（计算机软件与理论专业论文）moodle中访问控制模型的研究与应用.pdf

摘要 随着网络技术的高速发展，网络信息的安全性显得越来越重要。访问控制是以一种 特定的方式限制用户的访问能力和访问范围，以此来保证信息安全。本文以中国- 1 j n 拿 大政府合作项目“中国西部教育网络教学系统 为对象，对m o o d l e 中访问控制模型进 行研究与应用。 本文首先分析了访问控制机制和访问控制策略，然后对传统的访问技术自主访问控 制( d a c ) 和强制访问控制( m a c ) 做了深入的研究。然而d a c 容易造成权限的扩散， m a c 指定严格而缺乏弹性，这两种都无法适应复杂的组织应用环境。r b a c 的出现有 效地克服了传统技术的不足，但在实际应用中对于如何正确的依据上下文环境来更合理 的指派用户角色的权限方面却显得不足。 结合r b a c 9 6 、a r b a c 9 7 模型的核心思想，本文选用m o o d l e 中访问控制模型作为 研究对象，通过对m o o d l e 访问控制模型中基于上下文约束的角色访问控制的定义、模 型的组件及其部署研究和探讨，发现m o o d l e 的访问控制模型具有r b a c 的优点而且适 合本文所开发的网络教学系统。本文选用m o o d l e 作为基础开发平台，通过扩展原有 m o o d l e 访问控制中用户组概念，增加相关角色、扩展相应权限并引入了实体组织单元， 从而对m o o d l e 访问控制模型中的用户、角色和权限三个方面进行了相应的扩展。 本文通过对扩展模型的分析、设计、实现和测试，表明扩展后的访问控制模型在网 络教学系统应用中性能增强且容易操作，并在一定程度上解决了在实际应用过程中用户 组指派、资源组织支配等问题。利用m o o d l e 的设计思想还有降低开发和维护成本等优 点，因此本系统有着良好的应用前景。 关键词：访问控制，m o o d l e ，上下文约束，网络教学系统 t h er e s e a r c ha n da p p l i c a t i o no f a c c e s sc o n t r o lm o d e li nm o o d l e a b s t r a c t w i t ht h en e t w o r kt e c h n o l o g yd e v e l o p m e n t ，t h es e c u r i t yo fn e t w o r ki n f o r m a t i o nb e c o m e s i n c r e a s i n g l yi m p o r t a n t a c c e s sc o n t r o li sas p e c i a li n f o r m a t i o ns e c u r i t yt e c h n o l o g yw h i c h c o n f i n e su s e r sa c c e s sa b i l i t ya n da c c e s ss c o p eb ys o m em e a n s t h r o u g ht h ec h i n a - c a n a d a c o o p e r a t i o np r o j e c t “t h ew e s t e r nr e g i o no fc h i n ae d u c a t i o nn e t w o r kt e a c h i n gs y s t e m ”， t h i st h e s i sm a i n l yd i s c u s s e st h er e s e a r c ha n da p p l i c a t i o no fa c c e s sc o n t r o lm o d e li nm o o d l e t h i st h e s i sa n a l y z e sa c c e s sc o n t r o lm e c h a n i s ma n da c c e s sc o n t r o lp o l i c e s ，t h e na n i n d e p t hr e s e a r c ho nt h e t r a d i t i o na c c e s sc o n t r o ld i s c r e t i o n a r ya c c e s sc o n t r o l ( d a c ) t e c h n o l o g ya n dm a n d a t o r ya c c e s sc o n t r o l ( m a c ) t e c h n o l o g yi sc a r r i e do u t d a cc o u l d i n d u c et h ep r o l i f e r a t i o no fp e r m i s s i o n se a s i l ya n dm a cm a yl a c ko ff l e x i b i l i t yc a u s e db y s t r i c ts p e c i f i c a t