（通信与信息系统专业论文）基于门户访问的角色划分与授权规则定制方法研究.pdf

武汉理工大学硕士学位论文 摘要 校园门户作为数字化校园的窗口，以浏览器的方式向校园用户展现数字化 校园的各种应用信息。它能有效地整合各类校园应用之间的缝隙，集成各种结 构化和非结构化的信息资源，为用户提供统一的资源入口、整体的安全机制及 统一的用户管理，从而根据每个用户角色、权限的差异，提供个性化的服务。 因此，在校园门户的建设中，用户管理和访问权限控制是门户建设的一个重要 的技术基础。本课题作为学校数字化校园建设背景下的一个基础研究子项目， 其研究目的及意义在于：基于l d a f 目录服务，实现统一的用户身份管理；引 入角色概念，探索研究一种符合门户访问需求的基于角色的访问控制系统；为 数字化的校园提供良好的信息管理服务，推动校园各应用系统的协同工作和资 源共享。 本文首先针对当前流行的几种访问控制模型和l d a p 目录服务技术进行了 分析研究。在此基础上，通过分析门户建设中的访问控制需求和目标，提出了 一种扩展的基于角色的访问控制模型。该模型从学校机构组织特点出发，引入“岗 位”和“任务”概念。加入对用户属性和客体届性特征、安全级别的考虑，实现了 灵活安全的访问控制。 其次，以扩展的访问控制模型为基础，结合o r a c l e 目录服务技术，提出了 一套符合门户需求的统一身份认证方案袒访阀控制授权方案。 最后，从实现的角度，通过对o r a c l ea sp o r t a l 体系结构及其相关技术的分 析研究，实现了基于s t r u t s 应用的p o r t l e t 的开发和门户整合。 关键词：门户，r b a c ，l d a p ，访问控制，身份认证 武汉理工大学硕士学位论文 a b s t r a c t a st h ew i n d o wo fd i g i t a lc a m p u s ，c a m p u sp o r t a ls h o w sa v a r i e t yo fa p p l i c a t i o n s t ot h ec a m p u su s e r si nt h ew a yo fb r o w s e r i tc a ne l i m i n a t et h eg a po ft h ea p p l i c a t i o n s a n di n t e g r a t es t r u c t u r e da n du n s t r u c t u r e dr e s o u r c e se f f e c t i v e l y i ta l s op r o v i d e st h e u n i f i e de n t r a n c ef o rt h e r e s o u r c e s ，h o l i s t i cs e c u r i t ym e c h a n i s m sa n du n i f o r m m a n a g e m e n tf o rt h eu s e r s t h e ni tp r o v i d e sp e r s o n a l i z e ds e r v i c ea c c o r d i n gt ot h e d i f f e r e n c eo fu s e rr o l e sa n dp e r m i s s i o n s t h e r e f o r e ，d u r i n gt h ec o n s t r u c t i o no ft h e c a m p u sp o r t a l ，n s f f rm a n a g e m e n ta n dp e r m i s s i o na c c e s sw i l lb et h ei m p o r t a n t t e c h n i c a l e l e m e n t s a s as u b - p r o j e c t o f t h e b a s i cr e s e a r c hu n d e r t h e b a c k g r o u n d o f t h e d i g i t a lc a m p u sc o n s t r u c t i o n , t h ep u r p o s ea n ds i g n i f i c a n c eo ft h i sd i s s e r t a t i o ni st o r e a l i z eu n i f i e dn s o ri d e n t i t ym a n a g e m e n to nt h eb a s eo fl d a p d i r e c t o r ys e r v i c e ；t o e x p l o r eaa c c e s sc o n t r o ls y s t e mw h i c hi sb a s e do nt h er o l e sb yt h ei n t r o d u c i n gt h e c o n c e p to ft h er o l e ；t op r o v i d eg o o di n f o r m a t i o nm a n a g e m e n ts e r v i c e sf o rt h ed i g i t a l c a m p u s ；t op r o m o t et h ec o o p e r a t i o na n dr e s o u r