（计算机应用技术专业论文）基于任务和角色的cad模型访问控制研究.pdf

浙江大学硕上学位论文摘要 摘要 c a d 产品模型是厂家和设计者智慧和心血的结晶，它包含着有价值的知识产 权，有着很大的经济价值。协同环境下产品模型的安全访问机制对于保护产品模 型的可用性、完整性、机密性和有效性起着关键作用。然而协同环境下c a d 的 访问控制模型的研究相对于其他领域的访问控制研究起步较晚，不能满足目前应 用需求；并且传统的访问控制方法也不能完全适应于协同环境的特殊需求，因此， 协同环境下c a d 模型的安全访问控制技术的研究已迫在眉睫。 本文针对网络环境中共享c a d 模型的安全需求，对网络环境中共享c a d 模 型的安全性问题展开了研究，重点研究了网络协同环境中的c a d 模型权限控制 技术。基于c a d 产品模型具有层次化结构、以及协同设计活动具有流程化、交 互性和相关性等特点本文提出了一种针对网络协同环境下c a d 模型的基于任务 角色的多层次动态访问控制模型，该模型利用多层次的权限模型，简化了权限定 义及其分配过程，丰富了权限表达能力，实现了产品模型的细粒度访问控制。通 过任务，引入权限的依赖关系和权限状态迁移，实现了权限的动态管理。在此模 型的基础上，给出了访问控制系统的总体结构和详细设计，并进行了工程实现。 该系统弥补了传统p l m 系统对c a d 模型不能细粒度控制的不足，能有效保证网 络协同设计环境下对c a d 模型的逐层次安全和高效访问，确保产品开发、产品 模型共享和管理过程中的c a d 产品模型安全。 本文取得的成果如下：( 1 ) 提出了基于任务角色的多层次动态访问控制模型； ( 2 ) 给出了网络协同环境下c a d 模型访问控制系统的总体结构和详细设计；( 3 ) 在 国家8 6 3 计划“网络环境中共享c a d 模型的数据安全技术 课题中完成了本文 提出的访问控制模型。 关键词：协同设计，c a d ，信息安全，访问控制，产品模型。 浙江大学硕上学位论文 a b s 仃a c t a b s t r a c t c a dm o d e l ，t l l ep r o d u c to fi 1 1 t e l l e c ta n dp a i l l s t a k i n go fb o m l ef a c t o r i e sa n dt h e d e s i 伊l e r s ，h 勰g r e a te c o r l o i i l i cv a l u ef o ri i l v o l v i n gv a l 眦出l ei n t e l l e c t u a lp r o p e r t i e s s e c u r i 够a c c e s s i n gm e c h a i l i s mi i l c o l l a b o r a t i v ec o n d i t i o i l sp l a y sak e yr o l eo f l e p r o d u c tm o d e lp r o t e c t i o n i l la v a i l a _ b i l i t y i n t e g r i 劬c o 谢i d e n t i a l i 锣锄de 仃t i v e n e s s h o 、e v e r ，鹤r e s e a r c ho nc 久da c c e s s i n gc o m r o lm o d e li nc o l l d b o r a t i v ec a s eh 嬲 l a g g e db e l l i n d 吐l o mo m e ra r e a s ，i t sa p p l i c a t i o nc a i ln o tm e e tt h en e e do fc u r r e n t s i t u a t i o n ，a n dm e 仃i l d i t i o n a la c c e s s i r 唱c o n l 阳lm 劬o d sc a nn o ta d a 讲、v e l lt ot l l e s p e c i a ln e e d so fc o l l a b o m t i v ec o n d i t i o 胚t h e r e f o r e ，t 0r e s e a f c hi i l t 0s e c 砸t ya c c e s s c o n t r o lf o rc a dm o d e l si nc o l l a b o r a t i v ce n v i r o 姗e n tl 粥b e e n 趾u 唱e n tp r o j e c t s e c u r i 锣i s s u e s0 ns h 撕n gc a dm o d e li nn e t w o r kc o n d i t i o 璐h a db e e n9 0 t r e s e a r c h e di nm i sp a p e r ，w i t l lf