（计算机软件与理论专业论文）基于角色的访问控制在协同设计系统中的应用研究.pdf

山东师范大学颈士学位论文 基于角色的访问控制在协同设计系统中的应用研究 摘要 基于角色的访问控制模型是近十几年来在自主访问控制和强制访问控制的基础 上发展起来的一种重要的访问控制技术。基于角色的访问控制模型的特点是通过分配 和取消角色来完成用户权限的授予和取消，从而实现了用户与访问权限的逻辑分离。 由于基于角色的访问控制的诸多优越性，它已成为当前访问控制研究领域的一个热点 问题，得到了较为广泛的研究和使用。 今天，计算机支持的协同设计得到了蓬勃的发展，呈现出跨地域、大规模、复杂 化等特点，而传统的基于角色的访问控制是在集中式鲍背景下提出来的，对于在地域 上分布复杂的大规模协同设计系统的访问控制已经突显出其不足；此外，在协同环境 下，系统的管理工作异常繁重，完全依赖系统管理者参与系统中的所有授权行为，严 重加剧了系统的管理负担，所以在协同设计系统中需要一种伸缩式的分散管理委托模 式；同时，传统的访问控制列表具有描述性较低、灵活性不够、并且不易在大规模网 络中进行传输等问题，无法适用协同系统中的访问控制需求。所以，我们认为在如何 有效地构建基于角色的访问控制模型方面仍有较多的问题需要研究和改进，以适应协 同系统独有的特点。 本文针对上述问题对协同设计系统中的基于角色的访问控制进行了研究。论文的 研究内容和创新点如下： 1 ) 在基于角色的访问控制中提出了域的概念，将访闯控制中的主体和客体赋予 域的属性，用来强调主客体的位置关系，在角色授予过程中，对属于不同域的主体区 别对待，以便角色选择更加灵活。 2 ) 在模型中引入委托的机制，提出了基于任务和依赖的委托，使用户可以将自 己的设计任务，从任务和依赖两个方面有条件的委托他人完成。从而形成一种伸缩式 的分散管理委托模式，大大降低了协同设计系统中管理员的授权管理负担，并且满足 了用户的委托需求。 3 ) 将x m l 技术引入基于角色的访阀控制模型中，作为对传统的访闯控制列表的 替代。并提出使用s c h c m a t r o n 来实现x m ls c h e m a 的约束检验，从而实现了基于角 色的访问控制中的策略验证。 最后，将改进后的基于角色的访问控制模型应用于支持创新的可视化协同设计系 统的访问控制模块。在h o o p s a c i s 环境下，利用v c + + n e t2 0 0 3 在w m d o w s x p 平台 上开发完成，并针对设计产品为手机外观造型的实例进行了分析，应用结果令人满意。 山东师范丈学硕士学位论文 关键词：基于角色的访问控制、计算机支持的协同设计、域、委托、x m l 分类号：t p 3 0 9 2 山东师范大学硕士学位论文 a p p l i c a t i o nr e s e a r c ho fr o l eb a s e d a c c e s sc o n t r o lf o r c o m p u t e rs u p p o r t e dc o o p e r a t i v ew o r k i nd e s i g n a b s t r a c t r o l eb a s e da c c e s sc o n t r o lm o d e lh a sb e e nd e v e l o p e da sak i n do fi m p o r t a n t a c c e s sc o n t r o lt e c h n o l o g ye x t e n s i v e l yo nt h eb a s eo fd i s c r e t i o n a r ya c c e s s c o n t r o la n dm a n d a t o r ya c c e s sc o n t r o lf o rad e c a d e t h ef e a t u r eo fr o l eb a s e d a c c e s sc o n t r o li st h a tu s e r sa r ea s s i g n e dt or o l e s ，p e r m i s s i o n sa r ea s s i g n e d t or o l e s ，a n du s e r s a r ea c q u i r e dp e r m i s s i o n sb yb e i n gm e m b e r so fr o l e s t h e r e b y i tr e a l i z e st h el o g i c a ls e p a r a t i o no fu s e r sa n dp r i v i l e g e s f o rt h ea d v a n t a g e s o f r o l eb a s e da c c e s sc o n t r o l ，m o r ea n dm o r es c h o l a r sc o n t r i b u t et ot h i sf i e l d ， w h i c hm a k e si tah o t s p o ti na c c e s sc o n