（计算机软件与理论专业论文）基于角色的访问控制模型的时态扩展研究与应用.pdf

基于角色的访问控制模型的时态扩展研究与应用 基于角色的访问控制模型的时态扩展研究与应用 计算机软件与理论 硕士生：梁中昆 指导教师：汤庸教授 摘要 随着计算机技术，通信技术和网络技术的飞速发展，计算机系统的安全性日 益受到重视。访问控制作为一种重要的安全技术，已经渗透到操作系统，数据库， 网络的各个方面。基于角色的访问控制( 砌3 a c ) 模型作为主流的访问控制模型， 比传统的自主访问控制和强制访问控制更加优越，同时也提供了更高的灵活性和 可扩展性。时间作为自然界无所不在的客观属性，影响着我们生活的方方面面， 在访问控制中也不例外。我们经常需要对用户的权限在时间上加以限制，但现有 的访问控制模型都不支持对时间的控制。 本文结合国内外在基于角色访问控制模型以及时态信息领域的相关研究成 果，在美国国家技术与标准局( n i s t ) 提出的i m a c 建议标准的基础上对时间属 性进行了扩展，扩展包括了对参考模型和系统及管理功能规范两个方面。本文首 先提出在参考模型的核心r b a c 中的嫣户集，角色集，权限集，用户角色关系， 权限角色关系中加入时间元素，继而对核心r 丑a c 中的函数重新定义，然后对参 考模型中的层次型r b a c ，s s d 关系和d s d 关系重新改写，最后再根据经过时态 扩展好的i 国a c 参考模型对m s t 的l m a c 建议标准中的系统及管理功能规范进 行改写。经时态扩展后的r b a c 模型能够较好地处理各种访问控制中的时间问 题。基本上能够达到使正确的用户在正确的时问内拥有正确的权限的目的。 本文的最后一部分对时态扩展后的r b a c 的应用做了研究，并在本人主要 参与完成的工程项目管理系统中应用了带时态的基于角色的访问控制模型，并取 得良好的效果。 关键词：访问控制，时态，基于角色，工程项目管理 基于角色的访问控制模型的时态扩展研究与应用 r e s e a r c ha n d a p p l i c a t i o no nt h et e m p o r a le x t e n s i o no f r o l e b a s e da c c e s sc o n t r o lm o d e l c o m p u t e rs o n w a r e 粕dt h e o r y n a m c ：l i a n gz h o n g k u n s u p e n ，i s o r ：p r o f e s s o rt a n g1 | o n g w i t ht h ed e v e l o p m e mo ft h cc o m p u t e r c o n 咖i c a t i 衄a n dn e 抑o r k ，m es e 训t y o o m m l l i l i t yo ft l i ec o m p u t 懿s y s t e mi se m p h 鹤i z c dm o r ca n dm o r e a c c c 路c o n t m l ，a n i m p o n a l l ts c c u r i t yt e c h n o l o g y h a sb c e n 印p l i c di nt h ew h o l ec o m p u t c rw d r l d r o l e b a s c da c c e s sc o n 仃0 l b a c ) m o d e l ，c 锄p 封e dw i n lt m d i t i o n a ld i s c r e t i o n a r y a n dm 卸d a t o r ya o c c s s n 仃0 lm o d e l s ，i tc a np 州i d eb c t t c rn e x i b i l i t ya n ds c a l a b i l i t y ， 柚di sn o w a d a y st l l eb 璐ta n dm o s tp i 叩u l 盯a c c c 站c o n t m lm o d e l 弼m ei sa no b j e c t i v c m a n e ro nt h ew o d d ，a n y t h 抽gi sa f 托d e db y i t 舭巧m c ，a n d 瓤i c e s s n t m l p m c e s s i n gm a l 【c sn oc x p t i o n ，t h ep i i v i l e g c s 铲锄t c dt 0u s e fs b o u l db el i m i t c do n t i m e h o w e v c r m o s ta c c c s sc o n 的lm d d d sd o tp m v i d cc o n t r o l sb a s e do t i i n e w i t ht h cr c l e v 如ta c h i c v c m e n ti nt h c 丘e l d0 ft h cr d c