（计算机软件与理论专业论文）基于itkid的访问控制模型研究.pdf

东北大学硕士学位论文 摘要 基于i t - k i d 的访问控制模型研究 摘要 近年来，随着网络技术和计算机技术的迅猛发展，企业信息系统的广泛使用，系统 的信息安全问题受到越来越多的关注。访问控制技术是解决信息安全问题的关键。目前 我国大部分企业均采用传统的访问控制技术，自主访问控制技术( d a c ) 、强制访问控 制技术( m a c ) 和基于角色的访问控制( r b a c ) ，均存在一定弊端，有其局限性。本 文对i t k i d 系统中采用s o r t a s c o r 访问控制技术进行了理论研究和实践探讨。 本文对访问控制技术的研究现状、概况、实现方法、典型模型进行了研究，从理论 上较深入的研究了r b a c 的参考模型，并对d a c 、m a c 和r b a c 三种访问控制模型进 行了比较。接下来，介绍了i t - k i d 基本知识和理论，通过分析企业信息系统的特点和安 全需求，指出了传统访问控制的不足，并提出了一个通用的基于i t - k i d 的s o r t a s c o r 访问控制模型。通过引入机构、时间、规则，主体、客体、操作、权限之间的继承性和 约束条件，控制了主体的可访问数据范围，使模型更适应企业的多层次结构和具有更大 的灵活性。论证了在1 t - k i d 系统中采用s o r t a s c o r 访问控制( 权限) 模型的必要性， 对该模型的特点和创新、授权关系类型、模型遵循的原则、冲突解决策略，时间约束描 述语言等进行了较深入的研究。 在分析i t k i d 系统的安全需求和机构组织特点的基础上，对s o r t a s c o r 访问控制 模型进行了总体设计，共分为三层：表示层，业务逻辑层，数据层。论述了各层主要的 功能，对角色划分、权限分配、访问控制、授权管理工具和类进行了设计，同时给出了 决策执行、主体角色分派、获取指定角色的所有祖先和所有互斥角色的算法和授权回收 的原则。最后对其访问控制机制做了阐述，并以对文件的操作为例来介绍s o r t a s c o r 访问控制模型的权限控制过程。 关键词：企业信息系统；信息安全；访问控制；d a c , m a c ；r b a c ；1 t - k i d ：s o r t a s c o r i j 东北大学硕士学位论文a b s t r a c t r e s e a r c ho fa c c e s sc o n t r o lm o d e ib a s e do ni t k i d a b s t r a c t i nr e c e n ty e a r s ，w i t ht h ed e v e l o p m e n to ft h et e c h n o l o g yo fi n t e m e ta n dc o m p u t e ra n d e n t e r p r i s ei n f o r m a t i o ns y s t e m sb e i n gw i d e l yu s e d ，m o r ea n dm o r ea t t e n t i o nh a sb e e np a i dt o t h ei s s u eo fi n f o r m a t i o ns e c u r i t y t h et e c h n o l o g yo fa c c e s sc o n t r o li st h ek e yp o i n tt os o l v et h e p r o b l e mo fi n f o r m a t i o ns c c u r i t y a tp r e s e n t ，m o s to fe n t e r p r i s e si no u rc o u n t r yu s ec l a s s i c a l a c c c s sc o n t r o lm o d e l ss u c ha sd a c , m a ca n dr b a c , e a c ho ft h e mh a si t so w n d i s a d v a n t a g e a n dl i m i t a t i o n t h i sp a p e rd i s c u s s e st h eu s i n go fa c c e s sc o n t r o lm o d e l ：s o r t a s c o ri ni t - k i d s y s t e mt h r o u g ht h e o r ya n dp r a c t i c e i tp r e s e n t st h er e s e a r c ho fg e n e r a ls i t u a t i o n ，i m p l e m e n t a t i o nm e t h o da n dt y p i c a lm o d e lo f a c c e s sc o n t r o l ，s t u d i e sr b a c sr e f e r e n c em o d e la