（计算机软件与理论专业论文）rbac在考试系统中的应用研究.pdf

摘要 摘要 随着网络的迅速普及和网络应用日益深入社会生活各个层面，网络应用的安全性问 题成为制约其发展的主要因素之一。在管理大量的网络系统时，安全管理的复杂性是个 很具挑战性的问题。通常，管理员要为系统上的每个用户详细指定访问控制列表，因此， 安全管理的费用很高，也容易出错。访问控制是安全服务体系结构的重要组成部分，并 且和身份认证，加密等其他要素紧密结合。访问控制就是对资源和服务使用的限制，决定 主体是否对客体有权限进行某种操作。基于角色的访问控制( r b a c ) 是一种新兴的访问控 制技术和理念，是将用户划分成与其职能和职位相符合的角色，根据角色赋予相应操作 权限，以减少授权管理的复杂性，降低管理开销和为管理员提供一个比较好的实现复杂 安全政策的环境，是传统的自主访问控制和强制访问控制的升级和替代。基于角色的访 问控制( r b a c ) 技术，由于其能够降低大规模网络应用的复杂性和安全管理的费用，所以， 引起了大家的重视，特别是商业应用方面。基于角色的访问控制( r b a c ) 作为一种新型的 访问控制技术成为近年来访问控制领域研究的热点。它可以实现更加高效、更加灵活的 访问控制。但目前主要工作均立足于与时间特性无关的其他方面。 本文在比较分析访河控制三种主流技术：自主访问控制、强制访问控制、基于角色 的访问控制的基础上，着重研究了基于角色访问控制的几种主要模型，并在此基础上引 入了分组、时间的概念，扩充了基于角色访问控制模型，称之为g t r b a c 模型( t i m ea n d g r o u pr o l e - b a s e dc o n t r o lm o d e l ) 。在该模型中对原有授权约束进行了分组、时间的 扩充。引入组的目的是为了授权的清晰和简化，引入时间的目的是使系统更加安全有效。 充分体现了g t r b a c 模型更能满足信息安全管理的需求，使扩展的g t r b a c 模型更能适应 考试系统的需求。最后以池州师范专科学校考试系统为例，具体阐述了该系统基于 角色的安全访问控制方案的实现，论证了设计方案在考试系统中的可行性。 关键词：访问控制；角色；r b a c ；g t r b a c ；考试系统 a b s t r a c t a b s t r a c t w i t ht h er a p i dp o p u l a r i z a t i o no f n e t w o r ka n di t sa p p l i c a t i o nt oe v e r ya s p e c to f s o c i a ll i f e ， t h es e c u r i t yo fn e t w o r ka p p l i c a t i o nh a sb e c o m eo n eo ft h em a i nf a c t o r st h a t r e s t r i c ti t s d e v e l o p m e n t s e c u r i t ym a n a g e m e n ti sv e r yc h a l l e n g i n g f o ri t s c o m p l e x i t y i nt h e a d m i n i s t r a t i o no f m a n yn e t w o r ks y s t e m s u s u a l l y , t h ea d m i n i s t r a t o rh a st oa s s i g nt h ea c c e s s c o n t r o lt a b u l a t i o ni nd e t a i lf o re v e r yb s c ro ft h es y s t e m , w h i c hc a l l $ e sh i g he x p e n s ea n di s e a s yt om a k em i s t a k e s t h ea c c e s sc o n t r o li sa ni m p o r t a n tc o m p o n e n to fs e c u r i t ys e r v i c e s y s t e m , c l o s e l yc o m b i n i n gw i t hs t a t u sa u t h e n t i c a t i o n ，e n c o d i n g , e t c a c c e s sc o n t r o l - c o n f m e s t h eu s eo f r e s o u r c e sa n ds e r v i c e , d e t e r m i n e st h er i g h to f t h es u b j e c tt oc r i t yo ns o m ek i n do f o p e r a t i o no nt h eo b j e c t r b a c ( r o l e - b a s e da c c e s sc o n t r 0 1 ) i san e wa c c e s sc o n t r o lt c c