（系统工程专业论文）引入自身鉴别机制的角色访问控制模型（SARBAC）.pdf

大连理工大学硕士学位论文 摘要 随着计算机技术、通信技术和网络技术的飞速发展，计算机系统的安全性日益受到 重视，访问控制作为一种重要的安全技术，已经渗透到操作系统、数据库、网络的各个 方面。基于角色的访问控制模型( r b a c ) 作为主流的访问控制模型，与传统的自主访 问控制和强制访问控制相比，具有更高的灵活性和可扩展性。 n i s tr b a c 模型已经成为研究r b a c 技术的一个标准参考模型，然而在实际的应 用中其本身也存在一些不足。首先，在角色访问控制研究领域，包括n i s tr b a c 模型 在内的大部分研究工作都把研究的焦点集中在用户和角色所处的主体部分而忽略了客 体部分；其次，在权限部分，模型中也没有体现操作和客体安全等级特性；再者，n i s t r b a c 模型缺少模型自身的鉴别。 针对前面所述n i s tr b a c 模型中存在的三个问题，本论文对该标准参考模型进行 扩展，提出了一种新型的访问控制模型：引入自身鉴别机制的角色访问控制模型 s a r b a c ，并且对新模型进行了验证和实现。具体工作如下： ( 1 ) 引入自身鉴别机制的角色访问控制模型s a r b a c 的详细阐述及形式化描述。 在分析n i s tr b a c 模型的基础上，结合身份鉴别技术，提出了一种新型的角色访 问控制模型s a - r b a c 。论文中对自身鉴别机制进行了多维的阐述，给出了s a r b a c 模型的形式化描述，同时对新模型中的几个关键问题也进行了系统的讨论。该模型对客 体部分进行了进一步的研究，重点考虑了操作与客体的安全等级差异。 ( 2 ) 基于有色p e t r i 网的s a r b a c 模型的表述及一致性验证。 为了证明新模型是否满足所要求的安全特性，即一致性要求，论文中使用有色p e t r i 网( c p n ) 对其安全性进行了分析和验证。其主要内容包括基于c p n 的新模型的建模， 状态可达树的构建，以及安全特性的论述。 ( 3 ) 基于统一建模语言u m l 的s a - r b a c 建模及实现研究。 基于u m l 建模语言，论文中描述了s a r b a c 模型的静态框架，同时对模型中的 动态行为进行了分析以及建模。这种模型描述方法更易于实现，有效地缩小了理论化的 安全模型和实际的系统开发之间的沟壑。 ( 4 ) 模型在n e t 开发环境中的实现，主要工作是模型中主要模块的设计以及某些关 键技术的实现。 关键词：角色访问控制；自身鉴别机制；一致性验证；有色p e t r i 网 引入自身鉴别机制的角色访问控制模型( s a r b a c ) s a r b a c ：a ni n n o v a t i v er o l e b a s e da c c e s sc o n t r o lm o d e li n t r o d u c i n g s e l f - a u t h e n t i c a t i o nm e c h a n i s m a b s t r a c t w 池r a p i dd e v e l o p m e n to fc o m p u t e rt e c h n o l o g y ，c o m m u n i c a t i o nt e c h n o l o g ya n d n e t w o r kt e c h n o l o g y ，t h es a f e t yo fc o m p u t e rs y s t e mg e tm o r ea n dm o r ea t t e n t i o n a sa n i m p o r t a n ts e c u r i t yt e c h n o l o g y ，a c c e s sc o n t r o lh a sab r o a da p p l i c a t i o nf i e l d , w h i c hi n c l u d e s o p e r a t i n gs y s t e m , d a t a b a s e ，n e t w o r k , a n ds oo n r o l eb a s e da c c e s sc o n t r o l ( r b a c ) i st h e i n a i n s t l e a l na c c e s sc o n t r o lm o d e ls i n c et h e19 9 0 s c o m p a r i n gt ot h et r a d i t i o n a ld i s c r e t i o n a r y a c c e s sc o n t r o l ( d a c ) a n dm a n d a t o r ya c c e s sc o n t r o l ( m a c ) ，r b a ch a sb e t t e rf l e x i b i l i t ya n d e x p a n s i b i l i t y mm s tr b a cm o d e l ，w h i c hi sp r o