（计算机应用技术专业论文）rbac技术在管理系统中的研究与应用.pdf

摘要 访问控制技术在企业应用安全中具有重要的意义。然而，传统的访问控制 模型却难以满足复杂的企业环境需求。9 0 年代以来，r b a c ( r o l e b a s e d a c c e s s c o n t r 0 1 ) 模型理论得到了深入的研究并运用于现实系统，它实现了用户与访问 权限的逻辑分离，借助于角色这个主体，用户通过角色访问资源，大大减少了 授权管理的复杂性，而且还能为管理员提供一个比较好的管理环境。但是，当 前企业人员流动大、组织结构复杂，由此导致权限分配不灵活、维护成本高等 弊端，为了解决这些问题必须在系统开发的理论和实践技术上有所改进。因此， 对现有的r b a c 模型进行必要的改进和扩展具有重要的理论和实际意义。 本文所做的主要工作体现在： 1 ) 首先介绍了三种访问控制策略：强制访问控制( m a c ) 、自主访问控制 ( d a c ) 和基于角色的访问控制( i 沿a c ) 等三种访问控制技术，重点介绍和分 析了r b a c 技术的概念和它的优缺点。 2 ) 结合目前企业的管理现状和r b a c 基本模型所存在的不足提出了相应的 解决方案，分别从以下三点对r b a c 基本模型进行扩展：一，引入了用户组的 概念，对用户进行分组；二，引入对部门的授权，减少授权操作；三，直接对用 户赋予相应权限，为适应临时权限的分配。从而扩展出了一种新的访问控制模 型，并对该模型的结构、原则、访问机制以及特点等进行了分析。 3 ) 为了系统的实现，本文还就系统开发中所运用的技术进行了展开，分别 介绍了目前成熟的m v c 模式、s t r u t s 和h i b e r n a t e 框架，最后分析了h i b e r n a t e 与s t r u t s 结合应用的体系结构。 4 ) 在实践上，本文通过运用扩展后的模型，以及结合s t r u t s 和h i b e r n a t e 框 架技术，开发了一套基于扩展r b a c 模型的权限管理系统，最后以技术交流平 台为分析实例，让此权限管理系统的扩展性得到了很好的体现。 本文对扩展r b a c 模型的分析、设计与实现表明，扩展后的基于角色的访 问控制模型在大型企业信息管理系统的应用中，具有安全性高、访问控制更严 格以及降低开发和维护成本等优点，有着良好的应用前景。 关键字：访问控制，权限管理，r b a c 扩展模型，管理系统，技术交流平台 a b s t r a c t t h ea c c e s sc o n t r o lm e c h a n i s mp l a y sa l l i m p o r t a n t r o l ei nt h ee n t e r p r i s e a p p l i c a t i o ns e c u r i t y h o w e v e r , t h et r a d i t i o n a l a c c e s sc o n t r o lc a nn o tm e e tt h e r e q u i r e m e n t so ft h ec o m p l i c a t e db u s i n e s se n v i r o n m e n t s i n c et h e19 9 0 s ，t h et h e o r yo f r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) m o d e lh a sb e e nu n d e re x t e n s i v ei n v e s t i g a t i o n a n da l s oh a sb e e nu s e di ns y s t e mo fr e a l i t y i ta s s i g n sp e r m i s s i o n so rp r i v i l e g e st o r o l e s ，s ou s e r sa n dp e r m i s s i o n sa r el o g i c a l l ys e p a r a t e d w i t ht h eh e l po fr o l e sa sm a i n b o d y , u s e r sc o u l db ea c c e s st ot h er e s o u r c e sb yr o l e s t h i st e c h n o l o g yg r e a t l y d e c r e a s e st h e c o m p l e x i t y o fa u t h o r i z e dm a n a g e m e n ta n d p r o v i d e s ab e t t e r m a n a g e m e n te n v i r o n m e n tt om a n a g e r s a tp r e s e n t , t h e r ee x i s ts om a n yi s s u e s ：t h e h i g ht u r n o v e ro