c e sc o m m u n i o no ft h ec a m p u s a p p l i c a t i o n s f i r s t l y , t h i sd i s s e r t a t i o na n a l y z e ss e v e r a la c c e s sc o n t r o lm o d e i sw h i c ha r e p o p u l a rc u r r e n t l y , a n dd o e sr e s e a r c hf o rl d a pd i r e c t o r ys e r v i c et h e c m o l o g y o nt h i s b a s i s ，b ya n a l y z i n gt h er e q u i r e m e n t sa n dt a r g e t so ft h ea c c e s sc o n t r o lw h i c hw i l lb e f a c e dd u r i n gp o r t a lc o n s t r u c t i o n ，a l le x t e n d e dr o l eb a s e da c c e s sc o n t r o lm o d e li s p r o p o s e d s t a r t i n gf r o mt h ec h a r a c t e r i s t i co ft h es c h o o lo r g a n i z a t i o n s ，t h ec o n c e p to f t h eq u a r t e ra n dt a s ka r eb r o u g h ti nt h en e wm o d e l m o r e o v e r , u s e r s a t t r i b u t e sa n d o b j e c t s 7 c h a r a c t e r i s t i ca r et a k e nu n d e ra d v i s e m e n ti nt h en e wm o d e l i naw o r dt h e n e wm o d e li si m p l e m e n t e da saf l e x i b l ea n ds e ：c n r ea c c e s sc o n t r o lm o d e l s e c o n d l y , b a s i n go nt h ee x t e n d e da c c e s sc o n t r o lm o d e la n do r a c l ed i r e c t o r y s e r v i c et e c h n o l o g y , t h es o l u t i o nf o ru n i f o r mi d e n t i t ya u t h e n t i c a t i o na n da c c e s sc o n t r o l a u t h o r i z a t i o ni sp r o p o s e di nt h i sd i s s e r t a t i o n f i n a l l y , f r o m t h ev i e w p o i n to fr e a l i z a t i o n ，t h i sd i s s e r t a t i o n a n a l y z e sa n d r e s e a r c h st h eo r a c l ea sp o r t a la r c h i t e c t u r ea n dr e l a t e dt e c h n o l o g y i nt h ee n d ，as t r u t s a p p l i c a t i o nb a s e dp o r t l e ti si m p l e m e n t e d ，a n dt h i sp o r t l c ti si n t e g r a t e dw i t hp o r t a l ， k e yw o r d s ：p o r t a l ，r b a c ，l d a p ，a c c e s sc o n t r o l ，i d e n t i t y a u t h e n t i c a t i o n h 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 签名：垩墨塑日期：堡坚苎! 丝 关于论文使用授权的说明 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即学校有权 保留、送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部 或部分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 武汉理工大学硕士学位论文 1 1 课题背景 第1 章绪论 当前，信息网络化正在延伸到社会的每个角落，这种趋势已成为一种不 可抗拒的潮流，随之引出了政府上网工程、企业上网工程、电子政务、电子商 务、电子管理、政府内部网、企业网、数字神经系统和数字化办公等一系列新 概念。其中，电子政务近几年受到了广泛的关注。而随着电子政务建设的不断 推进，作为电子政务分支的教育电子政务建设倍受关注，正在各高校如火如荼 的进行着。 