（计算机应用技术专业论文）权限控制一致性检测的研究与实现.pdf

c l a s s i f i e di n d e x ： ： u d c ： 。 i ， h 二 ad i s s e r t a t i o nf o rt h ed e g r e eo f m e n g r e s e a r c ha n dr e a l i z a t i o no nc o n s i s t e n c y d e t e c t i o no f a c c e s sc o n t r o l c a n d i d a t e s u p e r v i s o r a c a d e m i cd e g r e ea p p l i e df o r s p e c i a l i t y d a t eo fs u b m i s s i o n d a t eo f0 r a le x a m i n a t i o n u n i v e r s i t y ：b lx i a o y a n ：p r o f z h a n gw e n y i ：m a s t e ro fe n g i n e e r i n g ：c o m p u t e ra p p l i e dt e c h n o l o g y ：j a n u a r y ，2 0 1 0 ：m a r c h ，2 0 1 0 ：h a r b i ne n g i n e e r i n gu n i v e r s i t y 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导下，由 作者本人独立完成的。有关观点、方法、数据和文献的引用已在 文中指出，并与参考文献相对应。除文中已注明引用的内容外， 本论文不包含任何其他个人或集体已经公开发表的作品成果。对 本文的研究做出重要贡献的个人和集体，均已在文中以明确方式 标明。本人完全意识到本声明的法律结果由本人承担。 作者( 签字) ：磅罐犯季匕 日期：卯，夕年孑月i1 日 哈尔滨工程大学 学位论文授权使用声明 本人完全了解学校保护知识产权的有关规定，即研究生在校 攻读学位期间论文工作的知识产权属于哈尔滨工程大学。哈尔滨 工程大学有权保留并向国家有关部门或机构送交论文的复印件。 本人允许哈尔滨工程大学将论文的部分或全部内容编入有关数据 库进行检索，可采用影印、缩印或扫描等复制手段保存和汇编本 学位论文，可以公布论文的全部内容。同时本人保证毕业后结合 学位论文研究课题再撰写的论文一律注明作者第一署名单位为哈 尔滨工程大学。涉密学位论文待解密后适用本声明。 本论文( 口在授予学位后即可啦授予学位1 2 个月后 口解密后) 由哈尔滨工程大学送交有关部门进行保存、汇编等。 作者( 签字) ：q 城 日期：刀眇年弓月f 7 日 导师( 签字) ：维又绂 刃厂汐年多月，7 日 哈尔滨一l ：程大学硕十学何论文 摘要 随着网络技术的不断发展，内部网络发挥着越来越大的作用，但同时， 信息泄露问题给内网带来极大的安全隐患，因此，计算机网络安全技术变得 越来越重要，访问控制技术也随之发展起来。 本文先对权限访问控制技术的研究背景和研究现状进行阐述，然后对权 限控制产品防水墙技术进行分析，指出现在的权限控制产品的漏洞产生原因， 从而引出本文的主要思想，提出权限控制一致性和完备性检测。 对权限控制一致性检测用到的关键技术进行研究，对访问控制技术中的 访问控制方法、访问控制策略以及访问控制的实现形式进行分析，对主流的 基于角色的访问控制模型、基于任务的访问控制模型和基于对象的访问控制 模型进行深入研究，为权限控制检测研究与实现奠定基础。 本文重点内容部分先对权限控制产生的漏洞问题进行深入剖析，针对这 些问题的解决方案，对权限和权限之间的关系进行定义，编制权限规则，制 定完备的访问控制策略，对权限进行一致性和完备性分析。 最后，根据权限控制检测的设计方案，进行进行权限控制检测的实例化。 对信息系统的权限策略漏洞进行检测，修正权限控制模型。 关键词：访问控制；r b a c ；安全策略：权限规则；一致性：完备性 ， 一 哈尔滨下稗大学硕十学何论文 a b s t r a c t w i t ht h ec o n t i n u o u sd e v e l o p m e n to fn e t w o r kt e c h n o l o g y , t h ei n t e r n a l n e t w o r ki sp l a y i n ga ni n c r e a s i n g l yl a r g e rr o l e ，b u ta tt h es a m et i m e ，t h e i n f o r m a t i o nl e a kt ot h ei n t e m a ln e t w o r kt ob r i n gag r e