（计算机软件与理论专业论文）基于工作流的访问控制安全模型研究与设计.pdf

基十工作流的访问控制安牟模型研究与设计 摘要 电子政务建设是我国当前信息化建设工作的重点，而信息安全是电子政务 建设实施的关键，访问控制是整个电子政务安全服务中的核心。工作流技术广 泛应用于电子政务系统中，但工作流系统中的访问控制问题却没有引起足够的 重视，至今未得到有效的解决。本文根据电子工作流系统中的访问控制安全需 求，提出和设计了一种新的安全模型。主要工作如下： ( 1 ) 在广泛、深入研究了各种计算机安全模型的基础上，本文认为能灵 活满足分布式环境下不同应用和用户安全需要的多策略模型是安全模型的发展 趋势。在分析了工作流系统的安全需求安全之后，归纳出基于工作流的安全模 型的安全原则。 ( 2 ) 提出了一种新的安全模型一基于工作流的r t m 访问控制安全模 型。首先对r t m 安全模型进行了形式化定义，接着给出了一些重要的安全公理 和定理，并以这些定义、公理和定理为基础设计了r t m 安全模型的主体部分一 静态安全规则和动态安全规则，以实现该模型的安全原则，为工作流应用提供 各种安全服务。 ( 3 ) 针对所设计的r t m 模型，给出了一种可行的安全性能评估方法。根 据用户、角色、任务的当前活动环境，设计了用户安全系数，角色安全系数， 任务安全系数，以衡量工作流系统中用户、角色、任务的安全性能和风险。系 统安全管理员可以根据这些安全系数，作出相关处理。 ( 4 ) 利用基于工作流的r t m 安全模型，给出了基于工作流访问控制安全 平台( w f p m ) 的原型设计。重点描述了该平台所处层次，体系结构和各模块 的主要功能。 本文设计的基于工作流的r t m 安全模型主要有以下特点：( 1 ) 它是一种 多策略安全模型。该模型吸取了b l p ，b i b a ，r b a c ，t b a c 等模型的优点，能 提供保密性和完整性强制访问控制，提供安全管理和授权设置。( 2 ) 它是一种 面向电子政务工作流系统的应用层次安全模型。能为工作流系统提供细粒度、 动态的、实时的最小特权，提供基于任务、动态的、基于历史的职责分离，提 供灵活的、可验证的、可评估的安全管理。 关键词：访问控制、工作流、安全模型 2 基十工作流的访问控制安牟模型研咒与设计 a b s t r a c t e g o v e r n m e n tc o n s t r u c t i o nb e c o m em o r ea n dm o r ei m p o r t a n ti n o u rc o u n t r y i n f o r m a t i o nc o n s t r u c t i o n s w h i l ei n f o r m a t i o ns e c u r i t yi st h ek e yf o re g o v e m m e n t c o n s t r u c t i o n si m p l e m e n t a t i o n ，a c c e s sc o n t r o li st h ec o r eo ft h ew h o l ee - g o v e r n m e n t s e c u r i t ys e r v i c e s w o r kf l o wt e c h n o l o g y n 0 1 d , ri s w i d e l ya p p l i e di ne - g o v e r n m e n t s y s t e m s b u tt h ea c c e s sc o n t r o ip r o b l e m si nw o r kf l o ws y s t e m s s t i l in o tr e c e i v e d e n o u g hr e c o g n i t i o n ss ot h a tt om a k e i t e f f e c t i v e l yr e s o l v e d b a s e do nt h ea n a l y s eo f a c c e s sc o n t r o l s e c u r i t yr e q u i r e m e n t s o fw o r kf l o ws y s t e m s ，t h i st h e s i s b r o u g h t f o r w a r da n d d e s i g n e d an e wk i n do f s e c u r i t ym o d e l t h em a i nw o r ki sa sf o l l o w ： 1 ) b a s e do nt h e e x t e n s i v ea n dt h o r o u g hr e s e a r c h e so nm a n yk i n d so fc o m p u t e r s e c u r i t ym o d e l s ，t h i sp a p e r t a k e sm u l t i p o l i c ym o d e la st h et r e n do