（计算机应用技术专业论文）基于web的rbac模型研究与设计.pdf

ab s t r a c t abs tract withit ， s spec i aiadv antage ， r b a cwas g a i n e d the e x te n s ive c o nc e mi n both 般 ade 而candi ndu s l r i al . r b a cm a 1 ul ys tu d i e scha n g 1 ng use rtoro l ew h 1 c hi s c ons i stenitoo rg 耐zati on s t r u c to r e ， a l s o re d t ic i n gthe c o mpl e x i tyo f a u t h o ri z at i o n m anage m e nt ， 1 o w e ri ng n 1 a n a g eme nie x p e ns e andp r o vi d 吨 an envl rolune niw h l c h c a rrie so ut as afe p o l i cy e as i erre al i zati o nto adm i ni s tr a t o r s . 产 司 ds o ， r b a ci s b e c o 而n g a d o m i n a t i n g w a y ind ata acc e s s tec 俪c alf i rstly，the p a p e r i n t r o d u c e d an 1 n t e rvi e wo f acc e s s c o ntro l b ack gr o u n d ， m akin gtoe l abo r a 忱to w a r d s acc e s s c o n t r o l ty p e and t her b a cb as i c c o ncept and t h o u ght ，t h e n a ft e r l 刀 t r o d uci ng e arli e r p e r l o dmod e lo fr b a c 声 1 1 ep ap e ral s oi l l 打 o d u c es o m ete c b n l q ue( e n 呷pt an d l d e n t l fi c at i o n ) w h l c h o ft e 幻 b e us edfo r w e b叩 p l i c at i o n .the n t hep 叩 e r i n t r o d u c e n l s t ( 则c i t s3 5 9 一 2 0 0 4 ) ，an dal s oln a d es o me d i s c us s i o n0 nthiss 1 a n d a r d ，5 c ll a r a c te ri stic. s ec o n di y， the p aper p ut fo p 刃 a r dat e x t t la p oi n t 一aki nd o fnew r b a c / we b mo d el ，a i1 d m a d e toel abo rate toj a y are al i zationand key con t e 幻 t s .g i v e ind e 面l des c ri pt i o n o f d at abas e a ll d key 允 il c t i o n ，i n d e t i fi c at i ona n d e ncry ptal soare gi ven fo r this rba c / w e b m o de l inthe p 即 e r. fl ru l a l 苏 th e p 叩 e r m ad e ano ut l o o k on the model . t h l s p 即e r i s a k i l1 d o f des i gnm o d elw h 1 c h p uts fo n 刀 a r d ac c o rd i ngtothe r b a cs t a n d a r d u n d erabo vee n v l r o lune ni ， t hi o w l n g inn ations a c t l v el y 留 a d e m icof c a r ryo uta re s e ar c h初thb i ginthe di s c u s s i 叽 al sowil l do s o m e c e d a i n pos iti ve con t ri b utionfo r r b a c研 /e b appl ic atio ns. k 即 w o r d ， :r o l eb ase da c c e s s c o n t r o l ，a c c e ssc o n t r o l ，i d e ntifi c atio n ，r b a c b a s e dw