（计算机应用技术专业论文）针对xml层访问控制模型的语义网安全性研究.pdf

硕士论文 针对x m l 层访问控制模型的语义网安全性研究 摘要 随着信息化时代的到来，万维网已成为人们日常生活中不可或缺的一部分。然而 其缺陷也是明显的，h t m l 在使网页变得越来越花哨的同时，对于信息的结构化描述 却没有起到一点作用，语义网的概念正是针对这一问题而提出的。语义网安全性问题 从分层的角度来考虑，x m l 安全的地位是不言而喻的。 本文专注于针对x m l 文档的访问控制，讨论了将传统的基于角色的访问控制模 型与x m l 结合起来的问题，在总结分析前人在这一领域内大量研究模型的基础上， 从既有r b a c 模型的局限性和x m l 语言本身的特性这两个方面入手，注重融合，设 计了一个名为s o r b a c 的适用于x m l 文档的访问控制模型。 本文在深化细粒度访问控制这一指导原则下，从x m l 文档高度结构化这一特性 出发，强调了一种面向资源的思想，完善并明确化了授权扩散的概念，同时兼顾实用 性与可操作性，结合使用c l 与a c l ，在细粒度访问控制中又引入了粗粒度辅助的机 制。随后本文进一步设计了条件访问、带属性的角色这两个特性，给出了经典r b a c 模型存在的两个明显不足在与授权扩散相结合的条件下的解决策略。最后，本文引入 了一个授权冗余的概念，依据之对授权规则集进行了分类，并结合前述特性，设计了 s 0 - r b a c 模型的一个系统框架。 关键词：x m l ，r b a c ，授权扩散，角色属性，条件访问，授权冗余 硕士论文 针对x m l 层访问控制模型的语义网安全性研究 a b s t r a c t w i t ht h ea r r i v a lo ft h et i m e so fi n f o r m a t i o n ，t h ew o r l dw i d ew e bh a sb e c o ma l l i n d i s p e n s a b l ep a r to fp e o p l e se v e r y d a yl i f e h o w e v e r , i t sd e f e c t i sa l s o e v i d e n t ， i n f o r m a t i o n so nt h ew e ba l ep r e s e n t e dm o s t l yi na l lu n s t r u c t u r e dw a ya n dt h eh t m lc a n d on o t h i n ga b o u ti t ，w h i l em a k i n gt h ew e bm o r ea n dm o r ef l a r i n g t h ec o n c e p t i o no f s e m a n t i cw e bi sp u tf o r w a r dr i g h ta i m i n ga tt h a ti s s u e f r o mt h ea s p e c to ft h el a y o u to f s e m a n t i cw e b ，t h es e c u r i t yo fx m lt a k e sas i g n i f i c a n tp o s i t i o ni nt h ew h o l ef i e l do ft h e s e c u r i t yo fs e m a n t i cw e b t h i sp a p e rf o u c so nt h ea c c e s sc o n t r o lm e c h a n i s mf o rx m ld o c u m e n t sa n dd i s c u s s e d t h ei s s u eo ft l l ec o m b i n a t i o no ft h et r a n t i o n a lr b a cm o d l ea n dt h ex m l o nt h eb a s i so f t h ea b u n d a n tp r e v i o u sr e s e a r c ha c h i e v e m e n t ，t h i sp a p e rd e s i g n sa na c c e s sc o n t r o lm o d e l w e l ls u i t e df o rx m ld o c u m e n t sn a m e da ss o r b a c ，v a l u i n gs y n c r e t i s ma n di n n o v a t i o n ， f r o mb o t ht h ea s p e c t so f t h el i m i t a t i o no f r b a ca n dt h ei n n e rc h a r a c t e r i s t i c so f x m l t h i sp a p e rl a y se m p h a s i so nar