（计算机应用技术专业论文）扩展rbac模型在web应用中的研究与实现.pdf

摘要 摘要：随着i n t e r n e t 的普及应用，人们对网络安全的需求日益增加，访问控制是 防止非授权访问的一种重要的网络安全手段。访问控制在身份认证的基础上，依 据授权对提出的资源访问请求加以控制。通过访问控制，既可以限制对关键资源 的访问，也能够防止非法用户的入侵或合法用户的不慎操作所造成的破坏。 本文在比较分析访问控制三种主流技术自主访问控制、强制访问控制、 基于角色的访问控制的基础上，着重研究了基于角色访问控制的几种主要模型。 据此提出本文的重点引入了分组、时间的概念，扩充基于角色访问控制模型， 称之为扩展r b a c 模型，引入分组的目的是为了授权的清晰和简化，引入时间的目 的是使系统更加安全有效。然后对该模型的具体实现和关键内容做出了阐述，详 细给出了关键类的说明和数据结构描述，以及该模型基于w e b 模式的身份验证和 加密方式。最后以教学平台系统为例，具体阐述了基于角色的安全访问控制方案 的实现，论证了设计方案在教学平台系统中的可行性。 关键词：访问控制：基于角色的访问控制；r b a c 模型；扩展r b a c 模型；身份验证； 权限控制子系统 分类号： a bs t r a c t a b s t r a c t ： w i t ht h ed e v e l o p m e n to fi n t e m e ta p p l i c a t i o n ，t h ed e m a n d sf o rs e c u r i t yo fn e t w o r k k e e pi n c r e a s i n g a c c e s sc o n t r o li so n eo ft h ei m p o r t a n tt e c h n i q u e st oa v o i du n a u t h o r i z e d a c c e s s e s a c c e s sc o n t r o lc a nl i m i tt h eu s e rt oa c c e s st h er e s o u r c ew i t hh i s h e ro w n s p e r m i s s i o n i tb a s e so na u t h e n t i c a t i o n w i t ha c c e s sc o n t r o ls e r v i c e ，i l l e g a la p p r o a c hi s c r i t i c a lr e s o u r c ea n dd a m a g ec a u s e db yi l l e g a lu s e r si n t r u s i o n sr e s t r i c t e df r o mo rl e g a l i n a p p r o p r i a t eo p e r a t i o n si sr e d u c e d f i r s t ，t h et h e s i sc o m p a r e sa n da n a l y z e st h ea d v a n t a g e sa n dd i s a d v a n t a g e so ft h e t h r e em a i nt e c h n o l o g i e so fa c c e s sc o n t r o lw h i c ha r ed a c ，m a ca n dr b a c s e c o n d l y , t h et h e s i ss p e c i a l i z e si nt h es e v e r a lm a i nm o d e l so fr o l e b a s e da c c e s sc o n t r 0 1 t h i r d l y , t h et h e s i sp u t sf o r w a r dat e x t u a lp o i n t - - i n t r o d u c e st h ec o n c e p t so fg r o u pa n dt i m et o e x p a n dt h er b a cm o d e lw h i c hw ec a l l e da ne x p a n dm o d e lo fr b a c t om a k et h e a u t h o r i z a t i o nc l e a ra n dc o n c i s e ，w ei n t r o d u c et h ec o n c e p to fg