t r o ld o m a i n t o d a y ，c o m p u t e rs u p p o r t e dc o o p e r a t i v ew o r ki nd e s i g no b t a i n e dt h ev i g o r o u s d e v e l o p m e n t ，p r e s e n t e dt h ec r o s sr e g i o n ，l a r g e s c a l e ，c o m p l i c a t i o na n dm a n y o t h e rc h a r a c t e r i s t i c s h o w e v e r ，t h et r a d i t i o n a lr o l eb a s e da c c e s sc o n t r o lw a s b r i n gf o r w a r du n d e rt h eb a c k g r o u n do fc e n t r a l i z e ，s oi td o e s n ta d e q u a t ei n l a r g e - s c a l ec o o p e r a t i v ed e s i g ns y s t e 1 t h em a n a g e m e n to ft h es y s t e mp l a y sa v e r yi m p o r t a n tr o l ei nt h ec o o p e r a t i v ee n v i r o n m e n t ，i tw o u l di n c r e a s et h e m a n a g e m e n tl o a do ft h es y s t e mi fa l lt h ea u t h o r i z a t i o nw e r ec o m p l e t e l yd e p e n d o nt h es y s t e mm a n a g e r s oas o r to ft e l e s c o p i cm a n a g e m e n td e l e g a t i o nm o d e l i sn e e d e di nc o o p e r a t i v ed e s i g ns y s t e m a tt h es a m et i m et h ea c c e s sc o n t r o l l i s t sa r eo fm a n yd i s a d v a n t a g e ss u c ha sl o w e rd e s c r i p t i o na n df l e x i b i l i t y ， n o te a s yt r a n s m i s s i o ni nl a r g es c a l en e t w o r k s oi tc a n tf i tf o r t h e r e q u i r e m e n to fa c c e s sc o n t r o li nc o o p e r a t i v es y s t e 扎t h e r ea r es om a n ys t u d i e s a n di m p r o v e m e n t si nt h i sa r e a ，e s p e c i a l l yi nh o wt oe f f e c t i v e l yb u i l dt h er o l e b a s e da c c e s sc o n t r o lm o d e lf o rt h ec h a r a c t e r so fc o o p e r a t i v es y s t e m t h i sp a p e rd i s c u s st h er e s e a r c h w o r kf r o ma b o v ea s p e c t s ，a n dt h e i n n o v a t i o n sa r ea sf o l l o w s ： f i r s t l y ，t h ec o n c e p to fd o m a i ni si n t r o d u c e d ，w h i c hi st h ea t t r i b u t eo f s u b j e c ta n do b j e c tw h i l et h er e s o u r c ea c c e s si sf r o mt h es a l l l eo rt h ed i f f e r e n t a r e a t h e nt h e r o l e ss e l e c t i o n sa r em u c hm o r ef l e x i b l e s e c o n d l y ，t h i sp a p e rp r e s e n tat a s ka n dr e l i a n c eb a s e dc o n s t r a i n e d d e l e g a t