（计算机应用技术专业论文）基于角色的权限系统开发与应用.pdf

西南交通大学硕士研究生学位论文第l 页 摘要 权限控制技术用于限制软件系统中的各种资源只能被授予了相应权限 的用户访问，从而提高系统的安全性。本课题的目标是开发一个具有良好通 用性和平台无关性的权限系统。 论文在对自主访问控制、强制访问控制和基于角色的访问控制的访问控 制策略及机制分析、研究基础上，选择并实现了基于角色的权限管理系统。该 系统用j a v a 开发，对外接口用w e bs e r v i c e 封装，利用w e bs e r v i c e 与各种 语言和平台的互操作性，从而使得该应用具有良好的通用性和平台无关性。 基于角色的访问控制技术在权限管理中引入角色的概念，把资源的访问 权限分配给角色，通过给用户分配角色以及角色之间的继承关系简化权限的 管理。虽然r b a c ( r o l eb a s e da c c e s sc o n t r 0 1 ) 的模型已经被广泛的接受， 但在实际应用中还有一些需要改进的地方。论文改进了以下两点：l ，人员组 织问题的解决方法：在r b a c 的规范中没有提到关于人员是如何组织的，更关 注与资源的控制，而在实际应用中，可能某个部门所有员工职能是相同的， 在这种情况下，对部门内所有员工逐一授予同一角色，授权操作就会显得繁 琐，基于此，本文提出了对用户组授权的观点，简化了授权管理：2 ，针对实 际应用中用户授权的灵活性要求：在实际应用中，可能某用户就是比另外一组 用户多一项权限，为此再为该用户单独创建一角色，当此种情况较多时，角色 就会过多过滥，授权时就会比较混乱，基于此，本应用以角色授权为主，再辅之 以直接对用户授权，较好的解决了实际应用中的问题。 本文首先对访问控制、基于角色的访问控制、w e b 服务等技术进行了详 细论述，然后以中央电视台体育中心综合业务为依托开发了权限管理系统， 在对本应用下的用户管理、权限管理、权限接口、权限应用系统业务分析的 基础上，对系统进行了总体设计。在对各子系统分析研究和技术论证的基础 上，完成了各子系统的需求分析( 包括用例描述和用户界面设计规格说明) 、 数据库设计、概要设计( 包括序列图) 、详细设计( 包括类图) 和编码实现。 最后，对本文的研究内容进行了总结，并展望了进步的研究工作。 关键词访问控制；r g a c ：角色；w e b 服务 西南交通大学硕士研究生学位论文第2 页 a b s t r a c t a c c e s sc o n t r o ij su s e dt om a k ear e s t r i c t i n gt ot h er e s o u r c ej nas o f t w a r e s y s t e m ，s ot h a tt h e s er e s o u r c e sc a no n l yb ea c c e s s e db yt h eu s e rw h o h a st h e c o r r e s p o n d i n gp r i v i l e g e t h i sp a p e ri st od e v e l o paw e l lg e n e r a la c c e s sc o n t r o l s y s t e m ，i n d e p e n d e n to fa n yp l a t f o r m s t h i sp a p e rc h o o s e sa n dr e a u z e st h ep r i v i l e g es y s t e mr o l e b a s e db a s e do nt h e f u r t h e rr e s e a r c hb e t w e e nd i s c r e t i o n a r ya c c e s sc o n t r o l ，m a n d a t o r ya c c e s sc o n t r o l a n dr o l e - b a s e da c c e s sc o n t r 0 1 t h ea p p l i c a t i o ni sd e v e l o p e dw i t hj a v al a n g u a g e ， w i t hi t si n t e r f a c ee n c a p s u l a t e d u s i n gw e bs e r v i c e h a v i n gt h ev i r t u eo fw e b s e r v i c e , t h ea p p l i c a t i o nh a saw e l lg e n e r a la n di n d e p e n d e n c ec h a r a c t e r i s t i c r o l e - b a s e da c c e s sc o n t r o lo 礓a c ) i n t r o d u c e st h er o l ei n t oa c s sc o n t r 0 1 t h e p r i v i l e g ei sa s s i g n e dt or o l e , t h e na c o b s sc