项目的支持，可以方便的生成标准、一致的请求和响应格式，以及编写 相应的策略和策略集，通过统一的评估算法，对访问请求进行判定，得到一致的 判定结果。 x a c m l 对r b a c 提出了明确的支持，对于用户、角色、权限的定义也有明 确的语言规范。但用户、角色、权限描述的存放位置并没有明确规定，比如是存 放在同一文件中还是分开存储，或以l d a p 形式存放。这些都可能影响到系统检 索策略和评估策略的性能。目前尚未有针对策略存储方式和策略评估算法的性能 测试，对于基于x a c m l 实现的访问控制策略，其响应性能还需进一步验证。 1 3 论文主要工作及安排 访问控制技术是信息系统安全防护重要的组成部分。本文通过研究现有的访 问控制技术，再结合策略描述语言x a c m l 规范中具体的策略实现方式，提出了 一种安全性高、易于扩展和部署的访问控制模型。本文的最后，在一个应用场景 中实现了该模型的主要模块并检验其访问控制的有效性和安全性。 本文分为六章，各章的主要内容为： 第一章，介绍了访问控制技术在保障信息安全方面的重要性，并简单阐述了 现有访问控制技术的研究现状。 第二章，详细介绍了三种主要的访问控制技术：自主访问控制、强制访问控 制和基于角色访问控制的基本理论，并分析了它们的优点和缺点，为后文提出基 于属性标记的访问控制模型奠定基础。 第三章，介绍了通用的策略描述语言x a c m l 语言，详细分析了x a c m l 第一章绪论 涉及到的术语、数据流模型、上下文模型、策略语言模型及其所具有的优点。另 外还介绍了s u n 公司专门为x a c m l 设计的开发包。 第四章，首先详细阐述了基于属性标记的访问控制模型的设计思想；随后详 细介绍了访问控制模型的形式化描述、模型结构及数据处理流程、属性标记的结 构、授权和撤销、策略的组成和合成算法等内容。 第五章，为测试本文设计的访问控制模型的有效性，假设了实验场景。随后 介绍了策略文件的组成和层次结构、策略的x a c m l 描述、策略判决模块的实现。 最后，测试了一些典型的访问请求，并分析了请求结果。 第六章，总结了本文的工作，分析了基于属性标记的访问控制模型的优势和 不足，并提出了后续工作的努力方向。 第二章访问控制的基本理论 7 第二章访问控制的基本理论 2 1 自主访问控制 自主访问控制( d a c ，d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 是最常用的一种访问控制 手段，它主要出现在多用户的操作系统( u 1 1 i x 系统、l i n u x 系统) 中。d a c 的主 要思想是：客体的主人全权管理该客体的访问授权，有权泄露、修改该客体的有 关信息。根据主体身份或者主体所属组的身份或者二者相结合起来，来决定是否 授予主体对特定客体的访问权限。d a c 将访问控制权限放到矩阵中，通过访问控 制矩阵来实现i z 川。 表2 1 访问控制矩阵 客体 主鲈 客体1客体2客体3 主体1读读、写读 主体2读读写 主体3写读、写读、写 主体4读、写读写 表2 1 展示了一个强制访问控制的控制矩阵，矩阵中每一行表示系统中的一个 主体，每一列表示系统中一个受保护的客体，而矩阵中行列交叉点的元素表示主 体所拥有的对客体的访问授权。 下面给出d a c 的形式化描述。 定义d a c 1 ( 客体集) 0 = o 。，0 29 * o9 0 m 表示系统中受保护的客体集合。 定义d a c 2 ( 主体集) s = s l , s 2 ，晶) 表示会对系统发起访问请求的主体集合。 定义d a c - 2 ( 访问权限) p - - p 。，p ：，p ， 表示访问权限的集合，表明了主体对客体的访问类型。 定义d a c - 3 ( 访问策略) r u l e s 表示基于上下文的访问控制规则，这个规则由系统管理员根据自己的主 观判断制定。 8 基于属性标记的访问控制模型研究 那么根据以上定义，自主访问控制满足如下的函数关系： f ：o x s x p x r u l e s 一 乃钟，f a l s e ， 表示主体s s 在规则，r u l e s 限定的范围内是否拥有对客体0 o 的访问权 限p p 。 自主访问控制模型的优点是：授权非常灵活。客体的创建者具有对该客体的 所有访问许可并且可以授权其它主体，这比较符合人们对权限的基本认识。但是 在实际的应用环境中，d a c 有很多缺点： 资源管理比较分散，用户间的关系不能在系统中体现出来，不易管理； 在安全策略多变的工作流环境中，整个系统的安全性不是由单一主体的属 性决定，而是由组织整体的属性决定。 访问许可的转移很容易产生安全漏洞，即只能控制直接访问，不能控制间 接访问，信息在移动过程中其访问权限关系会被改变。 