（计算机应用技术专业论文）基于描述逻辑的访问控制策略冲突检测方法研究.pdf

今 ；，i ，j ，- - i l ii lli llll lu l 2 5 7 8 6 a d e s c r i p t i o nl o g i c - - b a s e da p p r a o c h f o r a c c e s sc o n t r o lp o l i c yc o n f l i c td e t e c t i o n a t h e s i si n c o m p u t e rs c i e n c ea n dt e c h n o l o g ye n g i n e e r i n g b y f e n gh u a n g a d v i s e db y s h a n s h a nw a n g s u b m i t t e di np a r t i a lf u l f i l l m e n t o ft h er e q u i r e m e n t s f o r t h ed e g r e eo f m a s t e ro f e n g i n e e r i n g j a n u a r y , 2 0 1 0 1 r eh 芒 | ( | a 承诺书 本人声明所呈交的硕士学位论文是本人在导师指导下进 行的研究工作及取得的研究成果。除了文中特别加以标注和致 谢的地方外，论文中不包含其他人已经发表或撰写过的研究成 果，也不包含为获得南京航空航天大学或其他教育机构的学位 或证书而使用过的材料。 本人授权南京航空航天大学可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本承诺书) 作者签名：丛 e t 期：巡：至! ! 互 ， 0 南京航空航天大学硕士学位论文 摘要 访问控制作为信息保护的被动防护技术被普遍用于阻止非法用户对资源信息的访问，一方 面，访问控制模型以及访问控制策略语言需要协同的发展以满足开放和动态环境下应用系统的 安全需求，然而，当前已有的访问控制策略描述语言对模型的支持都或多或少的存在不足；另 一方面策略语言或者模型本身都不包含对策略的分析，而在复杂的应用环境下，表达了系统安 全需求的策略库中可能存在影响策略决策性能的冗余策略，以及导致误判的冲突策略。针对以 上问题，本文对访问控制策略的表示以及策略的冗余和冲突进行了研究。 首先，提出了一种使用w e b 本体语言o w l 对可扩展访问控制标记语言x a c m l 进行扩展 的方法。论文针对当前被认为工业界和学术界标准的访问控制策略描述语言x a c m l 对基于角 色的访问控$ 1 j ( r b a c ) 模型的支持存在的缺点，引入o w l 语言来表达r b a c 中的角色约束。设 计了集成了x a c m l 和o w l 的策略管理框架，并将策略的授权以及实施与角色约束解耦，使 得策略管理更加灵活。 其次，提出了基于描述逻辑d l 的策略分析方法。分析了由于角色和资源层次关系引起的 授权传播。给出传播规则，并进一步分析了由于规则传播引起的规则冲突。从知识表示功能的 角度，分析了如何使用d l 对访问控制策略进行知识表示，设计并构建了访问控制领域知识库， 提出了利用知识库领域本体的一致性检测来进行约束管理和冲突检测的方法。 最后，结合一个具体的实例以及描述逻辑推理系统r a c e r ，演示从知识库构建到角色约束 管理以及冲突检测的过程，验证了基于描述逻辑的冲突检测方法的有效性。 关键词：访问控制，w e b 本体语言，角色访问控制模型，描述逻辑，可扩展访问控制标记语言， 冲突检测 基于描述逻辑的访问控制策略冲突检测方法研究 a b s t r a c t a sp a s s i v ec o n t r o lt e c h n i q u ef o rd a t as e c u r i t y , a c c e s sc o n t r o li sa ne f f e c t i v ea n dw e l ld e v e l o p e d m e t h o dt op r e v e n tr e s o u r c e sf r o mu n a u t h o r i z e da c c e s sb yu s e r sa n dr e l a t e do p e r a t i o n s ，b yt h ew a y , a c c e s sc o n t r o la n