b a 辩da c c c s so 嘶t f o l 趾d t e m p o r a li l l f b r m a t i 衄h o 眦趾da b r o a d ，i nt h i sp a p 盯、cc x t c n d st l l et i m ec h a 阳c t e ro f t h cs t a n d a r dr j i a cm o d c lt l l a tt i 犯n 她n a ih s t h t co fs 眦h h 尊i l sa n d 钯c h n o l o g y ( n i s i ) p m p o s c di n2 0 0 1 1 1 h ce x t e 璐i o ni sm a i n i ya b o u t 也er e f e r c n c cm o d e l 锄dt h c f u n c t i o n a ls p c c i f i c a t i n y t i m cc l 锄t sa ma d d c di | ot l l cc 0 r 功蛇m o d e l s ot l l a tt h eu s e r t ，r o l cs c t ，p c 曲i s s i o n t ，u r _ m i cr c l a t i o n 卸dp c 皿i s s i o n m l c r c l a t i o n 盯ea l lp m v i d cw i t ht e m p o r a l 删b u t c s s c 。0 n d l y ，t h ef 删。璐o fc o r e m 蠕cm o d c la 坞r e d c f i n c d ，柚d 把o t h c rc o m p o n 协0 f ”s 诅n d a r d 砌认cm o d c l ， i n c l u d i n gr o l eh i e m r c h i e s ，吼a 啦n s t r a i l l t s ( s t a t i cs 印啪i o fd u 忉，a n dd y 曲i i l i c n s t m i m s ( d y 尬m i cs c p a 强t i o no fd u t y ) a r cr c b u i l t t h i r d l y ，t h cs y s t e m 柚d a d m i n i s t r a t i v ef 蚰c t i o n a ls p c c i f i t i o ft h es t 觚d a r d 狐cm o d e i i s - e w i i t t c n a n e rt e m p o r a ie x t c 璐i o n ，r b a cc a np c d b 皿b c 卸t i f i i l l y u p o n t h et i m er c l a t e d 基于角色的访问控制模型的时态扩展研究与应用 p m b l e m si nv 缸i o u sa c c c s sc o n h d l s ，s ot h a tt h ep r o p c ru s e rc 锄p o s 豁ap f o p e r 岬i s s i o n i l lt h ep m p c rt i m cp e f i o d f i n a l l y ，ar c a la p p l i c a t i o nc a s ei ss h o w nt op m v et h ef b 嚣i b i l i t yo fo l l rt e m p o r a l l y e x t e n d e dr b a cm o d c l k e y w o r d s ：a c c e s sc o n t m l ，t e m p o r a l ，r o l c - b 勰c d ，e n 舀n e e r i n gm a n a g e m e n t 基于角色的访问控制模型的时态扩展研究与应用 第一章前言 随着计算机技术，通信技术和网络技术的飞速发展，计算机系统安全性日益 受到重视 1 。访问控制作为一种重要的安全技术，已经渗透到操作系统，数据 库，网络的各个方面，成为计算机科学的研究热点之一。 访问控制( a c c e s sc t r 0 1 ) ，顾名思义就是对访问的控制，它是一种允许被授 权的主体对某些客体的访问，同时拒绝向未授权的主体提供服务的策略。这里主 体指一个提出请求的实体，是动作的发起者，但不一定是动作的执行者，主体可 以是用户或其它任何代理用户行为的实体( 例如进程、作业和程序) ；客体指接 受其他实体访问的被动实体，客体的概念也很广泛，凡是可以被操作的信息、资 源、对象都可以认为是客体，在信息社会中，客体可以是信息、文件、记录等的 集合体，也可以是网路上的硬件设施。访问的方式取决于客体的类型，一般是指 对客体的一种操作，比如请求内存空间，修改表中记录，浏览页面等。通过对主 体的授权，计算机系统可以在一个合法的范围内被使用，从丽保证了客体被正确 合理的访问，同时也维护了被授权主体的利益。这是访问控制的目的，同时也是 一个安全系统所必须具备的特性。