（计算机软件与理论专业论文）一种改进的rbac权限系统的研究与实现.pdf

哈尔滨理工大学工学硕士学位论文 一种改进的r b a c 权限系统的研究与实现 摘要 随着i n t e r n e t 和信息化技术的发展，企业信息系统得到了更多的关注和 应用。由于企业信息系统涉及到企业数据的保密性和敏感性，实现严格的安 全访问控制是十分关键的。本文的主要研究内容为： 系统地分析了访问控制技术、基于角色的访问控制( r o l e b a s e da c c e s s c o n t r o l ，r b a c ) 模型、基于角色的权限委托代理模型，总结了它们的特性 及优缺点。 设计了层次型权限系统，主要设计工作如下： 改进了基于角色的权限委托代理模型，提出了综合的基于角色的委托代 理模型。 实现了基于r b a c 演变的数据权限模型和两种数据权限实现方法：数 据节点授权和查询方案授权，用户或者角色对某个业务对象的数据访问层次 分四个层次：g l o b a l d a t a 、d e p t d a t a 、o t h e r - d e p t 、o n l y s e l f 。 将角色授权与用户个人授权相结合的灵活方式，用户登录时一次性加载 所有权限，采用缓存技术提高系统访问控制决策和实施的效率。 将特权用户分为系统管理员、系统安全员、系统审计员三类，实现了特 权分离并且满足安全系统的最小特权原则，特权用户采用分层次授权代替传 统r b a c 模型的集中式授权以适合大型企业的组织机构层次较多的特点。 将层次型权限系统在大型企业集团的销售运营平台中成功实现，采用了 先进的m v c 设计模型和s p r i n g + s t r u t s w e b w o r k + h i b e r n a t e 系统开发框 架，论证了设计方案在企业信息系统中的可行性。 关键词访问控制；r b a c ；角色；层次型权限系统；权限委托代理 竺垒堡矍三查兰三兰堡兰兰堡丝兰 r e s e a r c ha n d i m p l e m e n t a t i o no f a n i m p r o v e d r b a cp e r m i s s i o ns y s t e m a b s t r a c t w i t ht h ed e v e l o p m e n to ft h ei n t e r a c ta n di n f o r m a t i o nt e c h n o l o g y ，t h e e n t e r p r i s ei n f o r m a t i o ns y s t e m sh a v eg o t t e nm o r ea t t e n t i o na n da r eb e i n gu s e d m o r ea sa p p l i c a t i o n s t h es t r i c ts e c u r i t ya c c e s sc o n t r o lo ft h es y s t e mi sc r i t i c a lt o i t si m p l e m e n t a t i o nd u et oc o n f i d e n t i a l i t ya n ds e n s i t i v i t yo ft h ed a t ai n v o l v e d t h e m a i nr e s e a r c hc o n t e n to ft h i st h e s i si sa sf o l l o w s ： s y s t e m a t i c a lr e s e a r c h e so nt h ea c c e s sc o n t r o lt e c h n o l o g y , r b a cm o d e l s r o l e b a s e d d e l e g a t i o nm o d e l s ，s u m m a r i z e sc h a r a c t e r i s t i c s ，a d v a n t a g e s a n d d i s a d v a n t a g e so ft h e m d e s i g n san e r a r c n i c a lp e r m i s s i o ns y s t e m ，t h em a i nd e s i g n w o r ki sa s f o i l o w s ： i m p r o v e sr o l e - b a s e dd e l e g a t i o nm o d e l s ，p r e s e n t s as y n t h e t i cr o l e b a s e d d e l e g a t i o nm o d e l r e a l i z e sad a t ap e r m i s s i o nm o d e lb a s e do nr b a ca n dt w oi m p l e m e n t m e t h o d so fd a t ap e r m i s s i o ni n