（计算机应用技术专业论文）基于角色的多级应用区域边界访问控制.pdf

y 5 6 6 1 7 2 基于角色的多级应用区域边界 访问控制* 摘要 在美国国家安全局2 0 0 0 年发布的信息保障技术框架中， 根据计算 机网络的拓扑结构，将网络信息安全划分为三个层面的安全:内部用 户应用环境安全、应用区域边界安全、网络传输安全。而应用区域边 界作为内部用户应用环境与外部网络传输之间信息交换的枢纽，能否 做到防止内部信息非法泄露、外部恶意代码和非法信息进入内部用户 应用环境，以及拒绝外部用户恶意操作的访问请求将对内部用户应用 环境的安全有着重大影响。如何提高应用区域边界的安全性能成为网 络信息安全研究中的一个非常重要的环节。 而在一个组织机构中， 通常依据部门以及工作性质等不同，对于 其内部的各种资源有着不同的安全需求。为此我们使用了多级应用区 域的设计思想，将组织机构网络中的信息基于保护级别的不同划分多 个应用区域，并根据 s o c k s 5服务器作为应用区域边界服务器的优越 性，给出了 s o c k s 5服务器作为各级边界服务器的结构设计，以及 s o c k s 5 服务器进行基于角色的访问 控制时所需要添加和修改的模型的 详细设计。 由于基于角色的访问控制满足应用区域边界访问控制的安全需 求，并具有管理方便的优点，我们以s a n d h u 等3 1- s 3 提出的r b a c系列 模型为基础， 提出了 适用于多级应用区域边界访问控制的基于角色的 访问控制模型 m r b a c 0 3 详细描述了该模型的定义、规则和操作。并 给出了 在以s o c k s 5 服务器为应用区域边界的应用环境中的实现， 我们 称之为r b a c管理工具，它具有友好的图形界面，利用 r b a c管理工具 本 论 文 得 到 国 家8 6 3 项 日( 2 0 0 2 从1 4 4 0 2 0 ) 和 国 家9 7 3 项目( t 6 1 9 9 9 0 3 5 8 0 1 ) 资 助 。 未 w作 者、 导 帅同 您 勿全文公布 可以方便的生成 s o c k s 5服务器进行基于角色的访问控制所需要的角 色、用户、权限等信息。 m r b a c 0 3模型对于进行基于角色的访问控制的多级应用区域结构 具有重要作用，对该模型进行简化同样适用于单层应用区域的基于角 色的访问控制。 关键词:应用环境安全 多级应用区域 应用区域边界 角色 基于角色的访 问控制 r o l e - b a s e d a c c e s s c o n t r o l o n mu l t i - l a y e r a p p l i c a t i o n e n c l a v e b o u n d a r y s y s t e m ab s t r a c t t h e i n f o r m a t i o n a s s u r a n c e f r a m e w o r k p a r t i t i o n s t h e i n f o r m a t i o n a s s u r a n c e t e c h n o l o g y a s p e c t s o f i n f o r m a t i o n s y s t e m s in t o t h e f o l l o w i n g t h r e e a r e a s : . l o c a l c o m p u t i n g e n v i r o n m e n t s . ， e n c l a v e b o u n d a r i e s . . n e t w o r k s , i n fr a s t r u c t u r e s a n d s u p p o rt i n g i n f r a s t r u c t u r e s , t h e e n c l a v e b o u n d a r y i s t h e p o i n t a t w h i c h in f o r m a t i o n e n t e r s o r l e a v e s t h e e n c l a v e o r o r g a n i z a t i o n . s o , w h e t h e r , t h e e n c l a v e b o u n d a r y i s s t r o n g , i t a f f e c t s t h e s e c u r it y o f l o c a l c o m p u t