（计算机软件与理论专业论文）增强约束的角色访问控制模型的研究及应用.pdf

上海大学硕士学位论文 摘要 近年来，随着信息技术在现代企业和政府中的广泛应用，许多工作已越 来越多地依赖计算机而得以完成，相应的随着信息系统的广泛使用，系统 安全问题受到用户越来越多的关注。访问控制作为解决安全问题的关键技 术之一，在理论研究不断深化的基础上，有关的应用研究也得到了极大的 发展，并形成了n i t s 标准r b a c 模型。 本文在n i t s 标准r b a c 模型的基础上，提出一种扩展模型一增强约束的 角色访问控制模型。该模型在静态约束中引入权限约束类型、权限传递约 束类型这两种新的约束类型以增强静态约束；通过引入时间点序列、权限 序列，而形成另一种新型的约束一权限序列约束类型以增强模型的约束能 力。 相对于n i t s 标准模型，增强约束的角色访问控制模型将约束从用户一 角色的约束扩展至角色一角色，角色一权限，权限一权限，使得约束包含了r b a c 的所有环节和过程；并利用权限序列约束把业务逻辑转换为约束并映射到 系统中以提高系统的安全性。 本论文结合实际应用系统的需求，设计并实现了基于增强约束的角色访 问控制模型的访问控制系统。系统分为认证系统，权限系统，权限授权系 统和约束系统。在论文中，逐个详细介绍了子系统的功能特点和设计结构 以及数据关系，并进一步分析了所体现的模型理论。 关键词：基于角色的访问控制，增强约束，角色，权限，安全 v 上海丈学硕上学位论文 a b s t r a c t w i t l lt h e 、 ，i d e l ya p p l i c a t i o no fi n f o r m a t i o nt e c h n o l o g yi nm o d e r n e n t e r p r i s e sa n dg o v e r n m e n t , m o r ea n dm o r ew o r kf i n i s h e db yc o m p u t e r , a n d p e o p l eh a v ep a i dm o r ea n dm o r ea t t e n t i o no ns e c u r i t yo fs o f t w a r es y s t e m r e c e n t l y a c c e s sc o n t r o li so n eo ft h ek e yt e c h n o l o g i e st h a ts o l v et h es e c u r i t y p r o b l e m s b a s e do nt h et h e o r e t i c a lr e s e a r c h ，t h er e l a t e da p p l i c a t i o nh a v eb e e n g r e a t l yd e v e l o p e da n dr b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) m o d e lo nt h en i t s s t a n d a r dc a m ei n t ob e i n g t h er o l ea c c e s sc o n t r o lm o d e l 、i t he n h a n c e dc o n s t r a i n ti sp r o p o s e di n t h i sp a p e r i ti sae x p a n d e dr o l e b a s e da c c e s sc o n t r o lm o d e lb a s e do nr b a c t h i sm o d e li n t r o d u c et w on e wt y p ec o n s t r a i n t s ，o n ei sp e r m i s s i o n s e f ic o n s t r a i n t a n dao t h e ri sp e r m i s s i o n sc o n t r a i n ti ns t a t i cc o n s t r a i n to fn i t sr b a c ；a n d c o n s t r u c tan e wt y p eo fc o n s t r a i nw h i c hw a sc a l l e da sp e r m i s s i o n - s e q u e n c e c o n s t r a i n tb yi m p o r t i n gt h et i m ep o i n ts e q u e n c ea n dp e r m i s s i o ns e q u e n c e ，t h i s f e a t u r ee n c h a n e dt h ec a p a b i l i t yo f c o n s t r a i n ti nr b a cm o d e l c o m p a r e dt o n i t ss t a n d a r dm o d e l ，r o l e - b