（计算机应用技术专业论文）基于rbac的权限管理组件的设计与实现.pdf

摘要 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资 源不被非法使用和访问。传统的访问控制已经不能满足日益增长的安全性需求。 基于角色的访问控制( r b a c ) 通过引入角色的概念，将用户映射为在一个组织中 的某种角色，将访问权限授权给相应的角色，根据用户在组织内所处的角色进 行访问授权与控制，有效整合了传统访问控制技术的优势，又克服了他们的不 足，使执行企业保护策略的过程更加灵活，并为管理员提供了一个更好的实现 安全政策的环境。 本文以r b a c 模型为基础，采用s p r i n g 框架，结合i b a t i s 技术，设计并实 现了一个能提供完整的用户身份认证和集中的应用授权体系的权限管理组件。 论文主要工作包括： 1 具体分析r b a c 模型，结合s p r i n g 和i b a t i s 技术在组件开发中的优势， 设计了一个通用的、安全的组件应用框架。基于此框架和r b a c 模型，对组件 功能模块、访问控制和数据库进行详细设计。 2 采用s p r i n g 框架，结合i b a t i s 技术，开发实现了组件持久层、业务层和 控制层。由于s p r i n g 与多种框架( 例如s t r u t s ，j s f ) 相互整合，业务层提供的 接口可以供不同的外部应用程序调用，从而实现组件的通用性。 3 基于s p r i n g 框架的拦截机制，实现用户身份验证和权限验证。运用信息 摘要散列算法( m d 5 ) 实现用户登录口令加密传输以防止窃听，并进行数据库 口令数据加密保存，实现组件安全机制，有效地完成了访问控制、传输加密、 数据库加密的整合。 4 结合具体的项目，将权限管理组件应用到某电视台的后台管理系统中。 论文设计实现的权限管理组件已成功运用在某电视台后台管理系统中。实 践表明，该组件具有通用性好、授权灵活、安全性强的特点。 关键字：基于角色的访问控$ 1 j ( r b a c ) , s p r i n g , i b a t i s ，权限管理组件 a b s t r a c t t h ea c c e s sc o n t r o li st h em a i ns t r a t e g yo ft h en e t w o r ks e c u r i t yg u a r da n d p r o t e c t i o n ，w h i c hg u a r a n t e e st h a tt h ei l l e g a lu s e c a nn o tv i s i tt h en e t w o r kr e s o u r c e s i t i so n eo ft h em o s ti m p o r t a n tc o r es t r a t e g i e so fg u a r a n t e e i n gn e t w o r ks e c u r i t y t h e t r a d i t i o n a la c c e s sc o n t r o lc a nn o tm e e tt h ei n c r e a s i n g l ys e c u r en e e d t h er o l e b a s e d a c c e s sc o n t r o l ( r b a c ) t e c h n i q u ei n t r o d u c e st h er o l ec o n c e p t o w i n gt o r o l e ， r b a cm a k e su s e ri m a g eac e r t a i nr o l ea n de x e c u t e sa c c e s sc o n t r o lb a s e do na u s e r s r o l ei na no r g a n i z a t i o n ，w h i c he f f e c t i v e l yo v e r c o m e st h es h o r t a g e so ft r a d i t i o n a l a c c e s sc o n t r o lt e c h n i q u e i tc a nm a k et h ep r o c e s so fe x e c u t i n gs p e c i f i cp o l i c yo f p r o t e c t i o nm o r ef l e x i b l e ，w h i c hp r o v i d e sa b e t t e re n v i r o n m e n tt oi m p l e m e n tp o l i c yo f s e c u r i t yf o rt h e a d m i n i s t r a t o r b a s e do nt h er b a cm o d e la n dt a k e i n gs p r i n gf r a m e w o r ka n di b a t i st e