o n t r o l 啪b em a n a g e de a s i l yb yd e f i n e t h er o l eo ft h eu s e ra n dt h ei n h e r i t a n c eo fr o l e s a l t h o u g ht h er b a cm o d e li sw e l l a c c e p t e d , i tt u r n so u tt oh a v es o m ep r o b l e m si np r a c t i c e t h ep a p e rp u t sf o r w a r d t w op o i n t s ：f i r s t ，t h er e s o l v e n to ft h eu s e rg r o u p e d ：i ti sn o tm e n t i o n e do nh o wt o o r g a n i z eu s e r si n s t e a do fi n c l u d i n gm o r en o t a t i o n so nt h ec o n t r o l i n go fr e s o u r c e s i nr b a cs p e c i f i c a t i o n ，b u ti na c t u a la p p l i c a t i o n s ，t h ed u t i e so fa l le m p l o y e e sa r e p o s s i b l ys a m ei nad e p a r t m e n t c o n s i d e r i n gt h i s ，i fw ea s s i g nt h es a m er o l e st oa l l e m p l o y e e so n eb yo n e ，t h eo p e r a t i o no fa u t h o r i z a t i o nw o u l db ef u s s y t h ep a p e r p u t sf o r w o r dt h et h i n k i n go fa u t h o r i z a t i o nt ot h eu s e rg r o u p ，w h i c hs i m p l i f i e s a u t h o r i z a t i o nm a n a g e m e n t s e c o n d ，t h ef l e x i b l er e q u i r e m e n to fa u t h o r i z a t i o nt o t h eu s e ri na c t u a la p p l i c a t i o n s ：i na c t u a la p p l i c a t i o n s ，o n eu s e rp o s s i b l yo w n sm o r e o n ep r i v i l e g et h a nt h a to fa n o t h e rg r o u p ，s oi fc r e a t i n gar o l ea l o n ef o rt h eu s e l w h e nm o r es i t u a t i o n s a p p e a r , t h er o l ew o u l db ee x c e s s i v e l yo v e r f l o w , a n d a u t h o r i z a t i o nm a n a g e m e n tw o u l db er o u g h a n d t u m b l e a sar e s u l t ，t h i sp a p e r d e p e n d so nt h er o l ea u t h o r i z a t i o n ，a n da s s i s t sw i t hd i r e c ta u t h o r i z a t i o n ，w h i c h r e s o l v e st h ep r o b l e mw e l li na c t u a la p p l i c a t i o n s t h i sp a p e rd i s c u s s e sa c c e s sc o n t r o l ，r b a c ，w e bs e r v i c ee t ci nd e t a i l ，a n d d e v e l o p s t h ep r i v i l e g em a n a g e m e n ts y s t e mo nt h ec e n t r a lt e l e v i s i o ns t a t i o n a t h l e t i c sc e n t e rc o m p r e h e n s i v eb u s i n e s s ，a f t e ra n a l y z i n gt h eb u s i n e s so ft h e 西南交通大学硕士研究生学位论文第3 页 a p p l i c a t i o n ss