i o n t h e yc a nn o ta d a p tt ot h ec o m p l e xa p p l i c a t i o ne n v i r o n m e n t s t h e e m e r g e n c eo fr b a ce f f e c t i v e l yo v e r c a m et h es h o r t c o m i n g so ft r a d i t i o nt e c h n o l o g y , b u ti n p r a c t i c a la p p l i c a t i o n st h e r ei ss t i l ls o m es h o r t c o m i n go nd i s t r i b u t i n gt h ea u t h o r i t yr o l et ou s e r i na nb e t t e rw a yi na p a r t i c u l a rc o n t e x t b a s e do nt h ec o r ei d e a so fr b a c 9 6 ，a r b a c 9 7m o d e lt h i st h e s i ss e l e c t st h ea c c e s s c o n t r o lm o d e lo fm o o d l et os t u d y t h r o u g ht h er e s e a r c ho nt h ed e f i n i t i o no ft h ea c c e s sc o n t r o l f o rap a r t i c u l a rr o l eb a s e do nt h ec o n t e x to fc o n s t r a i n t s ，t h ec o m p o n e n ta n dd e p l o y m e n to ft h e a c c e s sc o n t r o lm o d e li nm o o d l e ，w ef o u n dt h a tt h ea c c e s sc o n t r o lm o d e lo fm o o d l eh a st h e a d v a n t a g e so fb e i n gc o m b i n e dw i t hr b a c ，a n dt h a t i ti s p r o v e dv e r ys u i t a b l ef o rt h e d e v e l o p m e n to fn e t w o r kt e a c h i n gs y s t e m i nt h i st h e s i sm o o d l ei ss e l e c t e df o rt h eb a s i s d e v e l o p m e n tp l a t f o r m b ye x t e n d i n gt h ec o n c e p to fu s e rg r o u pi ne x i s t i n ga c c e s sc o n t r o l m o d e l ，i n c r e a s i n gp r o p e rr o l e sa n dp e r m i s s i o na n di n t r o d u c i n gt h ec o r r e s p o n d i n g u n i t so ft h e e n t i t yb o d y , c o r r e s p o n d i n gc h a n g e sa l et a k e nf r o mu s e r , r o l e st op e r m i s s i o n t h r o u g ha n a l y s i s ，d e s i g n ，i m p l e m e n t a t i o na n dt e s t i n gt h ee x p a n s i o nm o d e l ，t h er e s u l t s s h o wt h a tt h ee x p a n d e da c c e s sc o n t r o lm o d e li nt h ec o n t e x to fc o n s t r a i n t so nt h er o l ei nt h e n e t w o r kt e a c h i n gs y s t e mc o u l db e e a s i l y t ou s ea n de n h a n c et h ep e r f o r m a n c e ；t h e r e q u i r e m e n t so ft h ec o u r s eo ft h ep r a c t i c a la p p l i c a t i o no fu s e rg r o u p ，r e s o u r c eo r g a n i z a t i o n c o u l da l s ob es a