p o s e db yt h eu sn a t i o n a li n s t i t u t eo fs t a n d a r d s a n dt e c h n o l o g y 科i s l ) i n2 0 0 1 ，i san o r m a t i v er e f e r e n c em o d e lf o rt h er e s e a r c ho nr b a c h o w e v e r , t h er e f e r e n c em o d e lh a ss o m ed e f i c i e n c i e si n i t s p r a c t i c a la p p l i c a t i o n f i r s t , p r e v i o 珊r e s e a r c h e si nt h ef i e l do fr b a cm o d e l ，i n c l u d i n gt h en i s tr e f e r e n c em o d e l ， f o c u s e dl a r g e l yo nt h es u b j e c tp a r tc o n t a i n i n ge n t i t i e so fu s e r sa n dr o l e s c o r r e s p o n d i n g l y ，t h e p e r m i s s i o np a r t 伽i n l a j 幽ge n t i t i e so fo p e r a t i o n sa n do b j e c t si sn e g l e c t e d s e c o n d , t h e o p e r a t i o n sa n do b j e c t so fa c c e s sc o n t r o lm e c h a n i s mo f t e nh a v eo b v i o u ss a f e t yg r a d ei n p r a c t i c a la p p l i c a t i o ne n v i r o n m e n t , w h i c hi sn o te m b o d i e di nt h en i s tr e f e r e n c em o d e l i n a d d i t i o n , t h en i s tr e f e r e n c em o d e ll a c k si t so w n i d e n t i f i c a t i o n 。 b a s e do nt h ea b o v ec o n s i d e r a t i o n , s e l f - a u t h e n t i c a t i o nm e c h a n i s mi si n t r o d u c e dt ot h e n i s tr e f e r e n c er b a cm o d e l st oe n h a n c es a f e t ya n dr e l i a b i l i t yo ft h ew h o l ea p p l i c a t i o n s y s t e m s a ni n n o v a t i v er o l e - b a s e da c c e s sc o n t r o lm o d e li n t r o d u c i n gs e l f - a u t h e n t i c a t i o n m e c h a n i s m ( s a - r b a c ) i sp r o p o s e di nt h i sp a p e r , a n dt h ev e r i f i c a t i o na n di m p l e m e n t a t i o no f t h en e wm o d e li ss t u d i e da sw e l l o u rr e s e a r c hc o n s i s t so f t h ef o l l o w i n gf o u rp a r t s ： ( 1 ) d e t a i l e dd i s c u s s i o na n df o r m a ld e s c r i p t i o no fs a - r b a c m o d e l b a s e do nt h en i s tr e f e r e n c er b a cm o d e la n di d e n t i t ya u t h e n t i c a t i o nt e c h n o l o g y ，a n i n n o v a t i v er o l e - b a s e da c c e s sc o n t r o lm o d e li n t r o d u c i n gs e l f - a u t h e n t i c a t i o nm e c h a n i s m ( s a - r b a c ) i sp r o p o s e d am u l t