a s e da c c e s sc o n t r o lw i t h e n c h a n c e dc o n s t r a i n te n l a r g et h ea r e ao fc o n s t r a i n tf r o mu s e r - r o l et or o l e r o l e ， r o l e p e r m i s s i o n , p e r m i s s i o n - p e r m i s s i o n t h i si l a k et h ec o n s t r a i n te x i s t i n gi nt h e a i lp r o c e s so ft h er b a ca n da c t i n go na l le l e m e n t so fr b a c t h em o d e lc a n t r a n s l a t et h eb u s i n e s sl o g i ct oc o n s t r a i n tb yp e r m i s s i o ns e q u e n c ec o n s t r a i n tt o i m p r o v et h es e c u r i t yo fs e f i w a r es y s t e m c o m b i n e dw i t h p r a c t i c a la p p l i c a t i o nr e q u i r e m e n t ，w ed e s i g n e d a n d i m p l e m e n t e dt h ep e r m i s s i o ns y s t e mb a s e do nt h er b a cm o d e lw i t he n h a n c e d c o n s t r i a n t t h i ss y s t e mc o n s i s t so fi d e n t i t ya u t h e n t i c a t i o ns u bs y s t e m ， p e r m i s s i o nm a n a g es u bs y s t e m ，a u t h o r i z a t i o ns u bs y s t e ma n dc o n s t r a i n ts u b s y s t e m i nf o l l o w i n gs e t i o n s ，e a c hs u b s y s t e mi s i n t o d u c e ds p e c i f i c a l l yf o ri t s v i 上海人学硕士学位论文 s t r u c t u r ea n df u n c t i o n ，a n dc o r r e s p o n d i n gm o d e l c o n c e p ti sp a r t i c u l a r l y a n a l y z e d k e y w o r d s ：r b a c ，e n h a n c e dc o n s t r a i n t , r o l e ，p e r m i s s i o n ， s e c u r i t y v u i 二海人学硕i ：学位论文 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发 表或撰写过的研究成果。参与同一工作的其他同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 签名 至墼l 日期：掣； 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即： 学校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学 校可以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 上海大学硕士学位论文 第1 章绪论 随着信息技术在现代企业和政府中的广泛应用，许多工作已越来越多地依 赖计算机而得以完成。这样，许多敏感的信息和技术都是通过计算机来控制和 管理。如何确保这些不被人窃取和破坏，即如何保证它们的安全，是当今计算 机技术的研究热点。i s 0 ( 国际标准化组织) 在网络安全标准( i s 0 7 4 9 8 2 2 ) 中定义 了五个层次型安全服务( 身份认证服务、访问控制服务、数据保密服务、数据完 整性服务和不可否认服务) ，访问控制是其中的一个重要组成部分【1 】o 1 1 访问控制现状 访问控制是通过某种途径显式地准许或限制主体对客体【2 】i 3 1 的访问能力及 范围的一种方法。“它是针对越权使用系统资源的防御措施，通过限制对关键资 源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而 保证系统资源受控地、合法地使用”1 4 1 。访问控制的目的在于限制系统内用户 的行为和操作，包括用户能做什么和系统程序根据用户的行为应该做什么两个 方面。 