t i s f i e d b yu s i n gt h ed e s i g ni d e a so fm o o d l e ，t h ec o s t so fd e v e l o p m e n ta n d m a i n t e n a n c ea l s oc o u l db er e d u c e d ，t h e r e f o r et h es y s t e mh a sg o o da p p l i c a t i o np r o s p e c t s k e yw o r d s ：a c c e s sc o n t r o l ，m o o d l e ，c o n t e x tc o n s t r a i n t s ，n e t w o r kt e a c h i n gs y s t e m 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版。本人允许 论文被查阅和借阅。本人授权西北大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。同时授权中国科学技术信息研究所等机构将本学位论 文收录到中国学位论文全文数据库或其它相关数据库。 保密论文待解密后适用本声明。 学位论文作者签名：毒阻指导教师签名： 矿7 年6 月 曰吖年f 月邮 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导_ ! j i t i t r 导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，本 论文不包含其他人已经发表或撰写过的研究成果，也不包含为获得西北大 学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对 学位论文作者签名：鼋望柳 纠年z 角? i e i 两北人学硕：学位论文 第一章引言 近年来网络教学向多应用和多用户的方向发展，并伴有精细管理的趋势，即把信息 资源管理对象尽可能细化到最小工作单元，使信息资源的管理和授权部门具体化，因而 这也对网络教学系统安全提出了很高的要求。与此同时信息资源的访问安全也越来越受 到重视。网络教学系统在信息资源共享的同时也要阻止非法的未授权用户对教学过程中 敏感信息资源的访问，同时还要考虑到授权用户对其权限以外的信息资源进行访问。权 限控制的重点是保护系统信息资源的存储和操作安全，因此对访问控制进行研究有着重 要的实用价值。 1 1 研究背景和意义 访问控制技术是信息系统安全的重要功能构件和保障信息安全的核心机制，同时它 也是实现数据保密性和完整性的主要手段。访问控制是为了限制访问主体对访问客体的 非法访问而制定的一种手段和制约，从而使应用系统在合法范围内被用户安全使用。 访问控制i l 】是一种用来验证用户在访问系统资源时是否合法的技术，这种技术主要 是对用户对资源进行访问时的权限进行相关控制。其设置主要用来限制用户访问重要、 保密以及关键的信息资源，防止非法未授权的用户入侵以及对系统合法用户的非法操作 所造成的破坏有着监督作用。如何建立一个合理、优良的安全访问控制模型，对增强网 络教学系统信息资源的安全性有着重大的意义。 在基于角色的访问控制系统中，由管理员对用户指定角色。对一个简单的系统，当 用户相对较少，角色对应的权限也相对固定的时候，使用这样的用户角色指派方式就比 较方便。然而在大型系统中，也许一个用户就拥有好几个角色，这种靠系统管理员来一 一分配角色的机制就存在诸多不足，主要表现为以下几个方面：对系统管理员要求能j 下 确掌握用户与系统中角色的特征之间的关系，造成系统管理员的工作量大；系统实现代 价高和系统安全维护不便，并且从程序层面来说如何使用一个灵活的方法自动解决角色 之间的转换问题也是需要重点考虑的。针对以上缺点本系统采用开源的m o o d l e 2 1 作为开 发平台，在研究m o o d l e 原有访问控制基础上进行了相应的改进方法，以适应在实际教 学过程中的要求。这样不仅提高了系统设计的有效性，也使得系统的整体布置和实施更 加容易。 第一章引言 1 2 国内外研究概况 访问控制的研究，国外和国内的许多学者已经进行了充分的研究和讨论，关于这一 领域的理论也逐渐系统化和标准化。在实践和应用方面，也涌现出了许多优秀系统。 1 2 1 国外研究现状 在国外研究方面，1 9 9 2 年基于角色的访问控制( ( r o l e b a s e da c c e s sc o n t r 0 1 ) ) 【3 1 的 发表，标志着这一领域的研究拉开了序幕，这篇文章的中心思想就是在模型的各个部 分进行权限约束。 19 9 6 年，s a n d h u 发表的( ( r o l e b a s e da c c e s sc o n t r o lm o d e l s ) ) 【4 】一文中，给出了 r b a c 9 6 模型簇，其对传统基于角色访问控制的同时也成为这一领域继续发展的奠基 石。 c o v i n g t o n 在其论文中引入环境角色【5 】的概念，提出了位置和系统状态参数，为基 于上下文约束的角色控制打下了基础。 