（计算机应用技术专业论文）基于角色的访问控制扩展模型研究与实现.pdf

摘要 基于角色的访问控制扩展模型研究与实现 摘要 随着电子商务和无纸化办公深入到各个领域，基于角色的访问控 制方式得到广泛的应用，并形成了n i s tr b a c 标准。本文在n i s t r b a c 的基础上提出一种新的扩展模型，扩展模型依据客体和操作的 属性特点抽象出客体角色和操作角色概念，增强了砌j a c 模型的平 衡性，并加入任务概念强化n i s tr b a c 中的最小权限原则。i m a c 扩展模型体现了“一切皆角色”的策略理念，一切皆角色，模型只包 含对象、角色、角色之间的关系三种内容。相较于n i s tr b a c ，扩 展模型更为灵活、安全、实用性更强。 本论文结合实际应用系统的需求，设计并实现了基于扩展模型理 念的权限系统。系统分为四部分：主体部分、客体部分、操作部分和 任务部分。在论文各章节中，逐个详细阐述了子模块的功能特点、设 计结构，并进一步分析了体现的模型理论。最后，本文给出了该系统 的实验结论，对系统的优缺点进行了综合评价。 关键词：基于角色的访问控制，扩展模型，客体角色，操作角色，任 务，安全 北京化工大学硕士学位论文 r e s e a c ha n dd e s i g no fa ne x t e n dm o d e lo f r o l e b a s e da c c e s sc o n t r o l a b s t r a c t a l o n g 谢me c o m m e r c ea n dt h e r e a l i z a t i o nw o r k 谢mn op 印e ra t a l la p p l yt ov a r i o u si n d u s 仃i e s ，r o l e - b a s e da c c e s sc o n 仃0 1w a sw i d e l y u s e da i l dn i s tr o l e - b a s e da c c e s sc o n t r 0 1s t a n d 删c a m ei n t ob e i n g i n t h i sp a p a l le x t e n d e di 沁l e b a s ea c c e s sc o n 仃o lm o d e lb a s e do nn i s t r b a c 啪s p r o p o s e d t h ee x t e n d e dm o d e lh a ss o m cn e we l e m c n t s1 i k c o p e r a t i o n r 0 1 e sa c c o r d i n gt oa b s t m c t so f 印e m t i o n ，o b j c c t - r o l e sa c c o r d i n g t oa b s t r a c t so fo b j e c t ，t a s kf o r 蚀ew o r s tp r i v i l e g e ，“e n ee x t e n d e d r 0 1 e - b a s e da c c e s sc o n 仃o lm o d dr 印r e s e n t st h a te v e r y t h j n gb e l o n g st o i t sr 0 1 e s 。t h e r e f o r e ，i t j u s tc o n t a i n se n t i t i e s 、r 0 1 e s 、r e l a t i o n sb e t 、) l ，e e nr o l e a n dr o l e c 伽叩a r e d 诵t hn i s tr o l e 七a s e da c c e s sc o n t r o lm o d d ，m e e x t e n d e do n ei sm o r ef l e x i b l e ，m o r eu s e a b l e ，m o f ef i l n c t i o n a la n ds a f - e r c o m b i n e dw i mr e a lr e q u i r e m e m ，m i sp 印e fs e t so u td e s i g na n d r e a l i z a t i o no fp e n n i s s i o n s y s 姐n b a s e do n也ee x t e n d e dm o d e l p e m i s s i o ns y s t 锄c o m p r i s e sf o u rm a i np a r t s ：u s e rp a r t ，o b j e c tp a r t ， o p e r a t i o p a n 趾dt a s k i i ll a t t e rs e c t i o n s ，c hs u b s y s t e mi si n 仃o “c e d s p e c i 丘c a i l yf