l m o l o g y a n di d e a i td i v i d e st h eu s 铘i n t or o l e si na c c o r d a n c ew i t ht h e i rf u n c t i o n sa n dp o s i t i o n s i t e n t r u s t se a c hr o l ew i t ht h ec o r r e s p o n d i n go p e r a t i o n , w h i c hr e d u c e st h ec o m p l e x i t yo f a u t h o r i z e dm a n a g e m e n t ，s p e e d sl e s sa n d p r o v i d e st h e 锄i m i n i s t r a t o rw i t hah 眦e fe n v i r o n m e n t f o rr e a l i z i n g s e c u r i t yp o l i c y r b a ci s t h ep r o m o t i o na n ds u b s t i t u t i o no ft h et r a d i t i o n a l d i s c r e t i o n a r ya c c e s sc o n t r o la n dm a n d a t o r ya c c e s sc o n t r 0 1 d u et oi t sl o wc o s ti ns e c u r i t y m a n a g e m e n ta n da b i l i t yt or e d u c ec o m p l e x i t yo fm a s sn e t w o r ka p p l i c a t i o n , r b a ca t t r a c t s m u c ha t t e n t i o n 郴i a l l yf r o mt h ec o m m e r c i a la p p l i c a t i o n r b a c ，a san e wa c c e s sc o n t r o l t e c h n o l o g y , h a sb e e nt h eh o ts p o ti nt h ea c , c e s $ c o n t r o lr e s e a r c ht h e s ey e a r s t h o u g hi tm a y r e a l i z em o r e ：e f f e c t i v e , m o r ef l e x i b l ea c c e 潞c o n t r 0 1 t h ep r e s e n tp r i m et a s kb a s e so nt h e a s p e c t s ，w h i c hh a v en o t h i n gt od ow i t ht i m er e s p o n s e f i r s t , t h et h e s i sc o m p a r e sa n da n a l y z e st h ea d v a n t a g e sa n dd i s a d v a n t a g e so ft h et h r e e m a i nt e c h n o l o g i e so fa c c e s sc o n t r o l ：t h ed i s c r e t i o n a r ya c c e s sc o n t r o l ，t h em a n d a t o r ya c e , c s s c o n t r o l , a n dt h er o l e - b a s e da c c , 懿sc o n t r 0 1 t h e nt h et h e s i ss p e c i a l i z e si nt h es e v e r a lm a i n m o d e l so fr o l e - b a s e da c c e s sc o n t r o l ，a n di n t r o d u c e st h ec o n c e p t so fg r o u pa n dt i m e t h e e n l a r g e dr o l e b a s e da c c e s sc o n t r o li sc a l l e dg t r b a c ( g r o u pa n dt i m et a l c - b a s e dc o n t r o l m o d e l ) t om a k et h ea u t h o r i z a t i o nc l e a ra n dc o n c i s e , w ei n t r o d u c et h ec o n c e p to fg r o u p w h i l et om a k et h es y s t e mm o r es a f e l ya n de f f e c t i v e l y , w ei n t r