c h n i q u e ， t h et h e s i sd e s i g n sa n dr e a l i z e st h ep r i v i l e g em a n a g e m e n tc o m p o n e n t ，w h i c h c a n p r o v i d eac o m p l e t eu s e ri d e n t i f i c a t i o na u t h e n t i c a t i o na n d t h e c e n t r a l i z e da p p l i c a t i o n a u t h o r i z a t i o ns y s t e m t h em a i nw o r ko ft h e s i si n c l u d i n g ： 1 a n a l y s i n gt h er b a cm o d e l ，c o m b i n gt h es u p e r i o r i t yo fs p r i n ga n di b a t i s t e c h n i q u ei nc o m p o n e n td e v e l o p m e n t ，d e s i g n i n gt h ev e r s a t i l ea n ds e c u r ec o m p o n e n t a p p l i c a t i o nf r a m e w o r k b a s e do nt h ef r a m e w o r ka n dr b a cm o d e l ，c a r r y i n go nt h e d e t a i l e dd e s i g n sf o rt h ef u n c t i o nm o d u l e s ，a c c e s sc o n t r o la n dd a t a b a s e 2 n a r r a t i n gt h ei m p l e m e n t a t i o np r o c e s so fp e r s i s t e n c el a y e ra n db u s i n e s sl a y e r a n dc o n t r o ll a y e ro ft h ep r i v i l e g em a n a g e m e n tc o m p o n e n t b a s e do nt h es p r i n g f r a m e w o r ki n t e r g r a t e dw i t hm a n yk i n d so ff r a m e s ( e g s t r u t s ，j s f ) ，t h eb u s i n e s sl a y e r c a na l s op r o v i d ei n t e r f a c e sf o rd i f f e r e n te x t e r i o ra p p l i c a t i o np r o c e d u r e t ot r a n s f e r , a n d r e a l i z et h ev e r s a t i l i t yo fc o m p o n e n t 3 。b a s e do nt h es p r i n gf r a m e w o r ki n t e r c e p t o rm e c h a n i s m ，d e s i g n i n ga n d i m p l e m e n t i n gt h eu s e ri d e n t i f i c a t i o na u t h e n t i c a t i o na n dt h ea u t h o r i z e da u t h e n t i c a t i o n i no r d e rt op r e v e n tt h ei n t e r c e p t i o n ，m a k i n gu s eo fm e s s a g ed i g e s t5 ( m d 5 ) t o e n c r y p tu s e rp a s s w o r dt r a n s m i s s i o n ，a n dm a k i n ge n c r y p t e dp a s s w o r dp r e s e r v e d i n d a t a b a s e ，i m p l e m e n t i n gt h es e c u r em e c h a n i s m ，e f f e c t i v e l yf i n i s h i n gt h ec o n f o r m i t yo f t h ea c c e s sc o n t r o l ，t h et r a n s m i s s i o ne n c r y p t i o n ，t h ed a t a b a s ee n c r y p t i o n 4 c o m b i n i n g t h e p r a c t i c a lp