n dc o m p a r e st h et h r e ea c c e s sc o n t r o lm o d e l s ： d a c , m a ca n dr b a c t h e n ，i t - k i db a s i ck n o w l e d g ea n dt h e o r ya r ei n t r o d u c e d i tp o i n t so u t t h ed e f i c i e n c yo fd a s s i c a la c c e s sc o n t r o lm o d e l sb ya n a l y z i n gt h ec h a r a c t e r i s t i ca n ds e c u r i t y r e q u i r e m e n to fe n t e r p r i s ei n f o r m a t i o ns y s t e ma n ds u g g e s t sa l l u n i v e r s a la c c e s sc o n t r o lm o d e l ： s o r t a s c o rb a s e do ni t - k i d b yi n t r o d u c i n gt h ei n h e r i t a n c ea n dc o n s t r a i n tc o n d i t i o nm o d e l a m o n go r g a n i z a t i o n ，t i m e ，r o l e ，s u b j e o ，o b j e c t ，o p e r a t i o na n dp e r m i s s i o n ，t h i sm o d e lc o n t r o l s s u b j e c t sa c c e s s i n gd a t as c o p ea n dm a k e s i tm o r es u i t a b l et om u l t i l e v e lo r g a n i z a t i o na n dh a v e m o r ef l e x i b i l i t i e s i tp r o v e st h en e c e s s i t yo fu s i n gt h es o r t a s c o ra c c e s sc o n t r o lm o d e li nt h e i t k i ds y s t e ma n dh a sat h o r o u g hr e s e a r c ha b o u tt h i sm o d e l se h n r a c t e r i s t i ca n di n n o v a t i o n ，t h e a u t h o r i z e dr e l a t i o n st y p e ，t h ep r i n c i p l et h a tt h em o d e lf o l l o w s ，t h ec o n f l i c ts o l u t i o ns t r a t e g ya n d t r c l ( t i m er o l e - b a s e dc o n s t r a i n tl 蚰g v a g e ) b ya n a l y z i n gt h es e c u r i t yr e q u i r e m e n t sa n do r g a n i z a t i o nc h a r a c t e r i s t i c o ft h ei t k i d s y s t e m ，t h i sp a p e rh a sd e s i g n e dt h ea c c e s sc o n t r o lm o d e l ：s o r t a s c o r ，a n dd i v i d e si ti n t o t h r e el a y e r s ：p r e s e n t a t i o nl a y e r ，b u s i n e s sl o g i cl a y e ra n dd a t al a y e r t h ef u n c t i o no fm a i n m o d u l ei ne a c hl a y e ri sd e s c r i b e di nd e t a i la n dd e s i g n st h ed i v i d i n gr o l e s ，a s s i g n i n gp e r m i s s i o n s ， t h ea c c e s sc o n t r o lm o d u l e ，t h em a i nc l a s sa n dt h ea u t h o r i z i n gm a n a g e m e n tt 0 0 1 a tt h es a m e t i m e ，i tg i v e sa l l a n c e s t o r sa n di n c o m p