ft h es e c u r i t y m o d e l sd e v e l o p m e n t b a s e do nt h ea n a l y s eo f t h es e c u r i t yr e q u i r e m e n t so fw o r kf l o w s y s t e m ，s e c u r i t yp r i n c i p l e so f w o r kf l o ws e c u r i t ym o d e li sc o n c l u d e d 2 1 an e wk i n do fs e c u r i t ym o d e l ，w o r kf l o wb a s e dr t ms e c u r i t ym o d e l ，i sp u t f o r w a r d f i r s t l y t h e r t ms e c u r i t ym o d e li s f o r m a l l yd e f i n e d ，a n d t h e ns o m e i m l ) o r t a n ts e c u r i t ya x i o m sa n ds e c u r i t yt h e o r e m so f t h em o d e la r ep r e s e n t e d o nt h e b a s eo ft h o s ed e f i n i t i o n s ，a x i o m sa n dt h e o r e m s ，t h em a i np a to f r t m s e c u r i t ym o d e l ， s t a t i cs e c u r i t yr u l e sa n dd y n a m i cs e c u r i t yr u l e sa r ed e s i g n e d t h o s er u l e sa r ec a r e f u l l y d e s i g n e dt os a t i s f yt h o s es e c u r i t yp r i n c i p l e s ，s ot h a t t om e e t sa l lk i n d so fs e c u r i t y n e e d so f w o r kf l o w ss y s t e m s 3 、af e a s i b l es e c u r i t yp e r f o r m a n c ee v a l u a t i o nm e t h o d i sp r e s e n t e df o rt h en e w l y d e s i g n e dr t ms e c u r i t ym o d e l o n t h eb a s i so f au s e r ，ar o l e ，o rat a s k sc u r r e n ta c t i v e c o n t e x t ，t h es e c u r i t yc o e f f i c i e n to ft h e mi sd e s i g n e di n d i v i d u a l l y ，w h i c hc a nw e i g h t t h eu s e r ，t h er o l eo rt h et a s k ss e c u r i t yp e r f o r m a n c ea n dr i s k s t h es y s t e ms e c u r i t y a d m i n i s t e rc a nu s et h o s ec o e f f i c i e n t st od os o m ec o r r e s p o n d i n ga d j u s t m e n t s 4 ) u s i n gt h ew o r kf l o wb a s e dr t ms e c u r i t ym o d e l ，t h ep r o t o t y p ed e s i g no f w o r kf l o wb a s e da c c e s sc o n t r o lp l a t f o r m ( w f p m ) i sp r e s e n t e d t h el e v e lt h a tt h e p l a t f o r mp l a c e di n ，t h es t r u c t u r e o ft h ep l a t f o r ma n dt h em a i nf u n c t i o no fe a c h m o d u l eo f t h ep l a t f o r ma r ed e s c r i b e d t h ew o r kf l o wb a s e dr t ms e c u r i t ym o d e lw h i c ht h i sp a p e rd e s i g n e dh a st h e f o l i o wc h a r a