访问控制的核心是授权策略。授权策略是用于确定一个主体是否能对客体 拥有访问能力的一套规则。在统一的授权策略下，得到授权的用户就是合法用 户，否则就是非法用户访问。控制模型定义了主体、客体和访问是如何表示和 操作的，它决定了授权策略的表达能力和灵活性。 目前主流的访问控制技术有以下四种：自主访问控制d a c ( d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) f 5 】f6 1 、强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 、 基于角色的访问控制r b a c i q ( r o l e ，b a s e sa c c e s sc o n t r 0 1 ) 和基于任务的访问 控制t b a c ( t a s k - b a s e da c c e s sc o n t r 0 1 ) 。其中自主访问控制( d a c ) 和强制访 问控制( m a c ) 属于传统的访问控制。 1 1 1 自主访问控制( d a c ) 自主访问控制是在确认主体身份以及它们所属组的基础上对访问进行限制 的一种方法。这种方法是随着分时系统的出现而产生的，兴起于2 0 世纪7 0 年 上海大学硕士学位论文 代，主要应用于类似u n i x 的系统的访问控制中。这种访问策略是通过访问控制 表判断用户或用户组的身份，并决定是否允许其使用资源。自主访问的含义是 指访问许可的主体能够向其他主体转让访问权嗍。 在基于自主访问的系统中，主体的拥有者负责设置访问权限，因而用户可 以任意传递权限，并且自主访问控制的表述直观、易于理解，而且比较容易查 出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。这些特点 使得其在商业和工业的某些领域得到广泛的应用。 但是由于在自主访问控制中，主体的拥有者负责设置访问权限，那么一个 或多个特权用户也就可以改变主体的控制权限，使得主体的权限太大，无意间 就可能泄露信息，而且不能防备特洛伊木马的攻击。同时自主访问控制是基于访 问控制表这一安全机制来控制用户访问有关数据，当用户数量多、管理数据量 大时。就会很庞大。当组织内的人员发生变化、工作职能发生变化时，维护就变 得非常困难。另外，对分布式网络系统，d a c 不利于实现统一的全局访问控制。 1 1 2 强制访河控制m a c 强制访问控制m a c 是一种强加给访问主体( 即系统强制主体服从访问控制策 略) 的一种访闯方式。m a c 起源于美国军方，其本质是基于非循环单向信息流策 略，系统中的每个主体都被授予一个安全证书，是一种多级访问控制策略。 m a c 对访问主体和受控对象都授予安全标记：一个是具有偏序关系的安全等 级标记；另一个是非等级分类标记。主体和客体在分属不同的安全类别的情况 下，都属于一个固定的安全类别s c ，这个安全类别就形成一个偏序关系。例如， 当主体s 的安全类别为t s ，而客体的安全类别为s 时，用偏序关系可以表述为 s c ( s ) ) s c ( o ) 。由此，主体对客体的读写访问积乘之后分为四种： ( 1 ) 向下读：主体安全级别高于客体安全级别时允许读操作。 ( 2 ) 向上读：主体安全级别低于客体安全级别时允许读操作。 ( 3 ) 向下写：主体安全级别高于客体安全级别时允许执行写操作。 ( 4 ) 向上写：主体安全级别低于客体安全级别时允许写操作。 m a c 利用上读下写来保证数据的完整性，利用下读上写来保证数据的保密 性，主要用于多层次安全级别的军事系统中，它通过梯度安全标签实现信息的 2 上海大学硕士学位论文 单向流通，可以有效地阻止特洛伊木马的泄露。但是m a c 的主要缺陷在于实现 工作量较大，管理不便，不够灵活，而且它过重强调保密性，对系统连续工作 能力、授权的可管理性方面考虑不足。 1 1 3 基于角色的访问控制模型r b a c r b a c 将访问控制中的主体对象和对应权限解耦，根据主体的权限特点抽 象出一种聚合体( a g g r e g a t i o n ) 一一角色。引入角色的概念，把权限授予角色而 不是直接授予主体，主体通过角色得到客体操作权限，从而实现授权。由于角 色在系统中相对于主体具有稳定性、对于角色权限的管理相对直观性，从而大 大地提高了效率，简化了授权操作和安全管理。 r b a c 从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分 角色，将访问权限与角色相联系，这点与传统的m a c 和d a c 将权限直接授 予用户的方式不同。通过给用户分配合适的角色，让用户与访问权限相联系， 角色成为访问控制中访问主体和受控对象之间的一座桥梁【9 l 【埘。 角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操 作集由系统管理员分配给角色。依据角色的不同，每个主体只能执行自己所制 定的访问功能。用户在一定的部门中具有一定的角色，其所执行的操作与其所 扮演的角色职能相匹配，这正是基于角色的访问控制( r b a c ) 的根本特征， 即：依据r b a c 策略，系统定义了各种角色，每种角色可以完成一定的职能， 不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的 成员，则此用户可以完成该角色所具有的职能【l l 】。 