r o u p ，w h i l et om a k et h e s y s t e mm o r es a f e l ya n de f f e c t i v e l y , w ei n t r o d u c et h ec o n c e p to ft i m e i nt h et h e s i s ，w e e l a b o r a t eo nr e a l i z a t i o na n dk e yc o n t e n t so ft h em o d e l ；g i v ei nd e t a i ld e s c r i p t i o no f d a t a b a s ea n dk e yc l a s s i d e n t i f i c a t i o na n de n c r y p ta l s oa r eg i v e nf o rt h i se x p a n d e d m o d e lo fr b a ci nt h et h e s i s f i n a l l y , t oe x p l a i nh o wt or e a l i z et h i ss y s t e mb a s e do n r b a c ，w ei m p l e m e n tt h eg i v e nm o d e li ns i y u a nt e a c h i n gp l a t f o r ms y s t e m t h er e s u l t s h o w st h a tt h eg i v e nm o d e li sf e a s i b l e k e y w o r d s ：a c c e s sc o n t r o l ；r o l e - b a s e da c c e s sc o n t r o l ；r b a cm o d e l ；e x p a n d m o d e lo fr b a c ；i d e n t i f i c a t i o n ；s u b s y s t e mo f a c c e s sc o n t r o l c l a s s n o ： 图目录 图卜1 访问控制策略模型3 图2 1 访问控制列表引8 图2 - 2 能力列表n 引9 图2 - 3 信息控制的机密性11 图2 - 4 信息控制的完整性1 2 图2 - 5 经典r b a c 模型构成1 5 图2 - 6r b a c o 各元素间关系1 6 图2 - 7r b a c ，各元素间关系1 7 图2 - 8r b a c 。约束模式图l8 图2 - 9r b a c 。统一模型图n 们1 9 图2 - 1 0a r b a c 9 7 模型基本框架制2 0 图2 - 11n i s tr b a c 标准模型3 j 2 l 图2 - 1 2 核心r b a c 2 2 图2 - 1 3 层次r b a c 2 3 图2 - 1 4s s dr b a c 2 3 图2 - 1 5d s dr b a c 2 4 图3 - 1 扩展r b a c 模型2 5 图3 - 2 用户、用户组、角色关系图2 6 图3 - 3 按照特征细分的用户组2 6 图4 - i 系统功能模块图4 1 图4 2 扩展r b a c 模型4 2 图4 - 3 服务器端三层结构图4 3 图4 - 4r b a c 访问控制子系统应用层架构4 4 图4 - 5 应用层工作时序图4 7 图4 - 6 权限控制子系统用例图4 9 图4 - 7 权限管理e - r 图5 1 图4 - 8 数据库关系图51 图4 - 9h ie r b e t w e e n g r o u p 流程图5 8 图4 - 1 0h i g h e r g r o u p 流程图小5 8 图4 - 1 1u s e r r o l e a s s i g n 流程图6 3 图4 - 1 2u s e r r o l e r e v o k e 流程图6 3 图4 - 1 3c a n a s s i g n o f u s e r 流程图6 4 图4 1 4c a n r e v o k e o f u s e r 流程图6 4 图4 - 15a d d p r e r o le 流程图6 7 图4 - 1 6 角色间互斥关系的继承6 8 图4 - 1 7a d d s s d r o l e 流程图6 9 图4 - 1 8g e t a l i s s d r o l e l i s t 流程图7 0 图4 - 1 9d e l e g a t e t o u s e r 流程图。