访问控制在操作系统，数据库和网络上都有十 分广泛的应用。而基于角色的访问控制( r o l c b a da c 。e 鹞c o n t r o l ，砌3 a c ) 则是现在一种主流的访问控制的策略，它在访问控制中加入了角色的概念。 时间是自然界无所不在的客观属性，所有信息都具有相应的时态属性，时态 信息处理已成为薪一代信息系统的关键技术，特别是电子政务、电子商务、数据 仓库、数据挖掘、决策支持系统等信息系统中扮演着日益重要的角色 3 。访问 控制的目标就是使正确的人拥有正确的权限，而世界万物都是会随时间而变化 的，就算是同一个人在不同的时间内所拥有的权限也可能是不相同的。所以，通 过在传统的访问控制模型上加入时间的因素，从而达到使正确的用户在正确的时 间内拥有正确的权限这个目的是非常重要的，这可以使到我们能够更好地对用户 权限进行管理和用户访问进彳亍控制。 基于角色的访问控制模型的时态扩展研究与应用 1 1 国内外研究现状 访问控制技术起源于七十年代，当时是为了满足管理大型主机系统上共享数 据授权访问的需要。但随着计算机技术和应用的发展，特别是网络应用的发展， 这一技术的思想和方法迅速应用于信息系统的各个领域 2 。在三十多年的发展 过程中，先后出现了以下几种重要的访问控制技术： 自主访问控制( d i s c r e t i o n a r ) r 觚e s sc b n t r o l ，d a c ) 4 ，5 最早出现在二十世纪 七十年代初的分时系统中，它是根据访问者和它所属组的身份来控制对客体目标 的授权访问。一个对客体具有自主性访问权限的主体能够把该客体信息共享给其 他的主体。 强制访问控制例【缸d a t o r y 觚e s sc b n t r o l ，m a c ) 6 ，7 ，8 最初出现在军方的 应用中，又称为基于格的访问控制l b a c ( l a t t i c e - b a 辩da c c c s sc 0 n 扛0 1 ) ，是基于 主体和客体的安全标记来实现的一种访问控制策略。 二十世纪九十年代以来，随着对在线的多用户，多系统的研究不断深入，角 色的概念逐渐形成，并逐步产生了基于角色的访问控制模型( 】r o l e b a s c da c c e s s c 0 n l ，r b a q 。1 9 9 2 年，美国国家标准与技术研究所( n i s d 的d a v i df c r f a i o l o 和r i c kk u l i i l 在综合了大量的实际研究之后，率先提出基于角色的访闯控制模型 框架，并给出了r b a c 模型的一种形式化定义 9 。该模型第一次引入了角色的 概念并给出其基本语义，指出砌，a c 模型实现了最小权限原则( k a s tp i ! i “l e g c ) 年 职责分离原则( p 甜a t i o no f d 哟f ) 。该模型中给出了一种集中式管理的r b a c 管理 方案。m a t t i n d an y 蛐c h a m a 和s y l v i ao s b o m 在1 9 9 4 年仔细研究了r b a c 模型中 角色继承关系和角色权限指派，形式化的给出了角色管理的一系列算法 1 0 。他 们指出，他们提出的角色组织结构足够基本，能够模拟其他形式的权限模型比如 树状层次结构o l i c r 赫i e 渊权限图o 巾i l t g c 伊a p h s ) 。胁is 盐d h u 和他领导的位 于g r g cm a s 大学的信息安全技术实验室基于角色访问控制的理论与应用研 究( u s d 于1 9 9 6 年提出了著名的曲a c 9 6 模型 1 1 ，将传统的妯a c 模型根据 不同需要拆分成四种嵌套的模型并给出形式化定义，极大的提高了系统灵活性和 可用性。1 9 9 7 年他们更进一步，提出了一种分布式r b a c 管理模型 a r b 榭【1 2 ，实现了在r b a c 模型基础上的分布式管理。这两个模型清晰的 表达了r 1 3 a c 概念并且蕴涵了他人的工作，成为r b a c 的经典模型。绝大多数 基于角色的访问控制模型的时态扩展研究与应用 基于角色的访问控制研究都以这两个模型作为出发点。2 0 0 1 年，i m a c 领域的 领军人物d a v i df e m i o l o ，r a v is 柚d l i u 等人联合拟定了一个r b a c 模型的美国 国家标准草案 1 3 ，力图统一不同模型中的术语，并对所有r b a c 的基本操作 给出伪码定义。 现在关于访问控制的研究基本都是在这几个模型的基础上根据不同的应用 需要进行扩展。主要又可以分为以下几个大方向：基于工作流方面的访问控制的 研究 1 4 1 7 ，并提出了基于任务和角色的访问控制模型t r 勘坨 1 7 ，基于 c s c w 的访问控制应用研究 1 8 ，1 9 ，基于w 曲上的访问控制研究 2 0 ，2 l ，2 2 ， 基于e r p 访问控制系统的应用研究 2 3 和在时间方面扩展的研究等。 