e s o u r c e o r i e n t e di d e o l o g yd u et ot h eh i g h l ys t r u c t u r e d f r a m e w o r ko fx m l d o c u m e n t s ，u n d e rt h eg u i d a n c eo ft h et h ef i n e g r a i n e da c c e s sc o n t r o l p r i n c i p l e ，t h u ss p e c i f i e sa n di m p r o v e dt h ec o n c e p t i o no fp r o p a g a t i o no fa u t h o r i z a t i o n s a t t h es a m et i m e ，t h i sp a p e ra l s ot a k e sp r a c t i c a b i l i t yi n t oa c c o u n t ，i m p o r t sac o r a r s e - g r a i n e d a c c e s sc o n t r o lm e c h a n i s mi n t o f i n e d g r a i n e d a c c e s sc o n t r o la sa na s s i s t ，w i t ht h e c o m b i n a t i o no fc la n da c l a f t e rt h a t ，t h i sp a p e r p r e s e n t e dt w oc h a r a c t e r i s t i c sn a m e da s c o n d i t i o n a la c c e s sc o n t r o la n dr o l e sw i t ha r r r i b u t e s ，p r e s e n t e dai n t e g r a t e ds t r a t e g yf o rt w o f a m i l i a rs h o r tc o m i n g so fc l a s s i c a lr b a cm o d e lu n d e rt h ec o n d i t i o no ft h ep r e s e n c eo f p r o p a g a t i o no fa u t h o r i z a t i o n s f i n a l l y ，t h i sp a p e ri n t r o d u c sac o n c e p t i o no fa u t h o r i z a t i o n r e d u n d a n c yc l a s s i f y i n gt h ea u t h o r i z a t i o ns e ti n t ot w op a r t sa c c o r d i n gt oi t ，a n dd e s i g n sa s y s t e m a t i cf r a m e w o r kf o rs o r b a cm o d l eu n i t i n gp r e v i o u sm e r i t s k e y w o r d s ：x m l ，r b a c ，p r o p a g a t i o no f a u t h o r i z a t i o n ，r o l ea t t r i b u t e s ， c o n d i t i o n a la c c e s sc o n t r o l ，a u t h o r i z a t i o nr e d u n d a n c y 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在本 学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发表或 公布过的研究成果，也不包含我为获得任何教育机构的学位或学历而使 用过的材料。与我一同工作的同事对本学位论文做出的贡献均已在论文 中作了明确的说明。 研究生签名 、搿稻瑚6 年6 月留日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅或 上网公布本学位论文的部分或全部内容，可以向有关部门或机构送交并 授权其保存、借阅或上网公布本学位论文的部分或全部内容。对于保密 论文，按保密的有关规定和程序处理。 研究生签名： 、影漓鸸土o o6 年f 月孑目 硕士论文针对x m l 层访问控制模型的语义网安全性研究 1 绪论 1 1 课题的引出 1 1 1 语义网概述 万维网之父t i mb e m e r s l e e 早在其就职于c e r n 实验室的时候就提出了w e b 的 三大中心规范：用于指定每个页面标准地址的u r l ；用于访问网页的h 1 v r p 协议； 用于格式化超文本文档的h t m l 语言1 1 。