（基础数学专业论文）安全rbac系统.pdf

摘要 本文包含两部分。 第一部分旨在研究安全r b a c 系统。主要包括：实现了r b a c 系统的信息 流策略，建立了安全r b a c 系统的基本模型，给出了安全状态以及威胁状态的 定义和判断准则，并证明了安全基本定理。从而证明，只要基于信息流策略 ( p r m s ，o ) 的r b a c 系统的状态变换关系满足安全基本定理中的条件( i ) ， ( i i ) ，该系统就是安全的。第一部分的主要结果如下： 安全基本定理： 设矽r x d x v x v ，如果对每个( r 。，d ，( 6 ，| p ，厂) ，( 6 ，p ，厂) l 形，满足； ( i ) ，= f ； ( i i ) 每个( r ，o p s ，o b s ) e b + - b 满足s c r e l f 那么，( 且，d ，z ) 对于任何初始状态z 都是安全的。 第二部分，我们考虑了区传递但非旗传递的2 - ( q ，5 ，1 1 设计的问题，其中 g = p a2 l ( m o d 4 0 ) 。主要结果如下 主要定理 当v = q = p 4 ；2 1 ( m o d 4 0 1 足够大时，存在区传递但非旗传递的 a b s t r a c t t h i sp a p e rc o n t a i n st o w p a r t s i np a r ti ，w ea i mt os t u d yt h es e c u r er b a cs y s t e m i ti n c l u d e s ：i m p l e m e n t i n g i n f o r m a t i o nf l o wp o l i c yi nr b a cs y s t e m ，d e v e l o p i n gt h eb a s i cm o d e la b o u ts e c u r e r b a cs y s t e m ，d e f i n i n gs e c u r es t a t ea n dc o m p r o m i s e s t a t e ，e s t a b l i s h i n g t h e d e t e r m i n a n tr u l e s ，a n dp r o v i n gb a s i cs e c u r i t yt h e o r e m s ot h a t ，w es h o war b a c s y s t e m i ss e c u r e ，i f i t s i n f o r m a t i o n f l o w p o l i c y ( p r m s ，_ ，o ) s a t i s f i e s t h e ( i ) ， ( i i ) i nb a s i cs e c u r i t yt h e o r e m t h el t l a i nr e s u l t si sa sf o l l o w s ： b a s cs e c u r i t yt h e o r e m ： l e tw c r d 矿矿b e a n yr e l a t i o ns u c ht h a t ( r i , d i ，( 6 ，p ，厂) ，( 6 ，p ，纠形 i m p l i e s ( i ) f = ，+ ； ( i i ) e v e r y ( r ，o p s ，o b s ) 6 - bs a t i s f i e ss c r e l f ( r ，d ，w ，z ) i s as e c u r es y s t e mf o ra n ys e c u r es t a t ez i n p a r ti i ，w es t u d y t h ee x i s t a n c eo f 2 - ( q ，5 ，1 ) d e s i g n s w h i c ha r e b l o c k t r a n s i t i v eb u tn o tf l a g - t r a n s i t i v e ，w h e r eq = p 4i 2 1 ( m o d4 0 ) t h em a i nr e s u l t i sa sf o l l o w s ： m a r et h n 删2 7 t h e r ee x i s t2 - ( v ，5 ，1 ) d e s i g n sw h i c ha r eb l o c k t r a n s i t i v eb u tn o tf l a g - t r a n s i t i v e ， w h e nv = q = p 。