a ts e c u r i t yr i s k t h e r e f o r e ， c o m p u t e rn e t w o r ks e c u r i t yt e c h n o l o g yb e c o m e si n c r e a s i n g l ym o r ei m p o r t a n t ， a c c e s sc o n t r o lt e c h n o l o g ya l s ow i l lb ed e v e l o p e d t h i sa r t i c l ef i r s t p e r m i s s i o n t oa c c e s sc o n t r o l t e c h n o l o g y r e s e a r c h b a c k g r o u n da n dr e s e a r c hd e s c r i b e dt h e c u r r e n ts i t u a t i o n ，a n dt h e na n a l y z e s t e c h n o l o g yo fa c c e s sc o n t r o lp r o d u c t s ，w a t e r p r o o fw a l l p o i n t e do u tt h a tt h e c u r r e n ta c c e s sc o n t r o lp r o d u c t sc a u s e st h ev u l n e r a b i l i t y , w h i c hl e a d st ot h em a i n i d e a so ft h i sa r t i c l e ，m a k ea c c e s sc o n t r o l c o n s i s t e n c ya n dc o m p l e t e n e s s o f d e t e c t i o n r e s e a r c ht h ek e yt e c h n o l o g yo nc o n s i s t e n c yd e t e c t i o no fa c c e s sc o n t r 0 1 a n d r e s e a r c ho na c c e s sc o n t r o lt e c h n o l o g yi nt h ea c c e s sc o n t r o lm e t h o d s ，a c c e s s c o n t r o lp o l i c y ，a sw e l la st h er e a l i z a t i o no ft h ef o r mo fa c c e s sc o n t r 0 1 s t u d y i n g m a i n s t r e a mr o l e b a s e da c c e s sc o n t r o lm o d e l ，t a s k b a s e da c c e s st oc o n t r o lm o d e i a n do b j e c t - b a s e da c c e s st oc o n t r o lm o d e li n d e p t h l a yt h ef o u n d a t i o nf o r r e a l i z a t i o no fd e t e c t i o no fa c c e s sc o n t r 0 1 t h i sa r t i c l ef o c u s e so nt h ec o n t e n to fi n d e p t ha n a l y s i so fv u l n e r a b i l i t i e si n a c c e s sc o n t r 0 1 f o rs o l u t i o n st oa d d r e s st h e s ei s s u e s ，a u t h o r i t ya n dt h er e l a t i o n s h i p b e t w e e nt h ea u t h o r i t i e sa r ed e f i n e d a c c e s sr u l e sa r ef o r m u l a t e d c o m p l e t ea c c e s s c o n t r o l p o l i c yh a sb e e nd e v e l o p e d a n da n a l y s i s o ft h ec o n s i s t e n c ya n d c o m p l e t e n e s so fa c c e s sc o n t r 0 1 f i n a l l y , a