o c u so nt h et e c l m o l o g yo fc a da c c e s 8 i n gc o n t r o lm o d e l i nc o l l a b o r a t i v ec o n d i t i o n s i i la c c o r d a 】e 、i mt h el e v e l so fs t n l c t u r ea n dt h en o w so f c o l la _ b o r a t i v e d e s i 印p r o c e s s i n g a s s o c i a t e dw i li m e r a c t i o na n dr e l e v a n c e ，a t a s k - r o l e - b 鹤e dm u h i - l e v e l 锄dd y n a m i cs e c u r i t ya c c e s s i n gc o n t r o lm o d e lf 0 rc a di n c o l l d b o r a t i v ee i i r o m e n tw a sb r o u g h tf o r w a r d t h en e wm o d e li sd e v e l o p e dt 0 s i m p l 毋r i g h t sd e f i n i t i o n sa n da s s i g n j n gp r o c e s s e s ，i m p r o v et i l ee x p r e s s i o na b i i i 吼a 1 1 d h e l pt o r e a j i z em u l t i - g r a i n e da c c e s s i n gc o n t r 0 1 i tr e a l i z e sd y l l a 埘ca u t h o r i z a t i o n m 砒l a g e m e n tb yi m o d u c i n gt l l er e l i a n c ea m o n gr i g h t sa n dt r 锄s f 旨e n c ei n 嘲t e s b a s e o nt h en e wm o d e l ，t 主l eo v e r a l l 鲫n j c t u r eo fa c c e s s i n gc o n t r o ls y s t e mw 缎p u tf o r w a r d a n dg o td e s i 印e di nd e t a i l t h en e ws y s t e m ，w r h i c hh a db e e i lr e a l i z e di nap r o j e c t ，c a i l d of m e g m i r 湖c o n 帕1 st 0c a dm o d e lw l l i c ht h et r a d i t i o n a jp l ms y s t e mf a i l st 0 i t e n s u r e st h e s e c u r i t ) ， a i l d e 伍c i e n c y l “e l - a c c e s st 0c a dm o d e li r in e t 、v o r k c o l l d b o r a t i v es i t u a t i o n ，a n da l s ot l l es e c u r i 够锄n gt 1 1 ep r o c e s so fd e v e l o p i n g ，m o d e l h a r i n ga n dm a n a g i n g m ya c l l i e v e m e m sa r c 懿f o l l o 、s ：( 1 ) at a s k r o l e - b a s e dm u l t i l e v e la n dd y n 锄i c s c c u r i 够a c c e s sc o n t r o lm o d e lw a sb r o u g h tf o 嗍r d ，( 2 ) t h eo v e r a l ls h 眦t u r ea c c e s s i n g c o n t r o ls y s t e mo fac a d m o d e l 哪p u tf o m 町d 锄d9 0 td e s i g n e di nd e t a i l ( 3 ) n l e 浙江大学硕士学位论文 a b s t r a c t a c c e s s i n gc o n t r o lm o d e ip r o j e c tw a sr e “z e di nm ec o u r s eo f 1 ec o n l p l e t i o no f8 6 3 n a t i o n a lp l a i l s “i s s l j e so