a t i b l er o l e s a l g o r i t h m ，d e c i s i o n m a k i n ge x e c u t i o n a l g o r i t h m ，t h es u b j e c tr o l ea s s i g n a t i o na l g o r i t h ma n dt h ep r i n c i p l eo fa u t h o r i z a t i o nr e v o c a t i o n f i n a l l y ，w ee x p o u n di t sa c c e s sc o n t r o lm e c h a n i s ma n dt h ee x a m p l e o ff i l eo p e r a t i o n k e yw o r d s ：e n t e r p r i s ei n f o r m a t i o ns y s t e m ；i n f o r m a t i o ns e c u r i t y ；a c c e s sc o n t r o l ；d a c ；m a c ； r b a c ；i t - k i d ；s o r t a s o r 1 1 1 独创性声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的研 究成果除加以标注和致谢的地方外，不包含其他人已经发表或撰写过的研究 成果，也不包括本人为获得其他学位而使用过的材料。与我- - n m 作的i n 志 对本研究所做的任何贡献均已在论文中作了明确的说明并表示诚挚的谢意。 学位论文作者签名：叶土专番 日期：2 易挥2 j ，问 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论文 的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部或部 分内容编入有关数据库进行检索、交流。 ( 如作者和导师同意网上交流，请在下方签名；否则视为不同意。) 学位论文作者签名：导师签名： 签字日期：签字同期： 东北大学硕士学位论文第一章绪论 第一章绪论 本章总括全文，目的在于明确本文研究的课题及其意义。首先，论述了本文的研究 背景以及基于i t k i d 的s o r t a s c o r 访问控制技术的特点和意义，概述了访问控制技术 的研究现状，接着介绍了本文的主要研究内容和研究贡献，最后，列出本文的组织结构。 1 1 引言 1 1 1 研究背景 计算机技术和网络技术的快速发展和广泛应用，使得信息系统向着集成化、多媒体 化和智能化的方向发展，带来了巨大的时空效益，但是信息系统的安全问题也因此而更 加突出。因此，近几年来，有关信息系统的安全问题的讨论逐渐增多【1 】1 2 j 【3 】【4 1 。各个企业、 计算机用户在建立自己的管理信息系统或信息决策系统时，对信息的安全性给予了越来 越多的关注。 解决信息系统安全问题可以归结为：一是防止非法用户进入系统；二是防止系统合 法用户对系统功能的非法访问。可以说，安全访问控制是实现信息系统资源安全的有效 途径，所以自上个世纪7 0 年代以来，访问控制技术便成为信息系统安全问题研究的执点。 近年来，在访问控制这个课题中，国际上在典型的自主访问控制与强制访问控制的 基础上提出了若干种访问控制模型与访问控制模型的改进模型。b e r t i n o ，s a n d h u 在文1 2 1 1 5 j 中提出了具有否定授权功能的授权模型，在此模型中，以否定授权的方式来定义用户对 某个特定信息对象的访问权限。其中明确规定否定授权比肯定授权具有高的优先级，即 用户一旦得到对某个信息对象的否定权限，他所拥有的肯定权限就被暂时阻塞，但是肯 定权限并未从权限库中删除，而是被标志为不可用，因为在否定授权被撤销后，阻塞的 肯定授权将被再次激活。s a n d h u 在文1 5 i 中提出基于角色的访问控制模型，在此模型中， 用户与角色相联系，用户权限与角色权限相联系，角色与角色之间具有层次级别关系。 角色结构上的层次关系决定着访问权限上的继承关系。e b e r t i n o 提出了带有时间特性的 访问控制模型酣”，通过时间函数进行授权推导。a d a m 在【8 】中提出了基于内容的访问控 制模型，根据与信息对象的概念相关内容确定访问权限和访问模式。 1 1 2 研究意义 研究提出一种通用的s o r t a s c o r 访问控制模型的意义在于，它针对大型系统开发 中有普遍性且传统方法难以解决的问题，提供一般性的解决方法。具体说，基于i t k i d 系统的s o r t a s c o r 访问控制模型的特点和意义如下： ( 1 ) 一种新型技术。s o r t a s c o r 访问控制模型是在r b a c 和传统访问控制基础 二 一1 一 东北大学硕士学位论文 第一章绪论 提出来的，传统对象建模方法把类作为对象的唯种抽象，而角色也是对象的一种抽 象：角色抽象了主体、机构与客体相关的行为和状态；角色模型的表示方法也不同于类。 ( 2 ) 实用性。