（计算机科学与技术专业论文）分布式环境下基于角色的互操作的访问控制技术研究.pdf

浙江人学博士学位论文 摘要 随着i n t e r n e t 及其相关技术的快速发展，在开放的、异构的分布式环境下， 出现了大量的分布式应用之间的互操作，通过互操作分布式应用可以共享资源 和服务，有效的提高了数据的使用率。访问控制技术是一项关键的安全技术， 它在保证合法用户访问资源的前提下，可以有效的限制用户对关键资源的访问。 分布式应用所具有的分布性、异构性、自治性和动态性等特点对互操作的访问 控制技术提出了许多新的挑战。 基于角色的访问控制模型( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 是目前最 为流行的访问控制技术，具有很大的灵活性。当前已经有不少研究正在探讨如 何将r b a c 模型应用在互操作的访问控制中，并且取得了一定的成果，但仍存 在许多不足，本文对基于角色的互操作的访问控制的关键技术进行了深入的探 讨和实践。本文的主要贡献如下： ( 1 ) 提出了一个基于角色的互操作的访问控制模型。该模型通过在不同的访问 控制域之间定义角色映射关系，对r b a c 模型的核心功能、继承关系和约 束关系进行了全面的扩展，充分的将r b a c 模型的特点应用到互操作的访 问控制中。 ( 2 ) 提出了一个基于角色的互操作的分布式访问控制的体系架构。通过在原有 r b a c 模型的会话基础上建立互操作的全局会话，实现了可扩展的互操作 的访问控制的授权和访问检查机制。 ( 3 ) 提出了一种基于角色的互操作的安全冲突的检测算法。根据分布式环境的 特点，缩小检测范围，只对参与互操作的角色进行进算，从而减少了计算 所花费的时间。 ( 4 ) 提出了一个基于角色的互操作的安全策略语义规范。通过定义本体及其相 关的语义规则来表达安全策略的语义信息，利用这个规范可以制定统一的 互操作的安全策略，从而提高安全策略在互操作中理解的准确性。 m “大学博上学位论文 摘要 关键词：分布式应用；互操作；访问控制；基于角色的访问控制：安全策略 璺瓮冲突；检测；语义规范 i l 浙江大学博士学位论文 a b s t t a c t a b s t r a c t t h er a p i dd e v e l o p m e n to fi n t e r u e ta n dr e l a t e dt e c h n o l o g i e sh a sc r e a t e d t r e m e n d o u sp o s s i b i l i t i e sf o rt h ei n t e r o p e r a b i l i t yb e t w e e na p p l i c a t i o n si no p e na n d h e t e r o g e n e o u sd i s t r i b u t e de n v i r o n m e n t i n t e r o p e r a b i l i t yp r o v i d e s am e a n sf o r d i s t r i b u t e d a p p l i c a t i o n s t o s h a r er e s o u r c e sa n d s e r v i c e s ，w h i c hi m p r o v e s p e r f o r m a n c ea n dr e s o u r c eu t i l i z a t i o n a c c e s sc o n t r o li sac r u c i a ls e c u r i t yt e c h n o l o g y i tc a nc o n t r o lt h el e g a lu s e r st os e n s i t i v er e s o u r c e se f f e c t i v e l ya n de n s u r eu s e r st o a c c e s sr e l a t i v er e s o u r c e t h ed i s t r i b u t e d ，h e t e r o g e n e o u s ，a u t o n o m i ca n dd y n a m i c c h a r a c t e r i s t i c so fd i s t r i b u t e da p p l i c a t i o n sb r i n gm a n yn e wc h a l l e n g e st ot h ea c c e s s c o n t r o lt e c h n o l o g y r o l eb a s e da c c e s sc o n t r o l ( r b a c ) m o d e li sav e r yf l e x i b l ea c c e s sc o n