i n g e n v i r o n m e n t s d ir e c t l y h o w t o m a k e t h e e n c l a v e b o u n d a r y s t r o n g e r i s v e r y i m p o r ta n t i n t h e a r e a o f i n f o r m a t i o n s e c u r i t y r e s e a r c h . wi t h in a n o r g a n i z a t i o n , i n f o r m a t i o n i s g e n e r a l ly g r o u p e d i n t o f u n c t i o n a l c a t e g o r i e s a n d h a s d i f f e r e n t p r o t e c t i o n r e q u ir e m e n t s . s o , w e u s e t h e t h o u g h t o f m u l t i - l a y e r e d a p p l i c a t i o n e n c l a v e b o u n d a r y t o p r o t e c t t h e o r g a n i z a t i o n i n f o r m a t i o n . t h e r o l e - b as e a c c e s s c o n t r o l p o l i c y s a t i s f i e s t h e s e c u r i t y r e q u i r e m e n t s o f a c c e s s c o n t r o l t h r o u g h e n c l a v e b o u n d a r y ; a l s o i t h as t h e a d v a n t a g e o f s i m p l i f y m a n a g e m e n t . b a s e d o n t h e s e r i e s m o d e l s o f r b a c p r o p o s e d b y s a n d h u e tc p l -t8 1, w e p r o p o s e d a n e w m o d e l n a m e d m r b a c 0 3 w h ic h i s u s e d t o d e f i n e t h e r o l e - b a s e d a c c e s s c o n t r o l t h r o u g h m u l t i - la y e r e d a p p l i c a t i o n e n c l a v e b o u n d a r y . t h e d e f i n i t i o n s , r u l e s a n d o p e r a t i o n s o f t h e mrb ac 0 3 mo d e l a r e d e mo n s t r a t e d i n d e t a i l . d u r i n g t o t h e a d v a n t a g e o f s o c k s v 5 p r o t o c o l , w e d e s i g n e d t h e s o c k s 5 s e r v e r b a s e d m u l t i - l a y e r a p p l i c a t i o n e n c la v e b o u n d a r y a r c h it e c t u r e . we u s e t h e r o l e - b as e a c c e s s c o n t r o l p o l i c y d e s c r i b e d i n m r b a c 0 3 m o d e l . a c c o r d i n g l y , i n o r d e r t o d e p l o y m r b a c 0 3 i n s o c k s 5 s e r v e r , s o m e n e w m o d u l e s n e e d t o b e d e s i g n e d . t h e d e s i g n s p e c i f i c a t i o n o f