dp o l i c yl a n g u a g en e e dt od e v e l o ps y n e r g yt oe n a b l et h ed e v e l o p m e n to fs e c u r i t y i n f r a s t r u c t u r e sw i t hv e r i f i a b l es e c u r i t yp r o p e r t i e sf o ro p e na n dd y n a m i ce n v i r o n e m e n t s t h o u g h , p o l i c yl a n g u a g e sa l w a y sh a v e l i m i t e dc a p a c i t yt o s u p p o r ta l lp r o p e r t i e s o fa c c e s sc o n t r o l m o d e l f u r t h e r m o r e ，b o t hp o l i c yl a n g u a g e sa n dc o n t r o lm o d e l sh a v en o n ea b i l i t ya b o u tp o l i c i e s ，a 8 u n d e ra p p l i c a t i o nb e c o m em o r ea n dm o r es o p h i s t i c a t e da n di n t e l l i g e n t ，t h e r em a yb er e d u n d a n c i e sa n d c o n f l i c t sb e t w e e np o l i c i e s t h i sd i s s e r t a t i o ns t u d i e sp o l i c i e sp r e s e n t a t i o na n dr e d u n d a n c i e sc h e c k i n g a n df o n c l i t sd e t e c t i o n f i r s t l y , am e t h o dt oe x t e n de x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g ex a c m lu s i n gw e b o n t o l o g yl a n g u a g eo w l i sp r o p o s e d x a c m lh a sb e e nc o n s i d e r e da sas t a n d a r db ya c a d e m ya n d i n d u s t r i a l ，b u th a sl i m i t e dc a p a c i t yt os u p p o r tt h ew i d e l ya p p l i c a b l er o l e - b a s e da c c e s sc o n t o r lr b a c ， o w li si n d u c t e dt oe x p r e s sr o l ec o n s t r a i n t so fr b a c af r a m e w o r ki n t e g r a t e sx a c m la n do w li s d e s i g n e d , s u c haf r a m e w o r ke s s e n t i a l l ya l l o w su st od e c o u p l et h em a n a g e m e n to fc o n s t r a i n t sf r o mt h e s p e c i f i c a t i o na n de n f o r c e m e n to f a c m r a lx a c m lp o l i c i e s s e c o n d l y , ad e s c r i p t i o nl o g i cb a s e da p p o r a c ht oa n a l y z ep o l i c yi sp r o p o s e d a u t h o r i z a t i o n p r o p a g a t i o nc a u s e db yr