这一指导思想下的直接产物万维网，取 得了巨大的成功。但是它也有着明显的缺陷：网络上的信息是以一种机器不能理解的 形式存在的，机器在处理这些信息的时候，是无法获取信息的实际意义的。机器通过 网络传输网页，并显示在屏幕上，但是在选择信息、解释信息、比较不同的信息源、 根据信息得出结论方面它是帮不上一点忙的p 】。由此b e r n e r s l e e 预见了“语义网 ( s e m a n t i cw e b ) ”的概念，创建语义网的第一步就是以一种机器能够理解的形式把 数据放到网络上。“如果说h t m l 和w e b 使得所有线上文档看上去像一本浩瀚的书， 那么语义网就会使世界上所有的文档看上去像一个巨大的数据库”。 语义网并不是一个单独的全新的w e b ，而是对现有网络的一种延伸，在其中信息 有了良好界定了的含义，使得计算机和人能够更好地合作。t i mb e r n e r s l e e 在 x m l 2 0 0 0 大会上给出了语义网的体系结构，如图1 1 1 1 1 2 1 所示： 第七层 t r u s t 八 第六层 p r o o f 第五层l o g i c 第四层 o m o l o g yv o c a b u l a r y 第三层r d f + r d f s c h e m a 第二层 x m l + n s + x m l s c h e m a 第一层 u n i c o d ea n du r i 图1 1 1 1 语义网体系结构 f r a n kv a nh a n n e l e 在f 3 1 中对语义网产生的诱因、如何实现甚至何时会实现等问 题给出了进一步的阐述和预测。 1 1 2 语义网关键性概念 b h a v a n it h u r a i s i n g h a m 在f 5 1 中不仅对语义网的安全性问题进行了分析，对于语义 网每一层的功能与实现目标有着同样精彩而又简明扼要的解释： u r i ( u n i f o r mr e s o u r c ei d e n t i f i e r s ，统一资源标识符) 和u n i c o d e 是整个语义网 络的基石，它成功解决了万维网上资源的定位和跨区字符编码的标准格式的问题。 x m l ( e x t e n s i b l em a r k u pl a n g u a g e ，可扩展标记语言) 是对于文档交换的标准表 示方法，是一种遵守着特定规则的标记性语言。如果所有的文档都用x m l 来标记， 1 硕士论文针对x m l 层访问控制模型的语义网安全性研究 那么就有了一种统的文档表现形式。这是对万维网的一个重要的发展，没有某种通 用的文档表现形式，在网络上是不可能有任何的交流的。 r d f ( r e s o u r c e sd e s c r i p t i o nf r a m e w o r k ，资源描述框架) 本质上使用了x m l 的 语法，但是支持表达语义，以一种类似于 语法元素的三元组的形式。 x m l 已经得到了广泛认同的时候，r d f 的发展才刚刚起步。 r d f 是一种表达语义和语法的规范性语言，问题就在于我们要对什么样的实体 来进行规范、业界如何来接受这种通用的规范。为了解决这个问题，各个领域已经开 始提出一种称为本体( o n t o l o g y ) 的概念。使用本体，不同的团体能够相互交流信息， 本体使得信息的交换和整合更加容易，本体可以通过使用r d f 句法来规范表示。 最后的l o g i c ，p r o o f ，t r u s t 三层的主要思想是我们如何来信任来自网上的信息， 我们如何去执行信任协商，如何去相信彼此，和信任问题紧密相关的就是安全问题。 1 1 3 语义网安全性问题 随着对语义网研究的不断深入，语义网安全性问题逐渐进入人们的视线，虽然国 内外对于这个问题的研究大都还处于起步阶段，但其重要性是不言而喻的。我们在研 究语义网的同时就应该展开这个课题，而不是留待事后去考虑。 b h a x ，a n it h u r a i s i n g h a m 认为语义网的安全不应该被割裂出来看，这就是说没有哪 一层应该独立地专注于安全问题，安全问题应该贯穿于每一层口】：底层，我们需要安 全的t c p i p ，安全的s o c k e t ；下一层是x m l ，我们需要安全的x m l ，访问必须能 被控制到文档的不同的部分，分别用于浏览或修改：下一步是保障r d f 的安全，这 里我们不但需要安全的x m l ，还需要对于语义和其解释的安全；一旦x m l 和r d f 安全了，下一步就是检查本体的安全，也就是说本体有着其自身的安全级别。 该思想的重点就在于没有把语义网的安全性问题孤立到某一个独立的层面上来 考虑，也没有为语义网的安全性问题专门划分出一层来解决，这即是说构成语义网的 每一个组件都必须是安全的。从t c p i p 分层模型中对于安全问题的考虑中我们很容 易看出该思想与其有着异曲同工之妙，t c p i p 分层模型在物理层、数据链路层、网 络层、传输层、应用层都有着自己特有的安全机制。 