c l u d i n gd a t an o d ea u t h o r i z a t i o na n dq u e r yf a c t o r y a u t h o r i z a t i o n ，u s e sh i e r a r c n i c a lm o d e lt o c o n t r o lu s e r s q u e r yr e s u l t ，t h i s h i e r a r c h i c a lm o d e li n c l u d e sg l o b a l d a t a ，d e p t d a t a ，o t h e r - d e p ta n do n l y - s e l f p r e s e n t saf l e x i b l ew a yo fa u t h o r i z a t i o ni n c l u d i n gr o l ea u t h o r i z a t i o na n d u s e ra u t h o r i z a t i o n ，l o a d i n ga l la v a i l a b l ep e r m i s s i o n sf o ro n et i m ew h e nu s e r l o g i n si ns y s t e m w eu s et h ec a c h et e c h n o l o g yt oe n h a n c et h ea c c e s sc o n t r o l d e c i s i o n m a k i n ga n dt h ei m p l e m e n t a t i o ne f f i c i e n c yo fs y s t e m w ed i v i d et h r e ek i n d so ft h es p e c i a lp e r m i s s i o nu s e r s ：s y s t e ma d m i n i s t r a t o r , s y s t e ms e c u r i t ya d m i n i s t r a t o ra n ds y s t e ma u d i ta d m i n i s t r a t o r r e a l i z e ss p e c i a l p e r m i s s i o ns e p a r a t i o na n ds a t i s f yl e a s tp e r m i s s i o np r i n c i p l eo fs e c u r i t ys y s t e m u s e sh i e r a r c h i c a la u t h o r i z a t i o nf o r s p e c i a lp e r m i s s i o n u s e r si n s t e a do f c o n c e n t r a t e da u t h o r i z a t i o no ft r a d i t i o n a lr b a cm o d e l si no r d e rt o s a r i s f y i i 坠玺鎏矍三奎耋三兰璧圭兰堡丝三 h i e r a r c h i c a lo r g a n i z a t i o nc h a r to fl a r g e - s c a l ee n t e r p r i s e ， h i e r a r c h i c a lp e r m i s s i o n s y s t e mh a sb e e ni m p l e m e n t e ds u c c e s s f u l l y i n m a r k e t i n go p e r a t i o np l a t f o r mo fal a r g e s c a l ee n t e r p r i s eg r o u p w eu s ea d v a n c e d m v cd e s i g nm o d e l ，s p r i n g + s t r u t s w e b w o r k + h i b e r n a t ed e v e l o p m e n tf r a m e w o r k ， w ca l s od e m o n s t r a t et h a tt h es c h e m ei sf e a s i b l ei nl a r g ee n t e r p r i s ei n f o r m a t i o n s y s t e m s k e y w o r d s a c c e s s c o n t r o l ；r b a c ；r o l e ；h i e r a r c h i c a lp e r m i s s i o ns y s t e m ； p e r m i s s i o nd e l e g a t i o n 1 l i 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文一种改进的r b a c 权限系统 的研究与实现，是本人在导师指导下，在哈尔滨理工大学攻读硕士学位期间 独立进行研究工作所取得的成果。