（计算机应用技术专业论文）基于ldap的rbacweb+server研究与实现.pdf

中山大学硕十学位论文基于l d a p 的r b a c w e bs e r v e r 研究与实现 论文题目：基于l d a p 的r b a c w e bs e r v e r 研究与实现 专业：计算机应用 硕士生：粱正 指导教师：成良玉 摘要 基于角色的访问控制模型r b a c 是目前主流的访问控制模型，可以减少授 权管理复杂性，降低管理开销，并能提供与企业组织结构相一致的安全策略。而 美国国家标准与技术研究所( n i s t ) 提出的r b a c w e b 模型是大型企业网实现 基于角色的访问控制的一种较佳方案。本文在对r b a c 和r b a c w e b 模型深入 研究的基础上，提出了一种基于l d a p 的r b a c 访问控制服务器( 简称 r b a c w e bs e r v e r ) 。r b a c w e bs e r v e r 从模型完整性和实用性的角度，针对 r b a c w e b 模型存储分散化、管理工作量大、性能低下等问题，提出了自己的解 决方案： 在存储模型方面，以l d a p 目录服务器作为r b a c w e bs e r v e r 的存储平台， 使用树型的目录结构组织r b a c 的四个基本元素用户、角色、权限和会话， 形成了统一的r b a c 存储模型。 在管理模型方面，在r b a c w e bs e r v e r 中引入了一种改进的a r b a c 9 7 模 型层次式的a r b a c 模型( ha r b a c ) ，大大降低了r b a c 模型管理的工 作量；另外，还根据r b a c w e bs e r v e r 目录存储的特点，引入了组和管理域的 概念，实现了用户、权限、角色的统一管理。 在会话机制方面，在r b a d w e b s e r v e r 中加入了身份验证组件，取消了a r s 机制，并用w e b 服务器上的u r l 过滤器代替了c g i ，大大提高了r b a c w e b 作为一个安全模块的完整性与整体性能。 在研究过程中，我们在n e t 框架f 实现了一个r b a c w e bs e r v e r 的原型系 统。本文按照从底层向上的顺序，详细讨论了实现r b a c a v e bs e r v e r 的技术细 节。本文最后给出了一个应用实例，并指出了r b a c w e bs e r v e r 的存在问题与 进一步研究方向。 关键词：w e b 访问控制，r b a c w e b 模型，l d a p ，访问控制服务器 中山大学硕十学位论文 基于id a , “的r b a c w e bs e r v e r 研究与实现 t i t l e ：t h er e s e a r c ha n di m p l e m e n t a t i o no fl d a p b a s e dr b a c w e bs e r v e r m a j o r ：c o m p u t e ra p p l i c a t i o n n a m e ：l i a n gz h e n g s u p e r v i s o r ：c h e n gl i a n g y u a b s t r a c t r o l e b a s e da c c e s sc o n t r o l ( r b a c ) m o d e li sn o w d a y st h eb e s ta n dm o s t p o p u l a ra c c e s sc o n t r o lm o d e l a n dt h er b a c w e bm o d e lb r o u g h tf o r w a r db y n i s ti so n eo ft h eb e s ts o l u t i o n si n a p p l y i n gt h er b a cm o d e lu n d e rw e b e n v i r o n m e n t h o w e v e r , t h er b a c w e bm o d e ls t i l lh a sm a n yp r o b l e m si nb o t h t h e o r e t i c a la n da p p l i c a t i o nl e v e l f o c u s e so nt h e s ep r o b l e m s ，t h i st h e s i s p r o p o s e sas o l u t i o nf o rr b a co nw o r l dw i d ew e b ，t h el d a p b a s e d r b a c m v e bs e r v e r ( b ys h o r t ，t h er b a c w e bs e r v e r ) f i r s to fa l l ，t h er b a c w e bs e r v e ra