r b a c 是在1 9 9 6 年由美国g e o r g em a n s i o nu n i v r a v is s a n d h u 教授提出的， 并形成了r b a c 9 6 1 2 】模型家族。 在r b a c 模型中的基本元素包括i ”】： 用户( u s e r ) ：系统的使用者。可以是人、计算机、机器人等，一般指人。 角色( r o l e ) ；对应于组织中某一特定的职能岗位，代表特定的任务范畴。 角色的例子有：经理、采购员、推销员等。 许可( p e r m i s s i o n ) ：表示对系统中的客体进行特定模式访问的操作许可， 例如对数据库系统中关系表的选择、插入、删除。在应用中，许可受到特定应 3 上海大学硕士学位论文 用逻辑的限制。 r b a c 模型的基本操作包括： 用户分配、许可分配：用户与角色，角色与许可之间的关系都是多对多 的关系。用户分配是指根据用户在组织中的职责和能力被赋予对应角色的成员。 许可分配是指角色按其职责范围与一组操作许可相关联。用户通过被指派到角 色间接获得访问资源的权限。进行许可分配时，应遵循最小特权原则( t h el e a s t p r i v il e g er u l e ) ，即分配的许可集既能保证角色充分行使其职权，又不能超越 职权范围。 会话( s e s s i o n ) ：用户是一个静态的概念，会话则是一个动态的概念。 一次会话是用户的一个活跃进程，它代表用户与系统进行交互，也叫主体 s u b j e c t 。用户与会话是一对多关系，一个用户可同时打开多个会话。 活跃角色集( a r s ) ：一个对话构成一个用户到多个角色的映射，即会话 激活了用户授权角色集的某个子集，这个子集被称为活动角色集，a r s 决定了 本次会话的许可集。 1 1 4 基于任务的访问控制t b a c 在t b a c 中，对象的访问控制权限控制不是静止不变的，而是根据信息在 系统内的流动和任务情况，灵活甚至主动的更新授权信息来实现访问控制，是 一种主动安全模型【1 4 j 。 t b a c 是由美国g e o r g em a s o n 大学的r ss a n d h u 教授提出的，其基本思想 有以下几点f 1 5 】： 将访问许可与任务相结合，每个任务的执行都被看作是主体使用相关访问 许可访问客体的过程。在任务执行过程中，因为任务都是有时效性的，所以在 基于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。 1 访问许可的有效性与任务的执行状态有关，只有当任务处于运行状态 时，主体才能使用许可。 2 任务与任务之间存在着一定的依赖关系。t b a c 是在工作流的环境考虑 对信息的保护问题，在工作流环境中，每个任务的执行都与以前的任务 相关，相应的访问控制也是一样。 4 上海大学硕士学位论文 t b a c 从应用和企业层角度来解决安全问题( 而非以往从系统的角度) 。他 采用“面向任务”的观点，从业务( 活动) 的角度来尽力安全模型和实现安全 机制，在任务处理的过程中提供动态实时的安全管理。 1 2 基于角色的访问控制的发展。 基于角色的访问控制r b a c ( r o l e b a s e da c c e s sc o n t r o l1 是由美国国家标准 化和技术委员会( n i s d 的f e r r a i o l o 等人在9 0 年代提出的。1 9 9 2 年，由d a v i d f e r r a i o l o 和r i c h a r d k u h n 提出r b a c 的基本原则，这也是r b a c 最基本的内容。 1 9 9 6 年，美国g e o r g em a s o n 大学信息和系统工程系的r s a n d h u 等人在对 r b a c 进行深入研究的基础上提出了一个基于角色的访问控制参考模型一一 r b a c 9 6 模型，对角色访问控制产生了重要影响。 2 0 0 1 年8 月n i s t 发表了r b a c 建议标准。该标准综合了众多研究者的共 识，包括两个部分：r b a c 参考模型和功能规范。参考模型定义了r b a c 的通用 术语和模型构件，并且界定了标准所讨论的r b a c 领域范围；功能规范定义了 r b a c 的管理操作。它是目前最为完整和全面的r b a c 规范。 中国科学院软件研究所和华中科技大学计算机科学正在对r b a c 模型扩展和 应用方面进行深入的研究。国内研究人员在r 队c 9 6 模型家族的基础上提出了许 多扩展模型。比如基于任务和角色的访问控制模型t r b a c 。基于工作流和角 色的访问控制模型w r a b c ，基于多数据库工作流与角色的访问控制( m d w r b a c ) 模 型等。并在对r b a c 9 6 模型的扩展和对a r b a c 9 7 模型的融合方面做了部分的研究。 