（计算机应用技术专业论文）基于角色访问控制的研究.pdf

摘要 基于角色的访问控制模型r b a c 是目前主流的访问控制模型，它比传统的自 主访问控制和强制访问控制更优越，同时也提供了更高的灵活性和扩展性。随着 网络的普及，协同办公，协同资源访问受到人们的青睐。如何进行有效的协同工 作，是访问控制模型必须管理的工作，但是传统的基于角色的访问控制模型在这 方面存在不足，本文就以下方面的问题提出自己的解决方案，弥补传统的r b a c 模型的不足。 首先，如何在不同的管理域之间实行有效的访问控制模型。在不同的管理域 中，因为协同工作的需要，资源要求共享，用户要求能够跨管理域操作资源。丽 传统的r b a c 模型的资源是由统一的管理域管理，用户如果要求跨管理域访问资 源，必须首先在被访问的资源的管理域中登记注册。当用户访问多个管理域中的 不同资源时，用户就得拥有多个注册信息，并且在访问不同的管理域中的资源时， 还得多次的重复登陆。这种方式存在几个问题，用户必须记住在不同管理域中所 登记的信息，用户做相同的工作必须先后多次登陆不同的管理域，而在不同的管 理域中还要顾及非本系统的用户访问系统资源面带来的资源使用的不确定性，系 统资源的安全性等问题。为了解决这一问题，本文给出一种基于委托的角色管理 模型，当用户需要跨管理域访问资源时，不需要重复地进行登陆，直接使用管理 域中授予的委托角色完成工作，这种委托角色是由所登陆的管理域管理的，这样 保证了角色的合法性，也保证了安全性。 第二个问题是，在传统的基于角色的访问控制模型中，存在角色继承关系， 同样在本文中给出的委托机制也存在委托传递关系。当系统在授予角色，检验角 色时，可能要求访问到角色的所有权限时才能做出正确的操作，这时就存在角色 的遍历问题。由于角色的层次较多，这种多层关系必然使得遍历的时间较长，影 响系统的反应速度。本文提出缓存机制来解决这一问题。 本文进一步的提出了种功能函数描述语言，使得开发人员只要设计出符合 该功能函数语占的访问控制系统，就能够保证这不同的访问控制系统能够在功能 层上实现协同工作。 关键字：访问控制，r b a c ， l a c ，d a c a b s t r a c t c o m p a r e dw i t ht h et r a d i t i o n a ld a cm o d e la n dm a cm o d e l ，r o l e b a s e d a c c e s sc o n t r o l ( r b a c ) c a np r o v i d eb e t t e rf l e x i b i l i t ya n ds c a l a b i l i t y ，a n d n o wi t i st h eb e s ta n dm o s tp o p u l a ra c c e s sc o n t r o lm o d e l h o w e v e r ，w i t h t h ep o p u l a r i z a t i o no ft h en e t w o r k ，m o r ea n dm o r ep e o p l ep a ym o r ea t t e n t i o n t ot h ee o o p e r a t i o no f f i c ea n dt h ec o o p e r a t i o no fa c c e s sr e s o u r c e s h o w t om a k et h ec o o p e r a t i o nw o r km o r ee f f i c i e n t l yi st h en e c e s s a r yw o r ko f a c c e s sc o n t r o lm o d e l ，b u tt h et r a d i t i o n a lr b a ch a ss o m es h o r t a g eo ni t 。 t h i sa r t i c l eg i v es o m es o l u t i o n so ft h ef o l l o wp r o b l e m ，t h ea i mi st om a k e u pt h es h o r t a g eo fr b a c f i r s t ，h o wt op u tt h ea c c e s sc o n t r o lm o d e li n t op r a e t i c eb e t w e e nt h e d i f f e r e n ta d m i n i s t r a t i o nf i e l d s 。