e b l i 学位论文独创性声明 学位论文独创性声明 本人声明 所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中 特别加以标注和致谢的地方外，论文中不包含 其他 人已 经发 表 或撰写过的 研究 成果， 也 不 包含为获得 南昌大学 或 其他教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学 位 论 文 作 者 签 “ 手 “ ，:熟 咋签 字 日 期 : 20 07 年 ， ” 日 学位论文版权使用授权书 本学位论文 作 者完全了 解 南昌大母 有关 保留、 使用学 位论文的 规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅 和借阅。 本人授权南昌大学可以 将学位论文的 全 部或 部 分内 容编入有关 数据库 进行检索，可以 采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学 位 论 文 储 签 “ 手 “ 泞竹 导 师 签 “ (手 “ ): 秒 沙 签 字 日 期 : : ， 7 年了 月沪 日 签 字 日 期 : 乡 刁 年矛月汐日 学位论文作者毕业后去向: 工作单位: 通讯地址: 电话: 邮编: 第1 章引言 第 1 章引言 l i we b环境下的信息安全概述 社会的不断发展，使得信息成为在人类社会活动、经济活动中起着越来越 重要的作用。然而信息系统越是重要，越容易受到攻击，如窃取、冒充、伪造、 篡改 等 等.因 此， 信息系统的 安全保密成为迫 切需 要 解决的问 题111 。 所谓信息系统安全，是指为信息处理系统建立和采取的技术和管理的安全 保护措施，以 保护计算机系统中的硬件、软件及数据，防止其因 偶然或恶意的 原因而使系统或信息遭到破坏、 更改或泄露。 根据15 0177 99对信息安全的定义， 信息安全的三个特征是: ( 1) 保密性:确保只有被授权的 人才可以访问信息; (2) 完整性: 确保信息和信息处理方法的准确性和完整性: ( 3 ) 可用性:确保在需要时，被授权的用户可以访问信息和相关的资产。 同时信息系统安全性问题被区分为三大类:技术安全类、管理安全类和政 策法律类。技术安全是指计算机系统本身实现中，采用具有一定的安全性质的 硬件、软件来实现对于数据及其所包含的数据或信息的安全保护，能够在整个 系统中， 在一定程度甚至完全可以保证系统在无意或恶意的软件或硬件攻击下 仍能使得系统内的数据得到保护。 信息系统的安全保密研究的 对象是整个系统， 而不仅是系统中某个或某些分离的元素。从技术角度看，信息系统安全问题的 研究内 容至少包括通信安全、计算机安全、操作安全、人事安全、工业安全等 内 容12 。 从软件的 角 度看， 对于信息系 统安全应考虑以 下几个方 面的内 容: 操作 系统安全、数据库管理系统安全、网络安全以及应用系统安全。这四个方面的 内 容 是 相 辅 相 成 、 缺 一 不 可 的 131 。 一个完整的安全信息系统要综合地使用身份鉴别、访问控制、数据加密、 安全审计、安全管理等安全技术。在现实环境中，没有任何一项技术能够单独 地解决安全问题。在这些安全技术中，访问控制起着极其重要的作用，它是安 全策略 在系 统运行中 的 集中 表现4 15 。 作为国际 化标准组织定义的五项标准安 全 服务之一，访问 控制技术是实现信息系统安全的一项重要机制，它也是本文要 研究讨论的重点问题。 第 1 章引言 1 ，2访问控制技术概述 访问控制技术是信息安全的一类重要技术。访问控制的作用就是对需要访 问的主体 ( 用户、进程等)进行身份验证，并限制访问主体对访问客体 ( 文件、 系统等)的访问权限，从而使计算机系统在合法范围内使用。访问控制不仅是 拒 绝非法用户访问 ， 更主要的 是限 制 合法用户对资 源的 访问 。 161 美国 国 家安 全局 发布的ia吓( in fo n 力 a t i ona ss uran eet e c hni c alf rame work ， 信息保障技术框架) 文档中根据信息安全需求划分了五种主要的安全服务: 访问 控制、保密性、完 整性、可用行和不可否认性。 联邦调查局 (fbl)的 评估显示80%的攻击和入侵来自 组织内 部。 访问 控制 可以最大限度的阻止这种来自内部的破坏。它可以通过授权系统的控制，使用 户仅获得能够访问资源的最小权限， 保证无法越权访问。 这在“ 电子政务” 系统中 尤其重要。因为，内部人士的破坏活动并不局限于破坏计算机系统，还包括越 权处理公务、窃取机密数据等。通过访问控制，就可以对他们的访问权限进行 严格的限制，降低他们的破坏力。 目前，访问控制的重要性己经越来越为人们所认识，但是它并不能与其他 的安全服务相分离或独立。这些安全服务是相互依赖的。在实现上，通常是一 种安 全机制支持多 种安全服务 门s 。 这 样的 安全机制 通常 需 要多 种安全 技术联 合 构建。比如，密码、认证与识别、授权与访问控制、审计、网间隔离与访问代 理、反病毒等。