c t e r s ：( 1 ) iti sam u l t i p o l i c ys e c u r i t ym o d e l ，w h i c ha b s o r b e dt h eb l p m o d e l t h eb i b am o d e l ，t h er b a c m o d e la n dt h et b a cm o d e l sa d v a n t a g e sa n dc a r l d r o v i d es e c u r i t ya d m i n i s t r a t i o n sa n da u t h o r i z a t i o ns e t t i n g s ( 2 ) i ti saa p p l i c a t i o n l e v e l s e c u r i t ym o d e lw h i c ho r i e n tt oe - g o v e r n m e n t sw o r kf l o ws y s t e m s i t c a np r o v i d e t a s kb a s e d ，d y n a m i ca n dh i s t o r yb a s e ds e p a r a t i o no fd u t ya sw e l l a sf l e x i b l e ，v e r i f i a b l e a n de v a l u a b l es e c u r i t ym a n a g e m e n t s ， k e y w o r d s ：a c c e s sc o n t r o l ，w o r kf l o w ，s e c u r i t ym o d e l 基十工作流的访问控制安牟模型研究与设计 1 1 背景 第一章概述 计算机和网络技术的迅猛发展，使得信息系统在政府和商业中得到了广泛 的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业 务的风险、收益和机会，使得信息安全管理成为政府和企业管理越来越关键的 一部分。目前业界普遍认为，信息安全是政府和企业必须携手面对的问题。政 府和企业管理层有责任确保为所有使用者提供一个安全的信息系统环境，而 且，政府部门和企业在认识到安全的信息系统好处的同时，应该自我保护以避 免使用信息系统时的固有风险。 我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部 门开始出台系列相关策略，直接牵引、推进信息安全的应用和发展。由政府 主导的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台对 信息安全技术产品的应用标准和规范。国务院信息化工作小组最近颁布的关 于我国电子政务建设指导意见也强调指出了电子政务建设中信息系统安全的 重要性：中国人民银行正在加紧制定网上银行系统安全性评估指引，并明确提 出对信息安全的投资要达到i t 总投资的1 0 以上，而在其他一些关键行业，信 息安全的投资甚至已经超过了总i t 预算的3 0 5 0 。 国家信息化领导小组第一次会议决定，把电子政务建设作为今后一个时期 我国信息化工作的重点，政府先行，带动国民经济和社会发展信息化。落实这 一决定，对于应对加入世界货易组织后的挑战，加快政府职能转变，提高行政 质量和效率，增强政府监管和服务能力，促进社会监督：实施信息化带动工业 化的发展战略，具有十分重要的意义。 随着社会主义现代化建设的进一步推进，我国电子政务建设已经起步。2 0 世纪9 0 年代初以来、国务院有关部门相继建设了一批业务系统，“金关和 “金税”工程取得显著成效，办公自动化、政务信息化也取得较大成绩。但从 总体上看，我国电子政务建设仍处于初始阶段，存在一些问题，主要是：网络 建设各自为政、重复建设，结构不合理；业务系统水平低，应用和服务领域 窄；信息资源开发利用滞后，互联互通不畅，并享程度低；标准不统一，安全 存在隐患，法制建设薄弱l i 】。 7 基十工作流的访问控喇安牟模型研究与设计 1 1 1 电子政务中的安全问题与访问控制 电子政务不是简单的“政府信息化”或o a 系统，而是指政府依托电子网 络而进行的政务活动，这种活动包括政府内部各部门之间( g 2 g ) ，政府与公 众之间( g 2 c ) ，政府与企业( g 2 b ) 之间的各种协同合作与信息交流。自 1 9 9 9 年国家启动政府上网工程以来。电子政府建设的网络资源和基础设施己经 初具规模。虽然电子政务系统发展的迫切需要早就引起了国家的重视，但到目 前为止还是没有取得长足发展和广乏应用。究其原因，安全问题的存在和不能 得到有效解决，是其发展的主要阻力。 目前电子政务中的安全技术主要是防火墙技术和p k i 技术( 基于p k i 的信 息加密和数字签名等) 。但是，以这两个技术目前的发展看来，它们有很多不 足之处。防火墙技术的不足：防火墙主要针对来自外部网络的攻击。