据本人所知，论文中除已注明部分外不包含 他人已发表或撰写过的研究成果。对本文研究工作做出贡献的个人和集体，均 已在文中以明确方式注明。本声明的法律结果将完全由本人承担。 作者魏唧娴嗍砷够月多日 哈尔滨理工大学硕士学位论文使用授权书 一种改进的r b a c 权限系统的研究与实现系本人在哈尔滨理工大学攻 读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔 滨理工大学所有，本论文的研究内容不得以其它单位的名义发表。本人完全了 解哈尔滨理工大学关于保存、使用学位论文的规定，同意学校保留并向有关部 门提交论文和电子版本，允许论文被查阅和借阅。本人授权哈尔滨理工大学可 以采用影印、缩印或其他复制手段保存论文，可以公布论文的全部或部分内 容。 本学位论文属于 保密厂1 ，在年解密后适用授权书。 不保密研。 ( i i l 在以上相应方框内打4 ) 作者签名：铆永硼 导师签名侨 阀糸1 日期： 日期： 年3 玛f 6 日 年f 剧_ 7 日 一 1，f_j，研1 哈尔滨理工大学工学硕士学位论文 第1 章绪论 1 1 论文研究的背景与意义 随着计算机与网络通信技术的高速发展，在广泛开放的网络平台上部署 全球性的企业应用系统己经得到了广泛的应用。企业利用这些系统进行生产 管理、运行管理、销售管理等等，为企业带来了巨大的便利和效益，同时也 带来了一些安全方面的隐患。 企业目前面临的挑战是在庞大而复杂的网络下应用新的信息科技来建立 新的商业行为模式。网络最初的产生是为了信息共享，它不仅可以提高工作 效率并极大的方便了用户。人们愈发离不开网络了。如何在此环境下提高企 业整体竞争力确保信息网络的安全性无疑是重要的考虑因素。为了保证平台 的安全，对信息和资源的访问加以控制是必不可少的，因此对用户进行权限划 分是保证系统安全的重要措施之一。 在许多信息系统中都使用访问控制( a c c e s sc o n t r 0 1 ) 来保证信息的安全。 访问控制是所有系统都必不可少的模块。但是各种不同的应用系统在访问控 制的方式上各有特色。即使相同类型的系统在控制方式上也各有区别。这使 得访问控制一直是开发中比较复杂的模块。 访问控制技术主要是验证用户访问的合法性。它的主要功能是对系统资 源使用权限进行控制，比如控制合法用户访问哪些密级的信息和进行哪些操 作等。它对限制用户访问关键资源，防止非法用户的侵入，或合法用户的不 慎操作所造成的破坏有着举足轻重的作用。因此，建立一个有普遍意义的访 问控制模型，将极大提高企业信息系统的安全性。 基于角色的访问控制r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 技术有效地克 服了传统访问控制技术的不足，可以减少授权管理的复杂性，且为管理员提 供了一个比较好的实现安全策略的环境，该方法引进了角色这个中介，权限 管理也就可以根据需要定义各种角色，并对角色设置相应的访问权限。这种 模型的概念是许可权( p e r m i s s i o n s ) 和角色( r o l e ) 联系在一起，用户通过成为 角色的成员而获得该角色的许可权【1 】【2 】。 哈尔滨理工大学工学硕士学位论文 1 2 基于角色的访问控制发展现状 1 2 1 国外发展现状 基于角色的访问控制模型【3 】的起源可以追溯到七十年代。在七八十年代 的一些访问控制产品己经利用了“角色”概念来进行系统管理，如i b m 的 r a c f 等。最近几年，r b a c 又重新引起了人们的重视，并且大多数是在应 用层上来控制对应用数据的访问，成为一种被广泛接受的授权和访问控制 模型。 1 9 9 2 年，d f e r r a i o l o 和r k u h n 在美国国家标准技术局所举办的计算机 安全研讨会中，发表了一篇名为“r o l e b a s e da c c e s sc o n t r o l ”1 4 的文章，这 是r b a c 系列文献中第一篇以r b a c 为命名的文章。在此之后，陆续有许 多学者在国际期刊、研讨会中，发表相关的文章。其中美国乔治梅森大学 ( g e o r g e m a s o nu n i v e r s i t y ) 的r s a n d h u1 9 9 6 年在i e e ec o m p u t e r 期刊上发表 了经典文献“r o l e b a s e d a c c e s s c o n t r o l m o d e l s ”，提出了著名的r b a c 9 6 1 5 胴 模型，成为r b a c 模型发展的基础。1 9 9 7 年他们更进一步，提出了一种分 布式r b a c 管理模型a r b a c 9 7 t 7 】【8 1 ，实现了在r b a c 模型基础上的分布式 管理。这两个模型清晰的表征了r b a c 概念并且蕴涵了他人的工作，成为 r b a c 的经典模型。绝大多数基于角色的访问控制研究都以这两个模型作为 出发点。随后的a r b a c 9 9 和a r b a c 0 2 都进一步完善了r b a c 的管理功 能。