i o nm o d e l ，w h i c hh e l p st h eu s e r st od e l e g a t et h e i rt a s k sc o n d i t i o n a l l y 山东师范大学硕士学位论文 t h e nak i n do ft e l e s c o p i cd e c e n t r a l i z e dm a n a g e m e n td e l e g a t i o nm o d e li ss h a p e d a sar e s u l t ，t h eb u r d e no ft h ed e l e g a t i o nm a n a g e m e n ti sg r e a t l yr e d u c e di n c o o p e r a t i v ed e s i g ns y s t e m t h i r d l y ，u s i n gx m ld o c u m e n t st ot a k et h et r a d i t i o n a la c c e s sc o n t r o ll i s t s 。 e n a b l e st h es y s t e mt oh a v et h eg o o df l e x i b i i i t ya n dt h ef e a s i b i l i t y 】【m l s c h e m a t r o nc a nv a l i d a t et h ea c c e s sc o n t r o ls t r a t e g ya n dr e a li z et h ec o n t r o l c o n s t r a i n tm a n a g e m e n t f i n a l l y ，t h ei m p r o v e dm o d e li sa p p l i e dt ot h ep r o j e c to fi n n o v a t i o nb a s e d c o o p e r a t i v ed e s i g ns y s t e m t h ep r o g r a m m i n ge n v i r o n m e n ti s v c 十+ n e t2 0 0 3i n h o o p s a c i s t h ea n a l y s i so fi n s t a n c e ss h o w st h a tt h er e s u l t sa r eq u i t e s a t i s f y i n gw h i c hi sb a s e do nt h em o b i l e t e l e p h o n ea p p e a r a n c em o d e l i n g k e y w o r d s ：r o l e b a s e da c c e s sc o n t r o l ：c o m p u t e rs u p p o r t e dc o o p e r a t i v ew o r ki n d e s i g n ；d o m a i n ：d e l e g a t i o n ：x m l c l a s s i f i c a t i o n ：t p 3 0 9 2 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得( 注：如 没有其他需要特别声明的，本栏可空) 或其他教育机构的学位或证书使用过的材 料与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明 并表示谢意 学位论文作者签名： 导师签字：幽互 学位论文版权使用授权书 本学位论文作者完全了解堂控有关保留、使用学位论文的规定，有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。 本人授权堂控可以将学位论文的全部或部分内容编入有关数据库进行检索，可 以采用影印、缩印或扫描等复制手段保存、汇编学位论文。( 保密的学位论文在 解密后适用本授权书) 学位论文作者签名：和事 导师签字：剐勿 签字日期：2 。刁年午月1 7 日 签字日期2 0 0 年月日 山东师范大学颈士学位论文 1 1 引言 第一章绪论 计算机支持的协同工作( c s c w ：c o m p u t e rs u p p o r t e dc o o p e r a t i v ew o r k ) 是2 0 世纪8 0 年代中期发展起来的一个新的研究领域。 计算机支持的协同设计( c s c 劝，c s c ri nd e s i g n ) 是计算机支持的协同工作的一 个重要研究领域和应用方向。协同设计理论研究应用的推广是在全球化竞争，满足个 性化、多样化市场需求，信息反馈敏捷的背景下发展起来的。k a o 等对协同设计做了 以下定义：协同设计系统能够提供一种环境，让两个或更多位于不同地点的设计工程 师通过该系统正常使用一般c a d 的功能，并能够达成协同的操作。