对来自内 部网络的侵犯防备不足；防火墙只让满足一些规则的外部网络服务通过这样 会拒绝一些正常的信息通信，从而削弱电子政务应有的功能；不能防范人为因 素的攻击；不能防止由内部人员或用户误操作造成的威胁以及由于口令泄露而 受到的攻击：某些新的应用增加了一些访闽规则，传统防火墙有可能无法控 制。p k i c a 的问题：如果用户的私钥被泄露，非法用户可以冒充该用户读取加 密信息，对信息进行签名，签署合同等；如果当c a 的私钥被泄露，问题就更 严重。大量用户证书被伪造，c a 注册用户的敏感信息被敌方掌控，可能引起的 损失非常巨大。对c a 来说，由它签发的所有证书都要做无效处理，并重新签 发所有用户的证书，这样造成很大的开销；缺乏相关政策、法律的支持。 根据有关计算机安全机构的调查显示，对电子政务的最大威胁来自内部： 内部非法访问造成的损失占安全问题的5 5 ，内部滥用访问权限所造成的损失 占9 7 。既依靠防火墙技术和p k i 技术无法有效解决来自内部的非法访问，必 须依靠强有力的访问控制技术。目前而目前绝大部分电子政务系统在访问控制 方面的工作做得很少或者不够，不能有效阻止非法访问的发生。 虽然有些操作系统在访闯控制方面做了些工作。提供一定的保密性强割访 问控制等，但由于这种访问控制不是面向应用层的，更不是具体为电子政务系 统设计的，不能符合电子政务应用系统的特殊安全需要和业务需求，不能为电 子政务的访问控制安全提供有效保障。故开发面向电子政务应用的访问控制有 其迫切的需要。 8 基十工作流的访问控制安牟模型研究与设计 1 1 2 工作流在电子政务中的应用 随着计算机和互联网技术的发展，越来越多的政府和企业将业务放在互联 网上，这种业务处理的趋势是朝着多方协作办理业务的方向发展。如g 2 g 中需 要政府部门之间相互协作，g 2 b 中政府与企业的业务往来更是需要定的办理 手续和工作流程，需要企业与政府各部门之日j 紧密协作。工作流技术是一种管 理协调和控制一个虚拟组织中活动的技术。运用工作流技术，政府机关和企事 业单位等可以对其业务过程建模并且控制这些过程的执行。工作流技术应用到 电子政务中，可以极大地规范业务工作，定义每个环节的内容和职责，可以简 化业务系统的一些公共职能以统一的工作流管理系统去管理每个环节，可以 降低流程调整带来的影响，节约开发和维护费用，可以实现跨部门的协同业务 合作，拓宽电子正的业务领域，加深电子政务的应用深度。 1 1 3 工作流系统中的访问控制问题 工作流技术主要应用在电子政务系统中，该技术的应用能加深、推广电子 政务的应用，但正如前面所述，工作流系统中的访问控制问题是应用于电子政 务系统的工作流管理系统的迫切需要解决的离题，雨这一闺题到目前为止恰恰 没有得到很好的解决。 1 2 国内外研究现状 1 2 1 工作流技术研究现状 目前、工作流技术的研究正日益受到人们的重视，许多大学和研究机构都丌 展了研究项目，取得了众多的研究成果。研究课题大致可以归纳为以下3 个方 面【2 1 ： ( 1 1 工作流的理论基础：包括工作流管理系统的体系结构、模型定义语言 等。 ( 2 ) 工作流的实现技术：包括工作流的事务特性、先进的软件技术的应 用、工作流仿真等。 ( 3 ) 工作流技术的应用：工作流实施技术在不同应用领域的应用方法、应 用软件集成等。 工作流技术虽然得到重视和研究，但侧重于工作流的访问控制方面的研究 却不多，专门从事基于工作流的访问控制安全模型研定的则更少t 9 基十工作流的访问控制安牟模型研究与设计 1 2 2 访问控制安全模型研究现状 安全策略( s e c u r i t yp o l i c y ) 是一组用来控制安全系统如何管理，保护及分配 敏感信息的规则及操作【3 j 。安全模型( s e c u r i t ym o d e l ) 是一个系统要实施的安全策 略的正式表达【4 j ，它必须与安全策略的要求一致。安全模型同时也是建立和评 估安全操作系统的向导。从上世纪7 0 年代起，随着信息安全和系统安全、网络 安全问题的日益突出，安全模型得到了很多部门和机构的关注，一些安全模型 得到了形式上的证明，还有一些已应用于很多安全系统中。 早期的访问控制安全模型有b l p 模型，h u r 模型，b i b a 模型，c w 模型 等，其中b l p 模型和b i b a 模型分别是侧重与信息保密性和完整性的强制访问 控制安全模型的典范，至今有着重要的指导意义。h u r 模型是一个操作系统安 全模型，在理论上有重要地位。c w 模型是典型的商业安全模型，但不够正 式，实现的开销很大。近期的安全模型有c h i n e s ew a l l 模型和r b a c ，t b a c 等模型，其c h i n e s ew a l l 安全模型适合一些防止合同欺诈的专门领域( 如证券 行业) ，是商业安全模型中一个经典的完整性安全模型。r b a c 模型引入了角 色，将权限和角色联系在一起，用户通过角色的指派获得相应的权限以访问适 当的客体。r b a c 安全模型在实现最小特权，职责分离和数据抽象的同时，极 大地方便用户对安全管理。 t h o m a s ，r ，k ，和s a n d h u 在 5 】、【6 】两文中提出了一种新的访问控制安全模 型一基于任务的访问控制安全模型( t b a c 安全模型) ，该模型为基于工作流 的安全模型奠定了基础。