2 0 0 1 年， 2 4 首次提出了具有时间特性的访问控制的思想，它在砌j a c 9 6 模型的基础上提出的时态的基于角色的访问控制模型( t e m 口o r a lr o l c b a s e d a c c e 镐c o n n d l ，1 1 t b a c ) ，但该模型只支持角色的时间周期约束，该模型在时间 控制方面有很大的局限性。 2 5 在 2 4 的基础上讨论了在1 r i m a c 上的角色的继承关系， 2 6 在角色授权约束模型上加入时间特性，并对约束描述语言进行扩展，提 出基于角色的带时间特性的约束语言( m l e - b a d n s t r a l i n t sl 蛆g l l a g ew i m t i m e d l a 瑚d 甜，r c i j ) 。 2 7 在 2 6 的基础上提出解决时间授权约束和会话状态转变问题的算法，并 分析了模型的一致性状态。 2 6 ，2 7 两篇文章是通过加入一个时间的约束来解决 时间控制的问题，使用时间约束来描述访问控制中各类时间问题理论上很完美， 但由于时间问题的类型众多，实现起来会很复杂。 2 8 在砌 a c 模型的基础上定义了一种新的工作流系统带权角色与周期时 间访问模型( w c i g l l 蜘r o l ea n dp c d o d i ct i m ea o o 瞄sc o n d lm o d c i ，w r p l a c ) ，讨 论了周期时间表示方法，定义了工作流授权新概念和时态授权推导规则。 2 9 在基于角色的转授权模型上进行扩展，提出完备的具有实现的基于角色 的转授权模型( t c m p o r a lm l e 1 瑚c dd c l c g a t i 衄m o d d ，t d m ) ，并提出的基于 t r d m 的角色授权和角色撤销机制。该文章的解决方法是在转授权的时候加入 一个有效时问区间。 3 0 提出一种带时间约束和空间约束的角色授权管理模型，给出了模型的定 基于角色的访问控制模型的时态扩展研究与应用 义，解决了相互冲突的角色的授权问题。不过该文章中解决的冲突角色的授权问 题，如果使用n i s t 的r j a c 建议标准中的动态职责分离就能够很好地解决。 1 2 本文做的工作及其意义 现在，基于角色的访问控制模型( r b a c ) 虽然已经越来越成熟，但是 仍然有许多曩待研究解决的问题，对砌孔c 中时间问题的处理就是其中的一 个。时间作为自然界无所不在的客观属性，在访问控制中同样有着重要的意 义，但r b a c 9 6 ，a r b a c 9 7 和n i s t 的r b a c 建议标准三个重要的r b a c 模型都没有包含对时间因素的处理。目前对砌j a c 模型中的时间问题的研究 也存在很多局限，比如缺少对时间问题的综合考虑，缺少对实现和应用的研 究等。本文区别于现有的研究中通过加入一个时间约束的来达到对访问控制 中时间问题的处理的方法，提出在r b a c 模型中的用户集，角色集，权限集， 用户一角色关系，权限一角色关系中加入时间的元素，通过它们的共同作用 来达到对访问控制中不同类型时间问题的有效控制，并对n i s t 提出的r b a c 建议标准中的参考模型和系统及管理功能规范都进行了时态性的扩展，并在 本人主要参与并已经完成的工程项目管理系统中应用了经过时态扩展的 r & 忙访问控制模型。和已有的方法相比，加入时间元素的方法能够很好地 和很方便地处理有关有效时间的问题，而且可以综合考虑的共同作用的结果， 同时实现方便，不过对复杂时间问题的处理比较麻烦，如使用总时间的限制， 每次使用时间的限制，一定时间内激活次数的限制等等，下一步工作可以加 强处理这些问题的能力。通过对基于角色的访问控制模型的时态扩展，大大 增强了进行访问控制的能力。同时，为访问控制中时间问题的进一步研究奠 定了理论和应用的基础 1 3 本文安排 第一章为引言部分。介绍国内外的研究现状，本文所做的工作及其意义。 第二章介绍了访问控制的发展情况。介绍了自主访问控制，强制访问控制和 基于角色的访问控制，其中着重介绍了基于角色的访问控制的基本概念和三个主 要的模型。 基于角色的访问控制模型的时态扩展研究与应用 第三章介绍一下有关时态的基本知识，包括时间点，时间区间，时间粒度的 基本定义以及有效时间和事务时间的概念，以及它们之间的关系。 第四章是本论文的重点，首先介绍了r b a c 的最新的标准一一n i s t 提出的 i m a c 建议标准，然后在该标准上进行时态方面的扩展。扩展主要分为两个部分： 对参考模型的扩展和对r b a c 系统及管理功能规范的扩展。 第五章以本人主要参与实现的一个系统一一中山大学总务处的工程项耳管 理系统作为例，介绍具有时态特性的基于角色的访问控制的应用情况。 基于角色的访问控制模型的时态扩展研究与应用 第二章访问控制发展回顾 2 1 自主访问控制 自主访问控制( d i s c r e t i o n a r ya c c c s sc o n t r o l ，d a c ) 4 ，5 最早出现在二十 世纪七十年代初的分时系统中，基本思想是：系统中的主体可以自主地将其拥有 的对客体的访问权限授予其它主体。