fe m p l o y e e s ，t h ec o m p l e x i t yo fo r g a n i z a t i o ns t r u c t u r ew h i c hh a sl e dt o ， t h el e s sf l e x i b i l i t yo fa c c e s sa s s i g n m e n tt h eh i 曲c o s to fm a i n t e n a n c ea n de t ca sa c o n s e q u e n c e s ow es h o u l dm a k ei m p r o v e m e n ti nt h et h e o r ya n dp r a c t i c et e c h n i q u e s o ft h es y s t e md e v e l o p m e n tt os o l v et h ep r o b l e m s t h e r e f o r ei ti si m p o r t a n tt op r o p o s e a ne x t e n s i o nm o d e lb a s e do nt h ea v a i l a b l er b a ct og e th i g hr e u s a b i l i t yo ft h e s o f t w a r e 刀 ep r i m a r yw o r k sa n di n n o v a t i o no ft h i st h e s i sd i s s e r t a t i o nb a s e do nt h e o r ya n d p r a c t i c ec a nb ec o n c l u d e da sf o l l o w s ： 1 t h i st h e s i sf i r s t l yi n t r o d u c e st h r e es t r a t e g i e so fa c c e s sc o n t r o l ：m a n d a t o r ya c c e s s c o n t r o l ( m a c ) ，d i s c r e t i o n a r ya c c e s sc o n t r o l ( d a c ) a n dr o l e b a s e da c c e s s c o n t r o l ( r b a c ) i te m p h a s i z e so nt h ec o n c e p t ，a d v a n t a g e sa n dd i s a d v a n t a g e so f i t b a c 2 t h i st h e s i sp r o v i d e st h ec o r r e s p o n d i n gs o l u t i o n si na c c o r d a n c ew i t ht h ep r e s e n t m a n a g e m e n ts i t u a t i o no fe n t e r p r i s e sa n dt h eb a s i cr b a cm o d e l d i s c u s s i o nw i l l b ec a r r i e do u ta st h ef o l l o w i n gt h r e ea s p e c t s ：( 1 ) i n t r o d u c i n gt h ec o n c e p to fu s e r g r o u p sa n dg r o u p i n gt h eu s e r s ( 2 ) i n t r o d u c i n gt h ea u t h o r i z a t i o no fd e p a r t m e n t s a n d d e c r e a s i n gt h ea u t h o r i z a t i o no p e r a t i o n s ( 3 ) g i v i n gt h ec o r r e s p o n d i n g p r i v i l e g e st ou s e r st oa d a p tt h ea s s i g n m e n to ft e m p o r a r ya c c e s s t h e r e b yt h i s t h e s i sp r o p o s e san e wa c c e s sc o n t r o lm o d e l i ta n a l y s e st h es t r u c t u r e ，p r i n c i p l e ， i l a c c e s sm e c h a n i s ma n dc h a r a c t e r i s t i c so ft h i sr l e wm o d e l 3 t h i st h e s i sa l s oa n a l y z e st h et e c h n o l o g i e su s