t b a c 模型与传统的访问控制安全模型不同1 6 j ，首先 该模型是面向应用( 如工作流) 的安全模型，而传统的安全模型是面向操作系 统的：其次该模型是动态的( 6 】文中称为a c t i v e ) ，即访问控制权限只有在 工作流系统中的任务开始才获得，任务结束之后则失去，是一种。j u s t i n t i m e 需要时才执行的权限。其次，t b a c 将访问控制管理进一步推进，其控制的粒 度更细( 相对于r b a c ) ，它提供对工作流中任务的管理，任务的授权。在 r b a c 中，角色是跟权限联系在一起的，而t r a c 中，权限是跟任务联系在一 起的，任务有其生命期和授权步，其形式如( s ，o ，a ，u ，a s ) ，其中s 为 主体，o 为客体，a 为许可，u 为生命期，a s 为授权步。传统的访问控制授权 则只是一个三元组( s ，o ，a ) 。 a t l u r i 在 7 文中提出一种工作流授权模型( w a m ) ，该模型跟t b a c 模 型有些类似，支持动态安全和实时授权，但它是通过限定某一主体只能在规定 1 0 的时间段内才可以对客体的访问实现的，跟t b a c 相比，w a m 不能更好地适 应工作流系统的安全需求。 在 8 文中，提出了一种动态约束、细粒度、基于上下文的访问控制机制 ( s a l s a ) 。s a l s a 引入了角色域( r o l ed o m a i n ) 的概念，使得t b a c 更支持 不同工作流中的角色和授权管理，同时也使得其授权粒度更细。s a l s a 同时支 持基于历史的动态访问控制约束。该模型主要应用在部门组织间( i n t e r o r g a n i z a t i o n ) 工作流系统，同时也适合部门内部的工作流系统。 r b a c ，t b a c ，w a m 等模型为基于工作流的访问控制安全模型提供了一 个很好的指导方向，但它们有一些共同的缺点，如不够形式化，不能有效解决 职责分离问题，不能紧密结合工作流，不能提供安全验证功能等。 1 3 本文的主要工作 在仔细考察了各种安全模型之后，我们提出了一种能实现保密性和完整性 强制访问控制的基于工作流的安全模型。该模型具有以下特点： 1 ) 是一种多策略安全模型。提供面向应用系统的、基于工作流的，结合 r b a c 干 t b a c 的保密性强制访问控制和完整性强制访问控制。我们将电子政 务、电子商务系统中的用户、资源及角色、工作流中的任务 i m l s 安全标记， 根据b l p 安全模型和b i b a 安全模型的提供的基本安全原理，在我们自己设计的 安全模型一r t m 安全模型中，将保密性强制访问控制和完整性强制访问控制的 访问规则应用到r b a c 和t b a c 的约束中，从而在r b a c 和t b a c 的基础上实现 保密性和完整性强制访问控制。 2 ) 细粒度、动态、实时的最小特权。我们将工作流分成任务，任务分成 子任务或原子任务。执行了某角色和任务的用户可以使用定义在用户、角色、 任务级的最小特权。如果说传统r b a c 的最小特权是二维的( 形如f 角色，许 可1 ) ，则r t m 中的最小特权是三维的( 形如 角色，任务，许可 ) ，或者说细 化了一个等级。r t m 中的最小特权能反映工作流系统的最小特权的动态需求。 在工作流的不同任务中，同一角色的特权也是不同的，它随着任务的变化而变 化。由于任务具有生存周期，所以用户只能在任务的生存周期之内访问数据。 当任务即将执行，才对用户授权：一旦任务完成，访问数据的存取许可便被系 统撤消即收回。所以这种最小特权又是实时的。 基十工作流的访问控制安争模型研究与设计 3 ) 工作流的电子政务等应用提供基于任务的、动态的、基于历史的职责 分离。我们将整个业务工作流划分成若干个任务，每个任务指定若干角色可以 参与，每个角色规定只能由一些指定的用户可以执行。安全管理员在安全管理 器中根据业务中具体的利益冲突和合同欺骗的可能性，确定冲突任务，冲突角 色，冲突用户。两个或两个以上角色任务组合可以有共同的用户成员，并且这 些角色授予的动作可以跨越整个业务过程，但是不能有一个用户成员可以对同 一个对象( 或同一组对象) 执行整个业务过程中的所有动作。 4 ) 灵活的、可验证、可评估的安全管理和安全设置。灵活性：我们提供 安全策略引擎，提供多种安全策略选择，满足不同应用系统的安全需要。如侧 重于保密性还是完整性，是否需要强制访问控制，需要的最小特权的粒度是细 粒度的控制还是粗粒度的控制，职责分离原则是动态的还是静态的等等。可验 证性：我们在工作流管理器中提供专门工具验证管理员的安全设置是否合理， 是否出现可能的安全漏洞，是否违背安全策略中规定的职责分离和最小特权原 则，安全标记的设置是否违背安全策略中定义的强制访问策略等。可评估性： 针对所设计的r t m 模型，本文给出了一种可行的安全性能评估方法，根据用户 用户、角色、任务的当前活动环境，设计了用户安全系数，角色安全系数，任 务安全系数，以衡量用户、角色、任务的安全性能和风险。系统管理员可以根 据这些安全系数，作出相关处理。 