其实现方法一般是建立系统访问控制矩阵， 矩阵的行对应系统的主体，列对应系统的客体，元素表示主体对客体的访闯权 限。为了提高系统性能，在实际应用中常常是建立基于行( 主体) 或列( 客体) 的 访问控制方法。 2 自主访问控制的优点是具有很大的灵活性，客体的创建者具有对该客体的所 有访问权限并且可以将其权限授权其他主体。但由于访问权限具有传递性，一旦 权限被传递出去将很难控制，会带来很大的安全隐患。所以，自主访问控制的安 全级别较低。 2 2 强制访问控制 由于自主访问控制的安全级别比较低，强制访问控制( m 柚d a t o r ya c c e s s c o n t r o l ，5 i a c ) 6 ，7 ，8 作为一种基于格( l a t t i c e - b a s e d ) 的访问控制应运而生。 强制访问控制最早被应用在m u l t i c s 系统中。强制访问控制通过比较主体与客体 的安全属性来决定是否允许主体访问客体，安全属性是由系统自动或由安全管理 员分配给每个实体( 主体和客体) 的，它不能被任意更改。如果系统认为具有某一 安全属性的主体不能访问具有一定安全属性的客体，那么任何人( 包括该客体的 主人) 都无法使该主体访问该客体。这样即使存在特洛伊木马，强制访问控制也 保证了信息可以在安全属性的格中按一个方向流动，这就解决了自主访问控制的 问题。 1 强制访问控制的优点是可以根据事先定义好的安全级别实现严格的权限管 理，适用于对安全性要求较高的应用环境。美国军方就一直使用这种访问控制模 型。缺点是对访问控制太严格，而且实现工作量太大，管理不便，不适用于主体 基于角色的访问控制模型的时态扩展研究与应用 客体经常改变的应用环境。 2 3 基于角色的访问控制 随着网络的飞速发展，对系统的安全性要求不断发生发展和变化，而传统 的d a c 和m a c 策略不能完全满足这种的要求。九十年代以来美国国家技术与标 准局( n i s t ) 提出了基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 的概念并广为接受。r b a c 的突出优点是简化了各种环境下的授权管理。在d a c 和m a c 系统中访问权限直接授予用户，而系统中的用户数量众多而且经常变动， 这就增加了授权管理的复杂性。 2 r b a c 的核心思想是加入了角色这个概念，通过角色将用户和权限联系在一 起。系统中用户担任一定的角色，与用户相比角色是相对稳定的。角色实际上是 与特定工作岗位相关的一个权限集，当用户改变时只需进行角色的撤消和重新 分配即可。虽然r b a c 已在某些系统中得到应用，但r b a c 仍处于发展阶段，r b a c 的应用仍是一个相当复杂的问题。 2 3 1r b a c 的基本概念 - 主体( s u b j e c t ) ：可以对其它实体实施操作的主动实体通常是系统用户或代 理用户行为的进程。 客体( o b j e c t ) ：接受其它实体动作的被动实体通常是可以识别的系统资源， 如文件。一个实体在某一时刻是主体而在另一时刻又成了客体，这取决于该实体 是动作的执行者还是承受者。 用户( u s e r ) ：用户一般指人，不过也可以扩展指机器，设备，进程等。每个 用户都有一个唯一的用户标识( u s e r i d ) ，当用户注册进入系统时，需要提供其 u s e r i d 系统进行用户身份认证以确证用户身份。 角色( r o l e ) ：角色指具有一定技能、可以执行某些工作的人员( 或资源) 集 合。通过给成员赋予不同的角色，对成员的多职能进行表达，提供约束成员不同 权限范围变化的依据。 。访问权限( p e m i s s i o n ) ：权限描述了一个角色对一个访问对象可以执行某种 操作的能力，它反映的是授权的结果。比如授予角色a 对资源b 有读的权限， 基于角色的访问控制模型的时态扩展研究与应用 那么表示角色a 能够对资源b 进行读这个操作。这是r b a c 系统复杂性的一个 重要方面。 用户角色分配( u s e r r o l ea s s i g n m e n t ) ：为用户分配一定的角色，即建立用 户与角色的多对多关系。 角色权限分配( p e m i s s i o n r o l ea s s i g 衄e n t ) ：为角色分配一组访问权限， 即建立角色与访问权限的多对多关系。这样通过角色将用户与访问权限联系起 来。用户具有其所拥有各角色的访问权限的总和。 会话( s e s s i o n ) ：会话对应于一个用户和一组激活的角色，表示用户进行角色 激活的过程。一个用户可以进行几次会话，在每次会话中激活不同的角色，这样 用户也将具有不同的访问权限。用户必须通过会话才能激活角色。 2 3 2r b a c 9 6 模型 r b a c 9 6 模型 1 1 是s 柚d l u 等人在1 9 9 6 年提出的一个r b a c 模型簇，包括 四个部分，如图2 1 。 图2 1r b c 9 6 模型簇 i l b a c 0 是模型的核心部分。它是最基本的模型，是所有支持r b a c 的系统的 最小要求。髓 c o 包含最基本要素：用户集、角色集、会话集，访问权限集。