t h e s e m o d u le s i s g i v e n . a l s o , w e i m p l e m e n t t h e m r b a c 0 3 m o d e l u n d e r t h e e n v i r o n m e n t o f c o n s i d e r i n g s o c k s 5 s e r v e r s a s e a c h a p p l i c a t i o n e n c l a v e b o u n d a r y k e y w o r d s : a p p l i c a t i o n s e c u r i t y , mu l t i - l a y e r a p p l i c a t i o n e n c l a v e , e n c l a v e b o u n d a ry, r o l e , r o l e - b a s e a c c e s s c o n t r o l 北京交通大学硕士学位论文 第一章综述 1 1 应用区域边界安全的研究背景 1 1 1 网络信息安全的涵义 网络自从诞生到现在。给人们带来了极大的便利和丰富的资源。 由于早期网络用户以科研人员为主，网络的设计主要以共享与开放为 宗旨，采用的网络协议只具备最少的安全性选项，这些选项还通常被 路由器所忽略，因而造成网络安全系数不足。这个网络协议( i p v 4 ) 应 用至今，并被简单地移植到企业与政府网中。然而，由于网络的用户 对象变了，网络上的信息内容也发生了巨大的变化，使互联网的安全 问题越来越严重。网络信息安全已经成为一个国家国民经济能够顺利 发展、能够与其它国家竞争、能够保障国家安全的重要条件。 信息安全的主要目的是保护存储在系统中或在信道上传输的信 息，随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从 最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认 性，进而又发展为“攻( 攻击) 、防( 防范) 、测( 检测) 、控( 控制) 、 管( 管理) 、评( 评估) ”等多方面的基础理论和实施技术刚。对一个 计算机系统或网络的攻击一般有四种类型：中断、截获、篡改、伪造。 由于这些威胁的存在，必须采取措施对网络信息加以保护。但是安全 是个很庞大的综合性课题，其中涉及的知识十分广泛，包括立法、管 理、技术等，其中技术是信息安全的基本保障。比较重要的安全技术 和措旌有：防火墙、入侵检测、身份认证、访问控制、数据加密、鉴 别和数字签名、安全监控等【2 9 】1 3 0 1 。 1 1 2 应用区域边界安全的研究状况 在美国国家安全局2 0 0 0 年发布的信息保障技术框架中，根据计 北京变通火学硕l 学位论文 算机网络的拓扑结构，将网络信息安全划分为三个层面的安全：内部 用户应用环境安全、应用区域边界安全、网络传输安全。 应用环境安全：包括单机、客户机服务器、浏览器服务器模式， 采用身份认证、访问控制、密码加密、安全审计等机制，构成可信应 用环境。 应用区域边界安全：应用区域定义为一个安全需求独立于其他系 统的系统，例如非军事化区( d m z ) 、服务器网络等都可以成为一个 应用区域。边界是指有不同安全需求的系统的网络连接处。通过部署 边界保护措施控制对内部局域网的访问，实现局域网与广域网之问的 安全，采用安全网关、防火墙等隔离过滤机制，保护共享资源的可信 连接。 网络和通信传输安全：包括实现局域网互联过程的安全，旨在确 保通信的机密性、一致性和可用性。 应用区域边界安全保护关注的是如何对进出区域边界的数据流 进行有效的控制与监视。有效的控制措施包括防火墙、边界护卫、虚 拟专用网( v p n ) 以及对于远程用户的识别与认证( i 而 在 一 个 三 层 边 界 保 护 模 式 下 ， 将 k- ， 一 - . - 机密信息保护在第三层后， 外部黑客要取得该信息的概率 只 有 典。 k j 2 )防止内部人员的恶意和非恶意攻击。采用多级的保护模 式， 通过将不同安全需求的信息资源划分为不同的应用区 域， 在区域边界上实施访问控制， 用户在访问其它区域的 资源时需要进行强制的身份认证， 降低了企业内部人员恶 意攻击或无意的越权访问成功的概率。 实际上， 将局域网划分为多个区域对于很多企业，尤其是大、中 型企业和政府机关等组织机构来说是一项实际的需求。 通常它们的网 络信息系统根据部门性质、 工作需要、 地域位置划分为处于相同或不 同地域的多个应用区域， 这些区域有着不同的安全需求， 这就需要采 用多层应用区域边界保护机制。 