1 3 研究内容和意义 基于角色的访问控制模型凭借其灵活的授权机制、强大的管理功能和安全 策略越来越引起人们的研究兴趣，随着研究的不断深入，模型也不断地发展和 完善。n i t s 标准r b a c 模型统一了人们对r b a c 模型的认识。n i t s 标准模型 定义了r b a c 系统所必须的最小需求，也定义了r b a c 模型支持的两种约束： 静态约束和动态约束，具有可靠的安全性和灵活性，因此得到了广泛的应用。 但是n i t s 标准模型所定义的两种约束不能满足安全性要求更强的应用系 统，这类的系统要求的约束涉及范围更为广泛，约束能力更强。针对n i t s 标 准模型在约束中的不足，本文在n i t s 标准模型定义的约束基础上，对其约束 5 上海大学硕士学位论文 进行扩展，并将业务逻辑引入约束中，以满足实际应用系统的要求。 1 4 本章小结 本章简要介绍了主流的四种访问控制模型，并分析了每个模型的优点与不 足，并介绍了本课题研究的内容和意义。 6 上海大学硕士学位论文 第2 章n i t s 标准r b a c 模型 基于角色的访问控制模型凭借其灵活的授权机制、强大的管理功能和安全 策略越来越引起人们的研究兴趣，随着研究的不断深人，模型也不断地发展和 完善。r b a c 基础模型规定了r b a c 系统所必须的最小需求，在此基础上s a n d h u 等提出了r b a c 9 6 模型。r b a c 9 6 模型增加了角色等级概念和约束概念从而使 得模型更加接近现实。但是r b a c 9 6 模型对r b a c 模型的管理，特别是复杂环 境和分布式环境下的r b a c 管理没有给出明确的方法和描述，s a n d h u 等人对此 进行了研究，提出了运用r b a c 来管理r b a c 的a r b a c 9 7 模型。a r b a c 9 7 模型在常规的r b a c 9 6 模型上增加了管理角色、管理许可及它们之间的分配关 系，增强了可管理性。2 0 0 1 年美国n i t s 提出了n i t s 标准r b a c 模型，n 1 t s 标准模型( 也称参考模型) 在r b a c 模型基础上，将r b a c 9 6 ，a r b a c 9 7 模 型及其应用子模型统一起来，并用完整的数学方法进行了描述和定义，这样形 成了统一的模型理论框架，为r b a c 模型的研究和扩展提供了基础理论，并成 基于角色的访问控制模型应用的指导性模型。n i t s 标准模型的提出使得基于角 色的访问控制模型逐步从传统的概念形式转变成为一个具有完整数学模型和系 统理论框架的应用研究领域。 n i t s 标准模型由4 个部件模型组成，这4 个部件模型分别是：基本模型( c o r e r b a c ) ，角色分级模型( h i e r a r c h a lr b a c ) ，角色约束模型( c o n s t r a i n tr b a c ) 和统一模型( c o m b i n er b a c ) i t 6 。 2 1 基本模型( c o r er b a c ) c o r er b a c 是n i t s 标准r b a c 的核心【”】，也是r b a c 家族最基础的模型， c o r er b a c 模型的成员和关系如图2 1 所示。c o r er b a c 基本静态成员由用户 ( u s e r s ) 、角色( r o l e s ) 、客体( o b j e c r s ) ，操作( o p s ) 和权限( p r m s ) 构成。c o r er b a c 定义了两种分配关系即用户角色，角色权限。可以赋予一 个角色多个授权，一个授权也可以赋予给多个角色，一个用户可以扮演多个角 色，一个角色也可以以接纳多个用户。c o r er b a c 包括一系列会话 ( s e s s i o n s ) ，当每个用户进入系统的时候，就得到一个会话，一个会话可以 7 上海大学硕士学位论文 激活该用户全部角色的一个子集，用户获得的是全部被激活角色的所有授权i 矧。 在c o r er a b c 中，每个角色至少具备一个授权，每个用户至少扮演一个角色。 一个用户能同时拥有多个会话。在第一章第三节中对r b a c 基本要素做了语义 上的定义，在此基础上对c o r er b a c 的形式化描述： 1 ) u s e r s ，r o l e s ，o p s ，和o b s ( 用户，角色，操作和客体) 。 2 ) u a - u s e r sxr o l e s ，用户和角色间的分配是多对多的映射关系。 3 ) a s s i g n e d _ u s e r s ( r ：r o l e s ) - - - 2 u s e r s ，角色r 在用户集合上的映射，其形式化 的表示为：a s s i g n e du s e r s ( r ) = u e u s e r si ( u ，0 u a 。 4 ) p r m s = 2 ( o p s x o b s ) ，权限集合是由操作和客体的多对多的映射关系构成。 