只有综合运用各种安全技术，合理搭配，才能构建支持多种安 全服务、强有力的安全机制。 1 .3传统的访问控制类型 访问控制 ( acce ssc o n 仕 0 1 ) 就是通过某种途径显式地准许或限 制访问能力及 范围的 一种方法 19 。 一 个安全的网 络需要可靠的 访问 控 制服务 作保证， 尤 其是当 网络规模比较大和用户较多的时候。 通过访问控制服务，可以限制对关键资源 的访问，防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。 访问控制系统一般包括: ( 1)主 体( s ubje ct ) : 发出 访问 操作、 存取 要 求的 主 动方， 通常 指 用 户或 用户的某个进程; (2)客体 ( obie ct ):被调用的程序或欲存取的数据访问; 第 1 章引言 (3)安全访问 政策:一套规则，用以 确定一个主体是否对客体拥有访问能 力。 传 统的 访问 控 制 类 型 主 要 有两 类: 自 主 访问 控 制d a c( dis creti o n 田 了 acce ss c o 川 r o d和强制访问 控制m a c ( m an d atoryacee ssc o ni ro l )。 1 ， 3 . 1自 主访问控制d a c( d i s c r e t i o n a 叮cc e s s c o n t r o l ) 在自 主访问控制中，用户对于不同的数据对象有不同的存取权限，不同的 用户对同一对象也有不同的权限。允许某个主体显式地指定其他主体对该主体 所拥有的信息资源是否可以访问以及可执行的访问类型。i j n ix 操作系统和n t 操作系统都是采用d a c访问控制。 可以在每一项资源对象上直接设置用户的各 项权限，也可以针对每一个用户组设定权限，每一个组对应一定的岗位，职位， 职责，而把用户置于一个或多个组中，实现权限管理。它的缺点是一旦组织内 的人员发生离职，升职，换岗等人事变动或者职能发生变化，都要管理员对每 一项资源重新设置用户许可的诸多细节。这对管理员的要求非常高，而且容易 出错。 1 .3 .2强制性访问 控制m a c ( m a n d a t o 叮 c c e s s c o n t r o l ) 对系统中的 用户 和文 件分成 密级进行标识， 并 按b ell一 l 即 a d u l a 计 算机安 全 模型，实现用户只能读取比其密级低的文件，写入比其密级高的文件，可防止 非授权用户越权读和修改文件，对系统中的文件进行分级管理。 在强制存取控制中，每一个数据对象被标以一定的密级，每一个用户也被 授予某一个级别的许可证。对于任意一个对象，只有具有合法许可证的用户才 可以存取。强制存取控制因此相对比较严格。它主要用于多层次安全级别的应 用中，预先定义用户的可信任级别及信息的敏感程度安全级别，当用户提出访 问请求时，系统对两者进行比较以确定访问是否合法。其缺点在于主体访问级 别和客体安全级别的 划分与现实要求无法一致，在同级别间缺乏控制机制。另 外ma c由于过于偏重保密性， 对其他方面如系统连续工作能力、 授权的可管理 性等考虑不足。 传统的访问控制方式，自 主访问控制d a c和强制访问控制m a c只有主体 和客体两层结构，也就是说，直接将访问主体和客体相联系，客体维护对客体 的访问权限信息，将主体的身份标志或安全等级与客体维护的访问权限信息进 行比较，来实现访问控制.这种访问控制对于主体的身份变化难以作出灵活的 第 1 章引言 应对，当客体的职位、机构组织方式，职位工作内容等发生变化的时候，需要 对客 体的 每 一项资 源重新设置用户许可的 诸多 细节 10l 】 。 当 资 源对象 数目 庞大， 组织机构结构复杂变动频繁时，访问控制的授权管理需要花费很大的人力，容 易出错，而且对主体的划分难以 和现实相联系，无法实现动态的和复杂的安全 政策。 1 . 4早期的r b a c模型 l 4. i r b a c概述 美国乔治梅森大学的 s a ll d hu 教授等人提出的基于角色的访问控制模型， 它具有很强的灵活性和易管理性， 可以根据用户的不同需求， 通过不同的配 置方便地实现自 主 访问 控制或强 制访问 控制112 。 这种技术尤其适用于 具有较多 用户且有着不同权限层次系统的访问控制的管理， 它是目 前访问控制研究领域 最活跃的分支之一。 但从总体上看，目 前对访问 控制的研究主要偏重于理论， 将这些理论模型应用到实际系统的较少。 r b a c的基本思想是: 在用户和访问 权限间引入角色的概念， 安全管理员根 据需要定义各种角色，并为之配置访问权限，对用户则根据责任、资历再为其 指派不同的角色。 故整个访问控制过程分成两部分: 用户与角色关联，角色与 访问权限关联， 通过给用户指派角色进行授权。 r b a c实现了用户与访问权限的 逻辑分离，极大地方便了 授权管理113 。 相较于用户 ( 人员) 更换、 任务的重新 安排而言，角色的职能、权限是相对固定的，因此r b a c提供了一种给用户授 权时降低复杂度、减少开销及潜在错误的强有力机制。总之，基于角色的访问 控制技术是通过在用户和权限间加入角色的概念以使用户通过所赋予的角色获 得相应的权限。