d o p t sal d a pd i r e c t o r ys e r v e ra st h e s t o r a g ep l a t f o r m ，s oa st oo r g a n i z ea l lt h eb a s i ce l e m e n t so ft h er b a cm o d e l i na s i n g l et r e e s e c o n d ，w ei n t r o d u c e ak i n do f i m p r o v e da r b a c 9 7m o d e l ，t h e h i e r a r c h i c a la r b a cm o d e l ，t or e d u c et h e m a n a g e m e n tb u r d e n o ft h e a d m i n i s t r a t o r f u r t h e r m o r e ，w e i n t r o d u c et h e g r o u pa n da d m i n i s t r a t i v e d o m a i nt oi m p l e m e n tt h eu n i f i e da d m i n i s t r a t i o no fu s e r s ，p e r m i s s i o n sa n d r o l e s l a s tb u tn o tl e a s t ，w ea d da ni d e n t i t y v e r i t y i n gc o m p o n e n tt ot h e r b a c w e bs e r v e r ，c a n c e lt h ea r sm a c h e n i s m ，a n dr e p l a c et h ec g lw i t ht h e u r lf i l t e ri nt h ew e bs e r v e r , s ot h a tt h ep e r f o r m a n c eo ft h er b a c w e b s e r v e ri sg r e a t l yi m p r o v e d i nt h ep r o c e s so fr e s e a r c h i n g ，w ei m p l e m e n ta p r o t o t y p eo fr b a c w e b s e r v e ri nt h e n e tf r a m e w o r k i nt h ee n do ft h i st h e s i s ，w ep r o v i d ea n a p p l i c a o ne x a m p l e ，a n da n a l y z et h ep r o b l e m so fr b a c w e bs e r v e r k e yw o r d s ：w e ba c c e s sc o n t r o l ，r b a c w e bm o d e l l d a p , a c c e s sc o n t r o l s e r v e r 中山大学硕士学位论文基于l d a p 的r b a c w e bs e r v e r 研究与实现 上篇综述和相关讨论 第1 章引言 电子商务的迅猛发展使得企业内部互联网，外部互联网和国际互联网之间 的界限日益模糊。能够从企业外部访问到内部的关键数据，并进行事务处理已经 成为当今商业竞争的迫切需要。企业为了保证其敏感的商业数据只被授权的用户 访问和处理，迫切需要一种有效的访问控制机制来保护其在w e b 服务器上发布 的数据。本章首先阐述访问控制的定义，并介绍传统的w e b 访问控制a c l 及其不足，然后简要介绍r b a c 模型和r b a c ，w e b 模型，最后在此基础上提出 本文所考虑的问题和解决方案。 1 1 研究背景 访问控制( a c c e s sc o n t r 0 1 ) 是实旋允许被授权的主体对某些客体的访问，同 时拒绝向非授权的主体提供服务的策略。这里的主体( s u b j e c t ) 是指主动的实体， 该实体造成了信息的流动和系统状态的改变。主体通常包括人、进程和设备。客 体( o b j e c t ) 包括所有受访问控制保护的资源，在不同应用背景下可以有相当广 泛的定义，比如在操作系统中可以是一段内存空间，在数据库里可以是一个表中 的记录，在w e b 上可以是一个页面。访问的方式取决于客体的类型，一般是对 客体的一种操作，比如请求内存空间，修改表中记录，浏览页面等。通过对主体 的授权，计算机系统可以在一个合法的范围内被使用，从而保证了客体被正确合 理的访问，同时也维护了被授权主体的利益。这是访问控制的目的，同时也是一 个安全系统所必须具备的特性。访问控制在操作系统、数据库和网络上都有十分 广泛的应用。