a d a m 介绍了一个成熟的认证模型【6 】，它是为实现数字化图书馆的访问控制请求而 设计的。在这个模型中除了检验用户i d 之外允许考虑附加用户和客体属性。其中所提 出的凭证则代表着一种属性，它描述了一个确定用户的特征和资格，例如：年龄、国 籍和工资等。另外，当设置访问控制属性时会考虑到环境因素的存在，特别是对基于 工作流的访问控制和基于协同工作方式的访问控制，如t h o m a s 和s a n d h u 在1 9 9 7 年提 出的t b a c 模型。 n i t s c h e 给出了一个扩展系统的拓扑描述【7 】，这样的目的是为了实现在认证授权过 程中应该考虑到上下文的信息，这个思想主要用在医学领域的工作流中。 w o l f 和s c h n e i d e r 认为认证决策主要考虑鉴别主体的一些主要信息，例如基于密码 和基于证书的验证，把这些条件作为上下文信息来给特定角色赋予权限【引。 k a n g 提出了基于相互协作的组织间的工作流访问控制【们。 b e r t i n o 提出了一种使用相互协作的语言和算法来表达和增加访问控制的约束，并 且确保在工作流下的所有任务在被用户和角色使用前都要定义1 0 1 。 j a j o d i a 提出了一种更加通用的语言来描述访问控制【1 1 1 。 g e o r g i a d i s 介绍了一种扩展t h o m a s 19 9 7 的t m a c 模型的基于上下文的团队访问 控制模型c t m a c t l 2 】。该模型是一个拥有不同角色的用户组，用户组的成员共同来完 成一个任务，如一个执行一项手术的主治医生和护士，在c t m a c 中团队的概念被用 2 两北人学硕+ 学位论文 来联系着不同角色的用户，就像角色是被用来联系用户和权限一样。 w a n g 在超媒体环境下提出了基于上下文和角色的访问控制f 1 3 】，在系统中设定三种 不同的角色分类：第一种是工作职位，第二种是团队关系，第三种是特定环境下的个 人角色。 e d j l a l i 为移动设计的j a v a 代码提出了基于历史的访问控制模型【1 4 】。 c o v i n g t o n 定义了一种在包含上下文信息的智能主机环境下，给一个用户指派两种 不同的角色，使用传统的r b a c 角色，并为主体分配权限i l 习。 e lk a l a m 介绍了一种基于组织的访问控制模型1 1 6 1 ，一个主体对象可以是一个用户 或者一个组织，每个主体对象都会被指派一个角色，更重要的是称之为上下文为模型 层的概念。一个特定的上下文被定义为一个特定的条件，例如一个急救事件。在这个 模型中权限被用来连接组织、角色、视图、活动和上下文，例如：组织a 被赋予角色 w 允许其在上下文z 中的试图y 中进行x 活动。 m o y e r 和a b a m a d 提出了g e n e r a l i z e dr b a c ”】模型，引入了主体角色、客体角色 和环境角色，进一步细化了访问控制的粒度。 1 2 2 国内研究现状 在国内研究方面，乔颖等提出的新型r b a c 模型( n r b a c ) 具有接近现实世界和 形式统一的优点，是一种新的r b a c 实现机制f l s 】。 在学习和借鉴国外关于访问控制先进理论和优秀模型的基础上，国内就有学者提出 基于角色与组织的访问控制模型【1 9 1 ，该模型的特点分为两个：一是在原有模型基础上减 少了角色数量，其做法就是通过有效协调组织结构和角色之间的关系；二是使得权限分 配体系比原有模型更加优化。 在国内，一些机构和学校在访问控制方面依据其所应用软件系统的实际要求，研究 和开发了一些优秀的访问控制系统，并取得了优异的成果。 清华大学的学者开发了一种基于角色的通用化用户权限管理系统【2 0 2 1 】。该系统的主 要特点是适用于焊接软件开发过程中用户与权限管理。 中国科学院软件研究所的学者提出了一个面向对象的框架，该框架是适用于r b a c 访问控制管理的各个领域1 2 2 1 。该框架的特点是利用框架所提供的便利，可以将所有适合 本接口的权限管理放入其内实现，在适用过程中可以根据系统的需求扩展已有框架的边 界设置。这样的系统不但增强了原有访问控制模型中可重用的权限管理，而且提高了软 3 第一章引苦 件的复用率。 中国科学院软件研究所对象技术中心在基于角色的访问控制基础之上，对角色之间 的所属层次进行了相应扩展，提出了扩展之后的角色层次关系模型【2 3 】。 浙江大学通过在原有基于角色的访问控制模型中增加访问控制对象和事务，即一些 与安全相关的概念，并通过对模型进行抽象描述，给出了个增强了访问控制功能的新 模型【2 4 1 。 相比校而言，国内在访问控制方面的研究起步的比较晚，但是学者们在借鉴国外研 究的成果同时，并致力于开发适合国内需求的系统，通过将国外先进思想引进的同时也 给国内同行们后续的研究提供了宝贵的资料。 1 3 本文的研究内容和目标 本文研究的内容和目标体现在两个方面： 一方面充分领会现有访问控制领域的研究成果，具体内容包括：通过阅读相关文献， 密切关注国内和国外在访问控制领域的研究现状以及成果，对课题研究的背景作了分析 和总结，参与实际网络教学系统的设计与开发：深入分析和研究了传统访问控制模型以 及基于角色的访问控制技术，接着重点研究了m o o d l e 中访问控制模型以及其在实际网 络教学应用中不足之处。 