（计算机应用技术专业论文）基于角色的数据库访问控制研究.pdf

摘要数据库系统中的访问控制是数据库安全的一个重要研究内容，其中基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 是目前研究与应用比较广泛的一种访问控制模型。本文通过对r b a c 9 6 模型家族进行详细分析与探讨，给出了一种扩展的r b a c 模型( e x t e n s i o nr b a c ，e r b a c ) 。针对e r b a c 模型所做的工作包括：( 1 ) 将r b a c与基于任务的访问控制模型结合起来，实现了最小权限约束的进一步细化和动态授权；( 2 ) 引进强制访问控制思想，用户与权限加入安全级别属性，进一步加强了模型的安全性；( 3 ) 在r b a c 模型基础上，扩充并提出一些新的概念，对新模型进行了形式化描述，实现了新模型的访问控制规则；( 4 ) 使用u m l 完成了对e r b a c 的静态建模和动态建模过程，缩小了理论模型与应用系统研发之间的差距；( 5 ) 模型实现中，针对一个用户可同时执行多个任务的情况，解决了任务优先级的确定：针对多用户多角色多次执行同一权限的问题，解决了多用户多角色的执行次序问题；( 6 ) 最后，对扩展后的模型设计了一个原型系统，测试了本系统的性能与安全性，并对新模型与原有模型进行了比较，分析得出新模型的可行性。本文所研究的内容对数据库安全中的访问控制具有普遍意义，在军事、金融等对安全性要求比较高，应用比较复杂的领域，具有广泛的研究意义和应用价值。关键词：基于角色的访问控制，任务，权限，角色加权，任务优先级r e s e a r c ho fr o l e b a s e dd a t a b a s ea c c e s sc o n t r o lz h a n gk a i - j i ( c o m p u t e ra p p l i c a t i o nt e c h n o l o g y )d i r e c t e db y ：s e n i o re n g i n e e rz h a n gw e n - d o n ga b s t r a c td a t a b a s ea c c e s sc o n t r o li sa ni m p o r t a n tr e s e a r c hc o u t e n ti nd a t a b a s es e c u r i t y ，i nw h i c hr o l e - b a s e da c c e s sc o n t r o lm o d e l ( r b a c ) i sr e s e a r c h e da n da p p l i c a t e dw i d e l y b a s e do na n a l y s i s i n ga n dd i s c u s s i n gt h em o d e lf a m i l yr b a c 9 6 ，ak i n do fe x t e n d e dr b a cm o d e l( e r b a c ) i sg i v e n t h ew o r kf o re r b a cm o d e li n c l u d e ：( 1 ) b ym e a n so fr b a cc o m b i n e d谢t ht a s k b a s e da c c e s sc o n t r o lm o d e l ，l e a s tp r i v i l e g ec o n s t r a i n ti sf u r t h e rr e f i n e m e n ta n dd y n a m i cd e l e g a t i o no fa u t h o r i t yi si m p l e m e n t e d ( 2 ) w i t ht h et h o u g h to fm a n d a t o r ya c c e s sc o n t r o l ，u s e ra n dp e r m i s s i o na r ea d d e dt h ep r o p e r t yo ft h es e c u r i t yl e v e l ，s ot h es e c u r i t yo ft h em o d e li sf u r t h e rs t r e n g t h e n i n g ( 3 ) a tt h eb a s i so fr b a cm o d e l ，t h en e wm o d e li si n c l u d e dt h ee x p a n s i o no fs o m en e wc o n c e p t s ，f o r m a ld e s c r i p t i o n ，a n di m p l e m e n t a t i o no ft h ea c c e s sc o n t r o lr u l e s ( 4 ) e r b a cs t a t i cm o d e l i n ga n dd y n a m i cm