（计算机软件与理论专业论文）一种动态rbac模型研究.pdf

一种动态r b a c 模型研究 计算机软件与理论专业 研究生黄锐指导教师李涛 访问控制是网络安全技术中一个重要的研究领域。传统的访问控制机制 如自主型访问控制和强制型访问控制，随着应用环境逐渐复杂，已远远不能 满足现代系统安全的需求。基于角色的访问控制r b a c ( r o l e b 私e da c e s c o n t r 0 1 ) 在系统中引入了角色的概念，去除了用户与资源之间关系的直接耦合 强调了访问控制中抽象的重要性，增加了系统在制定访问控制策略与管理时 的灵活性。 然而，传统的r b a c 模型中并没有说明系统管理员如何为用户分配和撤 销角色，实现中往往采用了手工的静态方式来完成，导致的结果是企业管理 成本的增加。为解决上述问题，基于规则的角色访问控制模型 r b r b a c ( r u l e ，b e dr b a c ) ，在r b a c 模型中引入了规则的概念，通过规则 采用隐式的方法为用户分配相应的角色，系统管理员的工作可以由规则来自 动的完成一酆分。但，上述模型中共同的问题是，对角色的定义过于宽泛， 角色所代表的语义不明确，角色既要体现企业的逻辑结构又要反映系统的安 全策略然而这两个部分在企业中变化的程度是不同的，企业的逻辑结构在 很长一段时间内是不会变化的，因为它涉及到企业业务功能的部署；另一方 面随着企业应用环境的变化，比如，新的用户和新的资源的引入，企业需 要新的安全策略来应对。这种变化程度上的矛盾，需要对现有模型迸一步改 进和扩展。 本文在研究了已有诸多r b a c 模型的基础上，进一步对r b a c 模型进行 了扩展。重新定义了模型中角色的概念，在用户一角色分配方式上借鉴了基 于规则的角色访问控制：在角色一权限的分配上，为了适应安全策略的灵活 动态的调整，引入了上下文的概念。不仅具有基于规则的角色访问控制模型 已有的特性，此外，还考虑了用户和系统资源本身的状态，并建立了权限动 i 态转移的机制，增强了访问控制系统中的灵活性与动态性，为系统的决策者 和安全管理员在实施安全簧略时，提供了一种较为全面的参考模型。 本文主要工作如下： 对传统访问控制机制和模型做出总结，其中包括自主型访问控制、强 制型访问控制和基于角色的访问控制，并分析了它们各自的特性与存 在的弊端。 介绍了基于规则的角色访问控制，总结了该模型的缺点，为下面本文 的改进模型提供一种思考方式。 在基于规则的角色访问控制基础上，对现有的角色访问控制模型进行 了扩展。首先明确界定了系统安全管理员的工作，区分了组织的逻辑 结构与访问控制两个不同的考虑范围。然后。重新定义了角色的概念， 引入了上下文的概念，在此基础上给出了一个改进的基于上下文的角 色访问控制的基本模型。根据这个基本模型，给出了一个建议性的实 现模型，定义了用户和系统资源的状态以及权限层次、权限转移函数 等，详细深入地描述了本模型中对r b a c 模型的角色一权限分配改进 的整个过程， 关键词；访问控制，自主型访问控制。强制型访问控制，基于角色的访问控 制，基于规则的角色访问控制，上下文 嶙 r r e s e a r c ho fak i n do fd y n a m i cr b a cm o d e l m a j o rc o m p m e rs o f t w a r e & t h e o r y s t u d e n th u a n gr u ia d v i s o rl it a o a c c e s sc o n t r o li sa ni m p o r t a n tf i e l di nn e t w o r ks e c u r i t yr e s e a r c h t h e r e r e t w ot r a d i t i o n a la c c e s sc o n t r o lm a c h a n i s m ，d i s c r e t i o n a r ya c c e s sc o n t r o l ，a n d m a n d a t o r ya c c e s sc o n t r o l ，w h i c hb e t hc a n n o tm e e tt h ed e m a n d si nn o w a d a y s s y s t e ms e c u r i t ya n ym o r e ，a s f o rt h ei n c r e a s i n gc o m p l i c a t e da p p l i c a t i o n r o l e b a s e da c c e s sc o n t r o l ，r b a c ，i n t r o d u c e st h ec o n c e p to f r o l ei nt h es y s t e m ， b yw h i c ht h ed i r e c tr e l a t i o n sb e t w e e nu s e ra n dr e s o u r c eh a sb e e nd e c o u p l e d ，a n d a b s t r a c t