2 1 ( m o d4 0 、i ss u f f i c i e n t l yl a r g e 浙江大学硕士学位论文 第一章绪论 在人类认知的有限范围内，信息被定义为人类社会以及自然界其他生命体中 需要传递、交换、存储和提取的抽象内容。这样的所谓信息存在于现实世界的一 切事物之中，被人类利用来认识世界和改造世界。自从人类开始利用信息来为自 己服务，信息安全问题就自然而然地凸现出来，并随之出现了众多相应的解决办 法。随着人与人、人与自然交流的日益频繁，信息数量的急剧膨胀，并且逐渐影 响到各个相对独立主体重要利益的时候( 无论大到国与国之间的战争，或小到个 人的秘密隐私) ，信息安全的重要性日渐突出。二十世纪，计算机和网络的出现， 使得信息安全成为所有人共同关注的焦点，并设立了专门的学科进行信息安全理 论和技术的研究。 访问控制理论和技术是信息安全极其重要的组成部分，访问控制的主要目标 是阻止对计算机或通信系统非授权操作的威胁，从而保证系统的机密性、完整性 和可用性。 本章我们简要介绍信息安全和访问控制理论的基本概念和知识。 1 信息安全及其要素 信息安全的内涵就是要保护有可能被侵犯或破坏的机密信息与数据，使其不 受外来非法操作者的控制，具体包含以下五个要素： 机密性：信息和数据不能向非授权用户或进程泄露； 完整性：信息和数据不能被非授权用户或进程利用、修改和删除； 可用性：当授权用户或进程使用时，保证信息和数据可以合法被使用： 可控性：信息和数据被合法使用时，确保可以控制授权用户或进程的使 用方法和权限； 可审查性：对出现的安全问题提供调查的依据和手段。 2 访问控制理论 访问控制指决定开放系统环境中允许使用的那些资源、在什么地方适合阻止 未授权访问的过程。i s o7 4 9 8 2 中把访问控制定义为对资源非授权使用( 包括以 非授权方式使用资源) 的阻止。访问控制的主要目标是阻止对计算机或通信系统 非授权操作的威胁，从而保证系统的机密性、完整性和可用性。这些威胁经常被 分为：非授权使用、泄露、修改、破坏和拒绝服务等。 2 1 访问矩阵 迄今为止，安全工作者已经开发出多种访问控制模型框架，几乎所有的模型 浙江大学硕士学位论文 2 都遵循一个基本事实：被计算机系统保护的所有资源都可以用包含信息的对象 ( 如文件等) 来表示。因此，保护对象( o b j e c t ) 成为访问控制的根本需要。 行为( a c t i v i t y ) 由成为主体( s u b j e c t ) 的实体( e n t i t y ) 发起。主体通常是 指用户或者代表用户执行的的进程。一个用户在系统中的不同场合可以被分配不 同的主体。如，一个同时在两个项目中承担角色的用户可以被分配为两个不同的 主体。 需要注意的是主体本身也可能是对象。一个主体可以创建其他主体来完成它 的工作，父主体应该能够挂起或终止它所创建的子主体。 主体一对象是访问控制的基本特性，主体发起行为或对对象的操作，系统建 立的授权决定了这些行为和操作的允许或拒绝。授权被表示为访问能力或访问模 式。访问能力的内涵与对象有关，如对于一个文件而言，访问能力一般表现为读、 写、执行和属主，其中属主属性用来标识谁能够控制对该文件的访问属性的修改 权力；对于一个银行帐单，对应于对帐单的基本操作，访问能力又一般表现为查 询、存和贷。这些操作通常由应用程序来实现，如一般由操作系统提供对文件的 操作。 访问矩阵是描述每个主体对每个对象的访问能力的概念性模型，其中矩阵的 每一行对应一个主体，每- - n 对应一个对象，每个矩阵元素用来存放相应的主体 对对象的授权访问。访问控制的目的就是确保只有这些访问矩阵中被授权的操作 才能够被执行。图1 是一个访问矩阵的示例。其中每一列代表一个对象，每一行 代表一个主体，o w n ：属主，r ：读，w ：写，i n q u i r y ：查询，c r e d i t ：贷方， d e b i t ：借方，空白代表该主体对该对象没有任何访问能力。 