北京交通大学硕士学位论文 1 . 2本文工作和论文组织 1 .2 . 1 本论文所做的工作 1 提出了基于角色的多级边界访问控制体系结构 本文首先分析了应用区域边界安全的需求， 提出了一种适用于大 中型组织机构的多级边界访问控制体系结构。同时， 通过对不同访问 控制方法的分析和比较，以及根据多级边界系统的安全需求和特点， 提出在该体系结构中采用基于角色的访问控制方法。并描述了在以 s o c k s 5 服务器作为边界服务器的环境下， 进行基于角色的访问控制 时，其中需要改进和添加的关键模块的设计。 2基于角色的访问控制模型m r b a c 0 3 的设计 为使基于角色的访问控制方法适用于多级边界访问控制体系结 构，在分析s a n d ii u 等提出的r b a c系列模型的基础上，详细阐述了 适用于多级应用区域边界访问控制的、基于角色的访问控制模型 m r b a c 0 3的设计，给出了该模型的具体定义和规则说明。对于 m r b a c 0 3 模型的设计是本论文工作的重点。 3 m r b a c 0 3 模型的实现 在分析了 s o c k s 5服务器作为应用区域边界服务器的各项优势 后，我们在以s o c k s 5 服务器为各级应用区域边界服务器的环境下， 对m r b a c 0 3 模型进行了实现， 在文中称之为r b a c管理工具。 r b a c 管理工具为s o c k s 5 服务器进行基于角色的访问 控制所需要的用户、 角色以及权限信息的生成提供了友好、直观、易用的管理界面。 4 m r b a c 0 3 模型测试 对m r b a c 0 3 模型的实现结果进行了测试， 验证了 模型的输出结 果:用户一 角色映射关系、角色继承关系以及角色一 权限映射关系的正 确性。 这些输出结果作为s o c k s 5 服务器进行基于角色的访问控制时 所必须的依据信息， 其结果的正确性为访问控制的正确实施提供了保 障。 北京交通大学硕士学位论文 1 .2 . 2 论文的组织 本论文的组织结构如下: 第一章，介绍了应用区域边界安全研究的背景，同时， 对多级 应用区域边界安全研究的目 的、 意义进行了阐述。 最后， 介绍了论文 所做的主要工作和论文的组织。 第二章，首先从几种不同的角度对访问控制进行了描述， 并对 几种主要的访问控制模型进行了比较。 详细的论述了基于角色的访问 控制方法的概念、原理及其特点。 第三章， 对应用区域边界访问控制的的特点和安全需求进行 分析， 阐述了 基于角色的访问控制的优势， 确定了基于角色的访问控 制策略作为多级应用区域系统的访问控制策略。 同时， 分析了原有的 基于角色的访问控制模型对于多级边界访问控制存在的不足之处， 提 出了适用于多级应用区域边界访问 控制的访问控制模型m p b a c 0 3 . 第四章， 分析了s o c k s 5 服务器作为应用区域边界的优势， 简 单介绍了以s o c k s 5 服务器为应用区域边界服务器、 基于角色的多级 边界系统中，s o c k s 5 服务器中 关键功能 模块的设计与实现。 第五章，描述了m r b a c 0 3 模型在以s o c k s 5 服务器为应用区 域边界的多级边界系统上的实现， 并对相关的测试情况作了简单的描 述。 结束语，总结了论文的研究设计并论述了未来要做的一些工作。 唇 1 . 3 本章小结 介绍了 应用区域边界安全研究的背景， 对多级应用区域边界安全 研究的目的和意义进行了阐述。 北京交通大学硕士学位论文 第二章 访问控制模型 访问控制，作为提供信息安全保障的主要手段和安全机制， 被广 泛地应用于防火墙、文件访问、v p n及物理安全等多个方面。访问 控制是信息安全保障机制的核心内容之一， 它是实现数据保密性和完 整性机制的主要手段。 访问控制是为了限制访问主体( 或称为发起者) 对访问客体的访问权限， 从而使计算机系统在合法范围内使用。 访问 控制机制决定用户及代表一定用户利益的程序能做什么， 及做到什么 程度。 访问控制的两个重要过程: 1 、通过 “ 鉴别 ( a u t h e n t i c a t i o n ) 来检验主体的合法身份。2 、通过 “ 授权 ( a u t h o r i z a t i o n ) ”来限制用 户对资源的访问级别。 怪 2 . 1访问控制的概念及分类 访问是使信息在主体和对象间流动的一种交互方式。 访问 控制决 定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资 源。 