o d u c et h ec o n c e p to ft i m e g t r b a cm e e t st h en e e d so f i n f o r m a t i o ns e c u r i t ya n ds a t i s f i e st h ee x a m i n a t i o n s y s t e m s a b s t r a c t t oe x p l a i nh o wt or e a l i z et h i ss y s t e mb a s e do nr b a c ，w ei m p l e m e n tt h eg i v e nm o d e li n c h i z h o ut e a c h e r sc o l l e g ee x a m i n a t i o ns y s t e m t h er e s u l ts h o w st h a tt h eg i v e nm o d e li s f c a s i b l e k e y w o r d s ：a c c e s sc o n t r o lr o l e ；r b a c ；g t r b a c ；e x a m i n a t i o ns y s t e m i l l 西北大学学位论文知识产权声明书 本人完全了解学校有关保护知识产权的规定，即：研究生在校攻读学 位期间论文工作的知识产权单位属于西北大学。学校有权保留并向国家有 关部门或机构送交论文的复印件和电子版。本人允许论文被查阅和借阅。 学校可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以 采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同时，本人保 证，毕业后结合学位论文研究课题再撰写的文章一律注明作者单位为西北 大学。 保密论文待解密后 学位论文作者签名指导教师签名： 加7 年1 月 th年月日 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外， 本论文不包含其他人已经发表或撰写过的研究成果，也不包含为获得西 北大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的 同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文作者签名： 年月 日 遨 第一章综述 第一章综述 1 1 信息安全概述 现代信息系统的飞速发展是以计算机以及计算机网络系统的飞速发展为标志的。信 息是人类最宝贵的资源，信息也在人类社会各种活动中起着越来越重要的作用。然而信 息系统越是重要，越容易受到攻击，如窃取、冒充、伪造、篡改等等。因此，信息系统 的安全保密成为迫切需要解决的问题。 所谓信息系统安全，是指为信息处理系统建立和采取的技术和管理的安全保护措 施，保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因而使系统或信 息遭到破坏、更改或泄露“1 。 信息系统安全性问题被区分为三大类：技术安全类、管理安全类和政策法律类。技 术安全是指计算机系统本身实现中采用具有一定的安全性质的硬件、软件来实现对于数 据及其所包含的数据或信息的安全保护，能够在整个系统中，在一定程度甚至完全可以 保证系统在无意或恶意的软件或硬件攻击下仍能使得系统内的数据或信息不增加、丢 失、泄露“。 信息系统的安全保密研究的对象是系统，而不仅是系统中某个或某些分离的元素， 系统内所有元素都是作为有机的整体进行研究的内容。从技术角度看，信息系统安全问 题的研究内容至少包括通信安全、计算机安全、操作安全、人事安全、工业安全等内容 b 1 。从软件的角度看，对于信息系统安全应考虑以下几个方面的内容：操作系统安全、 数据库管理系统安全、网络安全以及应用系统安全。这四个方面的内容是相辅相成、缺 一不可的。 1 1 1 安全的基本目标 目前计算机系统安全性能还无法从定量的角度来评价。一方面是新的应用带来了新 的安全需求，另一方面是安全研究工作的相对滞后，导致了安全领域的许多研究工作始 终没有定义。从定性的角度看，信息的安全最基本的要保证以下几点嘲。 安全保密性( c o n f i d e n t i 8 1 i t y ) ：安全保密性是指防止非授权访问。这也是信息安 全最小要的要求。 完整性( i n t e g r i t y ) ：完整性是指信息在存储或传输过程中保持不被修改、不被破 第一章综述 坏和不丢失。保证信息的完整性是信息安全的基本要求。 可靠性( r e i a b i l i t y ) ：可靠性是指对信息完整性的信赖度，也是对信息安全系统 的信赖度。 可用性( a v a i l a b i l i t y ) ：可用性是指当需要时能否存取到所需信息。对可用性的 攻击是阻断信息的存取，例如在网络环境中网络和有关系系统的正常运行就属于这种类 型的攻击。 不可否认性( 抗否性n o n - r e p u d i a t i o n ) ：不可否认性是指发送者不能否认其发送 的信息。 