c c o r d i n gt ot h ed e s i g no fa c c e s sc o n t r o l d e t e c t i o nc a r r i e do u tt o d e t e c ti n s t a n c e so fa c c e s sc o n t r 0 1 c o m p e t e n c eo fi n f o r m a t i o ns y s t e m ss t r a t e g y f o rv u l n e r a b i l i t yd e t e c t i o n a c c e s sc o n t r o lm o d e lf o rt h ea m e n d m e n t k e y w o r d s ：a c c e s sc o n t r o l ；r b a c ；s e c u r i t yp o l i c y ；p e r m i s s i o n r u l e s ； c o n s i s t e n c y ；c o m p l e t e n e s s 哈尔滨t 程人学硕十学位论文 目录 摘要5 a b s t r a c t 7 目录1 第1 章绪论4 1 1 引言。4 1 2 研究现状5 1 3 论文的主要工作6 1 4 论文的组织结构6 第2 章访问控制技术概述8 2 1 访问控制方法8 2 1 1 自主访问控制9 2 1 2 强制访问控制1o 2 1 3 基于角色的访问控制1 l 2 1 4 基于任务的访问控制1 2 2 2 访问控制策略。1 4 2 2 1 基于身份的安全策略1 5 2 2 2 基于规则的安全策略15 2 3 访问控制的实现形式16 2 3 1 访问控制表1 6 2 3 2 访问控制矩阵1 6 2 3 3 访问控制能力列表1 6 2 3 4 访问控制安全标签列表1 7 2 4 访问控制模型。1 7 2 4 1 基于角色的访问控制模型1 7 2 4 2 基于任务的访问控制模型2 0 2 4 3 基于对象的访问控制模型2 3 2 5 本章小结2 4 哈尔滨t 稗大学硕十学何论文 第3 章权限控制检测的研究和实现2 5 3 1 权限控制问题分析一2 5 3 2 权限控制定义分析2 8 3 2 1 权限各要素分析2 8 3 2 2 权限概念分析3 0 3 2 3 权限之间的关系定义3 0 3 2 4 基于角色的权限模型分析3 3 3 3 权限规则设计及实现3 6 3 3 1 权限规则定义3 6 3 3 2 权限规则描述3 7 3 4 访问控制策略设计及实现3 9 3 4 1 访问控制策略类型3 9 3 4 2 访问控制策略定义4 0 3 4 3 访问控制策略的实现4 l 3 5 权限控制检测分析设计4 6 3 5 1 一致性分析4 6 3 5 2 完备性分析4 7 3 6 本章小结。4 7 第4 章权限控制检测的应用实例分析4 8 4 1 权限控制检测建模流程分析4 9 4 2 权限控制检测应用实例分析。5 1 4 2 1 业务模型分析5 2 4 2 2 权限模型分析5 3 4 2 3 岗位、角色、职责及权限分配5 5 4 2 4 功能、角色及权限分配5 5 4 2 5 人员主体授权5 6 4 2 6 权限一致性问题分析。5 6 4 3 本章小结5 7 论5 8 考文献5 9 哈尔滨t 稃大学硕十学何论文 致谢，u 哈尔滨下稃人学硕十学位论文 1 1 引言 第1 章绪论 随着计算机技术和网络技术的发展，信息安全问题同益凸显，许多敏感 的信息和技术都是通过计算机控制和管理的，如办公自动化软件、各种管理 系统、财务系统等，这些应用系统往往非常庞大，不同业务流程间经常需要 相互作用以共享信息和资源，而资源的共享必然会引发一系列的安全问题， 计算机管理控制工作流在运行时产生流转的数据，系统中大量的用户会直接 接触这些数据，资源和信息的共享一方面给用户带来了方便，另一方面带来 了安全问题，人们很难设计出一种能适应各种情况的安全策略，安全策略太 严谨就会失去实用性，太松散则容易造成失控的局面，很可能会给系统带来 更多的漏洞，相当多的数值和信息资源对用户来说是很重要的，甚至是严格 保密的，一旦出现涉密、破坏的事件，将产生严重的后果。总的来说，信息 泄漏途径可为两类：移动存储介质带出和网络传输。无论是移动存储介质带 出，还是网络传输引起的信息泄漏，都由于权限控制策略本身所引发的系统 安全问题，正因为如此也就不能真正从根源上和机制上解决由权限控制引发 的系统安全问题。访问控制技术是一个安全信息系统不可或缺的安全措施， 对保护主机系统和应用系统的安全都有重要意义。为了能够从机制上彻底杜 绝权限类的系统安全问题，则需要强有力的检测手段用于验证权限的有效性、 完备性和一致性。 这需要合理可用的访问控制技术来对服务和资源的操作者的访问进行管 理控制，既要保证不让用户执行未授权的任务，又要保证授权用户顺利地执行 已经授权了的任务。