j o h n a 簋随 b 曲 f 譬蠹ll 冒融盘腿3f 懿e 4a 茁a 1a o n n m l2 胁o h 岫y rr t l r o d l t ww 0 n h 啊时h 嘶 r乳wrd 蹦tg 附出 w 嘶h 嘶 rrrd 出t ww 图1 访问控制矩阵 2 2 实现途径 在一个大型系统中，访问矩阵可能会非常庞大，并且其中有大量的元素都为 空值。所以在实际实现中，通常采用以下几种技术： 2 2 1 访问控制链表( a c l s ) 访问控制链表( a c l s ) 是实现访问矩阵的一个常用方法。每个对象对应一 个a c l ，a c l 标识了系统中所有主体对该对象的授权访问，a c l 对应于把访问 矩阵按列存储。例如，图2 即为图1 的a c l 实现。 浙江大学硕士学位论文 f i | e l f i l e 2 踟e 3 图2 图1 的a c l 实现 通过查看一个对象的a c l ，可以很容易的决定哪些主体当前对该对象具有 何种授权的访问能力。通过将现有a c l 替换成空a c l ，可以实现对该对象的访 问能力的废止。但是，通过基于a c l s 的访问控制系统来确定一个主体的所有授 权访问能力是困难的，这需要遍历所有对象的a c l s 以找出某个特定主体的所有 授权访问。同样，如果需要实现对某个特定主体所有当前的授权访问的回收，也 必须遍历所有对象的a c l s 。 2 2 2 能力( c a p a b i l i t i e s ) 能力( c a p a b i l i t i e s ) 是a c l s 的对偶方法，具体的实现方式是每个主体对应 一个称为能力的链表，它包含了所有该用户当前对系统中每个对象授权的访问能 力。图3 即为图1 的一个能力链表实现。类似a c l s ，能力链表很容易查询特定 主体的所有当前授权访问，但确定特定对象的所有授权能力是困难的。7 0 年代 人们开发了一些基于能力链表的访问控制模型，但一直都没能成功的应用于商 业。现代操作系统主要还是通过基于a c l s 的方式实现。 倡倡倡画画亘 浙江大学硕士学位论文 4 b o b 图3 图1 的能力链表实现 2 2 3 授权关系( a u t h o r i z a t i o nr e l a t i o n s ) a c l s 和能力链表的访问矩阵实现方式具有互为补充的优点和不足，因此人 们又设计了授权关系的表示方法。授权关系是一个三元关系，授权关系集合 r c s x a x 0 ，其中s 是全体主体组成的集合，0 是全体对象组成的集合，a 是 所有的访问能力的集合，任何一个授权关系r 都是一个三元组“o p s ，0 1 。图4 给出了图l 的授权关系实现。 图4 图1 的授权关系实现 浙江大学硕士学位论文 5 2 3 访问控制策略 现有的访问控制策略主要分为以下三类： 自主访问控制策略( d i s c r e t i o n a r y a c c e s sc o n t r o lp o l i c i e s ) 强制访问控制策略( m a n d a t o r ya c c e s sc o n t r o lp o l i c i e s ) 基于角色的访问控制策略( r o l e b a s e da c c e s sc o n t r o lp o l i c i e s ) 在d a c 方案中，管理员有选择的为用户分配访问能力，访问能力置于访问 控制列表( a c l ) 中。目标资源则通过读取用户属性证书来判断用户是否能够执 行所提交的访问请求。m a c 方案多用于军事，它对资源包含的信息的敏感程度 作出访问约束标识并据此对访问主体进行相应的权限授权。多级安全系统 ( m u l t i l e v e ls e c u r es y s t e m ，m l s ) 是一类常见的m a c 方案，它对每个目标资 源设定一个机密等级的安全标签，并为每个访问主体配置一个机密等级列表申 明。一个典型的等级方案可以表示成：未标识、末分级、限制、秘密、机密，最 高机密。安全策略为“向上写和向下读”( w r i t eu p a n dr e a d d o w n ) 。 然而由于这些授权方案并不能很好地满足实际的访问控制需要，例如：d a c 中拥有访问能力的用户对可访问的资源享有完全自主控制能力，而m a c 方案不 能很好的满足政府或企业组织对非机密的敏感信息的处理需要。 角色访问控制模型有效的解决了上述问题。基本r b a c 模型定义了角色的 概念，角色通常用于映射组织机构中的身份，例如：经理，员工等。