5 ) p a p r m sxr o l e s ，权限分配是权限与角色之间的多对多的分配关系， 6 ) a s s i g n e d _ p e r m i s s i o n s ( r ：r o l e s ) 一2 腿啪，角色在权限集合上的映射，形式 化表示为：a s s i g n e d _ p e r m i s s i o n s ( r ) = p p r m si ( p ，0 p a 。 7 ) o p ( p ：p r m s ) 一 o p _ c o p s ，权限到操作的映射，得到与权限p 相关的操 作集。 8 ) o b ( p ：p r m s ) 一 叩o b s ，权限到对象的映射，得到与权限p 相关的对 象集。 9 ) s e s s i o n s ，会话集合。 1 0 )u s e rs e s s i o n s ( u ：u s e r s ) 一2 8 8 s s 舢，用户u 在会话集合上的映射。 1 1 ) s e s s i o n _ r o l e ( s ：s e s s i o n s ) 一2 r o l e s ，会话s 在角色集合上的映射。 1 2 ) a v a i l _ s e s s i o n _ p e r m s ( s ：s e s s i o n s ) _ 2 豫啪，用户在会话中能够得到的 有效权限，表示为 ： a v a i ls e s s i o n _ p e r m s ( s ) = u a s s i g n e d p e r m i s s i o n s ( r ) 自e s 1 l o n 一，o j r b a c 模型在用户与权限之间，引入了一个角色概念作为中介，而不是象一 般的用户管理系统那样自接将用户与权限捆绑。这样，在添加或者修改一个用 户权限的时候，只要简单的将相应的角色赋予用户就行了，大大地减轻了用户 管理上的强度。权限其实是一个抽象，在应用的时候，它是对象与操作的捆绑。 c o r er b a c 定义了能构成一个r b a c 控制系统的最小的元素集合。在 8 上海大学硕士学位论文 r b a c 之中权限被赋予角色，而不是用户，当一个角色被指定给一个用户时， 此用户就拥有了该角色所包含的权限。会话s e s s i o n s 是用户与激活的角色集合 之间的映射。c o r er b a c 与传统访问控制的差别在于增加一层间接性带来了灵 活性。h i e r a r c h a lr b a c ，c o n s t r a i n tr b a c ，都是在c o r er b a c 上的扩展。 图2 1c o r e r b a c 2 2 等级角色模型( h i e r a r c h a lr b a c ) h i e r a r c h a lr b a c 引进了角色层次的概念来支持角色的继承性，即一个角色 可以通过继承其他一个或多个角色来定义。当一个角色继承了另一个角色后， 就自动获得了被继承角色所有被赋予的权限。在数学上，层次是偏序的关系。 一个偏序关系满足自反、传递和反对称关系。继承之所以满足自反关系，是因 为角色能够继承它自己的许可。而传递关系是角色自然的要求，反对称关系排 除了因相互继承而产生冗余角色的可能性。h i e r a r c h a lr b a c 的层次结构反映了 职权的线性关系，可以实现多级安全系统所要求的保密级别的排列和保密存取 的范畴。h i e r a r c h a l r b a c模型如 图 2 2所示 9 上海大学硕士学位论文 角色分级r h 图2 2h i e r a r c h a lr b a c 在h i e r a r c h a lr b a c 中，角色分层根据用户的受限关系来管理：角色r l 包 含角色r e ，如果具有角色r l 的用户也具有角色r 2 的权限。然而，用户约束 策略意味着拥有r l 的用户至少拥有r e 的权限，但是r l 和r 2 的权限继承在用 户分配中没有任何暗示。 h e r a r c h a lr b a c 包含两个子类型：一般角色分级和受限角色分级。一般角 色分级包括权限与用户的多继承关系，也就是说只需角色的继承关系是绝对的 偏序关系即可；受限角色分级在一般角色分级基础上增加了不同的限制形成了 一个树结构( 譬如，一个角色可以有多个子节点，但是只能有一个父节点) 。 1 1 一般角色分层 r h r o l e s x r o l e s 是角色上的一个偏序，称为继承关系，用 - 表示， 当且仅当所有r e 的权限也是r l 的权限并且r 1 的用户也是r 2 用户时，才有 r t 三r 2，譬如：r l 兰r 2 寺a u t h o r i z e d _ p e r m i s s i o n s ( r 2 ) a u t h o r i z e x t _ p e r m i s s i o n s ( r 1 ) a u t h o r i z e d _ u s e r s ( r 0 a u t h o r i z e d _ u s e r s ( r 2 ) a u t h o r i z e d _ u s e r ( r ：r o l e s ) - - 2 u s e r s ，角色r 在用户集上的映射，这个用户 集在当前给出的角色分级中定义。