b e t w e e nt h ed i f f e r e n ta d m i n i s t r a t i r e f i e l d s ，f o rt h en e c e s s a r yo ft h ec o o p e r a t i o nw o r k ，t h er e s o u r c em u s tb e s h a r ea n du s e r s c a nb eo p e r a t i n gt h er e s o u r c et h r o u g ht h ed i f f e r e n t a d m i n i s t r a t i r ef i e l d s b u ti nt h et r a d i t i o n a lr b a cm o d e lt h er e s o u r c ei s a d m i n i s t r a t e db yt h ec o n c e n t r a t i v ea d m i n i s t r a t i v ef i e l d s ，a n di ft h e r e i ss o m er e q u i r et oo p e r a t i n gt h er e s o u r c e ，t h eu s e rm u s tb er e g i s t e r e d i nt h ea d m i n i s t r a t i v ef i e l df i r s t w h e nt h eu s e rw a n tt oa c c e s sm o r e r e s o u r c e si nt h ed i f f e r e n ta d m i n i s t r a t i v ef i e l d s ，h em u s tb e h a v e d i f f e r e n tr e g i s t e ri n f o r m a t i o ni nd i f f e r e n ta d m i n i s t r a t i v ef i e l d s ，a n d w h e nh ea c c e s s e st oo p e r a t l a gr e s o u r c ei nd i f f e r e n tf i e l d s ，h em u s tt o l o g i nt h ed i f f e r e n tf i e l d sw i t hd i f f e r e n tu s e ri n f o r m a t i o n u s i n gt h i s m a n n e r ，e v e r yu s e rm u s tt or e m e m b e rm u c hd i f f e r e n tu s e ri n f o r m a t i o nf o r d i f f e r e n tf i e l d s ，a n dw h e nu s e ra c c e s s e st h ed i f f e r e n tf i e l d sf o ro n ew o r k h em u s tl o g i nd i f f e r e n tf i e l d s a saa d m i n i s t r a t o ro fo n ef i e l d sh em u s t t op a ym o r ea t t e n t i o nt ot h eu s e r sw h oa r en o tb e l o n gt oh i sd e p a r t m e n t ， b e c a u s et h e s eu s e r sc a nm a k et h ep r o t e c t e dr e s o u r c e sb eu s e di ni l l e g a l m a n n e r f o rt or e s o l u t et h i sp r o b l e m ，t h ed e l e g a t i o nr b a cm o d e li sg i y e n i nt h i sa r t i c l e w h e nu s e rw a n t st oa c c e s sd i f f e r e n tr e s o u r c e si n d i f f e r e n tf i e l d sa n dh eh a sl o g i ni no n ef i e l d ，h ed o e s n tt oe n t e ra g a i n t h eo t h e rf i l e dw h e nh ea c c e s sr e s o u r c eo ft h eo t h e rd i f f e r e n tf i e l d s h ec a nu s et h ed e l e g a t i o i lr e l a t i o no ft h er o l e sb e t w e e nd i f f e r e n tf i e l d s t ou s et h er e s o u r c e i nt h ed e l e g a t i o nm o d e l ，t h ed e l e g a t er 0 1 ei s a d m i n i s t r a t e db yt h el o g i nf i e l d ：i tc a ne n s u r et h a tt h e r ei sal e g a lr o l e t ou s et h er e s o u r c eo ft h ef i e l d sa n da l s