t r o l m o d e la n d a p p l i e s m o s tw i d e l ya l t h o u g ht h e r ea r es o m er e s e a r c h e st h a ti s d i s c u s s i n gh o w t oa p p l yr b a cm o d e lt oa c c e s sc o n t r o lo fi n t e r o p e r a t i o nn o w , t h e y a l lh a v es o m es h o r t a g e s t oi m p r o v er b a cm o d e li nt h ea c c e s sc o n t r o lo f i n t e r o p e r a t i o n ，af u r t h e rd i s c u s s i o na n dp r a c t i c ef o rt h ek e yt e c h n o l o g i e so fr o l e b a s e di n t e r o p e r a t i o na c c e s sc o n t r o lh a sb e e nd o n e t h em a i nc o n t r i b u t i o n so ft h i s d i s s e r t a t i o na r ed e s c r i b e da sf o l l o w s ： ( 1 ) b r i n go u t ar o l eb a s e di n t e r o p e r a t i o na c c e s sc o n t r o lm o d e l ，w h i c hh a s i m p l e m e n t e de x t e n s i o n so ft h ew h o l ec o r ef u n c t i o n ，h i e r a r c h a lr e l a t i o na n d r e s t r i c t i o nr e l a t i o no fr b a cm o d e lw i t hd e f i n i t i o n so ft h er o l em a p p i n g t e l a t i o ni nd i f f e r e n ta c c e s sc o n t r o ld o m a i n s ( 2 ) b r i n go u td i s t r i b u t e da c c e s sc o n t r o la r c h i t e c t u r eo fr o l eb a s e di n t e r o p e r a t i o n ， w h i c hh a s i m p l e m e n t e da n e x t e n d a b l ea u t h o r i z a t i o na n da c c e s sc h e c k m e c h a n i s mo fi n t e r o p e r a t i o na c c e s sc o n t r o lw i 1c o n s t r u c t i o no fi n t e r o p e r a t i o n g l o b a ls e s s i o nb a s e do n r b a cs e s s i o n 1 1 1 浙江人学博士学位论文a b s t m c t ( 3 ) ( 4 ) b r i n go u tas e c u r i t yv i o l a t i o nd e t e c t i o nm e t h o df o rr o l eb a s e di m e r o p e r a t i o n a c c e s sc o n t r o l ，w h i c hh a sr e d u c e dt h es c o p eo fd e t e c t i o na n do n l yo p e r a t e d r o l e si n v o l v e di ni n t e r o p e r a t i o nt od e c r e a s et h ec o n s u m i n g b r i n go u tas e m a n t i cs e c u r i t yp o l i c ys p e c i f i c a t i o nf o rr o l eb a s e di n t e r o p e r a t i o n a c c e s sc o n t r o l ，w h i c hh a sd e f i n e do n t o l o g ya n dr e l a t e ds e m a n t i cr u l e