现代操作系统如w i n d o w s 系列，s o l a r i s 系列，u n i x 系列都实现 了不同程度的访问控制；许多大型数据库产品如o r a c l e ，s y b a s e ，l n f o r m i x 等都 支持访问控制功能；w e b 安全产品如g e t a c c e s s ，t r u s t e d w e b ，t i v o l i 都把访问 控制模块作为其核心模块之- 1 1 1 2 1 3 】。 传统的w e b 访问控制是基于访问控制列表的( a c c e s sc o n t r o ll i s t ，a c l ) 中山大学硕士学位论文基于l d a p 的r b a c w e bs e r v e r 研究与实现 的【4 】。在这种访问控制中，w c b 服务器管理员需要在每个资源对象的访问控制 链中指定每个用户或者用户组分别具有什么样的访问权限。这种权限管理方式管 理代价很高而且容易出现错误。首先，它将用户和访问权限( 即主体和客体) 直 接关联起来，如果系统中有很多的用户和受控资源，这将会产生数量级很高的用 户权限关联对，如果用户的职责发生变化，则需要修改多条用户权限关联对。其 次，a c l 是一种自主访问控制( d a c ) 策略【4 ，但是在很多商业部门中，终端 用户并不拥有它们能访问的信息，这些信息的真正“拥有者”是企业。在这种情 况下访问控制应该基于用户的职务而不是信息的拥有者。为克服上述a c l 作为 一种i n t e r n e t 企业计算方法的缺点，美国国家标准与技术研究所( n a t i o n a li n s t i t u t e o f s t a n d a r d sa n dt e c h n o l o g y ，n i s t ) 将基于角色的访问控制( r b a c ) 模型引入 到w e b 访问控制中，提出了r b a c w e b 模型。 基于角色的访问控制是n i s t 于2 0 世纪9 0 年代初提出的一种新的访问控制 技术。该技术主要研究将用户划分成与其在组织结构体系相一致的角色，以减少 授权管理的复杂性，降低管理开销和为管理员提供一个比较好的实现复杂安全政 策的环境而著称。目前对r b a c 研究较为深入的有美国g e o r g em a s o n 大学r a v i s a n d h u 等人和以n i s t 的j o h nf b a r k l e 为首的r b a c 研究组。前者主要提出了 经典的r b a c 9 6 与a r b a c 9 7 模型；后者提出了r b a c 在商业和政府中的应用， 特别提出了r b a c w e b 模型，将r b a c 独立于w e b 服务器和浏览器，给i n t r a n e t 提供了一种方便灵活又安全可靠的访问控制策略。 n i s tr b a c 研究组提出的r b a c w e b ( r b a cf o rw o r l dw i d ew e b a p p l i c a t i o n s ) 是r b a c 在w e b 服务器中的一种实现模型，其目的是解决大型网 络复杂的资源安全管理问题。实现r b a c 懈7 e b 的基本思路是，为使用w w w 协 议的w e b 服务器提供一组r b a c 组件，这些r b a c 组件可以与任何商用的w e b 服务器相连，而不需要改动服务器软件。r b a c w e b 对浏览器无任何要求，也 不需要修改服务器软件。所以，使用任一浏览器都可以访问任何安装了 r b a c w e b 访问控制功能的w e b 服务器。 1 2 本文的工作 r b a c w e b 模型是r b a c 在w e b 应用的典范，其优势是十分明显的。但是 2 中山大学硕士学位论文 基于l d a p 的r b a c w c bs e r v e r 研究与实现 在应用中也存在着某些缺陷。首先，r b a c w e b 仅仅针对角色及其关系进行存储 和管理，而用户和权限本身的存储和管理则依赖于w e b 服务器软件和操作系统； 其次，r b a c w e b 的管理模型是基于平面型的a r b a c 9 7 模型的，对于大型应用 而言，会将大量的管理工作集中于少数几个管理员：再次，r b a c w e b 没有身份 验证模块，而访问控制与身份验证完全分开是不能令人放心的：另外，r b a c y w 曲 采用a r s ( a c t i v er o l es e t ) 机制，导致w e b 访问控制对用户是不透明的，增加 了系统的复杂度；最后，r b a c w e b 是使用c g i 来进行授权决策的，c g i 固有 的性能问题影响了r b a c w e b 的总体性能。以上不足都影响了r b a c w e b 模型 的推广应用。 本文在对r b a c 和r b a c w e b 模型深入研究的基础上，提出了一种基于 l d a p 的r b a c 访问控制服务器( 简称r b a c ，w e bs e r v e r ，下同) 。r b a c w e b s e r v e r 针对r b a c w e b 模型的存在问题，提出了自己的解决方案： 在存储模型方面，以l d a p 目录服务器作为r b a c w e bs e r v e r 的存储平台， 使用树型的目录结构组织r b a c 的四个基本元素用户、角色、权限和会话， 形成了统一的r b a c 存储模型。 