1 1 2 安全的基本技术方法 计算机系统安全的研究从2 0 世纪6 0 年代开始，形成许多固定的术语和概念，同 时也开发出来了大量卓有成效的技术方法嘲包括： 标识和鉴别( i d e n t i f i c a t i o na n da u t h e n t i c a t i o n ) ：为了使系统能够判别是否允 许某个用户存取文件，系统需要有一个识别每个用户的方法，唯一的标识符( i o ) 是公开 的，但是不能随意被别人修改。一般伴随每个i d 都有一个口令，口令是可以修改的。 鉴别是指可靠地验证某个通信参与方是否与它所声称的身份一致的过程，一般通过身份 认证协议来实现。用标识和鉴别来识别授权用户是安全控制机制中最重要的一个环节， 也是安全防线的第一个环节。近年来，标识和鉴别技术有了许多新的发展，例如指纹， i c 卡技术等。 访问控制( a c c e s sc o n t r 0 1 ) ：在计算机系统中，安全机制的主要目的就是访问控 制。访问控制机制是在身份识别基础上，根据身份对提出资源访问的请示加以控制。通 常把提出访问请示的对象称为主体，一般指的是用户或进程；而被访问的资源称为客体， 一般指文件等数据资源。访问控制机制要确实保证只授权给有资格的用户以访闯系统中 资源的权限；同时要保证所有未正常授权的人员无法接近资源，即防止非授权的访问。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) ：访问控制在经典的以及现代的安 全理论中都是实行系统安全政策的最重要的手段，但是它不能保证任何一个系统中不存 在安全漏洞，也没有一种可行的方法可以彻底的解决合法用户在通过身份识别后滥用特 权的问题。因此，入侵检测系统成为保护系统安全的一个必要的补充手段。入侵检测系 统( i o s ) 是网络的防盗警报。通常将防盗警报设计成可检测任何进入保护区的企图。 入侵检测系统能区分进入保护网络的授权用户和恶意入侵。 2 第一章综述 还有其它的一些安全技术，包括对象重用技术( o b j e c tr e u s ep r o t e c t i o n ) 、认证 技术、密码学技术( c r y p t o g r a p h y ) 、可信通道( t r u t hp a t h ) 等技术。 一个完整的安全信息系统要综合地使用身份鉴别、访问控制、数据加密、安全审计、 安全管理等安全技术“1 。在现实环境中，没有任何一项技术能够单独地解决安全问题。 在这些安全技术中，访问控制起着极其重要的作用，它是安全策略在系统运行中的集中 表现。作为国际化标准组织定义的五项标准安全服务之一，访问控制技术是实现信息系 统安全的一项重要机制，它也是本文要研究的重点问题。 1 2 访问控制的重要作用 访问控制技术是信息安全的一类重要技术。访问控制的作用就是对需要访问的主体 ( 用户、进程等) 进行身份验证，并限制访问主体对访问客体( 文件、系统等) 的访问权限， 从而使计算机系统在合法范围内使用。访问控制不仅是拒绝非法用户访问，更主要的是 限制合法用户对资源的访问。美国国家安全局发布的i a t f ( i n f o r m a t i o na s s u r a n c e t e c h n i c a lf r a m e w o r k ，信息保障技术框架) 文档中根据信息安全需求划分了五种主要的 安全服务：访问控制、保密性、完整性、可用行和不可否认性。 访问控制可以最大限度的阻止这种来自内部的破坏。它可以通过授权系统的控制， 使用户仅获得能够访问资源的最小权限，保证无法越权访问。通过访问控制，就可以对 他们的访问权限进行严格的限制，降低他们的破坏力。目前，访问控制的重要性己经越 来越为人们所认识，但是它并不能与其他的安全服务相分离或独立。这些安全服务是相 互依赖的。在实现上，通常是一种安全机制支持多种安全服务。这样的安全机制通常需 要多种安全技术联合构建。比如，密码、认证与识别、授权与访问控制、审计、网间隔 离与访问代理、反病毒等。只有综合运用各种安全技术，合理搭配，才能构建支持多种 安全服务、强有力的安全机制。 1 3r b a c 技术发展与应用状况 r b a c ( 基于角色的访问控制) 技术是一种新兴的访问控制技术。它的基本思想是用户 被分配给角色，权限也被分配给角色，用户通过对应的角色获取权限。它的技术优势在 于它可以提供传统的d a c ( 自主访问控制) 也可以提供m a c ( 强制访问控制) 。这种技术不 仅降低了网络管理的成本，同时更提高网络安全。 第一章综述 1 3 1r b a c 技术的发展与现状 访问控制技术产生于2 0 世纪6 0 年代，其描述性定义是：访问控制是实现既定安全 政策”1 的系统安全技术，它管理所有的资源访问请求，即根据安全政策的要求，对每一 个资源访问请求做出是否许可的判断，能有效的防止非法用户访问系统资源和合法用户 非法使用资源。 国外在六十年代就开始了计算机系统安全的研究，到了八十年代将计算机安全系统 地分成了安全操作系统、网络安全系统、安全数据库系统的研究。而访问控制的研究在 这三个领域都是重点。 访问控制的基本措施或是方法可以归纳为信息流向控制、推理控制、存取控制三大 类。其中应用最为广泛的是存取控制措施。这三种控制措施都可以借助密码学的方法来 加以强化。