o ri t ss t m c 劬旧a i l dq u a l i 嘟a n dc o r r e s p o n d i n g m o d e ic o n c e p t i sp a r t i c l l l a d ya n a l y z e d a tt h ee n do ft h i s 、v o 如唧耐m e n tr e s u l t sa r e i l 摘要 s h o w e da n da 1 1a l l - r o u n de v a l u a t i o ni sp r o d u c e df o rt h i ss y s t e m k e yw o r d s ：r o l e - b a s e d a c c e s s c o n t m l ， e x t e n d e d m o d e l ， o b j e c t - r o l e s ，o p e r a t i o n r o l e s ，t a s k ，s e c u r i 够 i 符号说明 符号说明 删c自主访问控制 纠c 强制访问控制 兄副c基于角色的访问控制 髓叫c基于任务的访问控制 m 优1 模型视图控制 m 丐，美国国家标准和技术委员会 北京化工大学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本 论文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 作者签名：至盏日期：边：至：趋： 关于论文使用授权的说明 学位论文作者完全了解北京化工大学有关保留和使用学位论文 的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属北 京化工大学。学校有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编 学位论文。 保密论文注释：本学位论文属于保密范围，在量年解密后适用 本授权书。非保密论文注释：本学位论文不属于保密范围，适用本授 权书。 作者签名： 导师签名： 王芳 j 势驻 日期：鲨号! ? ! 第一章绪论 第一章绪论 访问控制是国际标准化组织i s o 在网络安全标准( i s 0 7 4 9 8 _ 2 ) 中定义的五个 层次型安全服务中的一个重要组成部分，它是允许被授权的主体对其权限内的客体 进行访问、拒绝未授权的主体对客体访问的实施策略，也就是说访问控制机制是用以 防止非法用户进入系统及禁止合法用户对系统资源的非法使用【1 3 的机制。 1 1 访问控制现状 目前主流的访问控制技术有四种：自主访问控制( d a c ) 、强制访问控制( m a c ) 、 基于角色的访问控制( r b a c ) 、基于任务的访问控制( t b a c ) 。 1 自主访问控制 自主访问控制( d i s 删i o r 埘ya c c e s sc o n 扛0 1 ) 兴起于2 0 世纪7 0 年代，随着分 时系统的出现而产生。这种访问策略通过访问控制列表判断用户或用户组的身份， 并决定是否允许其使用资源。系统中的主体( 用户或用户进程) 可以自主地将其拥 有的对客体的访问权限( 全部或部分地) 授予其他主体【2 l 。 自主访问控制中用户可以任意传递权限，这种灵活的权限特点使其在商业和工 业的某些领域得到广泛应用。但是，这种特点也使得系统不能提供充分的资源保护， 因为，没有访问资源a 权限的用户可以从具有访问资源a 权限的用户那里得到访问 权限或直接得到资源。 2 强制访问控制 强制访问控制模型( m a n d a i c qa c c c s sc o n 仃0 1 ) 源自美国政府和军方，这种访 问控制的本质基于非循环单向信息流政策【，系统中的每个主体都被授予一个安全 证书，是一种多级访问控制策略。 m a c 对访问主体和受控对象都授予一个安全标记：一个是具有偏序关系的安 全等级标记；另一个是非等级分类标记。主体和客体在分属不同的安全类别的情况 下，都属于一个固定的安全类别s c ，这个安全类别就形成一个偏序关系。例如，当 主体s 的安全类别为t s ，而客体。的安全类别为s 时，用偏序关系可以表述为s c ( s ) s c ( o ) 。由此，主体对客体的读写访问积乘之后分为四种： ( 1 ) 向下读：主体安全级别高于客体安全级别时允许读操作： ( 2 ) 向上读：主体安全级别低于客体安全级别时允许读操作； ( 3 ) 向下写：主体安全级别高于客体安全级别时允许执行写操作； ( 4 ) 向上写：主体安全级别低于客体安全级别时允许写操作。 3 基于角色的访问控制 北京化工大学硕士学位论文 基于角色的访问控制( r d l e - b 铺e da c c e 船c o n 仃0 1 ) 将访问控制中的主体对象和 对应权限解祸，根据主体的权限特点抽象出角色的概念。 r b a c 中的基本元素包括：用户，角色和权限【3 1 。基本思想是用户通过角色获 得所需的操作权限。每一个角色可以看成是一个职务，代表与该职务相关的一系列 责任、义务及由此确定的相应权限。