1 4 本文的组织 第一章是本文概述，阐述了本文的立论背景，分析了基于工作流的访问控 制安全模型的国内外研究现状，说明本人在研究上的主要贡献及本文的组织。 第二章研究了各种已有的计算机安全模型，分析了它们的优点、缺点，适 用场合等，并总结了哪些模型在r t m 安全模型中具有参考价值。 第三章介绍工作流技术和工作流管理系统，分析工作流管理系统中的一般 安全需求，并根据这些安全需求提出基于工作流的安全模型的一般安全原则。 第四章提出并设计了一种基于工作流安全模型一r t m 安全模型。在给出 了该模型的总体设计之后，形式化地描i s t 该模型的定义，归纳出出相关安全 公理，并给出和证明了一些安全定理，利用这些定义，公理和定理设计了整个 安全模型的主体一r t m 安全模型的安全规则。本章最后设计了r t m 安全模型 的安全性能的评估方法。 1 2 基十工作流的访问控制安牟模型研究与设计 第五章给出r t m 安全模型的原型一基于工作流的访问控制安全平台。 在分析该平台所处层次，所提供的安全服务和功能之后，给出平台的体系结 构，并对平台中的各模块做了需求分析和功能设计。 第六章对本论文进行了总结，并展望了下一步研究工作。 1 3 基十工作流的访问控制安牟模型研究与设计 第二章相关安全模型研究 2 1 安全策略与安全模型 安全策略是一组用来控制安全系统如何管理，保护及分配敏感信息的规则 及操 乍。安全模型是一种系统要实施的安全策略的正式表达，它必须与安全策 略的要求一致。安全模型同时也是建立和评估安全系统的向导。从上世纪7 0 年 代起，随着信息安全和系统安全、网络安全问题的日益突出，安全模型得到了 很多部门和机构的关注，一些安全模型得到了形式上的证明，还有一些已应用 于很多安全系统中。安全模型可以分两大类，一类是访问控制模型，另一类是 信息流模型。 2 2 基础模型 基础模型是那些在理论和应用上处于基础地位的模型。本文认为访问控制 模型、信息流模型均属于这样的模型。 2 _ 2 - 1 访问控制模型 一个基本的访问控制模型9 h o 2 2 1 包括一个状态集和一个施加在这些状态上 的原始操作集合。每个状态包括一个主体集s ，一个客体集o ，以及一个访问 矩阵a 。对每个主体s 和客体o ，a s ，0 1 是一个访问权限集合，这些权限可以 是“r e a d ”，“w r i t e ”，“e x e c u t e ”，“o w r l ”等。在具体的访问矩阵的模型中， 有对这些原始操作进行详尽描述的规则。在具体使用访问控制模型去建立安全 模型时，必须有具能够从主体和客体中提取安全标记，解释操作如何受安全标 记的影响等这些方面的功能。 表2 - 1 访问控表制矩阵 p r o g r a m l f i l e lp a s s w d a l i c e r ，w ，x wr b o b r ，w rr c r a bx r ，w ，xr ，w 1 4 基十工作流的访问控制安牟模型研究与设计 访问控制矩阵a 中的行代表主体s ，列代表客体0 。这样每个元素代表某 主体对某客体的访问权限，代表主体s i 对客体o j 的访问权限，如 r ，w 。 由于访问控制矩阵的存储空间比较浪费，而查找，增删又比较费时，故在 实际的系统中，使用的是访问控制链( a c l ) 和用户权能表( c a p a b i l i t i e s ) 。 前者对应访问控制矩阵的一列，表示某客体对所有主体的访问权限；后者对应 访问控制矩阵的一行，表示某主体对所有客体的访问权限。访问权限在一些系 统中还用组( g r o u p ) 或角色( r o l e ) 的形式来分配或指定。 传统访问控制模型又叫访问矩阵模型。访问矩阵模型是很多经典安全模型 的基础，根据访问权限的转移和控制的方式的不同，可以分为自主访问控制和 强制访问控制两种。 2 2 。1 1 自主访问控制模型( d a c ) 自主访问控制模型比是指具有某客体的命名主体身份的用户全权管理有 关该客体的访问权限，即可以泄漏、修改该客体的有关信息，自主的意思是指 拥有特定访问权限的主体可以自主地决定将对该客体的访问权限转移给其他用 户( 除非受到强制访问控制的限制) 。一方面没有授权的主体不能访问敏感信 息，以防止访问权限扩散；另一方面，授权用户可以自主决定将访问权限转移 给其他任意用户，从而导致信息保护能力的下降。 2 2 1 2 强制访问控制模型( m a c l 强制访问控制模型【“2 1 根据主、客体中容纳的信息的安全等级读取该敏感 信息。主体对客体是否能执行特定的操作取决于二者安全等级之间的比较。这 种比较导致信息只能向高安全属性的方向流动，从而防止信息的扩散。由于安 全属性的维护出指定的管理员负责，所以说dac 的访问权限由资源的拥有者 决定，而mac 的访问权限由系统管理员决定。 访问控制模型本身就是对一般系统结构的一个很好抽象，简单，直觉，是很 多其它模型的基础。如果配上引用监视器( r e f e r e n c em o n i t o r ) 概念，又拥有很 好的不可绕性( n o n b y p a s s ) 和抗篡改 生( t a m p e r p r o o f ) 。但是，它不能有效地防 止隐通道问题。 