r o j e c t ，a p p l y i n g t h ep r i v i l e g em a n a g e m e n t c o m p o n e n tt ot h eb a c k s t a g em a n a g e m e n ts y s t e mo f t e l e v i s i o ns t a t i o n - t h e p r i v i l e g em a n a g e m e n tc o m p o n e n td e s i g n e da n di m p l e m e n t e db y t h et h e s i s ， h a sb e e ns u c c e s s f u l l ya p p l i e dt ot h eb a c k s t a g em a n a g e m e n ts y s t e mo ft e l e v i s i 0 1 1 s t a t i o n t h ep r a c t i c ep r o v e st h a tt h ec o m p o n e n th a sg o o dv e r s a t i l i t y , f l e x i b l ea n t h o r i z a t i o na n d s t r o n gs e c u r i t y k e yw o r d s ：r o l e b a s e da c c e s sc o n t r o l ( r b a c ) ，s p r i n g ，i b a t i s ，p r i v i l e g e m a n a g e m e n tc o m p o n e n t 独创性声明 本人声明，所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。据我所知，除了文中特翱j ：o n 以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中明确的说明并表示了谢意。 研究生签名：幽丑日期鲨塑：竖! 关于论文使用授权的说明 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅：学校可以公布论文的全部内 容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后遵守此规定) 研究生签名：选且亟导师签名：丝丝日期型翌：芏j 武汉理工大学硕士学位论文 1 1 课题研究背景 第1 章绪论 随着信息管理系统向着多用户、多应用发展，用户可访问的数据资源的结 构日益复杂，规模日益增大，各类信息系统都面临着对数据资源进行有效安全 管理的难题。因此，资源的访问控制在大型信息系统的设计与开发中占有越来 越重要的地位。访问控制作为系统底层的技术，需要防止非法用户对系统的访 问和满足不同用户对不同数据的需求。访问控制决定了谁能够访问系统，能访 问系统的何种资源以及如何使用这些资源。访问控制的手段包括用户识别代码、 口令、登录控制、资源授权( 例如用户配置文件、资源配置文件和控制列表) 、 授权核查、日志和审计。 传统访问控制策略包括自主访问控铝l j ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 和 强制访问控制( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) 1 1 。d a c 对用户提供了灵活易 用的数据访问控制方式，但它安全性较低，非法用户可以绕过它提供的安全保 护而获得访问权限，从而引起权限扩散的问题：用户a 可将其对目标o 的访问 权限传递给用户b ，从而使不具备对目标o 访问权限的b 可访问目标0 。m a c 为所有主体及其所控制的客体指定敏感标签，并根据标签进行访问控制，因此 它所提供的安全保护是很难绕过的，具有较强安全性，但m a c 的实施比较复 杂，不利于在大型应用背景下使用。 基于角色的访问控制【2 l ( r o l e b a e s d a c c e s sc o n t r o l ，r b a c ) 既具有传统访问 控制安全策略的部分特点，又符合现代企业管理模式。它借助于角色这个主体， 将原来成千上万的用户抽象成角色，用户通过角色来访问资源。通过建立以上 映射关系，基于角色的访问控制可以大大提高管理效率，减少授权管理的复杂 性，降低管理开销，而且还能为管理员提供一个比较好的实现安全政策的环境。 基于角色的权限控制模型得到了越来越广泛的认同，被广泛应用在各种计 算机系统中，它使权限管理更为简单直观、更容易维护，更适合网络系统和大 型m i s 系统的使用。 武汉理工大学硕士学位论文 1 2 国内外研究现状 随着信息系统的日趋庞大和不断复杂化、多元化，经典的d a c 和m a c 再也 不能满足不断增长的安全需求，因此从2 0 世纪7 0 年代开始，先后有人提出了 b e l l l o p a d u l a 模型、h r u 模型、t a k e g r a n t 模型、b i b a 模型等众多的访问控制模 型，但是都没有从根本上解决问题【3 1 。