oe n s u r et h es e c u r i t yo ft h e s y s t e m t h es e c o n dp r o b l e mi st h a ti nt h et r a d i t i o n a lr b a cm o d e lt h e r ei s h e r i t a g eb e t w e e nr o l e sa n di nt h ed e l e g a t i o nr b a cm o d e lg a v eb yt h i s a r t i c l et h e r ei st r a n s f e r r i n gr e l a t i o n s h i pb e t w e e nt h er o l e s w h e nt h e s y s t e mw a n tt oc h e c k u pt h er e l a t i o n s h i pb e t w e e nau s e ra n dt h ep e r m i s s i o n o ft h eu s e r so p e r a t i n gt os o m eo b j e c t ，t h es y s t e mm u s th a v ev i s i t e d a 1 1t h ep e r m i s s i o n so ft h er o l eb yw h i c ht h eu s e rl o g i nt h es y s t e mb e f o r e i tg i v e st h et r u ej u d g m e n ta n da tt h a tt i m et h e r ei sap r o b l e mo fv i s i t i f l g a l lo v e rt h ef i e l d s b e c a u s eo ft h em u l t i s t e po ft h eh i e r a r c h yb e t w e e n t h er o l e s ，i tw i i lc o s tm o r et i m et ov i s i ta l lt h ep e r m i s s i o n so ft h er o l e a n di ta l s oa s p e c t sr e s p o n s et i m eo ft h es y s t e m t h ec a c h em e c h a n i s mg i v e n i nt h i sa r t i c l ew i l lr e s o l v et h i sp r o b l e m i nt h i sp a p e r ，w ef u r t h e rp r o p o s e dad e s c r i b i n gf u n c t i o n sl a n g u a g e 。 a ss o o na st h ep r o g r a m m e r sd e s i g nt h e i ra c c e s sc o n t r o ls y s t e m sw h i c hm u s t a c c o r dw i t ht h ef u n c t i o n ，t h e yc a na s s u r et h a tt h e i ra c s sc a na c h i e v e c o o p e r a t i o no nt h el a yo ff u n c t i o n k e y w o r d s ：a c c e s sc o n t r o l ，r b a c ，m a c ，d a c y8 6 6 2 3 6 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究 成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或撰写 过的研究成果，也不包含为获得丞洼王些太堂或其他教育机构的学位或证书而 使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 学位论文作者签名： 王电他 签字日期：2 。6 年月1 日 学位论文版权使用授权书 本学位论文作者完全了解云洼王些太堂有关保留、使用学位论文的规定。 特授权丞洼王些太堂可以将学位论文的全部或部分内容编入有关数据库进行 检索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学 校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 王电化 签字日期：血。6 年? 月1 f 同 翩签名：窜磁 签字目期：乏力红月乡同 学位论文的主要创新点 本文主要创新点是在跨管理域的角色之间提出了委托关系。传统的r b a c 模型只是描述了在 一个管理域下如何进行角色之间的管理，但是随着网络的普及，跨企业，跨组织之间的合作， 需要共享他们之间的资源，同时也意味着有些角色必须跨管理域进行资源访问，这样传统的 r b a c 模型就不能满足这类的要求。