（计算机科学与技术专业论文）rbac模型在j2ee平台下的实现与应用.pdf

北京邮电大学硕士学位论文r b a c 模型在j 2 e e 平台下的实现与应用 r b a c 模型在j 2 e e 平台下的实现与应用 摘要 在信息系统的设计与实现中权限控制是一个必不可少的部分。权 限控制技术用于限制软件系统中的各种资源只能被授予拥有相应权 限的用户访问，从而提高系统的安全性。目前，随着i n t e m e t 技术的迅 猛发展，b s 模式的开发已经占据主流，基于j 2 e e 平台的系统也日益 增多。 本文研究了目前得到广泛应用的j 2 e e 平台下的基于角色 ( r b a c ) 的访问控制技术。基于角色的访问控制系统，是将用户划 分为与其职能和职位相符合的角色，根据角色赋予相应的操作权限， 以减少授权管理的复杂性，降低管理开销并且提供一个较好的实现复 杂安全策略的环境。本文总结了目前信息系统中所采用的不同权限控 制方式，并分析了这些权限系统所存在的问题，同时就j 2 e e 平台下的 外籍教师信息管理系统的特殊需求进行分析，在r b a c 基础上进行了 扩展，提出了s f r b a c ( s i m p l ea n df l e x i b l e r b a c ) 模型。这一模型在 为用户分配角色时添加了限制条件，并引入了用户类型，提高了系统 的安全性和灵活性，减少了权限分配的复杂性。此模型能轻易的应用 到其它信息系统中，对现在信息系统中的权限管理有现实意义和借鉴 意义。最后在外籍教师信息管理系统中对此模型进行设计并实现。 关键字：r b a c 权限管理j 2 e es t r u t ss p r i n gh i b e r n a t e 北京邮电大学硕士学位论文 r b a c 模型在j 2 e e 平台下的实现与应用 t h ei m p l e m e n t a t i o na n da p p l i c a t i o n o fr b a cm o d e li nj 2 e ep l a t f o r m a b s t r a c t a c c e s sc o n t r o li sa ne s s e n t i a lp a r ti nd e s i g na n di m p l e m e n t a t i o no f i n f o r m a t i o ns y s t e m s a c c e s sc o n t r o li su s e dt om a k ear e s t r i c t i n gt ot h e r e s o u r c ei nas o f t w a r es y s t e m , s ot h a tt h e s er e s o u r c e sc a n o n l yb e a c c e s s e db yt h eu s e rw h oh a st h ec o r r e s p o n d i n gp r i v i l e g e w i t ht h er a p i d d e v e l o p m e n to fi n t e r a c tt e c h n o l o g y , b sm o d e lh a sb e e nd e v e l o p e dt o b et h em a i n s t r e a m ，a n dt h ei n f o r m a t i o ns y s t e mb a s e do nt h ej 2 e e p l a t f o r mi si n c r e a s i n g t h i st h e s i sp r e s e n t ss o m er e s e a r c hr e s u l t si nt h ei m p l e m e n t a t i o no f r o l e b a s e da c c e s sc o n t r o l ( r b a c ) w i t hj 2 e e p l a t f o r m r o l e b a s e da c c e s s c o n t r o lc a nr e d u c et h ec o m p l e x i t ya n dc o s to fa u t h o r i z a t i o nm a n a g e m e n t s c o m p a r e dw i t ht r a d i t i o n a la c c e s sc o n t r o lm e t h o d ，a n dt h er o l e sc a l lb e c o n s i s t e n tw i t ht h ep e r s o n n e ls t r u c t u r ei nao r g a n i z a t i o no rc o r p o r a t i o n t h i sp a p e rs u m m a r i z e st h ed i f f e r e n ta c c e s sc o n t r o lm e t h o d su s e db y c u r r e n ti n f o r m a t i o ns y s t e m ，a n da n a