st o e x p r e s st h es e m a n t i ci n f o r m a t i o no fs e c u r i t yp o l i c i e s w i t ht h i ss p e c i f i c a t i o n ， u n i f i e ds e c u r i t yp o l i c i e sf o ri m e r o p e m t i o na c c e s sc o n t r o lc a l lb ee s t a b l i s h e dt o i m p r o v et h ea c c u r a c yo fu n d e r s t a n d i n go fs e c u r i t yp o l i c i e s k e yw o r d s ：d i s t r i b u t e da p p l i c a t i o n s ；i n t e r o p e r a f i o n ；a c c e s sc o n t r o l ；r o l eb a s e d a c c e s sc o n t r o l ；s e c u r i t yp o l i c y ；s e c u r i t yv i o l a t i o n ；d e t e c t ；s e m a n t i cs p e c i f i c a t i o n 浙江人学博士学位论文 图日 图目 图1 强制访问控制模型示意图6 图2r b a c 模型结构图。1 2 图3r b a c 9 6 模型层次关系1 4 图4 基于角色的互操作的访问控制2 9 图5 基于c o r er b a c 扩展的互操作3 6 图6 基于h i e r a r c h a lr b a c 扩展的互操作3 9 图7 基于静态责任分离扩展的互操作4 1 图8i - r b a c2 0 0 0 域问角色转换图4 4 图9 分布式环境下访问控制的推模式4 7 图1 0 分布式环境下访问控制的拉模式4 7 图1 1 分布式环境下访问控制的代理模式4 8 图1 2 基于角色的互操作的分布式访问控制的系统架构图4 9 图1 3r b i c 的层次结构图5 0 图1 4r b i n 的层次结构图一5 3 图1 5 基于角色的互操作的授权机制5 4 图1 6 互操作会话5 6 图1 7 互操作的会话关系的状态转换( 1 ) 5 9 图18 互操作的会话关系的状态转换( 2 ) 6 0 图1 9 r b l n 之间的互操作的访问控制6 7 图2 0 实验一中= 1 0 0 的实验数据一7 5 图2 1 实验一中m 1 0 0 ，2 0 0 ，1 0 0 0 的实验数据7 5 图2 2 实验一中= 1 0 0 ，2 0 0 ，1 0 0 0 的实验数据的平均值7 6 图2 3 实验二中m o = 1 0 0 ，2 0 0 1 0 0 0 的实验数据的平均值7 7 浙江入学博士学位论文 图目 图2 4 实验三中m 1 0 0 ，2 0 0 ，1 0 0 0 的实验数据7 9 图2 5 实验四中, = 1 0 ，2 0 ，5 0 ，m 1 0 0 ，2 0 0 ，t 0 0 0 的实验数据8 0 图2 6 计算安全冲突花费时间的理论值与计算值之间的比较8 3 图2 7 语义网中的层次关系8 9 图2 8r b a c 模型的本体描述9 0 图2 9 功能规则的应用实例9 3 图3 0r b a c 的上下文本体9 5 图3 1r b a c 的上下文本体9 7 图3 2 上下文属性的层次关系9 7 图3 3 基于角色的互操作的访问控制本体9 9 图3 4 安全策略语义规范的概念定义1 0 1 图3 5 安全策略语义规范的关系定义1 0 2 图3 6 根据安全策略语义规范的具体实例定义1 0 3 图3 7 安全策略语义规范的规则定义1 0 3 图3 8r b a c 的安全策略实例1 0 5 图3 9r b a c 的安全策略实例的推理1 0 5 图4 0 基于角色的互操作的安全策略实例1 0 7 图4 l 基于角色的互操作的安全策略实例的推理1 0 8 图4 2 改变基于角色的互操作的安全策略实例后的推理结果1 0 9 x 浙江大学博士学位论文 表目 表目 表l 基于角色的互操作的访问控制模型的对比 表2 互操作的会话关系的状态定义 表3 分布式应用共享的服务接口 表4 局部会话支持延时同步策略的方法 表5 分布式应用共享的服务接口对延时机制的支持 表6 实验一的测试结果 表7 实验二的测试结果 表8 实验三的测试结果 表9 实验四的测试结果 表1 0 实验四的扩展的测试结果数据一 表1l 全局检测法和最小化检测法计算安全冲突的时间一 表1 2 安全冲突分析算法 表1 3r b a c 模型中的规则 x i 4 3 5 8 6 1 6 3 6 4 7 4 7 7 7 8 8 0 8 1 8 1 8 4 9 4 浙江人学博士学位论文 第一章绪论 本章简要的介绍了分布式应用的互操作的访问控制技术的研究背景，然后 总结了我们主要的研究工作，最后给出了论文的组织结构。 