角色反映将实现对象的功能和作用：系统中每个用户都需扮演一定 角色；一个角色要被扮演就要确定该角色的身份。角色可协调系统中各部分的功能。 s o r t a s c o r 访问控制模型用于软件开发，针对大型应用系统开发中极其重要且难以处 理的问题，这些解决方案可直接用于当前软件开发，即使单独使用其中一部分也管用。 ( 3 ) 通用性。主体、角色、机构是一般化的概念，可用于描述任何事物以及它们之 间的关系。s o r t a s c o r 访问控制模型针对大型复杂系统的一般性问题，并给出一般性 的方法。且可对模型进行裁剪以适用于种类多样的应用系统开发。s o r t a s c o r 访问控 制模型独立于具体计算机系统和网络平台；独立于具体开发语言和支撑环境：独立于具体 应用领域。 1 1 3 国内外研究现状 目前国际上对访问控制的研究一般集中于在网络层和应用层的实现，并都已经取得 了一些成果。例如，美国南加州大学从8 0 年代后半期以来，一直在研究不同组织网络互 连的访问控制问题( i n t e ro r g a n i z a t i o nn e t w o r ka c c e s sc o n t r 0 1 ) ，设计并实现了位于网络 层的，集访问控制和身份认证于一体的v i s a c 9 t 协议。当用户a 需要跨网访问时，首先获 得本网的出境签证( e x i tv i s a ) ，网关检查其出境签证是否合法而予以拒绝或放行；到 达目的地后经认证网关检查认为合法后，发入境签证( e n t e rv i s a ) 。不过，v i s a 协议 实现的是网络层的网间访问控制，难以为灵活多变的应用层服务提供有效的访问控制。 开放软件基金会o s f ( 现已更名为o p e ng r o u p ) 于1 9 9 1 年推出分布式计算环境d c e ， 安全服务是其中重要的组成部分。提供了包括访问控制、身份认证、数据加密和数据完 整性等安全措施。1 9 9 5 年o s f 提出d c ew e b ”l ，尝试将分布式系统的安全性积可管理 性与i n t e r a c t 的应用结合起来，为解决i n t r a n e t 的安全问题提供方案。d c ew e b 利用分 布式系统偶合程度高，各单机系统在逻辑上构成统一的整体的特点，对系统资源进行统 一的、细致的访问控制。d c ew e b 借助分布式系统的安全机制，实现了访问控制的高强 度与细粒度，但应用d c ew c b 需要安装价格不菲的分布式系统，这成为d c ew e b 得到 广泛应用的一个障碍。 从9 0 年代初起，为适应i n t r a n e t 的发展，美国国家标准技术研究所( n a t i o n a li n s t i t u t e o fs t a n d a r d sa n dt e c h n o l o g y ) 同m a r y l a n d 大学、g e o r g em a s o n 大学、s e t a 公司等合作， 着手组织对基于角色的访问控制( r b a c ) 的研究，并于1 9 9 6 年发表了关于r b a c 的一 套比较完整的理论【3 】并逐渐成为n i s t 建议的访问控制标准。国际标准化组织根据。 a b r a m s ，l a p a d u l a 等人提出的通用访问控制框架( g e n e r a lf r a m e w o r kf o ra c c e s sc o n t r o l ， g f a c ) 1 1 2 】1 1 3 】于1 9 9 6 年制定了通用访问控制框架标准1 1 3 】以便于在信息系统中支持多安全 政策，但g f a c 的实现有一定难度。 2 东北大学硕士学位论文 第一章绪论 提出来的，传统对象建模方法把类作为对象的唯一一种抽象，而角色也是对象的- 一种抽 象：角色抽象了主体、机构与客体相关的行为和状态；角色模型的表示方法也不同于类。 ( 2 ) 实用性。角色反映将实现对象的功能和作用：系统中每个用户都需扮演一定 角色；一个角色要被扮演就要确定该角色的身份。角色可协调系统中各部分的功能。 s o r t a s c o r 访问控制模型用丁软件开发，针对大型应用系统开发中极其重要且难以处 理的问题，这些解决方案可直接用于当静软件开发，即使单独使用其中部分也管用。 ( 3 ) 通用性。主体、角色、机构是一般化的概念，口j 用于描述任何事物以及它们之 间的关系。s o r t a s c o r 访问控制模型针对大型复杂系统的一般性问题，并给出一般性 的方法。且可对模型进行裁剪以适用十种类多样的应用系统开发。s o r t a s c o r 访问控 制模型独立于具体计算机系统和网络平台；独立于其体开发语言和支撑环境；独立于具体 应用领域。 1 1 3 国内外研究现状 目前国际上对访问控制的研究一般集中于在网络层和应用层的实现，并都已经取得 了一些成某。例如，美国南加州大学从8 0 年代后半期以来，一直在研究不同组织网络互 连的访问控制阉题( i n t e r o r g a t t i z a t i o nn e t w o r ka c c e s s c o n t r 0 1 ) ，设计并实现了位于网络 层的，集访问控制和身份认证于体的v i s a i g l 协议。