e di nt h ep r o c e s so fs y s t e m d e v e l o p m e n t i tm a i n l yd e s c r i b e st h ea v a i l a b l em v cm o d e l ，s t r u t sa n dh i b e r n a t e a r c h i t e c t u r e t h e ni tp r o v i d e st h ea r c h i t e c t u r eo ft h ei n t e g r a t e da p p l i c a t i o nu s i n g h i b e r n a t ea n ds t r u t s 4 i np r a c t i c e ，t h i st h e s i sd e v e l o p sa na c c e s sm a n a g e m e n ts y s t e mp r o t o t y p eb a s e do n e x t e n d e dr b a cm o d e l i tm a i n l yu s e st h ee x t e n d e dr b a cm o d e lb a s e do nt h e s t r u t sa n dh i b e r n a t e a r c h i t e c t u r e f i n a l l y , i ti m p l e m e n t s at e c h n i c a l c o m m u n i c a t i o np l a t f o r ma sa l li n s t a n c eo fe x t e n d e dr b a cs y s t e mt om a k ea g o o di l l u s t r a t i o no f t h ee x t e n s i b i l i t yo f t h i sa c c e s sm a n a g e m e n ts y s t e m i nc o n c l u s i o n , t h ee x t e n d e dr o l eb a s e da c c e s sc o n t r o lt e c h n o l o g yu s e di nt h e l a r g e - s c a l ee n t e r p r i s ei n f o r m a t i o nm a n a g e m e n ts y s t e mh a st h ec h a r a c t e r i s t i c so fh i g h s e c u r i t y , s t r i c t a c c e s sc o n t r o la n dh a sah i g ha p p l i c a t i o nv a l u ev i aa n a l y z i n g , d e s i g n i n ga n di m p l e m e n t a t i o ni nt h i st h e s i s k e yw o r d s ：a c c e s sc o n t r o l ，p e r m i s s i o n sm a n a g e m e n t ，e x t e n d e dr b a cm o d e l ， m a n a g e m e n ts y s t e m ，t e c h n i c a le x c h a n g ep l a t f o r m 1 1 1 此页若属实，请申请人及导师签名。 独创性声明 本人声明，所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：圣整整日期竺兰! !研究生签名：皇塾整日期竺三! 二! ! 关于论文使用授权的说明 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部内 容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 研究生签名： 注：请将此声 日期堡堕2 武汉理工大学硕士学位论文 第1 章绪论 1 1 课题研究的背景和意义 互联网的蓬勃发展，为信息资源的共享提供了更加完善的手段，企业在信 息资源共享的同时也要阻止非授权用户对企业敏感信息的访问。国际标准化组 织i s o 在网络安全标准( i s 0 7 4 9 8 2 ) 中所定义的五个层次型安全服务【i 】中，访 问控制是其中一个重要组成部分。 访问控制作为信息系统安全的重要功能构件，其主要目的是对抗涉及计算 机或通信系统非授权操作的威胁。这些威胁可以被细分为非授权使用、泄露、 修改、破坏和拒绝服务等【z j 。 访问控制是对进入系统的控制，其作用是对需要访问系统和数据的用户进 行识别，检验其合法身份，并对系统中发生的操作根据一定的安全策略来进行 限制。对一个系统进行访问控制的常用的方法有采用合法的用户名和设置口令。 如果用户名和口令是正确的，则允许其对系统进行访问；如果不正确，则不能 进入系统。