o d e l i n gp r o c e s si sa c h i e v e d 谢t hu m l ，s ot h eg a pb e t w e e nt h et h e o r e t i c a lm o d e la n da p p l i c a t i o ns y s t e md e v e l o p m e n ti sr e d u c e d ( 5 ) i nm o d e li m p l e m e n t a t i o n ，t h er e s p o n s et oau s e rc a nr u nm u l t i p l et a s k ss i m u l t a n e o u s l y ，t h ed e t e r m i n i n go ft h et a s kp r i o r i t yi sr e s o l v e d ；w i t ht h ep r o b l e mo fm a n yu s e r sa n dm a n yr o l e se x e c u t et h es a n l ep e r m i s s i o no nm a n yo c c a s i o n s ，t h eo r d e ro ft h e mi sr e s o l v e d ( 6 ) f i n a l l y ，ap r o t o t y p es y s t e mf o rt h ee x p a n d e dm o d e li sd e s i g n e dt ot e s tt h es y s t e mp e r f o r m a n c ea n ds e c u r i t y t h en e wm o d e la n dt h eo r i g i n a lm o d e lw e r ec o m p a r e dt oa n a l y z et h ef e a s i b i l i t yo ft h en e wm o d e l t h ec o n t e n t ss t u d i e di nt h i sp a p e ri sa nu n i v e r s a ls i g n i f i c a n c ei na c c e s sc o n t r o lo ft h ed a t a b a s es e c u r i t y ，a n di nt h em i l i t a r y ，f i n a n c i a la n do t h e ra r e a s 谢t ht h eh i g h e rs a f e t ya n dm o r ec o m p l e xa p p l i c a t i o n ，i th a se x t e n s i v er e s e a r c hm e a n i n ga n da p p l i c a t i o nv a l u e k e yw o r d s ：r o l e b a s e da c c e s sc o n t r o l ，t a s k ，p e r m i s s i o n ，t h ew e i g h t e do ft h er o l e ，t a s kp r i o r i t ) ，1 l关于学位论文的独创性声明本人郑重声明：所呈交的论文是本人在指导教师指导下独立进行研究工作所取得的成果，论文中有关资料和数据是实事求是的。尽我所知，除文中已经加以标注和致谢外，本论文不包含其他人已经发表或撰写的研究成果，也不包含本人或他人为获得中国石油大学( 华东) 或其它教育机构的学位或学历证书而使用过的材料。与我一同工作的同志对研究所做的任何贡献均已在论文中作出了明确的说明。若有不实之处，本人愿意承担相关法律责任。学位论文作者签名：毯丑塞日期：劲。7 年，月嗲日学位论文使用授权书本人完全同意中国石油大学( 华东) 有权使用本学位论文( 包括但不限于其印刷版和电子版) ，使用方式包括但不限于：保留学位论文，按规定向国家有关部门( 机构)送交学位论文，以学术交流为目的赠送和交换学位论文，允许学位论文被查阅、借阅和复印，将学位论文的全部或部分内容编入有关数据库进行检索，采用影印、缩印或其他复制手段保存学位论文。保密学位论文在解密后的使用授权同上。学位论文作者签名：毯丑叁指导教师签名：二誓r 爻j l日期：和。7 年日期：矽p 气年岁月77 日厂月1 彳日中国石油大学( 华东) 硕士学位论文1 1 论文研究背景及意义第一章前言1 1 1 研究背景在目前的信息技术体系中，数据库系统处于核心的位置。数据库是当今信息社会数据存储和处理的中心，其安全性对于整个信息安全至关重要。在数据库安全体系中，访问控制是最为核心的部分，它的完善与否直接决定整个数据库系统的安全性能【l 】。早期数据库的访问控制大致分为自主访问控制和强制访问控制。自主访问控制中访问规则的制定取决于用户自身，用户根据需要将客体的访问权限授予他人，他人也可将此访问权限再转授出去，因此管理过于松散，不可避免将导致一系列的安全威胁，比如机密信息泄露和敏感信息篡改；而强制访问控制规则不允许用户自身进行访问控制的管理，而是进行系统的统一管理和控制，其规则过于严格，可用性不是很高。