a r b a c 9 9 模型1 9 仅在权限和用户是否稳定的分类处理上对r b a c 9 7 进 行增强和完善a r b a c 0 2 模型f 1 0 1 是一种比a r b a c 9 7 模型更先进的管理模 型。它保留了9 7 模型的主要特征，针对其中一些不足之处做了改进，增加 了新的概念“组织结构”。 n i s t ( t h en a t i o n a li n s t i t u t eo fs t a n d a r d sa n dt e e h n o l o g y ，美国国家标准 与技术研究院) 的r b a c 模型是在r b a c 9 6 模型后，另一个著名的r b a c 模 型。在2 0 0 0 年的a c mr b a c 专题研讨会上，f e r r a i o l o ，s a n d h u 等人首次 提出了一个建议的模型标准【1 ”，2 0 0 1 年8 月，n i s t 提出了r b a c 2 0 0 1 建 议标准【”l ，即n i s tr b a c ! ”】，随后有了a n s i 的r b a c 2 0 0 3 标准。2 0 0 4 年 4 月1 9 日，美国国家信息技术标准委员会( a n s i i n c i t s ) 将n i s tr b a c 定 为美国国家标准( a n s ii n c i t s3 5 9 2 0 0 4 ) 。 自提出r b a c 模型，并把角色引入访问控制机制以后，r b a c 的应用 哈尔滨理工大学工学硕士学位论文 系统得到了一定的发展，系统结构也日趋完善，现在比较成熟的有可以下两 种： 1 以使用者端为主的结构( u s e r p u l la r c h i t e c t u r e ) 当使用者要存取资源 时，必须由使用者主动向角色服务器请求获取角色信息，然后提供给网页服 务器，作为判断是否有权限存取的依据。 2 以服务器端为主的结构( s e r v e r - p u l la r c h i t e c t u r e ) 本结构将角色信息 储存于服务器端的目录服务器中，当使用者要求存取资源时，网页服务器必 须向目录服务器取得角色信息，加上原来就储存在服务器端的角色层级信 息、权限信息，来判断该使用者是否具备存取某资源的权限。 基于角色的权限委托代理模型( r o l e b a s e dd e l e g a t i o nm o d e l ，r b d m ) 是 近年来访问授权研究的一个重点和热点。截止目前，对基于角色的权限委 托代理理论和模型研究才刚刚开始，已有的相关研究文献相对较少。现有的 有代表性的基于角色的代理授权模型主要有e b a r k a 等人提出的r b d m 0 模 型l l s “】，l o n g h u az h a n g 等人提出的r d m 2 0 0 0 模型【1 7 】，以及x i n w e nz h a n g 等人提出的p b d m 模型【1 8 1 和赵庆松等提出的r p d r m 模型l 。 国外对研究r b a c 如何应用于操作系统、数据库系统等情况教多，对 r b a c 在具体的信息系统中应用的研究较少。 1 2 2 国内发展现状 近几年，随着r b a c 成为安全访问控制研究的热点，国内的研究人员 逐渐开始重视其研究和发展。理论上先后在r b a c 9 6 模型的基础上提出新 型r b a c 模型f n r b a c ) ，基于业务工作流和角色的访问控制模型 ( w r b a c ) ，以及在r b a c 9 7 模型的基础上，提出的基于角色的多级访问控 制模型( r b m h a c ) 等。 国内对r b a c 的研究主要有中国科学院软件研究所、华中科技大学 等，主要是对r b a c 模型扩展和应用方面进行深入的研究。 中国科学院软件研究所的丁仲、左春等人主要研究了r b a c 权限管理 的面向对象框架【2 0 】，利用对象技术来实现r b a c 在学术界也做过不少的研 究。主要思想是提出一种灵活管理权限，维护角色的操作，减轻角色操作 的变动对应用程序的影响的一种方法。 山东大学的程玉松、孟丽荣等人提出了r b r b a c ( r u l e b a s e dr b a c ) t 2 模型，r b r b a c 模型扩展了传统r b a c 模型中的用户角色分配关系。在 哈尔滨理工大学工学硕士学位论文 传统r b a c 中，用户角色分配是明确指定的，但在r b r b a c 模型中用户 角色分配是隐含的，是通过企业授权规则自动实现的。这些授权规则考虑 了用户自己的属性、企业的安全策略和企业定义的所有约束集合。 郑州信息技术大学的徐仁义、李益发提出了一个r b a c 的改进模型 m r b a c ( m o d i f i e dr o l eb a s e da c c e s sc o n t r 0 1 ) 阱】，主要针对r b a c 存在的若 干问题，建立了一个改进的模型m r b a c ，根据角色间的管理功能修改角色 的定义，同时与组织结构相结合。实现了角色间的协作与制约，从而避免 了使用角色继承。 