在管理模型方面，在r b a c w e bs e r v e r 中引入了一种改进的a r b a c 9 7 模 型层次式的a r b a c 模型( h _ a r b a c ) ，大大降低了r b a c 模型管理的工 作量；另外，还根据r b a c w e bs e r v e r 目录存储的特点，引入了组和管理域的 概念，实现了用户、权限、角色的统一管理。 在会话机制方面，在r b a c w e bs e r v e r 中加入了身份验证组件，取消了a r s 机制，并用w e b 服务器上的u r l 过滤器代替了c g i ，大大提高了r b a c w e b 作为一个安全模块的完整性与整体性能。 在研究过程中，我们在n e t 框架下实现了一个r b a c w e bs e r v e r 的原型系 统。本文按照从底层向上的顺序，详细讨论了实现r b a c w e bs e r v e r 的技术细 节，验证了r b a c w e bs e r v e r 的可行性。 r b a c w e bs e r v e r 是一个切实可行的w e b 访问控制解决方案，对r b a c 模 型在w e b 中的推广应用具有一定的理论价值和现实意义。 中山大学硕士学位论文 基于l d a p 的r b a c w e bs e r v e r 研究与实现 1 3 本文的组织 本文分上下两篇，结构如下： 上篇为综述和相关讨论部分，共分为三章。 第1 章为引言，简要介绍了w e b 访问控制、r b a c 和r b a c w e b 模型，阐 述了本论文研究的工作及其意义，同时介绍了本文的组织结构：第2 章对r b a c 模型和r b a c w e b 模型作了简要的回顾，指出了r b a c w e b 的存在问题；第3 章介绍了目录服务和目录访问协议，分析了基于l d a p 的r b a c 实现的优点。 下篇是r b a c w e bs e r v e r 的研究与实现部分，由后四章组成。 第4 章是r b a c w e bs e r v e r 的理论研究，全面阐述了r b a c w e bs e r v e r 的 管理模型、存储模型和会话机制；第5 章按照从底层向上的顺序，全面介绍了 r b a d w 曲s e r v e r 在n e t 框架下的设计与实现；第6 章给出了一个应用实例， 并指出了r b a 口w 曲s e r v e r 的存在问题与进一步研究方向。第7 章总结全文。 中山大学硕士学位论文 基于l d a p 的r b a c w e bs e r v e r 研究与实现 第2 章r b a c 和r b a c w e b 模型回顾 在基于角色的访问控制模型r b a c 出现之前，自主访问控制d a c 和强制访 问控制m a c 已经提出了二十年并且在诸多应用领域取得了巨大的成功。访问控 制已经成为计算机安全产品中必不可少的组成部分之一。但是在二十世纪八十年 代末九十年代初，随着计算机网络的快速发展和应用系统规模的不断扩大，这两 种传统的访问控制模型已经无法适应新的应用环境。m a c 模型太强，d a c 模型 太弱，它们都无法提供一种策略中立的、具有强扩展性的访问控制框架。 r b a c 模型就是在这种背景下被提出来的。它实际上是一种强制的访问控 制模型，即用户自己不能进行自主授权和权限转移，但是它没有如m a c 中那样 限制信息的流向，而是引入了一种抽象的中介元素角色来传递授权信 息，从而提供了足够的灵活性和扩展性。 本章回顾r b a c 模型的发展历程并介绍最著名的r b a c 模型r b a c 9 6 和 a r b a c 9 7 ，然后介绍n i s t 的r b a ( 1 w e b 模型，最后讨论r b a c w e b 模型的优 缺点。 2 1r b a c 模型的提出 1 9 9 2 年，美国国家标准与技术研究所( n i s t ) 的d a v i d f e r r a i o l o 和r i c k k u h n 在综合了大量的实际研究之后，率先提出基于角色的访问控制模型框架，并给出 了r b a c 模型的一种形式亿定义【5 】。该模型第一次引入了角色的概念并给出其 基本语义，指出r b a c 模型实现了最小权限原则( 1 e a s tp r i v i l e g e ) 和职责分离原 则( s e p a r a t i o no f d u t y ) 。该模型中给出了一种集中式管理的r b a c 管理方案。 1 9 9 5 年他们以一种更直观的方式对该模型进行了描述【6 】。 m a t u n d an y a n c h a m a 和s y l v i ao s b o r n 在1 9 9 4 年仔细研究了r b a c 模型中 角色继承关系和角色权限指派，形式化的给出了角色管理的一系列算法【7 】。