l y z e st h ep r o b l e m se x i s t e di nt h o s e s y s t e m s m e a n w h i l e ，t h ep a p e ra n a l y z e st h es p e c i a ln e e do ff o r e i g n e r n 北京邮电火学硕上学位论文 r b a c 模型在j 2 e e 平台下的实现与应用 t e a c h e ri n f o r m a t i o nm a n a g e m e n ts y s t e m ，w h i c hi su n d e rj 2 e ep l a t f o r m b a s e do nr b a c ，t h et h e s i sp r e s e n t ss f r b a c ( s i m p l ea n df l e x i b l e r b a c ) m o d e l t h i sm o d e la d d sc o n d i t i o n st ou s e r s - r o l e s ，a n di n t r o d u c e s t h ec o n c e p to fu s e rt y p e st oi m p r o v et h es y s t e m ss e c u r i t ya n df l e x i b i l i t y , t or e d u c et h ec o m p l e x i t yf o rt h ea d m i n i s t r a t i o no fa u t h o r i z a t i o n t h i s m o d e lc a nb ea p p l i e dt oo t h e ri n f o r m a t i o ns y s t e m se a s i l y , a n dh a sg r e a t r e a l i s t i ca n dr e f e r e n c es i g n i f i c a n c et oo t h e ri n f o r m a t i o ns y s t e m so i lt h e p r i v i l e g em a n a g e m e n t f i n a l l y , t h i sm o d e li sd e s i g n e da n di m p l e m e n t e d i nf o r e i g nt e a c h e r sm a n a g e m e n ti n f o r m a t i o ns y s t e m k e yw o r d s ：r b a c p r i v i l e g em a n a g e m e n t j 2 e es t r u t s s p r i n g h i b e r n a t e i i i 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及 取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗 列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果， 也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用 过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论 文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 涎聋耋日期：硷堕：! ：盈 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论 文的规定，即：研究生在校攻读学位期间论文工作的知识产权单 位属北京邮电大学。学校有权保留并向国家有关部门或机构送交 论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以公 布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守 此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权 书。非保密论文注释：、本学位论文不属于保密范围，适用本授权书。 本人签名：鲨堡耋 日期：塑星：兰：塑 一 导师签名： 呈罩客 日期： 堡8 ：2 ：码 北京邮电大学硕士学位论文第一章绪论 第一章绪论 近年来，管理信息系统向着多应用和多用户的方向发展，并有精细管理的趋 势，即把管理对象尽可能细化到最小工作单元，使管理责任和权力具体化，从而 对系统安全方面提出了很高的要求，信息系统的数据安全也越来越受到人们的重 视。企业在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问。权 限管理和控制的重点是为了保护企业在信息系统存储和处理的信息的安全，对其 进行研究有着重要的实用价值。 1 1 信息安全概述 现代信息系统的飞速发展是以计算机以及计算机网络系统的飞速发展为标 志的。