（计算机软件与理论专业论文）基于信任的rbac管理模型及其安全分析方法研究.pdf

摘要 基于信任的r b a c 管理模型及其安全分析方法研究 专业：计算机软件与理论 博士生：刘强 指导教师：姜云飞教授 摘要 访问控制是国际标准化组织i s o 在网络安全体系标准中定义的5 大信息安全 服务功能之一。简单地说，访问控制是用来保护计算机资源免于被非法用户的访 问( 删除、破坏或更改) 。访问控制为信息、资源提供保护，以对抗非授权的信 息访问和非法的资源使用。当前，基于角色的访问控$ 0 ( r o l e b a s e d a c c e s sc o n t r o l ， r b a c ) 技术已成为主流的访问控制技术，广泛用来进行信息、资源的访问控制。 其中，r b a c 9 6 模型及其管理模型a r b a c 9 7 ( a d m i n i s t r a t i v ei 啦a c ) 是访问控 制领域的基础模型。a r b a c 9 7 管理模型存在授权原子管理事务繁多，管理递归 等问题，其管理过程依赖于系统以外的管理权威，诸多新型访问控制模型都对这 一管理模型进行改进。在a r b a c 9 7 及其后续管理模型中，由于缺乏安全分析工 具，授权动作的安全性得不到有效检测和保证，导致系统存在权限泄漏风险。针 对上述问题，论文设计了基于信任的分布式访问控制管理模型t b a r b a c 模型。论文的主要研究工作包括： 1 ) 建立了安全策略的虚拟执行机制，支撑策略的安全分析过程。分析了 r b a c 管理过程中的控制方式和授权决策方式，确立了授权决策点，建立了安全 策略的虚拟执行环境，以获得安全策略的执行效果，为授权操作提供决策支持。 2 ) 构建了基于信任的r b a c 管理模型叫b a r b a c 模型。以a r b a c 9 7 模型为基准模型，引入基于信任的管理权限委派机制，建立起以自上而下的管理 权限分发模式、智能化的安全分析工具、管理权限使用的审计模型为主体内容的 t b a r b a c 模型。同时，分析了t b a r b a c 模型中信任的特点、使用方式、产 生方式，设计了t b a r b a c 中的信任协商机制，提高了授权的灵活性。 摘要 3 ) 研究了信任支持下的权限泄漏和安全的内涵，重新界定了t b a r b a c 中 安全的含义和权限泄漏的定义，依此提出了两类基本的安全分析实例。 4 ) 提出了基于图规划理论的安全分析方法，开发了安全分析原型系统。建 立了安全状态转移系统，提出了安全分析问题的领域模型建模思路和过程，定义 了虚动作和“吼命题 等基本概念，依次解决了角色继承关系语义转换问题， a r b a c 策略的开放世界假设问题和前提条件中的负谓词问题。重点分析了规划 图扩展过程中，“虚动作 与“u n 命题”的剪枝原理，依此改造了图规划算法， 求解由安全分析问题转换而来的规划问题。最后，开发了可应用于a r b a c 策略 安全分析的原型系统，运用实例进行应用说明。 5 ) 提出了面向t b a r b a c 模型的审计模型。分析了t b a r b a c 模型中的 审计要素和审计信息的构成，设计了审计信息访问控制机制，并定义两类基本审 计事项：常规审计和事故责任审计，介绍了各自的审计内容与审计方法。 相比a r b a c 9 7 模型，t b a r b a c 提高了系统的安全性和灵活性，降低了访 问控制授权管理的复杂度。 关键诃：基于角色的访问控制；基于信任的r b a c 管理模型；图规划；信任； 安全分析；审计 a b s t r a c t r e s e a r c ho nr b a ca d m i n i s t r a t i v em o d e lb a s e do nt r u s t a n ds e c u r i t ya n a l y s i sm e t h o do fp o l i c y m a j o r ：c o m p u t e rs o f t w a r ea n dt h e o r y n a m e ：l i uq i a n g s u p e r v i s o r s ：p r o j i a n gy u n f e i a b s t r a c t a c c e s sc o n t r o li so n eo ff i v ei n f o r m a t i o ns e c u r i t ys e r v i c e sd e f i n e di nt h e s t a n d a r do fn e t w o r ks e c u r i t yp r o v i d e db yi s o i tp r o t e c t si n f o r m a t i o na n dr e s o u r c e s f r o mb e i n gd e l e t e d ，u p d a t e da n dd a m a g e db yi l l e g a lu s e r s n o w a d a y s ，r o l e b a s e d a c c e s sc o n t r o l ( r b a c ) t e c h n o l o g yh a sb e c o m et h em a i n s t r e a ma c c e s sc o n t r o l t e c h n o l o g ya n d i sa p p l i e dw i d e l y r b a c 9 6a n da r b a c 9 7 ( a d m i n i s t r a t i v er b a c 9 7 ) ， a st h ef i r s ta c c e s sc o n t r o lm o d e la n da d m i n i s t r a t i v em o d e l ，a r ei n f e r r e db yo t h e r a c c e s sc o n t r o lm o d e l sw i d e l ya n db e c o m et h ef o u n d a t i o nm o d e lo fa c c e s sc o n t r o l f i e l d h o w e v e r , m a n a g e m e n tr e c u r s i o np r o b l e m ，r e l y i n go nt h eo u t s i d em a n a g e m e m a u t h o r i t ya n dl a c k o fs a f e t ya n a l y s i sm e t h o dh a v eb e c o m et h eb o t t l e n e c ko f a r b a c 9 7m o d e la n dc o n s t r a i n ti t sa p p l i c a t i o ns c o p eg r e a t l y w h e na p p l i e di nt h e l a r g e - s c a l eo r g a n i z a t i o n , i ti sp o s s i b l et or e s u l ti nt h er i g h tl e a k a g ef o rt h eb l i n d n e s so f a s s i g n m e n to p e r a t i o n sw h i c hc a n tg e ts u p p o r tf r o mt h es a f e t ya n a l y s i st o o l s t l l i s t h e s i sp u tf o r w a r do fan e wa c c e s sc o n t r o lm o d e l a d m i n i s t r a t i v er b a cb a s e do n t r u s t ( t b a r b a c ) t or e s o l v et h el i s t e dp r o b l e m s 1 1 1 em a i nw o r k so ft h i st h e s i s i n c l u d e ： 1 ) h a dd e s i g n e dt h em e c h a n i s mo fv i r t u a lp e r f o r m i n go fs e c u r i t yp o l i c i e s m d e c i s i o np o i n t sw e r ec o n f n m e da n ds t a t e d b ya n a l y z i n g t h ec o n t r o lm o d e la n d d e c i s i o nm o d eo fa d m i n i s t r a t i v er b a c v i r t u a lp e r f o r m i n ge n v i r o n m e n io fs e c u r i t y p o l i c i e sh a db e e ne s t a b l i s h e dt og e tt h el a t e n te f f e c to fp o l i c i e sa n dp r o v i d ed e c i s i o n s u p p o r t 2 ) h a dp r o p o s e dt b a r b a cm o d e l i nt b a r b a cm o d e l ，t r u s tw a si m p o r t e d t os e tu