7 4 图4 - 2 0 用户动态约束器模块流程图7 5 图4 - 2 1 过滤器链对w e b 请求的过滤流程7 7 图4 - 2 2 系统整体流程图7 8 图4 - 2 3 用户、用户组管理界面8 2 图4 - 2 4 角色管理界面8 2 图4 - 2 5 权限管理界面8 3 x 表目录 表2 一l 主要访问控制技术比较。1 3 表2 2r b a c 发展历程1 4 表3 一l 引入用户组前后授权操作次数比较2 8 表4 - iu s e r 表字段定义5 2 表4 2g r o u p 表字段定义5 2 表4 - 3g r o u p h i e r a r c h y 表字段定义5 2 表4 4u s e r g r o u p 表字段定义5 2 表4 - 5r o l e 表字段定义5 2 表4 6r o l e h i e r a r c h y 表字段定义5 3 表4 7r o l e h i e r a r c h y 表字段定义5 3 表4 8r b l e d s d 表字段定义5 3 表4 9u s e r r o l e 表字段定义5 3 表4 11g r o u p r o i e 表字段定义5 3 表4 1 0u s e r d s d 表字段定义一5 4 表4 1 2g r o u p d s d 表字段定义5 4 表4 1 3p e r m i s s i o n 表字段定义5 4 表4 - 1 4r 0 1 e p e r m i s s i o n 表字段定义：5 4 表4 1 5d e l e g a t e u s e r 表字段定义5 5 表4 一1 6d e l e g a t e g r o u p 表字段定义5 5 表4 1 7g r o u p m a n a g e 类结构5 7 表4 1 8r o l e m a n a g e 类结构6 0 表4 1 9p e r m i s s i o n m a n a g e 类结构6 l 表4 2 0u g r a m a n a g e 类结构6 2 表4 2 1p r e r o l e m a n a g e 类结构6 5 表4 2 2p r e r o l e m a n a g e 类结构6 8 表4 2 3d s d r o l e m a n a g e 类结构。7 0 表4 2 4r o l e a c t c o n s m a n a g e 类结构7 1 表4 2 5u s e r r 0 1 e a c t c o n s m a n a g e 类结构7 l 表4 2 6g r o u p r o l e a c t c o n s m a n a g e 类结构7 2 表4 2 7d e l e g a t e m a n a g e 类结构7 3 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：张雷 签字日期：矽d g 年月r 日 导师签名咎2 亏 签字日期：。? 矽。辟如西 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：签字日期：劲0 年6 月f 日 8 9 致谢 本论文的工作是在我的导师朱卫东教授的悉心指导下完成的，朱卫东教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢两年来 朱卫东教授对我的关心和指导。 朱卫东教授悉心指导我们完成了实验室的科研工作，在我读研期间，无论是 在选择学位课程、确定论文研究方向等的问题上，还是在完成实验室的科研项目 以及论文成稿的过程中，朱老师都给予了亲切的指导和帮助，在此谨向朱卫东老 师致以真诚的敬意和衷心的感谢。 在实验室工作及撰写论文期间，曾锴、徐红英、薛萍、王丽丽等同学对我论 文中的格式调整、进度安排以及研究工作给予了热情帮助，全喜伟同学对项目实 现提供了技术参考，李程、练荣政同学对论文提供了很好的建议，在此向他们表 达我的感激之情。同时，还要感谢北京交通大学计算机学院的老师们，两年的学 习生活中我从他们身上学到了许许多多与专业相关的知识和技能，还有很多做人 的道理。 我还要借此机会，感谢与我一起求学的同学们，是他们的支持和鼓励、陪伴 和督促，使我努力学习，不断追求进步。 另外也感谢我的家人，他们的理解和支持使我能够在学校专心完成我的学业。 最后，谨向百忙之中抽出宝贵时间审稿的老师们致以诚挚的谢意! 1 绪论 1 1 引言 1 1 1信息安全概述 社会的不断发展，使得信息在人类社会活动、经济活动中起着越来越重要的 作用。然而信息系统越是重要，越容易受到攻击，如窃取、冒充、伪造、篡改等 等。因此，信息系统的安全保密成为迫切需要解决的问题。 