2 0 世纪9 0 年代初期，策略中立的基于角色访问控制模型( r o l e b a s e da c c e s sc o n t r o lm o d e l ，r b a c )被提出来。基于角色的访问控制模型是在用户和权限之间引入角色这个层次，并且围绕着角色这个新的概念来实施访问控制策略。不同的角色和它所应具有的权限相联系，而用户成为某些角色的成员，这样用户便获得了这些角色的权限。角色根据实际单位或组织的不同工作职责来划分，依据用户所承担的不同的权利和义务来授予相应的角色。对于一个存在大量用户和权限分配的系统来说，从大量的用户管理转而管理、操纵少量的角色，这样简化了权限分配管理，提高安全管理的效率和质量，并且能够直接反映企事业单位内部安全管理策略和管理模式【2 】。基于角色的访问控制模型在现实中有着较为广泛的应用，然而这一模型本身存在着一些问题：( 1 ) 该模型是一种静态模型，用户一旦被赋予普通角色，除非被收回，否则用户一直持有，不能达到权限的自动收回。( 2 ) 传统的r b a c 模型中，权限直接与角色相关，这就决定了权限的粒度最多只能细化到角色一级。最小权限约束只是角色的最小权限约束，而实际系统中一个角色往往可以执行多项任务，不管用户是否执行任务，只要用户激活某一角色就拥有该角色的全部权限。实际上，用户在正常工作时的一个时间点上通常都只是用一个角色实现一种操第一章前言作，所以r b a c 的最小权限约束粒度还不够细化。( 3 ) 有的情况下，用户需要执行激活角色的所有任务，这需要解决任务执行的顺序问题；有的权限的成功执行需要多用户多角色的多次执行，这需要明确多用户多角色执行的次序。为了克服这些问题，本论文将基于角色访问控制与基于任务访问控制结合起来，吸取了两者的优点，并增加强制访问控制思想，提出一种改进后的基于角色访问控制模型，并对改进后的模型进行了详细的描述。1 1 2 研究意义( 1 ) 从实际应用角度出发，通过对基于角色访问控制模型的改进，增加强制访问控制思想和基于任务访问控制思想，克服了原有模型只在理论上存在的可能性，更加适用于金融、军事等实际应用的需要。( 2 ) 通过任务优先级的确定和多角色多用户多次执行同一权限的次序问题的解决，增加了新模型的灵活性，可以应对复杂应用的需要。( 3 ) 通过对新模型的建模，缩短了理论研究与实际系统开发的距离，更易于新模型的系统开发，增加系统开发的效率，使得开发过程能顺利有序的进行。1 2 国内外研究现状1 2 1 国外研究现状基于角色的访问控制模型( r b a c ) 相关研究起始于2 0 世纪9 0 年代。1 9 9 2 年，美国国家标准与技术研究所( n i s t ) 的d a v i df e r r a i o l o 和r i c kk u h n 在综合了大量的实际研究之后，率先提出基于角色的访问控制模型框架，并给出了r b a c 模型的一种形式化定义【3 1 。该模型第一次引入角色的概念并给出其基本语义，指出r b a c 模型实现了最小权限原则( 1 e a s tp r i v i l e g e ) 矛i i 职责分离原贝j j ( s e p a r a t i o no fd u t y ) 。该模型中给出了一种集中式管理的r b a c 管理方案，1 9 9 5 年他们以一种更直观的方式对该模型进行了描述【4 1 。r a v is a n d h u 和他领导的位于g e o r g em a s o n 大学的信息安全技术实验室( l i s t ) 于1 9 9 6 年提出了著名的r b a c 9 6 模型【5 1 ，将传统的r b a c 模型根据不同需要拆分成四种嵌套的模型并给出形式化定义，极大的提高了系统灵活性和可用性。r b a c 9 6 实际上是一个r b a c 模型族，其中最基本的模型是r b a c o ，它包含了r b a c 中的核心部分。r b a c l 和i m a c 2 都建立在r b a c o 之上，r b a c l 增加了角色继承的概念，r b a c 2 增加了角色之间的2中国石油大学( 华东) 硕士学位论文约束。r b a c 3 则把r b a c l 和r b a c 2 综合了起来，同时提供继承和约束，并讨论了两者的关系。1 9 9 7 年他们更进一步提出了一种分布式r b a c 管理模型a r b a c 9 7 6 ，让管理角色及其权限独立于常规角色及其权限，实现了在r b a c 模型基础上的分布式管理。这两个模型清晰的表征了r b a c 概念并且蕴涵了他人的工作，成为r b a c 的经典模型。2 0 0 1 年，r b a c 领域的领军人物d a v i df e r r a i o l o ，r a v is a n d h u 等人联合拟定了一个r b a c 模型的美国国家标准草案，力图统一不同模型中的术语，并对所有r b a c 的基本操作给出伪码定义。2 0 0 1 年8 月，a c m ( a s s o c i a t i o nf o rc o m p u t i n gm a c h i n e r y ) 版标准草案完成【7 】。2 0 0 3 年4 月，n i s t 提交标准草案。