存取控制主要分为自主型访问控制( d a c ) 、强制型访问控制( m a c ) 和基于角色 的访问控制( r b a c ) 。 传统的访问控制是自主访问控制( d a c ) 和强制访问控制( m a c ) ，它们都已经得到了美 国国防部制订的橘皮书一可信计算机评估准则的认证。但是，近几年来，人们普遍感到 d a c 和m a c 无法较好的满足大量存在的商业和政府部门系统的安全需求。因此，基于角 色的访问控制( r b a c ) 便成为人们研究访问控制方法的重点。 目前对r b a c 已有较广泛的研究，其中较为深入的是美国g e o r g em a s o n 大学的 r b a c 9 6 和a r b a c 9 7 模型，另外还有美国国家标准与技术局( n i s t ) 研究小组的r b a c 模型， 以及s o l 3r b a c 模型等。并且市场上也有很多i i b a c 产品。 1 3 2r b a c 在安全访问控制系统中的应用概况 r b a c 受到了越来越多的重视，已经成为高级存取控制的主流模型，关键原因在于 r b a c 降低了大型网络应用中的安全管理的复杂性和代价。大多数信息技术经销商已经 将r b a c 引入他们的生产线。除了主流的商业系统外，r b a c 在企业部门、政府机构、医 疗、银行、军事等领域都有了广泛的应用并取得了巨大的经济效益。r t i ( r e s e a r c h t r i a n g l ei n s t i t u t e ) 根据调查研究指出，在2 0 0 6 年，受到r r a c 系统管理的员工，在 服务部门将会占3 0 5 到5 0 5 的比例，非服务部门占1 0 5 到2 5 5 ；2 0 0 6 年r b a c 技术的市场 渗入程度将会为美国经济带来将近6 7 1 亿美元的纯现价值经济利润。这些数字表明，r b a c 技术具有广泛的发展前景，我们有必要对r b a c 技术投以极大的关注，对它进行不断的 研究和分析，使它更好的应用于各个领域。 4 第一章综述 1 4 研究工作 各种各样的领域在实旌存取控制时，都要求能够捕捉各种各样的情景信息：系统环 境信息如时间、地点、系统状态或是用户自身提供的信息如年龄，职位级别或者是资源 本身的信息等等。在访问过程中，系统应能够根据这些情景信息、职位级别或者是资源 本身的信息等等做出合适的授权决定。但是基本的r b a c 存取控制模型不具有感知情景 的能力，尤其对于一些依赖时问、地点等的存取控制策略，r b a c 模型中更是无法描述出 来。所以扩充r b a c 模型以适合应用需求十分必要。所以本课题除了对传统的r b a c 模型 进行分组、时间的扩充，更重要的是基于扩充后的模型使之应用在考试系统中，并对其 进行详细分析和设计。具体研究工作如下： 1 ) 通过引入具有分组和时限的连续时间约束对基本的r b a c 模型进行扩充，建立具 有分组和时限的连续时间的存取控制模型g t r b a c ( g r o u pa n dt i m er b a c ) 。组是指将用 户划分为组，组与权限相关联，再将用户与组相关联。同时用户得到用户组获得的权限。 时限的连续时间约束的具体含义是授权用户在转授权操作中，仅仅赋予被授权用户在时 间周期的一定时间段中具有一定的权限，即被授权用户仅仅在时间段中可以行使被转授 角色所具有的权限，一旦当前时间超出时间段范围，则系统自动撤销被授权用户的被转 授角色，而且行使被转授角色所具有的权限最大时闻长度有一定的限制。 2 ) 在1 ) 的基础上使扩展的r b a c 模型应用到池州师范专科学校考试系统中。 我们希望通过对本课题的研究，能够在跟踪和了解国外技术水平和发展的基础上有 所创新和突破，最终实现一个具有分组和时限的连续时间约束的基于角色的存取控制模 型，能够将r b a c 模型应用在更为广泛的领域内，从而为政府和企业的安全防护产生更 大的经济和技术效益。 1 5 所做的工作和论文结构 1 5 1 所做的工作 本人所做的工作可以总结如下： ( 1 ) 研究了三种访问控制模型d a c ，m a c 和r b a c ，尤其是基于角色的访问控制模型 ( r b a c ) 。重点讨论了r b a c 9 6 模型和a b b a c 9 7 模型。 ( 2 ) 提出了g t r b a c 的模型，其中g 表示组( g r o u p ) ，该模型明确划分机构管理与权 限管理的概念，机构管理由组来完成，权限管理由角色来完成，t 表示时间( t i m e ) 该模 第一章综述 型将时间概念结合到r b a c 之中，以适应考试系统中的访问控制需求。 ( 3 ) 将g t r b a c 的模型和考试系统的具体应用集合起来，池州师范专科学校考试系统 中引入分组和时间概念是非常必要的：引入组的目的是为了授权的清晰和简化，引入时 问的目的是使系统更加安全有效。 ( 4 ) g t r b a c 的相关问题进行了进一步研究和探讨 1 5 2 论文的组织结构 论文的主要内容安排如下： 第一章对信息安全和r b a c 技术发展应用作了介绍；并概述本文所做的研究工作； 第二章介绍了三种主要的访问控制技术：自主访问控制( d a c ) ，强制访问控制( m a c ) 和基于角色访问控制( r b a c ) 。 