信息是人类最宝贵的资源，信息也在人类社会各种活动中起着越来越重要 的作用。然而信息系统越是重要，越容易受到攻击，如窃取、冒充、伪造、篡改 等等。因此，信息系统的安全保密成为迫切需要解决的问题。 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然 的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服 务不中断。 信息安全本身包括的范围很大，大到国家军事政治等机密安全，小范围的当 然还包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的 泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操 作系统、各种安全协议、安全机制( 数字签名，信息认证，数据加密等) ，直至 安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该 包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网 络安全服务体系结构。 信息系统安全性问题可分为三大类：技术安全类、管理安全类和政策法律类。 技术安全是指计算机系统本身实现中采用具有一定的安全性质的硬件、软件来实 现对于数据及其所包含的数据或信息的安全保护，能够在整个系统中，在一定程 度甚至完全可以保证系统在无意或恶意的软件或硬件攻击下仍能使得系统内的 数据或信息不增加、丢失、泄露。 北京邮电大学硕士学位论文第一章绪论 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风 险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的 安全技术，形成一个全方位的安全系统； 严格的安全管理。各计算机网络使用机构，企业和单位应建立相应的网络安 全管理办法，加强内部管理，建立合适的网络安全管理系统，加强用户管理和授 权管理，建立安全审计和跟踪体系，提高整体网络安全意识； 制订严格的法律、法规。计算机网络是一种新生事物，它的许多行为无法可 依，无章可循，导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯 罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄 动。 - 1 2 访问控制的重要作用 访问控制技术是信息安全的一类重要技术，是安全服务的一个重要组成部 分。访问控制就是通过某种途径显式地准许或限制访问能力及范围，从而限制对 关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成的破坏，使 计算机系统在合法范围内使用。访问控制不仅是拒绝非法用户访问，更主要的是 限制合法用户对资源的访问，决定用户能做什么，也决定代表一定用户利益的程 序能做什么。美国国家安全局发布的i a t f ( i n f o r m a t i o na s s u r a n c et e c h n i c a l f r a m e w o r k ，信息保障技术框架) 文档中根据信息安全需求划分了五种主要的安 全服务：访问控制、保密性、完整性、可用行和不可否认性。 访问控制可以最大限度的阻止这种来自内部的破坏。它可以通过授权系统的 控制，使用户仅获得能够访问资源的最小权限，保证无法越权访问。通过访问控 制，就可以对他们的访问权限进行严格的限制，降低他们的破坏力。目前，访问 控制的重要性己经越来越为人们所认识，但是它并不能与其他的安全服务相分离 或独立。这些安全服务是相互依赖的。在实现上，通常是一种安全机制支持多种 安全服务。这样的安全机制通常需要多种安全技术联合构建。比如，密码、认证 与识别、授权与访问控制、审计、网间隔离与访问代理、反病毒等。只有综合运 用各种安全技术，合理搭配，才能构建支持多种安全服务、强有力的安全机制。 1 3 权限管理研究的意义 权限管理是每个管理信息系统软件开发中很重要的一环，各种应用系统的发 展不但需要保护系统资源不受侵犯，更需要给适当的访问者提供最大化的服务， 2 北京邮电大学硕士学位论文第一章绪论 这就要求系统必须要能够控制：哪些访问者能够访问系统的信息，访问者访问的 是什么信息，访问者对他所访问的数据拥有什么样的权限。 目前，各个应用领域的权限管理在实现的细节上还有很多的不同，这主要涉 及到和业务相关的权限管理。学术界对于权限管理已经做了大量的研究工作并提 出了许多种模型，其中基于角色的权限访问( r o l e - b a s e da c c e s sc o n t r o l ，简称 r b a c ) 模型是近来广泛流行的模型之一，已于2 0 0 4 年3 月被接纳为美国国家 标准。r b a c 模型的主要思想是用户不再任意的访问企业资源对象，取而代之， 访问允许权被赋予角色，用户再被授予适当的角色。r b a c 的权限方式大大简化 了授权的管理，并且为企业制定资源保护对象提供了极大的灵活性。 1 4 所做的工作和论文结构 1 4 i 所做的工作 本人所做的工作可以总结如下： 1 研究了三种访问控制模型d a c ，m a c 和r b a c ，尤其是基于角色的访 问控制模型( i m a c ) 。