i o ni se m p h a s i z e di nr b a c s o ，t h ep o l i c yd e c i s i o na n da d m i n i s t r a t i o nt o s o m ee x t e n ti ns y s t e mb e c o m em o r ef l e x i b l et h a ne v e r h o w e v e r , i nt h ec o n v e n t i o n a lr o l e - b a s e da c c e s sc o n t r o l ，h e wt oa s s i g nt h e p r o p e rr o l e s t ou s e r sa n dr e v o k et h e mi s n o tc l e a r l yd e m o n s t r a t e d m a n y a p p l i c a t i o n si m p l e m e n tt h i sm a n u l l yb yt h es t a t i cm a c h a n i s m ，w h i c hi n c r e a s e s t h ec o s to fe n t e r p r i s e i no r d e rt os o l v et h ep r o b l e ma b o v e ，r u l e b a s e dr b a c m o d e li n t r o d u c e st h ec o n c e p to fr u l ei nr b a cm o d e l i nt h i sm o d e l ，r o l e sa r e i m p l i c i t l ya s s i g n e d t ou s e r sb a s e do nt h e r u l e sd e f i n e db yt h es y s t e m a d m i n i s t r a t o r , s o ，s o m ew o r k so ft h es y s t e ma d m i n i s t r a t o rc a nb ec o m p l e t e d a u t o m a t i c l y b u t ，a ni m p o r t a n tp r o m b l e ms t i l lr e m a i n si nt h ea b o v em o d e l s ，t h a t t h ed e f i n i t i o no fr o l ei nt h e s er b a cm o d e l si sm o r eb r o a d c ra n du n c l e a ri n s e m a n t i c s t h er o l ed o e s n o to n l yc o n c l u d et h el c g i cs t r u c t u r eo fe n t e r p r i s e ，b u t a l s ot h es e c u r i t yp o l i c yo fs y s t e m h o w e v e r ，t h e s et w op a r t si ne n t e r p r i s ew i l l c h a n g ew i t had i f f e r e n td e g r e e ，t h el o g i cs t r u c t u r eo fe n t e r p r i s ew i l ln o tc h a n g e w i t h i nal o n gt i m e ，b e c a u s ei tc o n c e r n sa b o u tt h ed e p l o yo fe n t e r p r i s eb u s i n e s s f u n c t i o n s ；o na n o t h e rh a n d a st h ec h a n g i n gi na p p l i c a t i o ne n v i r o n m e n to f e n t e r p r i s e ，s u c ha st h ei n t r o d u c t i o no fn e wu s e r sa n dn e wr e s o u r c e s ，t h e r ew i l l n e e dn e ws e c u r i t yp o l i c yi ne n t e r p r i s e i t ss t i l ln e c e s s a r yt oi m p r o v ea n de x t e n d ， 一 t h em o d e lt oc o u n t e rt h i sc o n t r a d i c t i o ni nc h a n g i n gd e g r e e i nt h i sd i s s e r t a t i o n , b a s e do nr e s