u b s y s t e m st h i nh a v et h eu s e rm a n a g e m e n t ，p r i v i l e g em a n a g e m e n t ， p r i v i l e g em a n a g e m e n ti n t e r f a c e ，p r i v i l e g ea p p l i c a t i o ns y s t e m ，c o m p l e t e st h et o t a l d e s i g no ft h es y s t e m o nt h ef o u n d a t i o nt h a ta n a l y s i s ，r e s e a r c ha n dt e c h n o l o g y a r g u m e n t a t i o nt o e a c hs u b s y s t e m ，t h i sp a p e rc o m p l e t e st h en e e da n a l y s i s ( i n c l u d i n gd e s c r i p t i o no fu s e r c a s ea n dt h es p e c i f i c a t i o ne x p l a n a t i o no ft h eu s e r i n t e r f a c ed e s i g n ) ，d a t a b a s ed e s i g n ，t h es y n o p t i cd e s i g n ( i n c l u d i n gt h es e q u e n c e d i a g r a m ) ，d e t a i l e dd e s i g n ( i n c l u d i n gt h ec l a s sd i a g r a m ) o fe a c hs u b s y s t e ma n d c o d i n g f i n a l l y , t h i sp a p e rs u m m a r i z e st h er e s e a r c h ，a n dp u t sf o r w a r df u a h e rr e s e a r c h w o r k k e yw o r d s ：a c c e s sc o n t r o l ；r b a c ；r o l e ；w e bs e r v i c e 西南交通大学硕士研究生学位论文第1 页 第1 章绪论 互联网络的蓬勃发展，为信息资源的共享提供了更加完善的手段，企业 在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问。权限管 理和控制的目的是为了保护企业在信息系统中存储和处理的信息的安全，对 其进行研究有着重要的实用价值。本章讨论了权限管理研究的意义，并对本 文的选题和主要工作进行说明。 1 1 权限管理研究的意义 随着网络技术的迅速发展，电子商务、电子政务和商业应用系统等系统 的发展不但需要保护系统资源不受侵犯，更需要给适当的访问者提供最大化 的服务，这就要求系统必须要能够控制：哪些访问者能够访问系统的信息， 访问者访问的是“什么信息”，访问者对他所访问的数据拥有什么样的“权 限”。可以用“w h o 对w h a t ( w h i c h ) 是否能进行h o w 的操作”来表述 应用系统权限的需求。 当前，各个应用领域的权限管理在实现的细节上还有很多的不同，这主 要是涉及到和业务相关的权限管理。尽管如此，这些不同领域的权限管理模 块具有很大的相似性。对不同的应用系统，开发不同的权限管理模块会造成 重复开发，软件的重复利用率低下，并且带来软件后继维护困难。因此，本 文决定设计和实现一个具有良好通用性的、可扩展的权限管理系统。 学术界对于权限管理已经做了大量的研究工作并提出了许多种模型，其 中基于角色的权限访问模型是近来广泛流行的模型之一，现在已经比较成熟， 并于2 0 0 4 年3 月被接纳为美国国家标准。r b a c 的主要思想是用户不再能任 意的访问企业资源对象，取而代之的，访问允许权被赋予角色，用户再被赋 予适当的角色成员。r b a c 的权限方式大大简化了授权的管理，并且为企业 制定资源保护对象提供了极大的灵活性【”。 西南交通大学硕士研究生学位论文第2 页 1 2 本文的选题和主要工作 本文的选题： 本论文以中央电视台体育中心综合业务为依托，针对电视台权限管理过 程中所面对的用户和功能增多、动态权限分配的特点，涉及功能、权限、角 色等概念，参考现有访问控制的最佳模式r b a c ，同时针对r b a c 在现实应用 中可能角色过多过滥会导致授权管理混乱的问题，设计了直接用户授权；针 对r b a c 中只涉及角色，没有提到关于人员是如何组织的，设计了可以以用户 组方式作为权限授予的单位，使得权限管理和控制模式更加合理、简化和有 效。在此基础上，设计和实现了权限系统对外接口，其中，对j a v a 系统，提 供以p , m i 方式的远程调用服务；对其他语言( 如c + + 、c # ) 实现的模块，将 实现的接口封装为w e bs e r v i c e ，提供远程调用服务。