支持协同的计算机 辅助设计至少能够使分布在不同网络环境下的设计人员能够并行协作地参与同一件 产品的设计、工艺规划与生产装配过程，甚至可以与设计服务供应商、经销商及客户 互动沟通与合作，可以显著提高产品数据的正确性，提升产品质量并可最大限度地缩 短产品的开发周期，进而提升了企业的竞争力。 协同设计的工程师需要对共享环境中的数据进行访问，然而谁能够以何种方式来 访问什么数据是需要规定的首先，各设计师具有不同的身份地位、专业特长、任务 分工；其次。不同的数据具有不同的共享范围、协同感知需求和安全性需求“2 因此， 需要制定访问控制策略。有一些系统给所有用户相同的权限或者依靠公共协议由用户 自己协调来访问控制，会导致诸多问题，例如存取错误、冲突和不一致以及非授权访 问等。 与一般的共享系统所制定的访问控制策略不同，计算机支持的协同工作系统对访 问控制提出了一些有别于其他系统的新的需求，c a e l l i s 0 1 和h o n g h a is h e n 瑚等人 认为这些需求主要有以下几点： l ，对用户组进行访问控制：应该提供由用户所在的组来决定其访问权限的机制； 2 、支持动态改变用户权限：用户权限在不同的协同阶段可以根据需要动态的改 变； 3 、支持协同权限的说明和控制：计算机支持的协同工作系统中除了普通的数据 访问操作外，还有交互和协作相关的访问操作，应该提供相应的对协同权限的控制： 4 、提供方便的授权和取消机制和操作合法性检查机制。 基于角色的访问控制( r o l eb a s e da c c e s sc o n t r 0 1 ) 是目前流行的先进的安全管 理访问控制方法。所谓角色是指拥有一定权限和责任的某一特定职位。基于角色的访 问控制在用户和权限之间加入了角色，把权限赋予角色，然后让用户属于某一角色， 山东师范丈学硕e 学位论文 从而使用户具有角色的权限。这样，整个访问控制过程就分为两个部分，即权限和角 色相关联，角色和用户相关联，从而实现了用户与权限的逻辑分离。 基于角色的访问控制虽然不是针对计算机支持的协同工作环境所提出的，但是它 所具有的策略中立、开放式环境、角色配置灵活、应用范围广泛等一系列特点，能够 满足计算机支持的协同设计对访问控制的上述需求，成为众多协同设计系统中访问控 制的核心模型。本文的重点以r b a c 模型为核心，在c s c w i ) 中对其进行研究与改进。 1 2 基于角色的访问控制在国内外研究现状 1 2 1 基于角色的访问控制在国外研究现状 1 9 8 8 年1 1 月2 日，美国发生的“莫里斯蠕虫事件”，将计算机及通信网络自身的 漏洞和弱点充分暴露出来，使人们不得不考虑如何提高计算机及其网络的可用性、完 整性、安全性和保密性，不得不把研究计算机信息系统的安全问题摆在与提高计算机 及网络性能同等重要的地位上。作为安全访问控制的一种方式，r b a c 系统也得到了 充分的关注和研究。 i 理论研究的发展 1 9 9 2 年，d f e r r a i o l o 和r k u h n 在美国国家标准技术局所举办的计算机安全研 讨会中，发表了一篇名为“r o l e b a s e da c c e s sc o n t r o l ”的文章，这是基于角色 的访问控制系列文献中第一篇以r b a c 为命名的文章。在此之后，陆续有许多学者在 国际期刊、研讨会中，发表相关的文章。其中美国g e o r g em a s o nu n i v e r s i t y 的 r s a n d h u1 9 9 6 年在i e e ec o m p u t e r 期刊上发表了经典文献“r o l eb a s e da c c e s s c o n t r o lm o d e l s 提出了著名的r b a c 9 6 模型o 】，成为r b a c 模型发展的基础。在s a n d h u 的文章中，将r b a c 用模块的方式来表示，将r b a c 分成r b a g 、r b a c 、r b a c ：、髓a c , 四个模块。由于r b a c 9 6 模型系统、全面的描述了基于角色的访问控制的基本含义及 关系而成为角色访问控制研究领域的经典，对基于角色的访问控制进一步的深入研究 奠定了基础。 在2 0 0 0 年，美国国家标准与技术局的r a v is a n d h u 、d a v i df e r r a i o l o 和r i c h a r d k u h n 三位作者，发表了“t h en i s tm o d e lf o rr o l e b a s e da c c e s sc o n t r o l ：t o w a r d au n i f i e ds t a n d a r d ”嘲。该文对过去学术界以及美国国家标准与技术局在r b a c 领 域的研究成果作了总结，也提出r b a c 最新的定义与理论模型。其将r b a c 模型分成几 个部分，包括核心r b a c 、层次式r b a c 、限制式r b a c 。 基于角色的访问控制是近几年在访问控制领域的研究热点，从1 9 9 6 年开始，美 国计算机协会a c m 每年都召开基于角色的访问控制专题研讨会来促进其研究。