fd a l as e c u r i t ) ，t c c h n o l o g yo ft h cc a ds h a r i n gm o d e lm n 咖o r k “i n “s p a p c k 叼闸o r d s ： c o l l a b o r a t i v ed e s i g i l ，c a d ，i n f o m a t i o ns e c u r i t y ，a c c e s sc o i l 仃o l ，p r o d u c t m o d e l 浙江大学硕士学位论文 图目录 图目录 图2 1 访问控制模型的基本组成6 图2 2 访问控制和其它安全措施的关系7 图2 3r b a c 9 6 模型关系示意图1 4 图2 4t b a c 模型图。l6 图2 5 状态变迁图1 7 图3 1 系统的结构示意图。2 3 图3 2 应用服务器结构示意图2 4 图3 3 访问控制模型图。2 5 图3 4 权限状态迁移关系图2 7 图3 5 角色层次图2 9 图4 1 访问控制流程图。3 4 图4 2 数据库管理关系3 6 图4 3 用户注册流程图一4 3 图4 4 角色任务指派流程图“ 图4 5 任务定义流程图4 7 v i i 浙江大学硕士学位论文 表目录 表目录 表2 1 模型比较表1 9 表4 1 用户基本信息表3 7 表4 2 部门结构表3 7 表4 3 角色信息表3 8 表4 4 任务表一3 8 表4 5 角色任务指派表3 9 表4 6 任务数据权限表3 9 表4 7 角色互斥关系表4 0 表4 8 权限互斥关系表4 0 v i i l 浙江大学研究生学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得滥江盘堂或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文作者签名： 毽络 签字日期： 伽g 年7 月，彳日 学位论文版权使用授权书 本学位论文作者完全了解逝望盘堂有权保留并向国家有关部门或机构 送交本论文的复印件和磁盘，允许论文被查阅和借阅。本人授权逝江叁堂可 以将学位论文的全部或部分内容编入有关数据库进行检索和传播，可以采用影 印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 套缛 签字日期怠矽爱年弓月，4 日 翩戳：喇竹铆 签字日期：沙妒矿月、胪 浙江大学硕士学位论文 第l 章绪论 第1 章绪论 1 1 研究背景及意义 c a d 的普及应用是制造业成功迈向信息化的重要标志。随着网络技术的不断 发展，支持网络协同设计方案的c a d 软件已经出现并且日趋成熟。互联网的跨 地域、跨时空的沟通特性以及近乎无限的接入能力，使得c a d 软件的团队协同 合作可以直接借助互联网进行。凭借计算机和网络通讯，通过资源共享、信息交 互、互操作等方式进行协同合作，共同完成一定的任务目标。这就是计算机支持 的协同工作( c o m p u t e rs u p p o n e dc o o p e r a t i v ew o 咄c s c 。对于产品设计而言， 通过网络化的协同设计手段可以帮助设计师和企业改造传统的设计流程，使企业 充分利用团队合作优势，提高工作效率，降低设计成本。但是，在人们借助网络 协同环境进行高效工作的同时，网络信息系统的安全却面临着日益严峻的威胁。 据总部设在卡内基梅隆大学软件工程学院的美国计算机紧急事件反应小组的统 计表明，最近十年发生的危害信息系统安全的事件成指数性增长 1 】，每年造成的 经济损失巨大，仅在美国就超过1 0 0 亿美元。美国计算机安全协会( s c i ) 的统 计表明，检测到的非法访问系统大约有7 1 来自系统内部，而且大多数的重大损 失均是由内部授权人员而非外部黑客造成【2 】。产品模型是厂家和设计者智慧和心 血的结晶，它包含着巨大的知识产权，在数字化时代，产品模型的知识产权保护 是一个难题。在构建高效的网络协同设计c a d 的同时，如何确保系统安全是信 息技术工作者面临的重大挑战和迫切任务。 网络协同环境下的安全问题不能得到有效解决，必然会影响网络协同环境的 使用和发展。在众多的安全技术和服务中，访问控制( a c c e s sc o n 仃d 1 ) 是确保系统 安全的个重要手段，已被国际标准化组织定义为安全体系设计标准( i s 0 7 4 9 8 - 2 ) 的五大安全服务功能之一【3 1 ，五大安全服务包括：身份认证、访问控制、数据保 密、数据完整性和不可否认性服务。访问控制是通过对资源的访问权限的控制来 实现对系统的资源保护，防止用户对信息资源进行非法访问，它是实现数据保密 浙江大学硕士学位论文第l 章绪论 性和完整性的主要手段。在网络协同环境下，访问控制研究面临着更多挑战，不 仅要防范来自外部的黑客攻击，还要防范来自内部合作伙伴的非法访问；不仅要 满足信息安全的基本需求，而且要满足协同工作中细粒度授权、环境感知授权、 支持安全策略的可扩展性与分布式特征等特殊需求【1 3 书，1 4 1 ，其核心就是要平衡安 全与协同、灵活性与可控性的矛盾。 