当用户a 需要跨网访问时，首先获 得本网的出境签证( e x i tv i s a ) ，网关检查其出境签证是否合法而予以拒绝或放行：到 达目的地后经认证网关检查认为合法后，发入境签证( e n t e r v i s a ) 。不过，v i s a 协议 实现的是网络层的网闻访问控制，难以为灵活多变的应用层服务提供有效的访问控制。 开放软件基金会o s f ( 现已更名为o p e ng r o u p ) - p1 9 9 1 年推出分布式计算环境d c e ， 安全服务是其中重要的组成部分。提供了包括访问控制、身份认证、数据加密和数据完 整性等安全措施。1 9 9 5 年o s f 提出d c ew e “”i ，尝试将分布式系统的安全性和可管理 性与i n t e m e t 的应用结合起来，为解决i m r a n e t 的安全问题提供方案。d c ew 曲利用分 布式系统偶台程度高，各单机系统在逻辑上构成统一的整体的特点，对系统资源进行统 一的、细致的访问控制。d c ew e b 借助分布式系统的安全机制，实现了访问控制的高强 度与细粒度，但应用d c ew e b 需要安装价格不菲的分布式系统，遮成为d c ew e b 得到 广泛应用的一个障碍。 从9 0 年代初起，为适应i n t r a n e t 的发展，美国国家标准技术研究所( n a t i o n a li n s t i t u t e o f s t a n d a r d sa n d t e c h n o l o g y ) 同m a r y l a n d 大学、g e o r g e m a s o n 大学、s e t a 公司等合作， 着手组织对基于角色的访问控制( r b a c ) 的研究，并于1 9 9 6 年发表了关于r b a c 的一 套比较完整的理论i3 并逐渐成为n i s t 建议的访问控制标准i “】。国际标准化组织根据。 a b r a m s ，l a p a d u l a 等人提出的通用访问控制框架( g e n e r a l f r a m e w o r k f o r a c c e s s c o n t r o l ， g f a c ) 于1 9 9 6 年制定了通用访问控制框架标准【”】以便于在信息系统中支持多安全 政策，但g f a c 的实现有一定难度。 政策，但g f a c 的实现有一定难度。 一2 一 东北大学硕士学位沦文 第一章绪论 我国对信息安全的研究虽然起步较晚，但在近年来的发展中，也取得了一定的成果。 李成楷等针对现存的方法不能很好的满足c s c w 系统对访问控制提出的新需求，提 出了一个基于角色的c s c w 系统访问控制模型r b c s a c 1 4 j ( r o l eb a s e dc o i l a b o f a t i v e s y s t e mc o n t r 0 1 ) 。该模型针对c s c w 系统的多用户交互，协作，实时，动态等特性，较 好的满足了c s c 3 , v 系统对访问控制的需求。 段海新等研究防火墙应用于传输网络中的管理问题，提出了一种基于政策的访问控 制框架i l ”( p a c f ) 。该框架是基于3 个层次的访问控制策略的抽象：组织访问控制政策 ( o a c p ) 、全局访问控制政策( g a c p ) 和本地访问控制政策( l a c p ) 。描述了从g a c p 的分配算法和l a c p 的实施算法。p a c f 能够大量减轻管理员的安全管理工作。 郭蕴华等针对基于角色的访问控制模型的局限性，提出了一种基于角色与基于规则 相结合的访问控制模型( r r b a c ) 1 6 1 。该模型以可扩展的用户组织结构为框架，根据用 户组织结构定义角色的属性及其继承关系，用参数化的规则集合描述了用户组织结构中 由上下级关系所引发的操作许可，实现了面向群组协同工作的分级权限管理体系。 李黎等为解决基于角色的代理问题，提出一种基于角色的用户一用户代理和角色一 角色代理统一模型i r b d m i l 7 】，讨论了i r b d m 模型的基本思想、体系结构、多步代理及 代理撤销策略，它可在网络、工作流管理系统中广泛应用。 查义国等针对目前应用于w e b 服务器的访问控制技术大多不能很好地适用于企业级 用户的需求。提出了通过设计安全c o o k i e s 以实现对w e b 资源的访问控制1 1 8 1 。 综上所述，国内目前对访问控制技术，尤其是对基于角色的访问控制的研究已经取 得了很大的进步，但是应该看到国内的研究成果大部分都是针对国外经典理论的改进或 实现，没有根本性的突破，和国外同行的研究相比仍有较大差距。 1 2 本文的主要研究内容及贡献 1 2 1 研究内容 本文的目标是为了保证计算机系统的信息资源安全，使之不被非授权用户、角色、 机构窃取和修改。 本文的研究内容包括以下几个部分： ( 1 ) 对传统访问控制和基于角色的访问控制模型进行了研究和分析比较。 ( 2 ) 提出了一个通用的s o r t a s c o r 访问控制( 权限) 模型，系统地介绍了模型 所包含的内容，四维模型，分析了该模型的授权关系、模型原则、模型中的时问约束描 述语言t r c l 和该模型的特点和创新，给出了模型中的冲突解决策略。 ( 3 ) 利用该模型设计了一个原型系统，给出了原型系统的体系结构并从业务逻辑层、 数据层和表示层等方面对该系统进行了介绍。 ( 4 ) 对s o r t a s c o r 访问控制模型中的t 要类和功能进行了设计，讨论了访问控 一3 一 东北大学硕士学位论文 第一章绪论 制机制及其模型中的几个关键算法和授权回收策略等相关问题，完成了系统界面的设计， 实现了系统中的基本管理服务，业务逻辑层中的主要类的编码工作，最后给出一个实侧 应用来进行说明。 1 2 2 研究贡献 本文根据国内外已有的研究成果及应用情况，研究了传统的访问控制与基于角色的 访问控制模型，在i t - k i d 系统的基础上提出了一个通用的s o r t a s c o r 访问控制模型， 并对该模型进行设计。其主要贡献在于： ( 1 ) 解决传统访问控制和基于角色访问控制等模型中实施访问的主体所涉及面窄的 问题，引入了机构，进行基予机构的访问控制和对角色进行动态限制，在一个访问主体 中，主体、角色和机构之间有一定的关系，且角色与机构都有层次关系和继承关系。 ( 2 ) 层次关系及继承机制扩展到客体和操作上，从而简化了授权管理。客体可以是 一个抽象类，也可以是一个范围内的客体，具有层次结构。操作也具有层次结构，有包 含的关系，权限之间有继承关系，而且权限与操作、角色、状态三者间的关系也有关系。 这样使权限的控制更加合理。 ( 3 ) s o r t a s c o r 访问控制模型中引入了时间，访问权限、主体、客体、操作、角 色状态、角色激活、主体角色分配、权限角色分配等时间进行约束，且给出一个时间约 束描述语言t r c l 。 ( 4 ) 根据s o r t a s c o r 访问控制模型，设计了一个原型系统。 1 3 本文的组织结构 第一章为绪论部分，介绍了访问控制技术的国内外研究现状、研究背景、研究意义、 研究内容与贡献。 第二章较深入地研究了访问控制的概况、实现方法、典型模型，并对访问控制的典 型模型进行比较。 第三章对r r k i d 的基本原理和基础知识进行了简单的介绍。 第四章根据传统的访问控制模型提出了基于i t - k i d 的s o r t a s c o r 访问控制模型， 介绍了模型所包含的内容和四维模型，分析了该模型的授权关系、安全原则和该模型的 特点和创新，给出了模型中的时间约束描述方法t r c l 和冲突解决策略。 第五章利用s o r t a s c o r 访问控制模型设计了一个原型系统，给出了原型系统的体 系结构并从业务逻辑层、数据层和表示层等方面对该系统进行了介绍。对该问控制模型 中的主要功能和主要的类进行了设计，讨论了访问控制机制及其模型中的几个关键算法 和授权回收策略等相关问题。最后给出一个实例应用来进行说明。 第六章对主要研究内容做了概括的总结，对需要进一步研究的问题进行讨论。 一d 一 东北大学硕士学位论文 第二章访问控制技术 第二章访问控制技术 本章从访问控制系统、访问控制的实现方法、访问控制的典型模型以及r b a c 与 d a c ，m a c 的比较等方面对访问控锖0 作了简单的介绍。自主访问控制与强制访问控制是 访问控制中的代表模型，尤其是基于角色的访问控制在实际生活中有着广泛的应用。但 是，访问控制机制并没有完全完善，不同的应用系统需要不同的访问机制，例如在1 t k i d 系统这种环境中，需要更加细化和灵活的访问控制机制。 2 1 访问控制概况 2 1 1 访问控制系统 访问控制就是通过某种途径准许或限制访问权力及范围的一种方法。通过访问控制 服务可以限制对关键资源的访问，防止非法用户的侵入或因合法用户的不慎操作所造成 的破坏。 访问控制系统一般包括： ( 1 ) 主体( s u b i e c t ) ：发出访问操作、存取要求的主动方，通常指用户或用户的某 个进程。 ( 2 ) 客体( o b j e c t ) ：被调用的程序或欲存取的数据。 ( 3 ) 安全访问规则：用以确定一个主体是否对某个客体拥有访问权力。 访问控制规定了哪些主体能够访问相应的客体，访问权限有多大，它的一般原理如 图2 1 所示： 访问控制决策功能 图2 1 访问控制功能原理 f i g 2 1a c c e s sc o n t r o lf u n c t i o np r i n c i p l e 在主体和客体之间加入了一个访问控制实施模块，由它来负责控制主体对客体的访 问。其中，访问控制决策功能块是访问控制实施功能中最主要的部分，它根据访问控制 信息做 h 是否允许主体操作的决定，这里访问控制信息可以存放在数据库、数据文件中， 一5 东北大学硕士学位论文 第二章访问控制技术 也可以选择其他的存取方法，视访问控制信息多少及安全敏感度而定。 2 1 2 基本任务 在通用计算机出现后，多用户任务的工作环境给系统带来了严重的安全问题。计算 机网络是计算机与通信技术密切结合的产物。计算机网络的建立拓宽了信息产生，收集 的范围，提高了信息传输、处理的速度。计算机系统资源的共享降低了信息处理的成本， 但这同时又为非法使用系统资源打开了一个方便之门。