钟华等人提出了一种改进的角色层次化关系模型e h r b a c ( e x t e n t e d h i e r a r c h yr o l eb a s e da c c e s sc o n t r 0 1 ) t ”1 。该模型遵循按现实世界模型建模的 思想，定义了角色的公共权限和私有权限，引入一般继承和扩展继承机 制，形成了功能更加完善和更易扩充的角色层次化关系模型比较好地解决 了使用私有角色所出现的问题。 针对不同类型的应用，r b a c 模型在理论上还有很多种扩展。近年来有 如下一些主要工作：时序r b a c 模型( t e m p o r a lr b a cm o d e l ) 1 2 ”，分布式 r b a c 模型( d i s t r i b u t e dr b a cm o d e l ) t 2 “，基于联合的访问控制模型 ( c o a l i t i o n b a s e da c c e s sc o n t r 0 1 ) | ”) 等等。 1 2 3 目前存在的主要问题 日益增长的服务提供企业通过i n t e r a c t 向用户提供服务。而且许多企业 的用户( 如员工和客户) 的数量可能达到几十、几百万用户角色分配和修改 工作量也将是非常庞大的，需要通过增加授权管理员的队伍完成授权管理 工作，这将增加了授权管理的复杂性和系统的不安全性。r b a c 没有提供为 企业外部用户授权的机制。且企业的外部用户数量大，具有不确定性。不 可能由安全管理员一一为他们指定角色。 r b a c 9 6 模型和r b a c 9 7 管理模型都故意回避了一些问题，如是否允 许一个正在会话的用户再创建一个新会话，管理模型不支持用户和许可权 的增加与删除管理工作，模型的应用也将受到影响。 另外在r b a c 模型中没有明确定义对数据权限的支持；实现策略单纯 的以角色为单位授权，在用户众多、权限变动频繁的信息系统中，这种授 权方式可能不够灵活，还可能导致角色泛滥：传统r b a c 模型没有完善的 权限委托代理的机制，无法适应现实世界中权限的临时委托代理；角色继 哈尔滨理工大学工学硕士学位论文 承中的私有角色泛滥等问题都是基于r b a c 的访问控制模型有待解决的问 题。 1 2 4 发展趋势 r b a c 未来的研究一方面将主要集中在对r b a c 模型本身的不足的完 善和功能的补充，例如对于权限委托代理机制、对角色继承机制等的不断 完善。另一方面将主要集中在如何将r b a c 模型应用到实际的系统中，尤 其是大规模的分布系统中和网络系统中。 网络技术发展和大型分布式系统安全需求多样化将会决定未来访问控制 技术的发展趋势，具体表现为：计算机信息系统在不同应用领域的安全需 求，将促进与安全策略无关的访问控制技术的研究，其中包括r b a c 的进 一步研究和发展；不同的访问控制技术的统一和互连、协作组织间的网络 信息系统访问控制技术、互联网环境下的访问控制技术将成为重要的研究 课题；目前信息安全受到前所未有的挑战，单一的安全技术很难保证系统 的安全，与其它安全技术结合也成为访问控制技术的趋势，如具有人工智 能特性的自适应访问控制技术与入侵监测系统相结合的访问控制技术等。 1 3 课题的来源及主要工作 课题的来源： 本文以中国e r p 软件的领导者、亚太地区领先的应用软件制造厂商一 一金蝶国际软件集团的营销运营平台为依托。该平台主要包括订单中心系 统、销售管理系统、实施项目管理系统、服务管理系统，需求管理系统、 管理驾驶仓、系统管理等。该平台的用户分布在全国各地，涉及集团、总 部、区域、分公司、部门、代理商、销售商等多级组织结构，包括集团总 部、七大区域、3 8 家分公司和1 0 0 0 多家合作伙伴。如此庞大的用户数量和 复杂多样的用户角色组成的系统，必须要有一整套完善的、安全的权限控 制系统来对用户的访问进行安全控制。 本文的主要工作： 1 分析比较各种访问控制方法及用于应用系统的优势和不足，对基于 角色的访问控制r b a c 的各种模型及其扩展模型进行详细研究。 2 对现有的角色权限委托的模型进行了改进，提出了改进的基于角色 的权限委托代理展模型a r b d m 系列模型。并且在此基础上提出了一个 哈尔滨理工大学工学硕士学位论文 功能比较完善的综合的基于角色的委托代理模型s r b d m ，以便为实际 系统应用提供一个功能较全的统一模型，以满足复杂系统的权限委托代理。 3 提出了适合应用于大型分布式信息系统的层次型权限系统，该层次 型权限系统的主要设计工作如下： 在功能权限基础上加入基于r b a c 演变的数据模型。 在传统r b a c 模型的角色授权基础上加入用户个人授权。 对系统特权用户实施“三权分离”原则，更好地实现了特权用户的责权 分离原则。 特权用户分层次进行机构授权管理。 用户登录时即一次性读出该用户的所有角色权限和个人功能权限。 角色角色的委托代理和用户用户自主权限委托代理 4 深入学习大型企业信息系统的用户访问权限的业务控制需求，并采 用先进的主流开发实现技术，将层次型权限系统应用到金蝶集团营销运营平 台中，以证明本文的层次型权限系统的创新性及实用性。 论文各章的组织安排 本文共有5 章，各章的安排如下： 第1 章：绪论。