因此，本应用的权限 管理系统遵循国际标准r b a c ，用与平台无关语言j a v a 开发，而对外接口用 w e bs e r v i c e 封装，利用w e bs e r v i c e 与各种语言和平台的互操作性，从而 使该应用具有良好的通用性和平台无关性，这也是本应用的创新之处。 权限系统设计原则： 本文对系统资源操作权限的控制粒度定义：粗粒度的定义为表示类别 级，即仅考虑对象的类别( t h et y p eo fo b j e c t ) ，不考虑对象的某个特定实 例。比如，用户管理中，创建、删除，对所有的用户都一视同仁，并不区分 操作的具体对象实例；细粒度定义为表示实例级，即需要考虑具体对象的实 例( t h ei n s t a n c eo fo b j e c t ) ，当然，细粒度是在考虑粗粒度的对象类别之 后才再考虑特定实例。比如，合同管理中，列表、删除，需要区分该合同实 例是否为当前用户所创建。 本文表述的权限系统只提供一个基础，并解决那些粗粒度的权限问题。 在这个基础之上，根据“业务逻辑”的独特权限需求，编码实现细粒度的权 限问题。 权限逻辑配合业务逻辑，即权限系统以为业务逻辑提供服务为目标。相 当多细粒度的权限问题因其极其独特而不具通用意义，它们也能被理解为是 “业务逻辑”的一部分。比如，要求：“合同资源只能被它的创建者删除，与 创建者同组的用户可以修改，所有的用户能够浏览”。这既可以认为是一个 细粒度的权限问题，也可以认为是个业务逻辑问题。在这里它是业务逻辑 西南交通大学硕士研究生学位论文第3 页 问题，在整个权限系统的架构设计之中不予过多考虑。当然，权限系统的架 构也必须要能支持这样的控制判断，或者说，系统提供足够多但不是完全的 控制能力。即设计原则归结为：“系统只提供粗粒度的权限，细粒度的权限被 认为是业务逻辑的职责”。 但是除了粗粒度权限，系统中必然还会包括无数对具体i n s t a n c e 的细 粒度权限。这些问题，被留给业务逻辑来解决，这样的考虑基于以下两点： 一方面，细粒度的权限判断必须要在资源上建模权限分配的支持信息才可能 得以实现。比如，如果要求创建者和普通用户看到不同的信息内容，那么， 资源本身应该有其创建者的信息。另一方面。细粒度的权限常常具有相当大 的业务逻辑相关性。对不同的业务逻辑，常常意味着完全不同的权限判定原 则和策略。相比之下，粗粒度的权限更具通用性，将其实现为一个架构，更 有重用价值；而将细粒度的权限判断实现为一个架构级别的东西就显得繁琐， 用定制的代码来实现就更简洁，更灵活。 本文所作的主要工作： 1 ) 对体育中心的业务和节目制播现状进行了调查、统计和汇总，对该业务 下的用户管理、权限管理提出了具体的需求； 2 ) 深入研究目前学术界和工业界就权限系统这一课题已有的成果；从理论 的角度，分析比较各种访问控制方法及用于应用系统的优势和不足，同时深 入研究基于角色的访问控制、w e b 服务等多项关键技术，提出了一个具有良 好通用性、灵活性的权限控制解决方案，并分析和设计其业务框架； 3 ) 论证基于s u n 的j 2 e e 框架开发该权限系统的可行性，以及与其它相关技 术相比，采用j 2 e e 技术开发本应用的优越性；基于j 2 e e 框架基础上，完成 了本应用的框架设计； 4 ) 通过对中央电视台用户的分析，阐述了子组与父组的关系、用户与组的 关系、组与角色的关系，获得了用户管理的具体实现方式； 5 ) 开发了基于角色的权限管理系统，该系统可解决应用系统下那些具有“共 性”的( 或者说粗粒度的) 权限问题； 6 ) 开发了权限管理的对外接口程序模块，将用j a v a 方式实现的权限系统对 外接口封装为w e b 服务，供其它平台下的应用程序远程调用； 7 ) 开发了业务软件一节目业务管理项目下的新闻选题系统和新闻报题系 统，并将研究的权限管理模式应用到其中。 西南交通大学硕士研究生学位论文第4 页 本论文拟解决的关键技术问题有： 1 ) 用户登录时校验用户身份的合法性，系统应建立用户鉴别机构以验证用 户身份； 2 ) 杜绝对系统非法访问主要方法是访问控制，存储和检查访问规则是访问 控制机构须解决的问题； 3 ) 如何解决企业管理信息系统中用户数量多、变动频繁从而影响用户权限 变动频繁的问题： 4 ) 子组与父组的关系、用户与组的关系、组与角色的关系； 5 ) 权限管理中资源操作的映射，权限的扩展问题，用户与权限的绑定方式； 6 ) 粗粒度和细粒度是整个设计问题边界定义的关键； 7 ) 如何使开发出的权限系统通用于异构平台。 1 3 本章小结 本章阐述了随着互联网络的快速发展，权限管理和控制在应用系统中的 作用和重要意义，然后介绍课题的来源及主要研究内容。 西南交通大学硕士研究生学位论文第5 页 第2 章权限系统的理论基础与技术论证 访问控制是网络信息安全的一个重要方面，它通常包括对网络、操作系 统和各种应用系统的访问权限的控制吼对应用系统的访问权限属于访问控 制的研究范畴，故本文首先研究访问控制。 2 1 访问控制的模型 访问控制模型是一种从访问控制的角度出发，描述安全系统，建立安全 模型的方法。 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进 行的不同授权访问。访问控制包括三个要素，即：主体、客体和控制策略f 2 】。 