重点讨论了r b a c 9 6 模型和a r b a c 9 7 模型。 2 基于外籍教师信息管理系统，提出了s f r b a c ( s i m p l ea n d f l e x i b l e - r b a c ) 的模型。这个模型按照一切从简以及权限下放的思想， 保证了权限分配的灵活性和简单性，能够更好地满足j 2 e e 平台下外籍 教师信息管理系统的权限管理需要。 3 将s f - r b a c 的模型在外籍教师信息管理系统中实现，达到了授权的清晰 和简化的目的，同时增加了授权的安全性。 4 就s f r b a c 的相关问题进行了进一步研究和探讨。如随着系统中用户数 目的不断庞大，角色信息的增多，可能导致不同角色出现冗余的权限信 息。另外，当用户拥有角色信息增多时，还应考虑加入会话，利用会话 来限制用户在进行不同操作时拥有不同的角色。 1 4 2 论文的组织结构 论文的主要内容安排如下： 第一章对信息安全和r b a c 技术发展应用作了介绍，并概述本文所做的主 要工作和论文结构。 第二章研究了三种主要的访问控制技术：自主访问控制( d a c ) ，强制访 问控制( m a c ) 和基于角色访问控制( i 出a c ) 。详细介绍了基于角色访问控制 的经典模型：r b a c 9 6 和a r b a c 9 7 模型。 第三章以教育部外籍教师信息管理系统为背景，结合对r b a c 进行研究， 北京邮电大学硕十学位论文 第一章绪论 提出扩展模型s f r b a c 。 第四章详细介绍了s f r b a c 在外籍教师信息管理系统中的具体实现。 第五章对论文所做工作的总结和对下一步工作的展望。 4 北京邮电大学硕士学位论文 第二章基于角色的访问控制( r b a c ) 第二章基于角色的访问控制( r b a c ) 常用的访问控制可分为三大类：自主访问控制机制( d i s c r e t i o n a r ya c c e s s c o n t r o l ，简称d a c ) 、强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，简称m a c ) 、 基于角色的访问控制( r b a c ) 。其中d a c 和m a c 实现的时间较早，人们普遍 感到d a c 和m a c 无法较好的满足商业和政府部门系统的安全需求。因此， r b a c 便作为传统访问控制的替代和补充被采用，应用比较普遍，已经比较成熟， 支持了最新的应用。 2 1 自主访问控制 自主访问控制机制( d a c ) 允许资源的所有者来制定针对该资源的保护策 略。通常d a c 通过授权列表( 或访问控制列表) 来限定哪些用户针对哪些资源可 以执行什么操作。如此将可以非常灵活地对策略进行调整。 自主访问控制中，用户可以针对被保护对象制定自己的保护策略。 每个主体拥有一个用户名并属于一个组或具有一个角色。 每个客体都拥有一个限定主体对其访问权限的访问控制列表( a c l ) 。 d a c 的优点是其自主性为用户提供了极大的灵活性，从而使之适合于许多系 统和应用，易于扩展和实现。 其缺点主要体现在以下几个方面： 在d a c 中，信息总是可以从一个实体流向另一个实体，即使对于高度机 密的信息也是如此，因此如果自主访问控制不加以控制就会产生严重的 安全隐患。 同一用户对不同的客体有不同的存取权限，不同的用户对同一客体也有 不同的存取权限，用户、权限、客体间的授权管理复杂。 某些资源不能受到充分的保护，不完全适用于网络环境，d a c 的安全防 护级别比较低。 2 2 强制访问控制 强制访问控制( m a c ) 用来保护系统确定的对象，用户不能更改这些对象。 4 北京邮电大学硕士学位论文第二章基于角色的访问控制( r b a c ) 也就是说，系统独立于用户行为强制执行访问控制。用户不能改变他们的安全级 别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分 标签，访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。 在强制访问控制系统中，所有主体( 用户，进程) 和客体( 文件，数据) 都 被分配了安全标签，安全标签标识一个安全等级。 用户被分配一个安全等级； 资源( 文件，数据) 也被分配一个安全等级； 访问控制执行时对用户和资源的安全级别进行比较以确定该用户是否 有权访问这些资源。 m a c 的优点是：它使得系统中的信息流成为单向不可逆的，防止了信息从高 安全级的客体流向低安全级的客体，适宜于对安全性要求较高的应用环境。缺点 是这种强制控制太严格，实现工作量太大，管理不便，不适用于主体或客体经常 更新的应用环境。 2 3 基于角色的访问控制 基于角色的访问控制( r b a c ) 【l 】是作为d a c 和m a c 的替代策略在近年逐 渐引起关注的。s a n d h u 等学者提出了基于角色的访问控制模型( r b a cm o d e l ) ： r b a c 模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的 角色获得角色所拥有的访问许可权。这是因为在很多实际应用中，用户并不是可 以访问的客体信息资源的所有者( 这些信息属于企业或公司) 。