2 2 强制访问控制 强制访问控制( m a c ，m a n d a t o r ya c c e s sc o n t r 0 1 ) 是根据客体中信息的敏感 等级和访问敏感信息的主体的安全等级，对主体的访问实行限制的一种方法。它 主要用于保护那些处理特别敏感数据( 例如，政府保密信息或企业敏感数据) 的 系统。在m a c 中，用户的权限和客体的安全属性都是基本上固定的，系统决定一 个用户对某个客体能否进行访问。所谓“强制 ，就是安全属性由系统管理员设置， 或由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不 能修改这些属性。所谓“强制访问控制 ，就是访问发生时，系统通过比较主体和 客体的安全级别来决定能否以他所希望的模式访问一个客体。 强制访问控制实质上是对信息系统当中所有的主体和客体分配敏感标签 ( s e n s i t i v el a b e l ) 。用户的敏感标签指定了用户的敏感等级或信任等级，而客体的 敏感等级标签表明了该客体的安全密级。m a c 就是通过两者的敏感等级来决定主 体是否可以对客体进行访问【2 4 j 。 由于m a c 通过分级的安全标签实现信息的单向流通，因此它一直被军方采 用，其中最著名的是b e l l l a p a d u l a 模型【2 5 】( b l p 模型) 。b l p 模型具有不允许向 上读、向下写的特点，可以有效保护数据的完整性。下面我们着重介绍一下经典 的b l p 模型。 b l p 模型采用四元祖( b ，m ，f ，h ) 定义系统的状态，其中b 是当前访问的 集合，一般用三元组( 主体，客体，访问方式) 表示，代表当前状态下允许的访 第二章访问控制的基本理论9 问：m 是访问控制矩阵：f 是安全等级函数，用于确定任意主体和客体的安全等级； h 是客体间的层次关系。抽象出的访问方式有五种，分别是只读、添加、读写、 执行和控制模式。主体的安全等级包括最大安全等级和当前安全等级，最大安全 等级通常称为安全等级。下面给出b l p 模型的形式化描述。 约定b l p - i ：设z 和】，是任意集合，记p ( x ) 为彳的幂集，则 x r ：= f l 厂：j ，专x 约定b l p 2 ls 是主体集合，d 是客体集合，彳是访问方式集合，c 是等级 分类集合，足是非等级类别集合，研是可信主体集合，s = s s t 。 定义b l p 1 ： 当前访问集合b ：= p ( s x o x 彳) 访问矩阵集合m _ mim 是矩阵 m 中元素m ，是主体墨对客体0 ，的访问 方式集， 敏感标记集合l ：= ( c ，七) ic c ak k 设三。= ( g ，墨) 厶厶= ( c 2 ，局) 三，则( 厶厶) ：- ( q c 2 k 憋) 敏感标记函数集合： ，：= ( 石，f o ，f c ) i 石f 厶人疋f ( w s ( f s ( s ) 矗( s ) ) 。 其中，石称为主体敏感标记函数；厶称为客体敏感标记函数；尼称为主体当前敏 感标记函数。 客体层次关系集合h - h ih 【p ( d ) 】da t l a t 2 ，其中， y t 1 ：v o , o ，v o j d ( q d ，jh ( o , ) n h ( o j ) = o ) ； t 2 ：! j ( q ，q ，q ) 量o v r ( 1 ，叻j ( q + l 日( d ，) ) ( 瓯+ i 兰q ) 】。 状态集合v _ ( 6 ，m ， h ) l b b m m 厂， h h ) 。 定义b l p - 2 ：设r 是请求集合，d 是判定集合，y 是状态集合，r 是状态序 号集合，定义系统 ( r ，d ，w ，毛) ：= 眠y ，z ) lx r r y d 了a zev ra ( v te t ( x t ，乃，刁，互一1 ) 矿) ) ) 其中，wcr x d x v x v ，气是初始状态；t = ( 1 ，2 ，i ， ，记号薯相当于x o ) ， 其他类推。 定义b l p - 3 ：设v v ，则1 ，是安全状态：= ( 1 ，满足s s 特性) k ( ，满足相对 于s 的枣特性) ( 1 ，满足d s 特性) 设z v7 ，则z 是安全状态序列：= v t 丁( z 是安全状态) 。 ( 足，d ，w ，z o ) 是安全系统_ v ( x ，y ，z ) ( r ，d ，w ，z o ) ( z 是安全状态序列) 。 约定b l p 3 ： b ( s ：x ，y ，z ) ：= d l ( s ，o ，x ) b v ( s ，o ，y ) b v v ( s ，0 ，z ) 6 ) 。 1 0 基于属性标记的访问控制模型研究 约定b l p - 4 sr 为可读不可写方式，a 为可写不可读方式，w 为可读且可写方 式，e 为不可读不可写( 可执行) 方式。 