1 2 课题的主要研究内容、理论及实际意义 对语义网分层模型中各个层面的研究近年来都取得了长足的进步，其中尤以对 x m l 技术的研究最为成熟稳固，有着丰富的理论基础与前人大量的实践经验。在现 实中的应用也已经非常广泛，与x m l 相关的技术、标准已经基本形成了一个家族式 的系列。因此在这个层面上来展开对语义网安全性的研究就显得十分切实可行，具有 很强的可操作性。并且我们从语义网的分层模型中也可以看出，x m l 层处于较底层， 可以说是其上层的处于语义网核心地位的r d f 层和o n t o l o g y 层的基石，因此从这里 展开我们的探索对整个语义网的安全性研究也有着很强的实用价值。 硕士论文针对x m l 层访问控制模型的语义网安全性研究 本文专注于语义网x m l 层，在针对x m l 的访问控制这一领域中对语义网安全 性问题做出了一定的探索。访问控制，就像加密、数字签名和密钥管理一样，其本身 就是安全领域中的一个重要课题，已经有着比较长久的研究历史，但是x m l 语言的 出现，以其自身的特殊性对这一领域提出了新的要求与挑战，为这一传统课题又注入 了新的活力。本文即是在充分利用前人研究成果的基础上，设计了一个相对完善的， 完全针对x m l 文档的，注重实用性与可操作性的，改进了的r b a c 模型一 s o r b a c ( r e s o u r c e so r i e n t e dr o l e b a s e da c c e s sc o m r o l ，面向资源的基于角色的访 问控制模型) 。 本文不会深入地探讨语义网层次中与r d f ( 虽然这可能是x m l 技术族里目前最 热门的名词) 和本体( o n t o l o g y ) 相关的内容，有关这两个方面国内外也同样已有着 大量的研究与探索。有关x m l 加密x m l 与加密技术的结合和x m l 数字签名一 一x m l 与数字签名技术的结合，本文同样将不会过多地涉及具体细节( 这本身就足 以构成两个全新的课题) ，除了必要性的介绍，或者是在访问控制与这两个领域的交 界处。 1 3 国内外研究现状 在访问控制领域，目前主流的r b a c 模型( r o l e 。b a s e da c c e s sc o n t r o l ，基于角 色的访问控制) 的倡导者和领军人物当属d a v i def e r r a i o l e 和r a v iss a n d h u 。前者 于1 9 9 2 年首先提出了r b a c 的概念1 7 j ，提出了基于角色的访问控制模型的框架，后 者更是著名的r b a c 9 6 模型【8 1 的创始人，以及之后的a r b a c 9 7 t9 1 。两人更于2 0 0 1 年 联合拟定一个r b a c 模型的美国国家标准草案0 1 ，力图形成一个统一的标准。d r i c h a r dk u h n l l o 儿1 1 1 2 在这一领域也颇有建树，与d a v i df f e r r a i o l e 和r a v is s a n d h u 合作过不少有影响力的论文。其他的人物例如g a i l j o o n m h n l l 3 j 、r i c h a r dts i m o n 和 m a r ye l l e nz u r k o 1 “，q a m a rm u n a w e r 2 2 1 等也都为r b a c 模型的进一步完善做出了很 大的贡献。 国内方面，多是针对r b a c 模型的局限性和不足提出了改进的方案，例如 3 9 在角色集中引入维数的概念，提出了一种全新的多维r b a c 模型，并在其模型中引 入了缓存、中间件等概念；f 5 1 1 描述了一个引入时间特性的基于角色的访问控制模型； 4 1 引入了上下文和规则的概念，并把权限分为使能型、激活型和限制型； 4 2 增加 了对与访问对象和访问事务安全相关的概念的抽象。有关这方面的优秀论文还有很 多，如4 3 1 1 4 4 4 5 等，在这里不能一一列举。 具体到x m l 安全性问题，这还是一个比较新的话题。在访问控制领域，e l i s a b e r t i n o 走得相对较远，其比较完整地提出了针对x m l 访问控制模型的设计的基本要 求 2 3 】 2 5 】，并实现了一个名为a u t h o r x 的针对x m l 文档的安全管理系统2 4 1 。v i j a y p a r m a r 和h o n g c h is h i 则针对e l i s a b e r t i n o 的模型做出了改进，进行了进一步的优化， 硕士论文针对x m l 层访问控制模型的语义网安全性研究 并引入了针对“语义相关的x m l 文档集”这个特点。v c r i d l i g 和r ，s t a t e 也提出 了个针对x m l 访问控制的完整框架【3 l 】。j i n gw u 和j e n n e i f e rs e b e r r y 则将关注的重 点放到了“委托”这一概念上i 2 。 国内方面，针对这一领域的研究相对较少，可供查阅的资料有限，但也不乏一些 优秀文章可寻，有对x m l 安全研究状况进行综述与总结的可供查阅，如 4 7 1 ，也有 具体设计的针对x m l 的访问控制模型的实际例子可供参考，如 4 6 4 8 】 5 0 】等，在这 里不再详述。 