既要保证未授权的用户不能访问有权限的资源，又要保 证已授权的用户可以合法访问资源。如果访问控制对操作者的的安全防护不 够，就会出现一些操作者执行非法操作，如果访问控制对操作者的安全防护过 严，会出现合法操作者访问被拒绝。 4 哈尔滨1 ：稃人学硕十学何论文 1 2 研究现状 信息系统的权限控制策略存在安全漏洞，会引发安全问题，因此建立完 善的权限控制策略是当务之急。一般在建立信息系统之初会设立权限控制策 略，但难以保证其正确性和完整性，设置权限时往往缺乏对权限的测评，在 复杂多变的应用环境中，尤其是大型应用系统人员变动、信息资源变动导致 的权限变更，往往考验信息系统的权限控制模型，如果系统投入使用前不进 行专业的、系统的、完整的权限控制检测，而直接投入使用，如果在使用过 程中出现安全问题，引发的后果是严重的，会导致不可估量的损失。 在系统投入运行前使用面向权限控制的系统安全机制进行仿真i l 】，对其进 行权限分析和风险分析，可以检测出由于权限控制模型设计不完善系统埋藏 的安全隐患。面向权限控制的系统安全机制仿真以细粒度的权限控制模型为 核心，对系统的权限体系进行一致性和完备性分析，在此基础上完善系统的 权限控制模型，消除系统的安全隐患1 2 l 。 从人们开始关注信息安全到现在，信息和信息系统的安全威胁是不断发 展变化的，变化周期在不断缩短，攻击方式变化频繁，攻击性质从个人行为， 到组织行为，再发展到国家行为。随着电子政务和电子商务的进一步发展， 政府内网和企业内网的保密性要求远远高于传统的外部网络，政府内网传输 的信息关系着国家机密，企业内网传输的信息关系着企业的商业机密，为了 保护这些机密的安全，必须采取安全措施来保证信息网络的安全。 内部网络的信息泄漏问题已经被提到很重要的议事日程上来，相对于众 所周知的防火墙又出现防水墙，防火墙的产生是为了应对和防范外部的非法 入侵，防水墙的设计理念则是基于防泄漏，防止系统内部的信息像水一样外 泄，对内部的涉密信息、重要业务数据和创新技术进行保护，基于事前防范、 事中控制和事后追踪的设计思想，这往往需要设备驱动技术、文件驱动技术、 防火墙技术、密码学技术、身份识别技术和操作系统核心技术等一系列先进 的底层控制技术来实现。网络、外设接口、存储介质和打印机构成信息泄漏 的全部途径，防水墙正是针对这四种泄漏途径，对信息系统进行全面的防护。 各个厂家的防水墙的功能类似，是内网监控系统，这些信息防泄漏产品 的本质都是建立在权限控制策略之上，这个权限控制策略是未经验证的，因 哈尔滨r ：徉人学硕十学何论文 而这些产品也就无法识别由于策略本身的漏洞引起的信息泄漏。关于权限控 制类安全产品，要从根本上防止信息泄漏，必须要做的是检测权限控制策略 是否有漏洞，权限控制模型是否完善，本文提出权限控制一致性检测，其定 位是为政府或者企业提供权限控制的一致性和完备性的检测，评估其权限控 制策略的安全性，并指导用户改善其权限控制模型。 1 3 论文的主要工作 本文提出权限控制一致性检测，对权限控制策略进行仿真，用来检测权 限控制策略本身的漏洞问题，对系统安全运行机制进行权限分析和风险评估， 指导用户完善的权限控制策略，建立完善的权限控制模型。本文重点研究以 下问题： 1 、研究权限控制一致性检测的关键技术，包括访问控制方法、访问控制 策略和访问控制的实现形式。 2 、研究访问控制模型，对基于角色的访问控制模型、基于任务的访问控 制模型和基于对象的权限管理模型进行分析。 3 、研究权限控制一致性和完备性检测，分析权限控制策略的本身的漏 洞，依照权限的来源途径，分析权限漏洞，定义权限检测规则，进行权限控 制的一致性和完备性的分析。 1 4 论文的组织结构 本文的结构和章节安排如下： 第一章绪论。对本文课题的研究背景进行分析，阐明了课题的研究现 状，提出了论文的研究内容。 第二章访问控制技术研究。针对权限控制一致性检测问题，深入研究 分析了访问控制技术，包括：访问控制方法、访问控制策略、访问控制的实 现形式，对基于角色的访问控制模型、 的权限管理模型进行深入细致的分析， 基于任务的访问控制模型、基于对象 为后续与之有关的研究打下基础。 第三章权限控制检测的研究和实现。本章是本文的重点内容之一，对 权限进行分析定义，对权限规则进行进行分析，对访问控制策略进行分析， 6 对角色进行 第四章 给出了权限 第五章 下一步研究 7 和方法，因而该技术得以迅速发展，在网络安全技术领域占有举足轻重的作 用。访问控制技术在近4 0 年的发展过程中，先后出现过几种主流的技术，主要 有自主访问控制、强制访问控制、基于角色的访问控制和基于任务的访问控 制，这四种访问控制技术各有特色，但其基本目标都是防止非法用户进入系 统和防止合法用户对不被授权的系统资源的非法使用。为了实现合法用户使 用被授权的信息资源，访问控制常常以用户身份认证为前提经过授权，在此 基础上依据各种访问控制策略通过各种访问控制的实现形式，来控制和规范 用户在系统中的行为。 