用户被相对稳定的角色所取代，以便获得系统权限管理的简单 化。 1 . 4 . z r b a c 9 6 模型 l) rba c 9 6 模型背景简介 研究人员提出了各种不同的基于角色访问控制的模型，第一个 r b a c模型 是由d.f . f e 仃 a l o fo和d.r . k u ha于1992年提出的， 最为著名的是s an d h u 于1 9 % 年提出的r b a c %。r b a c % 是一个r b a c模型族 ( 如图1 . 1) ，由r b a c o ， 第 1 章引言 r b a c i ， r b a c z ， r b a c 3 组成。r b a c o是基本模型，是支持r b a c系统的 最低要求。 r b a c i 称为r b a c的层次模型，是在r b a c o的基础上增加了角色 的层次概念 ( 即允许角色可继承其他角色的权限)。 r b a c z 称为r b a c的约束 模型， 在r b a c o的基础上增加了角色互斥机制、 基数约束机制、 前提约束机制。 r b a c 3 则是r b a c i ， r a b c z 的 集成，是功能 最强大模型。 2 ).r b a c 9 6 模型 r b a c 9 6 模型全面地描述了r b a c多方面、多层次的意义，得到了 广泛的 认可。它以用户、角色和访问控制权限这三个实体集合为基础，其中心思想是 将用户和访问 控制权限通过角色间接地联系起来，即一个用户可以通过分配给 已 经被分配了 某些 权限 的 角 色来获 得这些访问 控制 权限 1 4l ls jll 61 。 这个模型包括 了 四 个 概念 化的 子 模型: r b a co， r-ba c l ， rbacz 和rba c 3 模型。 r 刀 a c ， ca ns olidated model 双 刀 启 c l role hie 了曰 了c hie昌 e 万 启 c : const 了aint， 朋产 几 ba昌e model 图1 . i r b a c 9 6 模型之间的关系 图1 . 1 表示了rba c %的各个子模型之间的关系。 rba co被称为基本模型 ( b as e m o de l )， 它是一个最基本的基于角色的 访问 控制模型， 可以 描述任何支 持rba c的系统的最小安全需求. r b a c ， 和r b a c z 都包含了r b a c o ，同时又 加入了不同 性质。 r b a c ， 加入了 对角色层次关系的描述， 适用于从别的角色继 承权限的情况; r b a c z 弓 ! 入了约束的 概念， 使得可以 在rba c各个组成部分的 配置上增加约束。rba c i 和 r b a q 互不兼容。r b a c 3 ，被称为联合模型 ( co ns ol i d a t e dm o d e l ) ，则是rba c ， 和rba c z 的综合，因而也包含了rba co 的性质。 第 1 章引言 羔 u 篡 u冉 5 5 1 口盯佗月 t p 人 fu 伙州 l i s si on assi 几 研四 n l . i j 习日了1一1 了01已5 s s ess t 八 脚5 几 . 刀 y t o二 ， 萝 o n . t o 流. n 萝 图1 .z r b a c %各个组成部分的关系 图1 .2 很清楚地描述了r b a c 3 模型各个组成部分的 关系。 它由四 个部分组 成:用户、会话、角色和访问权限 ( 包括操作及操作的客体)。角色和角色之 间是一个层次关系。 用户要访问系统资源时， 必须建立一个对话 ( s es s io n) ， 一 次对话仅仅对应一个用户，但是这个用户在这次对话中可以激活几个被分配的 角色，也可以说用户可以同时扮演多个角色。同时可以对以上各个环节加以约 束，正是因为约束，使得可以通过配置r b a c实现不同的安全策略。 1 .5r b a c的基本概念特征 l s. i r b a c的基本思想和基本规则 基于角色的访问控制 ( rol e 一 b ased a ccessc 0 n t r o l )的基本思想是:根据用 户的职权，分配给每个用户一些合适的角色，每一个角色都具有其对应的权限， 角色是安全控制策略的 核心llv l 。 r b a c中的 基本规则如下: 如果一个用户不具有任何角色。那么该用户无权执行任何操作。这一规则 保证任何用户只有通过角色只能完成其功能，而不能绕过角色直接访问客体。 主体的活动角色必须是经过授权的119 1 。 规则2 在规则1 的基础上确保用户只能 第 1 章引言 扮演经过授权的角色。 如果某主体要执行某个事务，那么该事务必须是授权给该用户的当前活动 角色。 在规则 1 和2的基础上， 规则3 确保用户只能执行经过授权的事务 ( 操 作)。 一些扩展规则: 1 . 每个 角色的 授权用 户数不能 超过其基数( c a r d inali ty): vr r o l 五 咎 二! auth or ized _ users (r ) “r 由砚 寿 妙 (r ) 2. 