主体( s u b j e c t ) ：发出访问要求、存取要求的主动方，简记为s 【2 】。通常 可以是用户或用户的某个进程。 客体( o b j e c t ) ：被访问的对象，简记为o 【2 】。通常可以是被调用的程序、 迸程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等 资源。 控制策略：是主体对客体的操作行为集和约束条件集，简记为k s t 2 l 。控 制策略是主体对客体的访问规则集，这个规则集直接定义了主体对客体可以 的作用行为和客体对主体的条件约束。 访闯控制系统三个要素之间的行为关系可以使用三元组( s ，o ，p ) 来 表示，其中s 表示主体，o 表示客体，p 表示许可。当主体s 提出一系列正 常的请求信息1 1 ，i n ，通过信息系统的入口到达控制规则集k s 监视的 监控器，由k s 判断是否允许或拒绝这次请求，因此这种情况下，必须先要 确认是合法的主体。也就是对主体进行认证。主体通过验证，才能访问客体， 但并不保证其有权限可以对客体进行操作。客体对主体的具体约束由访问控 制表来控制实现，对主体的验证一般会鉴别用户的标识和用户密码。用户标 识( u i d ：u s e r i d e n t i f i c a t i o n ) 是一。个用来鉴别用户身份的字符串，每个用户 西南交通大学硕士研究生学位论文第6 页 有且只能有唯一的一个用户标识，以便与其他用户区别。当一个用户注册进 入系统时，趣必须提供其用户标识，然后系统执行一个可靠的审圣来确认当 前用户是对应用户标识的那个用户。 访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的 选用与管理。最后要对没有非法用户或是越权操作进行管理。所以，访问控 制包括认证、控制策略实现和审计三方面的内容f i 4 j ： i 认证：主体对客体的识别认证和客体对主体检验认证。主体和客体的认 证关系是相互的，当一个主体受到另外一个客体的访问时，这个主体也就变 成了客体。一个实体可以在某一时刻是主体，而在另一时刻是客体，这取决 于当前实体的功能是动作的执行者还是动作的被执行者。 2 控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源 的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户 而言，更不能越权行使控制策略所赋予其权利以外的功能。 3 审计：审计的重要意义在于，比如客体的管理者即管理员有操作赋予权， 他有可能滥用这一权利，这是无法在策略中加以约束的。必须对这些行为进 行记录，从而达到威慑和保证访问控制正常实现的目的。 访问控制安全模型一般包括主体、客体，以及为识别和验证这些实体的 子系统和控制实体问访问的参考监视器1 4 】。由于网络传输的需要，访问控制 的研究发展很快，有许多访问控制模型被提出来。建立规范的访问控制模型， 是实现严格访问控制策略所必须的。1 9 8 5 年美国军方提出可信计算机系统评 估准则t c s e c ，其中描述了两种著名的访问控制策略：自主访问控制模型 ( d a c ) 和强制访问控制模型( m a c ) 2 s i 。基于角色的访问控制( r b a c ) 由f e r r a i o l o 和k u l m 在1 9 9 2 年提出。 2 1 1 自主访问控制模型 自主访问控制模型( d a c m o d e l ，d i s c r e t i o n a r y a c c e s s c o n t r o l m o d e l ) 8 1 是在确定主体身份以及( 或) 他们所属组的基础上对访问进行限定的一种方 西南交通大学硕士研究生学位论文第6 页 有且只能有譬一的一个用户标识，以便与其他用户区别当一个用户注册进 入系统时，他必须提供其用户标识，然后系统执行一个可靠的审查来确认当 前用户是对应用户标识的那个用户。 访问控制的实现首先要考虑对台法用户进行验证，然后是对控制策略的 选用与管理，最后要对没有非法用户或是越权操作进行管理。所以，访问控 制包括认证、控制策略实现和审计三方面的内容鸭 1 认证：主体对客体的识别认证和客体对主体检验认证。主体和客体的认 证关系是相互的，当一个主体受到另外个客体的访问时，这个主体也就变 成了客体。一个实体可以在某一时刻是主体，而在另一时刻是客体，这取决 于当前实体的功能是动作的执行者还是动作的被执行者。 2 控制策略的具体实现：如何设定规划集合从而确保正常用户对信息资源 的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户 而言，更不能越权行使控制策略所赋予其权利以外的功能。 3 审计：审计的重要意义在于，比如客体的管理者即管理员有操作赋予权， 他有可能滥用这一权利，这是无法在策略中加以约束的。必须对这些行为进 行记录，从而达到威慑和保证访问控制正常实现的目的。 访问控制安全模型一般包括主体、客体，以及为识别和验证这些实体的 子系统和控制实体日j 访问的参考监视器f 4 】。由于网络传输的需要，访问控制 的研究发展很快，有许多访问控制模型被提出来。建立规范的访问控制模型， 是实现严格访问控制策略所必须的。