c a d 协同环境中产品模型的安全访问机制对于协同环境来说更具有重大的 意义，它对于维护产品模型的可用性、完整性、机密性和有效性起着关键的作用。 但是，c a d 协同设计环境中的访问控制模型的研究相对于其它领域的访问控制研 究起步较晚，难以满足目前应用需求。三维数字水印技术部分地解决了模型访问 控制问题【1 5 1 6 ，1 7 ，1 引，但其只能抑制版权侵犯行为，只能保证模型的完整性，不具 有灵活的控制机制，无法满足协同设计的需求。随着应用系统复杂度的不断提高， 传统的访问控制已经无法适应这种复杂多变的应用需求。 在当今网络协同设计c a d 环境中，迫切需要有一个灵活的c a d 模型访问控制 机制，以满足产品模型访问控制的灵活性、多层次性和可扩展性的发展趋势，以 辅助产品模型设计、制造的正确、安全、有序的实施。本文根据当前应用需求， 利用现有的特征造型特点和现有的安全访问机制的研究成果，设计出一个专门针 对协同设计环境下c a d 访问控制系统。 该课题在如下三个方面具有重要的意义： 第一，能够在不同系统用户之间共享c a d 设计模型，以满足复杂产品的协 作开发和全生命周期管理过程对数据安全性的要求； 第二，实现三维c a d 模型的广泛、安全、快速的共享，提高产品开发效率， 减少产品管理成本。 第三，将权限控制技术加入c a d 软件中，我们的模型和理论一旦在软件上 应用成功，将产生良好的经济效益。 1 2 国内外的研究现状 访问控制服务在网络安全体系结构起着难以替代的作用，要满足网络系统安 2 浙江大学硕士学位论文第l 章绪论 全性需求，访问控制策略是大多数应用系统需要解决的问题。访问控制可以限制 对关键资源的访问，即就是判断使用者是否被允许使用、或者更动某一项资源， 防止非授权的使用者的侵入，限制合法使用者对资源的滥用，避免其因不慎操作 所造成的破坏。权限访问控制技术源于2 0 世纪7 0 年代，最初的需求是保护大型计 算机系统数据集合的安全。现在最为常用的访问控制策略有自主访问控制 ( d i s c r e t i o 彻巧a c c e s sc o n 仰l ，d a c ) 、强制访问控制( m a n d a t o 巧a c c e s s c o n 臼0 1 ， m a c ) 和基于角色的访问控制( i b l e b a s e da c c e s sc o n n 0 l ，r b a c ) 。除此之外，在 访问控制系统中应用数据加密，通过对数据进行加密实现访问控制，或者独立实 施访问控制，或者作为其它访问控制的加强手段。加密可以限定只有拥有解密密 钥的用户才有权限访问特定的资源，这种情况下，对加密密钥的保护成为需要解 决的重点问题，必须有能力限制密钥的非法扩散。 c a d 模型的相关访问控制技术起步比较晚，现在发展也比较缓慢。初期关于 产品模型的安全性问题主要是通过三维数字水印途径解决，然而数字水印技术只 是对模型完整性的简单保护，不具有灵活的控制机制，无法满足协同设计的需求。 由此许多学者提出了一些专门针对协同环境下c a d 设计的安全访问控制模型。 由s h e n 等提出的编辑模型( e d i t i n gm o d e l ) 【1 9 】是网络协同环境下第一个具有 重要意义的访问控制模型，该模型基于访问矩阵之上，通过扩展增加了许多适应 于协同环境的特殊处理，比如增加了细粒度的权限设置、群组和负权限( n e g a t i v e p e n n i s s i o n ) 等功能。但该模型实现比较复杂，且由于基于访问矩阵，不适合大规 模产品设计的协同环境。 b u l l o c k 等提出了一种基于空间的协同访问控制模型- s p a c e 模型【2 0 】，该模型 基于边界( b o 吼d a r y ) 和访问图( a c c e s sg r a p h ) 两个概念。通过边界首先将大规模的 协同环境划分成若干层次的细小可控区域，在每一个可控区域中，应用一个相应 层次的访问控制策略。即在相同层次的可控区域中，具有相同的访问控制策略。 该模型可以很好地应用于多领域的网络协同环境，特别适合大规模产品设计的网 络协同环境。由于并不是所有的协同环境都可以表示成若干可控区域，因此该模 型具有很大的局限性。 浙江大学硕士学位论文第l 章绪论 在协同装配设计领域中一个最相关的工作是s h y a i i l s u n d a r 和g a d h 提出的集 成方案【2 l 】。在该方案中，每一个部件( 即子装配体) 被分隔成若干接口特征( i m e r f a c e f e a n 鹏) ，并用一个包裹( e n v e l o p e ) 近似表示每一个接口特征。包裹可以是零部件 的凸包围空间、包围盒、包围球、或是由零部件的外表面围成的特殊空间区域。 他们的工作可以看作是一种简单信息隐藏技术，没有详细的访问控制机制，然而 用户常常需要是能提供更多细节层次的访问控制。 