2 1 访问控制方法 访问控制技术有四种主要的访问控制方法，分别为自主访问控制、强制 访问控制、基于角色的访问控制和基于任务的访问控制，在上述四种方法各 有特点，分别适用于不同的信息系统。通常自主访问控制，通过访问控制表 来限定哪些主体对应哪些客体可以执行什么操作，自主访问控制管理能力较 弱，访问权的管理较难；强制访问控制管理能力较强，访问控制性较好，但 系统访问的灵活性较差；基于任务的访问控制比较复杂，权限粒度划分得较 细，依据任务和任务状态的不同，对权限进行动态管理；基于角色的访问控制 是将访问权限分配给角色，用户担当一定角色，当用户改变时，只需进行角 色的撤销和重新分配，访问控制灵活性较好，访问权的管理也相对容易，因 而，基于角色的访问控制目前应用得最为广泛。 哈尔滨i ：科大学硕十学何论文 2 1 1 自主访问控制 自主访问控制【3 ) ( d a c ) 是随分时系统的出现而产生的，其基本思想是： 系统中的主体( 用户或用户进程) 可以自主地将其拥有的对客体的访问权限 ( 全部或部分地) 授予其它主体，自主访问控制的实现方法一般是建立系统 访问控制矩阵，矩阵的行对应系统的主体，矩阵的列对应系统的客体，元素 用来表示主体对客体的访问权限。在实际应用中为了提高系统性能，常常建 立基于行或列的访问控制方法。 基于行的访问控制方法是在每个主体上都附加一个该主体可以访问的客 体的明细表，根据表中信息的不同可分为三种形式：权能表( c a p a b i l i t i e s l i s t ) 、前缀表( p o r f i l e s ) 和口令( p a s s w o r d ) 。权能表由主体是否可以对客体 进行访问以及进行何种形式的访问构成，访问的形式可以是读、写、改、执 行等，一个拥有某种权力的主体可以按一定方式访问客体，并且在进程运行 期间可以添加或删除访问权限。前缀表由受保护的客体名以及主体对它的访 问权构成，当主体要访问某一客体时，自主访问控制系统将遍历前缀表，检 查主体的前缀是否具有它所请求的访问权。口令机制是对于每个客体，甚至 客体的每种访问模式都设置一个口令，主体访问客体时首先向操作系统提供 该客体的口令。 基于列的自主访问控制是对每个客体附加一个可访问它的主体的明细 表。根据表中的信息的不同可分为两种形式：保护位( p r o t e c t i o nb i t s ) 和访 问控制表( a c l ： a c c e s sc o n t r o ll i s t ) 。保护位是对所有的主体指明一个访 问模式集合，由于它过于简单，不能清楚完备地表达访问控制矩阵，因而应 用的很少。访问控制表是在客体上附加一主体明细表的方法来表示访问控制 矩阵，它可以决定任一主体是否能够访问该客体，访问控制表由主体的身份 和对客体的访问权构成，访问控制表是实现自主访问控制的最好的方法，因 而应用广泛。 l i n u x u n i x ，w i n d o w sn t 或是s e r v e r 版本的操作系统都提供自主访问 控制的功能【一l 。这些操作系统根据访问控制列表的用户权限，允许和限制用 户使用客体的资源，这种对用户提供灵活的数据访问方式，使得d a c 广泛应 用在商业和工业环境中，由于用户可以任意传递权限，那么，没有访问文件 9 哈尔滨t 稗大学硕十学何论文 ( f i l e l ) 权限的用户a 就能够从有访问权限的用户b j j g 里得到访问权限。 尽管自主访问控制已在许多系统中得以实现，然而自主访问控制有一个 致命弱点：访问权的管理相当困难，因为授予的访问权是可以传递的，一旦 访问权被传递出去将难以控制，会带来严重的安全问题。除此之外，自主访 问控制不保护受保护的客体产生的副本，对此副本是不设防的，即一个用户 虽然不能访问某一客体，但却能够访问该客体的拷贝，这就增加了管理的难 度。在大型信息系统中往往主、客体的数量巨大，无论使用哪一种形式的自 主访问控制，所带来的系统开销都是难以支付的，效率相当低下，难以满足 大型应用特别是网络应用的需要【s l 。 2 1 2 强制访问控制 强制访问控制【，l ( m a c ) 源于对信息机密性的要求以及防止特洛伊木马 之类的攻击，m a c 通过强制存取限制来阻止非法入侵，系统强制主体服从访 问控制政策，系统中的主体、客体都被分配一个指定标记，利用这个标记来 决定一个主体是否可以访问某个客体，标记是强制性的，由安全管理员( s o ： s e c u r i t yo f f i c e r ) 分配，用户或用户进程不能改变自身或其它主、客体的标记。 强制访问控制的本质是基于格的非循环单向信息流政策，系统中每个主体都 被授予一个安全证书，而每个客体被指定为一定的敏感级别。强制访问策略 有四个访问级别：最高秘密级，秘密级，机密级及无级别级。系统根据主体 和客体的敏感标记来决定访问模式。