授权策略中， 每个角色被赋予了一组权限集合，规范了该用户对所有特定资源的特定访问行 为。每个用户被分配一个或多个角色，当访问某个资源时，用户提交角色，目标 资源通过读取授权策略来决定该角色能否执行请求的操作。 需要注意的是，不同的访问控制策略并不是相互排斥的，图5 标示了它们之 间的关系。 图5 多重访问控制策略的关系图 2 4 授权管理 授权管理决定了谁被授予修改访问能力的权限，这是访问控制框架中最重要 也是最容易被忽视的环节。 强制访问控制( m a c ) 允许由基于安全分类的主体和对象完全决定访问能 力。安全管理员为所有的用户设定相应的安全级别，对象的安全级别由系统根据 创建它们的用户的安全级别决定。整个系统中，安全管理员是唯一能够更改主体 和对象的安全级别的，因此，授权管理策略也是十分简单的。 浙江大学硕士学位论文 6 自主访问控制( d a c ) 允许更广泛的授权管理策略，下面举出了几种常用 的策略： 集中式策略( c e n t r a l i z e d ) ：由一个或一组授权管理员对用户进行授权许 可和回收。 分级式策略：( h i e r a r c h i c a l ) 一个中心授权官负责对其他授权管理员分 配管理责任。授权管理员对用户进行授权许可和回收。分级式策略通常根据组织 结构进行实施。 联合式策略( c o o p e r a t i v e ) ：给定资源的特定授权需要多个授权管理员 联合授权。 属主式策略( o w n e r s h i p ) ：对象的创建者可以为其他用户进行该对象的 访问授权。 分布式策略( d e c e n t r a l i z e d ) ：对象的属主可以为其他用户进行该对象的 管理权限授权。 类似d a c ，基于角色的访问控制( r b a c ) 也有多种管理授权策略。 现有的访问控制系统的管理权限授权机制大多不够完善。在一个大型分布式 系统中集中式访问授权管理是不可行的。某些现有的系统允许中心安全管理员将 特定的对象子集的管理权限授权给其他管理员，例如，允许区域管理员对区域内 对象的管理授权自治，但对区域管理员的控制仍然采用集中式管理，同样，这种 模式可以细分到区域内的子区域中。 3 关于本文的工作 本文主要包含两部分。第一部分，我们主要研究安全r b a c 系统，主要包 括：实现了r b a c 系统的信息流策略，建立了安全r b a c 系统的基本模型，给 出了安全状态以及威胁状态的定义，并证明了安全基本定理。从而证明，当基于 信息流策略( p r 册，寸，o7 ) 的r b a c 系统的状态变换关系满足安全基本定理中的 条件( i ) ，( i i ) ，该系统是安全的。 安全基本定理： 设形r x d x v x v ，如果对每个( r ，b ，( 6 ，p ，f ) ，( 6 ，p ，) ) 矿，满足： ( i ) f = f + ： ( i i ) 每个( r ，o p s ，o b s ) b 一b 满足s cr c l 厂 那么，( r ，d ，形，z ) 对于任何初始状态z 都是安全的。 浙江大学硕士学位论文 7 第二部分，我们考虑了区传递但非旗传递的2 - ( g ，5 ，1 ) 设计的问题，其中 譬= 矿z 2 1 ( m o d 4 0 ) 。主要结果如下： 主要定理 当v = q = p 。；2 1 ( m o d4 0 ) 足够大时，存在区传递但非旗传递的 2 - ( v ，5 ，1 1 设计。 浙江大学硕士学位论文 第二章基于角色访问控制参考模型 访问控制是信息安全领域中一个基础性的核心问题，基于角色访问控制( r o l e - b a s e da c c e s sc o n t r o l ，简称r b a c ) 是一种较新的访问控制模型。 在r b a c 中，权限被赋予角色，而不是用户。当个角色被指定给一个用户 时，此用户就拥有了该角色所包含的权限。而r b a c 的约束( c o n s t r a i n ) ，规定 了权限被赋予角色时，或角色被赋予用户时，以及当用户在某一时刻激活一个角 色时所应遵循的强制性规则。在n i s t 的标准r b a c 模型中，约束包括静态约束 和动态约束两类。约束与用户一角色权限关系一起决定了r b a c 模型中用户的访 问许可。 r b a c 访问控制模型不仅易于管理而且降低了复杂性、成本和发生错误的概 率，因而近年来得到了极大的发展。