v 锄d e rh o e v e n 等提出一个含有访问控制机制的c a d 框架，但其实现仍然停 留在项目层次角色的定义，无法针对c a d 模型的各个部分进行访问控制【2 2 1 。由 s t e v e n s 等提出的a d o s x 系统可以处理两个厂商间协同产品设计的访问控制问 题，但该系统只关心对模型或文档整体的访问控制，并没有提供多粒度、多层次 的访问控制能力【2 3 1 。 c e r a 等提出一个三维模型的安全访问控制技术i 沁i e b 嬲e d e 丽n g 【2 4 1 。该访 问控制技术采用m a c 访问策略和r b a c 机制，它首先将产品模型依据设计意图分 解成若干“安全特征”( s e c 嘶坶f e a n 鹏) ，然后对角色和安全特征进行安全层次 标识，用访问矩阵记录不同安全层次角色对不同安全层次特征的访问权限，对于 不同的设计者根据其设计活动目的赋予不同角色集，利用m a c 策略控制设计者 对模型的访问权限，以提供其所需的多层次多视图表示的模型数据。但由于产品 模型的安全特征的划分、角色及安全特征的安全层次标识等工作必须事先定义 好，不支持动态修改，因此该访问控制模型主要应用于产品模型的协同观察，不 支持产品的协同设计。 由于c a d 协同设计环境独有的特殊性，其协同设计任务大都具有有一定相 关性，其权限访问具有工作流的动态性；c a d 协同设计环境中的共享数据不同 于普通的数据，是具有设计意图、具有层次相关性的产品模型，它的访问控制还 涉及到模型访问的并发性、一致性控制问题【2 5 1 。无论是传统意义的访问控制模型 ( m a c 、d a c 、r b a c ) ，还是动态的t b a c ，甚至是它们的其它扩展模型，都不 能很好地同时满足这些需求。因此，必须提出新的安全访问控制机制，以满足产 品模型的访问控制灵活性、多层次性和可扩展性发展的需求。 4 浙江大学硕士学位论文 第l 章绪论 1 3 课题来源及主要研究工作 本文的课题来自浙江大学c g i m 实验室的国家高技术研究发展计划( 8 6 3 计 划) 的网络环境中共享c a d 模型的数据安全技术课题中的子课题。 本论文从该项目的研发工作出发，以该系统的开发为背景，对访问控制的理 论进行了深入研究和探索，设计开发了本系统。针对目前c a d 领域的访问控制机 制比较简单、没有结合产品模型的结构的具体特点、没用充分利用现有访问控制 成果的问题，提出一种网络协同设计环境下的拓展的基于任务角色安全访问控制 机制的模型，并对模型进行了工程实现，相对于传统的基于角色的访问控制机制， 我们引入了角色分层、权限分层。角色分层简化了权限表示和角色授权过程；权 限分层适应了c a d 产品的多层次结构特点，加强了角色授权的灵活性。 1 4 论文框架 本文的具体内容安排如下： 第1 章：简要介绍了课题研究背景及意义，访问控制的发展、研究现状，给 出比较有代表意义的几种访问技术的模型以及参考应用，说明本文的主要工作内 容和组成结构。 第2 章：简要介绍了传统的访问控制安全策略和几种访问控制模型，然后重 点描述了基于角色的访问控制策略及其典型模型一i 心a c 9 6 模型的组成框架。 第3 章：首先介绍了基于任务角色的多层次动态访问控制模型，以及开始阶 段对系统的角色划分、权限分配以及约束管理的分析，分析了信息系统的安全需 求及目标，提出了一个信息系统中访问控制模块的总体结构设计。 第4 章：以作者研究开发的系统为背景，介绍了访问控制子系统及其工作流 程，然后重点对其管理信息使用的数据库结构、用户管理、角色管理、权限管理 以及授权管理等主要模块的算法作了详细阐述。 第5 章：最后，对本文所做的工作进行总结，并指出需要进一步研究的工作 方向。 5 浙江大学硕士学位论文第2 章访问控制理论 第2 章访问控制理论 2 1 引言 随着网络技术的迅速发展和不断广泛应用，信息安全特别是网络协同环境中 的信息安全已经成为人们关注和研究一个重点课题。计算机技术安全管理包括的 范围广泛，网络安全性、数据安全性、操作系统安全性以及应用程序安全性等都 包含其中。在众多的安全技术和服务中，访问控制机制( a c c e s sc o n t r 0 1 ) 是确保系 统安全的一个重要手段。借助访问控制服务，可以限制对关键资源的访问，访问 控制服务在网络安全体系结构中具有不可替代的作用。 2 2 访问控制简介 访问控制技术最早起源于2 0 世纪7 0 年代，最初的目标是保护大型计算机系统 的数据集合安全。a n d e r s o n 在一份研究报告中首先提出了引用监视器( r e f e r e n c e m o i l i t o r ) 、安全内核( s e c u r i t ) ，k e m e l ) 等重要思想【2 6 1 ，使得访问控制技术成为一项 关键的安全技术，并包含于著名的计算机安全评价标准t c s e c 中。图2 1 是访问控 制的基本组成结构。 图2 1 访问控制模型的基本组成 访问控制系统是指主体依据某些控制策略或权限对客体本身或其资源进行 的不同授权访问。访问控制系统一般包括以下三要素。 ( 1 ) 主体( s u b j e c t ) ：发出访问操作、存取要求的主动方，通常指用户或用户的 某个进程； 6 浙江大学硕上学位论文第2 章访问控制理论 ( 2 ) 客体( o b j e c t ) ：被调用的程序或欲存取的数据访问； ( 3 ) 安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力。 系统的安全访问控制一般是通过用户认证和用户权限管理来实现。访问控制 包含两个重要过程，一是通过身份认证来检验主体的合法身份；二是通过授权来 限制用户对资源的访问级别。认证和授权是两个密不可分的概念。访问控制，必 须要求用户己经通过身份认证，确认其是合法的使用者。访问控制的有效性依赖 于认证过程的正确合法。认证的目的是为了授权；授权是一个过程，通过授权， 决定某特定的操作是否被允许。访问控制管理可简单表述为：判断“w h o 对 w h a t ( w 1 1 i c h ) 进行h o w 的操作 的逻辑表达式是否为真。 审计服务是对访问控制服务的必要的补充，是用户在系统活动后进行的事后 安全服务。它首先需要系统记录主体在计算机系统中的活动，产生一个日志，并 写入日志库保存。审计就是对日志库进行有效分析，进行事故原因的查询、定位， 为事故发生之后的实时处理提供详细可靠的依据和支持，以备违反系统安全规则 的事件发生后能够有效地追查事件发生的过程和责任人。访问控制和其它安全措 施的关系如图2 2 所示。 安全管 用户 、 图2 2 访问控制和其它安全措施的关系 7 ， ， ， ， ， ， 一 浙江大学硕士学位论文第2 章访问控制理论 访问控制系统一般包括以下几个部件【2 7 ，2 8 2 9 】： ( 1 ) 授权( a u t h o r i z a t i o n ) ：用以制定访问控制策略。实现将对客体的操作权限 赋予主体。它可以分为直接授权和间接授权。直接授权是指按照制定的访问控制 策略直接将客体的访问权限分派给主体。间接授权是指按照制定的访问控制策略 并不把客体的访问权限直接分派给主体，而是通过一个中间体来实现权限的指 派。 ( 2 ) 权限回收( r e v o k e ) ：用以将特定权限从主体收回，防止该主体继续拥有特 定权限进行非法访问。与授权对应，它也分为直接权限回收和间接权限回收。 ( 3 ) 访问检查( a c c e s sc h e c k ) ：这是授权在系统中的实施模块。通过访问检查， 系统才能完成授权所达成的访问控制目的； ( 4 ) 约束( c o n s 缸面n t s ) ：为了实现授权的灵活性、直观性和柔性，先进的访问 控制必须提供约束管理机制。 访问控制的目的为了限制访问主体对访问客体的自由访问，从而保证计算机 系统是在合法的范围内被使用，以此确保信息资源的安全性。 访问控制的目标有以下4 个方面： ( 1 ) 机密性：防止信息泄露给未授权的用户； ( 2 ) 完整性：防止未授权用户对信息的修改； ( 3 ) 可用性：保障授权用户对系统信息的可访问性； ( 4 ) 可审计性：防止用户对访问过的某信息或执行过的某操作进行否认 2 3 访问控制策略 访问控制策略定义了在系统运行期间的授权和非授权行为，即什么行为是许 可执行的，什么行为被严格禁止发生的。访问控制技术发展的过程中，先后出现 了多种访问控制策略。常见的访问控制策略有：自主访问控制、强制访问控制、 基于角色的访问控制以及基于任务的访问控制策略。 2 3 1 自主型访问控制 自主访问控制( d i s c r e 时。彻r ya c c e s sc o n 昀l ，d a c ) 最早是由l a r n p s o n 正式提出 8 浙江大学硕士学位论文第2 章访问控制理论 的【3 0 1 。其核心思想是由客体所有者自主地来决定各个主体对该客体的访问权限， 客体的所有者全权管理有关该客体的访问授权，有权传播授权或修改该客体的有 关信息。采用自主访问控制，用户或应用程序可以任意在系统中规定谁能够访问 它们的资源。通常通过授权列表( 或访问控制列表a c l ) 来限定哪些主体对哪些 客体可以执行什么操作以及操作可以执行的程度，用户可以十分灵活地对策略进 行调整和变更。由于其良好的易用性和可扩展性，自主访问控制机制主要被用于 各种商业系统和应用数据库中。使用自主访问控制，用户可以针对被保护对象制 定自己的保护策略：( 1 ) 每个主体拥有一个用户名并属于一个组或具有一个角色； ( 2 ) 每个客体都拥有一个限定主体对其访问权限的访问控制列表( a c l ) ；( 3 ) 每次访 问发生时都用访问控制列表检查用户标志以实现对其访问权限的控制。 自主访问控制具有以下特点： ( 1 ) 客体对象的创建者就是客体对象的所有者； ( 2 ) 客体对象只能由其所有者进行销毁； ( 3 ) 客体对象的所有者是唯二的； 自主访问控制具有很大的灵活性，但同时也存在巨大的安全隐患。主要体现 在以下几方面【3 1 ，3 2 】： ( 1 ) 主体可以在系统中任意设定其所有资源的访问规则，这样会使系统管理 员难以确定具体用户对资源的访问权限，不利于实现统一的全局访问控制； ( 2 ) 在有些体系中，个体用户对他们所能访问的资源并不具有所有权，组织 本身才是系统中资源的真正拥有者。