o l eh i e r a r c h i e sa n dr e s o u r c eh i e r a r c h i e si sd i s c u s s e d ，a l o n gw i t ha u t h o r i z a t i o n p r o p a g a t i o nr u l e s f u r t h e r l y , p o l i c yc o n f l i c t sb a s e d0 na u t h o r i z a t i o np r o p a g a t i o na 托d e s c r i b e d e x h a u s t i v e l y f r o mt h ep e r s p e c t i v eo fk n o w l e d g er e p r e s e n t a t i o na n dr e a s o n i n g ，am e t h o do fd e s c r i b e p o l i c i e su s i n gd li sg i v e n , t h ed e s i g n i n go fa c c e 豁c o n t r o ld o m a i nk n o w l e g eb a s ea n dt h em e t h o d b a s e do nc o n s i s t e n c yc h e c k i n go fd o m a i n s p e c i f i cn o n t o l o g yt oc o n s t r a i n t sm a n a g e m e n ta n dc o n f l i c t d e t e c t i n gi sp r o p o s e d f i n a l l y , ar u n n i n ge x a m p l ei su s e dt od e m o u s l r a t ep r o c e d u r e so fc o n t r a i n t sm a n a g e m e n ta n d c o n f l i c t sd e t e c t i o nb a s eo nt h ed l w a y , u s i n gt h ed lr e a s o n i n gs y s t e mr a c e r k e y w o r d s ：a c c e s sc o n t r o l ，o w l ，r b a c ，d e s c r i p t i o nl o g i c ，x a c m l , c o n f l i c td e t e c t i o n 南京航空航天大学硕士学位论文 目录 第一章绪论l 1 1 课题研究背景1 1 2 当前研究现状及选题依据2 1 2 1 当前研究现状2 1 2 2 选题依据3 1 4 论文主要工作及组织结构3 第二章访问控制模型及其描述语言”5 2 1 基于角色的访问控$ 1 j ( r b a c ) 模型5 2 1 1r b a c 模型的特征”5 2 1 - 2r b a c 模型簇“7 2 2 访问控制描述语言1 0 2 2 1 访问控制策略的表示1 0 2 2 2 访问控制策略决策流程1 2 2 - 3 支持r b a c 模型的x a c m l 标准1 2 2 3 1x a c m lr b a c 标准中策略的表示1 2 2 3 2x a c m l 对r b a c 支持存在的不足1 4 2 3 3x a c m l 的语义扩展方法1 5 2 4 本章小节1 5 第三章x a c m l 的语义扩展1 6 3 1 使用o w l 表示r b a c 约束模型1 6 3 1 1o w l 语言的特征1 6 3 1 3 基本元素的表示1 8 3 1 3 角色约束的表示2 0 3 2 基于o w l 的x a c m l 扩展2 4 3 2 1 策略管理框架2 4 3 2 2 角色约束管理2 5 3 3 基于描述逻辑的策略分析2 6 3 3 1 描述逻辑的知识库形式2 7 3 3 2 描述逻辑中的推理问题“2 9 基丁二描述逻辑的访问控制策略冲突检测方法研究 3 3 3 基于描述逻辑的策略分析方法3 0 3 4 本章小节31 第四章基于描述逻辑的策略冲突检测方法3 2 4 1 策略冲突产生的原因3 2 4 1 1 角色层次关系3 2 4 1 2 资源层次关系3 3 4 1 3 规则冲突分析3 4 4 2 分析预处理3 6 4 2 1 规则冗余分析3 6 4 2 2 规则冗余处理3 8 4 3 基于描述逻辑的冲突检测3 9 4 3 1 角色约束管理4 0 4 3 2 规则冲突检测4 1 4 4 访问控制领域d l k b 的构成4 2 4 4 1 共享本体4 2 4 4 2 领域本体。