应该赋予一个角色何种权限必须对系统的运转 的有一个深刻的，全面地了解。 权限是可被角色实施的一个或多个操作和控制。一个权限可以用来定义或实现 复杂的安全相关的细节。基于用户所承担的责任、义务，用户可能被指定多个角色。 这些角色并不一定同时都起作用，而是根据此时用户在系统中的当前状态，所承担 的责任和权利来激活哪些角色。在一个时刻某用户被缉获的角色集合被称为该用户 的当前激活角色集。在任何时刻，用户所拥有的权限是该用户的当前激活角色集所 允许的所有权限的一个子集。 在以后的章节中将对附 a c 进行详细地介绍。 4 基于任务的访问控制 考虑到执行的上下文环境和动态授权，基于任务的访问控制技术中引入工作流 的概念加以阐述。工作流是为完成某一日标而由多个相关的任务( 活动) 构成的业 务流程【4 5 1 。工作流所关注的问题是处理过程的自动化，对人和其他资源进行协调管 理，从而完成某项工作。当数据在工作流中流动时，执行操作的用户在改变，用户 的权限也在改变，这与数据处理的上下文环境相关。 基于任务的访问控制模型( t b a cm 0 d d ，协k - b a s e d a c c e 鹳c o i i 咖1m o d d ) 是 从应用和企业层角度来解决安全问题，以面向任务的观点，从任务( 活动) 的角度 来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。 t b a c 模型由工作流、授权结构体、受托人集、许可集四部分组成。 任务( t 器k ) 是工作流程中的一个逻辑单元，是一个可区分的动作，与多个用 户相关，也可能包括几个子任务。授权结构体是任务在计算机中进行控制的一个实 例。任务中的子任务，对应于授权结构体中的授权步。 授权结构体( a u t h 嘶z a t i o n i t ) ：是由一个或多个授权步组成的结构体，它们 在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。一 般授权结构体内的授权步依次执行，原子授权结构体内部的每个授权步紧密联系， 其中任何一个授权步失败都会导致整个结构体的失败。 授权步( a u t l o r i z a t i o ng t c d ) 表示一个原始授权处理步，是指在一个工作流程中 对处理对象的一次处理过程。授权步是访问控制所能控制的最小单元，由受托人集 ( 协l s t e c s c t ) 和多个许可集( 口e r l i s s i o n ss e t ) 组成。 受托人集是可被授予执行授权步的用户的集合，许可集则是受托集的成员被授 予授权步时拥有的访问许可。当授权步初始化以后，一个来自受托人集中的成员将 第一章绪论 被授予授权步，这个受托人被称为授权步的执行委托者，该受托人执行授权步过程 中所需许可的集合称为执行者许可集。授权步之间或授权结构体之间的相互关系称 为依赖( d 印c 1 1 d c l l c y ) ，依赖反映了基于任务的访问控制的原则。授权步的状态变化 一般自我管理，依据执行的条件而自动变迁状态，但有时也可以由管理员进行调配。 一个工作流的业务流程由多个任务构成。而一个任务对应于一个授权结构体， 每个授权结构体由特定的授权步组成。授权结构体之间以及授权步之间通过依赖关 系联系在一起。在t b a c 中，一个授权步的处理可以决定后续授权步对处理对象的 操作许可，上述许可集合称为激活许可集。执行者许可集和激活许可集一起称为授 权步的保护态。 这四种访问控制策略适用范围不同，在各自领域内都得到广泛的应用和发展。 1 2r 队c 的发展 基于角色的访问控制r b a c ( r o l e - b 船c da c c e s sc o n 乜0 1 ) 是由美国国家标准化 和技术委员会( n i s t ) 的f e r r a i o l o 等人在9 0 年代提出的。1 9 9 2 年，由d a “df 锄i 0 1 0 和r i d l a r dk _ l l l l n 提出r b a c 的基本原则，这也是r j j a c 最基本的内容。 1 9 9 6 年，美国g e o r g em a s o n 大学信息系统和系统工程系的r s a i l 曲u 等人在对 r b a c 进行深入研究的基础上提出了一个基于角色的访问控制参考模型一一 i 圆a c 9 6 模型，对角色访问控制产生了重要影响。 2 0 0 1 年8 月n i s t 发表了耻认c 建议标准。该标准综合了众多研究者的共识， 包括两个部分：r b a c 参考模型和功能规范。参考模型定义了r 】a c 的通用术语和 模型构件，并且界定了标准所讨论的r b a c 领域范围；功能规范定义了i 出a c 的管 理操作。它是目前最为完挨和全面的a c 规范。 1 3 研究的内容 由于基于角色的访问控制策略适用于所有以角色或职务设定权限的系统，并且 基于角色的访问控制支持最小权限和两种职责分离，具有可靠的安全性和灵活性， 因此具有更为广泛的应用。 但是，在实际的应用中，发现n i s tr b a c 还存在一些问题。