1 9 8 5 年美国军方提出可信计算机系统评 估准则t c s e c ，其中描述了两种著名的访问控制策略：自主访问控制模型 ( d a c ) 和强制访问控制模型( m a c ) 1 8 。基于角色的访问控制( r b a c ) 由f e r m i o l o 和k u i i l 在1 9 9 2 年提出。 2 1 1 自主访问控制模型 自主访问控制模型( d a cm o d c l ，d i s c r e l i o n a r ya c c e s sc o n t r o lm o d e l ) 【8 1 是存确定主体身份以及( 或) 他们所属组的基础e 对访问进行限定的一种方 是存确定主体身份以及( 或) 他们所属组的基础e 对访问进行限定的一种方 西南交通大学硕士研究生学位论文第7 页 法，称其为自主型的是因为在d a c 系统中，一个拥有一定访问权限的主体 可以直接或间接把权限传给其他主体。其基本思想是：允许某个主体显式地 指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类 型【2 】。l i n u x ，u n i x ，w i n d o w s n t 或是s e r v e r 版本的操作系统都提供自 主访问控制的功能。 任意访问控制对用户提供的这种灵活的数据访问方式，使得d a c 广泛 应用在商业和工业环境中；由于用户可以任意传递权限，那么，没有访问文 件f i l e l 权限的用户a 就能够从有访问权限的用户b 那里得到访问权限，因 此，d a c 模型提供的安全防护还是相对比较低的，不能给系统提供充分的数 据保护。 2 1 2 强制访问控制模型 强制访问控制( m a n d a l o 叮a c c e s sc o n t r 0 1 ) f 9 j 是一种不允许主体干涉的访 问控制类型，它是基于安全标识和信息分级等信息敏感性的访问控制，通过 无法回避的存取控制来防止各种直接和间接的攻击。 强制访问控制的核心思想是在系统中设置多个安全等级，同时支持强制 访问控制。主体和客体都被赋予安全级别，安全级别包含两个元素：密级和 范围。主体的安全级别反映主体的可信度；客体的安全级别反映客体所含信 息的敏感度。 强制访问控制模型中的典型代表是b e l l l a p a d u l a 模型【1 8 1 。b e l l - l a p a d u l a 模型是发展最早的模型之一，同时也是迄今最受欢迎的模型之一。 b l p 模型的安全策略包括强制访问控制和自主访问控制两部分：强制访 问控制中的安全特性要求对给定安全级别的主体，仅被允许对同一安全级别 和较低安全级别上的客体进行“读”；对给定安全级别上的主体，仅被允许向 相同安全级别或较高安全级别上的客体进行“写”；任意访问控制允许用户自 行定义是否让个人或组织存取数据。b e l l l ap a d u l a 模型用偏序关系可以表示 为：( 1 ) r d ，当且仅当s c ( s ) = s c f o ) ，允许读操作；( 2 ) w i i ，当且仪当s o ( s ) = s c ( o ) ，允许写操作。b e l l l ap a d u l a 模型可以有效防止低级用户和进程访闯 西南交通大学硕士研究生学位论文第8 页 安全级别比他们高的信息资源。此外，安全级别高的用户和进程也不能向比 他安全级别低的用户和进程写入数据。 b l p 模型只解决了信息的保密问题，其在完整性定义存在方面有一定缺 陷：没有采取有效的措施来制约对信息的非授权修改，因此使非法、越权篡 改成为可能。 m a c 访问控制模型的优点是管理集中，根据事先定义好的安全级别实 现严格的权限管理，因此适宜于对安全性要求较高的应用环境。但这种强制 访问控制太严格，实现工作量太大，管理不便，不适用于主体或客体经常更 新的应用环境 2 1 。 2 1 3 基于角色的访问控制模型 二十世纪九十年代以来，随着对在线的多用户、多系统的研究不断深入， 角色的概念逐渐形成，并逐步产生了以角色为中心的访问控制模型。美国国 家标准化技术委员会n i s t 于9 0 年代初提出了基于角色的访问控制方法，实 现了用户与访问权限的逻辑分离，构造了角色之间的层次关系。 基于角色的访问控制机制( r o l e b a s e da c c e s sc o n t r 0 1 ) 1 1 1 j 的基本特征 是：依据r b a c 策略，系统定义各种角色，每种角色可以完成一定的职能，不 同的用户根据其职能和责任被赋予不同的角色，一旦某个用户成为某角色的 成员，则此用户可以完成该角色的职能。目前，基于角色的访问控制模型正 逐步被理论界和工业界所接受i ”。 r b a c 从控制主体的角度出发，根据管理中相对稳定的职权和责任来划 分角色，将访问权限与角色相联系，这点与传统的m a c 和d a c 将权限直接 授予用户的方式不同：通过给用户分配合适的角色，让用户与访问权限相联 系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。相比较而言， r b a c 是实施面向企业的安全策略的一种有效的访问控制方式，其具有灵活 性、方便性和安全性的特点，目前在大型数据库系统的权限管理中得到普遍 应用1 。