访问控制技术主要是验证用户访问的合法性【3 1 ，它的主要功能是对系 统资源使用权限进行控制，比如控制合法用户访问哪些密级的信息和进行哪些 操作等。它对限制用户访问关键资源，防止非法用户的侵入，或合法用户的不 慎操作所造成的破坏有着举足轻重的作用。建立一个有普遍意义的访问控制模 型，将极大提高企业信息系统的安全性。 作者在实习期间参与了一个银行绩效考核系统的设计和开发工作，该系统 就是采用基于角色的访问控制技术来实现它的权限管理模块以达到系统的安全 目标。通过该项目的开发实践，作者体会到了基于角色的访问控制技术给程序 员开发管理信息系统带来快速开发、高效维护等优点，也给系统本身带来访问 控制严格以及安全性强等特性。目前的软件发展如此快速，尤其是管理信息系 统。而安全性是每个信息系统都必须达到的目标之一，为了保证系统的安全， 权限管理模块的开发是首要任务。如果为所有信息系统都开发权限管理模块， 则重复并且技术雷同的工作将占据着程序员们大部分的时间，并且增加了不少 工作量。所以要是能够开发一套扩展性好的权限管理系统将会给软件开发团队 武汉理工大学硕士学位论文 带来很大的方便。但是因为不同系统的功能需求有很大差异，将权限管理系统 开发成插件形式不是不可能，只是使用的通用性不是很高。 因此，设计套构建完善的权限管理、授予机制，符合企业作业流程上的 需求，并考虑企业的组织层次结构和责权有效分离的系统显得非常重要。 1 2r b a c 技术国内外研究现状 关于权限管理，国内外的学者们进行了大量的研究，理论不断成熟。在应 用实践上，研究者也根据各自的系统安全控制的需要，开发和实现了不少权限 管理系统。 基于角色的访问控制( r b a c ) 首先出现在1 9 9 2 年d a v i df e r r a i o l o 和r i c h a r d k u h n 发表的( ( r o l e - b a s e da c c e s sc o n t r 0 1 ) ) 【4 】一文中。在此之后，陆续有许多学 者在国际期刊以及研讨会中，发表相关文章。1 9 9 6 年，美国乔治梅森大学的 r s a n d h u 发表的经典文献( ( r o l e - b a s e da c c e s sc o n t r o lm o d e l s ) ) 【5 】，提出了著名 的r b a c 9 6 模型，这一模型将传统的r b a c 模型根据不同需要拆分成四种嵌套的 模型并给出形式化定义，极大地提高了系统灵活性和可用性，因此成为r b a c 模型发展的基础。接下来，1 9 9 7 年，他进一步提出了r b a c 9 6 的分布式管理模 型a r b a c 9 7 模型。 b e r t i n o 等人提出了t e m p o r a l - r b a c 模型【6 】，该模型在访问控制框架中引入 了时间( t i m e ) 参数，在角色分配时引入时间的限制，支持权限之间的临时依赖 关系。j o s h i ，b e r t i n o 等人又对t e m p o r a l r b a c 模型进行了扩充，提出了 g e n e r a l i z e dt e m p o r a lr b a c 模型 7 1 ，进一步把时间的限制应用到了角色的层次， 职责分离等方面。c o v i n g t o n 在其论文中 8 1 ，引入环境角色的概念，提出了位置 ( 1 0 c a t i o n ) 和系统状态( s y s t e ms t a t u s ) 参数。m o y e r 和a b a m a d 提出了g e n e r a l i z e d r b a c 9 】模型，引入了主体角色( s u b j e c tr o l e s ) ，客体角色( o b j e c tr o l e s ) 和环 境角色( e n v i r o n m e n tr o l e s ) ，进一步细化了访问控制的粒度。k u m a r 等人总 结了前人的工作，提出了c o n t e x t - s e n s i t i v er b a cm o d e l t l 0 1 ，该模型使得传统的 r b a c 模型更加适合于复杂安全策略的应用，对于一个操作，首先要考虑其上下 文环境。a 1 一k a h t a n i 针对基于规则的r b a c 模型进行了详细规范的描述，对传统 r b a c 进了全面的扩展，为用户一角色的自动分配提供较为权威的参考【1 1 1 。虽然 该领域有不少相关学者提出过很多各种模型，但是，都会遵循一套标准。目前， 2 武汉理工大学硕士学位论文 国际上最常用的r b a c 标准是2 0 0 1 年5 月由n i s t 所发表的r b a c 建议标准【1 2 1 ， 该标准完整地定义了r b a c 的基本模型和应用功能。 在参考和吸收国外关于权限管理相关理论模型的基础上，国内有许多学者 提出基于角色与组织的访问控制模型【1 3 】( o r g a n i z e dr a b c ，o r b a c ) ，将组织 结构与角色配合使用来减少角色数量，简化权限分配。