r b a c 模型在r b a c 9 6 模型的基础上也得到了不断的扩充，较有代表性的是：e z e d i nb a r k a 2 山东师范大学_ 颐 ：学位论文 和r a v is a n d h u 于2 0 0 0 年1 0 月发表文献”，提出一种简单实用的基于角色的委托模 型( r b d m o ) ，在模型中实现了委托撤销、部分委托、多步委托等。在此研究的基础上， 2 0 0 4 年他们在文献9 1 中，对r b d m 0 模型进行了扩展，提出r b d m l 模型该模型主要从 角色分层的角度，研究了委托授权的需求。 自2 0 0 3 年以来，国际o a s i s 组织致力于对】( a c 札( e x t e n s i b l ea c c e s sc o n t r o l m a r k u pl a n g u a g e ) 的研究，文献。1 最早提出x a c m l i 0 版本，首次定义了一种应用于 访问控制策略的x m ls c h e m a ，其后又相继提出j ( a c 札1 1 版本“”、】( a c 札2 0 版本“”、 x a c m l 3 0 版本“。根据o a s i s 的标准定义，文献“”提出x a c m l 和r b a c 模型相结合的 研究，文献m 1 在此基础上又进行了扩展。 2 、应用研究的发展 自提出r b a c 模型，并把角色引入访问控制机制以后，r b a c 的应用系统得到了一 定的发展，系统结构也日趋完善。从1 9 9 5 年起便开始有与r b a c 相关的专利申请案， 专利大约滞后理论研究一年左右。至今r b a c 相关的专利案件共2 6 件，其中多半是提 出r b a c 的相关应用。以专利号码6 ，0 8 8 ，6 7 9 这份文件“”为例，专利名称为“w o r k f l o w m a n a g e m e n te m p l o y i n gr o l e - b a s e da c c e s sc o n t r o l ”，其内容主要是提出工作流程 的模型，并且在每一个流程节点中加上对于角色职权的存取控制，间接将r b a c 应用 于工作流程管理上。 1 2 2 基于角色的访问控制在国内研究现状 近几年，随着r b a c 成为安全访问控制研究的热点，国内的研究人员逐渐开始重 视其研究和发展。理论上先后在r b a c 9 6 模型的基础上提出新型r b a c 模型( n 髓a c ) n 帕，基于业务工作流和角色的访问控制模型( w r b a c ) “”，以及在r b a c 9 7 模型的基础 上，提出的基于角色的多级访问控制模型( r b 湖矗c ) “”等。文献洲从模型可管理 的角度提出扩展的r b a c 管理模型( e a r b a c ) ，文献。“用n t r e e 来组织角色层次结构， 封装角色区间对象，实现r b a c 的分散化：文献恤1 则对基于角色的访问控制模型进行 了安全性的分析。 更多的国内研究人员将注意力集中到r b a c 模型实现及应用的研究上。这些文献 针对不同的信息系统，提出了相应的实现方案，研究最多的是在c s 和b s 结构的信 息系统中，如何实现基于角色的安全访问控制方案，以及w e b 环境下的基于角色的安 全访问控制机制的实现。文献1 将w e bs e r v i c e 技术与基于角色的访问控制模型相结 合，进行了深入研究；文献。1 研究了分布式环境下的基于角色的访阔控制；文献删 等也在该领域做了相关研究 山东师范大学颈：学位论文 1 2 3 计算机支持的协同工作中的r b a c 研究 有一部分工作可以作为在计算机支持的协同工作系统中研究与改进基于角色的 访问控制模型的例子。h o n g h a is h e n 等人曾以一个协同编辑框架s u i t e 为背景设计 了一个访问控制模型“1 ，该模型从主体、客体、访问操作这三个角度去规定访问权限， 其中从主体的角度对访问权限按角色进行说明和继承，但该模型还存在一些问题，一 个是没有提供一个形式化的描述方法和应用规则，不利于模型的应用。r b s m i t h 等 人在文献啪1 中介绍了一个共享空间应用系统设计环境，认为用户的角色关系到系统的 输出和用户的输入，但不足之处是不支持对协同权限的说明和控制，没有对角色的显 式表示，认为角色是通过空间位置和职能系统来体现的，因此只适合于共享空间一类 的应用。文献m 1 较集中的提出了基于角色的访问控制系统工作中需要解决的问题及基 本解决方案，如角色分配与迁移等。 在国内，最早由李成锴等人在文献嘲中，提出了一个基于角色的计算机支持的协 同工作系统访问控制模型r b c s a c ，并对该模型进行了非形式化和形式化的描述，并给 出了访问控制信息记录方法以及如何应用该模型能较好的满足计算机支持的协同工 作系统对访问控制的需求，但该模型在规模较小的协同工作系统下较为适用，当协同 工作系统发展到相当规模以后，该模型则需要进行改进。张志勇等在文献啪1 中，提出 了一种面向计算机支持的协同工作环境，基于角色一活动并具有时序特征和约束规则 的委托授权模型，解决了协同处理实际应用中访问授权过于集中的问题。 