这样的话，访问 控制应该基于员工的职务而不是基于员工在哪个组或谁是信息的所有者，即访问 控制是由各个用户在部门中所担任的角色来确定的。 r b a c 从实质上说是一种中立的访问控制策略，即它本身并不提供一种特定 的安全策略，只是通过配置各种参数来实现某种安全策略，具有很大的灵活性， 允许更加广阔的访问策略得以实施。r b a c 可以被配置成传统的m a c 和d a c ， 它们之间的关系可以用图2 1 表示： 北京邮电大学硕士学位论文 第二章基于角色的访问控制( r b a c ) 图2 一l 几种访问控制机制的关系 自主访问控制( d a c ) 主要满足商业和政府的安全需要，以及单级军事应用。 但是由于它的控制是自主的，所以也可能会因为权限的传递而泄漏信息。另外， 如果合法用户可以任意运行一个程序来修改他拥有的文件存取控制信息，而操作 系统无法区分这种修改是用户自己的操作，还是恶意程序的非法操作，解决办法 就是通过强加一些不可逾越的访问限制。因此，又提出了一种更强有力的访问控 制手段，即强制访问控制( m a c ) ，但是它主要用于多级安全军事应用，很少 用于其他方面。而r b a c 是一种策略无关的访问控制技术，它不局限于特定的 安全策略，几乎可以描述任何的安全策略，甚至d a c 和m a c 也可以用r b a c 来描述。 2 3 1r b a c 基本概念 1 基本定义【2 】： ( 1 ) 用户( u s e r s ) ：用户就是一个可以独立访问计算机系统中的数据或者用数 据表示的其它资源的主体。用户在一般情况下是指人。 ( 2 ) 角色( r o l e s ) - 角色是指一个组织或任务中的工作或位置，它代表了一种 资格、权利和责任。一方面它表示了用户的职责划分，另一方面也表示 了一类用户可以访问的系统的功能集合。 ( 3 ) 权限( p e r m i s s i o n ) ：权限是对计算机系统中的数据或者用数据表示的其 它资源进行访问的许可。它可分为对象访问控制和数据访问控制两种。 ( 4 ) 会话( s e s s i o n ) - 会话是一个动态概念。用户激活角色时建立会话，它是 一个用户和多个角色的映射，一个用户可以打开多个会话。 2 最小特权原则( t h ep r i n c i p l eo fl e a s tp r i v i l e g e ) 6 北京邮电大学硕士学位论文第二章基于角色的访问控制( r b a c ) 最小特权原n t 3 1 是系统安全中最基本的原则之一。所谓最小特权( l e a s t p r i v i l e g e ) ，指的是“在完成某种操作时所赋予网络中每个主体( 用户或进程) 必不可少的特权 。最小特权原则，则是指“应限定网络中每个主体所必须的最 小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。最 小特权原则一方面给予主体“必不可少的特权，这就保证了所有的主体都能在 所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体“必 不可少”的特权，这就限制了每个主体所能进行的操作。 最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权，而角 色允许主体以参与某特定工作所需要的最小特权去签入( s i g n ) 系统。被授权拥 有强力角色( p o w e r f u lr o l e s ) 的主体，不需要动辄运用其所有的特权，只有在 那些特权有实际需求时，主体才去运用它们。如此一来，将可减少由于误操作或 是侵入者假装合法主体所造成的损坏发生，限制了事故、错误或攻击带来的危害。 它还减少了特权程序之间潜在的相互作用，从而使对特权无意的、不必要的或不 适当的使用不太可能发生。 2 3 2r b a c 9 6 模型 r b a c 9 6 t 4 】模型族是由s a n d h u 等人研究、定义及总结的一组模型，它充分体 现了角色的思想。该模型系统和全面地描述了r b a c 多层次、多方面的意义， 并建立了一个参考模型框架，将r b a c 的各种模型组件和之间的交互关系反映 其中。该模型族有四个概念模型组成：r b a c 0 ，r b a c i ，r b a c 2 和r b a c 3 ， 这些概念模型之间的关系如图2 2 所示。 图2 - 2r b a c 模型间的关系| 4 1 r b a c 0 ：基本模型，规定了任何r b a c 系统所必须的最小需求。 r b a c l ：在r b a c 0 的基础上增加了角色层次( r o l eh i e r a r c h i e s ) 的概念。 r b a c 2 ：在r b a c 0 的基础上增加了约束( c o n s t r a i n t s ) 的概念。 r b a c 3 ：包含了r b a c l 和r b a c 2 ，由于传递性也间接地包含了r b a c 0 。 1 基本模型r b a c 0 7 北京邮电大学硕士学位论文 第二章基于角色的访问控制( r b a c ) r b a c 0 模型包含三个集合：用户( u ) 、角色( r ) 和权限( p ) 以及一组 会话( s ) 。概念模型中对权限的解释可以是细粒度的( 比如，访问一个特殊的 记录部分) ，也可以是粗粒度的( 比如，允许访问整个局域网) 。