1 , 4 论文结构 本论文共分为六章，第一章主要介绍了论文课题的引出，课题的价值与意义，国 内外与该课题相关的研究进展，给出了本文研究内容的一个概貌。 第二章主要是对理解本课题所必备的理论知识的讲解，包括的内容有访问控制及 具体的基于角色的访问控制( r b a c ) 、x m l 语言及其技术族。 笫三章对s o r b a c 模型给出了概要性的设计，列出了其核心要点，并详细地对 每一个要点进行了分析。 第四章是对第三章的进一步细化，给出了s o r b a c 主要相关部件的形式化描述， 并在一些方面进行了补充说明与完善。 第五章则是在前两章内容的基础上，设计了一个s o r b a c 的系统框架，并对其 关键模块进行了阐述。 第六章是对所做工作的总结与展望。 硕士论文针对x m l 层访问控制模型的语义网安全性研究 2 论文相关技术 2 1 访问控制 2 1 1 概述 与加密、数字签名一样，访问控制是安全技术的一种，其目标就是“阻止任何对 机密信息的未授权窥探”1 7 1 ，或者更明了地说“只有得到授权的用户才能接触到特定 的数据和资源”【3 j 。 访问控制通常的执行过程是1 5 1 ：一个基准监控者( r e f e r e n c em o n i t o r ) ，其协调 着用户( u s e r ) 对系统中客体( o b j e e t ) 试图进行的每一次访问。基准监控者参考授 权数据库( a u t h o r i z a t i o nd a b b l e ) 来决定用户试图进行的某一项操作是否是经过授 权的。授权数据库中的内容由安全管理员( s e c u r i t ya d m i n i s t r a t o r ) 来管理和维护。 安全管理员根据组织的安全规则设定授权。图2 1 i 1 f 1 5 】显示了这样一种关系： 用户 客体 图2 1 i 1 访问控制概念图 需要说明的是，图2 1 1 i 仅仅是一个概念化的示意图，与实际情况会有一定的 出入。比如，授权数据库通常就存储在需要被保护的客体端，而不是真正存在一个物 理上单独的区域内。再如，身份鉴定( a u t h e n t i c a t i o n ) 和访问控制( a c c e s sc o n t r 0 1 ) 在图中得到了理想化的区分，实际上它们之间的界限并没有图示这么清晰。尽管通常 认为将这两个概念清晰地区分开来是很重要的，但是在很多现实的系统中，这个思想 并没有得到贯彻i i s l 。 在这里有必要强调一下身份鉴定和访问控制的关系。正确地确定用户的身份是身 硕士论文针对x m l 层访问控制模型的语义网安全性研究 份鉴定的责任，访问控制在通过基准监控者行使自己的职责时假设用户的身份是已经 得到验证了的。所以说，访问控制的有效性在很大程度上是以正确的用户身份鉴定为 前提的 1 5 】。 另外需要说明的一点是策略( p o l i c i e s ) 与机制( m e c h a n i s m s ) 之间的区别。策 略是决定访问如何得到控制，访问决策是如何确定的，是高级别的指导原则。机制关 注于如何实现一个策略所用的软硬件的功能，是低级别的【15 1 。 系统中的活动是被由称为主体的( s u b j e c t ) 的实体所引发的，主体通常的体现就 是用户。用户在不同场合作为不同的主体登录进入系统，这取决于用户想要通过这一 次会话( s e s s i o n ) 获得什么样的权限。区分主一客体之间的区别是很重要的，主体发 起一个行为，并操作于客体，这一操作是会得到允许还是会被拒绝将取决于系统中预 先设定好的授权规则( a u t h o r i z a t i o n ) ，操作的类型主要取决于客体具体的实际形式， 比如对于文件，典型的操作就可以是读、写、删除、执行、拥有( 这一操作类型的概 念在自主访问控制策略中很有意义) 等【l “。 从数学的角度来看，访问矩阵通常是用来描述主体所有的对客体的权力的概念化 模型。访问矩阵的行代表主体，列代表客体，矩阵中的每一个单元格就用于指明相交 的行列所代表的主客体之间的一种得到授权的访问能力。访问控制的任务就是确保只 有在访问矩阵中指明了的行为才能得到执行。这一功能都是通过基准监控者来实现 的，其负责协调所有的主体试图加诸于客体的操作行为。图2 1 12 1 1 5 1 显示了一个 访问矩阵的示例： j o h n a l i c e b o b f i l e1f i l e2f i l e3f i l e4 【w w r w rr wwr r ，r删 图2 1 1 2 访问矩阵示例 在实际的系统中访问矩阵可能变得非常巨大，而且很有可能其大部分的单元格都 是空的，因此访问矩阵在实际应用中并不是真正实现为一个矩阵的，通常的实现方法 有访问控制表( a c l ，a c c e s sc o n t r o ll i s t ) 、访问能力表( c l ，c a p a b i l i t yl i s t ) 或授 权关系表( a u t h o r i z a t i o nr e l a t i o n s ) 。 