所谓信息系统安全，是指为信息处理系统的建立而采取的技术上和管理上的 安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意 的原因而使系统或信息遭到破坏、更改或泄露心1 。根据i s o1 7 7 9 9 对信息安全的定 义，信息安全的三个特征是7 i ： ( 1 ) 保密性：确保只有被授权的人才可以访问信息： ( 2 ) 完整性：确保信息和信息处理方法的准确性和完整性； ( 3 ) 可用性：确保在需要时，被授权的用户可以访问信息和相关的资源。 1 1 2信息安全的基本目标 目前，计算机系统安全性能还无法从定量的角度来评价。一方面是新的应用 带来了新的安全需求，另一方面是安全研究工作的相对滞后，导致了安全领域的 许多研究工作始终没有定义。从定性的角度看，信息的安全最基本的是要保证以 下几点旧： 安全保密性( c o n f i d e n t i a l i t y ) ：安全保密性是指防止非权限访问。这也是信 息安全最小的要求。 完整性( i n t e g r i t y ) ：完整性是指信息在存储或传输过程中保持不被修改、 不被破坏和不丢失。保证信息的完整性是信息安全的基本要求。 可靠性( r e l i a b i l i t y ) ：可靠性是指对信息完整性的信赖度，也是对信息安全 系统的信赖度。 可用性( a v a i l a b i l i t y ) ：可用性是指当需要时能否存取到所需信息。对可用 性的攻击就是阻断信息的存取。 不可否认性( n o n r e p u d i a t i o n ) ：不可否认性是指发送者不能否认其发送的信 鼠。 1 1 3信息安全的基本技术方法 计算机系统安全的研究从2 0 世纪6 0 年代开始，至今已经形成了许多固定的 术语和概念口1 ，同时也开发出来了大量卓有成效的技术方法啼1 ，其中包括： 标识和鉴别( i d e n t i f i c a t i o na n da u t h e n t i c a t i o n ) ：为了识别用户，计算机系统 为每个用户设定唯一的标识符( i d ) ，伴随每个i d 则有一个口令。鉴别是指可靠 地验证某个通信参与方是否与它所声称的身份一致的过程，一般通过身份认证协 议来实现。采用标识和鉴别手段来识别用户是安全控制机制中最重要的一个环节， 也是安全防线的第一个环节。 访问控制( a c c e s sc o n t r 0 1 ) ：在计算机系统中，安全机制的主要目的就是访问 控制。访问控制就是通过某种途径显式地准许或限制访问能力及范围的一种方法。 通过访问控制服务，可以限制对关键资源的访问，防止非法用户的侵入或者因合 法用户的不慎操作所造成的破坏。访问控制机制是在身份识别基础上，根据身份 对提出资源访问的请求加以控制。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 访问控制是实行系统安全政策的 最重要的手段，但是它不能保证任何一个系统中不存在安全漏洞，也没有一种可 行的方法可以彻底的解决合法用户在通过身份识别后滥用特权的问题。因此，入 侵检测系统成为保护系统安全的一个必要的补充手段。入侵检测系统通过从计算 机网络或者计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是 否存在有违反安全策略的行为和被攻击的迹象并且对其做出反应。 还有其他的一些安全技术，包括对象重用技术( o b j e c tr e u s ep r o t e c t i o n ) 、认 证技术、密码学技术( c r y p t o g r a p h y ) 、可信通道( t r u t hp a t h ) 等技术。一个完整 的安全信息系统要综合地使用身份鉴别、访问控制、数据加密、安全审计、安全 管理等安全技术。在现实环境中，没有任何一项技术能够单独地解决安全问题。 在这些安全技术中，访问控制起着极其重要的作用，它是安全策略在系统运行中 的集中表现陋1 。作为国际化标准组织定义的五项标准安全服务之一，访问控制技术 是实现信息系统安全的一项重要机制，它也是本文要研究讨论的重点问题。 1 2 访问控制概述 访问控制是实现既定安全政策的系统安全技术，它管理所有的资源访问请求， 即根据安全政策的要求，对每一个资源访问请求做出是否许可的判断，能有效的 防止非法用户访问系统资源和合法用户非法使用资源。 2 1 2 1访问控制的概念 ( 1 ) 访问控制：是用来处理主体和客体之间交互的限制，这些限制通常被表 示为访问控制策略，系统通过访问控制机制来实施这些策略从而授权合法用户对 系统的使用或阻止非法用户对系统的访问。访问控制是安全操作系统中最重要的 一项安全功能，也是评价操作系统安全的一个最重要的指标。 ( 2 ) 访问控制策略：是指在安全策略层次上，利用策略对访问主体( 用户、 进程) 进行授权、认证、角色分配，使得只有合法的访问主体才能享用访问客体 ( 资源所有者) 提供的服务和资源，其模型如图1 - 1 所示： 图卜1 访问控制策略模型 访问控制通常有三种策略：自主访问控制策略( c l a s s i c a ld i s c r e t i o n a r y p o l i c i e s ) 、强制访问控制策略( c l a s s i c a lm a n d a t o r yp o l i c i e s ) 、基于角色的访问控制 策略( r o l e b a s e dp o l i c i e s ) 。 ( 3 ) 访问控制机制：是为检测和防止系统中未经授权访问，对资源予以保护 所采取的软硬件措施和一系列管理措施等。 访问控制策略和访问控制机制是有区别的：策略是在较高的抽象层次上说明 访问如何控制和访问决策的判断，而机制则是根据具体的软件和硬件功能的配置 来实施一个策略。 1 2 2访问控制发展状况 2 0 世纪8 0 年代到9 0 年代初，访问控制领域主要使用的是自主访问控制 ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 呻儿钉和强制访问控制( m a n d a t o r ya c c e s s c o n t r 0 1 m a c ) 酬引。它们都已经得到了美国国防部制订的橘皮书可信计算机 评估准则的认证。但是，近几年来，人们普遍感到d a c 和m a c 无法较好的满足大 量存在的商业和政府部门系统的安全需求。因此，基于角色的访问控制( r o l e b a s e d a c c e s sc o n t r o l ，r b a c ) n p l 3 1 便成为人们研究访问控制方法的重点。 r b a c 的基本思想是给用户分配给角色，给角色分配权限，用户通过对应的 角色获取权限。r b a c 降低了大型网络应用中的安全管理的复杂性和代价，因此 受到越来越多的重视，目前己经成为高级访问控制的主流模型，与此同时，大多 数信息技术经销商也将r b a c 引入他们的生产线。除了主流的商业系统外，r b a c 在企业部门、政府机构、医疗、银行、军事等领域都有了广泛的应用并取得了巨 大的经济效益。r b a c 技术具有广泛的发展前景，我们有必要对r b a c 技术投以极 大的关注，对它进行不断研究和分析，使它更好地应用于各个领域。 1 3 其他技术基础 访问控制的基础是身份认证，任何访问控制技术的应用都是建立在身份认证 安全、可靠的基础之上，同时借助密码学相关技术增强访问控制的安全性。 1 3 1用户身份认证 身份认证就是让主体安全地向系统证明自己的身份。主体( p r i n c i p a l ) 主要指 个人、公司或消息发送者和接收者。标志提供了唯一区分主体的方法，主体标志 是许多其他安全保护机制使用的基础性安全操作。例如，要确定是否允许访问特 定资源，必须先确定主体标志。有几种使主体标志自己和向系统验证自己的方法。 验证方式可以分为基于主机的验证方式和基于个体的验证方式n7 | 。验证类型主要 有： 基于口令的标志与验证：主体向系统提供正确的主体i d 和口令对，来向系 统验证自己的身份。这是一种基于个体的验证方式，是最常见的主体验证方法。 基于物理令牌的标志与验证：用a t m 卡或智能卡等物理项目作为主体标志， 功能强大。这也是一种基于主体的验证方式。 基于生物统计学的标志与验证：生物统计学用人体的一些特征( 如指纹和 眼角膜特征) 标志一个人，这是最难以被窃取的主体标志。但由于设备昂贵，不 够普及；并且一个人一生只能有一个身份验证标志而无法更改，随技术的发展， 安全保证能力会有所衰退。 基于证书的标志与验证：证书就是包含主体标志信息的数据块。证书由权 威的、可信赖的、公正的第三方证书机构签名，以便保证证书的可靠性。证书中 的信息包括主体的公开密钥、主体的信息、证书有效截止日期等。 。利用数字证书、p k i 、对称加密算法、数字签名和数字信封等加密技术，可以 建立起安全程度极高的加解密和身份认证系统，从而使信息除发送方和接收方外， 不被其他方知悉( 保密性) ；保证传输过程中不被篡改( 完整性和一致性) ：发送 方确信接收方不是假冒的( 身份的真实性和不可伪装性) ；发送方不能否认自己的 发送行为( 不可抵赖性) 。 4 1 3 2密码学技术 信息的机密性一般是由密码技术来实现。对信息进行加密，就是用数学方法 重新组织数据，使得除了合法的接受者外，任何其他人要想恢复原先的“消息”( 将 原先的消息称作“明文”) 或读懂变化后的“消息”( 将变化后的消息称为“密文”) 都是非常困难的口1 。