第三章详细介绍了基于角色访问控制的经典模型：r b a c 9 6 模型和a r b a c 9 7 模型。 第四章以前面的理论为基础，详细地介绍了引入分组和时间的g t r b a c 模型。组是 指将用户划分为组，组与权限相关联，再将用户与组相关联，同时用户得到用户组获得 的权限。时限的连续时间约束的具体含义是授权用户在转授权操作中，仅仅赋予被授权 用户在时间周期的一定时间段中具有一定的权限，即被授权用户仅仅在时间段中可以行 使被转授角色所具有的权限，一旦当前时间超出时间段范围，则系统自动撤销被授权用 户的被转授角色，而且行使被转授角色所具有的权限最大时间长度有一定的限制。 第五章详细介绍了g t r b a c 基于角色访问控制方案在考试系统网站中的具体实现， 我们也介绍了系统相关功能模块( 对象定义组件、角色定义组件、权限定义组件、用户 和用户组定义组件、权限配置组件、用户委派组件、转授权组件) 和关键技术模块的实 现。 第六章是对所做工作的总结和对下一步工作的展望。 6 第二章访问控制简介 第二章访问控制简介 2 1 访问控制策略概述 在信息安全的研究中，主体( s u b j e c t ) 和客体( o b j e c t ) 是两个重要概念，保护客体 的安全、限制主体的访问权限构成了访问控制的主题。这两个概念的提出使信息安全中 最重要的研究内容之一的访问控制的研究问题得以抽象化，抽象化的结果是可以模型 化，这就便信息安全的研究前进了一大步。 2 2 主要访问控制策略简介 访问控制是一项重要的信息安全技术。它决定了用户对系统资源可进行何种类型的 访问，从而防止了合法用户对系统资源的非法使用。传统的访问控制是自主访问控制 ( d a c ) 和强制访问控制( m a c ) ，它们都己经得到了美国国防部制订的橘皮书一可信计算机 评估准则的认证。但是，近年来，人们普遍感到d a c 和m a c 无法较好的满足大量存在的 商业和政府部门系统的安全需求。因此，基于角色的访问控制( r b a c ) 便作为传统访问控 制的替代和补充而被重新提了出来。 虽然r b a c 出现于上世纪七十年代，但是一直以来，人们对它都缺乏研究和认识。 近十年来，随着r b a c 在商业和政府部门系统安全领域的优势不断被认识，人们又掀起 了研究r b a c 的热潮瞳删 2 2 1 自主访问控制 自主访问控制模型( d a cm o d e l ，d i s c r e t i o n a r ya c c e s sc o n t r o lm o d e l ) 是根据自 主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的 客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访 问权限授予其它用户。自主访问控制又称为任意访问控制。在实现上，首先要对用户的 身份进行鉴别，然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客 体的资源。主体控制权限的修改通常由特权用户或是特权用户( 管理员) 组实现。 任意访问控制对用户提供的这种灵活的数据访问方式，使得d a c 广泛应用在商业和 工业环境中；由于用户可以任意传递权限，那么，没有访问文件f i l e l 权限的用户a 就 能够从有访问权限的用户b 那里得到访问权限或是直接获得文件f i l e l ；因此，d a c 模 型提供的安全防护还是相对比较低的，不能给系统提供充分的数据保护。 7 第二章访问控制简介 自主访问控制模型的特点是授权的实施主体( 1 、可以授权的主体；2 、管理授权的 客体；3 、授权组) 自主负责赋予和回收其他主体对客体资源的访问权限。d a c 模型一般 采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访 问权限的限制目的。 2 2 2 强制访问控制 强制访问控制模型( m a cm o d e l ：m a n d a t o r ya c c e s sc o n t r o lm o d e l ) 最开始为了实 现比d a c 更为严格的访问控制策略，美国政府和军方开发了各种各样的控制模型，这些 方案或模型都有比较完善的和详尽的定义。随后，逐渐形成强制访问的模型，并得到广 泛的商业关注和应用。在d a c 访问控制中，用户和客体资源都被赋予一定的安全级别， 用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限。和 d a c 模型不同的是，m a c 是一种多级访问控制策略，它的主要特点是系统对访问主体和 受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属 性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决 定访问主体能否访问该受控对象。m a c 对访问主体和受控对象标识两个安全标记：一个 是具有偏序关系的安全等级标记；另一个是非等级分类标记。主体和客体在分属不同的 安全类别时，都属于一个固定的安全类别s c ，s c 就构成一个偏序关系( 比如t s 表示绝 密级，就比密级s 要高) 。