此外，根据各自软件应 用系统的实际需要，国内的一些研究所和大学也已经开始研究并开发了一些权 限管理系统，取得了一些成果，如4 j ： 清华大学的谢剑、朱志明、郝刚等开发了一种基于角色的通用化用户权限 管理系统【1 5 】，该系统针对焊接应用软件的特点，适合于软件开发过程中用户权 限管理功能的实现，并且方便软件使用过程中的设置和修改。 中国科学院软件研究所的丁仲和左春提出了一个适用于各个领域的r b a c 权限控制的面向对象框架【1 6 1 。此框架提供了可重用的权限管理的实现，将通用 的权限管理放在框架内实现，而领域紧密相关的易变的权限规则作为框架的扩 展，从而提高了软件的复用程度。 迄今，r b a c 研究已应用于p m i 1 7 1 、c o r b a 1 8 1 、c s c w 1 9 】 2 0 】等体系架构中， 并在电子商务、大型信息系统中也得到广泛应用。它是目前应用最广、效果良 好的访问控制策略与模型。 u s a g ec o n t r o l ( u c o n ) m o d e l 2 1 】【2 2 1 2 3 1 将成为下一代访问控制模型的研究方 向。目前国外已经对此开始了广泛而深入的研究工作，然而国内在这方面的研 究相对落后。这有待于得到国内信息安全领域，尤其是访问控制研究者的关切 和研究【2 4 1 。 总体说来，当前研究的热点集中在对传统r b a c 模型的扩展，人们不仅试 图从模型上改进用户角色的分配机制，也试图改进角色一权限之间的分配机 制。从而，可以灵活的完成这两级授权过程，减轻系统管理员的工作量，降低 企业的成本。 1 3 论文的主要工作和创新点 本文的主要工作体现在两个方面： 第一：充分研究现有的访问控制领域的研究成果，提出一种访问控制模型 并加以实现。 3 武汉理工大学硕士学位论文 具体内容包括： 1 ) 通过阅读文献、参与实际项目的开发以及关注国内外在访问控制领域的 研究现状，对课题研究的背景和意义作了些分析和总结。 2 ) 分析了传统访问控制模型如m a c 、d a c ，以及一种基于角色的访问控 制技术r b a c ，其中重点阐述了r b a c 技术的相关理论知识。并指出 r b a c 主流模型的主要应用领域及其不足之处。 3 1 在现有的r b a c 模型的基础上根据其在大型信息系统中所存在的局限 性，提出相应的解决方案，扩展出一个更优的模型以适应业务的需求。 第二：在第一部分工作的基础上。对扩展出的新模型通过分析设计与代码 实现来表明该模型的可行性、高效性以及实用性，具体的工作内容包括： 1 ) 运用m v c 模式的s t r u t s 框架和h i b e r n a t e 框架分析和设计了一个基于扩 展模型的角色访问控制权限管理系统； 2 ) 在访问控制权限管理系统的基础上给出了一个简单的实例技术交 流平台，进行分析和实现。 本文工作的创新点主要有： 1 ) 模型的扩展：本文通过分析前人所研究和提出的模型，结合目前信息系 统所存在的局限性，对r b a c 模型进行了扩展。新模型的主要优势体现 在：通过用户组来授予权限，对用户直接赋权，还可以对某个组织机构 赋予相应的权限。 2 ) 对其他系统的业务控制严格：所有的业务系统都是在权限管理下运行， 没有权限的人员就不能进入和执行相关的程序功能。 1 4 论文结构 本文共包括六章。 第l 章，绪论。 第2 章，介绍访问控制研究领域的成果，阐述d a c 、m a c 、r b a c 等访问 控制模型的特征、适用范围以及应用缺陷。 第3 章，分析当前流行的r b a c 技术在大型企业信息系统应用中所存在的 缺陷，扩展出了一个新的模型，并对该模型的访问机制以及特点进行了探讨。 第4 章，使用扩展后的访问控制模型，运用基于m v c 模式的s t r u t s 框架和 4 武汉理工大学硕士学位论文 h i b e r n a t e 框架设计出一个权限管理系统子系统，使该系统具有很好的扩展性。 第5 章，以技术交流平台为实例对第四章设计的权限管理系统进行了扩展， 实现访问控制机制。 第6 章，工作总结及进一步研究设想。 武汉理工大学硕士学位论文 第2 章访问控制理论研究 2 1 访问控制的概述 访问控制【2 5 】是通过某种途径显式地准许或限制主体对客体访问能力及范围 的一种方法。它是针对越权使用系统资源的防御措施，通过限制对关键资源的 访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保 证系统资源受控地、合法地使用。访问控制的目的在于限制系统内用户的行为 和操作，包括用户能做什么和系统程序根据用户的行为应该做什么两个方面。 访问控制技术【2 6 】起源于7 0 年代，当时是为了满足管理大型主机系统上共享 数据授权访问的需要，但是随着计算机技术和应用的发展，特别是网络应用的 发展，这一技术的思想和方法迅速应用于信息系统的各个领域。它是通过特定 方式控制主体对客体的访问能力和访问范围的一种安全机制，是信息安全中的 重要组成部分和关键技术之一。在访问控制机制中，只有被授权用户可以访问 特定资源，更进一步，只有被授权用户可以修改特定资源。好的访问控制机制 对于一个受保护的系统来说是至关重要的。它不但要防止未授权的用户非法访 问受保护的资源，同时也要让合法用户可以正常访问这些信息资源。