而解密则是将密文恢复成明文的过程。加密和解密操作分别是 在一组密钥控制下进行的，它们分别被称为加密密钥和解密密钥口1 。根据加密算法 所使用的加密密钥和解密密钥是否相同、能否由加密过程推导出解密过程，可将 密码体制分为对称密码体制和非对称密码体制。 如果一个加密系统的加密密钥和解密密钥相同，或者可由其中的任意一个很 容易地推导出另一个，则该系统所采用的就是对称密码体制口1 。对称密码体制是一 种传统密码体制，也称为私钥密码体制。对称密码体制的优点是具有很高的保密 强度，可以经受较高级破译力量的分析和攻击，但它的密钥必须通过安全可靠的 途径传递。密钥管理在此成为了影响系统安全的关键性因素，也使得对称密码体 制难以满足系统的开放性要求。最著名的对称密钥加密标准是数据加密标准( d a t a e n c r y p t i o ns t a n d a r d ，简称d e s ) 。目前己有一些比d e s 算法更安全的对称密钥加 密算法，如：i d e a 算法，r c 2 ，r c 4 算法，s k i p j a c k 算法等。本文采用的就是i d e a 算法，并用j a 、，a 进行实现口1 。非对称密码体制也叫公钥加密技术，该技术就是针 对私钥密码体制的缺陷而被提出来的。公钥加密系统的主要优点是可以适应开放 性的使用环境，密钥管理问题相对简单，可以方便、安全地实现数字签名和验证。 1 4 本文所做的工作和论文结构 1 4 1 所做的工作 本人所做的工作可以总结如下： ( 1 ) 研究了三种访问控制模型d a c ，m a c 和r b a c ，尤其是基于角色的访问控 制模型( r b a c ) 。重点讨论了r b a c 9 6 模型和r b a c 标准模型。 ( 2 ) 提出了扩展r b a c 模型，其中加入用户组、时限概念。扩展用户组以方 便用户管理，引入时限概念加强授权管理。 ( 3 ) 结合a c e g i 组件研究讨论扩展r b a c 模型的实现方案。 ( 4 ) 将扩展r b a c 模型和教学平台系统的具体应用集合起来，验证方案的可 行性，以及优势所在。教学平台系统中引入分组和时间概念是非常必要的：引入 组的目的是为了权限的清晰和简化，引入时间的目的是使系统更加安全有效。 ( 5 ) 对扩展r b a c 模型的相关问题进行了进一步研究和探讨。 i 4 2论文的组织结构 论文的主要内容安排如下： 第一章主要对访问控制技术的背景和r b a c 技术发展应用作了介绍，此外还 涉及到基于w e b 方案所必须考虑的用户认证技术和加密技术，并概述本文所做的 研究工作。 第二章介绍了三种主要的访问控制技术自主访问控制( d a c ) ，强制访问 控制( m a c ) 和基于角色访问控制( r b a c ) ，并详细介绍了基于角色访问控制的经 典模型：r b a c 9 6 模型和r b a c 标准模型( a n s ii n c i t s3 5 9 2 0 0 4 ) 。 第三章以前面的理论为基础，深入地介绍了引入分组和时限的扩展r b a c 模 型。组是指将用户划分为组，组与角色相关联，再将用户与组相关联，同时用户 得到用户组获得的角色。引入时限概念来控制权限用户的转权限操作，使得被转 授权用户仅仅在时间段中可以行使转授角色所具有的权限，一旦当前时间超出时 间段范围，则系统自动撤销被转授权用户的转授角色，而且行使转授角色所具有 的权限最大时间长度有一定的限制。 第四章总结介绍扩展r b a c 模型在教学平台系统中的实现以及应用状况。 第五章对所做工作的总结和对下一步工作的展望。 i 5 小结 本章首先介绍了本文撰写的背景，访问控制是安全信息系统的一个重要组成 部分，在系统设计中不可或缺。然后介绍了访问控制的基本概念以及发展状况， 接着给出了基于w e b 考虑的用户身份验证和密码学技术的相关知识，最后提出本 文所做的工作和组织结构。 6 2 访问控制相关研究 本章主要对访问控制的相关定义、方法、策略等作介绍。首先介绍访问控制 的基本定义，对比介绍访问控制方法；接着对d a c 、m a c 、r b a c 等访问控制策 略进行简单介绍，并对比分析不同的访问控制策略；最后在此基础上详细介绍基 于角色的访问控制经典模型。 2 1 访问控制的定义 在i s o i e c1 0 1 8 3 - 3 中将访问控制定义为：“为电脑系统所属资源在遭受未经 授权的操作威胁时提供适当的控制以及防护措施，以保护信息的机密和完整性。” 