对安全访问控制进行了概括，介绍了本课题的研究背景 和意义。 第2 章：访问控制技术和模型的研究。主要介绍了各种访问控制技术及 他们之间的对比，重点介绍r b a c 技术和各种模型。 第3 章：基于角色的权限委托代理模型的改进。本文提出了基于角色的 权限委托代理的一组扩展模型a r b d m 系列模型和功能比较完善的综合的 基于角色的权限委托代理模型s r b d m 。 第4 章：层次型权限系统的设计。结合一般的大型的分布式企业信息系 统的特点提出了一系列对传统r b a c 的改进与创新，并在综合各种改进的 基础上提出了一个比较通用和灵活的层次型权限系统。 第5 章：层次型权限系统的应用与实现。将本文提出的层次型权限系统 方案实际应用在大型企业集团的营销运营平台的权限系统设计和实现中，并 取得了良好的实际运行效果。 结论：对论文工作进行总结和分析，并对论文中有待研究的方向以及 不足之处进行了阐述。 哈尔滨理工大学工学硕士学位论文 第2 章访问控制技术和模型的研究 2 1 安全访问控制技术 访问控制是一个安全信息系统不可缺少的重要组成部分，访问控制的目 的在于限制系统内合法用户的行为和操作( 非法用户不能通过身份认证) ，它 包括用户能做什么以及系统程序根据用户的行为应该做什么两层含义。访问 控制的研究是一个前沿领域，它在一个安全系统中起着极其重要的作用，是 一种能达到显著安全效果的十分重要的技术。同时访问控制也是统一安全认 证平台上一个不可缺少的重要模块。 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行 的不同授权访问。访问控制包括三个要素，即：主体、客体和控制策略。 主体( s u b j e c o ；发出访问要求、存取要求的主动方。通常可以是用户或 用户的某个进程。 客体( o b j e c t l ：被访问的对象，通常可以是被调用的程序、进程，要存 取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。 控制策略：是主体对客体的操作行为集和约束条件集，控制策略是主体 对客体的访问规则集，这个规则集直接定义了主体对客体可以的作用行为和 客体对主体的条件约束。 2 2 访问控制策略 访问控制策略是具体定义访问控制的一套规则，访问控制策略说明系统 认可的访问，即指定的主体对含有信息的客体能够拥有的访问权。目前的访 问策略主要包括以下三种主流的访问控制策略 2 7 1 ：即自主访闯控制 ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) ，强制访问控制( m a n d a t o r ya c c e s s c o n t r o l ，m a c ) 和基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ， r b a c ) 。 2 2 1 自主访问控$ 1 ( d a c ) 自主访问控制是根据访问者和它所属组的身份来控制对客体目标的授权 哈尔滨理工大学工学硕士学位论文 访问。一个对客体具有自主性访问权限的主体能够把该客体信息共享给其它 的主体。u n i x 安全模型类似于d a c 模型，文件的所有者通过设置文件许 可权决定谁有权以何种方式对其进行访问。 任意访问控制对用户提供的这种灵活的数据访问方式，使得d a c 广泛 应用在商业和工业环境中；由于用户可以任意传递权限，那么，没有访问某 个客体权限的用户a 就能够从有访问权限的用户b 那里得到访问权限，因 此d a c 模型提供的安全防护还是相对比较低的，不能给系统提供充分的数 据保护。 2 2 2 强制访问控帛i i ( m a c ) 强制访问控制是一种不允许主体干涉的访问控制类型，它是基于安全标 识和信息分级等信息敏感性的访问控制，通过无法回避的存取控制来防止各 种直接和间接的攻击。 强制访问控制也称为基于网格的访问控 | 目i j ( l b a c ：l a t i e e b a s e d a c c e s s c o n t r 0 1 ) 或多级安全( m u l t i l e v e ls e c u r i t y ) ，其核心思想是在系统中设置多个 安全等级，同时支持强制访问控制。主体和客体都被赋予安全级别，安全级 别包含两个元素：密级和范围。主体的安全级别反映主体的可信度；客体的 安全级别反映客体所含信息的敏感度。 m a c 在军事和市政安全领域应用较多，m a c 访问控制模型的优点是管 理集中，根据事先定义好的安全级别实现严格的权限管理，因此适宜于对安 全性要求较高的应用环境。但这种强制访问控制太严格，实现工作量太大， 管理不便，不适用于主体或客体经常更新的应用环境【2 b 】。 2 2 3 基于角色的访问控制f r b a c ) 二十世纪九十年代以来，随着对在线的多用户、多系统的研究不断深 入，角色的概念逐渐形成，并逐步产生了以角色为中心的访问控制模型。 基于角色的访问控制是指授权给用户的访问权限，通常由用户在一个组 织中担当的角色来确定，当用户被赋予一个角色时，用户具有这个角色所具 有的所有访问权限。目前，基于角色的访问控制模型正逐步被理论界和工业 界所接受。