另一方面在第一部分工作的基础上，提出扩展m o o d l e 访问控制模型的新模型，并 通过分析、设计、代码实现和测试等几个环节来表明该模型的可行性、高效性以及实用 性。 本文的具体工作目标是通过对m o o d l e 中访问控制模型框架的分析和研究，在 m o o d l e 原有的访问控制基础上提出扩展思路，并在相关理论的支持下结合实际需求设 计和实现网络教学系统。 1 4 本文的组织结构 全文共分为六部分。 第一章主要阐述了课题研究的背景及意义，对国内外的访问控制技术的研究和成 果进行了简单描述，根据课题研究的内容和目标对论文的结构作了安排。 第二章对访问控制技术的概念和基本理论进行分析研究，包括访问控制技术的定 义、方法、核心手段以及传统的访问控制技术，并对主流的r b a c 9 6 模型做了更深入 4 两北大学硕士学位论文 的研究，为本课题后续研究m o o d l e 中访问控制模型打下了基础。 第三章首先对m o o d l e 的含义、特点、系统架构和主要功能进行了简单的描述。其 次重点讲述了m o o d l e 的访问控制模型中上下文约束的概念和定义，以及模型和数据表 之间的关系。并通过一个事例介绍了m o o d l e 中访问控制的权限重写机制。 第四章根据课题需要对m o o d l e 中访问控制模型作了相应的扩展，结合前三章的研 究内容，设计了适合本课题需要的扩展模型。 第五章实现了扩展模型的基本功能，对身份认证、授权控制、用户组和实体组织 单元做了深入的研究和探讨，并通过实际应用为课题的进一步深入研究打下了坚实的基 础。 最后是总结与展望部分，对本文进行了总结，并对下一步工作进行了展望。 5 第_ 二章访问挡制技术研究 第二章访问控制技术研究 2 1 访问控制技术概述和基本理论 2 1 1 访问控制概述 在i s o i e c l 0 1 8 3 3 中将访问控制( a c ) 1 2 5 】定义为：“为电脑系统所属资源在遭受未 经授权的操作威胁时提供适当的控制以及保护措施，以保护信息的机密和完整性”。这 些未经授权的操作包括：未经授权使用( u n a u t h o r i z e du s e ) 、信息泄漏( d i s c l o s u r e ) 、未 经允许修改( m o d i f i c a t i o n ) 、恶意破坏( d e s t r u c t i o n ) 以及拒绝服务( d e n i a lo fs e r v i c e ) 笔【2 6 】 可 。 访问控制模型的安全性作为访问控制技术的核心内容，它是从更加抽象的层次上来 表达访问控制约束的概念性框架，以适应各种各样的系统实现方式和计算环境。建立规 范的访问控制模型，是实现严格访问控制约束的基础。 在九十年代美国国防部在t r u s t e dc o m p u t e rs y s t e m e v a l u a t i o nc r i t e r i a 中，指明了访 问控制在计算机系统安全中具有举足轻重的作用。并且提出了安全计算机系统的六大需 求口7 1 它们分别是：安全策略、可标识、可审计、保证、持续和防护。并且该标准将计算 机系统的安全程度从高到低可分为a 、b 、c 、d 四类。a i + ( 作为以后可扩展研究准备) 、 a 1 ( 形式化认证) 、b 3 ( 安全域) 、b 2 ( 结构化防护) 、b 1 ( 标定安全防护) 、c 2 ( 受控 访问保护) 、c 1 ( 自主安全防护) 和d ( 最小防护) 八个等级，每个等级都对应有各自 的要求。 下面将从访问控制的定义和概述并结合访问控制技术研究的发展进程出发，介绍当 前几种典型的访问控制模型。 2 1 2 访问控制的定义 针对不同的应用系统需求，访问控制系统的各种模型大都建立在三个基本元素之 上，即：主体、客体和访问控制约束【2 8 ，2 9 3 们。 主体：是指能够在系统中发起行为的主动实体，能够对资源发出访问请求或要求。 从某种意义上讲，即发出在客体上执行操作或操作序列的请求。主体是实际动作的请求 和发起者，但并不一定是动作的响应或者执行者。 客体：是指系统中可以被主体所请求访问的被动实体，可以说它是被动的主体行为 的承担者。在访问控制中凡是可以被操作的受保护对象，其形式可以为文件目录、文件、 6 西北大学硕i ：学位论文 记录、一个字节、网络节点、数据库表、视图、缓冲区、寄存器、页面、程序、处理器 和打印机等因此客体可以做为任何形式出现。同时，客体作为一个实际需要的产物，它 的划分并不一定一成不变。 访问控制约束：是用来制定一个主体是否拥有对一个客体资源的访问权限的一套规 则，定义了主体对客体资源的允许操作行为和客体对主体访问的条件约束，确定主体是 否拥有对客体的访问权限，依此约束和规则从而实现了只有被授权的主体对被授权客体 进行访问的安全控制方式。访问控制的方式取决于所访问客体的类型，一般是对客体的 一种特定的操作，比如更新数据库表中的记录等。 在访问控制机制中对特定资源访问权限只是授予合法的用户。