于是，研究者将角色( r o l e ) 作为一个管 理权限的实体单独抽象出来，并通过将r o l e 指派给用户( u s e r ) 使之获得某些 权限，进而发展成为r b a c 模型。r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 作为访问 控制的良好实现模式，是近年来在信息安全领域访问控制方面的研究热点和重 点。 第一个r b a c 模型于1 9 9 2 年由d a v i df e r r a i o l o 和r i c kk u l m 提出，称为 f e r r a i o l o k u h n 9 2 1 4 】模型。该模型第一次弓 入了角色的概念并给出其基本语义， 指出r b a c 模型实现了最小权限原则( 1 e a s tp r i v i l e g e ) 和职责分离原则( s e p a r a t i o n o fd u t y ) 。该模型中给出了一种集中式管理的r b a c 方案。1 9 9 6 年，r a v is a n d h u 和他领导的位于g e o r g em a s o n 大学的信息安全技术实验室基于角色访问控制的 理论与应用研究( l i s t ) 提出了具有里程碑意义的r b a c 9 6 模型【5 1 ，该模型完 整地描述了r b a c 基本框架，将传统的r b a c 模型根据不同需要拆分成四种嵌 套的模型并给出形式化定义，极大地提高了系统灵活性和可用性。1 9 9 7 年，他 们更进一步提出一种分布式r b a c 管理模型a r b a c 9 71 6 1 ，通过采用“角色范围” 和“先决条件”的途径来授权管理角色来用于管理r b a c 自身的模型。r a v i s a n d h u 和q a m a rm u n a w e r 又在a r b a c 9 7 的基础上提出a r b a c 9 9 7 1 。 a r b a c 9 9 首次引入了移动和非移动的用户和权限的概念，并在a r b a c 的回 收机制中引入先决条件，增强了a r b a c 的表达能力，提高了对r b a c 系统 的管理能力。a r b a c 9 7 和a r b a c 9 9 给r b a c 系统的管理问题提供了一种可行 的解决途径，能够较好地把安全策略的集中控制和分散管理结合起来，实现在 r b a c 模型基础上的分布式管理1 8 j 。 在r b a c 的发展过程中，国内外研究者在r b a c 9 6 模型家族的基础上提出 了许多扩展模型。a 1 k a h t a n i 和s a n d h u 提出了基于规则的r b a c 模型 依u l e b a s e dr b a c ) i 9 1 ，该模型在r b a c 模型中引入了规则( r o w ) ，对用户一 角色的分配采用隐式的方法，从而实现用户一角色的某种自动分配。这种非手 工且规范的授权机制可以在减轻安全管理工作量的同时，最大限度内保证系统 2 武汉理工大学硕士学位论文 的安全。b e r t i n o 等人提出了t e m p o r a l r b a c 模型【1 0 l ，该模型在访问控制框架 中引入了时间( t i m e ) 参数，在角色分配时引入时间的限制，支持权限之间的临 时依赖关系。j o s h i ，b e r t i n o 等人又对t e m p o r a l r b a c 模型进行了扩充，提出 了g e n e r a l i z e d t e m p o r a lr b a c 模型【1 1 】，进一步把时间的限制应用到了角色的层 次、职责分离等方面。 2 0 0 1 年，f e r r a i o l o 和k u h n 等人提出了一致的r b a c 模型建议，即n i s t r b a c 1 2 l ，力图统一不同模型中的术语，并对所有r b a c 的基本操作给出伪码 定义。2 0 0 4 年2 月，经过r b a c 研究团体的进一步提炼，美国国家信息技术标 准委员会( a n s i i n c i t s ) 将n i s tr b a c 定为美国国家标准( a n s ii n c i t s 3 5 9 2 0 0 4 ) 1 1 3 l 。2 0 0 6 年1 月，n i s t 发布了r b a c 实现标准草案1 1 4 1 ，草案具体 定义了一个r b a c 系统实现的各个方面，当然还有很多地方仍然等待完善。但 是可以预见，该实现标准有很大机会成为r b a c 系统实现的工业规范化文档。 目前国外r b a c 研究机构主要是美国n i s t 和g e o r g em a n s i o nu n i v l i s t 实 验室( p r o l r a v i s a n d h u ) 。n i s t 主要是进行r b a c 及其相关模型的标准化工作， l i s t 侧重于对r b a c 、r b d m 及其扩展模型的创建、形式化描述、评价分析以 及在w e b 中的应用等【1 5 】。 国内最早的相关学术论文是1 9 9 4 年华中理工大学马建平的硕士学位论文 一种无干扰的访问控制模型1 1 6 1 。