pan e wa n df r o m - t o p t o - b o t t o ma s s i g n m e n tm o d et oa v o i dt h em a n a g e m e n t i a b s t r a c t r e c u r s i o n p o l i c ys a f e t ya n a l y s i sc e n t e ra n da u d i ts y s t e mh a sb e e ne s t a b l i s h e dt o i m p r o v et h es e c u r i t yo fr b a cs y s t e ma n dr e d u c et h ec o m p l e x i t yo fa d m i n i s t r a t i v e p r o c e s s e s a l s o ，t r u s tn e g o t i a t i o nm e c h a n i s mw a ss e tu pt og e tm o r ef l e x i b l e a u t h o r i z a t i o n 3 ) r e d e f i n e ds a f e t ya n dr i g h tl e a k a g eo fr b a cs y s t e mb a s e do nt r u s t 。b e c a u s e o ft h ee x i s t e n c eo ft r u s ti nt b - a r b a cm o d e l ，t h em e a n i n g so fs a f e t ya n dr i g h t l e a k a g eh a db e e nc h a n g e d t h i st h e s i sr e d e f i n e ds a f e t y a n dr i g h tl e a k a g eo f t b - a r b a cm o d e lf o r m a l l ya n dl i s t e dt w os a f e t ya n a l y s i si n s t a n c e s 4 ) s a f e t ya n a l y s i sm e t h o dw a sp r o p o s e db a s e do ng r a p h p l a nt h e o r ya n dt h e p r o t o t y p es y s t e mw a sd e v e l o p e d f i r s t l y , ad e s c r i p t i o nm o d e lu s i n gp l a n n i n gl a n g u a g e w a sd e s i g n e d ，i nw h i c hd o m a i nl a n g u a g ew a sd e f i n e d ，p o l i c i e sw e r et r a n s f o r m e dt o a c t i o n s ，v m u a la c t i o n c o n c e p t i o nw a sp u tf o r w a r dt oe x p r e s st h ei n h e r i t a n c e r e l a t i o nb e t w e e nr o l e s ，u n - p r e d i c a t e w a sa p p l i e dt or e s o l v et h eo p e nw o r l d a s s u m p t i o n ( o w a ) p r o b l e mo fp o l i c y , d o m a i na x i o m s ( d a s ) w a se m p l o y e dt o e x p r e s st h e m u t u a lr e l a t i o nb e t w e e nt h e u n - p r e d i c a t e a n dt h e c o r r e s p o n d i n g p r e d i c a t e ，s t a t i cm u t u a le x c l u s i o nr o l e s ( s m e r s ) w e r et r a n s f o r m e dt od o m a i n c o n s t r a i n t s s e c o n d l y , t h eg r a p h p l a na r i t h m e t i c w a sm o d i f i e db yt r i m m i n gs o m e n o o p a c t i o n sa n dv i r