基丁角色的委托模型，在跨管理域的角色之间描述了委 托关系，角色如果要访问跨管理域的资源，可以使用它的委托客体角色的身份去访问，这样 能保证了用户角色的合法，而且方便了角色的管理。 本文第二点就是利用功能描述语言对基丁- 角色的委托模型进行了描述，这样在开发时，无论 角色管理系统是不是由同一团队开发的，无论开发的时间是否是同时的，都能够无缝的和别 角色管理系统协同的进行角色管理 本文第三点是将缓存机制使用到委托模型中，降低了角色系统之间的网络吞吐量，减少了用 户权限审商的延迟时间。 第1 章概述 第1 章概述 随着计算机技术、通信技术和互联网的飞速发展，网上办公，网上协同公文 的处理，网上采购，订购等应用越来越普及，资源的安全使用已经越来越引起人 们的重视。如何的安全使用资源，是人们一直以来致力解决的问题之一。现在一 致认为，资源使用的安全控制机制包括了用户认证机制、信息访问控制机制和安 全的传输机制。用户认证机制保证了合法用户进入系统，防止非法用户的进入； 信息访问控制在用户访问资源的全过程中保证了用户只能对被授权的资源进行 操作，避免了用户访问非授权的资源；安全传输机制保证系统中的信息在网络上 传输时被加密，防止非法用户拦截信息而获得信息等。本文主要研究的是信息使 用中的访问控制问题。本章首先对些传统的访问控制模型作一些介绍，然后在 此基础上提出本文所考虑的问题和解决方案。 1 1 访问控制 访问控制( a c c e s sc o n t r 0 1 ) 是实旌允许被授权的主体对某些客体的访问， 同时拒绝向非授权的主体提供服务的策略。这里主体( s u b j e c t ) 可以是人，也 可以是任何主动发出访问请求的智能体，包括程序、进程、服务等；客体( o b j e c t ) 包括所有受访问控制保护的资源，这些受保护的资源可以是系统保护的一片内存 空间，可以是一个可执行的进程，数据库中的一条记录，企业的一些表单等。主 体对客体的访问就是主体对客体的操作，可以是对资源的读操作，写操作，执行 操作等等。 通过对主体的授权，计算机系统可以在一个合法的范围内被使用，从而保证 了客体被正确合理的访问，同时也维护了被授权主体的利益。这是访问控制的目 的，同时也是一个安全系统所必须具备的特性。 访问控制在操作系统、数据库和网络上都有十分重要的应用。现代操作系统 如w i m d o w s 系列，s o l a r i s 系列，u n i x 系列都实现了不同程度的访问控制；许 多大型数据库产品如o r a c l e ，s y b a s e ，i n f o r m i x 等都支持访问控制功能：w e b 安 全产品如g e t a c c e s s ，t r u s t e d w e b ，t i r o l i 都把访问控制模块作为其核心模块 之一。i s o7 4 9 8 2 “1 更把访阿控告4 作为设计安全的信息系统的基础架构中必须包 含的五种安全服务之一。 下面对访问控制给出形式化描述。 形式化的说，给定一个主体集s 、客体集0 以及对应于该客体集的访问操作 集r ，访问控制的授权操作实际上是通过确定如下的函数f 完成的： 第1 章概述 f ：s o 一2 “ 当授权结束时，每个主体对应于每个客体都将有一组操作许可，这样访问控 制实际上可以通过检查请求的访问操作是否在这组操作许可中来实现。访问控制 的实现机制包括访问控制表( a c c e s sc o n t r o l1 i s t ) 、访问能力表( c a p a b i l i t y l i s t ) 以及授权关系表( a u t h o r i z a t i o n1 i s t ) ，它们实际上都是函数f 定义 的访问控制矩阵的一种实现方式。 根据应用背景的不同，访问控制可以有不同的实现策略。二十世纪七十年代 以来，如下三种访问控制策略被依次提出，在现有的访问控制产品中应用较广。 它们分别是：自主访问控制，强制访问控制和基于角色的访闯控制。 1 2 自主访问控制( d a c ) 自主访问控制模型( d a cm o d e l ，d i s c r e t i o n a r ya c c e s sc o n t r o lm o d e l ) 是根据自主访问控制策略建立的一种模型。1 ，允许合法用户以用户或用户组的身 份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地 把自己所拥有的客体的访问权限授予其它用户。自主访问控制又称为任意访问控 制。l i n u x ，u n i x 、w i n d o w s n t 或是s e r v e r 版本的操作系统都提供自主访问控制 的功能。在实现上，首先要对用户的身份迸行鉴别，然后就可以按照访问控制列 表所赋予用户的权限允许和限制用户使用客体的资源。主体控制权限的修改通常 由特权用户或是特权用户( 管理员) 组实现。 任意访问控制对用户提供的这种灵活的数据访问方式，使得d a c 广泛应用在 商业和工业环境中；由于用户可以任意传递权限，那么，没有访问文件f i l e l 权限的用户a 就能够从有访问权限的用户b 那里得到访问权限或是直接获得文件 f i l e l ；因此，d a c 模型提供的安全防护还是相对比较低的，不能给系统提供充 分的数据保护。 