数据库系统的出现是信息处理技 术上的一个飞跃，它大大加快了信息处理的速度，提高了信息处理质量。但数据库系统 一直受到安全问题的困扰，至今仍未完全有效地解决。这些事实迫切要求我们对计算机 系统采取有效的安全防范措施，阻止非法用户进入系统及合法用户对系统资源的非法使 用，这就是访问控制的基本任务。为解决上述问题，访问控制需要采取两种措施：一是 识别与确认访问系统的用户；二是决定该用户对某系统资源可进行何种类型的访问。 因此，访问控制的任务可概括为如下几点： ( 1 ) 保护存储在某些机器上的个人信息的保密性。 ( 2 ) 保护重要信息的机密性，通过对访问进行控制，可以使保密信息保持秘密。 ( 3 ) 维护机器内信息的完整性，将未授权者拒之门外，可以减少非法用户对重要文 件进行有害修改的机会。 ( 4 ) 减少病毒感染机会，从而延缓这种感染的传播。 ( 5 ) 限制系统内用户的行为和操作，包括用户能做什么和系统程序根据用户的行为 应该做什么两个方面。 2 2 访问控制的实现方法 主体( s u b j e c t ) 和客体( o b j e c t ) 这两个概念的提出是访问控制的基础，主体对客体 具有访问权限，访问权限的具体含义视系统中的具体客体而定。访问控制的实现策略建 立在“主体一客体”概念之上。常用的访问控制实现方法有以下几种： ( 1 ) 访问控制矩阵( a c c e s sc o n t r o lm a t r i xa c m ) ； ( 2 ) 访问控制列表( a c c e s sc o n t r o ll i s t sa c l s ) ； ( 3 ) 能力( c a p a b i l i t i e s ) 。 2 2 1 访问控制矩阵( a c c e s sc o n t r o lm a t r i xa c m ) 访问矩阵是其他访问控制实现方法的基础，最早是由l a m p s o n 提出来的1 1 9 i 。其基本 思想就是将所有的访问控制信息存储在一个全局矩阵a 中，a 中的行对应于主体，列对 应于客体，a 中的每个元素a i ，j 】表示主体i 对客体j 所具有的已被授权的访问权限。例 如：设某一系统中，有主体1 、主体2 和主体3 ，客体1 、客体2 、客体3 和客体4 ，授权 如表2 1 所示，其中o w n 为拥有，r 为读，w 为写：其表示的意义有，例如，j o h n 对f i l e l 一6 一 东北失学硕士学往论文第二章访问控制技术 具有“拥有”这个权限，则j o h n 能授予其他用户对f i l c l 的访问权限，反之，亦能撤销 授予其他用户的权限；舢i c e 对f i l e 3 具有写权限；b o b 对f i l e 3 不具有访问权限。 袭2 1 访问控制矩阵 t a b l e2 1a c c e s sc o n t r o lm a t r i x 通常情况下，访问控制矩阵往往很大，并且由于许多主体对于大多数客体不具备访 问能力而使矩阵变得过于稀疏，这使得对于矩阵的执行非常不容易。因此，在现实系统 中很少采用矩阵的方式来实现访问控制。下面介绍的访问控制列表和能力两种方式就是 在现实中实现访问控制矩阵的常用方法。 2 2 2 访问控制列表( a c c e s sc o n t r o ll i s t sa c l s ) 访问控制列表没有将所有的访问控制信息集中放置在一个大而稀疏的矩阵中，而是 每个客体各自将能对自己访问的主体信息以列表的形式保存起来，当某个主体对客体进 行访问时，根据该客体保存的信息来判断是否允许该主体访问。例如，对应于图2 2 所示 访问矩阵的访问控制列表如图2 2 所示， 采用a c l s 的方式实现访问控制矩阵具有以下优点： ( 1 ) 由于没有一个中心点保存所有的访问信息，提高了执行效率； ( 2 ) 通过将不同的用户划分成不同的组，减少了访问信息的数量； ( 3 ) 在实际系统中得到广泛的应用。 但是a c l s 方式也具有如下缺点： ( 1 ) 难以管理大的动态列表； ( 2 ) 一个主体客体对只能拥有一个权限集。在现实情况中，主体对客体的访问权限 在不同的进程中可能不同，列表模型较难满足这些复杂情况； ( 3 ) 模型在与程序语言结合时比较困难。这可能是因为访问控制列表被存贮在拥有 客体保护文档中，而不是程序的数据域中。如果访问控制列表是一个语言形式系统的一 部分，作为一个基本数据形式，那么在代码中管理客体和相关的防护政策就变成了直接 的操作。 一7 东北大学硕士学位论文 第二章访问控制技术 f i l e l f i l e 2 a l i c e b o b o w n r r w 图2 2 访问控制列表 f i g 2 , 2a c 。e s sc o n t r o ll i s t s 2 2 3 能力( c a p a b i l i t i e s ) 能力的最基本形式是对一个客体访问权力的索引，它的基本内容是每一个“客体一 权力”对被认为是一个单独的实体，一个主体如果能够拥有这个“客体一权力”对，则 该主体拥有访问该客体某项权力的能力。能力单独形成一个列表，在主体和客体间起索 引功能。例如，对应于表2 1 所示访问矩阵的能力列表如图2 - 3 所示。 