所以本文试图在 n i s tr b a c 的基础上提出解决这些问题的扩展模型并设计实现符合扩展模型的应 用系统。 北京化工大学硕士学位论文 第二章基于角色访问控制模型介绍 由于基于角色的访问控制方法可以成功地减低大型网络应用安全管理的复杂性 和花费，所以自上个世纪9 0 年代起就成为访问控制策略的热点。通过对基础模型的 不断探讨和研究，r b a c 结构陆续增加了角色继承、静态职责分离、动态职责分离 等功能。 2 0 0 1 年，n i s t ( n a t i o n a li i l s 觚咖o fs t a n d a r d sa i l dt e c b n 0 1 0 鳓提出的n i s t 砌j a c 标准包括m j a c 定义及模型。该模型分为4 层，每一层提供增加的功能和复 杂度。它们分别是：c o r e r b a c ，h i e r a f c h a l r b a c ，c o n s t r a i n t r b a c 中的两种责任分 离部件模型。 2 1c o r er 队c c o r er b a c 定义能构成一个i u a c 控制系统的最小的元素集合，即用户通过 称为角色的成员来获得相应的权限。c o r er b a c 并不禁止用户通过其他的方式获得 操作权限，但要求用户角色和角色权限关系均为多对多的关系，并可以动态添加 用户角色和角色权限关系，且一个用户可以通过同时被指定多个角色而同时获得 多个角色的多个权限。其形式化模型如下图2 1 【q 所示： 图2 - l 核心r b a c f i g 2 - 1c o 心r b a c 硒e 坩= “，“：，“。 所有用户u s e r 的集合。 r d 枷= 轨，2 ，) 所有角色r o l e 的集合。 c 枷= d p 。，叩：，印i ) 所有操作0 p 啪t i o n 的集合。 o 色 b c 括= d 6 1 ，0 6 2 ，0 6 j ) 所有访问对象o b j e c t 的集合。 甜f d 坩= p l ，s 2 ，s 。) 所有会话的集合。 户锄懈= 2 ( 伽。o 懈耐，所有权限p e r i i l i s s i o n 的集合。 l 删瞻e 坶r d 胁，从用户集合到角色集合的多对多映射，表示用户被赋予角 色。 a s s i 印吐u s e r s ：( ，：勘胁) _ 2 “返回指定给角色的用户集合。即 跚劫叩一删r ( r ) = 伽孤i ( “，) 【朋 第二章基于角色访问控制模型介绍 只4 p r 绷s 勘妇，从许可集合到角色集合的多对多映射，表示角色被赋予的 许可。 娜瑶殚删一p e 脚：( ，：r d 胁) 斗2 “，返回指定给角色的权限集合。即 伽堙玎耐一p 已，椰( r ) = ( p p 已，7 珊l ( p ，) j 毛q 。 劬耐一，口勉：0 ：硒椰) 斗2 “，返回指定用户的角色集合。即 骶，辔栉耐一阳伽) = ，尺d 胁l ( “，) h 。 d p ( p ：n ，7 船) jg 如，返回与指定权限相关的操作。即 d p ( p ) = 叩c 婶i j d 够d 色如c 8 n ( 叩，d 巧) = p ) a d 6 ( p ：n 删s ) j0 龟阳c 如，返回与指定权限相关的操作。即 叩( p ) = 叩伽1 o 够d 啦c 黯n ( 印，d 巧) = p ) 。 螂盯一j 娜f o 础： 矾e 坩) _ 2 “，返回指定用户相关的会话。 鼯镕蛔酪m 协0 ：豫镕幻瑚) 2 “，返回指定会话相关的角色。即 j 鲫如瑚一m 协( j ) ，r d 胁is b 船如埘一淞e 坶o ) ，r l h ) ，a s 跚f d 瑚一俨，7 w 0 ：j 蕊，f d m ) _ 2 “，返回与指定会话相关的权限。即 s b 站f d 邶一p 明雠( j ) =u 姗轫l 耐一p b h 凇( r ) 2 2h i e r a r c h a i r b a c h i e r 玎c h a lr b a c 支持角色的继承性，即一个角色可以通过继承其他一个或多个 角色来定义。当一个角色继承了另一个角色后，就自动获得了被继承角色的所有被 赋予的权限。 碰黜c h a lr b a c 模型如图2 - 2 所示，其中包含两个子类型1 7 8 】：一般h i e r a r c h a l r b a c 和受限h i e r a r c h a l 砌j a c 。一般h i 舶a 1l a c 只需角色的继承关系是一个 绝对的偏序关系既可。受限h i e r a r c h a lr b a c 则在前者的基础上添加了不同的限制， 典型要求包括继承关系是一个树或是一个反向树。 r h 图2 _ 2 继承砌3 a c f i g 2 2h 妇删l a lr b a c 引入继承性，赋予当前激活角色集更深的意义。假定角色b 继承自角色a ，而角 色a 具有权限1 ，2 ，角色b 具有权限3 。当用户甲被指定成为角色b 的一个实例 北京化工大学硕士学位论文 时，由于角色的继承属性，用户甲也自然成为角色a 的一个实例，也就是说此时甲 此时拥有权限l ，2 ，3 ，并且此时用户甲的当前激活角色集为( a ，b ) ，而不是传统意 义上的 b ) 。 