而且，各组织希望访问控制实现能与组织内 部的安全策略相一致，并由管理部门统一实施访问控制，不允许个体用户自主 地处理，d a c 存在用户滥用职权的问题； ( 3 ) 用户间的关系不能在系统中体现出来，造成管理不便； ( 4 ) 信息容易泄露，不能抵御特洛伊木马的攻击。在自主访问控制下，一旦 带有特洛伊木马的应用程序被激活，特洛伊木马可以任意泄露和破坏接触到的信 息，甚至改变这些信息的访问授权模式。 针对d a c 存在的缺陷，研究者对其进行了一些系列的改进。七十年代末， 9 浙江大学硕士学位论文第2 章访问控制理论 m h m a r r i s 0 n ，w l m 皿。和j d u l h n a i l 对传统d a c 做出扩充，提出了客体所有者 自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式 的删访问控制模型p 3 1 。1 9 9 2 年，s a l l d h u 等人将h r u 模型发展为t a m ( t y p e d a c c e s sm a t r i x ) 模型，在客体和主体产生时就对访问权限的扩散做了具体的规定。 这些措施在一定程度上提高了d a c 的安全性能。但由于其核心思想是客体所有者 控制客体的访问授权，使得它们不能用于安全要求较高的应用系统中。 2 3 2 强制访问控制 由于自主访问控制不能抵御特洛伊木马的攻击，强制访问控制应运而生。强 制访问控制( m a i l d a t o 可a c c e s s c o 曲0 l ，m a c ) 由b e l l 和l ap a d u l a 提出，一般应用于 存在不同安全等级的环境中，对用户的权限有着非常严格的限制。强制访问控制 的核心思想是对于不同类型的信息采用不同层次的安全策略进行访问授权，首先 按照安全等级对数据和用户进行标签划分，通过比较安全标签确定允许还是禁止 用户对资源的访问请求阴，3 5 1 。对于每个主体及客体被赋予的安全属性，主体是不 能自己改变的，只有系统管理员才可以确定主体的安全属性。主体的安全属性反 映主体被系统的信任程度，客体的安全属性则反映其包含信息的敏感度。拥有一 定安全属性的用户可访问相应安全属性的资源。强制访问控制具有层次性的特 点。强制访问控制不允许某个进程生成共享文件，可以有效防止进程通过共享文 件将信息从一个合法用户传递给其他用户。 安全级别较高的计算机采用这种策略，其常常应用于军队和国家重要机构。 将数据分为绝密、机密、秘密和一般等几类。用户的访问权限也类似定义，即拥 有安全属性的用户可以访问相应安全级别的数据，有效防止了自主访问控制方法 中出现的访问权限传递问题。 强制访问控制一般要求主体对客体的访问满足b l p 安全模型3 6 3 7 1 的两个原 则： ( 1 ) 读操作安全性原则：仅当主体的安全级别不低于客体的安全级别且主体的 类别集合包含客体的类别集合时，才允许该主体读该客体； 1 0 浙江大学硕上学位论文 第2 章访问控制理论 ( 2 ) 写操作安全性原则：仅当主体的安全级别不高于客体的安全级别且客体的 类别集合包含主体的类别集合时，才允许该主体对该客体进行写操作。 这两个原则保证了信息的单向流动，既不允许低信任级别的用户读高敏感度 的信息，也不允许高敏感度的信息写入低敏感度区域，即信息只能向高安全属性 的方向流动。强制访问控制通过信息的单向流动来防止信息扩散，抵御特洛伊木 马对系统保密性的攻击。用户不能改变任何客体的安全属性，强制访问控制可防 止用户滥用职权等，是比自主访问控制功性能更好的访问控制机制。强制访问控 制的不足主要体现在以下方面： ( 1 ) 用户共享数据的机制不灵活。m a c 不允许一个进程生成共享文件，可防 止进程通过共享文件将信息从一个进程转移到另一个进程，此举对合法用户也同 样是一种限制； ( 2 ) 应用的领域比较窄，使用不灵活。强制型的访问控制是“强加”给访问主 体的，即系统强制主体服从访问控制政策。它预先定义主体的可信任级别及客体 ( 信息) 的敏感程度( 安全级别) 。用户的访问必须遵守安全政策划分的安全级别的设 定以及有关访问权限的设定。这种访问控制方式主要适合于多层次安全级别的军 事应用，在没有明显的等级观念的商业领域，m a c 的应用不多； ( 3 ) 完整性方面控制不够。m a c 重点强调信息向高安全级的方向流动，低级 别的实体可以任意写高级别的客体，致使对高安全级信息的完整性保护强调不 够； ( 4 ) 对用户恶意泄漏信息无能为力。 此外，系统用户数量的增加和人员经常的变动增加了授权管理的复杂性2 2 1 。 强制访问控制的实现工作量太大，管理不便。 2 3 3 基于角色的访问控制 随着网络的发展和广泛应用，对信息的完整性需求甚至超过了机密性，传统 的d a c 、m a c 策略已无法满足信息完整性的要求，于是提出了基于角色的访问控 制模型( r o l e b a s e da c c e s sc o n 们l ，r b a c ) 。