对于受保护的系统来 说，合理良好的访问控制系统起着至关重要的作用。该控制系统不但要阻止合法资源可 能会受到未授权的用户非法访问，还要让这些信息资源让合法用户对其进行访问。为了 实现此目的，用户和被访问的资源会被直接或者间接的控制者。这时控制系统相起着中 间层的作用这种作用主要是用来保护用户和权限之间的约束关系，也在一定策略和方法 下更加有效和严格管理用户对资源的访问权限【3 。 访问控制系统需要硬件和软件系统的共同支持，采用合适的访问控制方法才可达到 访问控制的策略目标。访问控制方法( a c c e s sc o n t r o l a p p r o a c h e s ) 又包括访问控制矩阵 ( a c c e s sc o n t r o lm a t r i x ，a c m ) 、访问控制列表( a c c e s sc o n t r o ll i s t ，a c l ) 、访问能 力列表( c a p a b i l i t i e s l i s t ，c l ) 与权限关系表( a u t h o r i z a t i o nr e l a t i o nt a b l e ，a r t ) 。下 面将分别介绍这几种访问控制方法。 2 1 3 访问控制方法简述 1 、访问控制矩阵 访问控制矩阵( a c m ) 采用矩阵形式表示访问控制规则对系统用户进行授权，主要 是以主体( s u b j e c t ) 、客体( o b j e c t ) 与访问矩阵( a c c e s sm a t r i x ) 为基本元素，对每个 主体来讲，主体对哪些客体有哪些相应访问权限在矩阵中可以清楚的看到。在矩阵中用 行表示主体，对于每个客体而言，哪个主体可以对其实施访问在矩阵也可以清楚的看到。 在矩阵中用列表示客体，将行和列一综合便形成了矩阵，行和列的交叉点就可以表示为 某个主体对客体的访问权限。 2 、访问控制列表 访问控制列表( a c l ) 3 2 1 是在访问控制矩阵的基础上所改进的一种访问控制机制。 7 第一二章访问控制技术研究 目前，a c l 是被采用最多的一种访问控制机制，主要在p c 机、服务器和路由器中被大 量使用，属于客体一主体的列表方式，是客体被所授权的主体的访问权限。a c l 是从访 问控制矩阵的客体出发来表达矩阵某一列的控制信息。在a c l 中以客体为主轴，即每 一个客体对应一个访问列表，该列表记录着访问该客体的所有主体的权限。 a c l 是从客体的角度来看管理和维护权限的。其优点是简单便捷并且容易使用；但 是缺点是必须先遍历客体列表后才能获得某个主体所拥有的权限，系统时间也在此过程 中被耗费掉。 3 、授权关系表 权限关系表( a r t ) 是综合访问控制列表( a c l ) 与能力列表( c l ) 而得出的， a r t 提供从客体或主体角度的控制存取。其采用的形式为一张二维表，表中的每一行用 来表示主体对客体的操作权限关系。a r t 的优点是能够提供从个方面来取得系统所需的 有价值的信息，整个授权关系表简单、灵活和易用；a r t 的缺点是主体变动时，则与主 体相关客体，以及访问客体的权限也需要作相应的改动，这样的动作从系统安全管理者 的角度来看，不但繁琐而且也增加了许多无形的负担。 2 2 访问控制技术的基本理论 访问控制技术的基本理论包括访问控制技术的原则和核心手段，下面将分别简要介 绍这两个基本理论。 2 2 1 访问控制的基本原则 最小特权( l e a s tp r i v i l e g e ) 原则和职责分离( s e p a r a t i o no f d u t i e s ) 原则【3 3 1 是访问 控制技术中两个最基本的原则。 l 、最小特权原则 最小特权原则是指在主体只有在被授权时才能得到满足其操作所需的最小权限集 合，并被保证在被赋予特权之后才能完成其所需要完成任务的同时也能限制其所能进行 的操作，从而将非法或误操作所造成的损失降到最低。 2 、职责分离原则 职责分离原则作为一种更加高级的权限控制机制，能根据权限的实际作用产生一些 互斥的约束条件，使得某些权限只能在一定条件下被执行，从而减少主体同时可能利用 多个权限产生欺骗行为。这种约束在角色权限比较敏感的应用系统中保证了访问控制的 安全性。 8 西北大学硕上学位论文 2 2 2 访问控制技术的核心手段 就访问控制的应用实施而言，首先需要对合法用户进行必要的身份认证，然后才是 对访问策略的选用实施。因此，认证( a u t h e n t i c a t i o n ) 和授权( a u t h o r i z a t i o n ) 可以认 为是访问控制的两个核心手段。 1 、认证 认证是指用户首先向系统提供能证明自己身份的资料，系统验证这些由用户提供的 资料是否能证明用户的身份，根据反馈的结果来表明某这个用户的身份是否合法和有 效。 2 、授权 授权是指用户通过身份认证并成为合法用户之后，再根据预先约定好的访问策略， 查看其是否具有访问特定资源的权限。合法的用户，但这时还没有被赋予针对于某个特 定资源的操作权限，其访问请求就会被拒绝，其过程类似于不合法用户对系统资源的访 问请求，换言之，对于合法用户而言，对系统信息资源的访问操作必须是在访问策略所 约束的范围内，而不能越权访问。 