访问模式也有四种，分别是：下读即用 户级别大于文件级别的读操作；上写即用户级别小于文件级别的写操作；下 写即用户级别等于文件级别的写操作；上读即用户级别小于文件级别的读操 。访问控制的两个关键规则是：不向上读和不向下写，即信息流只能从低 全级向高安全级流动，任何违反非循环信息流的行为都是被禁止的。 强制访问控制对专用的或简单的系统是有效的，强制访问控制一般采用 下三种控制方法：限制访问控制、过程控制和系统限制。限制访问控制不 许用户程序自主的修改用户存取控制表，如果用户必须要修改的话，则要 求一个特权系统调用，并且要依据用户终端输入的信息才可以执行该功能。 程控制是对过程运行采取某些措施，如运行系统目录以外的程序时对用户 l o ， 一 哈尔滨一i ：样人学硕十学何论文 提出警示等等。系统限制是对系统功能的实施采取限制共享、限制用户编程 等限制方式。这些控制方法有效的阻止了特洛伊木马等的非法入侵，但同时 也给用户的使用带来了诸多不便。 m a c 起初主要用于军方的应用中，并且常与d a c 结合使用，主体只有通 过了d a c 与m a c 的检查后，才能访问进程、文件、设备等某个客体。由于 m a c 对客体施加了更严格的访问控制，因而可以防止特洛伊木马之类的程序 窃取受保护的信息，同时m a c 对用户意外泄漏机密信息的可能性也有预防能 力。由于m a c 增加了不能回避的访问限制，但却影响了系统的灵活性；另一 方面，虽然m a c 增强了信息的机密但不能实施完整性控制，而一些完整性控 制策略却可以实现机密性的功能【6 】。网络应用日益广泛的时代，网上信息更 需要完整性，m a c 的网上应用极为不便。最后，在m a c 系统中实现单向信息 流的前提是系统中不存在逆向潜信道的存在会导致信息违反规则的流动。而 现代计算机系统中这种潜信道是难以去除的，如大量的共享存储器以及为提 升硬件性能而采用的各种c a c h e 等，这给系统增加了安全性漏洞【2 l 。 2 1 3 基于角色的访问控制 计算机网络的发展，对网络技术要求在逐步提高，特别是i n t r a n e t 的广泛 应用，信息的完整性要求超过了机密性，而传统的d a c 和m a c 策略或者安全 防护较低或者安全防护限制过多，难以提供这方面的支持，9 0 年代以来n i s t ( n a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ) 提出了基于角色的访问控制 t 4 j t 5 1 r b a c 的概念，r b a c 的突出优点是简化了各种环境下的授权管理，在d a c 和m a c 系统中访问权限直接授予用户，而系统中的用户数量众多而且经常变 动，这就增加了授权管理的复杂性。r b a c 正是从解决这一限制出发，该思 想是将访问权限分配给角色，系统的用户担任一定的角色，系统中的角色是 固定不变的、相对稳定的，用户行使权限时，只需和特定的角色进行绑定即 可。角色实际上是与特定工作岗位相关的一个权限集，当用户改变时只需进 行角色的撤消和重新分配。下面了解一下r b a c 的一些基本概甜，1 。 ( 1 ) 主体( s u b j e c t ) ：是可以对其它实体实施操作的主动实体，通常是系 统用户或代理用户行为的进程。 ( 2 ) 的系统 一时刻 ( 3 ) 用户标 凫户身 ( 4 ) 内部的 ( 5 ) 在客体 个重要 ( 6 ) 用户角色分配( u s e rt or o l ea s s i g n m e n t ) ：为用户分配一定的角色， 即建立用户与角色的多对多关系。 ( 7 ) 角色权限分配( p e r m i s s i o nt or o l ea s s i g n m e n t ) ：为角色分配一组访 问权限，即建立角色与访问权限的多对多关系，这样通过角色将用户与访问 权限联系起来，用户访问权限是其所属诸角色的访问权限的总和。 ( 8 ) 会话( s e s s i o n ) ：在特定环境下一个用户与一组角色的映射，即用户为 完成某项任务而激活其所属角色的一个子集，激活角色权限的并集即为该用 户的当前有效访问权限。 2 1 4 基于任务的访问控制 t b a c 是一种新的安全模型，从应用和企业层角度来解决安全问题，而 非以往从系统的角度来解决安全问题，它采用“面向任务”的观点，从任务 或者活动的角度来建立访问控制安全模型和实现安全机制，在任务处理的过 程中提供动态实时的安全管理i s l i g l i i o l 。随着数据库、网络、分布式计算的发展， 任务和服务信息的自动化处理方式成为热点，在工作流的访问控制应用中， 传统的自主访问控制和强制访问控制就显得力不从心，即使是i i a c 也因为 数据在工作流中流动，导致用户频繁的转换角色，因而引起使用和维护的不 便，正是在这一背景下，基于任务的访问控制产生了，在t b a c 中，对象的 1 2 哈尔滨t 程大学硕十学何论文 访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化， 这是我们称其为主动安全模型的原因。