2 0 0 4 年2 月1 9 日，在这两个标准的基础上，i n c i t s正式批准了a n s 1 n c i t s3 5 9 2 0 0 4s t a n d a r di n f o r m a t i o nt e c h n o l o g y r o l eb a s e da c c e s sc o n t r o lm o d e l t 剐这一模型。1 2 2 国内研究现状国内的学者在基于角色的访问控制模型方面也开展了大量的研究工作。其研究多是对以往r b a c 模型的扩展，使其更适应于实际应用，或是针对某一应用在r b a c 模型的基础上提出一种新的模型。比如左永利、吴中福等在基于角色访问的数据库自适应容侵结构一文t 9 1 ，提出了一种基于r b a c 和攻击响应的容侵数据库结构。该结构能根据用户的动态行为进行自适应的系统参数调节，可根据用户的角色、历史记录、不同的应用领域和系统容侵要求对系统参数进行自动调节，提高系统的自适应能力。邢小永、张彬等在一种基于角色的访问控制扩展模型【l o 】一文中对r b a c 进行了扩展，引入了用户组、角色组，并充分利用用户组、角色组、对象和操作的层次性有效地建立起一种以角色为中介的用户到权限的对应关系。此模型能更好的适应现实应用的需要，提高授权的灵活性。夏鹏万、陈荣国等在增强的基于角色数据库访问控制模型【l i 】一文中针对r b a c存在的不足和缺陷( 元素分类模糊束与规则简单) 进行改进，形成了一个较原有r b a c 模型更加实用和安全性更高的角色访问控制模型。其在组成元素的定义上更加详细并且分类更加清晰，约束规则更加具体与实用，可以对数据库系统的安全访问提供有力的支持。1 3 研究主要内容针对传统访问控制模型存在的不能实现动态授权、最小权限约束不够细化、策略的实现安全性不够高等缺点，本论文主要研究了以下两项内容：基于角色访问控制模型的改进以及任务优先级和多角色多用户多次执行同一权限的次序问题的解决。3第一章前言( 1 ) 基于角色访问控制模型的改进。在传统的基于角色访问控制模型基础上，本论文提出一个基于r b a c 的具有级别要求的授权模型e r b a c 。该模型借鉴了强制访问控制的思想，与基于任务的访问控制模型相结合。用户能否执行某任务除了受时间等任务上下文环境影响外，还受用户与权限之间的级别关系决定。此模型不仅可以保证授权流和用户执行流的同步，实现动态授权，而且又进一步加强了任务授权的安全性，适用于对安全性要求比较高的领域。( 2 ) 任务优先级的确定和多角色多用户多次执行同一权限次序的确定。在实际应用中，可能存在着同一用户可执行多个任务的情况，这就需要确定这些任务执行的优先顺序。本文运用模糊数学的知识，利用任务的上下文和角色的重要性确定出任务的执行顺序；有的应用需要多个角色或多个用户多次执行同一权限，本文解决了多角色或多用户多次执行同一权限的次序确定问题。1 4 论文的组织结构第一章是前言。介绍了课题的研究背景和意义，对国内外研究现状作了分析，最后对课题的主要研究内容以及组织结构做了说明。第二章是访问控制模型。介绍了自主访问控制、强制访问控制、基于角色的访问控制以及基于任务访问控制模型的访问控制实现策略、安全规则等，分析比较了它们的优缺点。第三章是基于角色访问控制模型的改进。扩充了原有模型的概念，对新模型进行了形式化描述。为了便于新模型的实现，利用u m l 对其进行了静态与动态建模，改造了原有的数据字典，介绍了新模型访问控制规则的实现。第四章是e r b a c 模型实现中的关键问题研究。解决了任务优先级的确定问题以及多角色多用户多次执行同一权限的次序确定问题。第五章是e r b a c 模型原型系统测试。针对改进后的模型设计了一个原型系统，测试了它的实用性与可行性。并与其它的访问控制方式进行了比较，指出了本系统的优越性所在。最后对课题的研究做了全面总结，并提出了下一步的工作打算。4中国石油人学( 华东) 硕士学位论文第二章访问控制模型访问控f f l j ( a c c e s sc o n t r 0 1 ) ，就是通过某种途径，显式地准许或限制访问能力及范围，以限制对关键资源的访问，防止非法用户的侵入或合法用户的不慎操作所造成的破坏【1 2 】。采用可靠的访问控制机制是数据库系统安全的必要保证。目前主流的访问控制技术有自主访问控带l j ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 、强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 、基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 、基于任务的访问控制( t a s k b a s e da c c e s sc o n t r o l ，t b a c ) 等【1 3 1 。本章针对访问控制的发展历程，主要对上述四种典型模型进行分析和研究，并对各种模型的优缺点进行了分析和比较，指出了其各自的应用环境。2 1 访问控制模型基本术语( 1 ) 主体：主体是可以对其它实体施加动作的主动实体。系统中所有主体的集合定义为s = s l ，s 2 s n ，其中s i 为任意主体。