t u a la c t i o n sw h e nc o n s t r u c t i n gt h ep l a ng r a p h a tl a s t ，t h e p r o t o t y p es y s t e ma p p l i e di ns a f e t ya n a l y s i sw a sd e v e l o p e da n da c a s ew a si l l u s t r a t e d t h ea p p l i c a t i o no ft h es y s t e m 5 ) t h ea u d i tm o d e lo ft b a r b a ch a db e e nb u i l t a u d i te l e m e n t sa n da u d i t i n f o r m a t i o no ft b a r b a ch a db e e nl i s t e d a c c e s sc o n t r o lo na u d i ti n f o r m a t i o nh a d b e e ne m b e di nt b a r b a co w na c c e s sc o n t r o lm o d e l 1 1 l ea u d i tt r a n s a c t i o n sh a d b e e nd i v i d e di n t or o u t i n ea u d i tt r a n s a c t i o n sa n ds a f e t ya c c i d e n ta u d i tt r a n s a c t i o n s ，a n d t h ea u d i tc o n t e n ta n da u d i tm e t h o dh a db e e ni n t r o d u c e di nd e t a i lr e s p e c t i v e l y b yc o n t r a s t 谢ma r b a c 9 7 ，t b - a r b a cb e c o m e sm o r es e c u r i t ya n df l e x i b l e ，a t t h es a m et i m e ，r e d u c e st h ec o m p l e x i t yo fm a n a g e m e n tt r a n s a c t i o n s k e y w o r d s ：r b a c ；t b a r b a c ；t r u s t ；s a f e t ya n a y l s i s ；g r a p h p l a n ；a u d i t 图目录 图目录 图1 1r b a c o 模型。5 图1 - 2r b a c 9 6 的成员关系。5 图1 3 a r b a c 9 7 的递归管理模式一6 图1 - 4 论文结构1 4 图2 1a r b a c 9 7 模型1 6 图2 2 某角色层次关系1 8 图2 3 层次型访问控制模型2 0 图2 - 4 分布式r b a c 管理的控制方式2 2 图2 5 信任的概念2 4 图2 - 6 a r b a c 9 7 与r b a r b a c 9 7 管理模式一2 6 图2 7t b r b a c 的组成部件2 7 图2 8 基于信任的r b a c 管理模型一2 7 图3 1u a r h p a 取值范围及相互之间的关系3 6 图4 1某制造企业的部分组织架构图4 7 图4 2 安全分析问题到规划问题的转换5 0 图4 3 虚动作模型5 2 图4 - 4 授权管理策略的规划动作模型5 3 图5 1规划图结构5 5 图5 2e x p a n d 函数5 8 图5 3e x t r a c t 函数5 8 图5 4g p s e a r c h 函数。5 8 图5 5 g r a p h p l a n 函数5 9 图5 - 6 领域公理d a 2 的使用6 3 图5 7 带有虚动作的规划图扩展方式6 5 图5 8 虚动作的剪枝的示意图6 6 图5 - 9 改造后的g r a p h p l a n 程序6 8 图5 1o 改造后的e x p a n d 程序6 9 图目录 图6 1p o l i c y p r o b e r 的输入与输出7 0 图6 2p o l i c y p r o b e r 的系统功能框架。