1 1 研究背景 1 1 1 分布式应用技术 网络技术的飞速发展在给人们的工作、学习和生活带来便利的同时，人们 也对网络应用提出了越来越多的需求。分布式应用系统由多个计算机组成，通 过网络通信相互协作完成一个执行过程【l 】。分布式应用技术利用网络平台将各 种组件结合在一起，体现组件的整体优势。分布式应用技术的发展为网络应用 提供了更加广泛的支持。 分布式应用技术从诞生至今一直处于不断发展之中。经历了从最初的两层 c l i e n t s e r v e r 应用模式，包含应用层、业务逻辑层和数据层的三层模式，直到 现在的多层体系结构模式三个阶段1 2 j 。 目前已经较为成熟的分布式应用技术主要包括： ( 1 ) 分布式组件对象模型d c o m 【3 】( d i s t r i b u t e dc o m p o n e n to b j e c tm o d e l ) 是 m i c r o s o f t 的组件对象模型c o m ( c o m p o n e n to b j e c tm o d e l ) 的分布式扩展， 它在分布式计算环境的顶端建立了一个对象远程过程调用o r p c ( o b j e c t r e m o t ep r o c e d u r ec a l l ) 的层来支持远程对象的访问，每个远程组件对象都 有它能够提供的服务。 ( 2 ) 公共对象请求代理体系c o r b a 【4 】( c o m m o no b j e c tr e q u e s tb r o k e r a r c h i t e c t u r e ) 是由对象管理组织o m g ( o b j e c tm a n a g e m e n tg r o u p ) 提出 的用于实现分布式技术的一种规范。他们的目标是定义一个架构，该架构 第一章绪论 能允许不同种类的环境进行对象级通信，而无需考虑是准设计了分布式应 用程序的两个端点。 ( 3 ) 企业级j a v ab e a n ，e j b l 5 j ( e n t e r p r i s ej a v ab e a n ) 是一种非常流行的分布 式组件模型。e j b 体系结构提供了一种管理运行在应用服务器上服务的方 法，为j a v a 组件提供了中间件的支持。 同时新兴的w e b 服务和网格技术也都处于迅速发展的阶段： ( 1 ) w e b 服务【6 】( w e bs e r v i c e s ) 是一个用于对刚络上计算机之间的交互进行支 持的分布式技术，它采用的是标准化的x m l 消息机制来进行消息通讯。 它使用基于x m l 语言的协议来定义与其它w e b 服务的交互或者数据交 换。 ( 2 ) 网格技术【7 1 ( g r i d ) 是一种对大范围资源和服务进行集成的环境其中集成 的资源包括计算能力、各类信息和各种服务。基于网格问题的求解就是网 格计算( g r i dc o m p u t i n g ) 。 分布式应用技术在短短的十几年的时间里面已经成为在网络环境下开发 应用的主流技术，受到人们越来越多的关注，广泛应用于经融、通信、教育等 多个领域，并且在实践中不断发展与成熟。 1 1 2 分布式应用的互操作 互操作指的是多个系统或者组件之间交换信息并且使用这些信息的能力， 不同来源的系统或者组件能够相互协调、通信、合作，共同完成一个更复杂的 功能1 8 。互操作为分布式应用提供了一种共享资源和服务的方式，提高了资源 和服务的使用率。分布式应用的互操作在政府和政府、企业和企业、政府和企 业、企业和客户之间架起了一座桥梁，将更多的资源和服务集中、组合在一起， 更加快速、便捷的满足不断变化的需求。 互操作具有自治性和服务性两个主要特性。自治性是互操作系统最重要的 特性，互操作中任何的软件构件都可独立于环境中其他软件构件进行操作。服 浙江大学博士学位论文 务性指互操作中的软件构件代表用户执行的一个活动或一组活动，服务的实现 对用户来说是透明的。 互操作在不同的情况下具有不同的侧重点，强调软件功能模块之间相互调 用称为软件互操作；强调数据集之间相互透明的访问时称为数据互操作；强调 信息的共享在一定语义约束下的互操作称为语义互操作等【9 l 。应用接口的互操 作是最为复杂的一种软件互操作，如果是异构的应用接口，需要在它们之间专 门建立一个实际的应用层负责通信。本文主要在应用接口的互操作的范围内讨 论互操作的访问控制问题。 当前成熟的分布式应用技术c o m d c o m 、c o r b a 、e j b 等都能很好的解 决同一平台环境下的互操作，基于相同技术的分布式应用系统能够方便的实现 系统之间的互操作【1 0 】。这些典型的分布式应用技术借助中间件建立分布式软件 模块之间互操作机制，屏蔽底层分布式环境的复杂性和异构性，为处于上层的 应用软件提供运行环境，帮助用户灵活、高效的开发和集成复杂的应用软件。 