2 2 2 信息流模型 1 5 基十工作流的访问控制安牟模型研究与设计 b l p 模型的状念不变式的意图是信息可以从一个实体流向另一个实体，只 要后者比前者的安全等级高或者相同。d e r u l i n g 等人试图将这种思想用信息 流”模型去形式化。d e n n i n g 等人试图将这种思想用“信息流”模型去形式 化。m c l e m l 在【1 8 中，基于信息流提出了一种名口qf m 的信息流模型，并以此 为基础，分析和比较了b l p 模型和不干扰模型。 以下是d e n n i n g 提出的基于格模型的信息流模型1 8 1 ，它由五部分构成：一 个客体集；一个进程集；一个安全类集；一个可结合和交换的类操作符，它可 以指定两个类中的信息在任意二进制操作下结果信息所属的类：一个流关系， 它可以判断信息是否可以从一个安全类流向另一个安全类。 为了描述方便，如果x 是一个变量，则x 的安全类表示为苎。在军事组织 中，安全类常表示为( 等级，部门) ，如果a 和b 表示信息的安全等级，x 和y 表示部门( 代表须知信息) ，则安全类的偏序可以定义为：( a ，x ) ( b ，y ) 当且仅当a b 同时x c y 。一个程序的变量可以是一安全类的静态或动态界限之 一。一个“静态界限变量”是指在定义它的时候就赋予了固定的安全类。“动 态界限变量”的安全类随与它相联系的信息而改变。一个从变量a 到b 的信息 流动可以表示成a j b 。如果b 是一个静态界限变量则这样的信息流是安全的当 且仅当关系a b 是由格所隐含的，否则就是对安全的破坏。如果b 是一个动态 界限变量，则b 就变成了a 。一个程序如果不存在破坏流关系的信息流，则该 程序是安全的。 访问控制模型出发点是控制主体和客体的合法访问来达到安全要求，信息 流则是通过分析信息在实体之间的流动来控制安全。访问控制模型更加直观， 简洁，又由于它本身就是对计算机模型的一个很好抽象，因此得到很多模型的 使用，是这些模型的基础。信息流模型则从程序的变量等分析信息的具体流 动，因而其粒度更细，能有效地防止访问控制模型不能解决的隐通道问题，但 它又趋向于过于理论化，没有对具体模型的设计提出指导i l8 ，”】。该模型更多的 是作为其它安全模型评估和分析的理论基础。 2 3 一些经典的安全模型 2 3 1 保密性访问控制及b l p 模型 1 6 基十工作流的访问控制安牟模型研究与设计 b l p 模型吣1 4 1 是第一个可以用数学方法证明的安全系统模型，y i 4 控制的保密性问题。它是实现多级安全m l s ( m u l t il e v e ls e c u r i t y ) 策略的基 础，能有效防止信息从一个高安全级流向低安全级，主要应用在军事安全领域等 具有严格安全等级划分的领域。 2 3 。1 。1 模型基础 b l p 模型是一个状态机模型。表1 显示是其基本元素。 表2 - 2b l p 模型基本元素 s主体集t 时间集 i u 请求元素集 。 客体集 f 安全等级需知信息的向量 r 请求嶷 c 安全等级集 x 请求集的序列 d 判定集 k 安全范畴集 y 判定集的序列 v 状态集 a 防问属性集 m 访问控制矩阵集 z 状态集序列 一个状态v e v 由三元组( b ，m ，f ) 定义，其中b ep ( sxo a ) ，表示在状态 v 中是哪一个主体用什么样的访问方式对什么客体进行访问；m m ，表示该 状念中主体对客体的访问矩阵；f f ，表示主体的授权( c l e a r a n c e ) ，客体的 安全等级( c l a s s i f i c a t i o n ) 及在状态v 中主体和客体联系在一起的安全范畴。 定义关系wc 2 r dx v v ，则系统z ( r ，d ，w ，z o ) c x y z 由( x , y ，z ) x ( r ，d ，w ，z o ) 当且仅当( x ym zz t 1 ) w 定义，其中t t ，z o 是一个特殊的初始 状态，通常是( m ，m ，f ) 。 2 3 1 2 安全特性 定义1 支配( d o m i n a t e ) ：x 支配y 当且仅当l e v e l ( x ) l e v e l ( y ) ，其中 l e v e l ( x ) 表示x 的安全等级。 定义2a l l o w ( s ，0 ，x ) ：如果允许主体s 以方式x 访问客体0 则返回真，否则 为假。其中s s ，0 0 ，x a 。 1 ) 自主安全特性：a l l o w ( s 0x ) ，则访问方式x 一定在访问控制矩阵m 的元素m 。中。 2 ) 简单安全特性：a l l o w ( s ，0 ，r ) 当且仅当s 支配0 。( 主体不能读比它安全 等级高的客体，所以该特性又叫n r u ，n o tr e a d u p ，或者r d ，下读) 。 3 ) 星号安全特性：a l l o w ( s ，0 ，w ) 当且仅当0 支配s 。( 主体不能写比它安全 等级低的客体，所以该特性又叫n w d ，n o t w r i t e d o w n ，或者w u ，上写) 。 1 7 基十工作流的访问控制安牟模型研究与设计 2 3 1 3 安全公理 定义：如果一个状态能满足上述三个状态，则称该状态是安全的。 