2 3 传统访问控制技术分析 传统的访问控制策略主要有两种【3 4 】：自主访问控制d a c ( d i s c r e t i o n a r ya c c e s s c o n t r 0 1 ) 和强制访问控制m a c ( m a n d a t o r y a c c e s sc o n t r 0 1 ) 。其中m a c 和d a c 是美国 军方于1 9 8 5 年提出可信计算机系统的评估准则t c s e c t 3 5 1 中描述的两种安全策略。d a c 是基于客体用户的映射关系的访问控制，允许用户将客体的访问权授予别的用户或从 别的用户那里撤回他所授予的访问权。这种方式对用户也提供了一种灵活易用的数据访 问控制方式，但其安全性较低，非法用户则可以绕过d a c 提供的安全保护而获得对客 体资源的非法访问权限，权限在分发和回收中如果处理不当的话，则隐含着权限扩散的 问题。m a c 是一种多级访问控制策略，它通过判断主体客体之间的安全标识来决定主 体可否访问客体，为所有主体及其所控制的客体指定敏感标签，并根据标签进行访问控 制，因此其所提供的安全保护是很难绕过的，具有较强安全性。m a c 的布置和实施过 程相对复杂，不适合在大型应用背景下使用。1 9 9 6 年，r s a n d h u 教授提出了基于角色 的访问控制r b a c ，其基本思想是在用户和权限之间是通过角色来建立映射关系的，用 户通过担任某些角色而获得访问权限。这样就能极大地简化权限管理，减少管理访问控 制策略的开销，并且易于描述和理解，这种访问控制既继承了传统访问控制安全策略的 9 第二章访问控制技术研究 部分特点，又符合现代各种组织的管理模式，所以得到了广泛的使用。 2 3 1d a c 技术 自主访问控制是一种在所属权的概念基础上进行的访问控制，对于拥有资源的人， 在具备访问该资源的所有权限，这些资源的拥有者可以自行决定是否给予他人该资源的 某些权限；同时获得对此资源某些权限的人也可以自行决定是否将获得的权限赋予第三 者。授权规则描述了系统中单个主体允许对客体进行的访问方式( 如读、写) 和操作方 法。自主访问控制的实现方法是建立一种矩阵，这种矩阵用来表示应用系统中的访问控 制。在矩阵中系统的主体表示是行元素，系统的客体表示的是列元素，行和列中的各个 元素表示主体对于客体的访问权限f 3 6 1 。 在安全管理方面，d a c 则必须依赖每个用户授权的正确性和规则性，然而这种对 所有用户假定具有足够的安全知识是不切实际的，也是不可行的，这样的规定只会是限 制了这种访问控制策略的发展。 一方面尽管d a c 已在许多系统中得以实现( 如u n i x 、l i n u x 、w i n d o w s ) ，然 而d a c 的致命的弱点就是访问权的授予是可以被传递的，一旦访问权被传递出去将难 以控制和部署下一步的系统安全规划，访问权的管理也变得非常困难，会带来权限扩散 问题；另一方面，d a c 对受保护的客体所产生的副本不设置任何保护措施。在大型应 用系统中，由于主体和客体的数量大，使用d a c 所造成的系统支付都是难以想象的， 而且访问效率也相当低下，更难以满足大型网络应用系统的需要。 2 3 2m a c 技术 m a c 是根据客体的敏感级和主体的许可级来限制主体对客体的访问1 3 7 1 。这种访问 控制的特点是主体被强加上各种约束，而且主体还必须服从访问控制的各种政策。 按照主体客体所分配的不同的4 个安全级别，首先这些安全级别的属性不能被随 意修改，并且在这种访问控制机制之下，用户无权将任何资源访问权授予别的用户。其 次，m a c 不允许进程在执行过程中生成共享文件，从而有效阻止了进程通过共享文件 将信息从合法用户传递到非法用户手中【3 8 】。 系统通过比较主体客体的安全级别所定义的属性来决定主体对客体的操作可行 性。安全级别分为四级，从强到弱的排列为绝密、机密、秘密和无密。其访问控制关系 则分为上读下写和下读上写这两种模式来进行的，并通过预先定义好的安全标签实现 单向信息流通。 1 0 两北大学硕上学位论文 下读( r e a dd o w n ) ：文件级别小于用户级别的读操作；上写( w r i t eu p ) - 文件大于 用户级别的写操作；下写( w r i t ed o w n ) ：文件级别等于用户级别的写操作；上读( r e a d u p ) ：文件级别大于用户级别的读操作f 3 9 1 。 为了使m a c 的安全性更加高级，它将重点放在信息流动管理方面。在信息流动方 向上规定只从低级向高安全级流动。m a c 对于读操作和写操作的安全性原则是：读操 作为当且仅当主体的所在安全级别高于或者等于客体的安全级别且客体的类别集合包 含于主体的类别集合时，才允许此客体才能被相应的主体所读取；写操作为当且仅当客 体的安全级别高于主体级别且主体的类别集合包含于客体的类别集合时，才允许该客体 被相关的主体进行写操作。在原则上首先保证了信息的单向流动，就不会出现高敏感度 的信息被较低信任级别的用户读取，也不会出现较低敏感度区域被高敏感度的信息写入 的事情发生 4 0 1 。 强制访问控制提供了更高级别的安全认证以避免和防止大多数有意无意对系统的 侵害，但也给实际应用带来了不便。