i - d i m e n s i o n a ld e s c r i p t i o no fs e l f - a u t h e n t i c a t i o nm e c h a n i s m i sg i v e na tf i r s t ，a n dt h ef o l l o wi saf o r m a lp r e s e n t a t i o no fs a - r b a co nt h eb a s e do fn i s t r b a cm o d e l m o r e o v e r , w ea l s om a k eas y s t e m a t i c a ld e s c r i p t i o no ns e v e r a lk e yi s s u e so n t h e n e w m o d e l ( 2 ) s p e c i f i c a t i o na n dv e r i f i c a t i o no fs a r b a cp o l i c y b a s e do nc o l o r e dp e t r in e t ( c p n ) 一i i 大连理鼍大学硬士学梦论文 硼跫m o d e l i n go fs a r b a cp o l i c yb a s e do nc p ni sc a r r i e do n , a n dt h ev e r i f i c a t i o no f r e l a t e ds a f e t yp r o p e r t i e si si m p l e m e n t e da sw e l l a l lt h es t a t e si nt h ec p nm o d e ld e s c r i b i n g s a - r j 3 a c p o l i c yc a 珏b ep r o v e dt ob ec o n s i s t e n t 。 ( 3 ) r e s e a r c ho fm o d e l i n ga n di m p l e m e n t a t i o no fs a r b a cp o l i c yu s i n gu n i f i e d m o d e l i n g l a n g u a g e ( u m l ) 曩捡w o r kn o to n l yf o c u s e do ns p e c i f y i n gt h es t a t i cs t r u c t u r eo fs a - r b a cp o l i c i e su s i n g u s e r c a s ed i a g r a m sa n dc l a s sd i a g r a m s ，b u ta l s oi n c l u d e sd e s c r i p t i o n 5o ft h ep a t t e r n so f d y n a m i cb e h a v i o ru s i n gc o l l a b o r a t i o nd i a g r a m sa n ds e q u e n c ed i a g r a m s o u rp o l i c y s p e c i f i c a t i o na p p r o a c h e sa r er e l a t i v e l yc l o s et ot h ei m p l e m e n t a t i o n , s oi tc a nb ei n t e g r a t e di n t o s o f t w a r ed e s i g nm e t h o d st oc a s et h et a s ko fi n c o r p o r a t i n gt h ep o l i c i e si n t ou m 眦a p p l i c a t i o n m o d e l s 。 ( 4 ) i m p l e m e n t i n gs a - r b a cp o l i c yi n n e td e v e l o p m e n te n v i r o m e n t k 掣w o r d s ：r b a c ：s e l f - a u t h e n t i c a t i o nm e c h a n i s m ；v e r i f i c a t i o n ：c o l o r e dp e t r in e t i i i 大连理工大学学位论文独创性说明 作者郑重声明：所呈交的学位论文，是本人在导师的指导下进行研究 工作所取得的成果。尽我所知，除文中已经注明引用内容和致谢的地方外， 本论文不包含其他个人或集体已经发表的研究成果，也不包含其他已申请 学位或其他用途使用过的成果。与我一同工作的同志对本研究所做的贡献 均已在论文中做了明确的说明并表示了谢意。 若有不实之处，本人愿意承担相关法律责任。 学位论文题目：l 卫业湮旧& 争独厶乒互匈卫上徊墅吗立堑鱼血妇虹 作者签名：二簋尘亟l 一 日期：么盎 年l 月上乙日 大连理工大学硕士研究生学位论文 大连理工大学学位论文版权使用授权书 本人完全了解学校有关学位论文知识产权的规定，在校攻读学位期间 论文工作的知识产权属于大连理工大学，允许论文被查阅和借阅。