基本安全公理：如果系统的初始状态是安全的，并且所有状态变化是安全 的，则它的每一个后继状态都是安全的。 b l p 模型是对严格保密性安全模型的典范，它有着不可取代的历史作用和 长盛不衰的生命力。但它也存在很多不足，如：系统限制太多；对完整性保护 不够：存在隐通道问题；没有涉及访问控制管理问题：不能较好地处理分布式 系统中的一些安全问题等f 1 6 】。 2 3 。2b i b a 模型0 2 0 , 2 1 】 这个模型最初是b i b a 于1 9 7 7 年在一篇讨论安全计算系统中的完整性问题 时提出的，该模型是完整性安全模型的典范。 2 3 2 1 模型基础 表2 - 3b i b a 模型基本元素 s 主体集 i 1 定义主体和窖体完整级别的函数主体查看( o b s e r v e ) 窖体 。 窖体集l e q定义i 上偏序“低于或等于”的 主体修改( m o d i f y ) 客体 关系 i 完整级别集返回i 的某子集中强大下界的函主体召映( i n v o k e ) 另一土体 数 b i b a 将完整性威胁划分成内部威胁和外部威胁两种。b i b a 认为内部威胁可 以通过程序的测试和校验解决，b i b a 模型只处理外部威胁。 2 3 2 2 安全策略分类 b i b a 模型支持五种不同的完整性安全策略。低水位标记策略( l o w w a t e r m a r kp o l i c y ) ，对客体的低水位标记策略( l o w w a t e rm a r kp o l i c yf o r o b j e c t s ) ，低水位标记完整性审计策略( l o w w a t e rm a r ki n t e g r i t ya u d i t p o l i c y ) ，环策略( r i n gp o l i c y ) 和严格完整策略( s t r i c ti n t e g r i t y ? o t i c y ) 。其中最常用的是严格完整策略，有时提到b i b a 模型时，指的就是该 策略。 1 ) 低水位标记策略 1 8 基十工作流的访问控制安牟模型研究与设计 在该策略中，主体s 的完整级别不是固定的，而是它当前行为的函数的结 果。对每个主体，有一个动态的，单调的，非增的j l ( s ) 值。任何时候，这个i l ( s ) 值反映该主体的前面行为的低水位标记( 1 0 w w a t e r m a r k ) 。主体的完整性级别 在访问之后改变( 降低) 。可以用以下公理描述。 对所有s s ，o 0 ，s mo = = i l ( o ) l e q i l ( s ) 即主体可以修改完整级别低于或等于它的客体 对所有s 1 ，s 2 s ， s lis 2 = = i l ( s 2 ) l e q i l ( s 1 ) 即一个主体可以召唤完整级低于或等于它的另一个主体 对每个由主体s 对客体的观察( o b s e r v e ) 访问：i l ( s ) = m i n i l ( s ) ，i l ( o ) ) 即主体可以查看比它完整级别低或相等的客体，但访问之后完整级 别也要下降到客体的级别。 2 ) 客体的低水位标记策略 在该策略中，不仅主体的完整性级别改变，而且被进行修改访问的客体的 完整性级别也要改变( 降低) 。可以用以下公理来描述： 公理2 ：对每个主体s 对客体。的观察访问： i l ( s ) = m i n i l ( s ) ，i l ( o ) 对每个主体s 对客体。的修改访问： i l ( o ) = m i n i l ( s ) ，i l ( o ) ) 其中i l ( o ) 就是被修改访问之后的客体。的完整性级别。 3 ) 低水位标记完整性审计策略 这是一个对客体低水位标记策略的非强制变种。它提供了一种使得数据 “更低”完整级别的信息的一种蜕变。可以用以下公理来描述： 公理3 ：对每个主体s 对客体0 的观察访问： c l ( s ) = m i n c l ( s ) ，c l ( o ) 对每个主体s 对客体0 的修改访问： c l ( o ) = m i n c l ( s ) ，c l ( o ) ) c l 是当前蜕变级别( c u r r e n tc o r r u p t i o nl e v e l ) 。 4 ) 环策略 在该模型中，主体和客体的完整级别在它们的生命期中是固定不变的。只 有那些比主体的完整级别低的客体才可以修改。该模型充分提高了系统的弹 1 9 基十工作流的访问控制安牟模型研究与设计 性，使得主体可以查看完整性在任何级别的客体( 这也是这种策略叫环策略的 原因吧) 。该模型可以由以下公理描述： 对所有s s , o 0 sm o = = i l ( o ) l e qi l ( s ) 对所有s 1 ，s 2 s s lis 2 22 i l ( s 2 ) l e qi l ( s 1 ) 5 ) 严格完整策略 该策略是最常使用的，当人们提到b i b a 模型时，如若没提到具体的策略 通常指的就是该策略。该模型可由三个安全个性描述。 简单完整特性 f o r a l l8e l e m e n t o fs ，0e l e m e n t o