当主体s 的安全类别为t s ，而客体0 的安全类别为s 时，用 偏序关系可以表述为s c ( s ) s c ( o ) 。考虑到偏序关系，主体对客体的访问主要有四种方 式： ( 1 ) 向下读( r d ，r e a dd o w n ) ：主体级别大于客体级别的读操作； ( 2 ) 向上读( r u ，r e a du p ) ：主体级别低于客体级别的写操作； ( 3 ) 向下写( w d ，w r i t ed o w n ) ：主体级别大于客体级别的写操作： ( 4 ) 向上写( w u ，w r i t eu p ) ：主体级别低于客体级别的读操作。 由于m a c 通过分级的安全标签实现了信息的单向流通，因此它一直被军方采用，其 中最著名的是b e l l - l a p a d u l a 模型和b i b a 模型：b e l l l a p a d u l a 模型具有只允许向下读、 向上写的特点，可以有效地防止机密信息向下级泄露；b i b a 模型则具有不允许向下读、 向上写的特点，可以有效地保护数据的完整性。 2 2 3 基于角色的访问控制 r b a c 概述 8 第- 二章访问控制简介 基于角色的访问控制模型( r b a cm o d e l ，r o l e b a s e da c c e s sm o d e l ) ：r b a c 模型的 基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有 的访问许可权。这是因为在很多实际应用中，用户并不是可以访问的客体信息资源的所 有者( 这些信息属于企业或公司) ，这样的话，访问控制应该基于员工的职务而不是基于 员工在哪个组或谁是信息的所有者，即访问控制是由各个用户在部门中所担任的角色来 确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。 基于角色的访问控制( r o l e - b a s e da c c e s sc o n t r o l ，r b a c ) “1 是作为d a c 和m a c 的 替代策略在近年逐渐引起关注的。r b a c 从实质上说是一种中立的访问控制策略，即它本 身并不提供一种特定的安全策略，只是通过配置各种参数来实现某种安全策略，具有很 大的灵活性，允许更加广阔的访问策略得以实施。r b a c 可以被配置成传统的m a c 和 d a c ，它们之间的关系可以用图2 - 1 表示： 图2 1 几种访问控制机制的关系 当今对r b a c 的研究重点放在如何在特定应用系统中使用这种访问控制技术。 r b a c 原则 ( 1 ) 角色继承 角色分层是r b a c 的一个重要内容。它是指一个角色可以继承另一些角色，也就是 说，一个角色可直接或间接地继承另一些角色的访问许可。 ( 2 ) 最小权限原则 所谓最小权限原则是指：用户所拥有的权力不能超过他执行工作时所需的权限。实 现最小权限原则，需分清用户的工作内容，确定执行该项工作的最小权限集，然后将用 户限制在这些权限范围之内。尽管最小特权包含当前存在于t c s e c ( t r u s t e dc o m p u t e r s y s t e m e v a l u a t i o nc r i t e r i a ) 的内容当中，但仍限制系统管理员的权限。通过使用r b a c ， 9 第二章访问控制简介 很容易满足一般系统的用户执行最小权限。 ( 3 ) 职责分离 r b a c 机制可被系统管理员用于执行职责分离的策略。职责分离对于反欺诈行为是非 常有效的。它是在真实系统中最重要的想法。 职责分离或者是静态的、或者是动态的。符合静态职责分离要求职能由个人角色的 分配和事务角色的分配决定。最难的是动态职责分配，其中符合动态职责分离的职能在 系统操作期间决定。动态职责分离目的是允许操作更灵活。 ( 4 ) 角色容量 在一个特定的时间段内，有一些角色只能由一定人数的用户占用。例如，“校长” 这一角色虽然可以授权给多个用户，但在实际的业务中，在任何时刻只允许一个人行使 校长的职能。因此，在创建新的角色时，要指定角色的容量。 “ 2 3 访问控制策略比较 自主访问控制是基于对资源的“所有权”进行的，首先在商业应用中，系统的使用 者大多对资源不具备所有权，所有权是属于公司甚至外部机构，从这个层面上说自主访 问控制不适合商业应用。另一方面，自主访问控制允许用户自主决定将权限转让给他人， 在经过多次授权之后，权限可能被无限制的扩散，无法保证系统的安全性，系统管理员 对权限的管理几乎没有任何权力，形同虚设。此外，自主访问控制中对资源的访问是直 接依据权限进行，无法防范木马攻击，木马攻击者可以获得或破坏机密信息。 强制访问控制是基于主客体的安全属性进行的，其两大安全原则可以在一定程度上 防范木马攻击，攻击者只能破坏而不能获取机密信息。系统管理员可以对系统权限进行 有效的管理，但由于主客体之间需要相互逐一进行配置，工作量巨大。此外，强制访问 控制方法缺乏灵活性，很难满足商业应用的需要。 基于角色的访问控制更一般化，可以通过r b a c 实现l o _ c “2 1 和d a c “”，但基于角 色的访问控制本质上是一种非任意授权的控制方法，更接近强制访问控制，即基于角色 的访问控制对权限进行集中控制，用户不能自主授权。