访问控制的一般概念是针对越权使用资源的防御措施。 用户只能 根据自己的权限大小来访问系统资源， 不得越权访问。 访问控制系统 一般包括: 1 )主体，是指主动的实体，该实体造成了信息的流动和系统状 态的改变，主体通常包括人、进程和设备。 2 )客体，是指包含或接受信息的被动实体。对客体的访问意味 着对其中所包含信息的访问。 客体通常包括记录、 块、 页、 段、 文件、 目 录、目 录树和程序以及位、字节、字、字段、处理器、显示器、键 盘、时钟、打印机和网络节点。 3 )安全访问规则，用以确定一个主体是否对某个客体拥有访问 权力。 对于访问控制的研究开始于十九世纪六、 七十年代，由于自主访 北京交通大学硕_ l 学位论文 fol 控制 ( d i s c r e t i o n a r y a c c e s s c o n t r o l , d a c )和强制访问控制 ( m a n d a t o r y a c c e s s c o n t r o l , m a c ) ( l这 两 种 技 术 的 推 动。自 主 访问 控制根源于学术和商业的 研究， 而强制访问 控制来自 于军事和国家安 全部门， 这两种访问控制在七十年代和八十年代几乎占 据了 访问控制 领域的统治地位。随着网络的迅速发展扩大尤其是i n t e rne t 的兴起， 对访问控制服务的质量也提出了更高的要求， 用传统的d a c和ma c 己 很难满足。 2 0 世纪9 0 年代以 来出现的一种基于角色的访问 控制技 术( r o l e - b a s e d a c c e s s c o n t r o l , r b a c ) 占 据了 主导 地 位， 它 有 效 地克 服了传统访问控制技术中存在的不足之处， 可以减少授权管理的复杂 性，降低管理开销， 而且还能为管理员提供一个比较好的实现安全政 策的环境。 r b a c模型的建立及其实现是基于角色访问控制研究中的 两大热点，在目 前所出 现的几种 r b a c模型中，s a n d h u等提出的 r b a c %模型由于系统和全面地描述了 多层次、 多方面的意义而得到 了广泛的认可。 互 2 . 2 安全模型概述 一个系统的状态通常是指系统的内存、 存储器、 寄存器等部件的 当前状态的集合。该状态集合的需要保护的子集被称为保护状态集 合。保护状态对于网络来说可以包括包头部信息 ( 表明协议类型) ， 对于程序的访问来说， 可以使某些过程可以调用其它过程或访问某些 数据。 如果用p来表示系统的状态空间， q g_ p , q是系统授权的合法 的 状态空间。当系统的状态9 e q时， 我们称系统是安全的;而 对于 状态: e p q , 我们称系统是不安全的。 安全策略把系统状态分成了安全 ( 或授权)状态和不安全 非授 权) 状态。 我们需要一种方式来对安全策略进行描述， 安全模型就是 对一个策略或一个特定的策略集合的描述。 安全模型提供了一个不依赖于软件实现的、高层次上的概念模 型， 反映了一定的安全策略，以 及由此产生的精确定义。 安全模型通 常去掉系统功能性描述中与安全无关的内 容，使得安全的形式化描 北京交通大学硕士学位论文 述、实现和验证具有可行性。 而模型通常是针对策略的某个特定方面 的，针对访问控制策略的模型就是访问控制模型。 2 . 3基于角色的访问 控制模型 众多的访问控制模型大致可以分为两大类:自主访问控制模型 d a c和强制访问控制模型ma c 。 而基于角色的访问控制模型是在这 两个基本的访问控制模型的基础上发展起来的， 通过配置既可以具有 d a c的特性，也可以具有m a c的特性。 本节中，我们将简要介绍 d a c与m a c ，并详细的论述 r b a c 模型的概念、原理及其特点。 2 . 3 . 1自主访问控制 自 主访问控制是根据主体身份或者主体所属组的身份或者二者 的结合， 对客体访问进行限制的一种方法。具有某种访问权的主体能 够自 行决定将其访问权直接或间接地转授给其它主体。 在自主访问控 制模型中，客体的主人全权管理有关该客体的访问授权，有权泄漏、 修改该客体的有关信息， 而且主体间存在权限的转移。 在很多机构中， 用户在没有系统管理员介入的情况下， 需要具有设定其他用户访问其 所控制资源的能力，这使得控制具有任意性。 在这种环境下， 用户对 信息的访问能力是动态的， 在短期内 会有快速的变化。d a c的实现 理论基础是访问控制矩阵 ( a c c e s s c o n t r o l ma t r ix ) ，它将系统的安全 状态描述为一个矩阵， 矩阵的一个方向表示系统中的主体，另一方向 表示系统中的客体， 中间每个元素为对应主体对对应客体所拥有的访 问权限。