1 3 本文的研究内容与思路 本文针对大型的协同设计系统中，用户和角色的数量众多、关系复杂的特点，特 别是地域上的复杂分布的特点，以及用户在协同设计过程中，对于委托机制的需求， 对基于角色的访问控制模型在r b a c 9 6 模型的基础上，进行了研究与改进，提出了 e c d r b a c 模型。论文的研究内容和创新点如下： 1 ) 在基于角色的访问控制中提出了域的概念，将访问控制中的主体和客体赋予 域的属性，用来强调主客体的位置关系，在角色授予过程中，对属于不同组织的主体 区别对待，以便角色选择更加灵活。 2 ) 在模型中引入委托的机制，提出了基于任务和依赖的委托，使用户可以将自 己的设计任务，从任务和依赖两个方面有条件的委托他人完成。从而形成一种伸缩式 的分散管理委托模式，大大降低了协同设计系统中管理员的授权管理负担，并且满足 了用户的委托需求。 3 ) 将x m l 技术引入基于角色的访问控制模型中，作为对传统的访问控制列表的 替代。并提出使用s c h e m a t r o n 来实现x m ls c h e m a 的约束检验，从而实现了基于角 4 山东师范太学硕士学位论文 色的访问控制中的策略验证。 最后，对改进的模型在支持创新的可视化协同设计系统中进行了实际应用，其结 果令人满意。 1 4 本文的组织结构 本论文的组织结构图如图卜1 所示。 基于角色的访问控制在协同设计系统中的应用研究 第章 绪论 第二章 基于角 色的访 问控制 研究 第三章 协同设 计系统 中基于 角色的 访闭控 制模型 的改进 第四章 基于 ( 1 l 能 访问控 制列表 的研究 与设计 第五章 吏持产 品创舞 的协厩 匮计署 皖中酗 废闯拦 制的宴 第六章 结束语 图l l 论文的组织结构图 后续章节安排如下： 第二章：首先对基于角色的访问控制系统进行了介绍，主要从髓a c 模型元素和 r b a c 9 6 模型这两个方面进行了详细的说明，并分析了r b a c 模型的特点和优势；接着 对计算机支持的协同设计的相关工作进行概述，并对协同设计系统中的访问控制进行 了分析，提出要需要解决的问题。 第三章：这部分和第四章共同构成了本论文的研究工作的主体在r b a c 9 6 模型 的基础上，结合规模较大的计算枫支持的协同设计系统的自身特点，引入域的概念， 解决的多地域协同设计系统的问题，并提出基于任务和依赖的委托思想，实现了协同 设计工作环境下的委托机制。 第四章：在详细介绍x m l 和x m ls c h e m a 之后，结合x 札的多方面优势，将x m l 应用于协同系统中的基于角色的访问控制中，作为访问控制信息的载体实现对用户、 角色、权限等信息的存储，从两提高了执同环境下角色关系和角色权限的灵活性最 后利用x 札s c h e m a t r o n 的策略验证机制，实现了基于角色的访问控制中的一系列约 束。 第五章，将改进后的基于角色的访问控制模型应用于支持创新的可视化协同设计 系统的访问控制模块。在h o o p s a c i s 环境下，利用v c + + n e t2 0 0 3 在w i n d o w s x p 平台 5 山东师范大学硕t 学位论文 上开发完成。并针对设计产品为手机外观造型的实例进行了分析。 最后针对本论文的研究工作进行了总结，并对本课题的后续研究和实现工作进行 了展望。 6 山东师范大学颈j 二学位论文 第二章基于角色的访问控制及相关技术研究 随着信息技术的不断发展和广泛应用，计算机系统的安全性受到越来越多的关 注。访问控制策略是其中的重要组成部分，基于角色的访问控制r b a c ( r o l eb a s e d a c c e s s c o n t r 0 1 ) 成为研究的热点之一。它在模型扩充、维护等方面显示出了强大的 优势，模型更加的中立，弥补了自主访问控制太弱和强制访问控制太强的不足。 本章首先概述基于角色的访问控制的模型和发展现状，然后从计算机支持的协同 工作的角度分析其优势，最后提出需要解决的问题。 2 1r b a c 模型的提出 1 9 9 2 年，美国国家标准与技术研究所( n i s t ) 的d a v i df e r r a i o l o 和r i c kk u h n 在综合了大量的实际研究之后，率先提出基于角色的访问控制模型框架，并给出了 r b a c 模型的一种形式化定义。该模型第一次引入了角色的概念并给出其基本语义， 指出r b a c 模型实现了最小权限原则和职责分离原则。该模型中给出了一种集中式管 理的r b a c 管理方案。1 9 9 5 年他们以一种更直观的方式对该模型进行了描述 1 l a v is a n d h u 和他领导的位于g e o r g em a s o n 大学的信息安全技术实验室( l i s t ) 于1 9 9 6 年提出了著名的r b a c 9 6 模型4 1 ，将传统的r b a c 模型根据不同需要拆分成四 种嵌套的模型并给出了形式化定义，极大的提高了系统灵活性和可用性。这个模型清 晰的表征了基于角色的访问控制的概念。成为r b a c 的经典模型。绝大多数基于角色 的访问控制研究都是以这个模型作为出发点。 