具体说来，t b a c 有两点含义，首先， 它是在工作流的环境考虑对信息的保护问题，在工作流环境中，每一步对数 据的处理都与以前的数据处理相关，相应的访问控制也是这样，因而t b a c 是一种上下文相关的访问控制模型。其次，它不仅能对不同工作流实行不同 的访问控制策略，而且还能对同一工作流的不同任务实例实行不同的访问控 制策略。这是“基于任务 的含义，所以t b a c 又是一种基于实例 ( i n s t a n c e b a s e d ) 的访问控制模型。最后，因为任务都有时效性，所以在基 于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。下面 介绍一下t b a c 的基本概念l 。 ( 1 ) 授权步( a u t h o r i z a t i o ns t e p ) ：表示一个原始授权处理步，是指在一个 工作流程中对处理对象的一次处理过程，它是访问控制所能控制的最小单元， 授权步由受托人集( t r u s t e e s e t ) 和多个许可集( p e r m i s s i o n ss e t ) 组成，其中， 受托人集是可被授予执行授权步的用户的集合，许可集则是受托集的成员被 授予授权步时拥有的访问许可，当授权步初始化以后，一个来自受托人集中 的成员将被授予授权步，则称这个受托人为授权步的执行委托者，该受托人 执行授权步过程中所需许可的集合称为执行者许可集，在t b a c 中，一个授 权步的处理可以决定后续授权步对处理对象的操作许可，将这些许可称为激 活许可集，执行者许可集和激活许可集一起称为授权步的保护态。 ( 2 ) 授权结构体( a u t h o r i z a t i o nu n i t ) ：授权结构体是由一个或多个授权步 组成的结构体，它们在逻辑上是联系在一起的，授权结构体分为一般授权结 构体和原子授权结构体，一般授权结构体内的授权步依次执行，原子授权结 构体内部的每个授权步紧密联系，其中任何一个授权步失败都会导致整个结 构体的失败。 ( 3 ) 任务( t a s k ) ：任务是工作流程中的一个逻辑单元，它是一个可区分的 动作，可能与多个用户相关，也可能包括几个子任务。 ( 4 ) 依赖( d e p e n d e n c y ) ：依赖是指授权步之间或授权结构体之间的相互 关系，包括顺序依赖、失败依赖、分权依赖和代理依赖。依赖反映了基于任 务的访问控制的原则。 一个工作流的业务流程由多个任务构成，而一个任务对应于一个授权结 1 3 哈尔滨t 稃大学硕十学位论文 构体，每个授权结构体由特定的授权步组成，授权结构体之间以及授权步之 间通过依赖关系1 1 3 联系在一起。 2 2 访问控制策略 访问控制策略也称安全策略，是用来控制和管理主体对客体访问的一系 列规则，它反映信息系统对安全的需求。在阐述访问控制策略之前，先了解 访问控制的粒度，访问控制的粒度涉及主体和客体两方面，主体通常是以用 户、i p 地址或者代理用户行为的进程为单位实施访问控制；客体的访问控制 粒度由粗到细分别是应用系统、网络系统、服务器系统、操作系统、数据库 管理系统、文件、数据库、数据库中的表、数据库表中的记录或字段。通常 来说，对系统级的访问，如访问应用系统、网络系统、服务器系统、操作系 统、数据库管理系统，是粗粒度的访问控制，而对在操作系统、数据库管理 系统中所提供的用户对文件或数据库表、记录或者字段的访问所进行的控制 是细粒度的访问控制。 安全策略的制定和实施是围绕主体、客体和安全控制规则集三者之间的 关系展开的，在安全策略的制定和实施中，要遵循下列原则【1 2 】：最小特权原 则、最小泄漏原则、多级安全策略、特权的时限性。 最小特权原则是系统安全中最基本的原则之一。所谓最小特权( l e a s t p r i v i l e g e ) ，指的是在完成某种操作时所赋予网络中每个主体( 用户或进程) 必不可少的特权。最小特权原则，则是指应限定网络中每个主体所必须的最 小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。 最小特权原则有两方面的含义：一方面给予主体必不可少的特权，这就 保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作， 保证了任务和操作的正常进行；另一方面，它只给予主体必不可少的特权， 不能赋予过多的特权，过多则意味着权限的泛滥和权限的不可控，这就限制 了每个主体所能进行的操作。 最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权， 而角色允许主体以参与某特定工作所需要的最小特权去签入系统。即使那些 被授权拥有强力角色的主体，也不需要动辄运用到其所有的特权去完成操作， 1 4 哈尔滨下程大学硕十学何论文 只有在那些特权有实际需求，如果不运用不能完成操作的情形下，主体才要 去运用这些特权。