因此，虽然d a c 思想和实现更简 单，但r b a c 更易于模拟m a c 。 基于角色的访问控制可以有效地减小授权的工作量。可以按需要定义各种约束条 件，能够很好的支持最小权限原则和职责分离原则，确保系统的安全；它实现了用户与 i o 第一二章访问控制简介 访问权限的逻辑分离，极大的方便了权限管理：1 、给用户分配角色不需要很多技术， 可以由行政管理人员来执行；2 、给角色配置权限的工作比较复杂，需要一定的技术， 可以由专门的技术人员来承担，但是不给他们分配角色的权限，这与现实中的情况正好 一致。此外，在现实中用户是很可能发生变化的，而系统中角色变化的频率会低得多； 如果一个用户的职位发生变化，在r b a c 中只要将用户当前的角色去掉，加入代表新职 务或新任务的角色即可，维护工作简单，而如果是d a c 和m a c ，则需要收回该用户的相 关授权再重新分配另外的权限，维护复杂。 2 4 用户组与角色比较 用户组是指将用户划分为组，用户组与权限相关联，再将用户与用户组相关联，同 时用户得到用户组获得的权限。从很多方面看用户组模式都与用户角色模式很相象， 因此有必要对这两种方式进行比较分析： 理论基础不同：基于角色的访问控制策略是形式化定义的，具有严格的理论基础， 其权限总是与角色相关联；而用户组方法是在实践中形成的一种管理方法，在一般的 实现中，它即可以将用户与权限关联，也可以将用户组与权限关联；因此用户组与角色 并不等价。 目的不同：这是两者最本质的区别，角色的引入是为了管理权限，它本质上就是 权限的分组；而用户组的引入本质上是为了管理用户。举例来说：在任何一种访问控制 策略中，无论是m a c 、d a c 、r b a c ，都需要对用户进行某种形式的授权，且都可能存在权 限相同的用户，对这些用户进行完全相同但又复杂的授权显然是不必要的，因此可以将 这些用户归为一组，并以组为单位进行授权。显然，其实质仍然是用户与权限直接相联。 2 5 小结 本章概括地介绍了访问控制模型和技术，简要介绍了自主访问控制( d a c ) 和强制访 问控制( m a c ) 相关概念、控制方法和基本模型，讨论了这两种访问控制的优缺点。接着， 详细介绍了基于角色访问控制( r b a c ) 技术的思想、标准定义、基本原则。 第三章基于角色的访问控制的研究 第三章基于角色的访问控制的研究 1 9 9 2 年，美国国家标准与技术研究所( n i s t ) 的d a v i df e r r a i o l o 和r i c kk u h n 在 综合了大量的实际研究之后，率先提出基于角色的访问控制模型框架，并给出了r b a c 模型的一种形式化定义9 1 该模型第一次引入了角色的概念并给出其基本语义，指出 r b a c 模型实现了最小权限原则( 1 e a s tp r i v i l e g e ) 和职责分离原则( s e p a r a t i o no f d u t y ) 。该模型中给出了一种集中式管理的r b a c 管理方案。1 9 9 5 年他们以一种更直观的 方式对该模型进行了描述“”。 r a v is a n d h u 和他领导的位于g e o r g em a s o n 大学的信息安全技术实验室( l i s t ) 于 1 9 9 6 年提出了著名的r b a c 9 6 模型“”，将传统的r b a c 模型根据不同需要拆分成四种嵌 套的模型并给出形式化定义，极大的提高了系统灵活性和可用性。1 9 9 7 年他们更进一步 提出了一种分布式r b a c 管理模型a r b a c 9 7 “”，实现了在r b a c 模型基础上的分布式管 理。这两个模型清晰的表征了r b a c 概念并且蕴涵了他人的工作，成为r b a c 的经典模型。 2 0 0 1 年，r b a c 领域的领军人物d a v i df e r r a i o l o ，r a v is a n d h u 等人联合拟定了一 个r b a c 模型的美国国家标准草案，力图统一不同模型中的术语，并对所有髓a c 的基 本操作给出伪码定义。2 0 0 1 年8 月，a c m ( a s s o c i a t i o nf o rc o m p u t i n gm a c h i n e r y ) 版 标准草案完成“”，2 0 0 3 年4 月，n i s t 提交标准草案“”。2 0 0 4 年2 月1 9 日，在这两个 标准的基础上，i n c i t s 正式批准了a n s i n c i t s3 5 9 - 2 0 0 4 s t a n d a r di n f o r m a t l o n t e c h n o l o g y - r o l eb a s e da c c e s sc o n t r o l 。 r b a c 模型的建立及其实现是基于角色访问控制研究中的两大热点。近几年来，对基 于角色访问控制的研究不断深入”。r b a c 模型实际上形象地反映了r b a c 本身的含义， 建立r b a c 模型就是要对l l b a c 进行系统而抽象地描述，从而使人们能够非常方便地理 解r b a c 的含义，以便对其进行更加深入地研究。目前，绝大多数基于角色的访问控制 研究都以r b a c