n i s t 的标准r b a c 模型的提出，统一了人 们对r b a c 的认识。本章我们介绍n i s t 的标准r b a c 模型的基本概念和知识。 基于角色访问控制( r b a c ) 参考模型包含了核心r b a c 、分层r b a c 、静 态约束r b a c 和动态约束r b a c 四个模型组件。其中核心r b a c 定义了一个 r b a c 系统所必需的元素、元素集合以及关系，包括用户角色分配和权限角色分 配。此外，核心r b a c 还引入了角色激活的概念作为用户会话的一个部分。每 个r b a c 系统都必需实现核心r b a c 的功能，而其他三个模型组件是相互独立， 可以任意选取的。 每个模型组件都由以下几个子组件组成： 一组基本元素集合； 组基本元素之间包含的r b a c 关系集合； 一组映射函数。 1 核心r b a c ( c o r e r b a c ) 图l 给出了核心r b a c 模型的元素和关系。核心r b a c 包含用户( u s e r ) 、 角色( r o l e s ) 、对象( o b s ) 、操作( o p s ) 和权限( p r m s ) 五个基本数据元 素。用户般指人、机器、网络或自动代理等；角色是对一个组织内的工作职责 或工作资格的单位划分；对象是信息的容器：权限是在一个系统中对个对象按 某种模式访问的支持；操作是为了实现用户意图的程序的执行镜像。此外，核心 r b a c 模型还定义了会话( s e s s i o n s ) ，会话是指用户和被激活的该用户的角色 子集之间的映射关系。 角色关系是r b a c 的核心概念。权限和角色通过权限委派( p e r m i s s i o n a s s i g n m e n t ，p a ) 相关联，用户通过用户委派( u s e r a s s i g n m e n t ，u a ) 被分配以适 当的角色从而获得权限。一个角色可以有多个权限，相同的权限可以分配到多个 角色。 浙江大学硕士学位论文 9 图1 ：c o r er b a c 每个会话是一个从用户集合到角色集合的一对多映射。一个用户激活他被委 派的某些角色就建立了一个会话。 u s e r s ，r o l e s ，o p s 和o b s 。 u a u s e r s x r o l e s ，用户和角色之间的指派关系。 a s s i g n e d u s e r ：( ，：r o e s ) 斗2 “，角色到用户集合的映射。具体可 记为，a s s i g n e d u s e r ( r ) = u u s e r sl ( “，) u a ) 。 p r m s = 2 榔。”，权限集合。 p a p r m s x r o l e s ，角色和权限之间的指派关系。 a s s i g n e d p e r m i s s i o n s ( r ：r o l e s ) 专2 艄，角色到权限集合的映射，具 体可记为，a s s i g n e d p e r m i s s i o n s ( r ) = p p r m sl ( p ，r ) p a 。 o p ( p ：p r m s ) _ 叩o p s ，权限到操作集合的投影映射。 o p ( p ：p r m s ) 寸 o b o b s ) ，权限到对象集合的投影映射。 s e s s i o n s = s s 是一个会话) ，会话集合。 s e s s i o n u s e r s ( s ：s e s s i o n s ) 寸u s e r s ，会话到用户的映射。 s e s s i o n r o l e s ( s ：s e s s i o n s ) 斗2 ，会话到角色集合的映射，具体可 记为，s e s s i o n r o l e s ( s ) ( ，r o l e sl ( s e s s i o n u s e r ( s ) ，) u a 。 浙江大学硕士学位论文 l o a v a i l s e s s i o n p e r m s ( s ：s e s s i o n s ) 一2 ，会话到用户在该会话中具 有权限的映射，等于 u a s s i g n e d p e r m i s s i o n s ( r ) 。 r e s e s s i o n r o l e s ( s ) 2 分层r b a c ( h i e r a r c h a lr b a c ) 分层r b a c 模型组件引入了角色分层的概念( 图2 ) 。