权限的性质主 要依赖于系统的实现细节和系统的类型。会话是一个用户到多个角色的映射。在 用户建立的会话中，用户可以激活其角色集合中的部分角色。如图2 3 中从会话 到角色的圆型箭头表示在一次会话中多个角色可以同时被激活。用户的权限是在 一个会话中每个活动角色所拥有权限的集合。从会话到用户的单箭头表示每个会 话和单个用户相关联，这种关系在会话的过程中保持不变。 r b a c 0 包含两个分配关系：用户分配( u a ) 和权限分配( p a ) 。图2 3 中u a 两端的圆型箭头表示了用户与角色之间的多对多关系，p a 两端的圆型箭 头则表示了角色与权限的多对多关系。 用户可以同时打开多个会话，在每个会话中用户可以拥有不同的活动角色集 合，用户可以只激活完成任务所需要的角色，r b a c 0 的这个特性支持最小特权 原则。因此，被授予管理员角色的用户在进行普通操作时撤销管理员角色，在需 要时才激活。这样可以防止特权的误用和滥用。在r b a c 0 中用户可以自主决定 是否激活角色。r b a c 0 允许用户在会话过程中动态的激活和撤销角色。 下面给出r b a c 0 模型的形式化的定义： 定义l ：r b a c 0 模型包含以下几个组成部分： ( 1 ) u ，r ，p ，s 分别代表用户、角色、权限和会话； ( 2 ) p a c _ p x r ，权限到角色的多对多的分配关系； ( 3 ) u a c ：u x r ，用户到角色的多对多的分配关系； ( 4 ) u s e l - s j u ，每个会话s i 到单个用户u s e s 0 的函数映射关系； ( 5 ) r o l e s ：s 岭2 r ，每个会话s i 到角色集合r o l e s ( s i ) c r l ( u s e r ( s i ) ，r ) u a 的函数映射关系，同时会话s i 获得权限u 隋n f l e , ( s i ) p i ( p ，0 e p a ) 。 北京邮电大学硕上学位论文第二章基于角色的访问控制( r b a c ) o n j ) 、i 侩p a 介 ( 氰彤| 厂 j 逐一胞 图2 - 3r b a c 模型组合【4 】 2 r b a c l 从图2 3 中r b a c 指向r h 的箭头可知，r b a c l 模型是在r b a c 0 基础上 引入了角色继承机制( r o l eh i e r a r c h y ，r h ) 。r h 反映了组织中职权和责任的 层次关系。 下面给出r b a c l 的形式化的定义： ( 1 ) u ，r ，p ，s ，p a ，u a 和r b a c 0 中的定义保持一致； ( 2 ) r h c _ r x r ，在r 上的偏序集合，称为角色层次，可以用“ 表示； ( 3 ) r o l e s ：s 专2 r ，每个会话s i 到角色集合r o l e s ( s i ) c ： r l ( 3r l o ( u s e r ( s o ， r 1 ) u a l 的函数映射关系，同时会话s i 获得权限 l 瓜r o l e s ( s i ) p i ( 3 r 2 r ) ( p ，r ) p a ) 。 图2 4 反映了角色间的私有层次关系。p 为实现一般权限的角色，t l ，t 2 ， t 3 ，t 4 为4 个任务角色( 有各自的职能) ，它们都继承来自于基本任务角色p 的一般权限，角色s 位于关系层次图的最项层，是最上层角色( 具有最高职能) ， p 3 为子任务的基本角色( 实现p 的部分权限) ，s 3 为子任务的上级角色，是s 的一个子角色( 实现部分的管理职能) 。 9 北京邮电大学硕士学位论文 第二章基于角色的访问控制( r b a c ) t i 图2 4 角色问的层次关系1 4 】 3 r b a c 2 r b a c 2 包含了r b a c 0 的所有基本特性，除此之外还增加了对r b a c 0 的所 有组成元素的核查过程，只有拥有有效值的元素才可被接受。如上图2 3 中从 r b a c 2 指向c o n s t r a i n t s 的箭头表示r b a c 2 是在r b a c 0 基础上增加了约束关系。 在图中用虚线表示元素之间的各种约束关系，包括用户( u ) 之间的约束、用户 分配角色( u a ) 时的约束、角色( r ) 之间的约束、角色分配权限( p a ) 时的 约束以及角色层次( r h ) 之间的约束关系。一般说来，最好是根据约束关系实 际的类型和属性加以陈述，所以较难给约束模型一个严格的形式化定义。在 r b a c 模型组合中我们也经常会提到互斥角色的概念。一个用户最多只能被授予 互斥角色集合中的一个角色，这样可以支持职权分离的功能。互斥关系可以分为 静态冲突关系和动态冲突关系。属于静态冲突关系的角色不能同时授予一个用 户。属于动态冲突关系的角色可以授予一个用户，但是不能同时激活集合中的一 个角色。在实际的应用中，约束条件和实现的方式各有不同，多数专家倾向于采 取尽可能简单的和尽可能高效的约束条件，作为实际r b a c 系统的约束机制。 4 i 己b a c 3 从图2 3 中r b a c 3 指向r h ，c o n s t r a i n t s 的箭头可看出r b a c 3 是在r b a c o 的基础上加入了角色分级关系和约束关系。