学校有 权保留论文并向国家有关部门或机构送交论文的复印件和电子版，可以将 本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印、或扫描等复制手段保存和汇编本学位论文。 学位论文题 作者签名： 导师签名： 大连理工大学硕士学位论文 1绪论 随着全球网络化的热潮，以及计算机技术、通信技术和网络技术的飞速发展，计算 机网络正在日益广泛而深入地被应用到社会的各个领域中，并深刻地改变着社会的行为 和面貌。然而，在享用信息高度网络化带来的种种便利之时，我们还必须应对随之而来 的信息安全方面的种种挑战，因为互联网是一个极不安全的地方，在这里很容易进行监 听、假冒、窃取甚至破坏等非法活动，所以如何保障互联网的安全性是一个现实而又重 要的问题。 国际标准化组织i s o 在网络安全体系的设计标准中，提出了层次型的安全体系结构， 并定义了五大安全服务功能。其中定义的访问控制服务是指对用户访问系统资源的权利 进行控制，它保证主体对客体的所有直接访问都是经过授权的，同时防止合法用户对系 统资源的非法使用。 访问控制作为其中一种重要的安全技术，已经渗透到操作系统、数据库、网络的各 个方面。基于角色的访问控制模型作为主流的访问控制模型，与传统的自主访问控制和 强制访问控制相比，具有更高的灵活性和可扩展性。 1 1访问控制概述 1 1 1网络安全服务 目前互联网中的计算机受到的安全威胁主要来自下面几个方面【1 ，2 】： 对用户身份的仿冒：攻击者盗用合法用户的身份信息，以仿冒的身份与他人进 行通信。 对网络上信息的窃取：攻击者在网络的传输链路上，通过物理或逻辑的手段， 对数据进行非法的截获与监听，从而得到通信中敏感的信息。 对网络上信息的篡改：攻击者有可能对网络上的信息进行截获并且篡改其内容 ( 增加、删除或改写) 。 对发出的信息予以否认：某些用户可能对自己发出的信息进行否认。 对信息进行重发：攻击者截获网络上的密文信息后，并不将其破译，而是把这 些数据包再次发送，以实现恶意的目的。 针对以上安全威胁，国际标准化组织i s o 对开放系统互连( o s i ) 的安全体系结构 制定了基本参考模型( i s 0 7 4 9 8 2 ) 。模型提供了如下五种安全服务： 实体鉴别( e m i t ya u t h e n t i c a t i o n ) ：证明通信双方的身份与其声明的一致。 引入自身鉴别机制的角色访问控制模型( s a - r b a c ) 数据保密性( d a t ac o n f i d e n t i a l i t y ) ：即使通信内容被非法用户得到，也不会泄 漏敏感信息。 数据完整性( d a t ai n t e g r i t y ) ：保证信息在传输过程中不会被非授权用户篡改。 不可否认( n o n - r e p u d i a t i o n ) ：证嚷一条信息已经被发送和接收，发送和接收方 都有能力证明接收和发送的操作确实发生了，并能够确定对方的身份。 访问控制( a c c e s sc o n t r 0 1 ) ：基于访问认证和数据对象的一种可以选择性的允 许或禁止某种资源访问的安全技术。 其中，访问控制就是通过某种途径显示地准许或限制访问能力及范围的一种方法， 也就是说对不圊的信息和用户设定不同的权限，保证只允许授权的用户访闻授权的资 源，在网络安全体系结构中具有不可替代的作用。 访阀控制是依据一套为信息系统规定的安全策略和支持这些安全策略的执行机制 实现的，能有效地防止非法用户访问系统资源和合法用户非法使用资源。访问控制的有 效性建立在两个前提上，第一是用户鉴别与确定，保证每个用户只能行使自己的访问权 限，没有一个用户能够获得另一个用户的访问权；第二是保证每一个用户或程序的访问 授权信息是受保护的，是不会被非法修改的，该前提是通过对系统客体与用户客体的访 问控测获褥的。 1 1 2 访问控制模型 访问控制模型是一种从访潞控制的角度出发，描述安全系统、建立安全模型的方法。 访问控制模型都包括三个基本的要素：实体、客体和控制策略，主体依据某些控制策略 或权限对客体本身或是其资源进行不同的授权访问。我们将对几种经典的访闯控制模型 进行阐述。 ( 1 ) 自主访问控制模型( d a c ) d a c ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 基本思想是：客体的拥有者( 即资源所有 者) 拥有自己客体的所有访问授权，有权泄露、修改该客体的有关信息。并且拥有者还 可以把自己的权限随意授衩给其他主体。露主访问控制又称为任意访闻控制。在实现上， 首先要对用户的身份进行鉴别，然后就可以按照访问控制列表所赋予用户的权限允许或 限割用户使用客体的资源。主体控制权限麴修改通常由特权用户( 管理员) 或是特权用 户组实现。 d a c 的特点是根据主体的身份及允许访问的权限进行决策，授权的实施主体自主 负责赋予和回收其他主体对客体资源的访问权限，具有很高的灵活性，被广泛应用在商 业和工业环境中。 