4 4 4 4 本章小节。4 5 第五章基于r a c e r 的策略冲突检测4 6 5 1 推理系统r a c e r 的特性4 6 5 2 访问控制d l - k b 的设计4 7 5 2 1 访问控制d l - k b 的构建4 7 5 2 2r a c e r 中的推理4 9 5 3 实验演示与分析5 0 5 3 1 角色约束。51 5 3 2 规则冲突。5 3 5 4 本章小节5 4 第六章总结与进一步研究工作5 5 6 1 论文总结5 5 6 2 进一步研究工作5 6 参考文献5 7 致谢6 0 在学期间的研究成果及发表的学术论文。6 1 南京航空航天大学硕士学位论文 图、表清单 图2 1r b a c 模型簇7 图2 2 角色层次关系9 图2 3x a c m l 策略语言模型：1 1 图3 4x a c m lc o n t e x t 1 2 图3 5x a c m l 中的角色继承1 3 图3 1r d f 类与特性1 7 图3 2r b a c 的o w r ls c h e m a 1 8 图3 3x a c m l + o w l 策略管理框架2 5 图3 4a g 组件尝试添加断言流程图2 6 图3 5 基于d l 的知识表达系统框架2 7 图4 1 角色层次关系以及授权传3 7 图4 2 资源层次负向授权传播：3 7 图4 3 角色和资源层次联合冲突类型3 3 图4 4 网上购物系统资源层次关系3 4 图4 5 一个x a c m l 策略实例3 4 图5 1r a c e r 显示的a b o x 关系图5 1 表3 1 基数约束抽象表示以及语义2 3 表3 2 描述逻辑概念和关系构造子的语法和语义。2 8 表4 1 策略内规则冗余分析过程和结果。3 8 表4 2 策略间规则冗余分析过程和结果。3 8 表4 4a c t b o x 中的概念断言4 2 表4 5a c t b o x 中的关系断言4 3 表5 1r a c e r 为s h i q 提供的语法4 6 i 蹙5 1 续4 7 v 基于描述逻辑的访问控制策略冲突检测方法研究 注释表 d l ( d e s c r i p t i o nl o g i c s ) ：描述逻辑，一簇知识表示语言，以结构化的和易理解的形式来表 示领域知识。 d l - k b ( d e s c r i p t i o nl o g i c sk n o w l e d g eb a s e ) ：描述逻辑知识库。 n r q l ( n e wr a c e rq u e r yl a n g u a g e ) ：新r a c e r 查询语言。 o w l ( w e bo n t o l o g yl a n g u a g e ) ：w 曲分体语言，由w 3 c 定制的用于描述语义w e b 上本 体论的语言。 r b a c ( r o l eb a s e d a c c e s sc o n t r 0 1 ) ：基于角色的访问控制，一种访问控制模型。 r d f ( r e s o u r c ed e s c r i p t i o nf r a m e w o r k ) ：资源描述框架，由w 3 c 定制的提供了一个通用 的数据模型支持对w e b 资源的描述。 x a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ) ：可扩展访问控制标记语言，一种 p 基于x m l 的访问控制策略描述语言。 x m l ( e x t e n s i b l em a r k u pl a n g u a g e ) ：可扩展标记语言。 南京航空航天大学硕士学位论文 第一章绪论 1 1 课题研究背景 在开放和动态的网络环境中，互联网的体系结构逐渐呈现为夸组织间协作、分布式计算、 跨域资源共享等特性，导致资源访问管理日趋复杂化和智能化。系统或者具有特性功能的程序 以公用服务的形式存在于网络中，业务流程根据特定的需要寻求服务并与服务协商，而资源信 息的获取是这些服务乃至整个业务流程得以实施的前提。一方面服务系统需要对资源信息采取 一定的访问控制策略以阻止对这些信息的非法访问，另一方面用户在享受服务的同时期望自身 的隐私信息被有效的保护，而不是被无限度的暴露。