公理b l p - i ( s s 特性) ；在状态v = ( 6 ，m ，f ，h ) ，若对任意主体s ，以下条件 都成立，则状态1 ，满足简单安全特性( s s 特性) ： o b ( s ：，w ) j f s ( s ) f o ( d ) 公理b l p 2 ( 特性) s 在状态v = ( 6 ，m ，f ，h ) ，若对s 中任意主体s ，以下 条件都成立，则状态，满足相当于s 的+ 特性： o b ( s ：口) f o ( d ) f c ( s ) 0 b ( s ：w ) j f o ( 0 ) = 五( s ) 0 b ( s ：，) f c ( s ) f o ( 0 ) 公理b l p - 3 ( d s 特性) l 在状态1 ，= ( 6 ，m ，f ，h ) ，若对任意主体s 和任意客体 d i ，以下条件都成立，则状态v 满足自主安全特性( d s 一特性) ： ( s ，q ，x ) b = ，x t ， 下面给出一个强制访问控制的实例。在一个系统中资源的安全等级有：公开u 、 秘密c 、机密s 、绝密t s ，且这些安全等级的级别升序排列为u c 2 s z s 田o n s ，用户u 到一个会话集合的映射。 ( 9 ) s e s s i o n r o l e s ( s ：s e s s i o n s ) 2 舳澄，会话s 到一个角色集合的映射。 形式化表示为：s e s s i o n r o l e s ( s ) = ，r o l e si ( s e s s i o n u s e r s ( s ) ，) u r a ) 。 图2 1 中还定义了角色层次( r h ，r o l eh i e r a r c h y ) ，它也是r b a c 模型的一 个关键方面。 2 3 2r b a c 层次模型 r h ( r o l eh i e r a r c h y ) 指的是r b a c 模型中的角色分层。角色分层定义了角色 之间的继承关系。继承是通过权限来进行描述的，如果角色一的所有权限都是角色 ，；的权限，那么就称角色继承角色吃。 角色的分层一般包括一般角色分层和受限角色分层两种情况。一般角色分层 支持任意的偏序结构，包括角色的权限和用户成员的多继承概念。受限角色分层 则要受到简单数结构或反转树结构的限制2 引。下面给出两种分层模型的形式化描 述。 定义r b a c 2 ( 一般角色层次) r h cr o l e s r o l e s ，指r o l e s 上的一个偏序关系，称为继承关系，或角 色层次，记作，； i 吒，表示吒的所有权限同时也被所拥有，的用户同时也是吒的 用户1 2 9 】。可以表示为： ，i r 2ja u t h o r i z e d p e r m i s s i o n s ( r 2 ) sa u t h o r i z e d p e r m i s s i o n ( r 1 ) a u t h o r i z e d p e r m i s s i o n s ( r 1 ) a u t h o r i z e d p e r m i s s i o n ( r 2 ) 其中a u t h o r i z e du s e r s ( r ：r o l e s ) - - + 2 瞍嚣，表示根据角色层次关系获得拥有角 色，的用户的集合。即 a u t h o r i z e d p e r m i s s i o n s ( r ) = p p r m slr ，( “，r 3 u r a ) 其中a u t h o r i z e dp e r m i s s i o n s ( r ：r o l e s ) 哼2 尸膦，表示角色继承层次关系，角 第二章访问控制的基本理论1 3 色，能够获得的权限的集合，即 口埘吻d ，- 泌d p e r m i s s i o n s ( r ) = p p r m s i ，( p ，1 ) 尸r 彳) 定义r b a c - 3 ( 受限角色层次) 在一般角色层次定义基础上，加入以下限制： v r ，；，r 2 ，r o l e s ，吒 ，r 2j ，；= 吒 限制性层次关系简化了一般角色层次关系，它规定角色可以有多个角色继承 者，却只能从一个角色继承而来。其形成的树型结构相对简单，例如，一个角色 可以有一个或多个接父节点，而只能有一个直接子节点1 3 0 1 。虽然限制性层次关系 不支持多重继承，但是它在r b a c 0 模型的基础上提供一种清晰的角色管理，在实 际实现中比较容易做到。 下面举个例子来说明角色层次关系，图2 2 描述了一个公司管理层次结构图， 董事长位于角色层次的最高层，他拥有总经理l ，总经理2 的权限；董事长继承了 总经理1 和总经理2 的权限。 2 3 3 职责分离约束 图2 2 r b a c 层次结构 职责分离通过限制用户或角色的权限，避免系统内部用户或角色获得本不应 该拥有的权限，加强角色系统内部的分配和管理，使系统的安全性能够得到最大 限度的保证。