一2 一 大连理工大学硕士学位论文 同时，d a c 模型存在明显的不足，主要体现在以下几方面： 既然主体可以任意在系统中规定谁可以访问它们的资源，那么系统管理员就难 以确定哪些用户对哪些资源有访问权限，不利于实现统一的全局访问控制。 在许多组织中，用户对他们所能访问的资源并不具有所有权，组织本身才是系 统中资源的真正拥有者。而且，各组织希望访问控制实现能与组织内部的安全策略相一 致，并由管理部门统一实施访问控制，不允许用户自主地处理，而d a c 却存在着用户 滥用职权的问题。 用户间的关系不能在系统中体现出来，不易管理。 信息容易泄露，不能抵御特洛伊木马( t r o j a nh o r s e ) 的攻击。特洛伊木马是嵌入 在合法程序中的一段以窃取或破坏信息为目的的恶意代码。在自主型访问控制下，一旦 带有特洛伊木马的应用程序被激活，特洛伊木马便可以任意泄露和破坏接触到的信息， 甚至改变这些信息的访问授权模式。 ( 2 ) 强制访问控制模型( m a c ) 强制访问控制模型( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 最开始为了实现比d a c 策 略更为严格的访问控制策略，美国政府和军方开发了各种各样的控制模型，这些方案或 模型都有比较完善的和详尽的定义。随后，逐渐形成了规范化的强制访问控制模型。 m a c 模型的基本思想是：为每个主体和客体分别定义安全属性，主体能否对客体执行 特定的操作取决于两者间的安全属性的关系；用户不能改变自身和客体的安全级别，只 有管理员才能够确定用户和组的权限。 m a c 模型往往采用多级访问控制策略，对访问主体和受控对象实行强制访问控制。 系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先 对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对 象。 强制访问控制模型是一种不允许主体干涉的访问控制类型，在m a c 模型中，对访 问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等级标记、一个是非 等级分类标记。通常，安全属性由二元组( 安全级、类别集合) 表示，安全级表示机密 程度，类别集合表示部门或组织的集合。主体和客体在分属不同的安全类别时，都属于 一个固定的安全类别s c ，s c 就构成一个偏序关系( 比如t s 表示绝密级，就比密级要 高) 。当主体s 的安全类别为t s ，而客体0 的安全类别为s 时，用偏序关系可以表述 为s c ( s ) s c ( o ) 。考虑到偏序关系，主体对客体的访问主要有四种方式： 向下读( r e a dd o w n ) ：主体安全级别高于客体信息资源的安全级别时允许查 阅的读操作； 引入自身鉴别机制的角色访问控制模型( s a 。r b a c ) 向上读( r e a du p ) ：主体安全级别低子客体信息资源的安全级别时允许查阅 的读操作； 向下写( 形r i t ed o 形n ) ：主体安全级别高于客体信息资源的安全级别时允许执 行的写操作。 向上写( w r i t eu p ) ：主体安全级别低予客体信息资源静安全级剐时允许执行 的写操作。 这些规定保证了信息流的单向性，上读一下写方式保证了数据的完整性，上写一下 读方式则保证了信息的安全性。这些规则可以防正高级别对象的的信息传播到低级别的 对象中，这样系统中的信息只能在同一层次传送或流向更高一级，这样可以有效地防止 信息的扩教，抵御特洛伊木马对系统保密性的攻击。 强制访问控制进行了很强的等级划分，所以经常用于军事用途。其中最著名的是 b e l l l a p a d u l a 模型和b i b a 模型。其中，b e l l l a p a d u l a 模型具有只允许向下读、向上写 的特点，可以有效地防止机密信息向下级泄露；b i b a 模型则具有不允许向下读、向上写 的特点，可以有效地保护数据的完整性。 另外，c h i n e s ew a l l 模型是b r e w e r 和n a s h 开发地用于商韭领域的访问控制模型， 它将商业的自主安全策略和加强的强制安全策略相结合，形成新的安全策略( t h e c h i n e s ep o l i c y ) 。c h i n e s ew a l l 模型后来被证明也是一种强制访闻控制模型，它的贡献 在与对开发商使用强制性访问控制技术的尝试。同时，它采用的强制安全策略与b l p 或b i b a 模型是不同的，其目的是防止可能引起客户利益冲突的信息流发生，例如不能 让一个咨询顾闯同时能够访问两家或者两家以上的保险公司的机密信息。它将客体分成 三个层次存储；底层是单个公司的数据项；所有属于一个公司的数据项组成该公司的数 据集；高层是互相竞争的公司组成的利益冲突类，每个公司仅属予一个利益冲突类。咨 询顾问最初可选择访问哪个公司，一旦选择就不能再访问同一利益冲突类中的其他公 司。巍选择了访涟的公褥后，对予具体访闷的客体则需服从自主安全策略( 即d a c ) ， 从而完成对客体的访问。 ( 3 ) 角色访问控制模型( r b a c ) r b a c 模型是指采用r b a c 这种访问控制技术作为安全策略的模型，它将访问许可 权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。