自主访问控制的特点是根据主体的身份和授权来决定访问模 式。 它的缺点是信息在移动过程中其访问 权限关系会被改变， 如用户 a可将其对目标o的访问权限传递给用户b ，从而使不具备对 o访 问权限的b可访问o . 北京交通大学硕士学位论文 2 . 3 . 2 强制访问控制 强制访问控制是根据客体中信息的敏感标记和访问敏感信息的主 体的访问级对客体访问实行限制的一种方法 ( 敏感标记 s e n s i t i v i t y l a b e l 表明一个客体的安全级并描述该客体中数据的敏感度的一条 信息) 。在强制访问控制模型中，每个主体都有既定的安全属性，每 个客体也都有既定安全属性， 主体对客体是否能执行特定的操作取决 于二者安全属性之间的关系( 安全属性的维护由指定的管理员负责) 。 安全属性在安全策略没有被改变之前是不能被改变的， 所以用户 无权将对系统资源的访问权传授给其他用户。强制访问控制的特点 是: 将主体和客体分级， 根据主体和客体的级别标记来决定访问模式， 如绝密级、机密级、秘密级、无密级。其访问控制关系分为:上读/ 下写 ( 完整性) ，下读/ 上写 ( 机密性) ;通过安全标签实现单向信息 流通模式。 2 .3 .3 基于角色的访问 控制 近年来，随着计算机在商业和民事部门的广泛使用，同样带来了 很多的安全问题， 这些部门有它们的安全需求， 完整性、可用性和保 密性同样是他们所关心的问题， 但与军事部门不同的是: 对于商业民 事部门 而言， 完整性问题可能比 保密性更突出， 而且其安全需求也是 不可预知的，不同部门有着不同的需求，其中的很多需求是无法用 d a c和ma c来描述和控制的。 d a c的访问控制力度太弱， ma c的 访问控制力度太强， 而r b a c可以通过角色的配置使得访问控制既具 有d a c的功能有具有ma c的功能。 传统的访问 控制机制通常是直接为每一个用户赋予一组许可权， 在这一过程中通常还将具有相同职能的用户分成组， 然后为每个组分 配许可权。 使用这种做法， 一旦企业的组织结构或系统的安全需求有 所变动， 都要进行大量繁琐的授权变动， 系统管理员的工作将变得非 常繁重， 并且容易发生错误造成一些意想不到的安全漏洞。 r b a c作 为传统机制的理想候选近年来得到广泛的研究， 并以其灵活性、 方便 北京交通大学硕士学位论文 性和安全性在许多系统尤其是大型数据库系统的权限管理中得到普 遍应用。 基于角色的访问控制中，在用户和访问权限之间引入角色的概 念。 r b a c的基本思想是: 将访问 权限 分配给角色， 用户通过赋予不 同的角色获得角色所拥有的访问权限。 用户与特定的一个或多个角色 相联系， 角色与一个或多个访问权限相联系。 这种方式更便于授权管 理、角色划分、职责分担、目 标分级和赋予最小特权，也是访问控制 发展的趋势。 s a n d h u等提出 的r b a c 9 6 3 1一6 1 模型 族包括四 个模型 r b a c o , r b a c 1 , r b a c 2 , r b a c 3 o r b a c o是基本模型，是 r b a c系统中 的最低要求。 r b a c 1 和r b a c 2 是r b a c o 的扩展， 包含了r b a c o , 但r b a c 1 加入了角色层次， r b a c 2 加入了限制。 r b a c 3 是r b a c i 和r b a c 2 的综合模型。四个模型之间的关系图示如下: 角色层次 +角色限制 r b a ci 角色层次角色限制 r b a c o 基本 r b a c 图 2 . 1 r b a c 模型之间的关系 1 . rbaco 基本模型r b a c o 包括四个实体: 用户( u s e r s ) 、 角色( r o l e s ) , 权限 ( p e r mi s s i o n s )和会话 ( s e s s i o n s ) ,如图所示。 用户( u s e r s ) : 一个可以 独立访问 计算机系统中的数据或者用数 据表示的其它资源的主体，用户在一般情况下是指人。 角色 ( r o l e s ) :可以定义为与特定工作行为相联系的一组操作 北京交通大学硕士学位论文 和责任的集合。 权限 ( p e r m i s s i o n s ) : 是依赖于具体的系统和应用的。 是对计 算机系统中的数据或者用数据表示的其它资源进行访问的允许。 