为了达到 这个目的，访问控制机制会直接或间接地作用于用户和被访问的资源。它相当 于一个受保护资源和用户间的中间层。在一定策略下严格管理用户对资源的访 问。 在3 0 多年的发展过程中，先后出现了多种重要的访问控制技术，他们的基 本目标都是防止非法用户进入系统和合法用户对系统资源的非法使用。为了达 到这个目标，访问控制常以用户身份认证为前提，在此基础上实施各种访问控 制策略来控制和规范合法用户在系统中的行为。目前，被大家广泛接受的主流 访问控制技术主要有：传统的自主访问控制( d a c ) 、强制访问控制( m a c ) 和 发展势头越来越快的基于角色的访问控制( r b a c ) 。下面的章节将逐一分析上 面三种访问控制技术及其优缺点，并且着重分析本论文所运用的基于角色访的 问控制技术。 6 武汉理工大学硕士学位论文 2 2 传统的访问控制技术 2 2 1 自主访问控制 自主访问控制随分时系统的出现而产生。其基本思想是：系统中的主体( 用 户或用户进程) 可以自主地将其拥有的对客体的访问权限全部或部分的授予其 他主体。其实现方法一般是建立系统访问控制矩阵，矩阵的行对应系统的主体， 列队应系统的客体，元素表示主体对客体的访问权限。为了提高系统的性能， 在实际应用中常常是建立基于行( 主体) 或列( 客体) 的访问控制方法。 自主访问的含义是有访问权限的主体能够直接或问接地向其他主体转让访 问权。自主访问控制是在确认主体身份以及( 或) 它们所属的组的基础上，控 制主体的活动，实施用户权限管理、访问属性( 读、写、执行) 管理等，是一 种最为普遍的访问控制手段。自主访问控制的主体可以按自己的意愿决定哪些 用户可以访问他们的资源，亦即主体有自主的决定权，一个主体可以有选择地 与其它主体共享他的资源。 基于访问控制矩阵的访问控制表( a c l ) 是d a c 中通常采用一种的安全机 制。a c l 是带有访问权限的矩阵，这些访问权是授予主体访问某一客体的。安 全管理员通过维护a c l 控制用户访问企业数据。对每一个受保护的资源，a c l 对应一个个人用户列表或由个人用户构成的组列表，表中规定了相应的访问模 式。当用户数量多、管理数据量大时，由于访问控制的粒度是单个用户，a c l 会很庞大。当组织内的人员发生能变化( 升迁、换岗、招聘、离职) 、工作职能 发生变化( 新增业务) 时，a c l 的修改变得异常困难。采用a c l 机制管理授权 处于一个较低级的层次，管理复杂、代价高以至易于出错。 d a c 的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予 其它主体或者从其它主体收回所授予的权限，访问通常基于访问控制表( a c l ) 。 访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体 的访问权。d a c 的缺点是信息在移动过程中其访问权限关系会被改变。如用户 a 可将其对目标o 的访问权限传递给用户b ，从而使不具备对o 访问权限的b 可访问o 。 为了实现完备的自主访问控制系统，由访问控制矩阵提供的信息必须以某 种形式存放在系统中。访问矩阵中的每行表示一个主体，每一列则表示个受 7 武汉理工大学硕士学位论文 保护的客体，而矩阵中的元素，则表示主体可以对客体的访问模式。目前，在 系统中访问控制矩阵本身，都不是完整地存储起来，因为矩阵中的许多元素常 常为空。空元素将会造成存储空间的浪费，而且查找某个元素会耗费很多时间。 实际上常常是基于矩阵的行或列来表达访问控制信息。 基于a c l 的自主访问控制通过访问控制列表( a c l ) 机制细化了对系统资源 的访问控制粒度，可以实现系统中任一用户( 组) 对各种系统资源( 目录、文 件、特别文件、管道等) 的控制访问。自主访问控制结构和流程【27 】如图2 1 所 示： 图2 - 1 自主访问控制结构和流程图 尽管d a c 已在许多系统中得以实现( 如u n i x ) ，然而d a c 的一个致命的弱 点是：访问权的授予是可以传递的。一旦访问权被传递出去将难以控制，访问 权的管理是相当困难的，会带来严重的安全问题；另一方面，d a c 不保护受保 护的客体产生的副本，即一个用户不能访问某一客体，但能够访问它的拷贝， 这更增加了管理的难度。而且在大型系统中，主、客体的数量巨大，无论使用 哪一种形式的d a c ，所带来的系统开销都是难以支付的，效率相当低下，难以 8 武汉理工大学硕士学位论文 满足大型应用特别是网络应用的需要。 2 2 2 强制访问控制技术 强制访问控制【2 8 】是“强加”给访问主体的，即系统强制主体服从访问控制 政策。强制访问控制( m a c ) 的主要特征是对所有主体及其所控制的客体( 例 如：进程、文件、段、设备) 实施强制访问控制。为这些主体及客体指定敏感 标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的 依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个 客体。用户的程序不能改变他自己及任何其它客体的敏感标记，从而系统可以 防止特洛伊木马的攻击。 