1 3 强制访问控制( m a c ) 强制访问控制模型“1 ( m a cm o d e l ：m a n d a t o r ya c c e s sc o n t r o lm o d e l ) 最 开始为了实现比d a c 更为严格的访问控制策略，美国政府和军方开发了各种各样 的控制模型，这些方案或模型都有比较完善的和详尽的定义。随后，逐渐形成强 制访问的模型，并得到广泛的商业关注和应用。在d a c 访问控制中，用户和客体 资源都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理 员才能够确定用户和组的访问权限。和d a c 模型不同的是，m a c 是种多级访问 控制策略，它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统 事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统 第1 章概述 先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该 受控对象。m a c 对访问主体和受控对象标识两个安全标记：一个是具有偏序关系 的安全等级标记；另一个是非等级分类标记。主体和客体在分属不同的安全类别 时，都属于一个固定的安全类别s c ，s c 就构成一个偏序关系( 比如t s 表示绝密 级，就比密级s 要高) 。当主体s 的安全类别为t s ，而客体。的安全类别为s 时，用偏序关系可以表述为s c ( s ) s c ( o ) 。考虑到偏序关系，主体对客体的访 问主要有四种方式： ( 1 ) 向下读( r d ，r e a dd o w n ) ：主体安全级别高于客体信息资源的安全级 别时允许查阅的读操作； ( 2 ) 向上读( r u ，r e a du p ) ：主体安全级别低于客体信息资源的安全级别 时允许的读操作； ( 3 ) 向下写( w d ，w r i t ed o w n ) ：主体安全级别高于客体信息资源的安全 级别时允许执行的动作或是写操作； ( 4 ) 向上写( w u ，w r i t eu p ) ：主体安全级别低于客体信息资源的安全级 别时允许执行的动作或是写操作。 由于m a c 通过分级的安全标签实现了信息的单向流通，因此它一直被军方采 用，其中最著名的是b e l l l a p a d u l a 模型”1 和b i b a 模型”3 ：b e l l - h a p a d u l a 模型 具有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露；b i b a 模型则具有不允许向下读、向上写的特点，可以有效地保护数据的完整性。强制 访问控制的优点是管理集中，根据事先定义好的安全级别实现严格的权限管理， 因此适宜于对安全性要求较高的应用环境。美国军方就一直使用这种访问控制模 型。但这种强制访问控制太严格，实现工作量太大，管理不便，不适用于主体或 客体经常更新的应用环境。 1 4 基于角色的访问控制( r 卧c ) 前面两种访问控制模型都存在的不足是将主体和客体直接绑定在一起，授权 时需要对每对( 主体，客体) 指定访问许可。这样存在的问题是当主体和客体达 到较高的数量级之后，授权工作将非常困难。二十世纪九十年代以来，随着对在 线的多用户、多系统的研究不断深入，角色的概念逐渐形成，并逐步产生了以角 色为中心的访问控制模型( r o l e - b a s e da c c e s sc o n t r 0 1 ) 。 在r b a c 模型中，角色是实现访问控制策略的基本语义实体。系统管理员可 以根据职能或机构的需求策略来创建角色、给角色分配权限和给用户分配角色 等。基于角色访问控制的核心思想是将权限同角色关联起来，而用户的授权则通 过赋予相应的角色来完成，用户所能访问的权限就由该用户所拥有的所有角色的 第1 章概述 权限集合的并集决定。角色之间可以有继承、限制等逻辑关系，并通过这些关系 影响用户和权限的实际对应。在实际应用中，根据事业机构中不同工作的职能可 以创建不同的角色，每个角色代表一个独立的访问权限实体。然后在建立了这些 角色的基础上根据用户的职能分配相应的角色，这样用户的访问权限就通过被授 予角色的权限来体现。在用户机构或权限发生变动时，可以很灵活的将该用户从 一个角色移到另一个角色来实现权限的协调转换，降低了管理的复杂度，而且这 些操作对用户完全透明。另外在组织机构发生职能性改变时，应用系统只需要对 角色进行重新授权或取消某些权限，就可以使系统重新适应需要。这些都使得基 于角色访问控制策略的管理和访问方式具有无可比拟的灵活性和易操作性。 基于角色的访问控制模型是一个策略中立的模型，完全独立于其他安全手 段。由于引入角色的概念，最小权限原则得以实现，系统高度灵活并且低冗余。 根据不同的应用需要可以实现不同级别的r b a c 模型，并且可以实现多管理员协 同管理。这些特点都进步推动了r b a c 模型的理论和应用研究。目前基于r d a c 的实际系统已经逐步出现，并以飞快的速度递增。