访问控制表是实现访问矩阵的一种很流行的方式，其原理是对应着用访问矩阵的 列来存储矩阵，图2 1 1 _ 3 【1 5 显示了根据图2 1 1 2 实现的示例。从图中可以看出，使 用访问控制表是在从客体的角度来看待访问，我们可以很方便地看出针对系统中的一 个客体，哪些主体实施的何种类型的操作是得到授权了的。但是另一方面，在一个基 于a c l 实现的系统中，想要看出一个主体得到授权可以访问的所有客体，却不是一 堡圭笙奎盐翌兰些星望塑丝! ! 塑型竺里墨塑室全丝竺窒 件容易的事，这通常需要依次查阅系统中每一个客体的a c l 【1 5 1 。许多流行的操作系 统，例如u n i x 和v m s 都有实现a c l 的一个简化形式。 f i l e l f i l e3 f i l e4 l j o h n a l i c e b o b r w r r w 图2 1 1 3 访问控制表示例 在实现上与访问控制表相对应的就是访问能力表，其是对应着用访问矩阵的行来 存储矩阵，图2 1 1 4 显示了根据图2 1 1 2 实现的示例。从图中可以看出，使用访 硕士论文针对x m l 层访问控制模型的语义网安全性研究 问能力表是在从主体的角度看待访问，我们可以很方便地看出针对系统中的一个主 体，其被授权对哪些客体实施何种类型的操作。但是另一方面，在一个基于c l 实现 的系统中，想要找出可以访问某一客体的所有主体也是比较困难的，这通常需要依次 查阅系统中每一个主体的c l ” 。在七十年代开发出的很多操作系统是基于访问能力 表的，但在商业上都不是很成功。 j o h n a l i c e b o b i _ _ _ _ _ 。_ _ _ _ 。_ _ 。_ 。_ - t f i l e l f i l e 2 f i l e3 f i l e4 r r ww r 1 一l l f i l e l f i l e2 f i l e4 r w r r w l 图2 1 1 4 访问能力表示例 访问控制表和访问能力表都是用来描述访问矩阵的一种形式，其区别就在于观察 的角度是主体还是客体，这两种方式都有着自身的优缺点。还有一种表示访问矩阵的 方法是授权关系表，其具体实现为一张以 为三个字段的表，我们可以看出，对这张表针对s u b j e c t 排列，就可以得到类似访问 能力表的效果，而针对o b j e c t 排列，就可以得到类似访问控制表的效果【l5 1 。关系数据 硕士论文针对x m l 层访问控制模型的语义网安全性研究 库管理系统通常使用这样的表现形式。 下面介绍三种常用的访问控制策略，对于传统的d a c 和m a c 只作简单性介绍， 关注的重点是r b a c 。 d a c ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，自主访问控制) d a c 是一种基于主体或主体所属的组的身份来限制对客体访问的策略。之所以 称其为自主式的，是因为拥有某种权限的主体可以将这种权限传递( 可以是间接的) 给其它任何主体。d a c 将授予与撤销访问权限的能力完全留给了个人用户的判断力。 一个d a c 系统允许用户将对任意客体的访问能力授予他人或撤销，只要对那个客体 的访问是自己力所能及的，而不用系统管理员的参与1 7 j 。 然而在许多组织当中，终端用户并不真正“拥有”他们所能访问信息的所有权。 对于这样的组织来说，公司或者机构才是真正的拥有者，从用户角度出发的判断力可 能并不准确】。所以总得来说，自主访问控制的安全性比较差，而且在权限的管理方 面趋于混乱，尽管其在灵活性方面有一定的优势。 m a c ( m a n d a t o r ya c c e s sc o n t r o l ，强制访问控制) 在强制访问控制策略中，系统中的主体和客体都进行了分级，每个用户和每个客 体都被赋予了一个安全级别。与客体联系的级别反映了客体所包含信息的敏感度，与 用户联系的级别反映了用户的信任值。当且仅当主一客体安全级别之间满足了特定的 关系，主体才能够成功地访问客体【】”。m a c 的控制太严格，实现起来工作量较大， 所以常被用于多级安全军事系统，而在其它领域很少应用。 r b a c ( r o l e b a s e da c c e s sc o n t r o l ，基于角色的访问控制) 在实际应用中，传统的强制访问控制和自主访问控制都不能很好地满足全部情况 的要求。在基于角色的访问控制策略中，其核心是在系统中引入了角色这一概念。访 问授权不再是具体到每个用户的，而是针对角色的，用户再被授权去选择担任一个角 色，用户可以执行其所扮演的角色所被授权执行的所有访问。角色这一概念的引入可 以带来诸多的优点，包括l j m ： 授权管理的简化：r b a c 将用户授权在逻辑上划分成了独立的两个部分，一个 是用户一角色，另一个是角色一权限，这大大地简化了安全管理。用户权限的变化可 以体现到其角色的变化中去，而不是像通常那样把与这个用户相关的权限全部重置一 遍。 角色等级的概念：在很多实际应用中，角色之间自然地存在一种等级关系。