他 们指出，他们提出的角色组织结构足够基本，能够模拟其他形式的权限模型比如 树状层次结构( h i e r a r c h i e s ) 【8 1 和权限图( p r i v i l e g eg r a p h s ) 【9 】。 中山大学硕士学位论文 基于l d a p 的r b a c ，诵袖s e r v e r 研究与实现 r a v is a n d h u 和他领导的位于g e o r g em a s o n 大学的信息安全技术实验室 ( l i s t ) 于1 9 9 6 年提出了著名的r b a c 9 6 模型 1 0 1 ，将传统的r b a c 模型根据 不同需要拆分成四种嵌套的模型并给出形式化定义，极大的提高了系统灵活性和 可用性。1 9 9 7 年他们更进一步，提出了一种分布式r b a c 管理模型a r b a c 9 7 ， 实现了在r b a c 模型基础上的分布式管理【1 1 】。这两个模型清晰的表征了r b a c 概念并且蕴涵了他人的工作，成为r b a c 的经典模型。绝大多数基于角色的访 问控制研究都以这两个模型作为出发点。 2 0 0 1 年，r b a c 领域的领军人物d a v i df e r r a i o l o ，r a v is a n d h u 等人联合拟 定了一个r b a c 模型的美国国家标准草案，力图统一不同模型中的术语，并对 所有r b a c 的基本操作给出伪码定义f 1 2 】。该模型类似于r b a c 9 6 模型，只是 对权限部分做了一定的细化，分成操作( o p e r a t i o n ) 和对象( o b j e c t ) 。 2 2r b a c 基本模型 本节首先给出r b a c 模型中各种术语的基本定义，然后介绍目前比较成熟 的r b a c 9 6 和a r b a c 9 7 模型，作为后续研究的基础。 2 2 1 术语定义 r b a c 模型中的常用术语如下： 用户( u s e r ) ：是一个访问计算机系统中的数据或者用数据表示的其它资 源的主体。我们用u 表示全体用户的集台。用户一般情况下指人，也可为a g e n t 等智能程序。 权限( p e r m i s s i o n ) ：是对计算机系统中的数据或者用数据表示的其它资源 进行访问的许可。我们用p 表示全体权限的集合。权限一般是一种抽象概念，表 示对于某种客体资源的某种操作许可。因此有的模型中将权限细化为二元组( 操 作，对象) 【5 】，其中对象是访问控制系统中的真正客体，操作是作用在该对象 上的一种访问方式。由于该二元组中操作一般是与具体的对象相关的，我们在今 后的模型中认为权限是一个语义统一体。 角色( r o l e ) ：是指一个组织或任务中的工作或位置，代表了一种资格、 中山大学硕士学位论文 基于l d a p 的r b a c w e bs e t v e x 研究与实现 权利和责任。我们用r 表示全体角色的集合。角色是种语义综合体，可以是一 种抽象概念，也可以对应于具体应用领域内的职位和权利。 管理员角色( a d m i n i s t r a t o r r o l e ) ：是一种特定的角色，用来对角色的访问 权限进行设置和管理。在集中式管理控制模型中，管理员角色由一个系统安全管 理员来完成；而在分布式管理控制模型中，可以采用制定区域管理员来对系统进 行分布式管理，每个管理员可以管理该区域内的角色权限的配置情况。当然区域 管理员的创建和权限授予则统一由顶级的系统安全管理员完成。 用户指派( u s e ra s s i g n m e n t ) ：是用户集u 到角色集r 的一种多对多的关 系，即有u a u r ，也称为角色授权( r o l ea u t h o r i z a t i o n ) 。0 ，r ) e u a 表示 用户“拥有角色r ，从语义上来说就表示“拥有r 所具有的权限。 权限指派( p e r m i s s i o n a s s i g n m e n t ) ：是权限集p 到角色集尺的一种多对多 的关系，即有p a p x r 。0 ，r ) e a 表示权限p 被赋予角色，从语义上来说 就表示拥有r 的用户拥有p 。 角色激活( r o l ea c t i v a t i o n ) ：是指用户从被授权的角色中选择一组角色的 过程。用户访问的时候实际具有的角色只包含激活后的角色，未激活的角色在访 问中不起作用。相对于静态的角色授权来说，角色激活是一种动态的过程，提供 了相当的灵活性。 会话( s e s s i o n ) ：对应于一个用户和一组激活的角色，表征用户进行角色 激活的过程。个用户可以进行几次会话，在每次会话中激活不同的角色，这样 用户也将具有不同的访问权限。用户必须通过会话才能激活角色。 角色继承关系( r o l e i n h e r i t a n c e ) ：是角色集r 中元素间的一种偏序关系， 满足 1 自反性：v r r ，zr 2 反对称性：v ，l ，r ze r ，r 1 之r 2nr 22 ，14 ，1 = r 2 ； 3 传递性：v 1 ，r 2 ，r 3 月，r 2m r 2 芑_ 辛1 i ，3 。 