e a r c ho ft h ee x i s t e dr b a cm o d e l s w e p r o p o s ea n o t h e re x t e n s i o na n di m p r o v e m e n to fr b a cm o d e l 斑t h i se x t e n d e d m o d e l ，t h ec o n c e p to fr o l ei sr e d e f i n e d ，r b r b a cm o d e li st a k e nb ye x a m p l et o h a n d l et h er e l a t i o na s s i g n m e n tb e t w e e nu s e r sa n dr o l e s a n d ，a sf o rt h er e l a t i o n a s s i g n m e n tb e t w e e nr o l e sa n dp e r m i s s i o n s ，t h ec o n c e p to fc o n t e x ti si n t r o d u c e d t oa c c o m m o d a t et h ef l e x i b l ea d j u s t m e n ti ns e c u r i t yp o l i c i e s 、p r o v i d e sa d y n a m i ct r a n s i t i v em a c h a n i s mo fp e r m i s s i o n s ，n o to n l yp r e s e r v e st h ep r o p e r t i e s i nr u l e - b a s e dr b a cm o d e l b u ta l s ot a k e st h es t a t u so fu s e r sa n ds y s t e mi n t o a c c o u n t a l lt h e s ec a nb eu s e d b yt h es y s t e mp o l i c ym a k e ra n ds e c u r i t y a d m i n i s t r a t o rt od e p l o ya n di m p l e m e n tt h e i ra c c e s sc o n t r o lm a c h i n i s ma sa r e f e r e n c e t h em a i nw o r k sa r ei f o l l o w s ： s u m m a r i z et h et r a d i t i o n a la c c e s sc o n t r o lm a c h a n i s m sa n dm o d e l i n c l u d i n gd i s c r e t i o n a r ya c c e s sc o n t r o l ，m a n d a t o r ya c c e s sc o n t r o l ，a n d r o l e b a s e da c c e s sc o n t r o l ，a n da n a l y z et h e i rp r o p e r t i e sa n ds h o r t a g e s 一i n t r o d u c et h er u l e b a s e dr b a cm o d e l ，a n ds u m m a r i z et h es h o r t a g e s ， p r o v i d es o m eu s e f u li d e a st ot h ep r o p o s e dm o d e li nt h i sd i s s e r t a t i o n m a k ea l le x t e n s i o no ft h er u l e b a s e dr b a cm o d e l f i r s t g i v eac l e a r l y d e f i n i t i o no ft h ew o r k sp e n m n e dt os y s t e ms e c u r i t ya d m i n i t r a t o r ，a n d d i s c r i m i n a t et h el o g i cs t r u c t u r eo fo r g a n i z a t i o nw i t ht h ea c c e s sc o n t r 0 1 t h e n ，r e d i f i n et h ec o n c e p to fr o l ea n di n t r o d u c et h ec o n c e p to fc o n t e x t ， b a s e do nt h e s e ，ak i n do fe x t e n d e dr b a cm o d e li sp r o p o s e d ，f r o mt h i s b a s i cm o d e l ，a na d v i c e di m p l e m e n t i n gm o d e li sd e m o n s t r a t e d s o m e b l o c k si nt h i sm o d e l ，s u c ha ss t a t u so fu s e r sa n ds y s t e m r e s o u r c e s ， p e r m i s s i o nh i e r a c h i e s ，a n dp e r m i s s i o n t r a n s i t i v e f u n c t i o n ，a r e d e f i n e e d d e s c r i b et h ep r o c e s su s i n gt h i se x t e n d e dm o d e lt oh a n d l et h e r e l a t i o na s s i g n m e n tb e t w e e nr o l e sa n dp e r m i s s i o n s k e y w o ；d s ：a c c e s sc o n t r o l ，d a c ，m a c ，r b a c ，r u l e b a s e dr b a c ，c o n t e x t _ ，巾 四川大学硕士学位论文 1 绪论 1 1 背景 访问控制在网络安全技术中占有重要的地位。在网络安全技术中，公钥基 础设施解决数据的安全传输及身份认证等问题，而访问控制研究的主要问题 则是企业的安全策略。 具体说来，访问控制是准许或者限制访问能力及范围的一种方法，可以限 制对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作所造 成的破坏。目前技术领域内，公认的三大访问控制有，自主访问控制 ( d i s z r e t i o n a r ya c c e s sc o n t r - o l ，d a c ) 、强制访问控帛1 ( m a n d a t o r y a c c e s sc o n t r o l ， m a c ) 1 1 c 2 和基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 。d a c 根据用户身份的验证和资源的访问规则，将赋予或取消访问权限的一部分权 力留给了用户个人，这使得管理员很难确定哪些用户对资源有访问权限，比 如，一个资源的拥有者具有对资源的访问权限，同时该用户也可以将他的访 问权限授予其他的用户，这样不利于实现统一的全局访问控制。而m a c 主要 应用在传统的国防领域，访问控制策略基于访问对象的保密等级来实现，由 于限制过于严格，对系统的其他方面如授权管理方面使用不够灵活。 2 0 世纪9 0 年代以来出现的基于角色的访问控锖i ( r o l e b a s e d a c c e s s c o n t r o l ， r b a c ) 技术有效地克服了m a c 和d a c 技术中的不足，是近年来在信息安全 领域访问控制方面的研究热点和重点。r b a c 模型的基本思想是根据组织的 逻辑结构中不同的业务功能划分角色，资源访问的控制被封装在角色中，用 户通过被赋予的角色间接地访问系统资源。r b a c 提供了两级的授权机制， 具有安全高效、易于管理的特点。从而降低了管理的成本，为管理员提供了 一个比较好的实现安全政策的环境。具有代表性的r b a c 模型是1 9 9 6 年 s a n d h u 等人提出并定义的一个包括四个概念模型的r b a 9 6 1 3 家族模型。 2 0 0 1 年8 月，n i s t ( 美国国家标准与技术局) 提出了一个建议标准【4 】，它综合 考虑了当前学术界和产业界对r b a c 技术的各种见解，界定了r b a c 技术的 领域范围，统一了相关术语，建立了r b a c 技术的参考模型，定义了各种模 四川大学硕士学位论文 型构件，并给出了一套系统与管理功能规范。这之后人们习惯将它成为n i s t r b a c 模型。目前人们将r b a c 9 6 模型和n i s tr b a c 模型都认做传统的 r b a c 模型。 随着i n t e t n c t 的高速发展，很多基于w e b 的服务中相继采用了基于角色的 访问控制，随之而来的关于传统r b a c 模型的问题也逐渐的暴露出来，比如， 当前企业的应用环境日趋复杂，用户和资源的数量不断的增加，在原有r b a c 的模型实现中，系统管理员采用手工的方式为用户分配相应的角色，这种方 式导致的后果是对系统的维护存在极大的不方便。当系统的用户数量庞大时， 仅仅维护用户和角色之间的关系就会给系统管理员带来大量的机械的工作， 更不要说企业其他的变化因素给系统维护带来的困难。系统维护成本的高低， 直接影响着企业的运营成本，维护成本的增加必然需要增加系统管理员的队 伍，这将增加系统管理的复杂性和系统的不安全性。因此，对传统的r b a c 模型，仍需要加以改进和完善。 