二十一世纪初，一个统一的 r b a c 模型框架被提出并即将成为标准，基于角色的访问控制模型正逐步被理论 界和工业界所接受。 1 5 本文的工作 基于角色的访问控制在主体和客体之间加入了角色，这一策略让主体与客体 之间的直接关联变为通过角色来进行关联，实现了主体与客体的分离，使得主体 与客体的多对多关系更加简单，主体的变化不影响客体，客体发生变化也不用重 新修改它与主体之间的对应关系。主客体的变化更加相对独立。但是在随着网络 技术，电信技术，计算机技术的发展，不同系统的协同工作，不同管理域中的资 源的协同使用，使得传统的基于r b a c 的访问控制模型在跨管理域的资源访问方 面显得无能为力，本文就是基于传统基于角色的访问控制的这方面的不足，提出 了使用委托机制来完善传统基于角色的访问控制模型。第三章主要讲述增加委托 机制的基于角色的访问控制模型。 基于角色访问控制的委托模型是用于分布式环境下面的。在分布式环境下， 不同管理域的访问控制系统的开发和部署可能是在不同的时期由不同的人员完 成的，如何保证他们开发的系统能够相互之间很好的协同工作，第四章给出了用 功能描述语言对委托模型进行了描述。不同的开发者只需要按功能描述语言给出 的函数形式实现委托模型，那么各个分布的访问控制模型就能在功能层次上协同 工作。 第1 章概述 基于角色的委托模型中委托关系是可以传递的，这样导致在审查用户权限 时，由于用户的权限可能来自于委托，所以审查用户权限时必须访问委托，甚垒 委托链，而委托链是由不同管理域的委托提供的，这样查询委托链时必须访问多 个管理域，而不同的管理域可能是分布在不同的网络中，网络的环境是比较复杂 的，医此涉及到委托的用户权限审查操作可能会存在延迟甚至是不可完成，第五 章给出委托模型的缓存机制解决这一问题。 第2 章传统r b a c 模型的研究 第2 章传统r b a c 模型的研究 在基于角色的访问控制提出来之前，自主访问控制( d a c ) 和强制访问控制 ( m a c ) 已经在很多领域得到了广泛的应用。但是随着计算机技术的发展，应用环 境的进一步复杂化，自主访问控制和强制访问控制在很多方面显得有些不足，强 制访问控制太强，自主访问控制太弱。如是基于角色的访问控制诞生了，它在模 型扩充，维护等方面显示出强大的优势，模型也更加中立。 本章首先介绍被广大接受的r b a c 9 6 和a r b a c 9 7 模型，然后给出目阿在r b a c 模型的其他方面的研究，提出他们没有解决的问题。 2 1 r 队c 模型的提出 1 9 9 2 年，美国国家标准与技术研究所( n i s t ) 的d a v i df e r r a i o l o 和r i c k k u h n 在综合了大量的实际研究之后，率先提出基于角色的访问控制模型框架， 并给出了r b a c 模型的一种形式化定义。该模型第一次引入了角色的概念并给 出其基本语义，指出r b a c 模型实现了最小权限原则( 1 e a s tp r i v i l e g e ) 和职 责分离原则( s e p a r a t i o no fd u t y ) 。该模型中给出了一种集中式管理的r b a c 管 理方案。1 9 9 5 年他们以一种更直观的方式对该模型进行了描述。 m a t u n d an y a n c h a m a 和s y l v i ao s b o r n 在1 9 9 4 年仔细研究了r b a c 模型中 角色继承关系和角色权限指派，形式化的给出了角色管理的一系列算法”1 。他们 指出，他们提出的角色组织结构足够基本，能够模拟其他形式的权限模型比如树 状层次结构( h i e r a r c h i e s ) 和权限图( p r i v i l e g eg r a p h s ) 。 r a y is a n d h u 和他领导的位于g e o r g e a s o n 大学的信息安全技术实验室 ( l i s t ) 于1 9 9 6 年提出了著名的r b a c 9 6 模型“，将传统的r b a c 模型根据不 同需要拆分成四种嵌套的模型并给出形式化定义，极大的提高了系统灵活性和可 用性。1 9 9 7 年他们更进一步，提出了一种分布式r b a c 管理模型a r b a c 9 7 ，实 现了在r b a c 模型基础上的分布式管理0 1 。这两个模型清晰的表征了r b a c 概念 并且蕴涵了他人的工作，成为r b a c 的经典模型。绝大多数基于角色的访问控制 研究都以这两个模型作为出发点。 2 0 0 1 年，r b a c 领域的领军人物d a v i df e r r a i o l o ，r a y is a n d h u 等人联合 拟定了一个r b a c 模型的美国国家标准草案，力图统一不同模型中的术语，并对 所有r b a c 的基本操作给出伪码定义。1 。该模型类似于r b a c 9 6 模型，只是对权 第2 章传统r b a c 模型的研究 限部分做了一定的细化，分成操作( o p e r a t i o n ) 和对象( o b j e c t ) 。2 0 0 4 年r b a c 成为美国国家标准o “。 2 2r b a o 基本模型 本节首先给出r b a c 模型中各种术语的基本定义，然后介绍目前比较成熟的 r b a c 9 6 和a r b a c 9 7 模型，作为后续研究的出发点。 