但是不同的分布式应用之间可能存在开发语言不同，部署平台不同，通信协议 不同等多种差异，仅仅能够在同一平台环境下进行的互操作己经无法满足这类 需求。以x m l 为基础的w e b 服务是一种基于开放标准的分布式应用技术，它 可以在现有的各种异构平台的基础上构筑一个通用的与平台无关、与语言无关 的软件构件实现异构平台的互操作i l lj 。 1 1 3 访问控制技术 访问控制技术一直以来都是确保信息系统安全性的主要技术手段之一。访 问控制( a c c e s sc o n t r 0 1 ) 是实施允许被授权的主体对某些客体的访问，同时拒 绝向非授权的主体提供服务的策略【1 2 。访问控制包括三个要素，即主体、客体 和访问控制策略： f 1 1 主体( s u b j e c t ) 是指一个提出请求或要求的实体，是动作的发起者，但不 一定是动作的执行者，可以是人，也可以是任何主动发出访问请求的智能 第一章绪论 体，包括程序、进程、服务等。 ( 2 ) 客体( o b j e c t ) 是接受其他实体访问的被动实体，包括所有受访问控制保 护的资源，在不同应用背景下可以有相当广泛的定义，比如在操作系统中 可以是一段内存空间，在数据库里可以是一个表中的记录，在w e b 上可 以是一个页面。 ( 3 ) 访问控制策略( a c c e s sc o n t r o lp o l i c y ) 是主体对客体的操作行为的约束条 件集。简单的讲，访问控制策略是主体对客体的访问规则集，它直接定义 了主体对客体可以的作用行为和客体对主体的条件约束。访问控制策略体 现了一种授权行为，也就是客体对主体的权限允许。访问的方式取决于客 体的类型，一般是对客体的一种操作，比如请求内存空间，修改表中记录， 浏览页面等。 访问控制的实施主要包括授权和访问检查两个方面。授权( a u t h o r i z a t i o n ) 指的是将对客体的操作许可赋予主体，制定访问控制策略，提供给访问检查使 用。访问检查( a c c e s sc h e c k ) 发生在主体要求访问客体的时候，检查是否存 在授权制定的相应的访问控制策略，只有通过检查的操作是允许发生的。 访问控制模型是访问控制技术的核心，建立规范的访问控制模型，是实现 严格访问控制策略的基础。二十世纪六十年代至二十世纪八十年代末是访问控 制模型发展的早期阶段，从较早出现的访问矩阵模型开始，访问控制模型经历 了不断的发展和完善，直至1 9 8 5 年，美国军方提出了可信计算机系统评估准则 t c s e c ，其中描述了两种著名的访问控制模型：自主访问控制模型d a c ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 和强制访问控制模型m a c ( m a n d a t o r ya c c e s s c o n t r 0 1 ) 。这两种访问控制模型的出现标志着访问控制模型的发展进入了一个 新的阶段。 d a c 和m a c 在二十世纪七十年代和八十年代占据了主导地位，到了九十 年代，随着信息技术的推广，特别是大型企业信息系统的出现，来自应用的安 全需求变得越来越复杂，传统的d a c 和m a c 过于简单和抽象，对于资源访问 4 浙江人学博上学位论文 的自主性灵活性以及访问的安全控制都显得有些力不从心，二十世纪九十年代 初兴起的基于角色的访问控制模型r b a c ( r o l e - b a s e da c c e s sc o n t r 0 1 ) ，很好的 弥补了这一缺陷。 1 1 3 1 自主访问控制模型 自主访问控制模型d a c ( d i s c r e t i o n a r y a c c e s sc o n t r o lm o d e l ) 是根据自主 访问控制策略建立的一种模型，允许主体对访问控制施加特定限制，其基础模 型是访问矩阵模型。 访问矩阵模型的发展历经了l a m p s o n 【j ”，g r a h a m 和d e n n i n 不断完善的过 程，到最后形成了较为成熟的h r u 模型“1 。h r u 模型是最早对访问控制系统 安全性问题进行形式化分析的工作之一。此后，h a r r i s o n ，r n z z o 和u l l m a n 等 人又证明了一些特定系统的安全性问题的复杂度【15 1 。针对安全性的判定问题， 人们还提出了一些新的访问控制模型，如j o n e s 、l i p t o n 和s n y d e r 提出的 t a k e g r a n t 模型，许多研究者都在这个模型的基础上展丌了扩展性的研究 l 8 1 。 上述模型尽管在一定程度上解决了安全性的判定问题，但是它们所采取的 办法是限制访问控制模型的能力。主体可以自主地把自己所拥有客体的访问权 限授予其它主体或者从其它主体收回所授予的权限，访问通常基于访问控制表 f a c l ，a c c e s sc o n t r o ll i s t ) 。