一般继承关系g e i 瑚mh i e r a r c h a lr b a c 衄r d 蛔r d 伽，是角色集合上的一个偏序关系，记作。 ，l ，2 = 口“腩d ，函耐一p 删( 吃) 口“珐删z 耐一p p ，7 邶( ，1 ) n 口“珐d z 甜一琊e 培( ) d “肪d 慨d l 拈p ，百( ，2 ) 。 d “抽d 比耐一淞e 坩p r d 协) _ 2 惭，有 口枷矾耐一般憎( r ) = 缸伪绑i 了，肋蛔，n 似，i ) = 删) 4 枷毗耐一俨嗍( r 勘胁) 寸2 “，有 4 枷吡甜一芦搠= 扫n 脚l 3 ，r d 胁，n ( p ，。) = 朋 受限继承关系l i n l i t e dh i e r a r c h a lr b a c v ， ，屹勘胁， nr 乞j = ，2 2 3c o n s t r a i n tr 队c c o n s 删n tr b a c 用来解决某些职务不能由同一个人担当的情况。受限i 国a c 可以分为两类：静态职责分离和动态职责分离。 静态职责分离控制用户和角色的指定过程。动态职责分离控制角色的激活过程， 即控制在一段时间内，不同的角色能否同时激活。在静态职责分离中，如果两个角 色被指定具有约束，则一个用户不能同时被指定为该两个角色。另一个静态职责分 离中，包括对一个角色可以被指定给用户的数量进行限制，这种限制可能同时包括 上限和下限。在动态职责分离下，可能给一个用户指定多个角色，当多个角色彼此 独立激活时，不存在冲突。但是当同时激活这些角色时，产生冲突。当考虑到角色 的继承关系时，职责分离就更加复杂，必须添加相应的限制条件。如果具有继承关 系的角色不能被指定静态限制。 c o n s 仃a i n t a c 模型n8 包含静态和动态两种。 静态职责分离模型如图2 3 所示： 船d 2 “，该关系满足 第二章基于角色访问控制模型介绍 v ， ) 艇d ，v f 坶：i f 障 j n 鲫劫甜一螂们( r ) = m r e f 图2 3 静态受限r b a c 量i g 2 - 3s s dw l t l l mh 1 啪r c b i c a ir b a c 动态职责分离如图2 - 4 所示： d 如2 “，该关系满足 v 坩2 舶蛔，v 刀，( 邢，”) d 如j 捍2 n i 船巨h ，并且 v s 5 缸幻以s ，v 雕2 舶妇，v 加如一5 e f 2 眦，v 以 - ( 坶，栉) | 物。 m 把一j 甜坩，阳彪一j 甜j b 站如栉一，d 协( s ) j lr 0 昆一占“l h j n 础占珈甜一邶e 圩( 耵) = 中 用户角色动态职责分离( u d s d 伊c ，d 2 。“，该关系满足 v “船2 舢，v n ， 坩，n ) d 肋j 玎2 n i 姗巨一，并且 坼& 船f d 附，v ，2 啪，v 而尼5 “2 龇，v ，l ，( “坩，1 ) d 5 d 。 ，0 如一s “坩，阳如一s 酣5 巴鼯f d 订一，d f 船o ) = ，l 阳如一s 甜i 依据客体所属业务功能模块指派。 依据客体对象自身属性指派。 依据客体对象安全敏感级别指派。 3 1 3 操作部分 操作( o p s ) ：6 咖= 印。，叩：，叩 ) 所有操作o p e r a t i o n 的集合。程序对客体的 行为，被用户角色调用和执行。 操作角色( o p r 0 1 e s ) ：d p r d 胁= d p ，峨，印) 。操作角色可以理解为具有 同样特性的操作的集合。 操作角色指派( 0 p s j t 0 1 e s _ _ a s s i g n e d ) ：0 咧m c 加d p 冠d 协，从操作对象集合 到操作角色集合的多对多映射，表示操作对象被赋予角色。 a s s i 印e d _ 0 p s ：( d p r ：d p r 0 协) 斗2 返回指定给操作角色的操作对象集合。即 自印甜一印s ( 印，) = 印c 扮i ( 叩，印r ) d p 冠椰 操作角色静态职责分离( o p s s d ) ：伪唱妨2 0 “，该关系满足 v ( 哆坩，以) eg 坚强，v f c p ，百：itj 疗= = f l c l ，s 堙w 耐一( ! p 苫( c i 芦r ) = m 操作角色继承( o p r h ) ：操作角色继承分为一般操作角色继承和受限操作角色 继承。 一般操作角色继承： 北京化工大学硕士学位论文 0 1 p r 日互d p 曰d 胁d p 尺d 胁，是操作角色集合上的一个偏序关系，记作。 d p ，l 印屹等口“胁d 庇耐一d 缸( d p r 2 ) 量口“抽d 沱耐一d 缸( 印) n 删历d ，f z 耐一凹，( 印1 ) 口“珐d 比甜一c j p 蛋( c i p 吃) 。 