术语定义 r b a c 模型中的常用术语如下： 用户( u s e r ) ：是一个访问计算机系统中的数据或者用数据表示的其它资源 的主体。我们用u 表示全体用户的集合。用户一般情况下指人，也可为a g e n t 等 智能程序。 权限( p e r m i s s i o n ) ：是对计算机系统中的数据或者用数据表示的其它资源 进行访问的许可。我们用p 表示全体权限的集合。权限一般是一种抽象概念， 表示对于某种客体资源的某种操作许可。因此有的模型中将权限细化为二元组 ( 操作，对象) ，其中对象是访问控制系统中的真正客体，操作是作用在该对象 上的一种访问方式。由于该二元组中操作一般是与具体的对象相关的，我们在今 后的模型中认为权限是一个语义统一体。 角色( r o l e ) ：是指一个组织或任务中的工作或位置，代表了一种资格、权 利和责任。我们用r 表示全体角色的集合。角色是一种语义综合体，可以是一种 抽象概念，也可以对应于具体应用领域内的职位和权利。 管理员角色( a d m i n i s t r a t o rr o l e ) ：是一种特定的角色，用来对角色的访 问权限进行设置和管理。在集中式管理控制模型中，管理员角色由一个系统安全 管理员来完成；而在分布式管理控制模型中，可以采用制定区域管理员来对系统 进行分布式管理，每个管理员可以管理该区域内的角色权限的配置情况。当然区 域管理员的创建和权限授予则统一由顶级的系统安全管理员完成。 用户指派( u s e ra s s i g n m e n t ) ：是用户集u 到角色集r 的一种多对多的关 系，即有u a u r 也称为角色授权( r o l ea u t h o r i z a t i o n ) 。( u ，r ) u a 表 示用户u 拥有角色r ，从语义上来说就表示u 拥有r 所具有的权限。 权限指派( p e r m i s s i o na s s i g n m e n t ) ：是权限集p 到角色集r 的一种多对 多的关系，即有p a e p r 。( p ，r ) p a 表示权限p 被赋予角色r ，从语义上来 说，就表示拥有r 的用户拥有p 。 角色激活( r o l ea c t i v a t i o n ) ：是指用户从被授权的角色中选择一组角色 的过程。用户访问的时候实际具有的角色只包含激活后的角色，未激活的角色在 第2 章传统r b a c 模型的研究 访问中不起作用。相对于静态的角色授权来说，角色激活是一种动态的过程，提 供了相当的灵活性。 会话( s e s s i o n ) ：对应于一个用户和一组激活的角色，表征用户进行角色 激活的过程。一个用户可以进行几次会话，在每次会话中激活不同的角色，这样 用户也将具有不同的访问权限。用户必须通过会话才能激活角色。 角色继承关系( r o l ei n h e r i t a n c e ) ：是角色集r 中元素问的一种偏序关系，满 足 1 自反性：vr r ，r r ： 2 反对称性：vr 1 ，r 2 r ，r l r 2 n r 2 r l = r l = r 2 ： 3 传递性：v r l ，r 2 ，r 3 r ，r l r 2 f 7 r 2 r 3 = r l r 3 ： 从语义上来说，两个角色r l r 2 是指前者比后者级别更高，具有更大的权 利。形式化的说，r l r 2 蕴涵r 2 对应的权限指派r 1 也拥有，同时r 1 对应的用 户指派r 2 也拥有，即有 r l r 2 = p e r m i s s i o n ( r 2 ) p e r m i s s i o n ( r 1 ) nu s e r ( r 1 ) u s e r ( r 2 ) 其中p e r m i s s i o n ( r ) 表示r 对应的权限集，u s e r ( r ) 表示r 对应的角色集。 角色继承关系允许存在各种形式，包括多重继承。在这个偏序的意义下，角色集 中并不一定存在最大角色和最小角色。 角色层次图( r o l eh i e r a r c h i e s ) ：是给定了角色继承关系之后整个角色集 形 成的一个层次图：如果r 1 r 2 ，那么在图上就存在r l 到r 2 的一条有向边。 根据不同的角色偏序定义，角色层次图可以是树，倒装树，格，甚至极为复杂的 图。一般为了简化角色层次图，有向边的箭头被省略，继承关系默认为自上而下。 图2 一l 就是一个角色层次图的例子。 第2 章传统r b a c 模型的研究 项目生产 工程师i ( p e l ) 管理员( dj r 项目管理员i ( p l l ) 项目管理员2 ( p l 2 ) 项目质量 工程师i ( q e i ) 项目生产 工程师2 ( p e 2 1 ：= i _ _ 程师1 ( e d 工程师2 ( e 2 ) 工程师职位( e d l i 员工f e ) 图2 - 1 角色层次图示例 项目质景 工程师2 ( q e 2 ) 限制( c o n s t r a i n t s ) ：是在整个模型上的一系列约束条件，用来控制指派 操作，指定职责分离( s d ，s e p a r a t i o no fd u t y ) 以及避免冲突等。