所以，服务发生的同时必然伴随一定的安 全策略以防止信息的泄露，服务的安全性关系到用户对服务的信任程度，直接影响服务的受欢 迎程度。 当前信息泄露防御主要分为两种类型，一类是主动防护，如数据加密和信息拦截过滤技术 对数据本身进行防护；另一类是被动防护，如访问控制对访问数据的用户操作进行防护。访问 控制可以有效的保护服务资源信息不被非法用户或者操作访问。而在开放环境下，跨组织边界 的用户和服务资源动态的加入或撤出组织，组织内的授权灵活多变，加上用户角色以及资源信 息本身存在层次结构，隐含了安全策略的传递特性，使得策略内部可能会产生冲突。 对访问控制的研究主要沿着两个并行的方向进行，一个是对访问控制模型的研究，关注模 型如何满足现实应用领域中的安全需求，在这个领域中比较突出的是角色访问控制模型( r o l e b a s e d a c c e s sc o n t r o l 。r b a c ) ；另一方面是对访问控制策略语言的研究，关注访问控制策略的有 效表达，其中由o a s i s 组织提出的可扩展访问控制标记语言( e x t e n s i b l ea c c e s sc o n t r o lm a r k u p l a n g u a g e ，x a c m l ) t 1 】是一种基于属性的富有表达能力声明式语言，其最重要的特征是在策略中 可以使用任意的属性，为访问控制决策提供了多种决策合并算法，能够面向用户清晰表达系统 安全需求，x a c m l 已经在工业界获得了广泛的应用。 x a c m l 可以用于表达r b a c 模型，o a s i s 于2 0 0 5 年定制了支持r b a c 模型的x a c m l 标准【2 1 ，但是该标准并未能够表达所有的r b a c 特性，特别是静态和动态职责分离。这些优良 语义特性的丢失，导致该标准在实际应用中的实用性大打折扣。 w 曲本体语言( w e bo n t o l o g yl a n g u a g e ，o w l ) 3 1 作为w 3 c 标准是一种基于x m l 的语言， 他拥有一组定义良好的以描述逻辑( d e s c r i p t i o nl o g i c s ，d l ) 为基础的语义，虽然其并非专门用于 访问控制领域，但将x a c m l 语言无法表达的r b a c 约束使用o w l 本体进行建模，而策略则 使用x a c m l 进行规约，实现了策略与约束的解耦，使得对约束以及策略的管理变得灵活；又 基丁描述逻辑的访问控制策略冲突检测方法研究 可借助成熟的o w l 本体工具提供的推理服务，使得设计和开发基于本体的x a c m l 策略变得 简单；同时，不同的x a c m l 系统可以基于同一个本体机制，能够有效的支持日益发展壮大的 基于网络环境下的异构应用体系模型，简化模型之间的交互。 安全策略的冲突进来也引起了广泛的关注，在分布式体系结构下的安全策略尤为复杂，这 些策略组成的策略库是否有效表达了用户需求，或者这些策略间是否存在不一致，以致影响策 略决策，都是在策略被配置入应用系统前需要考虑的问题。 描述逻辑是知识表示的一种形式化语言，用来表示概念和概念之间的关系以及领域相关的 个体，因此也叫概念表示语言和术语逻辑，是一阶逻辑的一个可判定子集。描述逻辑虽然不是 为策略语言量身定制，但其丰富的表达能力和推理能力可以作为检测策略冲突的有效方法，而 其作为o w l 的逻辑基础，可以使用x a c m l 结合o w l 表示策略，然后将整个访问控制策略 转化为相应的描述逻辑知识库，将冲突问题转化为知识库的一致性问题，即检测是否存在策略 违背角色约束或者符合了预定义的冲突规则。 1 2 当前研究现状及选题依据 1 2 1 当前研究现状 访问控制描述语言虽然能够表达不同模型的访问控制策略，但其自身缺乏分析能力，随着 应用环境的日趋复杂，策略库越来越庞大，而这些策略是否精准、是否有效表达了用户需求等 一系列问题随之产生，越来越多的研究工作关注如何采用形式化或者基于逻辑的方法来对建立 的策略库进行分析。 近年来针对访问控制模型、描述语言，以及采用基于本体的方法来建模访问控制策略、扩 展访问控制描述语言以及进行策略冲突检测分析取得了一系列的研究成果： 文献【4 】研究了o w l 与r b a c 之间的关系，使用两种不同的方式将n i s t 标准的r b a c 模 型基于o w l 进行建模，将r b a c 中的角色映射为一个c l a s s 或者一个属性值，而r b a c 中的 角色继承可以映射到o w l 中类和子类的关系，静态和动态职责分离可以使用o w l 中 d i s j o i n t w i t h 声明进行建模，使得两个角色或者激活角色不能同时分配给同一个用户。