d “腩d 删一印p 阳加瑚( 印r 0 蚴口勉) 寸2 啦，有 “历口比耐一印已m 咖琳( 叩r ) = d p c 如ij 9 泓协，印一叩rn ( 叩，叩，j ) = d p 剐) 口“历d 沱耐一哆f ( d 6 r 0 _ r d z 皓) 斗2 细，有 口“珐d ，z p d 一6 1 p ，= ( q p i 筘i 了d 6 ，i 1 9 r d 胁，d 6 r t d 6 r n ( o p ，d 撕) = 0 坚1 ，j 日爿) 受限操作角色继承： v 印，印，峨例啊d 协，叩r d p n 叼r d p r 2j 嗍= 嘁 3 1 4 任务单元 任务是从基于任务的访问控制策略中借鉴的单元，用以解决权限滥用的问题。 任务单元的作用【1 4 1 5 1 如下： 1 保证授权只有在任务开始执行时才授予且任务一旦结束，授权就要被收回， 否则，一个用户拥有权限的时间就会长于他需要权限的时间，会导致安全泄漏。 2 保证合法的用户在执行某个任务实例时只能拥有该任务实例所允许访问的客 体的权限。 由此，任务单元必须保证以下三条重要访问控制策略： 1 任务的执行必须在特定的时间段内完成，并且授权有效时间与任务执行时间 尽可能同步。 2 最小特权原则，用户在执行任务具体的实例时只能访问该任务所允许操作的 客体。 3 动态职责分离。 3 1 5 关系综述 1 模型包含的指派关系 用户角色指派( u r a ) ：u s e r s u r o l e s ，是用户和用户角色之间的多对多关系。 客体角色指派( o r a ) ：o b j e c t s o r o l e s ，是客体和客体角色之间的多对多关 系。 操作角色指派( o p r a ) ：0 p e r a t i o n s o p r o l e s ，是操作与操作角色之间的多 对多关系。 客体角色操作指派( p o r a ) ：呈o r o l e s o p r o l e s ，是客体角色和操作角色之间 的多对多关系。 第三章基于角色的访问控制扩展模型介绍 用户角色权限指派( u p ：a ) ：互p 锄s u r d l e s ，是用户角色和权限之间的多对多 关系。 2 角色继承关系 继承关系是指角色之间的偏序关系，如果角色r 1 继承角色r 2 ，角色r 1 就具有 角色所具有的所有安全特性，也就具有和其他角色之间的关系。 扩展模型中包括三种继承关系：用户角色继承( u r h ) ，客体角色继承( o i m ) ， 操作角色继承( o p h ) 。 角色之间的继承关系与o o p 的继承性很类似，所以其实现可以参考o o p 的继 承实现 1 6 | 17 1 。 3 约束关系 约束关系可以分为三大类：对用户角色的约束、对事务的约束、对权限的约束。 用户角色约束：限制用户和角色之间的关系，目的在于避免利益冲突，其中最 重要的内容就是职责分离。 任务约束：基于任务的上下文环境控制任务之间的关系。 权限约束：基于客体角色和操作行为的安全敏感度，对权限进行约束控制。 4 模型中的约束关系 用户角色约束 用户角色约束中最重要的两个安全原理：静态职责分离和动态职责分离。 任务约束 互斥关系：对于同一用户角色，如果不能同时执行任务t a s k l 和t 船k 2 ，就说任 务t a s k l 和任务t 船l 【2 是互斥的关系。 依赖关系：对于同一用户角色，如果任务t a s k l 只能发生在t 船比之后时，就说 t a s k l 依赖于t a s l 【2 。 并行关系：对于同一用户角色，如果可以同时执行任务t a s k l 和t 勰k 2 ，就说任 务t 嬲k 1 和任务t a s k 2 之间是并行关系。 权限约束 对权限的约束主要基于权限的安全级别。根据客体角色和操作行为的业务特点， 分别为两者添加安全级别标签，两者的安全级别带权相加之和即为权限的安全级别。 权限的安全级别可以分为3 类：高安全级、中安全级、低安全级。 高安全级约束：权限的安全级别为高时应用的约束原则，约束条件谨慎复杂。 中安全级约束：权限的安全级别为中时应用的约束原则，约束条件较复杂。 低安全级约束：权限的安全级别为低时应用的约束原则，约束条件简单。 3 2 扩展模型的优点 北京化工大学硕士学位论文 扩展模型始终贯穿并体现了“一切皆角色”的思想，并努力严格实现最小特权 原则，其优点为： 1 ) 实用性。扩展模型中对客体和操作进行抽象并引入客体角色、操作角色的概 念，模型更适用于实际应用。 2 ) 安全性。增加了操作角色和客体角色操作许可关系的验证，增强了系统安全 性。同时，引入任务的概念，用户请求只能激活当前任务所需的权限，更加符合最 小特权原则，避免了权限滥用，更为安全。 3 ) 平衡性。扩展模型缓解了原模型中安全性倾斜的缺点，具有平衡性。 4 ) 层次性。扩展模型引入了权限安全级别的概念，依据操作行为和客体角色的 安全特点决定约束的复杂性，具有层次特点。 第四章基于扩展模型的系统计 4 1 背景介绍 第四章基于扩展模型的系统设计 中国质量认证中心英文简称c o c ，是经国家有关部门批准设立的专业认证机 构。c o c 及其设在国内外的分支机构是中国开展质量认证工作最早、最大和最权 威的认证机构，几十年来积累了丰富的国际质量认证工作经验，各项业务均成果卓 著，认证客户数量居全国认证机构的首位、全球认证机构的前列。 目前，c o c 在国内外共设有4 5 个分支机构。遍布全国的服务网络，为客户 提供及时、周到、高质量的服务。 组织机掏 j 蝴二j 兰嚣。