国内主要是中国科学院软件研究所和华中 科技大学计算机科学与工程系，他们正在对r b a c 模型扩展和应用方面进行深 入的研究。 迄今，r b a c 研究已应用于p m i 、c o r b a 、c s c w 等体系架构中，并在电 子商务、大型信息系统中也得到广泛应用。它是目前应用最广、效果良好的访 问控制策略与模型i l7 。 1 3 论文的研究内容和组织结构 论文的研究以r b a c 的理论模型为基础，立足于组件的需求分析，采用 s p r i n g 框架，结合i b a t i s 技术，设计并实现了一个能提供完整的用户身份认证和 集中的应用授权体系的权限管理组件。论文的研究内容包括： ( 1 ) 系统地研究了访问控制技术，指出了传统访问控制方法的不足以及基 于角色的访问控制在维护系统安全方面的优势。 3 武汉理工大学硕士学位论文 ( 2 ) 分析r b a c 模型以及s p r i n g 和i b a t i s 技术在组件开发中的优势，设计 了一个实现r b a c 模型的应用框架。基于r b a c 模型和此框架，从权限管理模 块、访问控制和数据库这三个方面分别对组件进行详细设计。 ( 3 ) 采用s p r i n g 框架，结合i b a t i s 技术，实现组件持久层、业务层和控制 层。持久层采用i b a t i s 完成业务对象到数据库数据的o r 映射，简化了客户端对 数据库的操作过程。d a o 模式使数据源的物理实现细节与业务层完全分离开， 并向业务层提供的接口，实现了持久层和业务层的分离。业务层实现业务逻辑 的处理，并为控制层提供了丰富的接i = 1 。基于s p r i n g 与多种框架( 例如s t r u t s ， j s f ) 相互整合，业务层提供的接口可以供不同的外部应用程序调用，从而实现 组件的通用性，能够适应各种应用系统的需求。控制层采用s p r i n gw e bm v c 框 架，使控制层的代码可以通过s p r i n g 的依赖注入直接调用业务层的代码，降低 了控制层代码编写的难度和两层之间的耦合度。 ( 4 ) 基于s p r i n g 框架的拦截机制，实现用户身份验证和权限验证。运用 m d 5 对用户信息加密防止非法用户的登录和用户密码的泄漏，进一步加强组件 的安全性。 ( 5 ) 结合具体的项目，将权限管理组件应用到某电视台的后台管理系统中。 论文的组织结构如下： 第1 章绪论。主要介绍了课题的研究背景和国内外研究现状，并给出了 论文的研究内容和组织结构。 第2 章访问控制技术。介绍了访问控制的基本概念和策略，具体分析了 r b a c 的三种模型。 第3 章权限管理组件的设计。立足于组件的需求分析，结合s p r i n g 和 i b a t i s 技术在组件开发中的优势，设计了一个实现r b a c 模型的应用框架，并分 别给出了组件功能模块、访问控制、数据库这三个方面的详细设计。 第4 章权限管理组件的实现与应用。采用s p r i n g 框架，并结合i b a t i s 技 术，分别给出组件持久层、业务层和控制层的详细实现过程。基于s p r i n g 的拦 截( i n t e r c e p o r ) 机制，详细介绍了用户身份验证和权限验证的实现过程。再结 合具体项目，把权限管理组件应用到某电视台后台管理系统中。 第5 章总结与展望。总结了本文的工作，指出了还需改进之处，展望了 今后的研究工作和方向。 4 武汉理工大学硕士学位论文 1 4 本章小结 本章主要介绍了课题的研究背景、r b a c 在国内外的研究现状以及论文的研 究内容和组织结构。 5 武汉理工大学硕士学位论文 第2 章访问控制技术 2 1 访问控制的基本概念 访问控制是通过特定方式控制主体对客体的访问能力和访问范围的一种安 全机制。它的主要任务是保证网络资源不被非法使用和非法访问，从而使计算 机系统在合法范围内使用。它也是维护网络系统安全、保护网络资源的重要手 段，是保证网络安全最重要的核心策略之一。相对其它安全技术来说，访问控 制技术主要涉及了网络安全中的机密性和完整性，并对信息的有效性也有一定 影响作用。 访问控制包括用户、主体、客体、操作和权限等基本元素，它们是描述各 种访问控制模型的基础。 用户( u s e r ) 是指与系统交互、需要访问系统资源的人或系统，是现实世界 对系统的访问者。 主体( s u b j e c t ) 是指实际动作的发起者。主体和用户的概念既相关又有很 大的区别。用户为客观世界的系统使用者，而主体则是代理用户执行操作的实 体。因此其形式一般是代表用户执行动作的程序，一个用户可能会同时拥有多 个主体。 客体( o b j e c t ) 是指系统中可以被访问的资源。资源可以是任何形式的，如 文件、磁盘、网络等。 操作( o p e r a t i o n ) 是指主体产生的动作。操作是一个细粒度的概念，一个 任务可以包含多个操作，一个操作也可以划分为多个更细的操作。 权限( p e r m i s s i o n ) 是指执行某些行为的许可。它是访问控制中最为关键的 一个概念，权限也可以解释为在特定客体上执行特定操作的权利。 