映射得到 的o w l 本体借助推理工具进而可以支持策略决策，如：查询角色拥有的权限，角色对特定权 限是否存在分配关系等。文献【5 】提出了一种集成了o w l 本体和x a c m l 策略的能够支持r b a c 模型的框架结构。基本思想是将r b a c 系统设计中的静态和动态职责分离约束解耦出来，转而 使用o w l 本体进行建模，而授权策略则使用x a c m l 表示。策略决策份为两个过程：功能评 估和职责评估，分别代表策略匹配评估和约束可满足性验证。框架结构包括：用于支持访问控 制策略、角色继承和约束规约的授权环境：用于存储o w l 本体以及x a c m l 策略的知识库： 包含了x a c m l 核心决策引擎的执行系统。文献【6 】采用描述逻辑对x a c m l 策略进行分析，对 2 ， 南京航空航天大学硕士学位论文 x a c m l 策略中的基本元素，如：s u b j e c t 、r u l e 、p o l i c y 、p o l i c y s e t 等元素映射为描述逻辑中的 概念，继而定义概念之间的关系，具体的访问控制策略相应的转化为概念和关系的实例，从而 构建了一个包含共享本体和领域本体的描述逻辑本体库。文献【7 】采用资源语义树来对x a c m l 策略冲突和冗余进行分析，在资源层次结构的基础上，将策略列表关联到相应的资源树节点， 构建基于资源语义树的x a c m l 策略索引，从而使得在遍历策略寻找冗余和冲突策略时可以减 少时间开支。文献【8 】引入可废止描述逻辑( d e f e a s i b l ed e s c r i p t i o nl o g i c s ，d d l ) 来建模x a c m l 中的策略，将得到的知识库作为输入，使用p e l l e t 推理机对x a c m l 策略进行冗余分析。 基于安全控制目的的访问控制策略如何被有效的描述和实施是该领域中研究的重点，首先， 策略描述语言要能够全面的支持控制模型的重要特征；然后，需要对策略库进行有效性分析， 具体指冗余和冲突检测，以保证安全策略是可行并且有效的；最后访问控制机制如何与应用系 统结合对数据进行保护。 目前已有的研究存在以下不足： 1 、仅从表示层面考虑如何扩展x a c m l 以支持r b a c 模型，没有进一步对策略的冗余和 冲突进行分析。 2 、构建描述逻辑本体库时，对访问控制策略领域中的概念和关系的建模方式是开放的，构 建出易于理解有具有满足应用复杂性的本体是该领域中的挑战。 1 2 2 选题依据 无论是早期的策略驱动管理系统【9 1 将策略作为行为准则，还是数据安全领域中使用访问控 制策略来对数据和信息进行保护，策略的表达和实施都是关注的重点。本体技术发展到现在， 从表现方式、支持工具到底层逻辑都已经相当完善，虽然该技术并非为访问控制技术量身定制， 但凭借其良好的表达和推理能力，用于解决策略的表达和分析，不仅易于实现，而且具备相当 的理论优势。 使用o w l 本体来建模x a c m l 所不能表达的r b a c 特性，将所定制的x a c m l 策略库转 换到描述逻辑知识库d l - k b ，进行冲突检测，弥补了x a c m l 决策引擎不支持策略预先分析的 不足。并且给出了约束管理以及冲突检测的实施的过程，课题具有一定的理论价值和应用价值。 1 4 论文主要工作及组织结构 本文对访问控制技术的表示、分析方法进行了研究，采用本体技术，利用o w l 描述r b a c 中的角色层次、资源层次、静态和动态职责划分以及基数约束，扩展x a c m l 的表达能力以更 好的支持r b a c ；根据决策合并算法，首先检测策略库中的“死”策略，对策略进行约简，然 后将策略映射到d l k b ，根据冲突产生规则，对策略进行冲突检测；给出了支持r b a c 、具备 策略分析能力的x a c m l 策略管理框架结构。 3 基于描述逻辑的访问控制策略冲突检测方法研究 文章组织结构如下： 第一章，绪论：阐明了课题的研究背景，介绍并分析了课题的研究现状，概述了本文的主 要研究工作。 