7 1 图6 3 规划图的数据结构7 2 图6 4p o l i c y p r o b e r 的显示效果7 6 图6 5p o l i e y p r o b e r 的工具条7 6 图6 - 6 规划图的扩展和解抽取过程8 2 图6 7 可执行链和信任协商过程8 3 图6 8 信任协商后的信任执行策略失效处理8 3 图6 - 9 信任协商后的安全分析结论8 4 图7 1 安全事故问责方式9 5 图7 2 审计主体责任分析步骤9 6 表目录 表目录 表4 - 1 安全分析的规划问题建模规则5 1 表6 1 c a n _ a s s i g n 与c a n r e v o k e 安全策略及相应规划动作7 7 表6 2 由角色继承关系形成的虚动作列表7 8 表6 3 领域约束8 0 表6 - 4 安全分析实例的领域模型与问题实例8 0 表7 一lt b a r b a c 中的审计要素。8 8 表7 2 责任划分方案9 6 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者鲐壶以旎 魄嘶n 加日 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学 校有权保留学位论文并向国家主管部门或其指定机构送交论文的电 子版和纸质版，有权将学位论文用于非赢利目的的少量复制并允许论 文进入学校图书馆、院系资料室被查阅，有权将学位论文的内容编入 有关数据库进行检索，可以采用复印、缩印或其他方法保存学位论文。 学位论文作者签名： 嗍：舛r 月矽日 导师签名奏色 嗍多歹硼 第l 章绪论 1 1 研究背景 第1 章绪论 随着信息技术的迅猛发展和信息的高度共享，信息安全越来越凸显其重要 性，信息系统安全和信息内容安全已经成为国家安全的重要内容。访问控制是国 际标准化组织i s o 在网络安全体系标准中定义的5 大信息安全服务功能之一【l 】。 简单地说，访问控制是用来保护计算机资源免于被非法用户的访问( 删除、破坏 或更改) ，访问控制服务为信息、资源提供保护，以对抗非授权的信息访问和非 法的资源使用。上个世纪9 0 年代初，角色作为岗位的对等语义词，被引入到访 问控制模型中，形成了基于角色的访问控制技术( r o l e b a s e da c c e s sc o n t r o l ， r b a c ) 模型2 1 。1 9 9 6 年，s a n d h u 等提出了完整的、形式化的r b a c 模型 r b a c 9 6 3 1 及其相应的管理模型a r b a c 9 7 ( a d m i n i s t r a t i v er b a c ) 4 1 。r b a c 模 型遵循最小权限原则( l e a s tp r i v i l e g e ) ，职责分离原则( s e p a r a t i o no fd u t y ) 和 数据抽象( d a t aa b s t r a c t ) 三大安全准则，成为后续研究的基础模型，在随后的 研究过程中得到迅猛发展，广泛地用来进行信息、资源的访问控制。当前绝大多 数操作系统，企业管理信息系统，数据库管理系统等均采用基于角色的访问控制 模型或其改进模型。 信息量急剧增加，信息访问事务日趋频繁使得各类组织、企业对信息或数字 资源的访问控制需求也日趋复杂。正是不断扩张的访问控制需求驱动了r b a c 模型的改进和发展。大型的、集团型的企业或单位，用户、角色、岗位成千上万， 管理信息系统的分布式、多组织格局，使得r b a c 模型中原子管理事务( 指定 或撤销单个用户到单个资源的操作许可) 日趋庞大，呈现“组合爆炸 的态势， 如某欧洲银行，近5 万多员工，1 0 0 0 多个分支机构，6 5 0 万个人账户【5 1 ，其原子 的安全管理事务上百亿级。 管理权限委派的思想逐步被引入访问控制模型的管理过程中，用来分散安全 管理员的管理负荷，降低权限管理的复杂度。安全管理员通常应用管理策略 1 中山大学博士学位论文 ( a d m i n i s t r a t i o np o l i c y ) 来表述管理权限委派内容。由于管理策略的执行具有执 行条件和上下文环境，管理策略之间可能形成持续的具备因果关系的可执行链， 管理策略可执行链的执行效果是非直观的，这可能导致安全管理员在进行委派时 不能准确判断某一委派操作后续的管理策略可执行链是否会造成权限扩散或权 限泄漏，从而造成决策失误，给系统带来严重的安全隐患。智能化的策略安全性 分析方法和程序可以为授权决策提供必要的支持，提升系统的安全性能。 信任在组织机构内广泛存在，如上级对下级执行能力和执行意愿的信任，下 级对上级决策与指令的信任。信任是社会组织正常运营的基础。通常，组织内中 存在的信任呈现一种多源格局：法律法规、规章制度、最高决策机构、最高执行 机构等都是潜在的信任源。同时信任也呈现出一定相对性，与其所在环境，当事 人相互关系等密切相关，我们称之为信任具有上下文相关性。 严格说来，访问控制模型不能缺离信任。在r b a c 模型中，上层安全管理员 将管理权限委派给下层安全管理员，并信任其完全理解业务范围内的安全需求和 安全规则，同时不会执行危害系统安全的权限管理操作，因此存在“被信任的安 全管理员”这一概念，我们称为可信管理员。可信管理员相对于其管理权限的委 派方而言，受委派的安全管理员在执行委派的管理操作权限时相对于委派方管理 员而言是可信的、安全的。