会话( s e s s i o n s ) :是用户和分配给用户的角色集合中活动角色 子集之间的映射。 p a cp x r ， 表示权限分配， 是p e r mi s s i o n s( 权限) 到r o l e s ( 角色) 的多对多的二元关系， 我们用 ( r , p ) 来表示角色r 拥有一个 权限p . u a cux r ，表示角色分配关系，是 u s e r s( 用户)到 r o l e s ( 角色) 的多对多的二元关系， 我们用 ( u ,r ) 来表示用户u 被委派了 一个角色r . u a和p a关系是互相独立的。 u s e r : s e s s i o n s - u s e r s ，将各个会话映射到一个用户去的函 数u s e r ( s ;) o r o le s : s e s s i o n s - i 2 r o l e s ， 将各个会话 s ; 与一个角色集合联系 起来的映 射函 数: o l e s ( s ;) 。 会话s 。 所具有的 角 色为: r ( u s e r ( s ;) , r ) e u a ( 会随着时间的改变而改变)，会话 s ， 拥有权限为: u r e r o l e s ( s i ) p i ( p ,r ) e p a 用户一 角色 分配 角色一 权限 图2 . 2 r b a c o 模型 北京交通大学硕士学位论文 2 . rbaci r b a c %框架中的另一个模型r b a c 1 引入了角色层次的概念， 角色之间可以有继承的关系， 被继承的角色称为低级角色， 继承者称 为高级角色。角色之间的层次关系是偏序关系， 具有自 反、 传递和反 对称的特性。 该模型允许高级角色继承低级角色的所有权限， 相反地， 允许低级角色继承高级角色的所有用户。由于一些权限不希望被继 承，r b a c模型中又引入了私有角色的概念，私有角色不能被继承。 在 r b a c 1中，u s e r s , r o l e s , p e r mi s s i o n s , p a , u a和 u s e r 相对于r b a c o 没有改变，角色层次r h与r o le s 函数定义如下: r h c r x r ，是角色上的一个偏序关系， 称为角色层次关系或支 配关系。 r o le s : s -*2 r ， 相 对 于r b a c o 的r o le s ( s ;) 有 所改 变。 在r b a c 1 中 ， r o l e s ( s ;) c ( r l 3 ( r ? r ) u s e r ( s ,) , r ) v u a ) ( 可能 会随 着 时 0 1 的 改 变 而改变) 。 角色层次 图2 . 3 r b a c 1 模型 3 . rb ac2 r b a c 2模型引入了限制的概念。限制包括角色互斥限制、角色 北京交通大学硕士学位论文 基数 c a r d i n a l i t y )限制、先决角色限制以 及其他的限制。 角色 互斥包括两个部分: 静态 职责分离( s t a t i c s e p e r a t o n o f d u t y , s s d ) 和动态职责分 离 ( d y n a m i c s e p e r a t i o n o f d u t y , d s d ) 。 职责分 离是用来实施利益冲突策略的。 在r b a c系统中利益冲突的产生通常 是由于用户获得了与互相冲突的角色相关联的权限。 阻止这种冲突产 生的一个方法是实施静态职责分离， 即对于用户与角色的分配进行限 制。例如用户不能既是出纳有是会计。定义 s s d为一个二元组 ( 角 色集合，n ) ，用户不能被分配给角色集合中的n 或n 个以上的角色。 形式化描述为 s s d c ( 2 r o l e 3 x n )。 动 态 职责 d ( r s , n ) 。 s s d , v t c_ r s : t j_ ” 幼% , a s s ig n e d _ u s e r s ( r ) = 0 分离和静态职责分离一样也限制了角色的权限， 但和s s d不同的是， d s d限制的是用户被激活的角色。 例如用户不能同时激活自己的出纳 和出纳主管的角色，尽管它能拥有这两个角色。形式化描述为: d s d e ( 2 r o l e x n ) b r s e 2 r o t ， n 。 