一般有： l o 上海大学硕士学位论文 a u t h o r i z e d _ u s e r s ( r ) = u c u s e r s i r 至r ( u ，f ) u a a u t h o r i z e d _ p e r m i s s i o n s ( r ：r o l e s ) - - 2 p a r e ，角色r 在权限集上的映射，这个 权限集在当前角色分级中给出。一般有： a u t h o r i z e d _ p e r m i s s i o n s ( r ) = p e p r m s ir 兰r ，0 ，r ) e p a 一般角色分级支持多继承。多继承提出了两个重要的继承属性【阍。第一个 是一个角色可以由多个子角色构成，因此具有多个组织机构和商业机构独有的 关系。第二，多继承使用户角色分配和角色继承形成一致。用户可以包含在角 色级内，用相同的关系来表示用户角色分配，也可以表示从一个角色到其用户 间的权限继承。 受限角色分层 在一般角色分层的基础上增加一个限制：vr , q j 2e r o l e s ，r 卜_ r t 三r 2 2 ，r t = r 2 h i e r a r c h a l 砌认c 引入角色间的继承关系，角色问的继承关系可分为一般 继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序 关系，允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一 个树结构。 2 3 角色约束模型c o n s t r a i n tr b a c 在r b a c 模型中，用户通过角色得到授权，由于用户与角色是多对多关系， 即一个用户可能得到多个角色，这就有可能使得用户同时得到多个相互冲突的 角色，比如：会计角色和出纳角色，在现行的会计体制中会计不能同时是出纳， 即会计角色和出纳角色不能同时授予一个用户。为了减少和消除这种冲突， c o n s t r a i n tr b a c 模型增加了职责分离关系。这种关系分为两种约束模式【1 9 2 0 1 。 静态约束s s d ( 静态职责分离) ，动态约束d s d ( 动态职责分离) 。 静态约束主要在用户角色分配过程中添加约束，包括角色间的约束、角色 继承关系的约束，这些约束也可以用来检测和防止角色在继承关系上的冲突。 静态约束具有多种表现形式。例如如果两个角色被指定具有约束，则一个用户 不能同时被指定为该两个角色1 2 1 l 【2 2 1 。另一个静态职责分离中，包括对一个角色 1 1 上海大学硕士学位论文 可以被指定给用户的数量进行限制，这种限制可能同时包括上限和下限。 形式化描述如下： 1 ) 静态责任分离 若用1 8 表示角色集，t 表示璐的一个子集，n 表示, - 2 的自然数，( r s n ) 表示砖中分配给用户角色个数不能超过n 。 s s d _ _ ( 2 r o 。眵r , 0 表示静态责任分离中( 硌，n ) 的集合，则有： v ( m ，n ) e s s d ，v t 墙：nj n ，。a s s i g n e d _ u s e r ( r ) = d 2 ) 基于角色分层的静态责任分离 角色分层的静态责任分离是不但基于用户角色分配，而且还基于用户授权 上，表现形式如下： v ，n ) e s s d ，v tc _ _ r s ：i ti 乏n n 日a u t h o r i z e d _ u s e r s ( r ) = 静态约束模型如图2 3 图2 3 静态约束模型 动态约束是程序级上的约束，是针对用户和角色集建立的一个会话，当角 色集中的角色处在激活状态时，可以动态添加对用户的权限约束，在操作上也 是将约束加在用户角色分配上。这种约束是随着会话的变化而变化，体现这种 约束的动态特征。这样可以从两个方面减少和避免冲突的发生。 上海大学硕士学位论文 其形式化表描述如下： d s d ( 2 8 0 。瞄xn ) 表示动态约束( 墙，n ) 的集合，若用r s 表示角色集，n 表 示z 2 的自然数，( i s ，n ) 表示墙中用户在会话中激活的角色个数不能超过n 。 v i s 2 r o 璐，n e n ，( r s ，n ) e d s d 毒n 之2 i r s l z n vs s e s s i o n , v1 5 2 r 幡，vr o l e _ s u b s e t 2 r o 峭，vn e n ，( i s ，n ) d s d ，r o l e _ s u b s e t _ c _ r s ，r o l e _ s u b s e t _ _ c _ s e s s i o n _ r o l e ( s )i r o l e _ s u b s e t i n 动态约束模型如图2 4 角色分级r h 图2 4 动态约束模型 2 4n i t s 标准r b a c 模型存在的不足 n i t s 标准r b a c 模型中的c o n s t r a i n t r b a c 部件模型引入了职责分离关系， 并通过静态约束和动态约束来对用户，角色进行约束。静态约束在用户角色分 配过程中添加约束，包括角色间的约束、角色继承关系的约束；动态约束在操 作上也是将约束加在用户角色分配上并且这种约束是随着会话的变化而变化。 