这 种等级关系自然就可以联系到角色权限的继承上来，进一步简化了授权管理。 最小权限的实现：有了角色的概念，用户就可以带着实际任务所需的最小的权 限进入系统之中，那些功能强大的用户则只会在真正需要的时候才能行使他们的特 权，这大大减小了误操作的可能性。 硕士论文针对x m l 层访问控制模型的语义网安全性研究 职责分离的实现：职责分离原则是为了保证没有哪一个用户能够被赋予权限到 滥用系统的地步。职责分离可以是静态的，指限制定义在用户指派阶段，也可以是动 态的，指限制定义在角色激活阶段。 需要说明的一点是，r b a c 实质上是否就是一种m a c 或者是d a c ? 这个问题 的答案要取决于r b a c 系统中术语的具体定义和实现。r b a c 本身是策略中立的， 然而在具体应用中，其可以实现为一种支持m a c 的策略，也可以实现为一种支持 d a c 的策略吼关于r b a c 的细节，将在2 1 2 节以专门一节的篇幅讲述。 2 1 2r b a c 模型详解 本节内容主要参考自r b a c 9 6 模型【8 】，并部分融合了2 0 0 1 年新的推荐标准 1 0 l ， 下面首先给出对r b a c 中关键概念的定义： 访问( a c c e s s ) 导致信息从一处流向另一处的主体与客体之间的一种特定 类型的互动。 主体( s u b j e c t ) 一个导致信息在客体之间流动或者改变系统状态的活动的 实体，通常可以是人，一个程序，也可以是一台设备。 客体( o b j e c t ) 一个包含或接收信息的被动的实体。 角色( r o l e ) 一个组织中的一种工作职能，描述了指派给这个角色的用户 所被授予的职权和责任。 用户( u s e r ) 任何一个直接与计算机系统交互的人。 权限( p e r m i s s i o n ) 主体对某一个客体所能拥有的得到授权的互动的类型 描述。 资源( r e s o u r c e ) 任何执行一项功能所需消耗或使用的东西。资源的类别 可以是时间、信息或者客体。 会话( s e s s i o n ) 一个用户与这个用户所被委派的角色集中的一个活动的主 体之间的映射。 限制( c o n s t r a i n t ) 角色与角色之间的一种关系。 角色等级( r o l eh i e r a r c h y ，r h ) 角色之间所确立的一种偏序关系。 用户指派( u s e r a s s i g n m e n t ，u a ) 用户与角色之间的- - s e e 多对多的关系， 一个用户可以属于多个角色，一个角色可以拥有多个用户。 权限指派( p e r m i s s i o n a s s i g n m e n t ，p a ) 角色与权限之间的一种多对多的 关系，一个角色可以拥有多种权限，同样的权限可以被赋予多个角色。 r b a c 9 6 模型是由四个概念化模型组成r b a c 0 、r b a c l 、r b a c 2 与r b a c 3 ， 其之间的关系如图2 1 2 1 所示。r b a c o 是模型的基本部分，也被称为核心r b a c ( c o r er b a c ) ，其体现了一个r b a c 系统所需满足的最基本的要求，r b a c l 和 r b a c 2 是r b a c 0 的进一步扩展，r b a c l 增加了角色等级的概念，r b a c 2 增加了 1 0 硕士论文 针对x m l 层访问控制模型的语义网安全性研究 限制的概念，r b a c l 和r b a c 2 本身之间是没有可比性的。r b a c 3 是最完备的模型， 其又同时包含了r b a c l 和r b a c 2 。 图2 1 2 1r b a c 9 6 结构图 p 出a c o 包括了五个基本元素，用户( u s e r s ) 、角色( r o l e s ) 、权限( p r m s ) 、 客体( o b s ) 和操作( o p s ) ，此外模型还包含一个会话集( s e s s i o n s ) 。r b a c o 的 形式化定义如下： 一实体集u s e r s 、r o l e s 、o p s 和o b s 一醐u s e r s r o l e s ，多对多的用户一角色委派映射 一a s s i g n e d u s e r s ：( r ：r o l e s ) 一2 ”，角色r 到一个用户集的映射，亦可表示为： a s s i g n e d u s c k s ( ! 。) = “u s e r sl ( “，r ) u a ) 一j d a 舔= 2 ( “o b s ) ，权限集 一只4 p r m s r o l e s ，多对多的权限一角色委派映射 一a s s i g n e d p e r m i s s i o n s ( r ：r o l e s ) 寸2 7 ”，角色r 到一个权限集的映射，亦可表示 为：a s s i g n e d p e r m i s s i o n s ( r ) = p p r m si ( p ，r ) p a 一o p ( p ：p r m s ) j o p o p s ) ，权限到操作的映射，关联了操作集和权限p o b ( p ：p r m s ) j o b o b s ，权限到客体的映射，关联了客体集和权限p s e s s i o n s 。