国内外学者，目前把注意力主要集中在对传统r b a c 模型的扩展之上，认 为在传统r b a c 模型中，不能满足当前访问控制实现中的需要。首先要解决 的问题就是用户与角色之间的手工分配方式，本文详细介绍了基于规则的角 色访问控制模型，该模型中引用了规则，从而解决了这个问题。然而笔者认 为，基于规则的角色访问控制中，同样没有考虑企业的逻辑结构和安全策略 随时间的变化，没有明确把二者区分，如果企业的逻辑结构或安全策略需要 变化时，系统的管理员又应当如何灵活的调整规则呢。 笔者本人参与了四川省政府采购平台的开发，该平台作为一项电子政务的 示范性推广项目，已为四川省的电子政务作出了巨大的贡献。在该平台中， 我们实现了基于角色的访问控制机制，并对企业的逻辑结构( 这里主要指政 府采购业务) 和安全策略的实现明确做了区分。政府人员根据采购业务的需 要，为用户分配角色，而并不关心系统具体的安全策略，这部分工作由安全 管理员( 也可以是维护人员) 来完成。 根据国内外对r b a c 模型的研究和笔者的经历，本文从模型上对已有 r b a c 模型进了改进和扩展，借鉴了已有模型的优点，改进了缺点，力求达 到角色访问控制的灵活性与实用性。 四川大学硕士学位论文 1 2 课题来源 本课题是“四川省政府采购系统”科研项目的子课题，此项目由四川省财 政厅资助，项目编号为：x p 2 0 0 2 0 0 0 2 2 0 。“四川省政府采购系统”项目是四川 大学计算机网络与安全研究所( n i s e c ) 的众多科研项目之一n i s e c 长期致 力于计算机网络与安全、电子商务、电子政务、智能信息系统等领域的理论 与技术的研究，研制的产品，应用范围遍及全省各地市州县乡镇。 1 3 国内外研究应用现状 目前，传统r b a c 模型日趋成熟，基于r b a c 模型的产品已出现在大型 的数据库产品中。大量的w e b 应用也逐渐采用了r b a c 模型，然而在应用传 统的r b a c 模型时，或多或少的结合了p 粗技术( p u b l i ck e yi n f r a s t r u c t u r 公 钥基础设施) 5 】【6 】，如d a v i dw ic h a d w i c k 提出的特权管理基础设施p m i ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ) 7 1 1 8 】，在该模型中，用户的角色存放 在x 5 0 9 1 9 1 0 格式的属性证书中，虽然该证书与数字身份证书有不同的有效 期，可以带来一定的灵活性，但仍然缺乏对用户属性判断的规则，依然沿袭 了传统r j ；a c 模型的基本架构，属性证书的发放仍然由系统管理员手工完成， 此外对属性证书的管理也存在很多不完善的地方。 总体说来，当前研究的热点集中在对传统r b a c 模型的扩展，人们不仅试 图从模型上改进用户一角色的分配机制，也试图改进角色一权限之间的分配 机制，从而，可以灵活的完成这两级授权过程，减轻系统管理员的工作量， 降低企业的成本。 b e r t i n o 等人提出了t e m p o r a l r b a c 模型【1 1 】，该模型在访问控制框架中 引入了时间( t i m e ) 参数，在角色分配时引入时间的限制，支持权限之间的临 时依赖关系。j o s h i ，b e r t i n o 等人又对t e m p o r a l r b a c 模型进行了扩充，提出 了g e n e r a l i z e dt e m p o r a lr b a c 模型 1 2 】，进一步把时间的限制应用到了角色 的层次，职责分离等方面。c o v i n g t o n 在其论文中 1 3 1 ，引入环境角色的概念， 提出了位置( 1 0 c a t i o n ) 和系统状态( s y s t e ms t a t u s ) 参数。m o y e r 和a b a m a d 提出了g e n e r a l i z e dr b a c 1 4 模型，引入了主体角色( s u b j e c tr o l e s ) ，客体角 四川大学硕士学位论文 色( o b j e c tr o l e s ) 和环境角色( e n v i r o n m e n tr o l e s ) ，进一步细化了访问控制的 粒度。w a n g 等人提出了t e a m - b a s e da c c e s sc o n t r o lm o d e l 1 5 ，该模型对应用中 上下文环境的信息进行了考虑，引入了虚拟团队t e a m 的概念。k u m a r 等人总 结了前人的工作，提出了c o n t e x t s e n s i t i v er b a cm o d e l 1 6 ，该模型使得传统 的r b a c 模型更加适合于复杂安全策略的应用，对于一个操作，首先要考虑 其上下文环境。m c d a n i e l 对于上下文环境给出了一种更一般的观点，即上下 文环境应由它的实现来定义 1 7 】。g u a n g s e nz h a n g 给出了一个动态r b a c 模型 1 8 】，其思想是实时的动态调整一个用户的当前角色和一个角色的当前权限， 出发点较好，但实现起来非常困难。 