即n i t s 标准模型是通过对用户角色的分配上进行约束，无论是静态的用户角 色分配还是在会话过程中的动态分配来减少和消除冲突。但是随着应用环境的 复杂化，企业规模的扩大化以及安全环境的变化，使得n i t s 标准r b a c 模型 暴露了如下问题。 上海大学硕士学位论文 1 模型约束对象不平衡性。在r b a c 模型中，约束主要作用的焦点一直集 中在用户和角色所处的主体部分，其中包括角色与角色之间的继承关系，角色 之间。忽略了角色与权限之间，权限与权限之间，甚至操作与客体之间的约束。 基于角色的访问控制的基本要素包括用户，角色，操作，客体和权限构成，仅 仅将约束作用于用户和角色不能完全避免冲突也不能保证系统的安全。随着应 用系统的复杂程度的提高，操作，客体的类型也呈现多样化，复杂化，n i t s 标 准r b a c 建立在权限抽象化的中立策略已不能适应。 2 约束不具备时序性。在n i t s 标准r b a c 中用户拥有的角色只要不冲突 就可以在会话中使用这些角色所赋予的权限访问系统资源，并且对这些系统资 源的访问也是无序的。但是在实际中却存在这样的一种情况：你必须打开第一 个抽屉后才能打开第二个抽屉。r b a c 的约束策略对此无能为力，只能让程序 员编写到程序中进行控制，增加了程序的复杂性。 3 不具备上下文关联约束能力。在n i t s 标准r b a c 用户和角色的分配过 程中，只要不违反职责分离关系，那么角色分配给用户是没有先后关系，也没 有关联关系的。这就要求管理角色必须对用户以及用户需要的最小角色十分了 解，但是管理角色有可能错误的把用户不应该有的角色分配给用户，也有可能 把用户应该有的角色遗漏，使得管理变得复杂和困难。 4 不具备业务流控制能力。n i t s 标准r b a c 用户得到授权就可以使用权 限访问系统资源，但是对于一些具有业务流程控制的资源就不安全了，有可能 由于业务流问题造成系统资源的破坏或泄漏。 5 对管理员的失误性操作没有保护能力。一旦管理角色把角色错误的分配 给了不应该拥有该角色的用户，按照n i t s 标准r b a c 的原则，用户得到授权 就可以访问资源，而产生由于管理员的失误操作造成的系统资源的“非法访问” ( 从r b a c 角度看是合法的，但是从企业资源的访问控制来看是非法的。) 2 5 本章小结 本章对n i t s 标准模型做了详细的说明，n i t s 标准模型是具有统一的模型 理论框架，并用完整的数学方法进行了描述和定义了的模型，为r b a c 模型的 研究和扩展提供了基础理论，并成为基于角色的访问控制模型应用的指导性模 上海大学硕士学位论文 型。n i t s 标准模型的提出使得基于角色的访问控制模型逐步从传统的概念形式 转变成为一个具有完整数学模型和系统理论框架的应用研究领域。 本章对n i t s 标准模型的4 个部件模型分别做了描述和形式化定义，并在此 基础上分析了n i t s 标准模型在约束上存在模型约束对象不平衡性、约束不具 备时序性、不具备上下文关联约束能力、不具备业务流控制能力、对管理员的 失误性操作没有保护能力等缺陷。 上海大学硕士学位论文 第3 章增强约束的角色访问控制模型 为了解决n i t s 标准r b a c 模型存在的不足，本文提出一种增强约束的角色 访问控制模型。该模型以n i t s 标准模型为基础，将约束的范围从用户角色分配 过程扩展至角色权限分配过程，并将增加对客体、操作的约束：引入时间序列 概念并与r b a c 模型中的角色，权限结合形成一种新的约束类型：权限时序约束； 改变模型中客体的中立抽象策略，增加客体的状态属性而产生另一个约束类型： 客体状态约束。通过以上对n i t s 标准模型约束的扩展来解决n i t s 标准模型约 束的不平衡性、约束不具备时序性、不具备上下文关联约束能力、不具备业务 流控制能力、对管理员的失误性操作没有保护能力等不足。 3 1n i s t 标准r b a c 模型中授权约束 在n i s t 标准r b a c 模型中，授权约束可分为静态授权约束( s s d ) 和动态授权 约束( d s d ) 两种类型。静态授权约束决定用户不能被指定给一个冲突角色集合中 的两个或多个角色。动态授权约束则限制用户不能同时激活一个冲突角色集合中 的两个或多个角色。下面给出这两种约束形式化描述【1 6 1 ： 定义l as s d ( 静态责任分离) 。s s d _ 2 跏hx n ，该关系满足v ( 。) s s d ， v t _ r s ：i t l - n n a s s i g n e d _ u s e r s ( r ) = d 自 定义l bh s s d ( 继承关系下的静态责任分离1 。s s d _ 2 8 0 虹x n ，该关系满足 v 幛，n ) s s d ，v t c r s ：m 2 n na u t h o r i z e d _ u s e r s ( r ) = o m 定义l cd s d ( 动态责任分离) 。d s d 2 x n ，该关系满足v 。2 如k 。， n e n ，( i s ，n ) e d s d = * n ，2 n i r s i 芑2 ，并且v 。e n , ( r s ，n ) e d s d ，r o l e _ s e t