受委派的安全管理员执行的管理操作权限相对于委派 管理员执行的管理操作权限而言是可信的、安全的。 在应对以分布式、多组织格局为主要特征的复杂软件系统的访问控制需求 时，我们需要重点考虑访问控制管理过程中存在的信任关系，明确信任支持下系 统安全的含义和权限泄漏的定义；需要设计和开发智能化程序，有效界定管理策 略的执行效果，判断权限泄漏的存在，为安全管理员提供授权决策或委派决策支 持，以维持访问和提升访问控制系统的安全性能，降低访问控制的管理复杂度。 1 2 相关内容研究现状 1 2 1 访问控制模型的发展 访问控制的研究可追溯到2 0 世纪6 0 年代末，它的基本目标是防止非法用户 进入系统和阻止合法用户对系统资源的非法使用。为了达到这个目标，访问控制 第1 章绪论 常以用户身份的准确认证为前提，定义并实施各种访问策略，来控制和规范合法 用户在系统中的行为。在访问控制的研究历程中，先后出现了一系列的访问控制 模型： ( 1 )自主访问控制和强制访问控制 1 9 7 1 年，l a m p s o n 等学者提出了著名访问控制矩阵模型( a c c e s sc o n t r o l m a t r i x ) 【6 1 ，主体( s u b j e c t ) ，客体( o b j e c o ，访问权限( p e r m i s s i o n ) 等一系列概念被 定义并为后世沿用。主体、客体之间的访问关系构成二维矩阵，元素的取值就是 相应主体对客体的访问权限，如读( r e a d ) 、写( w r i t e ) 等。访问控制矩阵模型 中，客体的所有者( o w n e r ) 完全拥有被控对象的权限，并依据授权规则进行授 权。基于l a m p s o n 的访问控制矩阵模型，g r a h a m 和d e n n i n g 对自主访问控制授 权规则进行了研究u 1 。1 9 7 6 年，m a h a r r i s o n ，w l r u z z o ，j d u l l m a n 对l a m p s o n 模型进行了拓展，提出形式化模型h r u ( h a r r i s o n r u z z o u l l m a nm o d e l ) 模型【8 】， 其后，以l a m p s o n 模型为基础相继出现了系列模型 9 , 1 0 , 1 1 , 1 2 , 1 3 , 1 4 ，1 5 1 ，构成了自主访 问控制( d i s c r e t i o n a r y a c c e s sc o n t r o l ，d a c ) 的主要研究线路。 自主访问控制随分时系统的出现而产生，其基本思想是：系统中的主体可以 自主地将所拥有的权限，部分或者全部授予其它主体。其通常通过访问控制列表 ( a c c e s sc o n t r o ll i s t ，a c l ) 来实现，包括基于行( 主体) 的d a c 和基于列( 客 体) 的d a c 。基于行的d a c 在每个主体上都附加一个该主体可访问的客体的明 细表，而基于列的d a c 则在每一个客体上都附加一个可以访问该客体的主体明 细表。 d a c 模型实现简单，在早期得到了广泛的应用。但是由于其允许访问权限的 传递，使得传递出去的访问权难以管理和跟踪。此外，d a c 模型无法保护受控 资源的副本。当d a c 模型用于管理主客体数量巨大的系统时，将造成开销巨大， 效率低下等问题，因此，其难以满足大型应用，特别是网络应用的需要。 强制访问控制( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) 模型最初源于对信息机密 性的要求以及防止特洛伊木马之类的攻击，其基本思想是：通过对主体和客体分 配固定的安全属性，利用安全属性来决定主体是否可以对客体进行访问。1 9 7 3 年，d e l l i o t t b e n 和l e o n a r d j l 建立了模拟军事安全策略的访问控制模型 b e n l a p a d u l a 模型【1 6 】，该模型采用多级安全策略，根据主体和客体在系统中的不 中山大学博士学位论文 同安全级别来控制主体对客体的访问控制。b i d a 以b e l l - l a p a d u l a 模型为基础提 出b i d a 模型阻1 3 ，1 9 捌，该模型与b e l l l a p a d u l a 模型相似，但是强调完整性而不 是保密性；s a n d h u 在1 9 9 3 年提出了基于点阵的访问控制模型1 2 1 1 ，均属于强制访 问控制模型的研究范畴。 m a c 模型本质上执行的是基于格的非循环单向信息流政策。其具有两个关 键规则：不向上读，不向下写，即信息只能由低安全级向高安全级流动，任何反 向信息流动都是被禁止的。虽然m a c 模型通过增加访问限制增加了信息的机密 性，但是也不可避免的地降低了系统的灵活性，其不能实施完整性控制，这限制 了它在网络中的应用。