两个静态互斥的角色不能被赋与给同一用户 v u 乙 沼 肠 留， v rl，rz任 左 口 乙 五 万 ， (r l， rz) 5 5 刀 ， rl任 哪妙ed_ roles(u ) 冷rz必 ass匆记 d _ roles(u ) 3. 每个角色不能与自 己静态互斥; v r o r o l es 功( r ， r ) 必 5 夕 d 4. 静态互斥是具有对称性的; vrl ， r z r oles， ( r l ， r z ) 。 5 客 d劝( r z ， r l ) 。 邵d 5. 角色定义不能重复: 6. 继承关系定义不能重复; 7. 互斥关系定义不能重复; 8. 用户的活动角色只能是用户所拥有的角色的一个子集: l s. z r b a c的特点 以角色作为访问控制的主体 用户以什么样的角色对资源进行访问，决定了用户拥有的权限以及可执行 何种操作。 所以 在rba c中， 访问的 主体变成了 角 色11 010 . 角色继承 为了提高效率， 避免相同权限的重复设置， r b a c采用了“ 角色继承” 的概念， 定义了这样的一些角色，它们有自己的属性，但可能还继承其他角色的属性和 权限 120. 角色继承把角色组织起来，能够很自 然地反映组织内部人员之间的职 权、责任关系。角色继承在 r b a c国际标准中分为受限角色分层和普通角色分 层。 . 最小权限原则 所谓最小权限原则是指:用户所拥有的权力不能超过他执行工作时所需的 权限。实现最小权限原则，需分清用户的工作内容，确定执行该项工作的最小 第 1 章引言 权限 集， 然后将用户限 制在这些权限范围之内 121 . 在rba c中， 可以 根据组织 内的规章制度、职员的分工等设计拥有不同权限的角色，只有角色需要执行的 操作才授权给角色。当一个主体欲访问某个资源时，如果该操作不在主体当 前 活跃角色的授权操作之内，该访问将被拒绝。 . 职责分离 对于某些特定的操作集，某一个角色或用户不可能同时独立地完成所有这 些操 作。 “ 职责分离 ” 可以 有静态 和动态两种实 现方 式22 . 静态职责分离:只有当一个角色与用户所属的其他角色彼此不互斥时， 这个角 色只能授权给该用户。 动态职责分离:只有当一个角色与一主体的任何一个当前活跃角色都不互斥时， 该角色才能成为该主体的另一个活跃角色。 . 角色容量 ( 基数) 在创建新的角色时，要指定角色的容量。在一个特定的时间 段内，有一些 角 色只能 被一定 人数的 用户占 用23 。 l s. 3 r b a c角色之间的关系分析 角色之间的关系可以有以下几种:见图1 . 3 ( 1) 包含关系:存在rl ， rz，如果ri的权限集合属于rz的权限集合，则 称rz包含d 。继承关系是一种最普遍的包含关系。 (2)相交关系:存在角色ri ， rz，如果rl的权限 集合与论的权限集合相 交不等于空，则称ri与rz为相交关系。 (3)不相交关系:存在rl ， rz，如果rl与rz的 权限集合相交等于空，则 称rl 和rz不相交。 厂 r g入 图1 .3 角色关系的一个示例 角色 r l ，rz ，r3 ，r4 是最低层角色，她们之间权限完全分开，也就是两 第 1 章引言 两之间都是不包含关系。 角色rs 继承了r l ，所以rs 包含租; 角色r s 有继承了rs， 所以r s 包含 了rs，由角色继承的传递性，r s 也包含r l ，r6 包含r l ， rz，由于rs 也包 含ri，所以r6 和rs 之间是相交关系，同理r7 和rs 之间也是相交关系. 角色的相交关系和继承关系在角色比较多的时候错综复杂，有可能发生类 似以 下情况:由于r s 包含r l ， rz， r3， r6 包含r l ， rz， r7 包含r l ， r3， 如果一个用户拥有7 角色r6 和角色r7， 则该用户虽然没有被赋予角色r s ， 但实际上拥有了rs 的所有权限集合。 l s. 4 r b a c的核心思想 r b a c的核心思想是将访问 权限赋给角色， 用户通过被分配的角色来获得访 问权限。角色是根据组织内为完成不同的任务需要而设定的。根据用户在组织 中的 职权和责 任， 可以 分配 给其某 些角色124 】 125 . 对角色进行授权， 而不是 直接 对用户进行授权，其优点在于: . 角色与企业组织结构相吻合; 系统管理控制与企业管理控制相吻合， 其管理 职能可以集中式与分布式相结合。 . 简化了 授权管理， 这表现在多个方面。 首先， r b a c 在用户授权时分成两个 步骤: 将访问权限分配给角色， 根据用户的职责， 为用户分配相应的角 色， 用户通过这些角色来获得访问 权限。 这样如果某个用户在组织中的职能 发生了 变化， 那么只需将该用户从当前的角色中撤销并分配给其他相应的角 色即 可， 而 不需 要 重 新 授 权， 避免了 因 为 人员 调动 而引 起的 授权 变 化12 刀 128 。 此外， 角色层次是r b a c的另一个重要内容， 上级角色可以继承下级角色的 访问 权限， 显然这进一步简化了 授权管理。 同时， 在r b a c中根据客体的类 型和其应用的领域可以 将它们分类， 则无需对这一类中的单个客体单独进行 权限分配，这也有利于简化授权管理。 . 可以实施多种安全策略，且策略中立。 . 方便动态负载平衡 ( 人员调度)， 适合工作流管理。比如假设属于某角色的 用户因为某种原因暂时不能执行某一操作， 则同属此角色的其他用户就可以 执 行 这 一 操 作 291。 第 1 章引言 l 6其他技术基础 1 :61用户身份认证 身份认证 身 份认证就是让 主体安 全的向 系统 证明自 己 的身 份。 主体 ( p n n c ip al ) 主要 指个人、公司、或消息发送者和接收者。标志在安全系统中提供了唯一区分主 体的方法。主体标志是许多其他安全保护机制使用的基础性安全操作。例如， 要确定是否允许访问特定资源，必须先确定主体标志。有几种使主体标志自己 和向系统验证自己的方法，验证方式又可以分为基于主机的验证方式和基于个 体的 验 证 方式 130 1 131. 包括下 列 验证 类 型 基于口令的标志与验证 主体向系统提供正确的主体i d和口 令对，来向系统验证自己的身份。这是 一种基于个体的验证方式。是最常见的主体验证方法。 基于物理令牌的标志与验证 用a t m卡或智能卡等物理项目 作为主体标志， 功能强大。 这也是一种基于 主体的验证方式，本文的原型系统采用的就是这种认证方式。 基于生物统计学的标志与验证 生物统计学用人体的一些特征 ( 如指纹和眼角膜特征)标志一个人。这是 最难以被窃取的主体标志， 但由于设备昂贵，不够普及.并且一个人一生只能 有一个身份验证标志而无法更改，随技术的发展，安全保证能力会有所衰退。 基于证书的标志与验证 证书就是包含主体标志信息的数据块。证书由 权威的，可信赖的，公正的 第三方证书机构签名，以便保证证书的可靠性。证书中的信息包括主体的公开 密钥，主体的信息，证书有效截止日期等。用户向认证中心 ( c a 一 c e rt l ficate a u l h ority ) 提出 证书申 请， 寄 送身 份证复印 件， 单 位公 章 等证明 材 料。 以 在验 证申请者身份之后 ( 这一般需要较长时间， 例如二周)， 产生公有/ 私有密钥对， 把公有密钥通过电子邮件发送，而私有密钥要求用户连接到以的服务器上，以 安全方式获得，例如通过安全we b连接下载。这个安全we b连接通过证书机 构的一次性提供的安全的公开密钥实现。此后这个证书就成为用户的网上身份 证3 2 。 利用数字证书、p ki、对称加密算法、数字签名、数字信封等加密技术，可 第 1 章引言 以建立起安全程度极高的加解密和身份认证系统，从而使信息除发送方和接收 方外，不被其他方知悉 ( 保密性);保证传输过程中不被篡改 ( 完整性和一致 性):发送方确信接收方不是假冒的 ( 身份的真实性和不可伪装性);发送方 不能否认自己的发送行为 ( 不可抵赖性)。 l 6. 2加密算法 信息的机密性一般通过对信息加密来实现。所谓加密，就是用数学方法重 新组织数据， 使得除了合法的接受者外， 任何其他人要想恢复原先的“ 消息” 将 原先的消息称作“ 明文，) 或读懂变化后的“ 消息”( 将变化后的消息称为“ 密文， ) 都是非常困 难的 1331 . 通常， 我们把将密文恢复成明 文的 过程称作解密。 加密和 解密操作分别是在一组密钥控制下进行的，它们被分别称为加密密钥和解密密 钥134113 5 。 根据加密 算 法所 使用的 加密密钥 和解密密 钥是否相同、能否由 加密过 程推导出解密过程， 可将密码体制分为对称密码体制和非对称密码体制。 如果一个加密系统的加密密钥和解密密钥相同，或者虽然不相同，但是由 其中的任意一个可以 很容易地推导出另一个，则该系统所采用的就是对称密码 体制136 1 。 对称密码体制是一种传统密码体制，也称为私钥密码体制。对称密码 体制的优点是具有很高的保密强度，可以达到经受较高级破译力量的分析和攻 击137 1 。 但它的密钥必须通过安全可靠的途径传递，密钥管理成为影响系统安全 的关键性因素，使它 难以 满足系统的开放性要求138 13 9 。 最著名的对称密钥加密 标 准 是 数 据 加 密 标 准( d atae n c ry p t ions t an d a r d ， 简 称d e s)1404l 42。目 前己 有一些比d e s算法更安全的对称密钥加密算法，如: i d e a算法， r c z ， r c 4 算法， s ki 川 ac k 算 法 等。 本文 采用的 就是i d e a算 法， 并用j a v a进行实现43 。 非对称密码体制也叫公钥加密技术，该技术就是针对私钥密码体制的缺陷 被提出来的。公钥加密系统的主要优点是可以适应开放性的使用环境，密钥管 理问 题相对简单， 可以 方便、安全地实 现数字签名和验证。 在公钥加密系统中， 加密和解密是相对独立的，加密和解密会使用两把不同的密钥，加密密钥 ( 公 开密钥)向公众公开，谁都可以使用，解密密钥 ( 秘密密钥)只有解密人自己 知道，非法使用者根据公开的加密密钥无法推算出解密密钥，顾其可称为公钥 密码体制。如果一个人选择并公布了他的公钥，另外任何人都可以用这一公钥 来加密传送给那个人的消息。私钥是秘密保存的，只有私钥的所有者才能利用 私钥对密文进行解密。