基于角色的访问控制模型由f 鲫r a i 0 1 0 浙江大学硕上学位论文第2 章访问控制理论 和k u l l n 于1 9 9 2 年提出的1 3 8 1 ，是对自主控制和强制控制的改进。其核心思想是将访 问许可权分配给一定的角色，用户通过扮演不同的角色获得角色所拥有的访问许 可权。r b a c 的最大特点是访问权限是通过角色间接关联，而不是直接与用户进 行关联，角色是用户行使权限的中介。可以根据实际需要定义各种角色，为其设 置合适的访问权限。用户根据需要可以被指派为不同的角色，这样实现了用户和 权限的逻辑分离。通过改变用户的角色就可以改变用户的访问权限，可以更加灵 活的适应各种应用系统。减少了授权管理的复杂性，降低管理开销，为管理员提 供一个比较好的实现复杂安全政策的环境。 r s 锄d h u 等人对r b a c 模型作了深入研究后，于1 9 9 6 年提出了一个基于角色的 访问控制的参考模型r b a c 9 6 模型【3 9 】。模型分为四个字模型：r b a c o 、r b a c i 、 r b a c 2 及i 出a c 3 。全面反映了r b a c 多方面的含义，将r b a c 的多个方面全部包 含于其中。r b a c o 是基本模型，其结构图如图2 3 。 图2 3r b a c o 结构图 i 出a c o 定义了r b a c 中的基本概念：用户集合( 、角色集合( r ) 、权限集合( p ) 、 会话集合( s ) 以及它们之间的关系。 用户：用户是指可以独立访问计算机系统中数据或用数据表示的其它资源的 主体。 角色：角色是指一个组织或任务中的工作或位置。它代表一种资格、权利和 责任。 1 2 浙江大学硕士学位论文 第2 章访问控制理论 权限：权限是指对系统中客体的特定访问方式的许可( 比如读、写、修改) 。 会话：会话是一个动态的概念，表示的是用户与系统的一次交互。 各实体之间的关系包括：用户角色指派r ) 、角色权限指派( i 冲) 。根据用户 在组织中的职责和能力被赋予相应的角色，一个用户可以具有多个角色，一个角 色同样可以拥有多个用户，用户与角色之间是多对多的关系。角色在某种程度上 是一组权限集的体现。角色与权限之间是多对多的关系。用户与会话之间是一对 一的关系，用户登陆系统后将自动产生一个会话，会话记录用户当前的属性：用 户的身份认证信息，用户所具有的活跃角色集合。 r b a c o 模型的形式化描述如下： r b a c o 主要由四个基本元素u 、r 、p 、s 组成，u ，r ，p ，s 分别代表用户集、 角色集、权限集以及会话集； u r u r 为用户与角色之间的多对多映射关系； l 冲r p 为角色与权限之间的多对多映射关系； u s e r ：s u ，为会话与用户之间的映射函数，l l s e r ( s ) 表示当前会话s 所对应 的用户。 r 0 1 e s ：s 一2 r ，为会话与角色之间的映射函数，r o l e s ( s i ) 表示当前会话s i 所激 活的角色集合。 在r b a c o 中每个角色至少具备一个权限，而每个用户至少扮演一个角色。 修改集合u 、r 、p 和关系p a 和u a 的权限称为管理权限，现在假定整个系统 中只有一个安全管理员具有管理权限。r b a c o 模型己经能够实现一些最简单的基 于角色访问控制策略，但是它能实现的功能有限。 i 出a c l ：模型在i 出a c o 的基础上加入了角色层次和角色继承的概念，可以根 据组织内部权力和责任的结构来构造角色与角色之间的继承关系。一般用偏序来 描述角色继承关系，满足自反性、传递性和非对称性。 砌认c 2 ：模型在r b a c o 的基础上增加了约束概念来规定各种操作是否可被接 受。约束施加于u r ，e p 等指派关系上，以对各种指派做进一步的限定。基本的 约束包括基数限制、互斥角色、先决条件角色和时间频度限制等。 r b a c 3 ：模型是i m a c9 6 中最高层的模型，它是由r b a c l 和r b a c 2 的合成， 1 3 浙江大学硕士学位论文 第2 章访问控制理论 即增加了角色层次结构和约束关系机制的r b a c o 模型。 r b a c 9 6 模型的关系示意图如图2 4 。 r b a c 3 l 啦a c l r b a c o i m a c 2 图2 3r b a c 9 6 模型关系示意图 r b a c 的灵活性且遵循最小权限、责任分离和数据抽象等安全原则，这让它 成为目前最为流行的安全管理控制策略之一【4 0 ，4 1 ，4 2 1 。相对于传统的自主访问控制 和强制访问控制具有更大的优越性，r b a c 具有如下优点1 3 1 4 3 l ： ( 1 ) 易于理解。用户的特权绑定于角色，而对于安全管理员来说，对一个角 色的权限分配和管理明显易于对多个具体用户的权限分配管理； ( 2 ) 在用户机构或权限发生变动时，可以很灵活的将该用户从一个角色移到 另一个角色来实现权限的协调转换，降低了管理的复杂度，而且这些操作