第二章，对访问控制模型、访问控制描述语言以及两者的关系进行了研究：介绍了经典的 r b a c 模型以及被认为工业界标准的x a c m l 标准；给出部分支持r b a c 的x a c m l 标准，分 析了x a c m l 在表述r b a c 模型中存在的不足；x a c m l 标准作为一种表述型语言，本身不具 备分析能力，而策略冲突却是一个难以避免的问题。 第三章，x a c m l 的语义扩展：介绍了w e b 本体语言o w l ，r b a c 中的元素、关系和约 束到o w l 本体的映射规则；给出了集成了o w l 本体的x a c m l 策略管理框架结构，给出了 扩展后的访问控制策略的表达机制；介绍了o w l 的逻辑基础描述逻辑，提出了基于描述 逻辑的访问控制策略分析方法。 第四章，基于描述逻辑的策略分析方法：分析了角色层次以及资源层次关系导致的授权传 播；分析了不同决策合并算法下冗余的产生规则，给出了冗余检测推导方法；对策略冲突产生 的原因和类型进行了分析，给出了冲突检测推导过程；给出了基于描述逻辑的约束管理和冲突 检测方法，并针对描述逻辑知识库的构造给出了详细的说明。 第五章，基于r a c e r 的冲突检测系统：结合一个具体的应用实例网上购物系统，以及描述 逻辑推理系统，给出了知识库构建的详细过程，以及约束管理和冲突检测的实施过程，验证了 所提出方法的有效性。 第六章，结束语：总结全文，说明现有工作的内容以及进一步的工作。 4 ， 南京航空航天大学硕士学位论文 第二章访问控制模型及其描述语言 2 1 基于角色的访问控韦i j ( r b a c ) 模型 r b a c 9 6 t 1 0 1 模型以角色为中间桥梁，简化了用户到许可的分配关系，介绍了模型中角色、 用户、许可、资源、角色继承、会话、主体等概念的语义，用户到角色分配模型、角色到许可 分配模型，静态和动态职责分离约束，以及r b a c 管理模型。根据模型包含的特征，r b a c 其 实是一组参考模型簇。 在安全防护研究中，自主访问控$ 1 ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 1 1 1 和强制访问控制 ( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 1 2 1 存在着显著的区别：m a c 的基础是将安全标签附在用户和 对象之上，而d a c 控制对对象的访问的基础是单个用户的许可或者拒绝，对象的拥有者也是 用户，该用户确立了访问的规则。而r b a c 是一个独立的访问控制组件，在适当的情况下可以 与m a c 以及d a c 并存，此时，只有在被r b a c 、m a c 和d a c 应允的情况下访问才被允许。 一般我们认为r b a c 是独立存在的，而且r b a c 本身是策略中性的，其并不约束策略如何被实 施。 2 1 1r b a c 模型的特征 角色是构成访问控制策略基础的一个语义结构。在r b a c 中，系统管理员根据公司或组织 内的职能结构创建角色，然后根据用户的职能以及条件给用户分配角色。一个角色可以表示特 定的任务能力，如一个内科医生或者药剂师，他们拥有各自的能力和职责。角色表达了一定的 权限和责任能力，如：项目主管。权力和责任在能力上是由区别的，一个人可能有能力管理多 个部门，但是他实际上只有管理一个部门的责任。角色同时反映了多个用户间的责任分配。 r b a c 模型以及其实现应该能够方便的适应这些关于角色概念的特征。角色被指定了允许访问 的资源和资源的范围，如：一个操作员可以访问所有的计算机资源但是不能改变访问许可规则； 一个安全职员角色可以访问许可规则，但是不能访问其他资源；又如一个稽核员仅可以访问查 账系统。 虽然r b a c 的通用性是广泛的共识，但是对r b a c 的含义至今没有产生一个一致的意见， 所以，r b a c 对研究人员和系统开发者而言，其解释方式是开放的。对r b a c 更复杂的变更包 括：建立角色与角色、许可与角色、用户与角色之间关系的能力。例如：两个角色被认识是互 斥的同一个用户不能同时承担这两个角色；角色之间可能存在继承关系，一个角色从另一 个不同的角色继承许可委派。这些角色与角色之间的关系可以强化安全策略，包括职责分离和 5 基于描述逻辑的访问控制策略冲突检测方法研究 授权代理。在以前，这些关系需要应用系统用代码实现，有了r b a c ，他们可以在安全领域中 被一次性的构建。 在r b a c 中，角色许可关系可以被预先定义，这使得将用户分配给预先定义好的角色变 的简单可行。