在强制访问控制模型中，每个主体都属于某个级别，为多对一关系，通过函数s e c ( s i ) = 安全等级即密级来确定【1 4 1 。( 2 ) 客体：一个接受其它实体动作的被动实体。所有客体的集合定义为0 = 0 1 ，0 2 0 n ) 。其中0 i 为任意客体。强制访问控制模型中，对任意0 i 0 都具有四元组o i = ( 密级，范围，标记，时限) 。在操作系统内部，客体一般为文件、目录、端口和设备。在数据库系统内部，客体又主要为关系、表、视图、记录、存储过程和函数等【1 4 1 。( 3 ) 用户( u s e r ) ：主要是和某个计算机系统交互的自然人15 1 。( 4 ) 角色( r o l e ) ：反映一个组织内部一项具体的工作职责，被授予某种角色的用户将具备一定的职权。在一次会话中，用户激活的角色集称为活跃角色集【1 5 1 。( 5 ) 许n - - i ( p e r m i s s i o n ) ：作为系统主体的人对客体进行特定模式访问的操作权限【1 5 1 。( 6 ) 会话( s e s s i o n ) ：一个用户和他所具有的角色集中活跃角色子集之间的映射关系，具有动态特征 1 5 1 。( 7 ) 角色层次( ( r o l eh i e r a r c h y ) ；角色之间建立的一种偏序关系，其中上层角色继承下层角色的访问权限【15 1 。( 8 ) 约束( c o n s t r a i n t ) ：角色之间的一种关系【15 1 。( 9 ) 管理角色( a d m i n i s t r a t i v er o l e ) ：一种具有以下许可的角色：可以修改用户、角色、许可集，或是修改用户和许可的分配关系【”】。5第二章访问控制模型2 2 自主访问控制模型2 2 1自主访问控制概述自主访问控制( d a c ) 策略是一种通用访问控制策略。在该策略下决定用户能否访问某数据对象的依据是系统中是否存在明确授权。如果授权存在则允许访问，否则访问被禁止【。d a c 的主要特征表现在：主体可以自主地把自己所拥有客体的访问控制权限授予其他主体或从其他主体收回所授予的权限。d a c 根据主体所属的身份来控制对客体目标的授权访问，主体对客体的控制是基于对主体的鉴别和访问控制规则。一个主体如果具有对一个客体的自主访问权限，那么这个主体可以把该客体信息共享给其他主体，并且只能控制直接访问而无法控制间接访问。当主体提交对客体的访问请求，系统检查该主体对该客体的所有权来决定是否容许访问。2 2 2自主访问控制实现策略实现d a c 的典型方法是访问控制矩阵或访问控制列表【1 6 1 。访问控制矩阵( a c c e s sc o n t r o lm a t r i x ，a c m ) 是一种通过矩阵形式表示访问控制权限的方法，实现如表2 1 所示。表2 1 访问控制矩阵表t a b l e 2 1a c c e s sc o n t r o im a t r i x客体主体客体1客体2客体3主体1写读主体2读写主体3读读写表中每一行代表一个主体，每一列代表一个客体，矩阵中行列的交叉元素代表某主体对某客体的访问权限。在表2 1 中，主体3 对客体2 有“读“的权限；对客体3 既有“读”权限，又有“写”权限；但对客体1 没有任何访问权限。在实际应用中，当主体、客体数量很多时，矩阵中的空元素将造成存储空间的极大浪费。访问控制表( a c c e s sc o n t r o ll i s t ，a c l ) 是d a c 系统中通常采用的另一种安全机制【1 7 1 。a c l 是以客体为中心建立的访问权限表，对每个客体单独指定对其有访问权限的主体，还可以将有相同权限的主体分组，授予组的访问权限。如针对客体o b j e c t l ，用户u s e r l 有“读”权限，用户u s e r 2 有“读写”权限，组d e p t q b 的所有成员都有“写”权限。a c l6中围石油大学( 华东) 硕士学位论文中定义如下：o b j e e t l ：( u s e r l ， r e a d ) ，( u s e r 2 ， r e a d ，w r i t e ) ，( d e p t ， w r i t e )a c l 表述直观，易于理解，可以较方便的查询对某一特定资源拥有访问权限的所有用户。但对于用户数量多、客体对象复杂的信息系统，当组织内的人员发生人事变动( 升迁、换岗、招聘、离职等) 时，管理员需要修改用户对所有资源的访问权限，这使得访问控制的授权管理变得十分复杂，并且容易出错，造成权限的失控状态。2 3 强制访问控制模型2 3 1强制访问控制概述强制访问控制模型m a c t l 8 】是由美国政府和军方联合研究出的一种控制技术，目的是为了实现i ：i 二d a c 更为严格的访问控制策略。m a c 的基础是对主体和客体进行级别分类，即根据客体的敏感级和主体的许可级来限制主体对客体的访问。对于不同类型的客体，m a c 采取不同层次的安全策略，并针对不同类型的客体来进行访问授权。m a c 由授权机构为主体和客体分别定义固定的安全属性，用户无权进行修改。系统通过对安全属性的匹配比较来决定是否容许访问的进行。安全属性在安全策略没有被改变之前是不能被改变的，所以一个主体无权将对系统资源的访问权传授给其他主体。