2 0 0 1 年，r b a c 领域的领军人物d a v i df e r r a i o l o ，r a v is a n d h u 等人联合拟定了 一个r b a c 模型的美国国家标准草案，力图统一不同模型中的术语，并对所有r b c 的基本操作给出了伪码定义。该模型类似于r b a c 9 6 模型，只是对权限部分做了一定 的细化，分成操作和对象。2 0 0 4 年该模型成为了美国国家标准嘲。 2 ，2r b a c 基本模型 本节首先给出了髓a c 模型中各种基本元素的定义，然后介绍目前比较成熟的 r b a c 9 6 模型，作为后续研究的出发点。 7 山东师范大学硕j 二学位论文 2 2 1 基本元素定义 r b a c 模型中的用户、角色、权限是模型的最基本元素，而其中的关系和延伸的意 义是实现r b a c 有效控制的关键部分，研究的前提是对基本构成的分析，然后才能是 有效具体的应用。因此，下面简单余绍一下r b a c 模型中的元素： 1 用户 用户就是一个可以独立访问计算机系统中的数据或者数据表示的其他资源的主 体，这里用u 表示一个用户集合。用户在一般情况下是指人，即被授权使用计算机的 人，也可为a g e n t 等智能程序。每个系统都有一个或多个用户参与。根据用户存在的 差异，分别赋予少数用户某种或某几种角色。 2 角色 所谓“角色”，就是一个或一群用户在组织内可执行的操作的集合，这里用r 表 示一个角色集合。角色是形成访问控制策略的基础语义结构，可以是企业内的职称头 衔或职能，其语义与授权有关。用户与特定的一个或多个角色相联系，角色与一个或 多个访问权限相联系，角色可以根据实际的工作需要生成或取消，而且登录到系统中 的用户可以根据自己的需要动态激活自己拥有的角色，避免了用户无意中危害系统安 全。“用户一角色”和“角色一权限”都是“多对多”的对应关系。与用户与权限相比， 角色是一个相对稳定的概念。用户所拥有的角色可能经常变化，但是角色所拥有的权 限是相对稳定的。在基于角色的访问控制模型中，可以预先定义角色与权限之间的关 系，将预先定义的角色赋予用户，明确责任和授权，从而加强安全策略。与把权限赋 予用户的工作相比，把角色赋予用户比较容易。 3 权限 权限是对计算机系统中的数据或者用数据表示的其它资源进行访问的许可，是对 授权的描述。这里用p 表示一个权限集合。权限一般是一种抽象的概念，表示对于某 种客体资源的某种操作许可，因此有的模型中将权限细化为二元组( 操作，对象) ， 其中对象是访问控制系统中的真正客体，操作是作用在该对象上的一种访问方式。 4 管理员角色 管理员角色是一种特定的角色，用来对角色的访问权限进行设置和管理。在集中 式管理控制模型中，管理员角色由一个系统安全管理员来完成；而在分布式管理控制 模型中，可以采用制定区域管理员来对系统进行分布式管理，每个管理员可以管理该 区域内的角色权限的配置情况。当然区域管理员的创建和权限授予贝l j 统一由顶级的系 统安全管理员完成。 5 用户指派 用户指派是用户集到角色集的种多对多的关系，用u a 表示，即有c 掰u x r 也 称为角色授权。 ，) e u a 表示用户u 拥有角色r ，从语义上来说就表示u 拥有r 所 8 山东师范大学硕士学位论文 具有的权限。 6 权限指派 权限指派是权限集p 到角色集r 的一种多对多的关系，即有尸爿p x r 。 ( ，) p a 表示权限p 被赋予角色r ，从语义上来说，就表示拥有r 的用户拥有p 。 7 r b a c 层次 在角色之间加入层次关系实现了“角色继承”的概念。在一个大型组织里，往 往存在很多通用的权限，层次关系可以避免相同权限的重复管理，同时层次模型也很 自然地反映了应用单位的组织机构。 8 约束 约束就是一系列的规则，能够施加在访问控制中的各种模块上，甚至可以施加到 规则自身，只有符合规则的访问控制模型模块才是可被接受的，否则这些组件将不允 许运行。约束有许多种，例如：互斥角色、基数约束、先决条件角色、时间频度限制、 运行时互斥约束等等。 9 职责分离 职责分离是为了避免用户获得可能冲突的权限，具体实现分为静态分离和动态分 离两种模型。静态分离的方法是：通过定义一些规则，规定用户不能同时担当某些可 能冲突的角色；动态分离的方法并不是简单的规定用户不能同时担任哪些角色，而是 把检查的时机放在了角色激活的时候。用户可以拥有两个可能冲突的角色，但是在动 态模型中，这些角色将不能同时被激活。职责分离的模型反映了r b a c 的一个重要原 则：“最小权限原则” 1 0 会话 用户是一个静态的概念，会话则是一个动态的概念，一次会话是用户的一个活跃 进程，它代表用户与系统进行交互。一个用户可以进行几次会话，在每次会话中激活 不同的角色，这样用户也将具有不同的访问权限。 1 1 访问控制列表 访问控制列表a c l s ( a c c e s sc o n t r o ll i s t s ) 是目前最流行、使用最多的访问控 制实现技术。每个主体和客体都有一个访问控制表，是系统中每一个主体和客体的访 问控制信息的保存列表。访问控制列表提供了主体对系统中每一个客体的访问权限信 息，提供了针对客体的方便的查询方法，通过查询个客体的访问控制列表很容易决 定某一个主体对该客体的当前访问权限。 