这些未经授权的操作包括：未经授权的使用( u n a u t h o r i z e du s e ) 、信息的泄漏 ( d i s c l o s u r e ) 、未经允许的修改( m o d i f i c a t i o n ) 、恶意的破坏( d e s t r u c t i o n ) 以及拒 绝服务( d e n i a lo fs e r v i c e ) 等5 部分u 引。 访问控制( a c ) u 钔主要是用来定义合法用户的活动限制j 限制用户可以做哪 些事，以避免用户无心破坏了系统的安全或越权操作，进而造成不当的信息外泄。 访问控制系统是软硬件系统的组合，其执行访问控制方法以达到访问控制策略目 标。访问控制方法( a c c e s sc o n t r o la p p r o a c h e s ) 包括访问控制矩阵( a c c e s sc o n t r o l m a t r i x ，a c m ) 、访问控制列表( a c c e s sc o n t r o ll i s t ，a c l ) 、能力列表( c a p a b i l i t i e s l i s t ，c l ) 与权限关系表( a u t h o r i z a t i o nr e l m i o nt a b l e ，a i 玎) ；访问控制策略( a c c e s s c o n t r o lp o l i c i e s ) 是高阶的指导原则，决定如何控制存取以及存取策略定义，包括 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 、强制访问控制( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) 与以角色为基础的访问控制( r b a c ) 。 2 2 访问控制方法 目前较常见的访问控制方法，包括访问控制矩阵( a c m ) 、访问控制列表 ( a c l ) 、能力列表( c l ) 与权限关系表( a r t ) 。下面介绍这四种访问控制方法。 2 2 1访问控制矩阵 访问控制矩阵( a c m ) 是g r a h a m 及d e n n i n g 在1 9 7 2 年所提出，主要是以主体 ( s u b j e c t ) 、客体( o b j e c t ) 与访问矩阵( a c c e s sm a t r i x ) 为基本元素，利用访问 7 矩阵表达主体与客体间的关系。由于存取机制的主体( s u b j e c t ) 是用户( u s e r ) ， 因此这种方法是最直接、最简单但又弹性最小的访问控制方式。 2 2 2访问控制列表 访问控制列表( a c l ) 叫是以访问控制矩阵( a c m ) 为基础的访问控制机制， 属于客体主体的列表方式，以客体为主轴，即每一个客体对应一个访问列表， 该列表记录着访问该客体的所有主体的权限，如图2 - 1 所示。若以客体f i l el 而言， 客体f i l e1 记录了三个主体及其所拥有的访问权限，u s e r a 有读取的权限、u s e rb 有读取的权限、u s e rc 有读取和写入的权限；若以客体f i l e2 而言，u s e ra 有读 取和写入的权限、u s e rb 有读取的权限、u s e rc 有读取和写入的权限；针对客体 f i l e3 而言，u s e r a 有读取和写入的权限、u s e rb 有读取和写入以及修改的权限、 u s e rc 有读取和写入的权限。 f i l e1 卜 ：i ： u s e r 麟 u s e rb u s e r c r e a d r e a d r e a d w r i t e f i l e2b u s e r l j ： u s e r bu s e r c r e a d r c a d r e a d w r i t ew r i t e f f i l e3 卜篡! 噼e 磺 +一0 s e r b 青 u s e r c r e a d r e a d w r i t e r e a d w r i ew r i t e m o d i f y 图2 - 1 访问控制列表0 1 访问控制列表( a c l ) 的优点：以客体角度管理与维护权限时简捷、容易。 但是也存在以下不足：( 1 ) 若换成从主体的角度查看某主体所拥有的权限时，则 必须先遍历客体列表后才能获得结果，此种作法十分耗费时间；( 2 ) 若频繁变更 主体权限，将增加管理者的负担。 2 2 3 能力列表 能力列表( c l ) n 汹1 同样是以访问控制矩阵( a c m ) 为基础的访问控制机制， 属于“主体客体”的串列方式，以主体为主轴，记录每一个主体对各个客体 的访问权限，如图2 - 2 所示。