角色分层在角色之间 定义了一个继承关系。继承利用权限来描述，u p - 角色_ 继承角色t ，当t 的所 有权限也是 的权限。在一些分布式r b a c 系统中，角色权限和角色继承不是集 中管理的，在这些系统中，利用用户包含关系表示角色继承：角色_ “包含”角 色吒当所有的授权用户也是吃的授权用户。 媾协 r o l el l l 鳓溅馘 图2 ：分层r b a c 角色继承包括两类：通用角色继承和受限角色继承。通用角色继承通过任意 的偏序关系支持一般意义上的角色继承，而受限继承通过约束将角色继承限制在 一棵树上( 即，一个角色可能有一个或多个直接的高层角色，但最多只能有一个 直接的低层角色。 浙江大学硕士学位论文 1 1 2 1 通用角色继承 继承关系r h r o l e s x r o l e s 是r o l e s 集合上的一个偏序关系，记 作 _ ， _ 吃，仅当的所有权限也是的权限，并且的所有用户也是吒的用户， 即： - i 2 a u t h o r i z e d p e r m i s s i o n s ( r 2 ) a u t h o r i z e d p e r m i s s i o n s ( r 1 ) 。 a u t h o r i z e d u s e r ( r ：r o l e s ) 寸2 蚴，角色到授权用户集合的映射关系， 具体记为：a u t h o r i z e d u s e r ( r ) = u u s e r i ， _ r ，( “，u a ) 。 a u t h o r i z e d p e r m i s s i o n s ( r ：r o l e s ) 啼2 ，角色到权限集合的映射关 系，具体可记为： a u t h o r i z e d p e r m i s s i o n s ( r ) = p p r m s i ， - ，( p ，r ) j p ：4 。 2 2 受限角色继承 在通用角色继承的基础上附加以下限制： v ，t r o l e s ， _ 1 a r _ r 2 j = ，2 。 3 约束r b a c ( c o n s t r a i n e dr b a c ) 约束r b a c 在r b a c 模型中加入了职责分离关系。作为一个安全原则，职 责分离在商业，工业和政府有着悠久的广泛应用。职责分离的目的是为了防止组 织内部人员合谋的犯罪。为了减少这种合谋的可能性，不同职责的用户被指派到 完成商业活动所需要的分离的任务中。r b a c 模型中，给出了静态和动态两种类 型的职责分离。 3 1 静态职责分离关系( s t a t i cs e p a r a t i o no f d u t yr e l a t i o n s ，s s d ) s s d 可以有效的避免一个用户获得相互冲突的角色的权限授权。r b a c 中， 静态约束对角色集合以及它们和用户集合形成的u a 关系给出约束，也就是说， 一个用户被指派了一个角色，他就不能再被指派约束中和该角色同组的任何其他 角色。图3 描绘了分层r b a c 模型上的静态职责约束。 浙江大学硕士学位论文 1 2 图3 ：分层r b a c 模型上的s s d s s d s ( 2 ”) ，( m ， ) s s d 表示用户不能同时被授权憎集合中聆个或 n 个以上的角色，其中坶代表一个角色集合，”是大于等于2 的自然数。形式上 可记作： v ( r s ， ) s s d ，v t 坩：i t 譬n j n a s s i g n e d u s e r ( r ) = o 。 ，e f 在分层r b a c 中，s s d 通过授权用户代替指派用户来定义： v ( r s ，肝) s s d ，v t 瑚：l t 巨n jn a u t h o r i z e d u s e r ( r ) = o 。 3 2 动态职责分离关系( d y n a m i cs e p a r a t i o no f d u t yr e l a t i o n s , d s d ) 和s s d 一样，d s d 也是为了对用户的权限进行限制。但s s d 是对用户的所 有权限进行限制，而d s d 通过对用户会话中激活的角色进行约束来限制用户的 权限。 