角色山系统管理员定义，角色成员的增减也只能由系统管理员来执 行即只有系统管理员有权定义和分配角色。用户与客体无直接联系，他只 西南交通大学硕士研究生学位论文第9 页 有通过角色才享有该角色所对应的权限，从而访问相应的客体。因此用户不 能自主地将访问权限授给别的用户，这是r b a c 与d a c 的根本区别所在。 r b a c 与m a c 的区别在于：m a c 是基于多级安全需求的，而r b a c 则不 是。 2 2 访问控制的实现 2 2 1 访问控制的实现机制 建立访问控制模型和实现访问控制都是抽象和复杂的行为，实现访问的 控制不仅要保证授权用户使用的权限与其所拥有的权限对应，制止非授权用 户的非授权行为；还要保证敏感信息的交叉感染。为了便于讨论这一问题， 我们以文件的访问控制为例对访问控制的实现做具体说明。通常用户访问信 息资源( 文件或是数据库) ，可能的行为有读、写和管理。为方便起见，我们 用r e a d 或是r 表示读操作，w r i t e 或是w 表示写操作，o w n 或是。表示管理 操作。我们之所以将管理操作从读写中分离出来，是因为管理员也许会对控 制规则本身或是文件的属性等做修改，也就是修改我们在下面提到的访问控 制表。 2 2 2 访问控制矩阵 访问控制矩阵( a c m ：a c c e s sc o n t r o lm a t r i x ) 是通过矩阵形式表示访问 控制规则和授权用户权限的方法；也就是说，对每个主体而言，都拥有对哪 些客体的哪些访问权限；而对客体而言，又有哪些主体对他可以实施访问； 将这种关连关系加以阐述，就形成了控制矩阵。如表2 1 所示。 西南交通大学硕士研究生学位论文第1 0 页 表2 - 1 访问控制矩阵 文件l文件2 文件3 文件4 域a r w r 一一一一o 域br w 0 r 一一 域cr 一一 r w r 一一 域d r 一一r w o一o 域e 一一0r w r w o 访问控制矩阵的实现很易于理解，但是查找和实现起来有一定的难度， 而且，如果用户和文件系统要管理的文件很多，那么控制矩阵将会成几何级 数增长，这样对于增长的矩阵而言，会有大量的空余空间。 2 2 3 访问控制表 对象l ：( 域a ，r w - ) ，( 域b ，r w o ) ，( 域d ，r 一) ，( 域e ，一o ) ； 对象2 ：( 域a ，r - - ) ，( 域c ，r - - ) ，( 域d ，r w o ) ： 每个对象在列表中列出了访问该对象的全部域及怎样访问。如果为空的 话则可以不显示。对象可以是文件也可以是文件组或目录。这样的表称为访 问控制表( a c c e s sc o n t r o ll i s t ) ，也叫a c l 2 1 。 访问控制表机制最适合于有相对少的需要被区分的用户，并且这些用户 中的绝大多数是稳定的情况。如果访问控制表太大或经常改变，维护访问控 制表会成为最主要的问题。1 3 1 2 2 4 访问控制能力列表 访问控制能力列表也称c 一表，和访问控制表相反，它是按用户或域来划 分权限的，也就是说访问控制能力列表标明了某用户或域对所有的对象有怎 样的操作权限。如下： 域a ：( 对象l ，r w 一) ，( 对象2 ，r w o ) ，( 对象3 ，r - - ) ，( 对象5 ，一。) ； 域b ：( 对象1 ，f ) ，( 对象3 ，f 一) ，( 对象4 ，t w o ) ： 西南交通大学硕士研究生学位论文第1 1 页 访问控制能力列表很容易获得一个主体所被授权可以访问的客体及其 权限【翔。但访问控制能力列表对于权限的存储是分散的，这导致很难撤消对 某对象的访问权限，系统很难找出全部权限并收回。一种解决方法是让权限 指向一个间接对象，而不是指向对象本身。1 2 】【3 】 2 2 5 访问控制安全标签列表 安全标签是限制和附属在主体或客体上的一组安全属性信息1 3 。安全标 签的含义比能力更为广泛和严格，因为它实际上还建立了一个严格的安全等 级集合。访问控制标签列表( a c s l l s ：a c c e s sc o n t r o ls e c u r i t yl a b e l sl i s t s ) 是限定一个用户对一个客体目标访问的安全属性集合1 3 1 。访问控制标签列表 如表2 2 所示，左侧为用户对应的安全级别，右侧为文件系统对应的安全级 别。假设请求访问的用户u s e r a 的安全级别为s ，那么u s e r a 请求访问文件 h l e 2 时，由于s c ，所以允许访问。 表2 - 2 访问控制标签列表 用户安全级别文件安全级别 u s e r asf i l e l s u s e r bcf i l e l倦 u s e r x鸭f i i e nc 安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执 行安全策略，因此，强制访问控制经常会用到这种实现机制。 2 3 访问控制与授权 授权是资源的所有者或者控制者准许他人访问这种资源 3 1 ，这是实现访 问控制的前提。对于简单的个体和不太复杂的群体，我们可以考虑基于个人 和组的授权，即便是这种实现，管理起来也有可能是困难的。