r b a c 从控制主体的麓度出发，根据管理中相对稳定酶职权和责任来划分焦色，将访闻权限与 角色相联系，这点与传统的m a c 和d a c 将权限直接授予用户的方式不同；通过给用 户分配合适的焦色，让用户与访阀权限相联系。因此，兔色成为访问控制中访闯主体秘 受控对象之间的一座桥梁【3 ，4 】。 大连理工大学硕士学位论文 角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集有系 统管理员分配给角色。依据角色的不同，每个主体只能执行自己所制定的访问功能。用 户在一定的部门中具有一定的角色，其所执行的操作与其所扮演的角色的职能相匹配， 这正是基于角色的访问控制( i m a c ) 的根本特征，即：依据r b a c 策略，系统定义 了各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应 的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。 同时，r b a c 模型描述了用户和权限之间的多对多关系，同一个用户可以扮演多种 角色，而一个角色也可以拥有多个用户成员。角色可以划分为不同的等级，通过角色等 级关系来反映一个组织的职权和责任关系，这种关系具有自反性、传递性和非对称性特 点，通过继承行为形成一个偏序关系。另外，r b a c 模型中通过定义不同的约束规则来 对模型中的各种关系进行限制，最基本的约束是相互排斥约束和基数约束，分别规定了 模型中的互斥角色和一个角色可被分配的最大用户数。 目前，经典的r b a c 模型是s a n d h u 教授提出的r b a c 9 6 模型和美国n i s t 提出的 r b a c 参考模型，其它r b a c 的相关模型都是以此为基础规范而构建的 5 】。 ( 4 ) 其它访问控制模型 以上提到的三种类型的访问控制模型都存在其自身的不足之处，针对不同的应用环 境以及多层次的安全性需求，研究人员提出了其它一些访问控制模型，例如引起人们广 泛关注的基于任务的访问控制模型和基于对象的访问控制模型。 基于任务的访问控制模型 考虑到执行的上下文环境和动态授权，基于任务的访问控制技术中引入工作流的概 念加以阐述。工作流是为完成某一目标而由多个相关的任务( 活动) 构成的业务流程【6 】。 工作流所关注的问题是处理过程的自动化，对人和其他资源进行协调管理，从而完成某 项工作。当数据在工作流中流动时，执行操作的用户在改变，用户的权限也在改变，这 与数据处理的上下文环境相关。 基于任务的访问控制模型( t b a cm o d e l ，t a s k b a s e da c c e s sc o n t r o lm o d e l ) 是从 应用和企业层角度来解决安全问题，以面向任务的观点，从任务( 活动) 的角度来建立 安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。 t b a c 模型中的主要概念包括工作流、授权结构体、受托人集和许可集四部分，而 t b a c 模型通常用五元组( s ，o ，p ，l ，a s ) 来表示，其中s 表示主体，o 表示客体，p 表示许可，l 表示生命期( 1 i f e c y c l e ) ，a s 表示授权步。由于任务都是有时效性的，所 以在基于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。因此，若 p 是授权步a s 所激活的权限，那么l 则是授权步a s 的存活期限。在授权步a s 被激活 引入自身鉴别机制的角色访问控制模型( s a - r b a c ) 之前，它的保护态是无效的，其中包含的许可不可使用。当授权步a s 被触发时，它的 委托执行者开始拥有执行者许可集中的权限，同时它的生命麓开始侧记时。在生命期麓 间，五元组( s ，o ，p ，l ，a s ) 有效；生命期终止时，五元组( s ，o ，p ，l ，a s ) 无效，委 托执行者所拥有的权限被回收。 t b a c 的访问政策及其内部组件关系一般由系统管理员直接配置。通过授权步的动态 权限管理，t b a c 支持最小特权原则和最小泄漏原则，在执行任务时只给用户分配所需的 权限，未执行任务或任务终止后用户不褥拥有所分配的权限；而且在执行任务过程中， 当某一权限不再使用时，授权步自动将该权限回收；另外，对于敏感的任务需要不同的 用户执行，这可通过授权步之闻的分权依赖实现。 t b a c 从工作流中的任务角度建模，可以依据任务和任务状态的不同，对权限进行动 态管理。因此，t b a c 非常适合分毒式计算和多点访闻控制的信惠处理控制以及在工作流、 分布式处理和事务管理系统中的决策制定。 基于对象的访问控制模型 在基于对象的访闯控制中，将访问控制列表与受控对象或受控对象的属性相关联， 并将访问控制选项设计成为用户、组或角色及其对应权限的集合；同时允许对策略和规 尉进行重用、继承和派生操律。