图4 动态职责约束 浙江大学硕士学位论文 1 3 d s d ( 2 r “”n ) ，h ) d s d 表示用户不能同时被授权憎集合中n 个或 n 个以上的角色，其中糟代表一个角色集合，h 是大于等于2 的自然数。形式上 可记作： ， v r s 2 r o l e s ，n n ，( r s ，门) d s d j n 2 ，l 憎i n ，并且 v s s e s s i o n s ，v 坩2 8 。唧，v r o l e s u b s e t 2 r o l e s ，v n n ，( r s ，n ) d s d r o l e s u b s e t 雕，r o l e s u b s e t s e s s i o n r o l e s ( s ) j ir o l e s u b s e t ) - ，r 卜o ，其中r t = 1 ，吃，) 是一棵角色树， - 是r 上 的继承关系。 记号说明：一般我们使用 _ ，代替正规符号( ，0 ) 一。 设马，马，如是角色集合r o l e s 中所有的角色树，那么 r o l e s = r l u r u u 如。令9 1 = r o l e s u f ，其中f k - r ，v r r o l e s ， 书 ( i ，o ) ： _ o ，5 9 1 ； v ，o 吼 ， 。o = ， 其中 = m i n r 9 t l ，y - ，r 卜o 。 在r b a c 模型中，用户通过角色对信息系统中的相应信息进行访问操作。 由上一章知识我们知道，r b a c 利用权限委派( p e r m i s s i o n a s s i g n m e n t ，p a ) 建立 起角色和权限( p m r s ) 之间的映射关系，权限是在系统中对一个对象按某种模 式访问的支持，即p r m s = 2 0 e s 。唧，而p a p r m s r o l e s ，因此，我们可以 对整个权限系统( 包括存放信息的对象和支持的访问操作) 给出类似结构的刻画。 p a 建立起角色和权限之间的映射关系可记作爿：p r m s 斗r o l e s ，满足 v p p r m s ，( p ，( p ) ) p a 。事实上，由于2 p r m s 至i j r o l e s 上的一一映射， 所以存在逆映射y ，使得v ，r o l e s ，( y ( ，) ) = r ；砌p r m s ，y ( ( p ) ) = p 。 浙江大学硕士学位论文 1 7 我们在集合 p r m s ，砖 中添加 偏 序关 系 _ = ( b ，p ，) ：p i p j ，p ，p ，p 砌删 和合并算子。，其中芦= ( 芦) ，p l _ 7 p ：当 且仅当( n ) - ( p ：) ，且，p j p r m s ，只。7 p j = y ( ( b ) 。( 乃) ) 。三元 组( 引n 舔，寸，o ) 就是我们需要设计的r b a c 模型的信息流策略，并且容易验证 ( p r m s ，寸7 ，o ) 是格。 2 安全r b a c 系统：数学模型 本节讨论了利用上一节给出的r b a c 系统的信息流策略，系统对信息的访 问操作的安全性。本章的主要结果是建立了基于角色访问的安全计算机系统的基 本模型，给出了安全状态以及威胁状态的定义和判断准则，并证明了以下定理， 从而确保计算机信息系统的机密性和完整性。 安全基本定理： 设舻r x d x v x v ，如果对每个( r ，d j ，6 i ，p ，f + ) ，( 6 ，p ，厂) ) 形，满足： ( i i ) 每个f ，o p s ，o b s ) b + - b 满足s cr e lf 那么，( r ，d ，矽，z ) 对于任何初始状态z 都是安全的。 2 1 安全r b a c 系统的基本模型 为了有效的解决安全问题，人们设计和建立的很多系统。有些系统能够很好 的解决数据保密问题，而另一些系统主要目标是访问控制等等。然而对人们已经 建立的公认的安全准则而言，这些系统都仅仅提供了某些安全要素而不是所有安 全要素的保障。 我们的目的旨在证明：在一个r b a c 系统中，可以确保信息、访问控制算 法以及权限均不会产生安全威胁，即存在基于角色访问的安全计算机系统。 首先我们给出基本模型如下 记号说明： 浙江大学硕士学位论文 1 8 t = 1 ，2 ，f ，) ，序列集。 p a ，集合a 的幂集。 