主体权限反映了信任程度，客体权限则与其所含信息的敏感度一致，通过二者的比较来判断访问的合法性。访问控制的两个关键规则是：不向上读和不向下写，即信息流只能从低安全级向高安全级流动，任何违反非循环信息流的行为都是被禁止的。2 3 2 强制访问控制基本规则强制访问控制模型的典型代表是1 9 7 3 年提出的b e l l l ap a d u l a 模型【，强制访问控制是b 1 级数据库管理系统的重要特征，它主要是限制对敏感客体的访问。在b l p 模型中【1 9 1 ：范围表示能够访问客体0 的所有级别主体的集合；标记用来表示当前操作过客体的主体最高类别，初始为最低类别；每个客体所对应的四元组是由保密中心指定的；时限表示客体从创建到删除的时间长度；客体具有密级即为安全等级共分4 个等级s c 绝密，机密，秘密，普通) ；客体依照它所服务的对象划分成类即客体类用0 - c l a s s来表示。b l p 模型的基本思想是，确保信息不向下流动，从而保证系统内的信息是安全的。b l p 模型的信息不向下流动是通过下面两个规则来保证的：7第二章访问控制模型( 1 ) 简单安全规则：当一个主体的安全级支配另一个客体的安全级时，主体才具有对客体进行“读”操作的权限；( 2 ) + 一规则：当客体的安全级支配主体的安全级时，主体才具有对客体进行“写”操作的权限。满足了上述两个规则即控制了系统中信息的流动，保证所有安全级别上的主体只能访问其具有访问权限的客体，从而保证信息不会向下流动。此外，系统还有一个自主安全规则：( 3 ) d s 规则：每个存取必须出现在存取矩阵中，即一个主体只能在获得了所需的授权后才能执行相应的存取。2 4 基于角色访问控制模型在目前提出的众多r b a c 模型中，最具代表性的是r b a c 9 6 模型家族。下面详细论述r b a c 9 6 模型族的几层模型【2 】【2 0 】。2 4 1 基本模型r b a c o授权机制从某个角度看可以视之为在系统内通过特定的操作( a c t i o n ) 将主体与客体联结起来。这里所说的操作就是r b a c 模型中的许可，把许可授予角色就是权限角色分配关系p a ，为用户分配角色就是用户角色分配关系u a 。一个角色可以被授予多个许可，一种许可以授予多个角色；一个用户可以分配( 扮演) 多个角色，一个角色可以被分配给多个用户。角色在系统中的变化程度远远小于用户的改变，它在系统中，相对来说是比较稳定的。并且，把许可授予少量的角色，这与授权给众多的用户相比，简化了许可的授权管理。在采用r b a c 模型的系统中，每个用户进入系统得到系统控制的时候，就开始了一次会话。每个会话都是动态产生的，从属于一个用户。每次会话激活用户的角色集中的一个子集，这个子集也称为活跃角色集。访问控制系统根据本次会话启用的活跃角色集，将其映射到许可集上，便得出会话用户所具有的许可( 权限) 。对于该用户而言，在一次会话内可以获得活跃角色集中所有角色所授予的许可，这样的安全机制的好处是显然的。例如，统一用户在进入系统时打开适当的会话就可以以最小的系统代价得到最灵活的系统安全服务功能。在工作站的环境下，一个用户还可以同时打开多个会话，每个会话置于一个窗口内。用户获得非常大的机动灵活，同时又获得可靠的数据安全，因为系8中国石油人学( 华东) 硕士学位论文统可以方便地被设置成安全级别较低的活动，不会打开一个较高安全级别的会话。因为引入了会话概念，使得在一个系统中并存两个以上存取控制机制的灵活性也增强了。会话和角色的设置更容易实施最小特权原则，即在一个成熟的安全系统内部应当绝不会给予用户以超过执行任务所需特权以外的特权。r b a c 9 6 需遵循的基本安全原则有：( 1 ) 责任分离原则( s e p e r a t i o no fd u t i e sp r i n c i p l e )对于一个特定的事务集，可能一个用户并不能执行这个事务集中的每一个事务。例如，在银行信贷处理中，不存在一个职员既可以处理信贷事务，又能够处理审计事务。信贷和审计这两个相关的职责，不能由一个用户来承担。责任分离原则的实施有角色静态互斥和动态互斥两种，具体操作在角色约束中来完成。( 2 ) 最小特权原则( l e a s tp r i v i l e g ep r i n c i p l e )它保证某个角色在完成相应职责时，拥有所需的所有许可，并且这个许可集决不能超过他实际所需的许可范围，即不给角色分配多余的权限许可，保证拥有这个角色的用户具有最小的特权。( 3 ) 数据抽象原则( d a t aa b s t r a c t i o np r i n c i p l e )许可既可以为实际的权限，如操作系统中提供的典型的读、写、执行等权限，数据库管理系统中的s e l e c t ，u p d a t e ，e x e c u t e 等权限，也可以是一些抽象的权限许可，例如账目信贷、存取等许可。r b a c o 的形式化定义：u ，r ，a r ，p 以及s ( 用户集，角色集，活跃角色集，许可集和会话集)p a 属于p x r ，p a 是授权到用户的多对多的关系u a 属于u x r ，是用户到角色的多对多的关系r o l e s ( s 1 ) 属于 r f ( u s e r ( s 1 ) ，r ) e u a u s e r ：sj u ，将各个会话映射到一个用户的函数u s e r ( s i )r o l e s ：sj 2 r ，将各个会话s ，与一个角色集合联结起来的映射，随时间的变化而变化。