这样，不仅可以对受控对象本身进行访阕控制，受控对 象的属性也可以进行访问控制，而且派生对象可以继承父对象的访问控制设置，这对于 信息量巨大、信息内容更新频繁的管理信息系统j 常有益，可以减轻由予信息资源的派 生、演化和重组等带来的分配、设定角色权限等工作量。 0 b a c 从信息系统的数据差异变化和用户需求出发，有效地解决了信息数据量大、数 据种类繁多、数据更新频繁的大型管理信息系统的安全管理。同时，0 b a c 从受控对象的 角度出发，将访问主体的访问权限直接与受控对象相关联，一方面定义对象的访问控制 列表，增、剃、修改访闯控制项易于操作，另一方面，当受控对象鲶属性发生改变，或 者受控对象发生继承和派生行为时，无须更新访问主体的权限，只需要修改受控对象的 相应访问控制项即可，从面减少了访问主体的权限管理，降低了授权数据管理的复杂性。 1 1 3 访问控制技术发展方向 霹络技术发展和系统安全需求多样化将会决定未来访阀控制技术的发展趋势，具体 表现为： 计算机信息系统在不同应用领域的安全需求，将促进与安全策略无关的访问控 制技术的研究，其中包括r b a c 的进一步研究和发展。 分布式和网络技术的发展使得分布式或网络环境下的访问控制技术将成为未来 研究的热点。其中不同种类访问控制技术的统一和互连、协作组织间的网络信息系统访 一s 一 大连理工大学硕士学位论文 问控制技术、互联网环境下的访问控制技术将成为重要的研究课题。 目前信息安全受到前所未有的挑战，单一的安全技术很难保证系统的真正安全， 与其它安全技术结合也成为访问控制技术的趋势之一，如具有人工智能特性的自适应访 问控制技术与入侵监测系统相结合的访问控制技术等。 1 2 角色访问控制的研究现状 1 2 1 a c m r b a c 大会 1 9 9 1 年的a d v a n c e sc r y p t o l o g y - c r y p t o 会议的m a b a d i ，m b u r r o w s ，b l a m p s o n , g p l o t k i n 等人将角色的概念引入访问控制模型【7 】，这一大胆设想激起了专门研究访问 控制专家们的思考。 1 9 9 3 年r a v i s a n d h u 教授提议大家召开a c m r b a c 会议以对引入角色的访问控制 模型进行广泛地探讨，会议专题即为基于角色访问控制的a c m 大会。这项提议得到了 大家的重视，在1 9 9 3 年和1 9 9 4 年的a c m 大会上，来自世界各地的计算机专家们讨论 了r b a c 模型的理论基础性和实用性，并决定在1 9 9 5 年1 1 月召开第一次基于角色访问 控制的a c m 研讨大会，在这次大会中与会的所有专家一直认为基于角色的访问控制模 型和技术非常实用，应该继续深入研讨。 1 9 9 7 年1 1 月召开了a c m r b a c 第二次会议，讨论了r b a c 模型在数据库系统、 操作系统、分布式网络系统和基于角色访问控制系统本身中的应用前景和应用技术。在 这次大会上，还提出了一些其他的模型和概念，使r b a c 技术能够更好的为大型复杂的 应用系统服务，并且大会将这一主题定为下一界大会的讨论主题。 1 9 9 8 年1 1 月举行的a c m r b a c 第三次会议主要讨论了更加适应大型复杂系统的 基于角色访问控制模型和实现技术，该主题延续到1 9 9 9 年1 1 月举行的a c m r b a c 第 四次会议和2 0 0 0 年1 1 月举行的a c m r b a c 第五次会议。a c m r b a c 会议对r b a c 技术的快速发展起到了重要的推动作用。 1 2 2 传统r b a c 研究成果 1 9 9 4 年，d a v i df e r r a i o l o 和r i c h a r dk u h n 首先提出基于基色的访问控制的概念， 并且在综合了大量的实际研究之后，率先给出基于角色的访问控制模型框架和r b a c 模 型的形式化定义【8 】，同时指出r b a c 模型实现的最小特权原则( l e a s tp r i v i l e g e ) 和职 责分离原则( s e p a r a t i o no f d u t y ) 。另外，该模型给出了一种集中式管理的r b a c 管理 方案。 n y a n c h a m a 和o s b o m 研究了r b a c 模型中角色继承关系和角色权限指派，形式化 的给出了角色管理的一系列算法 9 】。同时他们提出的角色组织结构具有一般通用性，能 引入自身鉴别机制的角色访问控制模型( s a 。r b a c ) 够模拟其他形式的权限模型，例如树状层次结构( h i e r a r c h i e s ) 和权限图( p r i v i l e g e g r a p h s ) 。 1 9 9 6 年，r a v is a n d h u 和他领导的位于g e o r g em a s o n 大学的信息安全技术实验室提 出了著名鲍r b a c 9 6 模型【l 筠，将传统的r b a c 模型根据不同需求拆成四种嵌套的模型 并给出形式化定义，极大的提高了系统灵活性和可用性。1 9 9 7 年，他们进一步提出了一 种分布式r b a c 管理模型a r b a c 9 7 1l 】，实现了在r b a c 模型基础上的分布式管理。 