中山大学硕士学位论文 基于u ) a p 的r b a c w c bs c r v c r 研究与实现 从语义上来说，两个角色 苫也是指前者比后者级别更高，具有更大的权利。 形式化的说，r lz 屯蕴涵如对应的权限指派 也拥有，同时，1 对应的用户指派r ：也 拥有，即有 苫r 2jp e r m i s s i o n ( r 2 ) p e r m i s s i o n “) nu s e r ( ，t ) u s e rr 2 ) 其中p e r m i s s i o n ( r ) 表示r 对应的权限集，胁e ，( ，) 表示r 对应的角色集e 角 色继承关系允许存在各种形式，包括多重继承。在这个偏序的意义下，角色集中 并不一定存在最大角色和最小角色。 角色层次图( r o l eh i e r a r c h i e s ) ：是给定了角色继承关系之后整个角色集形 成的一个层次图：如果_ z 如，那么在图上就存在_ 到，2 的一条有向边。根据不 同的角色偏序定义，角色层次图可以是树，倒装树，格，甚至极为复杂的图。一 般为了简化角色层次图，有向边的箭头被省略，继承关系默认为自上而下。图 2 1 就是一个角色层次图的例子。 管理员岫 项目主管i ( p l l l项目主管2 , p l 2 ) 项目生产 工程师1 ( p e l ) 项目质量 工程师1 ( q e i ) 项目生产 工程师2 ( p e 2 ) 项目质量 工程师2 ( q e 2 ) 图2 - 1 角色层次图示例( 倒装树) 限制( c o n s t r a i n t s ) ：是在整个模型上的一系列约束条件，用来控制指派操 作，指定职责分离( s d ，s e p a r a t i o n o f d u t y ) 以及避免冲突等。这是一个非常抽 象的概念，r b a c 模型中并没有给出限制的类型和表述方式。任何独立于前面 诸多术语的约束条件都是限制的一种形式。典型的限制包括指定角色互斥关系， 角色基数限制等。根据职责分离的不同阶段，限制一般可分为静态职责分离和动 态职责分离。 中山大学硕士学位论文 基于l d a p 的r b a c w e bs e r v e r 研究与实现 角色互斥关系( m u t u a l l y e x c l u s i v er o l e s ) ：限制的一种，用于指定两个角 色具有不同的职责，不能让一个用户同时拥有。银行的出纳和会计便是角色互斥 的简单例子。角色互斥关系的目的是为了在r b a c 模型中引入业务逻辑的规则， 避免冲突的发生。根据互斥的程度和影响的范围不同，角色互斥有很多种形式。 文献1 1 3 1 对此做过深入研究。 角色基数限制( r o l ec a r d i n a l i t yc o n s t r a i n t s ) ；限制的一种，用于指定一个 角色可被同时授权或激活的数目。比如总经理只能由一个用户担任，那么总经理 角色的角色基数就为1 。根据下面定义的静态和动态的职责分离，角色基数限制 有静态角色基数限制和动态角色基数限制两种。 静态职责分离( s t a t i cs d ) ：是指限制定义在用户指派( 角色授权) 阶段， 与会话及角色激活无关。以角色互斥为例，如果定义两个角色为静态的角色互斥， 那么任何一个用户都不能同时被指派到这两个角色。静态职责分离实现简单，语 义清晰，便于管理，但是不够灵活，有些实际情况无法处理。 动态职责分离( d y n a m i cs d ) ：是指限制定义在角色激活阶段，作用域在 会话内部。仍以角色互斥为例，如果定义两个角色为动态的角色互斥，那么个 用户可以同时被指派这两个角色，但是在任何一个会话中都不能同时激活它们。 由此可见动态职责分离更灵活，基本上能处理各种实际情况，但实现略复杂。 2 2 2 基本模型r b a c 9 6 r b a c 9 6 模型为r a v i s a n d h u 等人于1 9 9 6 年提出来的【l o 】。模型分四个层次 并具有如图2 2 所示的包含关系。 r b a c jr b a g r b a c o 图2 - 2r b a c 9 6 模型间的关系 中山大学硕士学位论文 基于l d a p 的r b a c w c bs e r v e r 研究与实现 2 2 2 1r b a c o r b a c 0 包含r b a c 模型的核心部分( c o r er b a c ) ，是最基本的模型。r b a c o 可形式化的定义如下。 定义2 1r b a c 0 模型包含如下元素： 1 1 若干实体集u ( 用户集) ，r ( 角色集) ，p ( 权限集) ，s ( 会话集) ； 劲幽u x r ，为多对多的用户角色指派关系； 3 1p a p xr ，为多对多的权限角色指派关系： 4 1i “$ e r ：s u ，映射每个会话到一个用户； 5 ) r o l e s ：s 一2 8 ，映射每个会话到一组角色，d 协( 5 ) 厂i ( u s e r ( s ) ，r ) 朋) ， 并且会话s 拥有权限u 。h 、 p i ( p ，r ) e p a ) 。 