此外，现代计算机中不可避免地存在大量的逆向潜信道， 如：共享内存，大量的c a c h e ，这也影响了m a c 的广泛应用。 ( 2 )r b a c 模型 为了克服d a c 和m a c 在应用中凸现的不足，角色作为是一个介于用户和 资源之间的中介语义词被引入访问控制模型。角色的概念相当于组织内的岗位， 因此，引入角色更加贴近现实应用，因而更具应用活力。基于角色的访问控制模 型叫b a c 模型通过建立“用户专角色专资源 的映射关系，灵活地表征用户 与资源之间访问与被访问关系。 r b a c 9 6 是s a n d h u 等设计的第一个形式化访问控制模型【3 1 ，由四个基本要 素构成：用户( u s e r ) ，角色( r o l e ) ，授权( p e r m i s s i o n ) ，会话( s e s s i o n ) 。其 中，用户和角色，角色和权限的关系是多对多的关系。通过定义角色分离了用户 与权限之间的直接关联，方便管理员进行人员管理和授权管理。每个用户进入系 统通过身份验证后，就会动态产生一次会话，会话从属于用户。只要静态定义过 角色与该用户的关系，会话根据用户的要求负责将它映射到多个角色中去。一个 会话可能激活的角色是用户的全部角色的一个子集。 r b a c 9 6 成员包括r b a c o 、r b a c t 、r b a c 2 、r b a c 3 。其中r b a c o 是基本 模型，定义了r b a c 9 6 模型的基本框架和数据模型，如图1 1 所示。 r b a c l 在r b a c o 的基础上引入了角色继承的概念，形成角色层次关系。 r b a c 2 在r b a c o 的基础上，引入了约束( c o n s t r a i n t s ) 的概念。包括： 1 ) 角色互斥( m u t u a l l ye x c l u s i o nr o l e s ) ，同一用户不能同时担任的两个角 色称这两个角色互斥。 第1 章绪论 2 ) 势约束( c a r d i n a l i t yc o n s t r a i n t s ) ，一个用户可担任的角色数量受限，或 者一个角色所拥有的访问许可数目受限，称为对角色的势约束。 3 ) 先决条件角色( p r e c o n d i t i o nr o l e s ) ：用户为获得某些高等级角色必须 首先拥有低等级角色，则称低等级角色为高等级角色的先决条件角色。如：总会 计师必须首先是会计师。 4 ) 运行时约束( r u nc o n s t r a i n t s ) ：一个用户具有两个角色，但在运行中不 可同时激活这两个角色，则称这两个角色具有运行时约束关系。 图l - 1l m a c o 模型 r b a c 3 是r b a c l 和r b a c 2 的组合，各成员之间的关系见图卜2 所示。 图l - 2r b a c 9 6 的成员关系 ( 3 ) a r b a c 9 7 a r b a c 9 7 模型是由s a n d h u 等人提出的分布式r b a c 管理模型 4 1 ，其核心思 想就是用角色来管理角色，即在r b a c 9 6 模型中设置管理角色和管理权限，沿 用r b a c 9 6 的框架实现管理权限的自我管理。a r b a c 9 7 模型包括三大授权管理 组件：u r a 管理用户到角色的指派；r r a 管理由继承引起的角色与角色之间的 层次关系；p r a 管理角色到管理权限的指派。三大组件具有显式的语义范围， p r a 9 7 对应岗位设置和岗位职责的定义；u r a 9 7 对应岗位人选的委任；r r a 9 7 中山大学博士学位论文 对应岗位与岗位之间的由部分职责重叠引起的关联关系。 a r b a c 9 7 模型自我管理的基础是上一级安全管理员依据下一级管理事务的 需要而设置，系统级管理员拥有最高级别的管理权限，这一设置过程依赖于系统 以外的管理权威。a r b a c 9 7 模型自我管理中不可避免出现递归管理的问题，即 “存在递归的、应用于管理权限指派的管理权限 ，如图1 3 所示，尽管实际应 用中，递归的层次数可以有限，但派生出来的管理事务无疑增加了管理的复杂度， 还使得对派生事务的管理依赖于与派生过程无关的、系统以外的管理权威，致使 模型部分丧失了自我管理的能力。 尽管a r b a c 9 7 模型的设计者申明只需要第二级管理，然而可以想象，在百 亿级的原子管理事务中，二级安全管理员仍将承受上千万级的管理负荷，而不得 不设置更高级别的安全管理员。 派生管理事 第三级管理 匮 ：一 第二级管理权限的 管理事务 派生管理事务 第_ - 2 级管理 隰 第一级管理权限的f 望型卜z 盔乏互丘_ 二二二二二二，_ _ 二j 派生管理事务 第一级管理 第一级il常规权限管理的 图1 - 3a r b a c 9 7 的递归管理模式 a r b a c 9 7 模型具有分布式、细粒度等特征。