a c l 是d a c 中通常采用一种的安全机制。a c l 是带有访问权限的矩阵，在a c l 中按列存放了每个客体的访问控制信息，即对 于每个客体而言都有哪些主体对此客体拥有哪些权限，进而形成访问控制矩阵。 在实际应用情况下，很多机构中用户在没有系统管理员介入的情况下，需 要具有设定其他用户访问其所控制资源的能力。这使得控制具有任意性。在这 种环境下，用户对信息的访问能力是动态的，在短期内会有快速的变化。自主 访问控制对用户提供了灵活的数据访问方式，使得d a c 广泛应用在商业和工 业环境中。自主访问控制也存在明显的不足：资源管理比较分散；用户间的关 系不能在系统中体现出来，不易管理；最严重的是不能对系统中信息流进行保 第一章绪论 护，信息容易泄漏。强制访问控制对于自主访问控制中存在的安全性问题做出 了一定的改进。 1 1 3 2 强制访问控制模型 n o y e s 图1 强制访问控制模型示意图 强制访问控制模型m a c ( m a n d a t o r y a c c e s sc o n t r o lm o d e l ) 也称为基于网 格的访问控制l b a c ( l a t i c e b a s e d a c c e s sc o n t r 0 1 ) 1 9 0 1 。m a c 的产生来自美国 政府和军方为了实现比d a c 更为严格的访问控制策略开发的各种各样的控制 模型。这些方案或模型都有比较完善的和详尽的定义，逐渐形成强制访问的模 型，并得到广泛的商业关注和应用。强制访问控制是根据客体中信息的敏感标 记和访问敏感信息的主体的访问级对客体访问实行限制的一种方法。 如图1 所示在强制访问控制模型中，系统对主体和客体都分配一个特殊的 安全属性，面且这一属性一般不能更改，系统通过比较主体和客体的安全属性 来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其 它客体的安全属性。m a c 对访问主体和受控对象标识两个安全标记：一个是 具有偏序关系的安全等级标记：另一个是非等级分类标记。主体和客体都属于 一个固定的安全类别s c ，s c 就构成一个偏序关系( 比如t s 表示绝密级，就 比密级s 要高) 。当主体s 的安全类别为t s ，而客体。的安全类别为s 时，用 6 冷 受 叠添鬻| | | 浙江大学博上学位论文 偏序关系可以表述为s c ( s ) s c ( o ) 。考虑到偏序关系，主体对客体的访问主要有 四种方式： ( 1 ) 向下读( r d ，r e a dd o w n ) ：主体安全级别高于客体信息资源的安全级别时 允许查阅的读操作。 ( 2 ) 向上读( r u ，r e a du p ) ：主体安全级别低于客体信息资源的安全级别时允许 的读操作。 ( 3 ) 向下写( w d ，w r i t ed o w n ) ：主体安全级别高于客体信息资源的安全级别时 允许执行的动作或是写操作。 ( 4 ) 向上写( w u ，w r i t eu p ) ：主体安全级别低于客体信息资源的安全级别时允 许执行的动作或是写操作。 由于m a c 通过分级的安全标签实现了信息的单向流通，因此它一直被军 方采用，其中最著名的是b e l l 一l a p a d u l a 模型口1 ，2 2 1 和b i b a 模型2 甜：b e l l l a p a d u l a 模型具有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露； b i b a 模型则具有不允许向下读、向上写的特点，可以有效地保护数据的完整性。 m a c 在有明确安全级别的、信息的安全属性相对确定的系统中，能方便、 安全地完成强制的访问控制策略。然而在通常的系统中，系统的变化很大，主 体、客体及相互间的关系经常需要调整，使用m a c 会给用户带来明显的限制。 m a c 与d a c 不同在于m a c 基于对访问主体安全级别和访问客体安全级 别比较，主体对客体的访问必须完全依据管理员所定的策略，它实际上是一种 集中式的访问控制方式。而d a c 实现了用户疗问控制决策，是一种分散式的 控制方式。 1 1 3 。3 基于角色的访问控制模型 基于角色的访问控制r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 【2 4 ，2 5 】是指在应用 环境中，通过对合法的访问者进行角色认证来确定访问者在系统中对哪类信息 有什么样的访问权限。系统只问用户是什么角色，而不管用户是谁。角色可以 理解成为其工作涉及相同行为和责任范围内的一组人，一个访问者可以扮演多 第一章绪论 个角色，一个角色也可以包含多个访问者。角色访问控制具有以下优点：便于授 权管理、便于赋予最小特权、便于根据工作需要分级、责任独立、便于文件分 级管理、便于大规模实现。角色访问是一种有效而灵活的安全措施，系统管理 模式明确，节约管理开销，当前流行的数据管理系统都采用了角色策略来管理 权限。