强制访问策略将每个用户及文件赋予一个访问级别，如，最高秘密级( t o p s e c r e t ) ，秘密级( s e c r e t ) ，机密级( c o n f i d e n t i a l ) 及无级别级( u n c l a s s i f i e d ) 。 其级别为t s c u ，系统根据主体和客体的敏感标记来决定访问模式。访问模式 包括： 下读( r e a dd o w n ) ：用户级别大于文件级别的读操作； 上写( w r i t eu p ) ：用户级别小于文件级别的写操作； 下写( w r i t ed o w n ) ：用户级别等于文件级别的写操作； 上读( r e a du p ) ：用户级别小于文件级别的读操作。 图2 - 2b e l l l a p a d u l a 安全模型 依据b e l l l a p a d u l a 安全模型所制定的原则是利用不上读不下写来保证数据 的保密性。见图2 2 。既不允许低信任级别的用户读高敏感度的信息，又不允许 9 户 卣 户 卣 武汉理工大学硕士学位论文 高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问 控制通过这种梯度安全标签实现信息的单向流通。 依据b i b a 安全模型所制定的原则是利用不下读不上写来保证数据的完整 性，见图2 3 。在实际应用中，完整性保护主要是为了避免应用程序修改某些重 要的系统程序或系统数据库。 主体 囤 客体 。h。i。g。h。i。n。te。g。r。it。y。 主体 囤 客体 图2 3b i b a 安全模型 强制访问控制起初主要用于军方的应用中，并且常与d a c 结合使用，主体 只有通过了d a c 与m a c 的检查后，才能访问某个客体。由于m a c 对客体施 加了更严格的访问控制，因而可以防止特洛伊木马之类的程序偷窃，同时m a c 对用户意外泄漏机密信息也有预防能力。但如果用户恶意泄漏信息，则可能无 能为力。由于m a c 增加了不能回避的访问限制，因而影响了系统的灵活性；另 一方面，虽然m a c 增强了信息的机密性，但不能实施完整性控制；再者网上信 息更需要完整性，否则会影响m a c 的网上应用。在m a c 系统中实现单向信息 流的前提是系统中不存在逆向潜信道。逆向潜信道的存在会导致信息违反规则 的流动。但现代计算机系统中这种潜信道是难以去除的，如大量的共享存储器 以及为提升硬件性能而采用的各种c a c h e 等，这给系统增加了安全隐患。 2 3 基于角色访问控制( i a c ) 技术 基于角色访问控制模型是2 0 世纪9 0 年代研究出来的一种新模型，但从本 质上讲，这种模型是对前面描述的访问矩阵模型的扩展。这种模型的基本概念 是把许可权( p e r m i s s i o n s ) 与角色( r o l e ) 联系在一起，用户通过充当合适角色 l o 武汉理工大学硕士学位论文 的成员而获得该角色的许可权。 本节首先给出了r b a c 中的基本概念，然后以r b a c 9 7 模型为基础阐述了 r b a c 的基本思想，并分析了它的特点和不足。 2 3 1r b a c 的基本概念 r b a c 模型将所涉及到的对象归纳为以下几种基本概念 2 9 1 ： 1 ) 资源( r e s o u r c e ) 信息系统中任何有使用价值的实体，包括硬件的和软件的。 2 ) 用户( u s e r ) 企图使用系统资源的人，注册进入系统时，用户要提供身份认 证以确证用户身份。每个用户都有一个唯一的用户标识( u i d ) ，系统负责 进行用户身份认证。 3 ) 主体( s u b j e c t ) 系统中能够发起某种行为的主动实体。通常指代理用户行为 的进程作业或程序。其直观的意义就是用户，即信息系统的使用者。主体主 要是指人，也可以是机器人、计算机或网络，在本文中进行访问控制设计和 实现时，用户指的是使用该系统的人。 4 ) 客体( o b j e c t ) 接受其它主体动作的被动实体，通常是可以识别的系统资源， 如目录、文件、数据库、某一硬件设备等。一个实体在某一时刻是主体而在 另时刻又成了客体，这取决于该实体是动作的执行者还是承受者。 5 ) 访问( a c c e s s ) 主体与客体之间发生的导致信息从一方流向另一方的某种交 互活动。 6 ) 访问权限( p e r m i s s i o n ) 在受系统保护的客体上执行某一操作的许可。访问 权限是操作与客体的组合，它可以是具体权限也可以是抽象权限。在客体上 能够执行的操作常与系统的类型有关。这是r b a c 复杂性的一个重要方面。 7 ) 访问控制( a c c e s sc o n t r 0 1 ) 限制对系统资源的访问，只有被授权的程序、进 程或( 互连的) 其它系统才可以按许可的权限访问系统资源的过程。 8 ) 角色( r o l e ) 是系统中一组工作职责和访问权限的集合。角色的划分涉及组 织内部的岗位职责和安全策略的综合考虑。在r b a c 模型中，工作职位被描 述为“角色，职位所具有的权利称为许可权。角色是r b a c 模型中的核心 概念，围绕这一概念实现了访问控制策略的形式化。