当我们面临的 对象是一个大型跨国集团时，如何通过正常的授权以便保证合法的用户使用 公司公布的资源，而不合法的用户不能得到访问控制的权限，这是一个复杂 的问题。 西南交通大学硕士研究生学位论文第1 2 页 授权是指客体授予主体一定的权力，通过这种权力，主体可以对客体执 行某种行为，例如登陆、查看文件、修改数据、管理帐户等。因此，访问控 制与授权密不可分。授权表示的是一种信任关系吼 到此为止，本文从理论的角度，分析比较各种访问控制方法，包括d a c ， m a c 以及r b a c 。阐述了它们用于权限系统的优势和不足，指明了r b a c 是目前 公认的解决大型企业的统一资源访问控制的有效方法。下面我们将详细介绍 r b a c 的概念和模型。 2 4 基于角色的访问控制的提出和发展 在8 0 年到9 0 年代初这段时期，访问控制领域的研究者逐渐认识到将 r o l e 作为一个管理p r i v i l e g e 的实体单独抽象出来的好处，这时r o l e 被认 为是组织中的一个职位或位置，是分离于u s e r 之外的，并通过将r o l e 指派 给u s e r 使之获得某些权限。 1 9 9 1 年r a v i s a n d h u 提出了基于角色访问控制的概念模型，对基于角 色访问控制模型的发展做出了重大贡献。1 9 9 2 年，在第十五届美国国家计算 机安全会议( n a t i o n a lc o m p u t e rs e c u r i t yc o n f e r e n c e ) 中，f e r r a i o l o 博士 和k u h n 博士( 国家标准化和技术学会) 正式提出了“基于角色的访问控制”的 模型：在r b a c 中，在用户( u s e r ) 和访问权限( p e r m i s s i o n ) 之间引入角色( r o l e ) 的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可 权相联系，角色可以根据实际的工作需要生成或取消。由于r b a c 在管理大型 网络应用安全时所表现出的灵活性和经济型迅速成为最具影响的高级访问控 制模型。 2 0 0 2 年3 月，m i c h a e l 等三位研究人员向美国国家标准化技术委员会 g r e g o r yt a s s e y 提供了一份名为“基于角色的访问控制的经济影响”的报告 1 2 ”。报告中定量分析了r b a c 所带来的益处以及n i s t 在r b a c 的发展和普遍 应用中起到的影响作用。随后，在r b a c 社区的不断努力下，r b a c 在2 0 0 4 年 3 月被美国国家标准委员会( a n s i ) 和i t 国际标准委员会( i n c i t s ) 接纳为a n s i i n c i t s3 5 9 2 0 0 4 标准。 西南交通大学硕士研究生学位论文第1 3 页 2 5r b a c 标准 r b a c 标准包括两个主要部分：r d a c 参考模型和r b a c 功能描述。r b a o 参 考模型定义了r b a c 的基本语义和基本元素集合，并通过集合论给出了一套 r b a c 的数学模型。r b a c 参考模型如图2 1 所示。r b a c 功能描述定义了r b a c 系统必须的特性，包括a d m i n i s t r a t i v eo p e r a t i o n s ，a d m i n i s t r a t i v e r e v i e w s ，s y s t e ml e v e lf u n c t i o n a l i t y 【2 6 l 。 2 。5 1r b a c 的模型 从前面的说明我们了解到，为了将人和权限解耦，r b a c 模型引入了r o l e 的概念，整个r b a c 参考模型都是围绕r o l e 来建立的。 根据对不同复杂度权限的需求，r b a c 参考模型定义了三部分组件 分别是： c o r ec o m p o n e n t s ： 一c o r er b a c c o n s t r a i n i n gc o m p o n e n t s ： - h i e r a r c h i c a lr b a c ：层次r b a c - g e n e r a l - - l i m i t e d s e p a r a t i o no fd u t yr e l a t i o n s ：职责隔离 一s t a t i cs e p a r a t i o no fd u t y ( s s d ) 一d y n a m i cs e p a r a t i o no fd u t y ( d s d ) 职责关系隔离也叫做c o n s t r a i n e dc o m p o n e n t s 西南交通大学硕士研究生学位论文第1 4 页 一，( r h ) r o 【eh i r g r c h y 2 5 1 1 核心r b a c 图2 - 1r b a c 参考模型图 c o r er b a c 定义了r b a c 模型最基本的五个元素：u s e r ，r o l e , o p e y a t i o n s o b j e c t sp r