因此，它实际上是将r b a c l 和 r b a c 2 结合在了一起。它全面的描述了基于角色的访问控制的各个方面。限制 关系同样可以运用在角色层次关系之上，角色层次关系是偏序关系，这是模型内 在的限制。除此之外，可以限定子角色的数目，或者限制某些角色不能拥有子角 色。 2 3 3a r b a c 9 7 模型( a d m i n i s t r a t i o no fr b a cm o d e l ) r b a c 9 6 模型假定系统中只有一个安全管理员进行系统安全策略设计和管 理。大型系统中用户和角色数量众多，单靠一个管理员是不现实的，通常的做法 是指定一组管理员，如有首席安全员、系统级安全员、部门级安全员等，因此又 1 0 北京邮电大学硕士学位论文第二章基于角色的访问控制( r b a c ) 提出了r b a c 9 6 的管理模型a r b a c 9 7 s l 。 在a r b a c 9 7 中角色分为常规角色和管理角色，二者是互斥的。管理角色也 具有等级结构和权限继承，那么访问权限可分为常规权限和管理权限，也是互斥 的。a r b a c 9 7 包括三个组成部分： 1 用户一角色分配管理( u s e r - r o l ea s s i g n m e n t ：u r a 9 7 ) 描述管理角色如何实施常规角色的用户成员分配与撤销问题。而成员分配又 常常涉及先决条件问题。如政府的组织部管理员只能在本部门内分配角色的用户 成员，而被分配的用户必须是组织部的职员( 而哪些职员属于组织部由更高级的 管理员分配) ，这是一个先决条件。用户成员的撤销要简单的多，如部门管理员 可以依据部门安全策略在本部门内任意撤销角色的用户成员，但这种撤销是一种 弱撤销。 2 权限一角色分配管理( p e r m i s s i o n - r o l ea s s i g n m e n t ：p r a 9 7 ) 讨论常规角色访问权限的分配与撤销问题。从角色的角度看访问权限与用户 具有对称性，通过角色关联，因此权限一角色分配具有相似的特点，可以通过类 似的办法处理。但权限的级联撤销是沿着角色等级结构向下级联的。 3 角色一角色分配管理( r o l e - r o l ea s s i g n m e n t ：r r a 9 7 ) 讨论常规角色的角色成员分配规则以构成角色等级的问题。为了便于讨论将 角色分成三种类型： 能力角色：只有访问权限成员或其他能力角色成员的角色，即没有 用户成员角色。 组角色：只有用户成员或其他组成角色成员的角色，即没有权限成 员。 用户一权限角色：成员类型不受限制的角色。 这样去分是由建立角色之间关系的管理模型决定的。我们来分析一下能力角 色，它实际上是一组必须同时授予某一角色访问权限的集合，因为有的操作需要 用户同时具备多项权限，缺一不可，为了管理方便，将这组权限提取为能力角色， 且禁止为其分配任何用户。 2 3 4n i s tr b a c 建议标准 2 0 0 1 年8 月美国国家标准与技术研究院( 1 1 1 en a t i o n a li n s t i t u t eo fs t a n d a r d s a n dt e c h n o l o g y ) n i s t 发表了r b a c 建议标型5 1 。此建议标准综合了该领域众多 研究者的共识，包括两个部分：r b a c 参考模型( r b a cr e f e r e n c em o d e l ) 和功 能规范( r b a cf u n c t i o n a ls p e c i f i c a t i o n ) 。参考模型定义了r b a c 的通用术语和 模型构件并且界定了标准所讨论的r b a c 领域范围。功能规范为每个组件定义 了关于创建和维护r a b c 集合和关系的管理功能、系统支持功能和审查功能。 北京邮电大学硕士学位论文第二章基于角色的访问控制( r b a c ) r b a c 参考模型和功能规范均包括以下四个部分： 1 基本r b a c ( c o r e r b a c ) 包括任何r b a c 系统都应具有的要素，如用户、角色、权限、会话等。基 本思想是通过角色建立用户和访问权限的多对多关系，用户由此获得访问权限。 2 等级r b a ( h i e r a r c h i c a li m a c ) 在基本r b a c 上增加对角色等级的支持。角色等级是一个严格意义上的半 序关系，上级角色继承下级角色的权限，下级角色获得上级角色的用户，根据半 序关系中有无限制又可分为两种情形： 通用等级r b a c 支持任意的半序关系。 有限等级的r b a c 在半序关系中加入某种限制，一般是使等级结构 趋于简单，如成为树结构。 3 静态职责分离( s s d ：s t a t i cs e p a r a t i o no f d u t i e s ) 。 用于解决角色系统中潜在的利益冲突( c o n f l i c to f i n t e r e s t ) 的策略。利益冲 突源于用户被授予相互冲突的角色。一种解决办法是在分配用户时实施限制，如 禁止为一个用户同时分配一组互斥的角色。考虑到等级结构的影响可分为两种情 形： 基本静态职责分离 等级结构中的静态职责分离在基本s s d 上同时考虑因继承关系而引 起的静态职责分离关系。 