z h o n g 1 9 等人提出一种将r b a c 用于w e b 的机制及用户一角色分配的过 程。基于收集到的信息合法性，分配策略，以及由系统管理员设置的信任度 阀值，对用户分配其应有的角色。信任度阀值代表了企业对用户的信任程度， 该阀僮随时间而积累，如果发现用户的恶意操作或潜在的恶意操作，则用户 的信任度阀值将降低。这种方法存在一个缺陷，一个恶意的用户可以在一个 较长的时间内不进行任何恶意的操作，从而可能获得具有较高特权的角色， 然后对系统实施恶意操作。此外，这种方法还依赖很多安全参数，这些参数 都需要一个初始值，这些值的设定将由系统管理员来负责，而管理员却没有 一个具体的参考机制。 a 1 k a h t a n i 2 0 2 1 2 2 针对基于规则的r b a c 模型进行了详细规范的描 述，对传统r b a c 进了全面的扩展，为用户一角色的自动分配提供较为权威 的参考。 国内方面，目前各高校与科研单位对r b a c 模型展开了广泛的研究，信息 安全领域的研究人员大多都开展了基于r b a c 模型的访问控制研究。然而， 存在的问题是，基于r b a c 模型的应用大多局限在传统的r b a c 模型上，应 用的范围受到一定的限制，不利于商业化产品的推出。另一方面，访问控制 本身具有与应用相关的特性，从而对其模型的研究必将是复杂的，对r b a c 模型的各种扩展目前仍出于研究阶段，不过，我们相信随着大量研究人员的 参与和不懈努力，r b a c 模型必将成为一种简单，方便，高效，具有高度可 行性的访问控制模型。 四川大学硕士学位论文 1 4 本文工作 本文首先对传统访问控制中的自主型访问控制和强制型访问控制技术以 及n i s t 提出的基于角色访问控制标准做了简要介绍，总结了它们各自的特性 和不足。然后介绍了基于规则的角色访问控制模型，研究了其中的主要关键 部分，说明了它相对传统r b a c 模型的优点，并分析了它存在的问题，在此 基础上，给出了一种改进的基于上下文的角色访问控制模型。在阐述本模型 时，首先明确界定了系统安全管理员的工作，区分了组织的逻辑结构与访问 控制两个不同的考虑范围。然后，重新定义了角色的概念，引入了上下文的 概念，在此基础上给出了一个改进的基于上下文的角色访问控制的基本模型。 根据这个基本模型，给出了一个建议性的实现模型，通过引入用户和系统资 源的状态以及权限层次、权限转移函数等成分，增强了角色访问控制中的动 态特性。 总体来说，本文的主要工作有： ( 1 ) 总结传统的访问控制模型的特点与缺点。 ( 2 ) 具体描述r b r b a c 模型的组成，及其对r b a c 模型的扩展。 ( 3 ) 给出了一种改进的基于上下文环境的r b a c 模型，具体描述其访问 控制机制。 1 5 论文结构 。 论文结构如下： 第一章，( 即本章) 讲述课题背景、来源，国内外研究现状及本文工作。 第二章，总结了传统的访问控制技术，分析了它们的特点与不足。 第三章，具体描述基于规则的角色访问控制的基本模型及其关键的组成 部分，说明了它的有点，分析了它的缺点。 第四章，在已有角色访问控制模型的基础上，分析了在实际访问控制中仍 存在的诸多问题。给出了一种改进的基于上下文环境的r b a c 模型，系统地 给出了它的架构与各组成部分，具体描述其访问控制机制。 第五章，对全文的总结。 四川大学硕士学位论文 1 6 小结 访问控制技术是网络安全及信息安全技术中的一个核心组成部分。传统的 访问控制机制有自主型访问控制和强制型访问控制，然而，随着i m e m e t 的发 展和应用系统数据量的增加，这两个访问控制模型远远不能满足现代系统安 全的需求。基于角色的访问控制，在访问控制模型中引入了角色的概念，为 访问控制提供一种抽象组织逻辑结构的功能，安全管理员在指定安全策略时 具有了一定的灵活性。 然而，由于访问控制本身的特点就是要依赖于具体的应用环境，这导致了 访问控制模型的复杂性。基于角色的访问控制模型是一种开放的且不断改进 的模型，在传统基于角色的访问控制基础上，研究人员不断对该模型进行改 进和扩展。 一个良好的模型可以为具体的访问控制应用提供较好的参考，模型不仅给 出了值得参考的架构，也给出了在实现时可以采用的机制。基于角色的访问 控制模型给访问控制的实现不仅提供了架构和机制，更重要的是为访问控制 提供了一种抽象的思考方式。如何改进基于角色的访问控制，使其能在具体 的应用中发挥其优点，给系统带来实用性与灵活性就显得非常重要。本文就 是对基于角色的访问控制模型的一种改进。 四l l i 大学硕士学位论文 2 传统访问控制 访问控制实质上是对资源使用的限制，决定主体( 可以指人，在计算机系 统中，也可以指一个进程等) 是否被授权，从而对客体执行某种操作。当然， 这里首先要考虑主体身份的合法性，只有经授权的主体，才允许访问特定的 系统资源。以用户认证作为访问控制的前提，将各种安全策略相互配合才能 真正起到企业信息资源的保护作用。由于本文主要讨论的是访问控制，诸如 基于公钥基础设施( p k i ) 的身份认证等话题，本文不做讨论。 