m a c 设置严格，但是弹性和灵活性较差，且过于 注重信息保密性和机密性，容易造成其在管理上的僵硬和不方便。 2 4r b a c 模型 作为d a c 和m a c 的替代策略的r b a c 是在近年逐渐引起学者们广泛关注的。 r b a c 概念始于7 0 年代的多用户和多机系统中。在1 9 9 2 年，d f e r r a i o l o 和r k u h n 在 原有r b a c 概念的基础上，形式化地定义了r b a c 模型。在1 9 9 6 年，r s a n d h u 等人又 进一步完善和扩展了现有的r b a c 模型，提出了r b a c 9 6 模型簇，这种模型簇为下一 步研究工作打下了基础。 r b a c 模型的基本思想是将让角色得到一定权限，并通过给用户指派不同的角色来 获得角色所拥有的访问许可权。r b a c 优点是对于用户和权限变化率大、数量多系统， 提前指定的角色则能简化审核和管理权限的过程。与传统访问控制模型相比，基于角色 的访问控制有效的克服了自主访问控制模型和强制访问控制模型在信息完整性和机密 性方面的不足，从而有效地提高了系统的效率。 国内外也有很多研究者和学者关注r b a c 模型与传统的d a c 和m a c 模型之间的 关联和区别。s o s b o m 通过在基于角色的访问控制模型中配覆一个复杂的管理角色集合 和一个管理角色，并通过模拟和实践证明，这种方式增强了对传统访问控制模型的访问 控制策略。中国科学院软件研究所的梁彬等人，对s o s b o m 等人提出的方法，在分析了 第一二章访问控制技术研究 其不足之后给出了一个改进的方法i s a n d h u 方法【2 7 川】。 r b a c 作为一种中立的访问控制策略，通过配置各种参数来实现某种安全策略，具 有很好的灵活性和通用性，使得访问策略能在大多数系统得以部署和实施。r b a c 、 m a c 、d a c 三者之间的关系可以用图1 表示： 图1r b a c 、m a c 和d a c 三个模型之间的关系 在r b a c 中最著名就是r b a c 9 6 模型，在r b a c 9 6 模型族中，r b a c 0 是模型的基 础，实现了r b a c 系统的最基本的要求，r b a c l 在r b a c 0 基础上增加角色层次关系， r b a c 2 在r b a c 0 的基础上加入了约束的概念，而r b a c 3 是对r b a c l 和r b a c 2 的 集成。这4 个概念模型之间的关系如图2 所示： 2 4 1r b a c 0 图2r b a c 9 6 模型族 在r b a c 0 模型中包含四个基本要素：用户、角色、会话和权限。对这四个基本要 素的解释如下： 1 、角色( r o l e sr ) ：表示系统中的一类访问权限的集合。通常意义上讲是指一个 组织或一项任务中的工作或位置，代表着一种资格、权利和责任。一方面表示了用户的 职责划分，即用户在特定环境中状态和行为的抽象；另一方面也表示了一个或者一群用 户可以访问的系统的功能集合。 1 2 两北人学硕士学位论文 2 、用户( u s e ru ) ：用户就是一个可以独立访问计算机系统中的数据或者用数据 表示的其它资源的主体。作为信息系统的使用者，用户在一般情况下是指人。其与角色 之间是一种多对多的关系。 3 、权限( p e r m i s s i o np ) ：用户对计算机系统中的数据或者用数据表示的其它资源 进行某种特定模式访问的许可。权限与角色之间为一种多对多的关系，用户与权限之间 的联系通过角色联系起来。 4 、会话( s e s s i o ns ) ：当用户激活角色时建立会话。会话是一个用户和多个角色之 间的映射。一个用户可以打开多个会话，但每次只能打开一个，作为一个访问控制单元， 会话可以拥有多个不同的操作权限。 r b a c 0 授权机制可以看作是通过特定的操作( o p e r a t e ) 将系统中的主体( s u b j e c t ) 和系统中客体( o b j e c t ) 连接起来，其操作的动作可以是读、写和创建等。 r b a c 0 中包含用户角色指派( u a ) 和角色权限分配( p a ) 。图3 中u a 两端的箭 头表示了用户与角色之间的多对多关系，即一个用户可以被指派多个角色，而一个角色 也可被指派给多个用户。p a 两端的箭头则表示了角色与权限的多对多关系，把权限授 予角色这与把权限授予的工作量则大大减少。 在r b a c 0 中，当进入访问控制系统时就开始了一个会话，在系统中用户可以同时 打开多个会话，这些会话都是动态产生的。用户可以只激活完成任务所需要的角色，依 据前面的过程用户则可以获得角色的授权许可。r b a c 0 的这个特性支持最小特权原则， 在一个成熟的安全系统内部绝不允许用户执行任务需求以外的特权。下面给出r b a c 0 模型的形式化的定义： l 、u ，欠，尸，s 分别代表用户集、角色集、权限集和会话集； 2 、u a u xr ：用户- 角色之间的多对多的指派关系； 3 、p a p x r ：角色权限之间的多对多的分配关系； 4 、u s e r