4 动态职责分离( d s d ：d y n a m i cs e p a r a t i o no fd u t i e s ) 与s s d 类似，d s d 也是限制可提供给用户的访问权限，但实施的机制不同： d s d 在用户会话中对可激活的当前角色进行限制。用户可被授予多个角色，包 括有冲突的角色，但它们不能在同一个会话中被激活。d s d 约束可视作一个二 元组( r o l e - s e t ，n ) ，表示任何用户在某个角色子集中不能同时激活n 个以上的 角色。d s d 是“最小特限原则 的扩展，每个用户根据其执行的任务可以在不 同的环境下拥有不同级别的访问权限，d s d 确保访问权限不会在时间上超越它 们对履行职责的必要性，这种机制称作信任的适时变更。 在具体实现一个r b a c 系统时，除了基本r b a c 构件是必须的，其它构件 可根据应用的需要取舍，因此参考模型具有较大的弹性。 在上述每一个构件中都定义了相应的功能规范将抽象的模型概念映射为可 以提供管理操作、会话管理以及管理审查的功能需求。r b a c 功能规范定义了用 于创建和维护r b a c 模型构件和提供系统支持的各种功能原型，可以分为三类： 管理功能：用于创建和维护构成r b a c 模型构件的各种系统要素及 相互关系。 1 2 北京邮电人学硕士学位论文第二章基于角色的访问控制( r b a c ) 系统支持功能：用于在用户与系统交互时支持r b a c 模型构建的各 种功能，如建立会话、添加和去除活跃角色、确定访问决定逻辑等。 审查功能：用于审查由管理功能和系统支持功能产生的各种活动的 结果。 r b a c 的目的是简化安全策略管理并提供弹性的、个性化的安全政策。从思 想上讲，r b a c 是目前为止最为深入的访问控制方法，但由于提出的时间较晚， 在理论上尚未达成共识，也没有制定统一的标准。但这似乎并不影响它的应用， 已有许多厂商开始提供基于r b a c 的解决方案，呈现出理论与应用同步发展的 态势。这一状况必然要求尽快制定通用的标准，n i s t 综合众多学者的观点并参 考了许多厂商的产品提出这个建议标准，旨在提供一个权威的、广泛接受的、可 用的r b a c 参考规范，为进一步研究指明方向，也是广大厂商和用户在具体工 程中有益的借鉴。然而这一建议标准只描述了r b a c 系统最基本的特征，在实 际应用中可以在此基础上扩展其它更强的访问控制功能。 北京邮电大学硕士学位论文 第三章外籍教师信息管理系统访问控制研究 第三章外籍教师信息管理系统访问控制研究 上一章中我们对r b a c 模型进行了充分的研究，我们的工作是以此模型为基 础，在此之上结合外籍教师信息管理系统中对权限的特殊需求，设计并实现了外 籍教师信息管理系统中基于角色的访问控制的一种新的实现模型：s f - r b a c ( s i m p l ea n df l e x i b l er b a c ，s f r b a c ) 模型。 3 1 外籍教师信息管理系统 3 1 1 系统建设背景 根据我国教育事业发展所面临的新形势和新情况，教育系统迫切需要进一步 提高外籍教师的聘用管理水平和层次，进一步提高聘请管理工作的效益，激发外 籍教师为我国教育事业工作的积极性，提高进一步规范整个教育战线聘请外籍教 师的管理工作，加强资源共享，开拓满足我国各级各类教育机构教学和科研工作 需求的教师来源。目前教育主管部门在收集和发布外籍教师聘用相关信息方面还 存在一定程度的困难，因此，开发一套具有共享性、规范性、先进性、应用性、 扩展性、安全性为主要特征的外籍教师聘用管理系统迫在眉睫。其不仅在管理上 能适用于所有需要聘请外籍教师的院校或机构，而且也便于教育主管部门对外籍 教师进行统一、规范的管理、监督和指导。 3 1 2 系统功能 本项目将完成的“全国外籍教师信息管理系统 包含业务系统、安全保障系 统和运营管理体系等部分。其中，业务系统包含外籍教师统一身份标识系统和外 籍教师管理系统。外籍教师管理系统包含来华申请管理、在华管理、离华管理、 项目审批管理、证照管理、聘用需求管理、聘用单位基本信息管理等多个模块。 这些模块按逻辑划分为学校管理、社会管理、接口类和维护类。安全保障体系由 物理安全、网络安全、计算机系统安全、身份认证和访问控制、应用安全、基础 安全防护系统、网络信任服务系统等多个部分组成。运营管理体系由管理制度、 管理手段、管理方法和管理细则组成。 3 1 3 系统建设目标 本项目将通过外籍教师聘用管理系统，建立教育部外籍教师数据中心，解决 1 4 北京邮电大学硕士学位论文第三章外籍教师信息管理系统访问控制研究 外籍教师聘用管理信息化建设中遇到的关键技术问题，研发一整套技术先进、安 全可靠、运行稳定的管理信息系统，其总体目标是实现外籍教师聘用管理的规范 化、制度化和信息化。 1 规范化：通过教育机构聘用外籍教师的相关管理规定，将外籍教师聘用 管理中涉及到的数据信息进行规范采集与管理，做到有据可查、有章可 循。通过对必要规范进行立项，并产生国家统一的标准。整个外籍教师 聘用管理信息系统将为每位教师编制唯一身份编码。 2 制度化：通过与教育部以及其它部门合作，对目前和未来可预见的外籍 教师聘用管理工作中所要面临的实际问题进行规划，为规范外籍教师聘 用管理工作提供法律保障。 3 信息化( 该部分是项目的技术核心) ：使用平台化建设来实现对所有外 籍教师信息