这样，才可以减少由于误操作或者侵入者假装合法主体进 行非法操作，从而引起损坏或者破坏事件的发生，限制了事故、错误或攻击 带来的严重的危害。最小特权原则还减少了特权程序之间潜在的相互作用， 从而使对特权无意的、没必要的或不适当的使用不发生或者减少此类事件的 发生。同样，对于程序也是如此，只有程序中需要那些特权才授予最小特权。 最小泄漏原则是指主体执行任务时，按照主体所需要知道的信息最小化 的原则分配给主体权力。 多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的 绝密、秘密、机密、限制和无级别五级来划分，多级安全策略的优点是避免 敏感信息的扩散，具有安全级别的信息资源，只有安全级别比他高的主体才 能够访问。 特权的时限性是指用户所拥有的权限不能永远不变，可以及时修改。应 为权限设置最短的时限，过时失效，需要特权时再重新授权。 访问控制的安全策略有以下两种实现方式【- 2 1 ：基于身份的安全策略和基 于规则的安全策略。目前使用的两种安全策略，他们建立的基础都是授权行 为。就其形式而言，基于身份的安全策略等同于d a c 安全策略，基于规则 的安全策略等同于m a c 安全策略。 2 2 1 基于身份的安全策略 基于身份的安全策略( i d b a c p ：i d e n t i f i c a t i o n b a s e da c c e s sc o n t r o l p o l i c i e s ) 的目的是过滤主体对数据或资源的访问，只有能通过认证的那些主 体才有可能正常使用客体资源，基于身份的策略包括基于个人的策略和基于 组的策略，基于身份的安全策略一般采用能力表或访问控制列表进行实现， 这些列表限定了针对特定的客体，用户可以实现何种操作行为。 2 2 2 基于规则的安全策略 基于规则的安全策略中的授权通常依赖于敏感性，在一个安全系统中， 数据或资源被标注安全标记( t o k e n ) ，代表用户进行活动的进程可以得到与 哈尔滨i ：释大学硕十学何论文 其原发者相应的安全标记，基于规则的安全策略在实现上，由系统通过比较 用户的安全级别和客体资源的安全级别来判断是否允许用户可以进行访问。 2 3 访问控制的实现形式 安全策略是由一系列访问控制规则组成的，如何表达和使用这些规则来 实现访问控制，是访问控制策略的重点。由于访问控制规则的表达和使用方 式很多，访问控制的实现需要选定一种适合的方式，每种方式各具特点，在 具体实施中，可根据实际情况进行选择和处理，常用的访问控制有以下几种 形式【1 2 】。 2 3 1 访问控制表 访问控制表( a c l ：a c c e s sc o n t r o ll i s t ) 是以文件为中心建立的访问权 限表，是用户和设备可以访问的那些现有服务和信息的列表，访问控制表 中定义了哪些数据允许访问，哪些数据不允许访问。访问控制表主要优点在 于实现简单、表述直观、便于理解，比较容易查出对某一特定资源拥有访问 权限的所有用户，从而有效地实施授权管理，它是目前大多数操作系统( 如 w i n d o w s 、l i n u x 等) 采用的访问控制方式。 2 3 2 访问控制矩阵 访问控制矩阵( a c m ：a c c e s sc o n t r o lm a t r i x ) 是通过矩阵形式表示访问 控制规则和授权用户权限的方法，涉及系统中主体的集合，系统中客体的集 合，还有主体对客体的访问权限集合，对每个主体而言，都拥有对哪些客体 的哪些访问权限，而对客体而言，有哪些主体可对它实施访问，将这种关联 关系加以阐述就形成了控制矩阵。 2 3 3 访问控制能力列表 能力是访问控制中的一个重要概念，它是指请求访问的发起者所拥有的 一个有效标签( t i c k e t ) ，它授权标签表明的持有者可以按照何种访问方式访 1 6 哈尔滨1 ：稃人学硕十学何论文 问特定的客体。访问控制能力列表与访问控制表正好相反，访问控制能力表 ( a c c l ：a c c e s sc o n t r o lc a p a b i l i t i e sl i s t ) 是以用户为中心建立访问权限表。 如果赋予一个主体具有一种能力，说明了这个主体拥有了一定的权限，这个 能力的实现有两种方式，可传递的和不可传递的，可传递的能力说明一些能 力可以由主体传递给其他主体使用，不可传递的能力不能被传递给其他主体 使用。 2 3 4 访问控制安全标签列表 安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签 的含义比能力更为广泛和严格，因为它实际上还建立了一个严格的安全等级 集合。访问控制标签列表( a c s l l ：a c c e s sc o n t r o ls e c u r i t yl