2 2 访问控制策略 访问控制策略是具体定义访问控制的一套规则，访问控制策略说明系统认 可的访问，即指定的主体对含有信息的客体能够拥有的访问权。目前的访问控 6 武汉理工大学硕士学位论文 制策略可以划分为自主访问控制( d a c ，d i s c r e t i o n a r ya c c e s sc o m r 0 1 ) 、强制访 问控制( 眦，m a n d a t o r y a c c e s s c 咖t r 0 1 ) 和基于角色的访问控制( r b a c ， r o l e b a s e da c c e s sc 0 n t r 0 1 ) 三种【1 8 j 1 3 2 】。 2 2 1 自主访问控制( d a c ) d a c 是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参 数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择 地与其它用户共享他的文件。在自主访问控制中，用户可以针对被保护对象指 定自己的保护策略1 2 1 j ： ( 1 ) 每个主体拥有一个用户名并属于一个组或具有一个角色。 ( 2 ) 每个客体都拥有一个限定主体对其访问权限的访问控制列表( a c l ， a c c e s s c o n t r o ll i s t ) 。 ( 3 ) 每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问 权限的控制。 自主访问控制是一个安全的操作系统需要具备访问控制机制。它基于对主 体及主体所属的主体组的识别，来限制对客体的访问，还要校验主体对客体的 访问请求是否符合存取控制规定来决定对客体访问的执行与否。这里所谓的自 主访问控制是指主体可以自主地( 也可能是单位方式) 将访问权，或访问权的 某个子集授予其它主体。l i n u x ，u n i x ，w i n d o w s n t 或是s e r v e r 版本的操 作系统都提供自主访问控制的功能。 自主访问控制的优点是具有很大的灵活性，客体的创建者具有对该客体的 所有访问权限并且可以将其权限授权给其他主体【2 2 1 。但由于访问权限具有传递 性，一旦权限被传递出去将很难控制，会带来很大的安全隐患。另外，由于用 户程序可以自由更改用户文件的访问控制信息，系统将无法判别更正命令是由 合法用户还是非法入侵者发出的，容易遭受特洛伊木马的攻击【1 9 l 。所以，自主 访问控制的安全级别较低。 2 2 2 强制访问控制( m a c ) m a c 是一种不允许主体干涉的访问控制类型，它是基于安全标识和信息分 级等信息敏感性的访问控制，通过无法回避的存取控制来防止各种直接和间接 7 武汉理工大学硕士学位论文 的攻击。 强制访问控制的核心思想是在系统中设置多个安全等级，同时支持强制访 问控制。主体和客体都被赋予安全级别，安全级另l j 包含两个元素：密级和范围。 主体的安全级别反映主体的可信度；客体的安全级别反映客体所含信息的敏感 度。 强制访问控制施加给用户自己客体的严格的限制，也使用户受到自己的限 制。但是，系统为了防范特洛伊木马，必须要这么做。即便是不存在特洛伊木 马，强制访问控制也有用，它可以防止在用户无意或不负责任操作时，泄露机 密信息。 安全级别高的计算机采用这种策略，它常用于军队和国家重要机构，例如 将数据分为绝密、机密、秘密和一般等几类i 埘。用户的访问权限也类似定义， 即拥有相应权限的用户可以访问对应安全级别的数据，从而避免了自主访问控 制方法中出现的访问传递问题。这种策略具有层次性的特点，高级别的权限可 以访问低级别的数据。这种策略的缺点在于访问级别的划分不够细致，在同级 间缺乏控制机制。 2 2 3 基于角色的访问控制( r b a c ) 九十年代初，随着计算机网络的迅速发展和应用系统规模的不断扩大， m a c 太强，d a c 太弱，它们都无法提供一种策略中立的、具有强扩展性的访问 控制框架。r b a c 模型就是在这种背景下被提出来的1 4 。 r b a c 的核心思想就将访问权限与角色相联系，通过给用户分配合适的角 色，让用户获得相应的访问权限。角色是根据企业内为完成各种不同的任务而 设置的，根据用户在企业中的职权和责任来设定他们的角色1 2 8 1 1 2 9 1 1 3 0 。用户可以 在角色之间进行转换，系统可以添加、删除角色，还可以对角色的权限进行添 加、删除。基于以上特点，我们就可以通过r b a c 将安全性放在一个接近组织 结构的自然层面上进行管理。 r b a c 显著的两大特征是： ( 1 ) 由于角色权限之间的变化比角色用户关系之间的变化相对要慢得多， 减小了授权管理的复杂性，降低管理开销。 ( 2 ) 灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。 r b a c 在商业和政府部门系统安全需求方面显示了极大优势，已经成为了传 8 武汉理工大学硕士学位论文 统访问控制方法的发展和补充。 2 3r b a c 模型分析 r b a c 模型是在2 0 世纪年7 0 年代提出的，后来在s a n d u 等人的提倡和推动 下得到了很大的发展。