分布式的管理提高t n 定和分 析管理策略的难度，管理的细粒度化使得原子管理事务异常庞大。随着企业规模 的扩大和组织形态的变化，a r b a c 9 7 模型的描述能力也呈现一定的局限性，表 现在：细粒度的授权模式增加授权事务的复杂度；角色层次关系存在的边效果 ( s i d ee f f e c t ) 【4 】约束了对组织关系的描述。 尽管存在不足，但r b a c 9 6 和a r b a c 9 7 模型作为第一个r b a c 模型及其 第1 章绪论 管理模型，而成为了后续研究和应用的基准模型。 2 0 0 1 年，d a v i df e r r a i o l o ，r a v is a n d h u 等对r b a c 模型进行了整理、提炼 和标准化 2 2 1 ，2 0 0 4 年2 月，美国国家信息技术标准委员会( a n s i1 n c i t s3 5 9 2 0 0 4 ) 将整理后的r b a c 模型指定为美国的国家标准a n s ir b a c 。 ( 4 )a r b a c 0 2 与s a r b a c a r b a c 9 7 模型之后，出现了两个比较知名的模型：a r b a c 0 2 2 3 1 和 s a r b a c 川。a r b a c 0 2 主要针对a r b a c 9 7 细粒度的授权模式提出粗粒度的改 进措施，因此主要针对u r a 和p r a 进行了调整。s a r b a c 继承了a r b a c 9 7 的“设置管理权限，进行自我管理 的思想，对r r a 中的管理关系和管理辖域 重新进行定义和划分，提高访问控制模型的适用性。 触出a c 0 2 保留了a r b a c 9 7 模型的主要特征，增加了新的概念组织结 构。组织结构是一个基于继承关系形成的树型结构，一个组织结构是由许多组织 单元构成的，每个组织单元中都包含着相关的人员，完成组织单元中的任务，每 个组织单元同时都具有一组工作职责，这些工作职责和权限相关。由此，组织单 元被定义为完成给定任务的一组人员和权限，作为用户库和权限库的容器而存 在。为了便于管理，该模型对用户库和权限库分别使用不同的组织单元。实质上， 组织单元的引入，提炼出了一些用户或权限共同拥有的属性，在授权过程中，根 据属性相同的条件，将部分用户或权限进行授权捆绑和操作联动，从而部分实现 粗粒度的授权。 s a r b a c 模型提出了管理范围( a d m i n i s t r a t i v es c o p e ) 概念，设计了专门用 于管理角色层次关系的r h a 系列，包括r h a l 、r h a 2 、r h a 3 、r h a 4 。管理范 围在角色继承关系的半序图上进行界定：从角色r 向上的任意路径都必须经过 管理角色a ，则r 属于a 的管理范围。r h a 4 的构造基于管理范围和反对称二叉 关系两个基本概念，使用额外的数据结构谢n 血口掰t h o r i t y r 冗记录角色 之间的管理关系，如果( 口，) a d m i na u t h o r i t y ，则a 是一个管理角色，并且a 控制，。r h a 模型蕴含着一种管理理念“权限之间的覆盖关系可以推导出角 色之间管理关系，即a 的权限包含b 的权限，则a 可以管理b ”。s a r b a c 模 型依照这种管理关系来划分管理辖域，使得部分管理可以通过继承关系予以表达 和维护，达到了简化模型的目的。实际应用中，s a r b a c 模型的管理理念具有 中山大学博士学位论文 一定的通用性。 ( 5 ) 时态r b a c 模型与基于任务的r b a c 模型 时间约束( 又称时态约束) 用来规定r b a c 模型中各种指派关系和权限许可 状态的有效时间范围。基于时态约束的访问控制模型- t l m a c 【2 5 】( t e m p o r a l r o l e b a s e d a c c e s sc o n t r o lm o d e l ，时态访问控制模型) 被提出来进行研究。j a m e s b d j o s h i 等提出了一般化的时态约束模型( g e n e r a l i z e dt e m p o r a lr o l e b a s e d a c c e s sc o n t r o lm o d e l ，g t r b a c ) 1 2 6 ，该模型支持两种指派关系( 用户角色，角 色权限) 的周期性约束和持续时间约束，同时支持时间段内的势约束和处于激 活状态的最长持续时间约束。国内，黄建、卿斯汉等人提出了“激活时间 的概 念【2 7 】，完善了权限的时态属性方面的研究。t r b a c 模型中的关键技术研究，如 角色转授权渊，约束的时态性1 2 9 1 等也相继被展开。 时态约束的出现，也使得业务流程执行过程中资源的访问