特殊的用户集合和许可 权的集合通过角色这一媒介在某个特定的时间内联系在一起。而角色却是相 对稳定的，因为任何组织的分工、活动或者功能一般是很少经常改变的。 可以有不同的动机去构造一个角色。角色可以表示完成特殊任务的资 武汉理工大学硕士学位论文 格，例如，是一个医生还是一个药师；角色也可以表示种权利与责任，如 工程监理。权利与责任不同于资格，例如，某人有可能有资格领导几个部门， 但是他只能被分配负责一个部门的领导。通过多个用户的轮转，角色可以映 射特殊责任的分配，例如，医师可以转换为管理者。r b a c 模型及其实现可 以方便地适应这种角色概念的多种表现。 在实际的计算机信息系统中，角色由系统管理员定义，角色的增加与删 除、角色权利的增加与减少等管理工作都是由系统管理员来完成的。根据 r b a c 的要求，用户被分配为某个角色后，就被赋予了该角色所拥有的权利 与责任，这种授权方式是强制性的，用户只能被动的接受，不能自主地决定 为角色增加或者减少权利，也不能把自己角色的权利转授给用户，显然，这 是一种非自主型的访问控制模式。 9 ) 用户角色分配( u a ：u s e r - r o l e a s s i g n m e n t ) 为用户指派需要的角色，即建 立用户与角色的多对多关系。若用户u 指派给角色r ，我们说u 是r 的用户 成员。 l o ) 角色权限分配( p a ：p e r m i s s i o n - r o l e a s s i g n m e n t ) 为角色分配一组访问权限， 即建立角色与访问权限的多对多关系。分配给一个角色的访问权限称为该角 色的权限成员。这样通过角色将用户与访问权限联系起来。用户具有其所属 各个角色的访问权限的总和。 1 1 ) 会话( s e s s i o n ) 在特定环境下一个用户与一组角色的映射，即用户为了完成 某一工作职责需要激活其所属角色的一个子集，激活角色的权限并集即为该 用户的当前的有效访问权限。会话体现了最小权限的思想。 1 2 ) 角色层次结构( r o l eh i e r a r c h y ) 角色之间的偏序关系( p a r t i a lo r d e r ) 。这种 关系蕴含了角色之间的继承关系。 1 3 ) 约束( c o n s t r a i n t ) 在建立系统元素之间的某种关系时需要考虑的限制措施。 1 4 ) 管理角色( a d m i n i s t r a t i v er o l e ) 拥有修改系统组成元素的权限的角色。 1 5 ) 系统管理员( s y s t e m a d m i n i s t r a t o r ) 制定系统安全策略、执行管理角色并对 系统进行审计跟踪的系统安全维护人员。 2 3 2r b a c 主流模型简介 目前对基于角色的访问控制已有广泛的研究，专家们也提出了许多模型。 而乔治麻省大学的s a n d h u 教授于1 9 9 6 年提出了的r b a c 9 6 模型，成为了经典 1 2 武汉理工大学硕士学位论文 的访问控制模型，如图2 4 所示。r b a c 9 6 模型包括4 个不同层次：r b a c 0 模 型规定了任何r b a c 系统所必须的最小需求；r b a c l 模型在r b a c 0 的基础上 加入了角色层次( r o l e h i e r a r c h i e s ) 的概念，可以根据组织内部权力的责任的结 构来构造角色与角色之间的层次关系；r b a c 2 模型在r b a c 0 的基础上增加了 约束( c o n s t r a i n t s ) 概念；r b a c 3 模型是对r b a c l 和r b a c 2 的集成，它不仅 包括角色层次，还包括约束关系。接下来，对于大型系统中角色成百上千，由 单一的系统安全员来管理是不现实的，因此一般委派一组管理人员进行管理。 于是，1 9 9 7 年提出r b a c 的管理模型，即a r b a c 9 7 模型【3 0 】，如图2 5 所示。 r b a c 的基本思想是：授权给用户的访问权限，通常由用户在一个组织中担 当的角色来确定。r b a c 根据用户在组织内所处的角色进行访问授权与控制。传 统的访问控制直接将访问主体和客体相联系，而r b a c 在中间加入了角色，通 过角色沟通主体与客体。在r b a c 中，用户标识对于身份认证以及审计记录是 十分有用的，但真正决定访问权限的是用户对应的角色标识。 图2 4r b a c 9 6 模型 r b a c 9 6 模型包括的4 个不同层次分别为： 1 3 武汉理工大学硕士学位论文 1 ) r b a c 0 模型 r b a c 0 为基本模型，它包含三个实体：用户、角色和许可。r b a c 0 模型中 的基本概念如下： 用户( u s e r ) ：一个可以独立访问计算机系统中的数据或用数据表示的其他 资料的主体。可以是人、计算机等，一般指人。 角色( r o l e ) ：指一个组织或任务中的工作或位置，它代表了一种资格、权 利和责任。 许可( p e r m i s s i o n ) ：表示对系统中的客体进行特定模式访问的操作许可。 用户分配：根据用户在组织中的职责和权利被赋予相应的角色，用户与角 色是