公钥密码体制可以使通信双方无须事先交换密钥就可以 第 1 章引言 建立安全通信，可用于身份认证、数字签名和密钥交换。公钥体制一般是建立 在某些己 知的数学难题之上，是计算机复杂性理论发展的必然结果.非对称加 密算法主要有r s a ，d s ， d i ffi c 一 h e l l man ， p k c s ，p o p 等。 l 7本文所做的工作和论文结构 l 7 . 1所做的工作 本人所做的工作可以总结如下: 1) 研究了 传统的 访问 控制 模型 和rba c 访问 控制， 尤 其是 基于角 色的 访问 控制 模型 ( 重点讨论了r b a c标准模型 (a入 留劲 兀 了 昭万少 2004 模型标准)， 并 且研究了基于a n 夕 1 乃 汇 甘 t s 万乒 2004 模型标准在we b 上的具体实现方法。 2) 提出 了rba c 在w eb上实 现的 一 种模 型 方 案。 该 模型 方 案 利 用 关 系 数 据 库 表述用户、 角色、 权限， 用户/ 角色分配， 角色 / 权限分配来实现 r b a c 。 我 们称这种方案为r b a c/we b模型。 3) 研究讨论出rba c的 用户认证方式和加密方式。 4) 对w eb上实 现rba c和w eb应用 程序 相关问 题 进行了 进一 步的 研究 和探 讨。 l 7. 2论文的组织结构 论文的主要内容安排如下: 第一章主要介绍访问控制技术的背景和 r b a c的基本概念，此外还涉及 到基于we b方案所必须考虑的用户认证技术和加密技术。 第二章重点介绍r b a c标准模型 ( a 入 客 1 刀 穴 刃 ts了 j 夕 一 2 0 04少 ， 分析并讨论 改模型的特征和实现方式。 第三章 本文推出的r b a c / 认 王 b模型， 给出具体的实施方案。 第四章总结r b a c 了 we b模型， 并对所做工作的总结和对下一步工作的展 望 。 1 8小结 本章首先介绍了本文撰写的背景，访问控制是安全信息系统的一个重要组 成部分， 在系统设计中不可或缺。 然后介绍了访问控制的几种类型( ma c ， d a c ， 第 1 章引言 r b a c )，对r b a c的早期模型给予了详细的介绍。并对r b a c的基本概念和 特征给予了讨论。 接着给出了 基于we b考虑的用户身份验证和加密信息处理的 相关知识。最后提出 本文所做的工作和组织结构。 第2 章 r b a c理论模型标准 第2 章r b a c理论模型标准 2. i r b a c标准产生背景 2 0 0 0年，美国国家标准与技术局的 d.f. f errai of 。 ， r.s and h u ， s. g a v r i l a 三 位作 者， 发 表了 “ ap ro po se d s t a n d ard fo r rol e 一 b as edacce ssc o 咖 l 一 文， 其 中整理了 过去学术界以 及美国国家标准与技术局在 r b a c领域的研究成果，也 提出了rba c新的定义与理论模型1451。 随着rba c 研究的 深入及r b a c在企业中的 广泛应用， 缺乏统一的 标准己 阻碍了r b a c的发展， 而美国国家标准局 ( a n s d一直致力于r b a c标准的制 定， 终于在2004年2 月3 日 通过了r b a c的工业标准a n sll-ncit s 3 59一 2004， 见图2 1 所示。标准分为两部分，定义了r b a c的参考模型和 r b a c系统、管 理的功能说明。n ls tr b a c定义了四个模型部分:核心r b a c 、层次r b a c 、 静态职责分离r b a c和动态职责分离r b a c 。 名 s d 、 、 动 态 职 责 分 离 ( 卜 四 的沁 、 . 5 . p 盯 a lj 0 ll o f d u 勺 ) 洲一 刀s d 图2 . i r b a c标准模型 ( a n s l lnc i t s 3 5 9 一 2 0 0 4 ) 核心r b a c定义了为完成基于角色访问控制系统的最小集合。这包括任何 基本的r b a c系统必须考虑到的用户一角色分配关系和权限一角色分配关系。 在一个计算机系统中，核心 r b a c还引入了作为用户会话的角色激活概念。核 心r b a c在任何r b a c系统中都是必要的，而其他模型部分则是相互独立的， 第2 章 r b a c 理论模型标准 而且可以 各自 分别实现。 层次r b a c模型部分加入了 支持角色继承的关系。继承是角色之间等级关 系:高等级的角色从他们的低等级角色获得权限。通过引入授权用户和权限角 色集，层次r b a c超越了简单的 用户、权限和角色之间的分配关系。 静态职责分离 模型( s tatic s ep arati onofd u l y ，ssd ) ，即 加入了 关于 用户 分配角色的互斥关系。由于静态职责分离和角色继承关系的不一致，s s d关系 模型部分定义了存在继承的s s d关系和没有继承的s s d关系。 