会话檗 一u s e r s e s s i o n s ( u ：u s e r s ) j2 ，用户u 到会话集的映射 一s e s s i o n r o l e s ：s e s s i o n s ) 一2 ，会话s 到角色集的映射，亦可表示为： s e s s i o n r o l e s ( s ，) 呈 r r o l e sl ( s e s s i o n u s e r s ( s ，) ，r ) u a ) r b a c i 包含r b a c 0 ，引入了角色等级( r i - i ) 的概念，故亦可称为等级r b a c ( h i e r a r c h a lr b a c ) 。等级是一种很自然地构架角色的方式，用来反映一个组织中的 授权和责任链。r b a c i 的形式化定义如下： r h r o l e s r o l e s 是角色之间的一种偏序关系，叫作继承关系，记为， 当且仅当r 2 拥有的权限_ 也都全部拥有，所有属于1 的用户也都属于屹。形式化描述 硕士论文针对x m l 层访问控制模型的语义网安全性研究 为：屯j a u t h o r i z e d p e r m i s s i o n s ( r 2 ) a u t h o r i z e d p e r m i s s i o n s ( r 1 ) a u t h o r i z e d u s e r s ( ) a u t h o r i z e d u s e r s ( r 2 ) 一口t h o r i z e du s e s ( r ：r o l e s ) 斗2 ，角色r 在角色等级存在的情况下到一个用户 集的映射，亦可表示为：a u t h o r i z e d u s e s ( r ) = “u s e r s 一r ，( “，。) u a ) 一口u t h o r i z e dp e m i s s i o n s ( r ：r o l e s ) 一2 ，角色r 在角色等级存在的情况下到一 个权限集的映射，亦可表示为： a u t h o r i z e d p e m i s s i o n s ( r ) = f p p r m sj ，。，( p ，) p a ) 一偏序关系，满足： ( 1 ) 自反性：v r r ，r ； ( 2 ) 反对称性：v ，r 2 ，r 3 r ，r 2 n 吒j = r 2 ： ( 3 ) 传递性：，吩，r 3 r ，2 眨n 吃2 弓j 2r 3 ； r b a c l 中还将角色等级分为了普通角色等级( g e n e r a lr h ) 和限制型角色等级 ( l i m i t e dr h ) 。有关这方面的详细介绍可以具体参n 1 0 1 2 。 图2 1 2 2r b a c 3 示意图 r b a c 2 同样包含r b a c 0 ，引入了限制( c o n s t r a i n t s ) 的概念，故亦可称为限制 r b a c ( c o n s t r a i n e dr b a c ) 。限制是一种高级别的用来设置组织策略的机制，在 8 】 中对r b a c 2 并没有给出形式化的定义，只是申明：r b a c 2 包含r b a c 0 的所有元素， 并增加了决定这些组件有效性的限制。限制最常见的形式就是角色互斥，这是用于支 持职责分离( s e p a r a t i o no f d u t y ，s o d ) 的，在 1 0 中就将限制r b a c 直接描述为了 静态职责分离( s s d ) 和动态职责分离( d s d ) ，有关这两方面内容的详细介绍及形 式化定义，可具体参阅1 1 0 1 2 1 。另外一些比较常见的限制可以是角色基数限制，先 硕士论文针对x m l 层访问控制模型的语义网安全性研究 决角色限制等。 r b a c 3 既提供角色等级也提供限制，并将这二者结合起来，提出了一些新的问 题，如角色等级限制、限制与等级的互作用等。r b a c 3 是最完备的一个模型，但同 时它也是最复杂的一个模型，其示意参见图2 1 2 2 。 最后有必要说明一下的是，许多访问控制机制常常会提到用户组( g r o u p ) 的概 念，组是用户的集合。组与角色最大的区别在于：组只被看成用户的集合而不是权限 的集合，而作为中介的角色，既是用户的集合又是权限的集合 8 】。 2 1 3 访问控制与加密、数字签名之间的关系 安全领域可以粗略地被分为四个相互交织的部分：保密、身份签别、不可否认和 完整性控制。第一点可以通过加密( e n c r y p t i o n ) 来完成，而后三点可以通过数字签 名( s i g n a t u r e ) 来实现【3 。访问控制是安全的另外一种辅助手段( 也可以单独实施) ， 从形式上来说与加密和数字签名处于同一级别上，与这两者有机地结合，一起为上层 应用提供安全服务，其主要考虑的可以是对哪些内