n i s t 组织研究表明：将许可委派给角色，相对于用户与角色之间的关系，是趋向 于稳定的：研究同时发现，比起让管理员创建新的角色或者改变角色许可分配，让管理员授予 和收回现存角色的成员资格是更让人期望的。支持这个发现的一个理由是：比起将许可分配到 角色，将用户分配到相应的角色需要较少的技术能力。如果没有r b a c ，判断哪些许可已经被 授予用户也是相当困难的。 访问控制策略是被具体化在r b a c 组件中的，诸如：角色许可、用户角色以及角色角色 关系。由这些组件共同的决定一个特定的用户是否被允许访问系统中的特定数据。r b a c 组件 可以由系统管理员或者间接被能够代表系统管理员的角色配置。由于访问控制策略可以并且实 际上也是随着系统生命周期在变化，r b a c 提供了调整访问控制以满足组织内部需求变更的能 力。 虽然r b a c 是策略中性的，他直接支持以下三种众所周知的安全原则： 1 ) 最小特权：仅仅那些被用户执行任务所需要的许可才被分配给特定的角色。 2 ) 职责分离：完成敏感任务时可能需要调用互斥操作的角色，例如：需要一个记账员和一 个财务主管来共同参与一个财务讨论会。 3 ) 数据抽象：除了读、写和操作系统提供的执行许可，特定领域相关的许可如：贷款、借 款之类的抽象许可也应该被建立。 另外，r b a c 并不能强制规定这些原则被应用的方式，理论上，一个系统管理员甚至可以 配置出违背这些原则的r b a c 模型。同样，数据抽象的程度是由具体的实现细节决定的。r b a c 并不是所有访问控制问题的万灵药，在处理流程控制时需要更复杂的方法，如：购物流程中涉 及多个次序敏感的步骤。r b a c 并没有试图去为这样的时间序列直接控制其许可。我们认为操 作序列控制超出了r b a c 的范围，虽然r b a c 是建立这些控制的基础。 r b a c 中涉及了一系列相关的概念，如图2 1 所示： 访f i n - j ( a c c e s s ) ：主体与对象交互的一种特殊类型，导致了信息的流动。 访问控制( a c c e s sc o n t r 0 1 ) ：将对系统资源的访问权限授予程序、过程或者其他系统的过程。 约束( c o n s t r a i n ) , 角色之间的关系。 对象( o b j e c t ) 包含或者接受信息的被动实体。 许可( p e r m i s s i o n ) ：描述主体对一个对象的授权操作类型。 资源( r e s o u r c e ) , 执行功能是被使用或者被消耗的任何对象，资源可以分为：时间、信息、 对象或者处理器。 6 p ， 南京航空航天大学硕士学位论文 角色( r o l e ) ：组织中的一个职责功能，描述了被分配了该角色的用户所拥有的权力和责任。 会话( s e s s i o n ) ：用户以及拥有角色集合中的被激活的角色子集之间的映射关系。 主体( s u b j e c t ) ：一个主动实体，一般是人、过程或者设备，他们导致了信息在对象间的流 动或者系统状态的改变。 用户( u s e r ) ：任何与系统直接交互的实体。 r e c 4 r b a c o 2 1 2r b a c 模型簇 r b a g 图2 1r b a c 模型簇 r b a c 9 6 从不同维度探讨了r b a c 模型，定义了由四个概念模型组成的模型簇。图2 1 ( a ) 展示了这些模型的关系，图2 1 ( b ) 描述了他们的基本特征。r b a c o 作为基础模型处于最底层， 是r b a c 系统的最小需求。高层次的模型r b a c l 和r b a c 2 则包含了r b a c o ，但是r b a c l 添 加了角色继承关系：角色可以从另一个角色处继承许可，而r b a c 2 添加了不同组件间的约束。 r b a c l 和r b a c 2 之间是彼此不兼容的。r b a c 3 作为一个统一的模型，包含了r b a c l 和r b a c 2 ， 当然传递性的包含了r b a c o 。 l 、基础模型- - r b a c o 图2 1 ( b ) 中，基础模型r b a c o 包含了除角色继承和约束外的所有组件，其中出现了四个实 体：用户u 、角色r 、许可p 以及会话s 。许可通常是肯定的，但是也存在否定的情况，否定 的许可也就是拒绝不给予访问权限可以看成约束，本文将许可的否定与肯定做同等的处理。许 可的特性在很大程度上依赖于具体的系统类型以及实现方式，许可针对的操作和数据对象都与 具体的系统有关。 图2 1 ( b ) 刻画了用户分配