采用能力列表的方式实现访问控制矩阵具有以下优点： ( 1 ) 更容易提供给主体对客体的多重访问权限； ( 2 ) 更容易与程序语言相结合； ( 3 ) 命名和防护机制能够统一。 但是能力列表方式也具有以下缺点： ( 1 ) 能够直接判断一个客体是否拥有某种能力，但不能直接得到主体、客体间的关 系，这种能力的不断追加将对修改造成困难； ( 2 ) 效率相对于控制列表模型较低。 一8 东北大学硕士学住论文 g _ - 章访问控制技术 j o h n b o b f i l e l f i l e 3 o w n o w n rr ww f i l e l f i l e 2 j f i l e 3 f i l e 4 w r o w n ， 7 rr w f i k l ? f i l e 2 一 f i l e 4 r f 。 o w n r w r ， ， w 图卫3 能力列表 f i g 。2 , 3c a p a b f l r i e sl i s t s 2 3 访问控制的典型模型 下面将介绍三种在计算机系统中常用的访问控制模型，它们分别是： ( 1 ) 自主访问控制( d i s c r e t i o n a r y a c c e s s c o n t r o l d a c ) ； ( 2 ) 强制访问控制( m a n d a t o r ya c c e s sc o n t r o lm a c ) ； ( 3 ) 基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o lr b a c ) 。 2 3 1 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o ld a c ) 自主访问控制( d a c ) 最早出现在学术界和研究界是源于在1 9 7 0 s 早期出现的 t i m e s h a r i n g 系统中。d a c 的基本思想是：根据用户的身份和授权规则( 即用户或用户组 对系统中的信息对象被允许的访问模式，如读、写或执行等) 控制用户对信息对象的访 问；用户对信息对象的每个访问请求都需通过授权规则的审查与核对；单个用户生成对 象，并被看作是对象的拥有者；拥有者对对象持有完全的自主权，可决定其他用户对该 对象是否拥有访问权限。 自主访问控制模式【2 j 【4 】【2 0 嚏立在分权管理机制上的。所谓分权管理机制是指对象的生 成者是该对象的授权管理者，并且可以通过附带参数g r a n t o p t i o n ，将该管理功能委托给 其他用户。自主访问控制中的组成元素包括用户( u s e r ) 、对象( o b j e c t ) 、操作模式 ( o p e r a t i o n ) ，授予者( g r a n t o r ) 和权限管理选项( g r a n t o p t i o n ) 。用户可以是一般的终 端用户或智能代理；对象可根据应用环境的不同而具有不同的含义，例如在数据库中， 可以是整个数据库、基表、视图或存储过程等。而在文件系统中，可以是不同层次的文 9 东北大学硕士学位论文 第二章访问控制技术 件。在操作系统中，是系统中的各个资源；操作模式也根据应用环境的不同而具有不同 的含义，在数据库中，操作模式可以是创建、查看、添加、修改或删除等与数据库操作 有关的操作。而在文件系统中，操作模式可以是创建、删除、修改和执行文件；授权者一 般是用户：授权管理选项可以是“y e s ”或“n o ”，其中“y e s ”表示被授予权限的用户对 他所得到的访问模式有管理权限，而该用户也能把访问权限再次授予给其他的用户，”n o ” 表示用户对他所得到的访问模式没有管理权限。 d a c 的灵活性使得它被广泛应用在不同的系统中，特别是商业和工业的应用环境中。 但是d a c 也有其固有的缺点：对系统中信息的流动不提供真正的保障。在d a c 中， 授权中的访问权限的限制在流动中很容易丧失。例如，一个用户拥有读取某个文件数据 的权限，则他能在不和文件的拥有者协商的情况下将读取数据的这个权限代理给其他无 此权限的用户。造成这种情况就是因为d a c 缺乏对拥有信息访问权限的用户的对该信息 对象授权管理上的限制。当信息从一个对象拷贝到另一个对象时，可能通过访问拷贝 对象而获取信息，即使原件的拥有者没有提供用户对原件的访问权限。而且，拷贝还可 能通过特洛伊木马( t r o j a nh o r s e ) 软件传播，对信息的访问可能完全不是与原件拥有者 合作的用户。 2 3 2 强制访问控制( m a n d a t o r ya c c e s sc o n t r o lm a c ) 强制访问控制1 2 0 j 1 2 1 】的基本概念是：系统中的每个主体和客体都被赋予一个安全标识 ( s e c u r i t yl e v e l ) ，根据系统中主体和客体的安全标识控制信息的访问。客体的安全标识 反映了它所包含信息的敏感度，例如可能从未授权信息开放中所带来的潜在危险性；主 体的安全标识反映的是授权用户不对未授权用户开放敏感信息的信任度。在最简单的情 况下，安全标识以层次的方式表示密级程度。安全标识的类型有绝密( t o ps e c r e t