基于角色的访问控制策略中，用户、角色与权限的关系如图2 1 所示。 哈尔滨理工大学工学硕士学位论文 图2 - 1 用户、角色与权限的关系 f i g 2 - 1r e l a t i o na m o n gu s e r ，p e r m i s s i o na n dr o l e r b a c 从控制主体的角度出发，根据管理中相对稳定的职权和责任来划 分角色，将访问权限与角色相联系，这点与传统的m a c 和d a c 将权限直 接授予用户的方式不同；通过给用户分配合适的角色，让用户与访问权限相 联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。相比较而 占，r b a c 是实施面向企业的安全策略的一种有效的访问控制方式，其具有 灵活性、方便性和安全性的特点，目前在大型数据库系统的权限管理中得到 普遍应用。研究人员己经逐渐认识到强制访问控制和自主访问控制理论不能 够反映越来越复杂的安全需求，基于角色的访问控制作为近些年来产生的理 论仍然在不断的完善，并最终作为强制访问控制和自主访问控制的替代策 略。 2 3 访问控制实现机制 访问控制的实现方式一般有访问控制矩阵( a c c e s sc o n t r o lm a t r i x ， a c m ) 。访问控制列表( a c c e s sc o n t r o ll i s t s ，a c l s ) ，访问能力列表( a c c e s s c a p a b i l i t i e sl i s t s ) 及访问控制安全标签列表( a c c e s sc o n t r o ls e c u r i t yl a b e l s l i s t s 。a c s l l s ) 等四种方式 2 9 1 1 ”1 ，下文将详细介绍这四种方式： 2 3 1 访问控制矩阵 访问矩阵是访问控制实现方法的基础，基本思想就是将所有的访问控制 信息存储在一个全局矩阵a 中，a 中的行对应于主体，列对应于客体，a 中的每一个元素a i ，j 】表示主体i 对客体j 所具有的访问权限。例如：设某 一系统中，有主体u s e r l 、主体u s e r 2 、主体u s e r 3 以及四个客体o b j e c f l ， o b j e c t 2 ，o b j e e t 和o b i e c “。其访问控制矩阵授权关系如表2 1 所示。 其中o w n 代表主体完全拥有客体，r 代表主体可以对客体进行读操 作，w 代表主体可以对客体进行写操作。 访问控制矩阵的实现很易于理解，但是查找和实现起来有一定的难度 度，而且，如果主体用户和客体对象很多，那么控制矩阵将会成几何级数 增长，这样对于增长的矩阵而言，会有大量的空余空间。 哈尔滨理工大学工学硕士学位论文 表2 - 1 访问控制矩阵 t 曲l e2 1a c c e s sc o n t r o im a t r i x 0 b j e c t l0 b j e c t 20 b j e c t 30 b j e c t 4 u s e r lo w nrw u s e r 2o w no w n u s e r 3wrwr 2 3 2 访问控制列表 访问控制列表是以系统中的每个客体为出发点，是针对每个访问的目标 而不是针对每个访问的发起者。每个客体各自将能对自己访问的主体信息以 列表的形式保存起来，当某个主体对客体进行访问时，根据该客体保存的信 息来判断是否允许该主体访问【2 9 i ，例如，对于表2 - 1 中的访问控制矩阵所表 示的访问控制关系，对应的访问控制列表如图2 - 2 所示： 型骂匿卜图 l 固il f 螋堂il ( i 型马匿卜图l ( 坠l l ( 塑) i l ( 望丑il f 盟尘il 【垦) j 图2 - 2 访问控制列表 f i 2 2 2a c c c s sc o n t r o l l i s t s 2 3 3 访问能力列表 访问能力列表和访问控制表相反，它是按主体域来划分权限的，也就是 说访问能力列表标明了某主体对所有的对象有怎样的操作权限。访问能力列 表的最基本形式是对一个客体访问权限的索引，它的基本内容是每一个“客 体权限”对被认为是一个单独的实体，一个主体如果能够拥有这个“客体 权限”对，则该主体拥有该客体某项访问权限的能力。能力单独形成一个列 表，在主体和客体建起索引功能。图2 - 2 中的访问控制列表可以用图2 3 中 的访问能力列表所表示。 哈尔滨理工大学工学硕士学位论文 i ( 业堂i 。i 【曼) i i ( 堕) i 图2 - 3 访问能力列表 f i g 2 - 3 a c c e s sc a p a b i l i t i e sl i s t s 采用能力列表的方式具有以下优点【2 9 l 【3 0 1 ：更容易提供给主体对客体的多 重访问权限：更容易与稗序语言相结合：命名和防护机制能够统一。 2 3 4 访问控制安全标签列表 安全标签是限制和附属在主体或客体上的一组安全属性信息【3 0 1 。访问 控制标签列表是限定一个用户对一个客体目标访问的安全属性集合。访问控 制标签列表如表2 2 所示，左侧为用户对应的安全级别，右侧为文件系统对 应的安全级别。