口4 = ，i ，：斗a ) ，所有从集合到集合口的映射组成的集合。 基本元素： u s e r ，用户集合，包括人、机器、网络或自动代理等。 r o l e s ，角色集合。 o b s ，对象集合，包括数据、文件、程序和i 0 设备等。 o p s ，访问操作集合，不同的信息系统通常具有不同的访问操作，例如， 操作系统中，通常包括读、写、以及执行等操作；而关系数据库系统中，则通常 包括s e l e c t ，u p d a t e ，d e l e t e 和i n s e r t 等操作。 r = 墨，马，r ，请求集合，包括输入、命令以及用户提交的对某个对 象的访问请求等。 d = d l ，d 2 ，d v ) ，决定集合，包括系统输出、应答以及对用户提交的 访问请求的决定等。 p r m s = 2 0 e s 。”，权限集合。 ( r o l e s ，斗，o ) ，由角色集合生成的格。 ( p r m s ，_ ，o ) ，r b a c 模型的信息流策略。 x = r 7 ，请求序列。 y = d 7 ，决定序列。 p a p r m s x r o l e s ，角色和权限之间的指派关系，即角色对对象的授 权访问操作集合。 v = p ( r o l e s x o p s x o b s ) x p ( p a ) x ( p r m s ，斗，o ) ，系统状态。 z = v 7 ，系统状态序列。 定义2 一个状态( s t a t e ) v v ，是指这样一个三元组( 6 ，p ，) ，满足： b p ( r o l e s x o p s x o b s l ，标识了状态v 中哪些角色对哪些对象进行何种模式 的访问操作；p p ( 剐) ，标识了状态v 中角色和权限之间的指派关系； 浙江大学硕士学位论文 9 f ( p r m s ，斗，o ) ，标识了状态v 中权限系统的结构。 定义3w 量r d v v 称为状态变换关系( s t a t e t r a n s l a t i o nr e l a t i o n ) 。 定义4 ( r ，d ，w ，z 。) = ( x ，y ，z ) e x x y x z i v r 丁，b ，只，z t ，z t 。) 形) 称为系统 ( s y s t e m ) ，其中为系统初始状态，一般可设= ( a ，p ，f ) ，其中a 表示空集。 状态变换关系也可阻表示成映射。事实上，在设计时，我们把它看做 是函数，一个系统根据递交的请求指令作出请求决定并从当前状态变化为后继状 态的函数。直观的讲，详细描述了在任一给定状态下，系统对请求指令作出 的请求决定以及状态改变的操作规则。 状态变换关系是整个模型的关键：给定状态变换关系，我们可以准确 的预测一个给定初始条件和请求序列的系统的行为。 至此，我们给出了基本模型的所有元素，以及状态、状态变换关系和系统的 定义。这样，我们便能够很容易的将安全准则形式化，从而进行更深入的分析。 2 2 安全与威胁 本节我们将给出安全、安全威胁以及一些相关概念的定义。借助安全和威胁 的概念，以及操作规则形，我们可以精确的构造确保对于所有的访问操作都是 安全的系统。 定义5 状态v = ( 6 ，p ，f ) v 称为一个威胁状态( c o m p r o m i s es t a t e ) ，如果存在 ( r ，o p s ，o b s ) e b ，存在这样的p e p r m s ，满足( 印岛o b s ) e p f f t p ( p ) - r 。 直观的说，在r b a c 系统中，用户通过角色访问信息，一个威胁状态就是 在该状态中存在用户利用某个角色访问系统中并不允许以该角色身份访问的信 息。类似地，我们可以定义安全状态。但在此前，我们先给出另一个概念。 ( l o p s ，d 撕) r o l e s x o p s x o b s 称为关于f 的安全条件，如果对任意的 p e p r m s ，( o p s ，o b s ) p ，满足r - p ( p ) ，其中 - 是格，中的偏序关系。简记 作，f r , o p s ，o b s ) 满足s c r e l f 。 定义6 状态v = ( 6 ，p ，f ) v 称为一个安全状态( s e c u r i t ys t a t e ) ，如果每个 ( ，o p s ，o b s ) b 满足s cr e l 厂。 由上述定义，我们很容易得到以下性质： 性质1v v