2 4 2 层次模型r b a c l在一般的单位和组织中，特权或职权通常是具有线性关系的，因此在r b a c 模型家族中引入了一定的层次结构用以反映这一实际情况。对于常见的组织( 单位) 结构图，都9第二章访问控制模型是类似于树状的连通图。原则上，r b a c l 体现了上级领导( 角色) 所得到的信息访问权限高于下级职员的权限。r b a c l 的形式化定义：u ，k 腿p 以及s ( 用户集，角色集，活跃角色集，许可集和会话集)p a c p x r ，p a 是授权到用户的多对多的关系u a c _ u x ru a 是用户到角色的多对多的关系r h _ c r x rr h 是角色上的个偏序关系，称之为角色层次关系或支配关系，一般记为“ = ”u s e r ：s 到u ，将各个会话映射到一个用户的函数u s e r ( s )r o l e s ：s - - - 2 r ，将各个会话s 与一个角色集合联结起来的映射，随时间的变化而变化。在多级安全控制结构内，存取类的保密级别是线性排列的。其中的安全策略要求是，要想合法地获取信息，提出访问请求的人员的级别要大于信息的级别。r b a c l 中支持的层次关系可以容易地实现多级安全系统所要求的保密级别的线性排列的要求。多级安全系统的另一个要求就是要能够支持范畴的安排，范畴是相互独立的和无序的。为了获得信息的访问权，提出访问请求的用户所具有的范畴，必须和访问信息的范畴相吻合。角色的层次结构( r b a c ) 中的角色可以容易地实现所要求的保密存取类的范畴的要求。2 4 3 约束模型r b a c 2r b a c 2 是在r b a c o 的基础上加入约束元素。作为一个完整的安全模型，约束机制是非常重要的。对于一个具体的系统而言，无论它是否具有层次角色的特征，约束机制都是必不可少的。例如，在一个组织内不能将出纳角色和审计角色同时授予一个用户，否则将可能产生欺诈行为。当使用了角色约束机制后，公司的领导层就可以不必再考虑具体的实施。这样对于系统管理员的工作，也将变得轻松，对于一个大型的系统而言，也是非常重要的。实际上，通过约束机制，r b a c 就可以实现强制安全控制，而这包括了对r b a c 本身的管理和控制。对于角色的约束机制主要有以下几种约束：角色静态互斥约束；角色动态互斥约束；角色基数约束：角色前提约束。在实际的系统中，经常用到的是前三种角色约束机制。角色静态互斥是要求某些角色不能同时分配给一个用户；动态互斥是一个用户开始会话1 0中国石油大学( 华东) 硕士学位论文时，不能同时激活某些角色，否则将会违背本组织的安全策略。角色基数包括角色可以分配的最大和最小用户数，基数约束并非r b a c 模型所要求的，但在具体的应用系统中，却是安全策略所要求的一个方面。大多数的应用系统在r b a c 模型的实现过程中，将其作为角色约束的一项来加以实现。角色前提约束是指用户在被指派角色r 之前，必须已经具备另一个角色r t 。实际情况中类似的前提约束条件都是对有一定业务联系或关系的角色起作用。r b a c 2 的定义如下：r b a c 2 包含了r b a c o 中所有的基本特性，除此之外增加了对r b a c o 的所有元素的核查过程，只有拥有有效值的元素才可被接受。定义集合r o l em e m b e r s ( r i ) = u l u 被分配了角色r i )s t a _ m u t e x ( r i ) = r j lr i 和r j 满足静态互斥，i 不等于j )d y n _ m t r t e x ( r i ) = r j ir i 和r j 满足动态互斥，i 不等于j m e m b e r s _ l i m ( r i ) = n l n = 0 ，n 为r i 的角色成员限制数)m e m b e r s _ n u m ( r i ) = n l n = 0 ，n 为r i 的角色成员数约束规则1 ( 静态责任互斥) ：一个用户u 所被分配的任意两个角色r i ，r j 都不能属于静态互斥角色。约束规则2 ( 动态责任互斥) ：在一次会话s 中，所激活的任意两个角色r i ，r j 都不能属于动态互斥角色。约束规则3 ( 角色基数规则) ：所能分配给角色r 的最大用户( 成员) 数量不能超过角色成员限制数。2 4 4 管理模型a r b a c 9 7通过单一的系统管理员管理r b a c 系统，根据实际的系统需求，可以采用r b a c模型家族中的某一个模型。但是对于一个具有上千个角色的大型系统而言，管理这些角色和它们之间的关系将是一个复杂的任务，在这个过程中需要涉及安全管理员组的授权问题。由于r b a c 的关键优势在于它简化了许可管理，因此a r b a c 9 7 将谈到r b a c管理自身的功能。使用r b a c 辅助管理r b a c 系统将是r b a c 全面成功的一个决定性的因素。