i ：薹嚣 l 滏溷攫翊渗i 薤鲻萋? 巍隧瓣 蚕藿驴垂 ：鬟 壁 j 攀螓辫l | | | | 羚瓣匿冁灌萋蠢、爹 嬲蘩耪蒸瓣菱誊糕剿幕翳 黟副辫剽瓣瓣羹嚣鞣善襄。b ，心心曲1 廿心廿廿4 ，凸v ：o 廿： ：莹蓍瓣溪磐；瓣鎏秘； 惠蠹鞠j 醛驴瓣；! 瓣漂 鹄。西。心心= o j 廿心i 心廿i 岳，o 图4 一lc ( ) c 组织结构图 f i g 4 - lo r g 蛳i z a t i o n so f c q c c q c 认证依据认证业务分为产品认证和体系认证两个部分。分中心主要负责产 品认证，体系认证主要负责体系认证。组织结构如图4 1 所示。 本论文涉及c q cc m s2 o 系统中的权限部分，其他业务不在此论述。c m s2 o 北京化工大学硕士学位论文 是依据认证中心业务在c m s1 0 版本上的升级与改进，改进的焦点在于权限的控制 及工作流程的可管理性。 4 2 需求分析 4 2 1 认证中心业务特点 中国质量认证中心的业务要求具有以下特点： 1 工作流程以角色和权限为核心，不以个人为工作主体 认证中心在实际工作中，分散给特定个人的权限很少，它们强调工作人员的资 质，具有特定资质的人员具有规定的角色名称，例如：检查员，高级检查员，审核 员，高级审核员，认证决定人员，合格评定人员等等。 业务逻辑严格遵循角色权限模式。 2 角色与组织机构密切相关 认证中心中所有角色都具有组织机构性。例如：检查员必定属于分中心，审核 员必定属于评审中心。虽然具有检查员身份的某个人实际工作单位可能在其它部门， 但当其以检查员身份进行审核活动时，其审核经费的划拨、审核活动的安排、监督 和管理都以分中心为单位。所以，这也造成了个人信息中工作单位和所属机构的不 一致性。 3 角色与认证业务类别密切相关 认证中心所有角色都具有业务分类性。认证中心业务分类如图4 2 所示。 认证业务分为产品认证和体系认证两大类，其中产品认证包括：c c c 、c b 、c e 、 c o c ，体系认证包括i s 0 9 0 0 0 、i s o l 4 0 0 0 、0 h s m s l 8 0 0 0 、h a c c p 、q s 9 0 0 0 。产 品认证的主要工作人员是检查员、高级检查员。体系认证的主要工作人员是审核员、 高级审核员。检查员不能负责体系认证的工作，同样审核员也不能负责产品认证的 工作。 图4 2 认证业务分类 n 9 4 2s y s 衄no f c c n i 丘c a t i c e 咖 - 1 6 一 第四章基于扩展模型的系统设计 4 工作人员和客户数量众多，分布广泛 质量中心作为中国权威的认证机构，用户群审核方用户( 请求申请的客户) ， 受审核方的用户( 被审核的客户) 庞大，不只在境内，也涉及到境外一些企业。工 作人员包括总部( 北京) 的工作人员，全国各地分中心、评审中心的工作人员，境 外分中心的工作人员。当c m s2 o 系统上线之后，所有申请、认证直至发证工作都 从网上进行，并且系统还负责质量认证中心的对外宣传和消息发布，其用户群相当 庞大，并且分布广泛。 5 客体数量庞大，种类繁多 客体包括所有网络资源、网络程序、以及各种电子报告、数据、证书，认证中 心所有和系统相关的硬件资源。 从形态上看，客体可分为软件资源和硬件资源两类。 硬件资源不仅仅是像打印机这样的设备，还包括纸质文件等，这里的硬件是指 形态可见，实际存在可以触摸的事物。 软件资源还可以进行分类，如网站显示的信息，实现网络管理的程序、电子文 件、数据等，这些客体资源带有鲜明的安全特性。 不同的分类资源具有不同的安全级别。 6 操作的多样性 由于客体的多样性导致对客体的操作也具有多样性，并同样带有鲜明的安全特 性。不同的操作也具有不同的安全级别。 这里操作的概念包含并扩展了传统意义上的操作。它可以和传统意义的操作一 样，只进行一个动作，比如说：c o m m a n f o 衄c o m m m d 操作只实现对单表的添加、 修改、删除。同时，操作也可以是一组实现特定任务的动作集合。例如：下发工作 单操作，其实现包括：插入工作单记录，修改申请状态，添加工作人员经验，推进 工作流。不论是对工厂检查的下发工作单还是对评审中心的下发工作单，操作步骤 是不变的，要操作的数据库表不变，只是客体对象f o m 或者是记录发生了变化。那 么，这类操作具有一定的通用性，只要赋予不同的参数，就可以完全实现某一类功 能。 如果不能抽象出这种操作，将工厂检查和评审中心的下发工作单分开执行，当 下发工作单流程发生一点点变化，就需要分别修改。认证中心类似的操作数量很多， 迫切需要提供一种高效的管理方式。 7 流程的进行具有不可反复性 认证中心的业务密切关系企业的利益及认证中心的利益，所以对数据的完整性 提出很高的要求。因此认证流程具有不可反复性。一旦业务走到下一环节，不能返 回上一环节。如遇特殊情况，需要将现流程撤销，从新开始，或依据情况，从当前 环节流向不同的路径。 北京化工大学硕士学位论文 例如，当产品某处下发任务单给分中心后，就不再具有操作该任务单的任何权 力，甚至查看的权力。如果产品处要对任务单进行修改，必须另外发通知进行更改。 