目前国际上对r b a c 已有广泛的研究，其中最著名的模型是由美国g e o r g em a s o n 大学的r s a n d h u 等人提出的r b a c 9 6 模型。 r b a c 9 6 模型包括四个不同层面，即r b a g 、r b a c 。、r b a c 2 、r b a c ，四个模型， 9 山东帅范大学硕士学位论文 并且具有如图2 - 1 所示的包含关系： 图2 - 1r b a c 9 6 模型的包含关系 r b a c 。模型：这是r b c 的基本思想，包含3 个实体，用户u ( u s e r ) 、角色r ( r o l e ) 、 权限p ( p e r m i s s i o n ) 。用户与角色之间以及角色与权限之间均为多对多的关系，用 户对权限的执行需要通过角色联系起来，从而可以提供对信息资源访问的更多控制。 图形如图2 - 2 所示： 图2 - 2 g s a c o 模型 r b a c 0 可形式化的定义如下： 1 ) 若干实体集u ( 用户集) 、r ( 角色集) 、p ( 权限集) 、s ( 会话集) ： 2 ) u a u x r ，为多对多的用户角色指派关系； 3 ) p a p x r ，为多对多的权限角色指派关系； 4 ) 借盯：s 专u ，映射每个会话到一个用户； 5 ) r o l e s ：s 啼驴，映射每个会话到一组角色r o l e s ( s ) r i ( u s e r ( s ) ，r ) eu a ) 同 时会话获得的权限为u ， pi ( p ，) ，梆。 从定义中可以看出，r b a c o 只包含最基本的r b a c 元素：用户、角色、权限、会话。 所有的角色都是平级的，没有指定角色层次关系，所有的对象都没有附加约柬，没有 指定限制。 i c b a c ，模型：特征为在r b a c o 的基础上引入角色层次。对r b a c 模型定义如图2 3 所示： 1 0 山东师范大学硕士学位论文 角色继承 图2 - 3 r b a c i 模型 r b a c 。的形式化定义如下： 1 ) g 、r 、p 、s 、u a 、p a 等与r b a c o 模型一致： 2 ) r h r x r 是r 上的偏序关系，记为，称作角色继承； 3 ) r o l e s ：s _ 2 2 修改为r o l e s ( s ) g ，i o r r ) u s e r ( s ) ，川u a ，同时会话的权限为 u ，仞i3 r 。2 r ) e p ，r q 删 这里r b a c 体现了r b a c 模型中角色继承关系的语义。一个会话拥有的角色包含 u a 关系里面指定的角色以及它们的父角色，会话拥有的权限包含其拥有的所有角色 在p a 关系里面的权限以及它们的子角色对应的权限 r b a c 。模型：特征为在r b a c 。的基础上引入约束。髓a c ：有一个并非形式化的定义 如下： 1 ) r b a c o 的所有元素； 2 ) 一组限制条件，用于刻画r b a c 。中各元素的组合合法性 r b a c ：模型并没有指定限制条件的表现形式，只是从语义上给出了一个简短说明。 这给了船a c 模型诸多扩展形式。s a n d h u 的文章中介绍了两种主要的限制：角色互斥 和角色集数限制，这也是实际系统中最通常考虑的两种限制形式。 r b a c 3 模型：特征为r b a c 和r b a c 。两者的结合，这是最复杂的髓a c 模型，它包 括了角色继承和约束在r b c 。中，约束还可以被强加在角色继承关系上，如图2 - 4 所示。 山东师范大学硕士学位论文 角色继承 图2 4r b a c ，模型 2 3r b a c 模型的特点和优势 基于角色的访问控制模型的特点是通过分配和取消角色来完成用户权限的授予 和取消，并且提供了角色分配规则和操作检查规则。系统的管理人员根据需要定义各 种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。 这样，整个访问控制过程就分两个部分，即访问权限和角色相关联，角色和用户关联， 从而实现了用户与访问权限的逻辑分离，角色可以看成是一个表达访问控制策略的语 义结构，它可以表示承担特定工作的资格。 实际上，r b a c 是一个开放式的模型，r b a c 。的一个增强方向是层次模型r b a c 。它 的层次结构反映了职权的线性关系，可以实现多级访问控制所要求的保密级别的排列 要求和保密存取类的范畴的要求。r b a c o 的另一个增强方向是约束模型r b a c 。，这种模 型是从整体上确定对角色分配的约束条件。最常见的约束条件就是角色的互斥状态， 另外还有授权的互斥机制、对角色数量的约束和对角色前提的约束等。可以根据应用 的需要对模型进行不同的改进，而最终目的是通过r b a c 实现有效的访问控制的安全 管理。 基于角色的访问控制中，在用户和访问许可权之间引入了角色的概念，用户与特 定的一个或多个角色相联系。角色与一个或多个访问许可权相联系，角色可以根据实 际的工作需要生成或取消，而且登录到系统中的用户可以根据自己的需要动态激活自 己拥有的角色，避免了用户无意中危害系统安全。 r b a c 使权限管理更为简单、更容易维护，更适合网络