a r b a c 9 7 模型【2 1 】的基本思想是利用r b a c 模型本身来进行r b a c 模型的管理，包括用户角色管理、权限角色管理、角色层次关系管理、限制管理等几个部分。模型的管理11第二章访问控制模型员本身也具有角色，称作管理员角色，并且也有角色继承关系。管理员用户通过拥有管理员角色得到对角色继承关系的管理权。相对于非管理员的角色继承关系，管理员角色继承关系可以是一个单独的继承关系，并且该继承关系上的每个管理员角色将对应非管理员角色继承关系上的一部分管理区域，实现一种分工明确的分布式角色管理。a r b a c 9 7 模型分为三个部分：用户角色指派管理( u r a 9 7 ) ，权限角色指派管理( p r a 9 7 ) ，以及角色继承关系管理( 认9 7 ) ，下面分别进行简要介绍。( 1 ) u r a 9 7 模型u r a 9 7 模型管理用户角色指派，从管理员的职责来看，u r a 9 7 模型分为两个部分：指派模型( g r a n tm o d e l ) 和吊销模型( r e v o k em o d e l ) 。在指派模型中，为了刻画不同层次的管理员能够管理的用户角色指派的范围，模型定义了一个关系，确定每个管理员对应于每个角色是否能够进行用户指派。考虑到管理员之间也存在一个层次关系，实际中的指派模型给每个管理员指定了一个管理范围，可以用一个区间来表示。高级的管理员角色的管理区间包含下级角色的管理区间，从而形成了一个有层次的、职责分明的管理层次【2 2 1 。对应于吊销模型，每个管理员也有一个吊销的角色区间，他可以在该区间中吊销任何角色的对应用户。根据管理员层次，同样有一个吊销的继承关系保证管理的不越级操作。由于一个角色对应的用户可以是通过角色继承关系得到的，因此在吊销模型中又可以分为强吊销( s t r o n gr e v o k e ) 和弱吊销( w e a kr e v o k e ) 。如果一个吊销操作是弱吊销，那么如果该用户是通过继承关系成为该角色的对应用户，吊销操作将不起作用；如果是强吊销，那么将强行剥夺该用户属于上层角色的权利。一般来说强吊销可能产生一些不可预知的后果，所以处理起来应该比较慎重。( 2 ) p r a 9 7 模型p r a 9 7 模型管理权限角色指派【2 3 l 。由于在r b a c 9 6 模型中权限和用户的地位是对称的，因此p r a 9 7 模型实际上是u r a 9 7 模型的一个对偶模型。p r a 9 7 模型中同样可以定义指派模型和吊销模型，也同样可以定义管理员的管理区间。在吊销模型中同样存在强吊销和弱吊销之分。( 3 ) r r a 9 7 模型角色本身的管理是整个r b a c 模型中最复杂的部分。由于角色的继承关系会影响到用户角色指派和权限角色指派，因此管理员可管理的角色区间会更加严格。类似u r a 9 7模型，每个管理员针对每一种改变角色的操作都可以定义一个方法，刻画是否可以添加1 2中国石油大学( 华东) 硕士学位论文角色、删除角色以及改变角色间的继承关系。r r a 9 7 模型中定义了多种角色区间的概念，并且给出了一些形式化的证明，保证了这些区间能够安全的实现角色模型的分布式管理1 2 4 o2 5 基于任务访问控制模型在介绍基于任务的访问控s f j ( t a s k b a s e da c c e s sc o n t r o l ，t b a c ) t 2 5 】之前，先介绍一下工作流的概念。工作流【2 6 1 是一类能够完全或者部分自动执行的经营过程，根据一系列过程规则，文档、信息或任务能够在不同的执行者之间传递、执行。实际上，工作流是为了完成某一目标而由多个相关的任务( 活动) 构成的业务流程，所关注的是处理过程的自动化，对人和其他资源进行协调管理，从而完成某项工作。当数据在工作流中流动时，执行操作的用户在改变，用户的权限也在改变，这与数据处理的上下文环境相关【27 1 ，而基于任务的访问控制正是适合工作流环境下的访问控制模型。t b a c 是一种新的安全模型，它以任务、活动为中心来建立安全模型和实现安全机制。在进行任务处理过程中，对信息对象的访问权限是随着执行任务的上下文环境而变化的，因此它是一种上下文相关的访问控制模型，又称为主动访问控制模型。2 5 1t b a c 模型组成t b a c 模型也由四个层次模型组成，与r b a c 9 6 模型的层次类似，如图2 1 所示。t b a c 3t b a c lt b a c 2vt b a c o图2 - 1t b a c 层次模型关系f i 9 2 。1r e l a t i o n s h i pb e t w e e nt b a c l e v e l sm o d e lt b a c o 是其基本模型，规定了系统的最小需求；t b a c l 在t b a c o 的基础上增加了复合授权；t b a c 2 在t b a c o 的基础上增加了约束，包括静态约束和动态约束；t b a c 3 包含t t b a c i 与t b a c 2 ，也间接包含t t b a c o 。下面介绍一下t b a c 模型中几个主要的基本概念【2 8 】：授权步( a u t h o r i z a t i o ns t e p ，a s ) ：表示一个原始授权处理步，是指在一个工作流程中对处理