8 权限配置的灵活性 虽然在某种程度上，角色对应的权限是不变的。但是随着系统的逐步完善和细 致。质量认证中心的网络管理人员要求可以自行配置角色的权限。 从认证中心的业务特点可以看出，这是一种典型适用基于角色访问控制方法的 应用领域。 4 2 2 难点问题 虽然基于角色的访问控制模型对于各元素之间的关系给出了明确的定义，但是 它毕竟只是一种理论，没有考虑到实际应用中出现的问题。如何针对现实情况，将 理论与实际相结合，设计出完全体现r b a c 优势，又贴合认证中心业务特点的权限 系统，还面临以下主要问题： 1 用户角色的分类及信息字段提取，如何体现角色的组织机构性 2 如何制定客体到客体角色的指派规则 3 如何制定操作到操作角色的指派规则制定 4 如何实现权限的可配置性 5 如何实现工作流程的不可重复性，并实现任务的最小权限控制 4 3 概要设计 4 3 1 模块结构与接口 1 关键概念描述 在实现中有几个重要的概念，在此给予描述。 节点( n o d e ) ：节点是整个系统组成的基本单元，就像构成生命的细胞一样。每 个节点具有一个唯一标识- n o d d d ，由系统自动生成。节点具有父节点u p n o d e i d 属性， 一个节点可以具有一个父节点和可以有多个子节点，所以全部节点组成一个庞大的 树，根节点的n 锄e 为“中国质量认证中心”。节点另一个重要的属性是节点类型 n o d 嘟p e ，n o d e t y p e 用来描述该节点的属性，例如节点属于组织机构、企业会员还 是客体对象，亦或是注册用户。对于属于客体类别的节点，节点具有安全级别。 组件：组件也是一个系统功能树上的节点。但与其他节点不同，组件用于定义 被多次使用的功能。 第四章基于扩展模型的系统设计 标记：标记也是一个节点，概念与i a v a 语言中的标签类似。用于将组件形成可 嵌套在页面中的代码。 快捷方式：快捷方式也是一个节点，网络管理员用以配置角色的权限，可以理 解为权限集合的配置手段。 模板：角色权限实现的重要组成部分。每个角色对应一个模板，其核心内容是 用于产生用户登录后左侧的权限树。 “一切皆节点”的思想体现为不论任何元素都是节点，都具有节点的属性及唯 一标识。 工作流w b r k n o w ：工作流目前没有统一、明确的定义。工作流管理联盟将其定 义为“业务流程的全部或部分自动化，在此过程中，文档、信息或者任务按照一定 的过程规则流转，实现组织成员间的协调工作以期达到业务的整体目树1 8 】。 工作流管理系统w b r k f l o w m 锄a g e r i l e n t s y s t e l t l ：一种能定义、创建和管理工作 流执行的系统。它通过单个或多个工作流引擎运行，并能存储和解释工作流定义【1 9 】。 2 功能描述 权限系统分为：用户部分，权限部分，角色权限指派三部分。其中权限部分还 包括：客体角色指派与管理，操作角色指派与管理，权限整合。 系统贯穿了“一切皆节点”思想，客体和操作相结合形成权限，在系统中反映 为节点。角色的直接反映是模板，角色权限的指派问题转化为如何将各权限节点信 息放置于角色模板页面中的问题。通过将角色的权限集合( 快捷方式) 建立为组件， 将组件建为标签，将标签嵌入模板页面中即可解决这个问题。 当用户登录后，调用l 0 面n c o m a f l d 通过注册用户信息表的用户名密码确定对 应用户信息表，由此确定用户所有的角色r o l d i s t ，并将用户及角色信息放到s e s s i o n 中，实现只需一次登陆，即可得到所有权限。将m l d i s t 中最后一条记录角色对应的 模板作为下一步跳转的页面，同时在顶部导航条中提供到其他角色模板的切换。在 单点登录实现联合身份认证的意义1 2 0 】上说，系统实现了单点登陆。 整个工作流程通过工作流协同管理软件s y n c h m f l o w 进行建模和管理。数据以 待办项形式存在于各活动中，并按照模型规则和定义从申请流向发证。 3 接口 本论文只讨论了c m s2 o 系统的权限部分的实现逻辑，并不涉及具体的权限内 容和其他内容。 工作人员数据由认证中心培训系统提供。虽然c m s2 o 系统也提供了人员添加 的功能，但也需经过与培训系统核对人员情况，并且工作人员的身份与资质只能由 培训系统取得。 北京化工大学硕士学位论文 为了实现任务最小权限原则，实现任务单元，必须提供到工作流协同管理系统 的接口。 4 3 2 层次结构 系统开发语言为j a v a ，采用b c 和m v c 的设计模式【2 2 2 3 12 4 2 5 1 ，分为j s p 、 c o m m a n d 、s e i c e 、d a o 四个层次。d a o 层通过j d b c 实现，负责对数据库的查询、 插入、修改、删除等操作，将操作结果返回s e i c e 层；s e n ，i c e 层是业务逻辑层， 封装业务逻辑功能，由一定的输入得到输出结果；c o n 曲a n d 层是处理层，也可以理 解为表示层，它从j s p 层得到信息形成输入数据，调用s e i c e 层中的m a n a g e r 方法， 得到结果后返回j s p 层显示；