当 用户进入系统得到自己的控制时，就会动态地生成一个会话，然后会话根据用户 的要求激活用户已具有的角色集中地一个子集，从而使到该用户在这个会话中具 有了这些角色中的权限。 r b a c l 是对r b a c o 的扩充，并增加了角色的等级概念。通过角色的等级关 系，上级角色可以继承下级角色的访问权限，再加上自身特有的权限构成该角 基于角色的访问控制模型的时态扩展研究与应用 色的全部权限，这极大地方便了权限管理。 r b a c 2 也是髓a c o 的扩充，但与r b a c l 不同，r b a c 2 加进了约束的概念。 r b a c 2 中的约束规则主要有： 最小权限：用户所拥有的权力不能超过他执行工作时所需的权限。实现最小 权限原则，需分清用户的工作内容，确定执行该项工作的最小权限集，然后将 用户限制在这些权限范围之内。 互斥角色：一个用户在一组互斥的角色集合中只能分配给以集合中一个的角 色，这样支持了职责分离的原则；而访问许可权的分配也有约束限制，对访问许 可权的约束可以防止系统内的重要的特权被失控地分散，从而保证强制控制的可 靠实旎。 基数约束：一个用户可以拥有的角色数目和一个角色可以拥有的权限的数目 都受到约束。 先决条件角色：用户为获得某些高等级角色必须首先拥有低等级角色，同理， 某一角色必须具备了某些权限才能获得更高的权限。如：总会计师必须首先是会 计师，要写文件必须曾先拥有读文件的权限。 运行时约束；允许一个用户具有两个互斥的角色，但不允许在同一个会话中同 时激活这两个角色。 r b a c 3 是r b a c l 和r b a c 2 的结合。将角色等级与约束结合起来就产生了等 级结构上的约束： 等级间的基数约束；给定角色的父角色( 直接上级) 或子角色( 直接下级) 的数 量限制。 等级间的互斥角色：两个给定角色是否可以有共同的上级角色或下级角色。特 别是两个互斥角色是否可以拥有共同的上级角色，如在一个项目小组中程序员 和测试员是互斥角色，那么项目主管角色如何解释( 它是程序员和测试员的上 级) 。 2 3 3a r b a c 9 7 模型 r b a c 9 6 模型对角色是一种集中式的管理，它假定系统中只有一个安全管理 员进行系统安全策略设计和管理，但在大型系统中由于用户和角色数量众多，这 基于角色的访问控制模型的时态扩展研究与应用 种方式并不现实，s a n d h u 等人在1 9 9 7 年又提出了r b a c 9 6 的管理模型a r b a c 9 7 ( a d i n i s t r a t i o n 硒a cm o d e l ) 1 2 。a r b a c 9 7 给出了髓a c 模型中角色管理的办 法。在a r b a c 9 7 中角色分为常规角色和管理角色，二者是互斥的。管理角色也 具有等级结构和权限继承。那么访问权限可分为常规权限和管理权限，也是互斥 的。a 船a c 9 7 包括三个组成部分： 用户一角色分配管理( u s e r r 0 1 ea s s i g n m e n t ，u r a9 7 ) u r a 9 7 主要讨论了用户一角色关系的指派和撤销问题。每个管理员都对应有 一个管理范围，只能处理在该管理范围之内的用户角色关系的指派和撤销操作。 但同时，高级的管理员角色的管理区间包含下级角色的管理区间，从而形成了一 个有层次的，职责分明的管理层次。由于一个角色对应的用户可以是通过角色继 承关系得到的，因此在撤销的时候中又可以分为强撤销( s t r o n gr e v o k e ) 和弱撤 销( w e a kr e v o k e ) 。如果一个撤销操作是弱撤销，那么如果该用户是通过继承关 系成为该角色的对应用户，撤销操作将不起作用；如果是强撤销，那么将强行剥 夺该用户属于上层角色的权利。 权限一角色分配管理( p e 瑚i s s i o n r o l ea s s i g n m e n t ，p r a9 7 ) 由于在r b a c 9 6 模型中权限和用户的地位是对称的。因此p l i a 9 7 实际上是 u r a 9 7 的一个对偶模型。p r a 9 7 类似地中定义了权限角色关系的指派和撤销。 角色一角色分配管理( r 0 1 e r 0 l ea s s ig l l m e n t ，r r a9 7 ) 角色本身的管理是整个r b a c 模型中最重要而又最复杂的部分。由于角色的 继承关系会影响到用户角色指派和权限角色指派。因此管理员可管理的角色区间 会更加严格。类似于u r a 9 7 ，每个管理员都又一个管理区间。砌认9 7 中还定义 了多种角色区间的概念，并且给出了一些形式化的证明，保证了这些区间能够安 全的实现角色模型的分布式管理。 2 3 4n i s tr b a c 建议标准 2 0 0 1 年8 月美国国家技术与标准局( n i s t ) 发表了r 队c 建议标准 1 3 。此 建议标准综合了该领域众多研究者的共识，包括两个部分：r b a c 参考模型 ( r b a cr e f e r e n c em o d e l ) 和功能规范( r 队cf u n c t i o n a ls p e c i f i c a t i o n ) 。