对主体u s e ra 而言，u s e ra 对f i l el 具有读取的权 限、对f i l e2 具有读取和写入的权限、对f i l e3 具有读取和写入的权限，处理方式 与访问控制列表( a c l ) 非常类似。 匦勉翮卜 f i l el ： f i l e2 f i l e3 r c a d r e a d r c a d w r i t ew r i t e f u s e r b 卜 f i l el f i l e2f i l e3 r c a d r c a dr c a dw r i t e m o d i f y 鼹。u s e rc 卜 f i l el + f i l e 2 f i l e3i r c a dr c a dr c a d w r i t ew r i t ew r i t e 图2 - 2 能力列表1 0 1 能力列表( c l ) 的优点是以用户角度来管理与维护权限时简捷、容易；但若 频繁的变更客体权限，将会加重管理者的负担，同时也造成大量时间耗费。 2 2 4权限关系表 权限关系表( a r t ) n 9 儿制是综合访问控制列表( a c l ) 与能力列表( c l ) 而 得出的，它提供从主体或客体角度的控制存取。其优点是能够提供不同的角度来 取得所需的信息，简单易用；但主体变动时，则需逐一维护主体、客体与权限相 关信息，这将加重管理者的负担，也较容易出错。 2 3 访问控制策略 在信息安全的研究中，主体( s u b j e c t ) 和客体( o b j e c t ) 是两个重要概念，保 护客体的安全、限制主体的访问权限构成了访问控制的主题。这两个概念的提出 使访问控制的研究问题得以抽象化，而抽象化的结果是可以模型化，这就使信息 安全的研究前进了一大步。 2 3 1主要访问控制策略介绍 访问控制策略比较常见的有三种：自主访问控制d a c 、强制访问控制m a c 和以角色为基础的访问控制r b a c 。其中d a c 和m a c 是比较传统的方式，现已 9 得到普遍的应用，而以角色为基础的访问控制则是在最近十多年才逐渐发展起来 的策略。这三种策略并不是彼此互斥的，而是可以同时将两种以上的方式在同一 个系统上施行，但是如果要在同一个系统上实行两种以上的策略，则有必要建立 一个协调机制，以处理不同策略所造成的彼此间的冲突。 ( 一) 自主访问控制 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 碑1 是以主体为基础的权限控 制，它允许用户可以自主地把自己所拥有的对资源的访问权限授予其他用户或者 从其他用户收回所授予的权限。d a c 可以为用户提供灵活和易行的数据访问控制方 式，但安全性较低。d a c 模型一般采用访问控制矩阵和访问控制列表来存放不同主 体的访问控制信息，从而达到对主体访问权限的限制目的h 1 。它的优点在于表述直 观、易于理解，并且比较容易查出对某一特定资源拥有访问权限的所有用户，容 易实施有效的授权管理，因而目前广泛地应用在商用系统中。缺点是d a c 将赋予 或取消访问权限的一部分权力留给了用户个人，这使得管理员难以确定哪些用户 对哪些资源有访问权限，不利于实现统一的全局访问控制，对安全性考虑欠妥。 ( 二) 强制访问控制 强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 阳别h 1 ，在美国国防部制定 的可信计算机系统评估准则( t c s e c ) 中定义如下：“一种限制访问客体的手段， 它以包含在这些客体中的信息敏感性和访问这些敏感性信息的主体的正式授权信 息为基础”。在d a 访问控制中，用户和客体资源都被赋予一定的安全级别，用户 不能改变自身和客体c 的安全级别，只有管理员才能够确定用户和组的访问权限。 和d a c 模型不同的是，m a c 是一种多级访问控制策略，它的主要特点是系统对访问 主体和受控客体实行强制访问控制，系统事先给访问主体和受控客体分配不同的 安全级别属性。在实施访问控制时，系统先对访问主体和受控客体的安全级别属 性进行比较，再决定访问主体能否访问该受控客体。m a c 对访问主体和受控客体标 识两个安全标记：一个是具有偏序关系的安全等级标记；另一个是非等级分类标 记。主体和客体在分属不同的安全类别时，都属于一个固定的安全类别s c ，s c 就构 成一个偏序关系( b 匕女n t s 表示绝密级，就比密级s 要高) 。当主体s 的安全类别为t s ， 而客体0 的安全类别为s 时，用偏序关系可以表述为s c ( s ) s o ( o ) 。考虑到偏序关 系，主体对客体有四种基本的访问原则： ( 1 ) 向下读( r d ，r e a dd o w n ) ：主体级别大于客体级别的读操作，即高级别的