n , ( r s , n ) e d s d=n _ 2 1 r s j_ n , a n d v s e s e s s i o n s , d r s e 2 ， d r o l e _ s u b s e t 2 r o l e , d o e n , ( r s , n ) d s d , r o l e , s u b s e t c r s , r o l e _ s u b s e t c s e s s i o n _ r o l e ( s ) = : i r o le _ s u b s e t 卜n 角色基数限制是指对于某个角色至多或至少可以分配多少了用 户，或者只能分配多少了 用户。通常采用至多可以分配多少用户。 4 . rbac3 r b a c 3 既提供了角色层次又提供了限制，是r b a c 1 和r b a c 2 的组合， 如图2 .4 所示。 对于层次关系中的角色限制， 形式化描述为: v ( r s , n ) e s s d , d t c r s :l t t n z - n , e , a u t h o r iz e d u s e r s ( r ) = o。 这里的限制是 对所有的具有 s s d关系的角色的授权用户的限制，是基于授权用户 而不是指定用户的。要确保继承没有破坏 s s d策略。这里所说的指 定用户是直接分配给角色的用户，而授权用户还包括继承来的用户口 北京交通大学硕士学位论文 角色层次 图2 . 4 r b a c 3 模型 马 2 . 4本章小结 本章首先对访问控制的概念和分类进行了描述， 然后对安全模型 的概念进行了简单介绍。同时还阐述了基于角色的访问控制模型 ( r b a c )的发展、原理及其特点，最后介绍了由 s a n d h u等提出的 r b a c 9 6模型族中的四个依次发展起来的模型 r b a c o , r b a c 1 , r b a c 2 和r b a c 3 , r b a c %模型将是我们论文中 所提出的基于角色 的访问控制模型的一个基础模型。 北京交通大学硕士学位论文 第三章 m r b a c 0 3 模型的设计 在应用区域边界的安全访问控制中，基于角色的访问控制技术 ( r b a c ) 较之其他传统的访问 控制策略有着不可比 拟的优势，因 此 我们采用s a n d h u 等提出的r b a c %和a r b a c 9 声u s 模型作为多级应 用区域访问控制的基础。 然而前人提出的基于角色的访问控制模型作 为边界访问控制的模型，尤其是针对多级应用区域， 还有着一些未涉 及之处。 我们提出了针对多级应用区域访问控制的基于角色的访问控 制模型 m r b a c 0 3 . 3 . ， 应用区域边界访问控制的特点和安全需求 3 . 1 . 1 特点 应用区域边界访问控制系统具有以下三个特点: ( 1 ) 它是一个集中授权的强制访问系统。用户只能以系统为其指 定的身份和权限发起访问请求， 且在访问请求过程中用户的身份和权 限是始终保持不变的。 ( 2 ) 用户的访问请求是依次通过应用区域边界访问控制系统的。 用户的访问请求应该通过本应用区域的边界服务器， 逐级转发到目的 区 域的 边界服务器， 而不能存在旁路使得用户的访问 请求能够绕过边 界服务器到达目的地。 ( 3 )对应用区域边界访问控制系统而言，每一访问请求是无状 态的。 即应用区域边界访问控制系统只根据用户访问请求自 身所携带 的信息来判断此访问请求是否合法。 3 . 1 . 2 安全需求 一个访问控制系统要达到强制访问控制的系统需求， 其安全功能 北京交通大学硕士学位论文 必须满足四条安全规则: ( 1 )必须对主体进行基于真实身份的认证。访问请求是由用户 发起的， 而对用户的访问请求的合法性进行验证时， 必须根据用户的 真实身份进行验证。 ( 2 )最小权限规则。即主体在完成指定任务时其所具有的权限 不能超过其完成此任务所需要的权限， 主体仅使用恰好足够的权限完 成工作。 使用高的权限运行可能导 致严重的后果， 例如恶意代码在具 有额外权限的高权限程序中运行可能会导致系统崩溃等严重后果。 权 限的最小化原则是安全的重要保障。 ( 3 )职责分离。它是指对于一些特定的操作，某个用户或某些 用户不可能独立地完成所有的操作。 例如通常情况下一个单位中某个 人不应该既是会计又是出纳。 ( 4 ) 数据抽象。 它是指系统安全管理人员能够在一种较抽象的， 通常与相关组织机构的业务管理任务要求相类似的层次上控制主体 对客体的访问。 例如对财务系统而言， 我们可以建立贷款、 借款等抽 象权限。 怪 3 . 2 基于角色的访问控制技术的优势 传统的可实现强制访问控制的策略有三种。第一种为基于用户、 用户组的策略， 第二种为基于规则的策略， 第三种为基于角色的策略。 在网络边界