这是一个非 常抽象的概念，r b a c 模型中并没有给出限制的类型和表述方式。任何独立于前 面诸多术语的约束条件都是限制的一种形式。典型的限制包括指定角色互斥关 系，角色基数限制等。根据职责分离的不同阶段，限制一般可分为静态职责分离 和动态职责分离。 角色互斥关系( m u t u a l l ye x c l u s i v er o l e s ) ：限制的一种，用于指定两个 角色具有不同的职责，不能让个用户同时搠有。银行的出纳和会计便是角色互 斥的简单例子。角色互斥关系的目的是为了在r b a c 模型中引入业务逻辑的规 则，避免冲突的发生。根据互斥的程度和影响的范围不同，角色互斥有很多种形 式。 角色基数限制( r o l ec a r d i n a l i t yc o n s t r a i n t s ) ：限制的一种，用于指定 一个角色可被同时授权或激活的数目。比如总经理只能由一个用户担任，那么总 经理角色的角色基数就为1 。根据下面定义的静态和动态的职责分离，角色基数 限制有静态角色基数限制和动态角色基数限制两种。 静态职责分离( s t a t i cs d ) ：是指限制定义在用户指派( 角色授权) 阶段， 与会话及角色激活无关。以角色互斥为例，如果定义两个角色为静态的角色互斥， 第2 章传统r b a c 模型的研究 那么任何一个用户都不能同时被指派到这两个角色。静态职责分离实现简单，语 义清晰，便于管理，但是不够灵活，有些实际情况无法处理。 动态职责分离( d y n a m i cs d ) ：是指限制定义在角色激活阶段，作用域在会 话内部。仍以角色互斥为例，如果定义两个角色为动态的角色互斥，那么一个用 户可以同时被指派这两个角色，但是在任何一个会话中都不能同时激活它们。由 此可见动态职责分离更灵活，基本上能处理各种实际情况，但实现略复杂。 2 。2 1 基本模型r b a c 9 6 r b a c 9 6 模型为r a v is a a d h u 等人于1 9 9 6 年提出来的。模型分四个层次， 并具有如图2 2 所示的包含关系。 r b a c l r b a c o 图2 2 r b a c 9 6 模型间的关系 1r b a c o r b a c o 包含r b a c 模型的核心部分( c o r er b a c ) ，是最基本的模型。图形 表示如下图2 - 3 。 与 图2 3r b a c o 模型 r b a c o 可形式化的定义如下。定义2 1 1 ) 若干实体集u ( 用户集) ，r ( 角色集) ，p ( 权限集) ，s ( 会话集) 2 ) u a u r ，为多对多的用户角色指派关系； 3 ) p a p r ，为多对多的权限角色指派关系； 4 ) u s e ：s u ，映射每个会话到一个用户； 第2 章传统r b a c 模型的研究 5 ) r o l e s ：s 一2 8 ，映射每个会话到一组角色r o l e s ( s ) r 1 ( u s e r ( s ) ，r ) u a ) 并且会话s 拥有权限u r r o e s ( s ) p i ( p ，r ) p aj 从定义2 1 中可以看出，r b a c o 只包含最基本的r b a c 元素：用户，角色， 权限，会话。所有的角色都是平级的，没有指定角色层次关系；所有的对象都没 有附加约束，没有指定限制。 2r b a c l r b a c l 模型包含r b a c o ，然后定义了角色继承关系。如图2 - 4 所示。r b a c i 的 形式化定义如下。 角色继承( r h ) 图2 - 4r b a c l 模型 定义2 2r b a c i 模型包含如下元素： 1 ) u ，r ，p ，s ，u a ，p a ，u s e r 与r b a c o 一致； 2 ) r h r r 是r 上的偏序关系，记为，称作角色继承； 3 ) r o l e s ：s 一2 8 修改为r o l e s ( s ) r 【r o l e s ( s ) 口f r f ( 口r r ) ( u s e r ( s ) ，r ) u a ，同时会话s 拥有权限u r r o l e s ( s ) f p f ( d r ”r ) ( p ， r ”) p a ) 。 这里r b a c i 体现了r b a c 模型中角色继承关系的语义。一个会话拥有的角色 包含u a 关系里面指定的角色以及它们的父角色，会话拥有的权限包含其拥有的 所有角色在p a 关系里面的权限以及它们的子角色对应的权限。 3r b a c 2 r b a c 2 模型同样包含r b a c o ，但是只定义了限制。r b a c 2 有一个并非形式化 的定义如下。 定义2 3r b a c 2 模型包含如下元素： 1 ) r b a c o 中的所有元素； 2 ) 一组限制条件，用于刻画r b a c o 中各元素的组合合法性。 第2 章传统r b a c 模型的研究 r b a c 2 模型并没有指定限制条件的表现形式，只是从语义上给出了一个简短 说明。这给了r b a c 模型诸多扩展形式。s a n d h u 的文章中介绍了两种主要的限 制：角色互斥和角色基数限制，这也是实际系统中最通常考虑的两种限制形式。 4r