参考 模型定义了r 队c 的通用术语和模型构件并且界定了标准所讨论的r b a c 领域范 基于角色的访问控制模型的时态扩展研究与应用 围，包括四个部分：基本髓a c ( c o r er b a c ) ，等级r b a c ( h i e r a r c h a l 飓a c ) ，静态 职责分离( s t a t i cs e p a r a t i o no fd u t i e s ，s s d ) ，动态职责分离( d y n 锄i c s e p a r a t i o no fd u t i e s ，d s d ) 。功能规范定义了r b a c 的管理操作，可以分为三 类：管理功能，系统支持功能，审查功能。关于n i s tr b a c 建议标准地详细描述 在第四章第一节。 基于角色的访问控制模型的时态扩展研究与应用 第三章关于时态的基础知识 3 1 时间的基本概念 时间粒度 时间粒度( t i eg r a i l u l a r i t y ) 3 1 是指描述时间数据的最小时间单位，表示 时间点之间离散化程度的因素就是时间粒度。时间粒度反映了时态信息系统中时 间点描述的最小单位，时间粒废越小，离散的时间点越多，描述的事件的变化信 息越精细准确：反之，描述的事件变化的信息越粗糙。在具体的时态信息系统中， 选择怎样的粒度，应该由应用的需求和系统的承受力所决定的。 时间量子 时间粒度的大小，要受到时间量子的约束。系统的时间量子( c l l r o n o n ) 是 计算机系统所支持的最小的、不可分割的时间间隔。客观世界中的时间，离散化 的程度可以任意的小，但是计算机系统的离散化程度是受到机器性能制约的。现 实世界中的两个事件发生的时间可能不同，但是当它们处在同一个时间量子之 内，计算机系统是无法进行区分的，此时，所记录的发生时间是同样的。可见， 时间量子是系统记录时间属性的精确程度的一个度量。时间量子越小，系统记录 的精确度越高。 时间点 基于点的时间元素( p 0 i n t b a s e d ) ，又称为时间点( t i m ei n s t a i l t ) ，或称 时刻( t i ep o i n t s ) 。这种描述方法是把时间看成一个个离散的时间点，这些离 散化的时间点的间隔大小适度时，就可以准确的描述现实世界事件发生及变化的 状况。时间点是时间轴上的一点，它是和时间粒度是相关的。 时间区间 基于区间( i n t e r v a l b a s e d ) 的时间元素中，时间的基本单位为时间段或 者时间区间( t i m ei n t e r v a l ) 3 2 ，即通过描述时间段的起始和终止点来描述 时间区间。时间区间是指一段时间，有固定的起止时间点，例如1 9 9 5 年一1 9 9 6 年。时间的区间的表示方法根据两端时间点是否封闭分为4 种，如图3 1 表示。 在这四种区间的表达方式中，一般采用前端封闭，尾端开放的形式，主要的 基于角色的访问控制模型的时态扩展研究与应用 是考虑时间区间兼容时间点的表示方式和时间区间的比较谓词的缘故。 四种区间 1 ) 觑 p 2 ) 【n ，p ，) 3 ) ( n ，pj 】 4 ) ( n ，p i ) 区间含义 p f 蔓p ， p i s t ( p i p f r 2 。 现在，我们在一般角色层次关系的直接继承关系上定义受限角色的层次关 系。 定义4 2 b 受限角色层次关系( l i m i t c dr o l ci l i 啪r c l l i e s ) 在定义2 a 的基础上加上以下的限制： v ，r 1 ，r 2 舢，r r 1 r r 2 j r l = r 2 基于角色的访问控制模型的时态扩展研究与应用 图4 4 受限的角色层次关系 图4 4 是一个受限的角色层次关系，椭圆表示的是角色，双重椭圆表示的是 用户。注意一点是：图中角色只能是单继承，但用户是可以拥有两个或以上的角 色，这个并不违反受限角色继承的定义的，因为在核心l u a c 模型中用户和角 色的赋值关系被定义为多对多的关系，在一般情况下用户不作为受限角色层次关 系中的一个节点。 3 约束型瑚瞄c 约束型r m 地( c c m s t r a i n tr b a c ) 在核心舳a c 模型的基础上增加了职责 分离( p a 碍t i ( mo fd u i y ) 关系，职责分离被用于避免和解决潜在的利益冲突 ( c o n f l i d o f i n t e 糟s 1 ) 问题。职责分离又可以分为静态职责分离( s t a t j cs c p a m t 自嘶o f d u t y ) 和动态职责分离( d y 眦i c p 珊虹帆o f d u t y ) 。 3 1 静态职责分离( s 协t i c 鼹睥麒娃佃o f 加t y ， s s d ) 关系 在一个基于角色的系统中，利益冲突的产生往往是因为用户被授予两个有冲 突的角色。防止这种利益冲突产生的其中一个方法是静态职责分离，它是通过在 将角色赋予用户的时候加以约束。s s d 通过先设定一个需要约束的角色集合，然 后在进行用户一角色指派u a 时加以限制。