从定义2 1 中可以看出，r b a c o 只包含最基本的r b a c 元素：用户，角色， 权限，会话。所有的角色都是平级的，没有指定角色层次关系；所有的对象都没 有附加约束，没有指定限制。 2 2 2 2r b a c t r b a c t 模型包含r b a c o ，然后定义了角色继承关系。r b a c ，的形式化定义 如下。 定义2 2r b a c ，模型包含如下元素： 1 ) u ，r ，p ，s ，u a ，p a ，u s e r 与r b a c o - - 致； 2 ) r h r x r 是r 上的偏序关系，记为，称作角色继承； 3 ) r o l e s ：s 一2 8 修改为r o l e s ( s ) ri ( 3 r r ) ( u s e r ( s ) ，) e u a ，同时会话s 拥有权限u 扫i ( j ，”sr ) 【p ，”) e e a l 。 这里r b a c - 体现了r b a c 模型中角色继承关系的语义。一个会话拥有的角色 包含h 关系里面指定的角色以及它们的父角色，会话拥有的权限包含其拥有的 所有角色在剐关系里面的权限以及它们的子角色对应的权限。 中山大学硕士学位论文基于l d a p 的r b a c w c bs e r v e r 研究与实现 2 2 2 。3r b a c 2 r b a c 2 模型同样包含r b a c o ，但是只定义了限制。r b a c 2 有一个并非形式 化的定义如下。 定义2 3r b a c 2 模型包含如下元素： 1 ) r b a c o 中的所有元素； 2 ) 一组限制条件，用于刻画r b a c 0 中各元素的组合合法性。 r b a c 2 模型并没有指定限制条件的表现形式，只是从语义上给出了一个简 短说明。这给了r b a c 模型诸多扩展形式。s a n d h u 的文章【1 0 】中介绍了两种主要 的限制：角色互斥和角色基数限制，这也是实际系统中最通常考虑的两种限制形 式。 2 2 2 4r b a c 3 r b a c 3 包含r b a c l 幕 r b a c 2 ，自然也包含r b a c o 。这是一个完整的r b a c 模型，包含切模型元素，也是最复杂的一种模型。角色层次和限制同时存在， 限制也可以作用在角色层次之上。图2 3 给出t r b a c 9 6 模型的基本元素关系以 及不同层次r b a c 模型。 ，一_ ，t ；、二，r ，b f j 图2 - 3r b a c 9 6 模型 中山大学硕士学位论文 基于l d a p 的r b a c w e bs e r v e r 研究与实现 2 2 3 角色管理模型a r b a c 9 7 r a v i s a n d h u 等在r b a c 9 6 模型中就曾提出了角色的分布式管理的问题，但 是没有详细谈到具体如何进行管理。之后他们很快就提出了著名的分布式角色管 理模型a r b a c 9 7 ( a d m i n i s t r a t i v er b a c ) 【1 1 】，从理论上给出了r b a c 模型中 角色管理的办法。 a r b a c 9 7 模型的基本思想是利用r b a c 模型本身来进行r b a c 模型的管 理，包括用户角色管理，权限角色管理，角色层次关系管理，限制管理等几个部 分。模型的管理员本身也具有角色，称作管理员角色，并且也有角色继承关系。 管理员用户通过拥有管理员角色得到对角色继承关系的管理权。相对于非管理员 的角色继承关系，管理员角色继承关系可以是一个单独的继承关系，并且该继承 关系上的每个管理员角色将对应非管理员角色继承关系上的一部分管理区域，实 现一种分工明确的分布式角色管理。图2 - 4 给出了a r b a c 9 7 模型的基本框架。 图2 - 4a r b a c 9 7 模型的基本框架 2 3r b a c w e b 模型概述 在传统的信息系统中，系统安全性本身是系统不可分割的一部分。而在基 中山大学硕士学位论文 基于l d a p 的r b a c w e bs e r v e r 研究与实现 于w e b 的信息系统中，信息的提供者可能是相当分散的，他们可能来自企业的 各职能部门，并不一定是系统的开发者；他们所采用的信息发布方式也可能各不 相同。此外，在开发复杂系统时，将安全性机制与应用部分做在一起会很复杂， 容易出错而且不易维护。r b a c 为基于w e b 的信息系统开旋提供了这样一种可 能性：将系统的访问控制和系统的具体功能分开实现。r b a c 实现的访问控制只 与内容有关，而内容通过u r l 来确定。这样一来，我们在实现具体功能时就不 必考虑安全性问题，大大简化了信息提供机制。 n 1 s tr b a c 研究组提出的r b a c w e b ( r b a cf o rw o r l dw i d ew e b a d p l i c a t i o n s ) 是r b a c 在w e b 服务器中的一种实现模型，其目的是解决大型网 络复杂的资源安全管理问题。实现r b a c ，w e b 的基本思路是，为使用w w w 协 议的w e b 服务器提供一组r b a c 组件，这些r b a c 组件可以与任何商用的w e b 服务器相连，而不需要改动服务器软件。