下一章将会对基于角色的访问控制模型进行详细的介绍。 1 2 研究内容 访问控制技术直以来都是确保信息系统安全性的主要技术手段之一。随 着信息技术的快速发展，在多个重要领域的分布式应用中，应用的安全性往往 显得更为重要，访问控制技术仍然是信息化解决方案的核心，并且分布式应用 的互操作给访问控制技术带来了新的挑战。基于角色的访问控制模型r b a c ( r o l e b a s e d a c c e s s c o n t r 0 1 ) 是目前最为流行的访问控制技术，当前已经有不 少研究正在探讨如何将r b a c 模型应用在互操作的访问控制中，并且取得了一 定的成果，但仍存在一些问题： ( 1 ) 对r b a c 模型在互操作的访问控制中的扩展有限，难以将r b a c 的特点充 分应用到分布式环境中。 ( 2 ) 互操作的访问控制的授权和访问检查机制难以和r b a c 模型本身的机制结 合起来，分布式应用难以灵活的集成到分布式访问控制的体系架构中。 ( 3 ) 由于简单的将分布式应用的安全策略集中在一起，分析、消解互操作的安 全冲突，带来了庞大的计算开销。 ( 4 ) 缺乏语义层面的安全策略规范，难以形成统一的安全策略，由于互操作中 对安全策略理解的分歧导致了安全隐患。 针对以上不足，本文从以下几个方面对基于角色的互操作的访问控制展开 了研究： ( 1 ) 分布式应用的互操作的访问控制模型研究 r b a c 模型因其通用性、灵活性以及易于管理被广泛应用并成为美国国家 浙江大学博士学位论文 技术与标准局( n i s t ) 的建议标准。目前r b a c 模型已经逐步应用于分布式应 用的互操作中，用来保证安全、有效的资源互访。本文对r b a c 核心模型、r b a c 的继承关系模型和r b a c 的约束关系模型三个方面进行了全面的扩展，建立了 互操作的访问控制模型，将r b a c 模型的特性充分扩展到分布式环境中。 ( 2 ) 互操作的分布式访问控制体系架构研究 互操作的分布式访问控制体系架构负责构建、维护和协调互操作的访问控 制，在分布式应用之间实现安全的资源共享和协同操作。其研究的重点是如何 在互操作中实现访问控制的授权、访问检查过程，当前这方面的工作主要集中 在授权机制的研究上，而对访问检查的研究还无法满足灵活多变的互操作的访 问控制的要求。本文在基于角色的互操作的访问控制模型的基础上，深入研究 了如何实现分布式访问控制的体系架构，对互操作进行授权和访问检查，提出 了一种基于角色的互操作的授权和访问检查机制。 ( 3 ) 互操作的安全冲突检测方法研究 分布式应用的互操作虽然给资源共享和协作提供了途径，但是也会带来局 部访问控制策略和全局互操作的访问控制策略之间的冲突，破坏原有自治系统 的安全性。通过分析局部访问控制策略和全局访问控制策略，可以帮助查找并 消除这些安全冲突，但是在分布式环境中难以将大量的访问控制策略集中在一 起。这个问题同样存在于基于角色的互操作的访问控制模型中，本文在该模型 的基础上提出了一种安全冲突检测的改进方法，分析了复杂性并进行了实验验 证。 ( 4 ) 基于角色的互操作的安全策略语义规范研究 分布式应用之间由于缺乏统一的访问控制策略描述和理解，为交换互操作 的访问控制策略、构建安全的互操作带来了很大的困难。本文研究了如何利用 语义的方式形式化的定义统一的互操作的安全策略，在基于角色的互操作的访 问控制模型及其分布式访问控制架构的基础上，提出了一种安全策略的语义规 范，用于描述基于角色的互操作的访问控制。 第一章绪论 1 3 本文的组织结构 本文组织结构如下： 第一章绪论简单介绍了论文的研究背景和研究内容。 第二章详细分析了基于角色的访问控制模型及其在分布式应用的互操作 中的研究现状，具体的指出了基于角色的互操作的访问控制技术面l 临的挑战和 存在的问题，明确了本文的工作。 第三章在n i s tr b a c 标准的基础上，提出了基于角色的互操作的访问控 制模型，并给出了模型的形式化定义和扩展功能描述。 第四章在基于角色的互操作的访问控制模型的基础上提出了分布式访问 控制的体系架构，重点介绍了体系结构的功能模块，并且通过对r b a c 会话机 制的扩展提出了全局会话机制用来实现互操作的访问控制检查。 第五章介绍了一种基于角色的互操作的安全冲突问题及其检测方法，根据 分布式环境的特点对检测方法进行了优化，并且深入讨论了分析和消解安全冲 突方法。 第六章提出基于角色的互操作的安全策略的语义规范，并介绍了利用安全 策略语义规范构建统一的互操作的安全策略的方法。 第七章总结全文的主要贡献和不足，并对未来的工作进行了展望。 浙江大学博上学位论文 第二章基于角色的访问控制技术及其在分布式 应用的互操作中的发展 基于角色的访问控制领域的研究发展很快，积累了大量的研究成果，本章 回顾了基于角色的访问控制技术的发展历程，分析了分布式应用的互操作的访 问控制中的关键技术，总结并引申出基于角色的互操作的访问控制技术。 