这意味着一个用户如果已经被赋予这 个角色集中的一个角色后，他就被禁止被赋予这个集合中的其他角色。比如在一 个公司里，会计和财务往往是两个具有利益冲突的角色，一个人如果给指派了会 计这个角色，就不允许再给指派财务这个角色。 然而，现实世界中用户角色控制可能会更复杂，比如在某个公司里面，用户 基于角色的访问控制模型的时态扩展研究与应用 可能被限制最多只能同时拥有两个具有利益冲突的角色。我们定义s s d 由两个 元素组成：具有利益冲突的角色集，用户拥有该角色集中角色的上限。 如图4 5 所示，s s d 同时适用于具有层次型砌j a c 模型中，在这种情况下， 我们要特别注意查看各角色的祖先角色间是否也符合s s d 约束。 图舢5 层次型肋a c 的s s d 示意图 定义4 - 4 a 静态职责分离( s t a t i cs c p 扰岫o no f d u t y ) 鼹d e ( 2 “8 ) ，静态职责分离是二元组，打) 的集合，其中体是一个角 色的集合，o k 一5 曲s 部f 是角色集墙的一个子集，n 是不小于2 的整数，满足条 件：没有用户给指派了角色集玛中n 个或以上的角色，其中，一) 醛d 。 v ( 糟，n ) 渤，v r d 如一豇i 缸e 甜邶：i r o 跆一础夙甜巨行 j n m m m d 4 船咖耐一淞e 糟( ，o 妫= a 定义4 袖层次关系下的静态职责分离 在层次关系下的s s d 需要被重新定义，要用基于授权用户( 卸t l l o r i z c du 硌) 来代替指派用户( 嬲s i 弘c du 塔) ： v ( 瑙，一) 渤，v r n k s l 如e 甜耋船：i ，口如一s 越坫e 甜峰一 j n m 口m 幻比耐一w e 糟以蚺= 0 3 - 2 动态职责分离( d y n 童面c 辩p a r 砒b no f d u 劬d s d ) 关系 基于角色的访问控制模型的时态扩展研究与应用 u 图4 6 d s d 示意图 s s d 通过限制一个用户指派的角色来限制用户所可以拥有的权限。d s d 和 s s d 类似，它们的目的都是要限制用户拥有的权限。但是，d s d 区别于s s d 在 于它是通过动态地去限制用户的权限。s s d 是根据用户所拥有的所有的角色进行 限制，而d s d 是根据一个用户在它所在的会话中已经激活的角色。在s s d 中， 用户不可以给授予具有利益冲突的角色，而d s d 中这种限制有所改变，它只是 限制用户不能在同一个会话中同时激活这些具有利益冲突的角色。d s d 比s s d 给企业在实施职责分离时提供了更灵活的限制。比如，程序员和测试员是两个具 有利益冲突的角色，根据s s d 原则的话就任何人都不能同时担当这两个角色， 如果根据d s d 原则，只是限定了在同一个项目中任何人不能同时担当这两个角 色，这更符合现实的需要。 现在，我们来给出d s d 的定义： 定义4 5 动态职责分离( d y n 鼬i cs e p 娟岖o no fd u t y ) 傩d ( 2 “8 ) ，动态职责分离是二元组，n ) 的集合，其中格是一个角色 的集合，r o 拓删瓠昭f 是角色集r s 的一个子集，n 是不小于2 的整数，满足条件： 用户不能在同一个会话中同时激活集合璐中n 个或以上的角色，其中 ( 坶，以) e 傩d v 腮2 舢，月e ，( 船， ) d 妨j 一2 i 踏陲 ，并且 v s e 量咖s e s s ，0 博，v 糟2 脚，v ，o k s m 夙b 对2 脚，v n ，( ，百，蚪) 上坯d ，0 如一s h h 酷f 瑙，口k j 以坫e l 5 捌岱l 册一，d k ，o 嚣s f 硼) = 爿r d 跆一j h 缸di 咒 基于角色的访问控制模型的时态扩展研究与应用 4 1 2r b a c 系统及管理功能规范 建议标准给出r 】a c 系统及管理功能规范是为了进一步统一各种r j ；a c 的 实现，它将r b a c 系统的功能函数划分为以下3 类： ( 1 ) 管理性函数( a d m i n i s t r a t i v ef u n c t i o n s ) ：用于创建和管理r b a c 模型中的 元素集合及关系。 ( 2 ) 支撑性系统函数( s u p p o n i gs y s t e mf u n c t i o n s ) ：用于创建和管理r 勘c 会话的属性，指定访问控制决策。 ( 3 )查询函数( r e v i e wf u n c l i o n s ) ：用于查看管理操作的结果，即r b a c 系统 的状态。 建议标准还提出了一种根据需求组合r b a c 特性以定制组件包的方法，并 用z 符号系统的一个简化版本给出了各个函数功能的形式化规范。 l 核心r b a c 的函数规范 1 1 核心r b a c 的管理性函数 核心r b a c 的管理性函数主要分为两部分：元素集合的创建和管理及关系 的创建和管理。 元素集合的创建和管理。核心模型的基本元素集合有用户集，角色集，操作 集和访问对象集。在这些元素集合当中，操作集和访问对象集要根据所处的系统 的情况决定，比如