r b a c w e b 对浏览器无任何要求，也 不需要修改服务器软件。所以，使用任一浏览器都可以访问任何安装了 r b a c w e b 访问控制功能的w e b 服务器。 r b a c w e b 的组件及功能描述见表2 1 。 表2 - 1r b a c w e b 的组件 赧成韶件 说明 用于保存用户和角色之问关系、角色层次关系、用户，角色关系的限制、当前活动的 数据库 角色表和角色和权限之间关系等； 数据库数据库文件的载体，这些文件包括：用户角色关系定义角色层次，用户，角色关 服务器系限制。这些文件由a d m i nt o o l 创建和维护； a p i 库 w 曲服务器或c g i 程序用来访问r b a c n v 曲数据库的应用程序接口： 授权决策 拦截用户请求并判断用户是否具有访问所请求的u r l 的权限。将r b a c w e b 以 c g i 的形式实现，能够保证其可用于任何w e b 服务器，而不需要对w 曲服务器进行修 c g i 改： 会话管理r b a c 会话，r b a c w e b 会话管理器可阻创建和删除用户的当前活动角色集； 管理器 允许系统管理员创建用户、角色和许可操作；确定用户和角色，角色和许可操作的 管理工具 关系；指定用户角色关系的限制；并且维护r b a c 数据库。 利用上述组件，r b a c w e b 的运行主要有两种方式【1 4 】。 一种方式是使用r b a c w e bc g i 。当用户请求访问由r b a c 控制的u r l 时，需要通过w e b 服务器和r b a c w e bc g i 来访问。 另种方式是w e b 服务器直接调用r b a c w e ba p i 来进行r b a c 存取控 - 1 3 - 中山大学硕士学位论文 基于l d a p 的r b a c w e bs e r v e r 研究与蜜现 制。利用w e b 服务器配置文件将u r l 转换成相应的文件名，一个u r l 就被配 置为r b a c 控制的u r l 。 用户访问由r b a c w e b 增强的w e b 服务器和访问普通w e b 服务器的u r l 交互过程基本相同。不过，在对r b a c 控制的u r l 的访问被允许之前，最终用 户必须建立r b a c 会话，在建立r b a c 会话中，用户必须通过身份认证，由认 证系统确定或分配一个当前活动角色( a r s ) 。a r s 决定最终用户可以对u r l 进行哪些操作，构成r a b c 会话，a r s 一直作用到最终用户建立一个新的a r s 为止。 2 4r b a c w e b 模型的存在问题 r b a c w e b 模型是r b a c 在w e b 应用的典范，其优势是十分明显的。但是， r b a c w e b 模型是作为一个理论模型提出的，现在尚不成熟，存在着某些问题， 影响了r b a c w e b 模型的推广应用。这些问题包括： 1 存储模型分散化。出于适应性和简化的考虑，r b a c w e b 仅仅针对角 色及其关系进行存储和管理，而用户和权限本身的存储和管理是依赖于 w e b 服务器软件和操作系统的。然而，用户和权限也是r b a c 模型的 基本元素，分散化的存储破坏了r b a c w e b 作为一个安全模块的完整 性。另外，r b a c w e b 以关系数据库存储层次性的r b a c 模型使得程 序实现很复杂，而且存储效率和访问效率低下。例如，如果使用关系数 据库的表来存储角色的继承关系，那么判断一个角色是否具有某个权限 的操作往往是一个递归的查找过程这对于w e b 访问控制而言，将 大大降低w e b 应用程序的整体性能。 2 管理工作量大。r b a c w e b 的管理模型是基于a r b a c 9 7 的。a r b a c 9 7 模型对如何通过r b a c 管理框架管理r b a c 实例框架在理论上和技术 上做了深入的研究，但它假定管理框架和实例框架在系统运行之前由管 理员静态生成。对于复杂的应用而吉，这一假定显然不合理：一方面当 对应的应用领域组织管理结构过于复杂时，管理工作量很大，管理框架 仅靠少数几个安全管理员集中式构建并不可行，况且让安全管理员直接 中山大学硕士学位论文基于l d a p 的r b a c w e bs e r v e r 研究与实现 负责低级管理角色的维护并不合理，就像一个企业的总经理一般不应直 接参与某部门下面的项目组负责人的任免一样：另一方面一个组织的管 理结构通常处于变化之中，其相对应的管理实例框架也应该随之发生变 化，但a r b a c 9 7 模型不支持管理框架的动态调整。 3 a r s 机制并不必要。例如，即使某用户同时是企业的副总经理和市场 部主管，也没必要在做每一项工作之前先声明自己是以什么身份做的， 而是随时可以做自己权限所允许的任何一项工作。a r s 机制使得访问 控制对用户不透明，增加了系统实现的复杂度和用户使用的难度。 4 缺少身份验证模块。任何安全机制的实现都是离不开用户的身份