2 0 0 1 年8 月美国国家技术与标准局( m s t ) 发表了r b a c 建议标准【2 3 1 。此建议标准综合了该领域众多研究者的共识，主要包括两个部分： 第一部分是r b a c 参考模型，它定义了r b a c 的通用术语和模型构件并且界定 了标准所讨论的r b a c 领域范围；第二部分是功能规范，它定义了r b a c 的管 理操作，可以分为三类：管理功能，系统支持功能，审查功能【捌【3 1 1 。 n i s tr b a c 参考模型由3 个模型组件组成，他们分别是：核心r b a c ， 也可以叫作平面型r b a c ( f l a tr b a c ) ，层次型r b a c ，约束型r b a c 。其中带 约束的r b a c 又可以包含静态责任划分( s t a t i cs e p a r a t i o no fd u t yr e l a t i o n s ) 与 动态责任划分( d y n a m i cs e p a r a t i o no fd u t yr e l a t i o n s ) 两种方式【矧f 3 5 1 。 下面主要研究r b a c 的参考模型p j 。 2 3 1r b a c 0 ( c o r er b a c ) r b a c 0 模型为基本模型，规定了r b a c 系统所必须的满足最小要求。 r b a c 0 的结构模型如图2 - - 1 所示【2 4 1 。 用 图2 1r b a c 0 结构模型 由上图可知，r b a c 0 由五个基本要素组成，分别是用户( u s e r s ) 、角色 9 武汉理工大学硕士学位论文 ( r o l e s ) 、5 时象( o b j e c t s ) 、操作( o p e r a t i o n s ) 、- , q ：可( p e r m i s s i o n s ) t 2 2 l 【3 3 】【3 6 1 。 用户：任何直接使用计算机系统的实体，通常指人，也可为a g e n t 等智能 程序。 角色：表示系统或者组织中某一特定任务的责任和权力，可以是一个抽象 概念，也可以对应于实际系统中的某种语义体。角色的划分需要考虑安全策略 以及组织内的岗位职责等因素。 操作：它是程序可执行的反映，被用户调用和执行。操作的类型取决于实 现系统的类型。例如文件系统可能的操作有读、写、执行等。 许可：它是对在一个或多个对象上执行操作的权限。由操作和对象组成， 表示对对象的一个操作。例如，对于新闻的修改操作。 在r b a c 中的核心概念是角色，角色在语义上被构造，用于访问控制策略 管理。用户分配关系和权限分配关系，显示了r b a c 模型中两级授权的模式。 一个用户可被分配一个或多个角色，同时一个角色也可被指定给一个或多个用 户。一个角色可以被分配多个权限，同时一个权限也可以被指定给多个角色。 通过角色作为桥梁，将用户和权限联系起来，用户具有其所属各个角色的访问 权限之和。 会话：它表示的是用户和他所属角色之间的映射。用户每次必须通过建立 会话来激活角色，得到相应的访问权限。当一个用户激活他所有角色的一个子 集的时候，建立一个会话。每个会话和单个用户关联，并且每个用户可以关联 到一个或多个会话。 2 3 2r b a c l ( h i e r a r c h i c a l r b a c ) r b a c l 在r b a c 0 的基础上引入了角色层次的概念，其结构模型如图2 2 所示【2 4 1 。一般的单位或组织中，特权或职权通常具有线性关系，角色层次的概 念可以反映这种权利责任关系。r b a c l 通过角色层次的划分，实现上级领导“得 到信息的，访问权限高于下级职员的权限【2 2 1 。 1 0 武汉理工大学硕士学位论文 用 角色层次 图2 2r b a c l 模型结构图 角色层次关系是r b a c 模型的一个关键方面，它反映了一个组织中权力和 责任的自然构造角色方法，它定义了角色之间的继承关系1 2 1 1 。角色继承关系在 角色间定义了一种偏序关系，这种关系一方面是通过角色的权限来描述并实现 的。也就是说如果角色r 2 从角色r 1 继承，则角色r 1 的所有权限同时也是角 色r 2 的权限。另一方面，角色的层次同样也影响着用户与角色之间的分配关系。 假定角色心继承了角色r 1 ，而角色r 1 具有权限p 1 ，p 2 ，角色r 2 具有权限 p 3 。当用户a 被授予角色r 2 时，根据角色的继承属性，用户a 也拥有角色r 1 所拥有的权限，也就是说此时用户a 同时拥有权限p 1 ，p 2 ，p 3 。 在n i s t 标准中，对角色的层次关系又做了细分，一类是一般性层次关系， 它支持角色间任意的偏序关系，而且允许角色间的多继承，另一类是限制性层 次关系，它简化了一般性层次关系，它规定角色可以有多个角色继承者，却只 能从一个角色继承而来。其形成的树型结构相对简单，例如，一个角色可以有 一个或多个直接父节点，而只能有一个直接子节点。虽然限制性层次关系不支 持多重继承，但是它在r b a c 0 模型的基础上提供一种清晰的角色管理，在实际 实现中比较容易做到。 2 3 3r b a c 2 ( c o n s t r a i n tr b a c ) r b a c 2 除了继承r b a c 0 的原有特征外，还引入了约束( c o n s t r a i n t s ) l 拘概念。 