在介绍传统访问控制之前，先说明一下访问控制领域内主要面临的问题， 即，一种访问控制是否能最大限度的提供信息给用户，在此同时，又能有效 的对用户和资源加以分类，使得特定的用户访问特定的资源，而且这种访问 控制是否有利于系统的实现与维护。 本章主要介绍几种重要的传统访问控制模型，它们对以后的各类访问控制 模型的研究有着基础性的作用。本文的第四章中，在没有必要的情况下，不 再重复本章已介绍的内容，需要时，会给出说明。 2 1 自主型访问控制 自主型访问控* i l j ( d a c ) 最早出现在七十年代初期的分时系统中，它是多用 户环境下最常用的一种访问控制技术，在目前流行的u n i x 类操作系统中被 普遍采用。d a c 基本思想是：客体的拥有者( 即资源所有者) 被视为重要的角 色，它拥有自己客体的所有访问授权，有权泄露、修改该客体的有关信息。 并且拥有者还可以把自己的权限随意授权给其他主体，因此，有些学者把 d a c 称为“基于主人的访问控制”。 d a c 的特点：根据主体的身份及允许访问的权限进行决策。灵活性高， 被大量采用。 d a c 技术存在明显的不足，主要体现在以下几方面： f 1 ) 既然主体可任意在系统中规定谁可以访问它们的资源，那么系统管理 员就难以确定哪些用户对哪些资源有访问权限，不利于实现统一的全局访问 f 、 四川大学硕士学位论文 控制。 ( 2 ) 在许多组织中，用户对他们所能访问的资源并不具有所有权，组织本 身才是系统中资源的真正拥有者。而且，各组织希望访问控制实现能与组织 内部的安全策略相一致，并由管理部门统一实施访问控制，不允许用户自主 地处理，而d a c 却存在着用户滥用职权的问题。 ( 3 ) 用户间的关系不能在系统中体现出来，不易管理。 ( 4 ) 信息容易泄露，不能抵御特洛伊木马( t r o j a nh o r s e ) 的攻击。特洛伊木 马是嵌入在合法程序中的一段以窃取或破坏信息为目的的恶意代码。在自主 型访问控制下，一旦带有特洛伊木马的应用程序被激活，特洛伊木马便可以 任意泄露和破坏接触到的信息，甚至改变这些信息的访问授权模式。 2 2 强制型访问控制 强制型访问控制( m a c ) 最早出现在1 9 6 5 年由a t & t 和m i t ( 麻省理工 学院) 联合开发的安全操作系统m u l t i c s 系统中，在1 9 8 3 年美国国防部的可 信计算机系统评估标准中被用作b 级安全系统的主要评价标准之一。m a c 的 基本思想是：为每个主体和客体分别定义安全属性，主体能否对客体执行特 定的操作取决于二者间的安全属性的关系。 m a c 主要用来描述军用计算机系统环境下的多级安全策略。在多级安全 策略中，安全属性用二元组( 安全级，类别集合) 表示。其中，安全级表示机密 程度；人作为安全主体，其类别集合表示他可涉及到哪些范围内的信息，而 信息作为安全客体，其类别集合表示该信息所涉及的范围。m a c 一般都要求 主体对客体的访问满足b l p ( b e l la n dl a p a d u l a ) 安全模型的两个原则： ( 1 ) 读操作安全性原则：仅当主体的安全级别不低于客体的安全级别且 主体的类别集合包含客体的类别集合时，才允许该主体读该客体。 ( 2 ) 写操作安全性原则：仅当主体的安全级别不高于客体级别且客体的 类别集合包含主体的类别集合时，才允许该主体对该客体进行写操作。 上述两个原则保证了信息的单向流动，既不允许低信任级别的用户读高敏 感度的信息，也不允许高敏感度的信息写入低敏感度区域，即信息只能向高 安全属性的方向流动。m a c 就是通过信息的单向流动来防止信息扩散，抵御 特洛伊木马对系统保密性的攻击。由于用户不能改变任何客体的安全属性， 8 四川大学硕士学位论文 因此，m a c 可抵御用户滥用职权等攻击，是比d a c 功能更强的访问控制机 制。 m a c 的特点：强制访问控制的实施取决于能用算法表达的且能在计算机 上可执行的策略。策略给出的只是资源受到的限制和主体的授权，而对资源 的访问权限取决于实体的授权丽非主体的身份。 m a c 的不足主要体现在以下两方面： ( 1 ) 用户共享数据的机制不灵活：m a c 不允许一个进程生成共享文件， 可防止进程通过共享文件将信息从一个进程转移到另一个进程，但这对合法 用户却是一种限制。 ( 2 ) 应用的领域比较窄，使用不灵活，一般只用于军方等具有明显等级 观念的行业领域。 2 3 基于角色的访问控制 基于角色的访问控制模型( r b a c ) 是目前访问控制领域主要的研究方向， 该模型与以往访问控制模型相比，最主要的是引入了角色的概念，为访问控 制模型的研究提供一个基础性参考模型。本小节首先描述r b a c 的基本思想， 并给出其基本的术语，以便讨论的展开，然后介绍由n i s t 提供的基于角色的 访问控制模型标准。 2 3 1 基本概念 在讨论基于角色的访问控制之前，这里先给出一些在基于角色访问控制模 型中常用的基本概念，这里只是文字描述，规范的数学定义，在需要时会给 出的。 1 ) 实体( e n t i t y ) ： 实体表示一个计算机资源( 物理设备，数据文件，内存或进程) 或一个合 法用户。 