r b a c 职责分离主要包括静态职责分离( s s d ，s t a t i cs e p a r a t i o no f d u t y ) 动态职责分离( d s d ，d y n a m i cs e p a r a t i o no f d u t y ) 。 s s d 在一个用户的整个权限范围内设置约束，而d s d 通过在用户会话和会话 能激活的角色上设置约束，在一个用户权限范围内限制权限的可用性。d s o d 特 性提供了对最小权限原则的扩展支持，每个用户在不同时刻根据所扮演的角色， 有不同级别的权限。s s d 描述了在一个用户分配一个角色的时候，标识潜在的利 1 4 基于属性标记的访问控制模型研究 益冲突问题的能力。d s d 将约束条件加在上下文中，允许一个用户分配两个或两 个以上角色，但不允许这些具有冲突的角色同时被执行，它们只能被分时激活【3 1 1 。 例如，一个用户可以被授权为银行业务员角色和储蓄户角色。如果一个充当储蓄 户角色的用户想转换为银行业务员角色，r b a c 将要求用户先退出储角色，以防 止其修改自己账户中的余额数目。只要相同的用户不能同时扮演这些角色，冲突 就不会发生。下面给出s s d 和d s d 的形式化描述。 定义r b a c - 4 ( 静态职责分离s s d ) s s d ( 2 删嚣x n ) ，静态职责分离s s d 关系式一些二元对( ，n ) 的集合。其中 是一个角色的子集，n 是一个大于1 的自然数，t 是气的一个子集。对于s s d 关 系中的每一个( ( ，n ) 的含义是：用户不能同时被赋予角色集合中的n 个或n 个 以上的角色。即： v ( ，刀) s s d ，v t ：lff 珂jf1 a s s i g n e d u s e r ( r ) = f 2 j 。 定义r b a c 5 ( 动态职责分离d s d ) ” d s d ( 2 胁懈) ，动态职责分离d s d 关系是一些二元对( ，n ) 的集合。其 中是一个角色的子集，n 是一个大于1 的自然数。对于d s d 关系中的每一个 ( ( r s ，n ) 的含义是：用户在一次会话中不能同时激活角色集合t 中的n 个或n 个以 上的角色。即： v r , 2 ，n n ，( ，珂) d s dj n 2 a l l n ，a n d v s s e s s i o n s ，v r , 2 r o l e sv r o l e s u b s e t 2 舢，v n n ，( r s ，珂) d s d ， r o l e s u b s e t ，r o l s e s u b s e t s e s s i o n r o l e ( s ) 兮ir o l e s u b s e ti n 。 2 4 本章小结 本章首先回顾了现有访问控制技术的基本理论，包括自主访问控制、强制访 问控制和基于角色的访问控制。详述了它们的形式化描述、访问控制的框架和策 略，并指出这几种访问控制的优点和存在的不足。这为后面提出基于角色访问控 制模型奠定了基础。 第三章x a c i g 语言介绍 第三章x a c m l 语言介绍 x a c m l ( 可扩展的访问控制标记语言，e x t e n s i b l ea c c e s sc o n t r o lm a r k u p l a n g u a g e ) ，于2 0 0 3 年2 月成为o a s i s ( 推进结构信息标准组织，t h eo r g a n i z a t i o n f o rt h e a d v a n c e m e n to f s t r u c t u r e di n f o r m a t i o ns t a n d a r d s ) 的标准，最初的版本为1 0 。 2 0 0 3 年8 月，o a s i sx a c m l 技术委员会批准x a c m l1 1 版本成为o a s i s 委员 会规范。x a c m l2 0 版本草案于2 0 0 4 年9 月发布，并于2 0 0 5 年1 2 月批准成为 o a s i s 标准【3 2 1 。 x a c m l 标准提出的目的就是在访问控制策略表达层面能有一个统一的规范。 它可以清晰得描述访问控制策略以及访问控制请求、相应产生的过程，而且提供 了一系列逻辑算法对整个授权过程进行控制。它提供了一种可移植的、标准的方 式来描述访问控制实体和属性。最后可以根据主体、客体和环境的属性以及采取 的操作来给出四种判定结果：允许、拒绝、无法确定和不适用。 3 1x a c m l 的术语 行为( a c t i o n ) ：针对于某种资源所采取的操作。 