2 1 基于角色的访问控制模型 对基于角色的访问控制的研究已经有很长时间了，但是最早使用“基于角 色的访问控制”这个词汇是f e r r a i o l o 与k u h n ，而s a n d h u 等对r b a c 作了进一 步的研究，他们提出的r b a c 9 6 模型得到了学术界的广泛认可。基于角色的访 问控制模型r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 在2 0 世纪9 0 年代得到了飞速 的发展。1 9 9 6 年以来，a c m 每年举行一届r b a cw o r k s h o p ( 从2 0 0 1 年开始， 该会议改名s a c m a t ) 。二十一世纪初，一个统一的r b a c 模型框架被提出并 即将成为标准，基于角色的访问控制模型正逐步被理论界和工业界所接受。随 着r b a c 模型的不断发展和深入应用，基于特定的应用范围、具体应用条件等 的各种对于r b a c 模型的扩展也不断涌现。 2 1 1 基本思想 如图2 所示，r b a c 模型的基本思想是将访问许可权分配给一定的角色， 用户通过饰演不同的角色获得角色所拥有的访问许可权。r b a c 从控制主体的 角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色 相联系，这点与传统的m a c 和d a c 将权限直接授予用户的方式不同；通过给 用户分配合适的角色，让用户与访问权限相联系。角色成为访问控制中访问主 第二章基于角色的访问控制技术及其在分布式应用的互操作中的发展 体和受控对象之间的座桥梁。 图2 r b a c 模型结构图 r b a c 相比于d a c 和m a c 具有了更好的灵活性和控制粒度，在一定程度 上解决了授权的可管理性问题。r b a c 根据用户所扮演的角色来决定其拥有哪 些权限，这和一个组织的组织结构十分契合，因此很容易表达一些传统访问控 制模型难于表达的高层安全策略。r b a c 是策略中立的，这意味着可以通过适 当的配置来实现多种访问控制策略。并且r b a c 还具备传统访问控制模型所没 有的优势特征： ( 1 ) 角色继承，r b a c 模型在不断发展中引入了角色层次关系，是用来反映一 个组织的职权和责任分布的偏序关系。类似于面向对象思想中的继承关系。 许多组织和应用中都有自然的角色层次结构，该结构可以用于实现授权的 传播，从而进一步简化授权管理。 ( 2 ) 强制约束，r b a c 中通常定义不同的约束规则来对模型中的各种关系进行 限制，这些限制体现了真实世界中的多种典型保护需求，例如最基本的约 浙江大学博士学位论文 束“相互排斥”约束和“基本限制”约束。授权约束是r b a c 的核心 要素之一，并被看作是r b a c 背后的首要动机。 ( 3 ) 最小权限原则，在登录系统时可以有选择的在会话中激活执行特定任务所 需的最小特权，使他能够完成自己的工作任务而且又不会具有除此之外的 任何多余的权限，从而使由于疏忽错误，木马或者入侵者伪装所导致的损 失降到最小。 ( 4 ) 职责分离，包括静态职责分离和动态职责分离，其基本原则是禁止任何用 户拥有足以滥用系统的特权，r b a c 模型可以自然地将静态职责分离原则 表达为授权约束，将动态责任分离原则表达为最小权限的激活约束。 2 1 2r b a c 模型的发展 国外很多学者和研究机构都在从事r b a c 的研究，主要的两个研究机构为 美国的国家标准和技术局n i s t ( n a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ) 和g e o r g em a s o n 大学的信息安全技术实验室l i s t ( l a b o r a t o r yo fi n f o r m a t i o n s e c u r i t yt e c h n o l o g y ) ( p r o f r a v is a n d h u ) ，n i s t 主要是进行r b a c 及其相关 模型的标准化工作，l i s t 侧重于对r b a c 及其扩展模型的创建、形式化描述， 评价分析，以及在w e b 中的应用等。 1 9 9 2 年，美国国家标准与技术研究所( n i s t ) 的d a v i df e r r a i o l o 和r i c k k u h n 在综合了大量的实际研究之后，率先提出基于角色的访问控制模型框架， 并给出了r b a c 模型的一种形式化定义 2 ”。该模型第一次引入了角色的概念并 给出其基本语义，同时该模型中给出了一种集中式管理的r b a c 管理方案。 1 9 9 5 年他们以一种更直观的方式对该模型进行了描述【2 ”。 学术界广泛认可的经典r b a c 模型是s a n d h u 等人于1 9 9 6 年提出的 r b a c 9 6 模型1 2 ”。将传统的r b a c 模型根据不同需要拆分成四种嵌套的模型