这两个模型清晰的表达了r b a c 概念并且蕴涵了他人的工作，称为r b a c 的经典模型， 绝大多数基于角色的访问控制研究都以这便个模型作为出发点。随后的a r b a c 9 9 和 a r b a c 0 2 都进一步完善了r b a c 的管理功能。a r b a c 9 9 模型 1 2 1 在权限和用户是否 稳定的分类处理上对r b a c 9 7 进行增强和完善；a r b a c 0 2 模型【1 3 】是一种比a r b a c 9 7 模型更先进的管理模型。它保留了翦者的主要特征，针对其中一些不足之处傲了改进， 增加了新的概念“组织结构。 由于r b a c 展示出的良好适应性，更多的研究工作者在此领域进行了深入的研究， 提出了广义角色访闻控制模型g r b a c ( g e n e r a l i z e dr o l e - b a s e da c c e s sc o n t r 0 1 ) 等。与 此同时，人们对角色关系和管理进行了进一步研究，针对如何处理角色间的关系以及如 何优化焦色模型酶管理，提出了一些方法和模型【l 嗷1 5 ，1 6 ，1 7 ，其中j o n a t h a n 对焦色层 次和权限继承提出了角色之间的3 种层次关系：基于一般性的从属层次关系、基于聚合 的活动层次关系和基于组织的领导关系；j a m e s 根据权限继承和角色激活提擞了一静混 合的角色层次：s a n d h u 对用户角色指派进行了深入的分析，并在o r a c l e 上实现了一个 原型系统。 约束是r b a c 的一个重要的概念，尤其是职责分离在角色访问控制系统中起着至关 重要的作用，引起了人们的广泛研究。 s a n d h u 为动态职责分析引入事务控制表达式( t m n m c t i o nc o n t r o le x p r e s s i o n s ) 【1 8 】； b a l d w i n 在访问控制模型中提出命名保护域( n a m e dp r o t e c t i o nd o m a i n s ，n p d s ) 的概念 【l 明； n a s h 和p o l a n d 在研究用于商业领域的便携的安全装置时，提_ 出了一些关于职责分 离的新论点 2 0 1 ，他们系统地定义了两个独立的认证组织r 每天从这两个组织中选出一 个或多个人作为当天的角色。同时他们提出了“基于对象的职责分离( o b j e c tb a s e d s o d ) ，强调一个对象上的每个事务都由不同用户产生出来，并且建议用s a n d h u 的事务控制表达式来记录对象的事务嚣志； f e r r a i o l o 等人开始提出形式化描述r b a c 模型【2 l 】，他们定义了三种职责分离，前 两种是静态职责分离和动态职责分离，藤第三种是操作的职责分离( o p e r a t i o n a ls o d ) 。 大连理工大学硕士学位论文 在操作的职责分离中引入了“业务功能 ( b u s i n e s sf u n c t i o n ) 的概念，这个概念类似 于任务和任务单元的概念；s i m o n 和z u r k o 分析了职责分离的各种类型【2 2 】，其中，他 们列举了在工作流管理系统中的多种权限冲突( i n t e r e s tc o n f l i c t ) ，包括四种涉及到步 骤关联的复杂任务的冲突类型；y o l a n t a 将职责分离具体分为4 大类：简单的静态动态 职责分离、操作职责分离、基于客体的职责分离和历史职责分离 2 3 1 ；k u l m 也详细地探 讨了约束地分类，并给出了约束的诸多性质【2 4 】； g l i g o r 等人利用一阶谓语逻辑来表述s o d 属性【2 5 】；a h n 进一步给出了一种基于角 色的约束语言r c l 2 0 0 0 ，用一种逻辑的方式刻画了约束的语义及其推理机$ t j 2 6 。 2 0 0 0 年，o s b o m 等人的研究证明了r b a c 是一种更一般的访问控制模型【2 7 】，他 们利用r b a c 模型成功地模拟了m a c 和d a c 。2 0 0 2 年，b o n a t t i 等人给出了构建访问 控制策略的代数描述【2 8 】，这对r b a c 的理论研究有重要的意义。 2 0 0 0 年的a c mr b a c 专题研讨会上，r b a c 领域的领军人物f e r r a i o l o ，s a n d h u 等 人首次提出了一个建议的标准模型 2 9 】。2 0 0 1 年，他们联合拟定了一个r b a c 模型的美 国国家标准草案【3 0 】。这一标准建议综合考虑了当前学术界和产业界对r b a c 技术的各 种见解，界定了r b a c 技术的领域范围，统一了相关术语，建立了r b a c 技术的参考 模型，定义了各种模型构件，并给出了一套系统与管理功能规范。随后有了a n s i 的 r b a c2 0 0 3 标准。2 0 0 4 年4 月1 9 日，美国国家信息技术标准委员会( a n s i i n c i t s ) 将n i s tr b a c 定为美国国家标准( a n s ii n c i t s3 5 9 2