假设请求访问的用户u s e l 的安全级别为低级，那么u s e r l 请求访问文件f i l e l 时，由于文件f i l e l 的安全级别是高级，访问会被拒 绝；当u s e r 2 请求访问文件f i l e 2 时，因为f i l e 2 的安全级别是低级的，所 以允许访问。 表2 - 2 访问控制安全标签列表 t a b l e2 - 2a c c e s sc o n t r o ls e c u r i t yl a b e l sl i s t s 用户安全级别文件安全级别 u s e r l 低 f i l e l 高 u s e r 2 中 f i l e 2 低 安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执 行安全策略，因此，强制访问控制经常会用到这种实现机制。 2 4 基于角色的访问控制模型 2 4 1 基本组成和概念 r b a c 是作为一种被证明了的将传统m a c 和d a c 有机结合模型出现 哈尔滨理工大学工学硕士学位论文 的，为了规范用户到数据和系统资源的访问，r b a c 需要区分系统中的角 色。角色可以视为和一个特殊的工作活动相关的语法，通过它可以形式化 访问控制策略。与权限直接分配给用户的访问控制系统比较，r b a c 将权限 与角色联系，用户被分配为合适角色的成员，从而获得角色的权限，这极 大地简化了权限的管理。角色可以分配新的权限，像新的应用和系统的组 成部分，权限同样可以根据需要撤销。 r b a c 中主要的基本组成元素和术语如下】【3 1 】： 1 用户( u s e r ) 指一个可以独立访问计算机系统中的数据或者用数据表 示的其它资源的主体。用户可以是自然人，也可以是具有自主行为的机器 人、计算机、网络、或智能自动化代理等。我们用u 代表用户的集合，用 u s e r 代表某个用户。 2 角色( r o l e ) 指一个组织或任务中的工作或者职务，与组织中的工作 岗位相对应，反映指派给该角色的用户所拥有的一种权利、资格或责任。 我们用r 代表角色的集合，用r 代表某个角色。 3 对象( o b j e c t ) 指系统的任意一个资源主体，是用户进行访问的目 标。可以是一个文件、打印机、终端或数据库记录等。我们用o b 代表对象 的集合，用o b 代表某个对象。 4 操作( o p e r a t i o n ) 指一个可执行程序的映象，主要指为用户执行某些 功能。我们用o p 代表操作的集合，用o p 代表某个操作。 5 权g 艮( p e r m i s s i o n ) 指一个二元组( o p ，o b ) ，是一个抽象概念，表示对 系统中的一个或多个数据对象进行某种访问方式的许可权。其中o b 指一个 对象，o p 表示对o b 的某种操作。我们用p 代表访问权限的集合，用p 代表 某个权限。 6 会话( s e s s i o m 指一个用户对应多个角色的映射，当用户激活了部分 或全部他被授予的角色时，他就建立了一个会话，用户实际可以执行的权 限是这次会话期间被激活的角色的权限。我们用s 代表一个进程的会话集 合，用s 代表某个会话。用户是静态概念，会话是一个动态概念。一个会话 是用户的一个活跃进程，它代表用户与系统的交互。 7 用户指派( u s e ra s s i g n m e n t ) 是用户集u 到角色集r 的一种多对多的 关系，用u a 来表示，即有u a u r ，也称为角色授权( r o l e a u t h o r i z a t i o n ) 。( u ，r ) u a 表示用户u 拥有角色r ，从语义上来说就表示u 拥有r 所具有的权限。 8 权限指派( p e r m i s s i o na s s i g n m e n t ) 是权限集合p 与角色集合r 的一 哈尔滨理工大学工学硕士学位论文 种多对多的关系，用p a 来表示，即有p a gp x r ，( p ，r ) e p a 从语义上来 说就表示权限p 被赋予角色r ，拥有角色r 的用户拥有权限p 。 9 角色激活( r o l ea c t i v a t i o n ) 是指用户从被授权的角色中选择一组角色 的过程。 1 0 角色继承关系( r o l ei n h e r i t a n c e ) 是角色集r 中元索间的一种偏序关 系，如果r 1 继承自r 2 ，那么r 1 拥有大于等于r 2 的权限，因此我们用符号2 来表示这个偏序关系： 自反性：v r e r ，r r ： 反对称性：v r l ，r ，r ，r 1 r2n r2 r 1j r l = r ，； 传递性：v r l ，r ，r 1 r ，r l r ，n r ，- r 1 等r l r2 ； 从语义上来说，两个角色r ，2 r ，是指前者比后者级别更高，具有更大的 权利。形式化的说，r r ，蕴涵r ，对应的权限指派r ，也拥有，同时r 1 对应 的用户指派r2 也拥有，即：rl r2 p e r m i s s i o n ( r2 ) p e r m i s s i o n ( r1 ) n u s e r ( r 1 ) u s e r ( r2 ) 其中p e r m i s s