2 ) 主体( s u b j e c t ) ： 一个可以对其它实体施加某种操作的主动实体被称为主体，主体可以 是用户或其它任何代理用户行为的实体( 例如进程，作业和程序) 。 四川大学硕士学位论文 3 1 客体( o b j e c t ) ： 一个接受其它实体操作的被动实体被称为客体，客体可以是一个可识 别的资源，一个客体可以包含另外一个客体。需要注意的是，一个实体可以 在某一时刻是主体，而在另一时刻是客体，这取决于某一实体的功能是操作 的执行者还是被执行者。 4 ) 角色( r o l e ) ： 角色是该模型中的核心概念，体现了整个访问控制的策略，是授权的 集合，它代表了一种资格、权力和责任。角色既是用户的集合也是权限的集 合。角色作为中间层，将用户和权限结合起来。不同的角色通过不同的事务 来执行各自的功能。角色与已有访问控制中的组的区别是：一个组，仅仅被 作为用户的集合来看待，而角色既是用户的集合也是权限的集合。 5 ) 权限( p e r m i s s i o n ) ：一“ 权限是对计算机系统中的数据或者用数据表示的其它资源进行访问的 许可。权限包括操作和客体两部分。 6 ) 用户( u s e r ) ： 用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其 它资源的主体，在一般情况下是指一个被授权使用计算机的人员。 7 ) 用户标识u i d ( u s e ri d e n t i f i e r ) ： u i d 是一个用来识别用户的字符串。每个用户具有唯一的用户标识。 当一个用户注册进入系统时，他必须提供其用户标识，然后系统执行一个可 靠的审查来确信当前用户是对应用户标识的那个用户。 8 ) 角色基数( c a r d i n a l i t y ) ： 角色基数是角色可以被分配的最大用户数。这是对角色的一个约束性 条件。例如，如果一个组织只能有一个部门主任，那么可以用角色基数为“1 ” 来进行约束，一旦已经有某个人被授权为部门主任，其他人就不能再获得部 门主任这个角色。 9 】角色继承( i n h e r i t s ) ： 角色继承是指一个角色集合中的偏序关系。如果一个角色继承了另一 个角色，同时这个角色被授权给一个用户，那么被继承的角色也同时被授权 给了这个用户。 1 0 四川i 大学硕士学位论文 1 0 1 会话( s e s s i o n s ) ： 会话是用户完成对某种客体的操作的过程，角色只有在会话中才能被 激活。从计算机系统的角度看，会话可以是一个进程或一个线程。 2 3 2 模型概述 首先总体概述一下角色访问控制的基本思想，即，授权给用户的访问权限， 通常由用户在一个组织中担当的角色来确定。用户不能随意访问资源客体， 访问许可只能与角色相联系，用户必须是相应角色的成员。这种方法不但简 化了授权管理工作，同时又使制定和执行特殊的保护策略更为灵活。基于角 色的访问控制对访问权限的授权由系统管理员统管理，而且授权规定是强 加给用户的，用户只能被动接受，不能自主地决定。用户也不能自主地将访 问权限传给他人。这是一种非自主型的访问控制。用户以什么样的角色对资 源进行访问，决定了用户将拥有的权限及可执行何种操作。在该模型中，访 问的主体变成了角色。通过采用“角色继承”的概念，把角色组织起来，很 自然地反映了组织内部人员之间的职责关系。既提高了效率，又避免了相同 权限的重复设置。 角色访问控制的最大优势在于它对授权管理的支持。通常的访问控制实现 方法是将用户与访问权限直接相关联，当组织内人员新增加或离开时，或某 个用户的职责发生变化时，需要进行大量授权更改工作。而在角色访问控制 中，由于把角色作为用户与资源之间的“中间层”，有效实现了用户和资源之 间的沟通。对用户的访问授权转变为对角色的授权，然后再将用户与特定的 角色关联起来。一旦一个角色访问控制系统建立起来以后，主要的管理工作 为用户分配或取消相应的授权角色，为角色分配或取消相应的权限，创建和 删除角色。角色访问控制的另一优势在于：系统管理员可以在一种比较抽象 且与企业通常的业务相关的层次上进行考虑问题。 在多数情况下，在组织里用户变化的频率比角色变化的频率高。通过将角 色与权限相关联，并只在角色的基础上内对用户进行更改，这样可以在一定 程度上降低管理的成本。 此外，在角色访问控制中，需要遵循两个基本的原则： 四川大学硕士学位论文 1 ) 最少权限原则： 最少权限原则是指有选择地将权限赋予角色，也就是说有选择的把权 限分配给用户，用户被赋予的权限仅仅是用户完成其工作所需的且足够的权 限。最小权限的原则避免了用户超越自身职责既定权限范围，执行非法权限 操作的潜在威胁。 2 ) 职责分离原则： 职责分离就是在不同角色之间，根据功能的不同对权限进行分离，以 防止用户拥有超过他们职位所需的权力。其动机是为了保证欺骗和大的错误 不会发生，除非多个用户蓄意勾结，进行欺骗。在基于角色的访问控制系统 中，职责分离的概念是由最小权限的原则所支持的。在基于角色的访问控制 中，主要是静态职责分离原则和动态职责分离原则。 a 静态职责分离( s s d ，s t a t i cs e p a r a t i o no f d u t y ) ： 如果两个角色是静态职责分离的关系，那么这两个角色将不能分配给 同一个用户。在基于角色访问控制的系统