动 态 职责 分 离 模型( d y n a ln lc s e p ar a t ionofd uty，d s d ) ， 定 义了 角 色 在 用户会话期间被激活的互斥关系。 r b a c参考模型定义了一个r b a c 特性分类， 通过这个分类可以 组成各种各样的 r b a c特性包，而不是去定义一套完整的 r b a c特性。这个模型主要提供了定义r b a c突出特性的标准集合，而这些特 性存在于现有的模型中和己实现的商业产品中。 2. 2标准模型中的基本概念 用户 ( u ser) : 系统的使用者。 定义为人。 也可以将用户的概念扩展为计算 机、 进程、网络、或独立智能代理。 角色 ( rol e) : 对应于组织中某一特定职能岗位， 代表特定的任务范畴。 角 色的例子有:程序员、预算员、经理等。由于，在 r b a c中用户和权限都分配 给角色，所以也可以 把角色理解为用户与权限的集合。基于角色的访问控制中， 权限只能分配给角色，而不能直接分配给用户，在这里角色和用户有着严格的 区分。 权限 ( pen n l s si on):表示系统中的 客体进行特定模式访问的 操作许可。 在 面相对象技术中，权限表示对某个对象的方法是否有引用的权力。在应用中， 权限受到特定的应用逻辑限 制。同时，权限是一个很抽象的概念。 对于它很难 有一个统一的准确的表述。 特别是在通用目的抽象模型中准确的界定权限本质 是困难的。 一般来说，在r b a c中权限就是指对受r b a c保护的对象执行操作。这里 的操作定义为一个可执行的 程序映像， 对于用户来讲，它的调用将执行某些函 数。 rba c所控制的操作和对象的 类型依赖于系统中要实现的 类型。除此之外， 这里说的权限仅限于对数据和资源对象的访问，不包括对系统要素自身的访问 第 2 章r b a c理论模型标准 控制。这被归结为对 r b a c自 身的管理， 在讨论角色和权限的时候一定要明确 具体的环境。 图2. 2 表示了用户、角色、 权限之间的关系的一个示例。 用追合 鱼 u 卿l一一一李 助le l 二一一 / / 权限 氏r n l i ssi o nl us e r z rolez 一 一 二 erm issionz / tj s， 3 一 _ 、 。 。 匕一 行*551。n 3 图2. 2 r b a c中的用户、角色与权限的关系的一个示例 从图中可以看出，一个用户可以建立多个角色，一个角色也可以 拥有多个 用户，它们之间是多对多的关系。同样，一个角色可以 拥有多种权限，一种权 限也可以赋给多个角色，角色和权限之间也是多对多的关系。权限分为操作权 限和对象权限。如对某个企业集合进行更改医疗保险中的计算基数，企业集则 为对象权限，而对这个集合进行更改计算基数的操作则为对应的操作权限。对 象操作是为一体的概念，操作必然是对一定的对象，对应对象也应有一定的操 作146 。 某项操作可以 针对多个对象， 某 个对象也可 拥有多 项操作， 操作权限 和 对象权限也是多对多的关系，权限的示例如下图2. 3 所示。 00 0 r 00 0 r ( res o u rc e ) o 尸 朋ph o 比 腼bellll.1口 key ho的 口 心口 r 卜 加 b ， 呻 一，叫0 图2. 3 权限示例 ( 对象和操作) 第2 章 r b a c理论模型标准 在上图中，可以看出门上的对象具有猫眼、钥匙孔，门把手、门侧边具有 门铃。故操作对猫眼来说具有看的行为，对钥匙孔具有开锁/ 锁上的行为，对门 把手具有开/ 关的行为，对门铃具有按铃的行为。所有这些操作行为和具体所对 应的对象组成了具有实际意义的权限。 此外，用户分配指根据用户在组织中的责任和能力被赋予对应各个角色的 成员。权限分配指角色按其职责范围与一组操作权限相关联.用户通过被指派 的 角色间 接访问 资 源， 进行权限 分配时， 应遵循最小 特权原 则( thel e astp ri v i l ag e r u le )，即分配的权限集既能保证角色充分行使其职权，又不能超越职权范围。 r b a c的参考模型由四个部分组成: 核心r b a c ( c o rer b a c) ，r b a c 层次 模型 ( h ie r ar c hi c alrba c ) 、 静态职责分离模型 ( s tatics ep arat i onofd uty rel at i o ns)、 动 态 职责 分离 模型 ( d y n ami c s 即arat i o n o f n uty rel at i o n s ) 。 2 . 3co rc rb ac 核心r b a c 模型元素集和关系的定义如图2. 3 。 核心r b a c包括五个基本数 据元素:用户 ( u s e r s) 、角色 ( r o l e s )、 和权限 ( p r ms )， 权限内含有对 象 ( o b s) 、操作 ( o p s) 。整个 r b a c模型的基本定义是基于:为用户分配 角色;将权限分配给角色。这样，角色就意味着个人用户和权限之间的多对多 的关系。而且，核心r b a c模型包括一系列会话 ( s e s si o n )，每个会话是都 是用户和分