通过设置约束条件，可以对角色授权、用户授权和角色层次进行各种必要的限 制。 武汉理工大学硕士学位论文 s a n h u 介绍了几种主要的约束：角色互斥、基数约束、先决条件约束和角色 层次约束，实际系统中最通常考虑的约束形式是用角色互斥来支持r b a c 的职 责分离原则【1 5 】。将职责分离原则的约束引入到r b a c 模型后，n i s t 标准将其 定义为c o n s t r a i n tr b a c ( r b a c 2 ) 【3 刀。r b a c 2 的约束规定了权限被赋予角色 时，或角色被赋予用户时，以及当用户在某一时刻激活一个角色时所应遵循的强 制性规则。约束与用户角色一权限关系一起决定了r b a c 2 模型中用户的访问许 可。r b a c 2 的模型结构如图2 3 所示1 2 4 j 。 用 图2 3r b a c 2 模型结构图 职责分离包括静态职责分离( s s d ：s t a t i cs e p a r a t i o no f d u t i e s ) 和动态职责 分离( d s d ：d y n a m i cs e p a r a t i o no fd u t i e s ) 2 4 1 。 ( 1 ) 静态职责分离( s s d ) ：即在系统初始化的时候，当角色授给用户时判 断是否将冲突的角色给了同一个用户。在r b a c 标准中，冲突的角色被定义为 一个二元关系，就是说，任何个用户只能拥有其中的一个。例如，出纳和会 计是两个互相排斥的角色，如果管理员已经给用户分配了出纳角色，那么就不 能再将会计角色分配给这个用户。 静态职责分离约束通过在对用户指定角色过程中设立约束来阻止一个用户 获得过多的权限。如果静态职责分离约束在角色层次中存在，那么在具有继承 关系的角色集合上进行静态职责分离约束时，我们必须非常小心，使得静态职 责分离约束不会对两个或多个具有继承关系的角色进行限制，否则我们将会无 武汉理工大学硕士学位论文 法保持一致性。 ( 2 ) 动态职责分离( d s d ) ：指相互冲突的角色可以同时给一个人，但是在 一次s e s s i o n 中不能同时扮演两个冲突的角色。例如，某个人可以是收银员或收 银员主管，收银员必须经过主管才能打开收银机的抽屉修改某次的结账错误。 如果收银员角色的一个单独的行为中需要切换到主管角色，那么d s d 要求这个 收银员必须先放弃收银员角色。也就是说，当收银员在收银时发现错误，必须 要先关闭抽屉，然后再以主管身份打开抽屉才行。 动态职责分离约束与静态职责分离约束类似，目的也是为了防止同一用户 的权限过大。所不同之处在于动态职责分离约束主要是限制当前所有会话中可 被用户激活的角色的集合，在一个用户所有的会话中，用户不能同时激活具有 动态职责分离约束的角色，这些角色可以处在同一个会话中，也可以处于不同 的会话中。无论哪种情况，用户就是不能同时进行具有动态职责分离所约束的 操作。 r b a c 模型是对自主控制和强制控制机制的改进，被认为是一种更普遍适用 的访问控制模型。r b a c 0 模型作为基本模型，规定了r b a c 系统所必须满足的 最小要求。r b a c l 在r b a c 0 模型的基础上引入了角色层次的概念，能够支持 角色之间的继承关系，提供更加清晰的角色管理。r b a c 2 在r b a c 0 模型的基 础上引入了约束的概念，通过设置约束条件，可以对角色授权、用户授权和角 色层次进行各种必要的限制。 论文以r b a c 2 模型为基础进行组件的设计与实现。 2 4 本章小结 本章首先介绍了访问控制的基本概念和策略，指出了传统访问控制方法的 不足以及基于角色的访问控制在维护系统安全方面的优势。然后具体分析了 r b a c 0 、r b a c l 、r b a c 2 三种模型的原理、特点。r b a c 0 模型作为基本模型， 规定了r b a c 系统所必须满足的最小要求。r b a c l 在r b a c 0 模型的基础上引 入了角色层次的概念，能够支持角色之间的继承关系。r b a c 2 在r b a c 0 模型 的基础上引入了约束的概念，通过设置约束条件，可以对角色授权、用户授权 和角色层次进行各种必要的限制。 1 3 武汉理工大学硕士学位论文 第3 章权限管理组件的总体设计 3 1 权限管理组件的需求分析 构建强健的权限管理组件，保证管理信息系统的安全性是十分重要的。权 限管理组件是管理信息系统中代码重用性最高的模块之一。任何多用户的系统 都不可避免的涉及到相同的权限需求，都需要解决实体鉴别、数据保密性、数 据完整性、防抵赖和访问控制等安全服务。 因为权限管理组件的设计不同，概念解释不同，采用的技术有差异，与系 统集成就存在问题，所以权限管理组件的重复开发率非常高。在企业中，不同 的应用系统都拥有一套独立的权限管理机制。每套权限管理机制只满足自身系 统的权限管理需要，无论在数据存储、权限访问和权限控制机制等方面都存在 不一致性。 采用统一的安全管理设计思想、规范化设计和先进的技术架构体系，构建 一个通用的、完善的、安全的、易于管理的、有良好的可移植性和扩展性的权 限管理组件，使其真正成为权