可用策路( a p p l i c a b l ep o l i c y ) ：适用于特定请求( d e c i s i o nr e q u e s t ) 的策略。 授权决策( a u t h o r i z a t i o nd e c i s i o n ) ：针对特定请求，对可用策略评估的结果， 由p d p 返回给p e p 。结果可能为“p e r m i t 、“d e n y ”、“i n d e t e r m i n a t e ”、“n o t a p p l i c a b l e ” 和可选的义务集。 策略决策点( p d p ，p o l i c yd e c i s i o np o i n t ) ：评价适用策略( a p p l i c a b l ep o l i c y ) 并 进行授权判定定( a u t h o r i z a t i o nd e c i s i o n ) 的系统主体。 策略管理点( p a p ，p o l i c ya d m i n i s t r a t i o np o i n o ：创建策略或策略集的系统主 体，即策略创建人。 策略执行点( p e p ，p o l i c ye n f o r c e m e n tp o i n t ) ：强制执行访问控制的系统主体。 p e p 通过创建一个x a c m l 请求并发送到策略决策点( p d p ) ，后者评估请求并返回 一个响应。该响应可以是允许访问的，也可以是拒绝访问的，并具有适当的义务。 策略信息点( p o l i c yi n f o r m a t i o np o i n t ，p i p ) ：存储属性值( a t t r i b u t ev a l u e ) 的系 统主体，可以是数据库。 决策请求( d e c i s i o nr e q u e s t ) ：由p e p 发给p d p 的请求，要求p d p 返回授权决 策( a u t h o r i z a t i o nd e c i s i o n ) 规则( r u l e ) ：一个策略可以与多条规则相关联。每条规则由条件( c o n d i t i o n ) 、 结果( e f f e c t ) 和目标( t a r g e t ) 组成。 1 6基于属性标记的访问控制模型研究 条件：是关于属性的陈述，评估结果为t r u e ，f a l s e 或i n d e t e r m i n a t e 。 结果：是符合规则的预期后果，值可以为p e r m i t 或d e n y 。 目标：与策略中的目标t a r g e t 相同，都有助于确定规则是否与请求有关， 实现的机制也与策略中的目标的实现机制类似。规则的最终结果取决于条件的评 估。如果条件返回i n d e t e r m i n a t e ，则该规则返回i n d e t e r m i n a t e 。如果条件返回f a l s e ， 则规则返回n o t a p p l i c a b l e 。如果条件返回t r u e ，则返回e f f e c t 元素的值，可以是 p e r m i t 或d e n y 。 规则绑定算法( r u l e c o m b i n i n g a l g o r i t h m ) ：一个策略可以包含多条规则，然 而，不同的规则有可能得到冲突的结果。规则绑定算法负责解决这种冲突，每一 策略、每一请求都得到一个最终结果。每个策略只能使用一种规则绑定算法。规 则组合算法结合策略中所有规则的结果得到最终的授权决策。 x a c m l 定义了以下几种规则绑定算法 q d e n y o v e r r i d e s ( 拒绝覆盖) ：只要有一条规则的评估为d e n y ，那么最终授权 决策也是d e n y 。 o r d e r e d d e n y o v e r r i d e s ( 有序拒绝覆盖) ：与拒绝覆盖相同，只不过评估相关 规则的顺序与将规则添加到策略中的顺序相同。 p e r m i t o v e r r i d e s ( 允许覆盖) ：只要有一条规则计算的评估为p e r m i t ，则最终 授权决策也是p e r m i t 。 o r d e r e d p e r m i t o v e r r i d e s ( 允许按顺序覆盖) ：与允许覆盖相同，只不过评估 相关规则的顺序与规则添加到策略中的顺序相同。 f i r s t a p p l i c a b l e ( 最先应用) ：遇到的第一条相关规则的评估结果作为最终授 权决策的评估结果。 目标( t a r g e t ) ：每个策略只有一个目标。该目标有助于确定策略是否与请求有 关。策略和请求的相关性决定了是否要为请求评估该策略。这是通过定义目标中 的三类属性( 主体、资源、动