一方面，随着高校信息化建设的不断推进、校园网规模的不断扩大，信息 共享互联互通日益成为校园数字化建设中匾临的一重大课题。另一方面，由于 各类信息系统相对独立、信息的有效利用律低，以及所产生的信息孤岛、协同 办公水平较低等问题阻碍了校园信息化建设的进一步发展。基于以上问题，通 过建设基于门户技术的数字化校园网为学校内部实现资源共享、通信、协作， 提供个高效、方便、快捷的网络环境，实现统一访问接口、数据共享、管理 网络化、教学手段现代化及服务个性化，已成为当前数字化校园建设的当务之 急。与此同时，由于应用的多元化，校园门户建设的安全问题就凸显出来了。 本课题作为学校数字化校园建设背景下的一个基础研究子项目，其研究目 的及意义在于：基于l d a p 目录服务，实现统一的用户身份管理；引入角色概 念，探索研究一种符合门户访问需求的基于角色的访问控制系统；为数字化的 校园提供良好的信息管理服务，推动校园各应用系统的协同工作和资源共享。 i i 1 数字化校园门户建设中安全体系面临的挑战 一般而言，应用系统的安全问题主要包括：身份认证、访问控制、安全审 计及日志、安全技术及应用四个部分。随着数字化校园门户建设的逐步推进， 健全的安全机制与解决方案日益成为门户建设的重中之重。然而，在学校信息 化建设过程中，已经建立了一大批各种各样的系统。由于各系统是独立建立起 来的，每个系统都有自己独立的用户管理体系，各个系统各自保存自己的用户 武汉理工大学硕士学位论文 和权限相关的信息，系统之间互不相通，从而造成用户在不同的系统中有不同 的身份信息。这种局部认证的方式，当把所有的应用系统进行整合时，信息的 重叠和冲突弊端将会爆发出来，对数字化校园的管理提出了挑战。其次，非法 入侵的用户或因合法用户的不慎操作所造成的越权访问、破坏资源等不安全因 素的存在，也对数字化校园中门户安全体系的建设敲响了警钟。同时，信息的 共享、可访性与信息的保密性等一系列权限管理的问题也殛待解决。由此，建 立一套健全而可靠的适应数字化校园门户访闯的身份管理策略、角色划分和授 权规则，是目前数字化校园中急需解决的一个热点问题。 1 1 2 授权与访问控制机制在校园门户建设中的重要- 眭 校园门户不仅要面向校园网内部用户，还要面向校园网外部用户。满足学 校的远程用户、学生以及教职工等从校外访问校园信息门户的需求。而门户安 全的根本目标是要将对门户资源和信息的访问权限限制在那些需要访问这些资 源和信息的用户范围。由此，为了保证校园门户的安全性，对信息和资源的访 问加以控制是必不可少的。访问控制技术主要是验证用户访问的合法性，它的 主要功能是对系统资源的使用权限进行控制，控制合法的用户可以访问哪些受 控的信息，可对哪些信息进行哪些操作等。同时，它通过限制用户访问关键资 源，对防止非法用户的入侵，或合法用户的不慎操作所造成的破坏有举足轻重 的作用。因此，建立一个良好适用的访问控制模型，将极大地提高校园门户的 安全性。 然而，安全的访问控制通常还与实际的作业流程、安全策略有紧密的关联。 因此，设计一套符合作业流程需求的、符合校园门户访问的用户分组、角色划 分方法和权限授予、权限管理机制，则成为实现安全访问控制的前提。基于角 色的访闷控制，实行以用户职能为基础的权限管理，是目前较完善的种安全 访问控制机制。但是，如果把基于角色的访问控n ( r b a c ，r o l eb a s e aa c c e s s c o n t r 0 1 ) 生搬硬套地运用于校园门户建设中时会发现，面对学校庞大的用户基数 和多样化的资源，如果对权限的分配粒度要求比较高，则角色、用户、权限都 会是两位数甚至三位数，在这种情况下角色的划分、角色问的继承关系、角色 与权限的关系等都需要大量的工作才能完成，同时增加了角色间继承的矛盾。 另一方面，如果组织结构与角色结构不吻合，则无法借助角色解决组织结构的 统一授权问题。例如，部长的权力高于副部长，但在应用系统中，部长可能只 2 武汉理工大学硕士学位论文 有查询权，副部长却拥有读写全，这时候就出现了角色问继承关系的矛盾。因 此，有待考虑的是能否将组织结构引入r b a c 模型，在门户访问控制中发挥组 织结构的作用。此外，结合门户系统的需求，还需考虑到：门户访问中要求在 用户登录时动态绝将用户与角色进行匹配，印系统将根据登录用户的属往特征 的动态变化而动态地改变用户的角色。如何把这些需求和传统的r b a c 模型相 结合来满足校园门户访问的实际需求则显得尤为重要和意义深远。 1 1 3 目录服务及l d a p 相关技术在校园门户建设中的重要性 随着数字化校园建设的逐步推进，校园门户建设的开展，数字化校园的建 设要求不仅仅在于硬件设施，它是一个很广的概念。数字化校园的总体框架可 以分为三个层次：网络、存储与计算环境；信息服务基础平台；各种应用系统。 其中，信息服务基础平台为具体应用提供支持，所有内部的资源和服务在统一 部署下通过门户发布，形成数字化校园的统一窗口。校园门户建设的基本要求 就是对网络资源迸行统一管理，这就需要使用目录服务建立校园统一的资源管 理体系。 现阶段广泛使用的目录服务协议l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s s p r o t o c 0 1 ) 协议，已经由第一代的作为x 5 0 0 的t c p i p 网关发展到了第三代 x 5 0 9 v 3 的一种独立的目录服务协议。由于i d a p 所具有的查询效率高、树状的 管理模式、分布式的部署框架以及灵活而细腻的访问控制等技术特性，并且目 录服务的三维组成( 信息内容、客户机的位置、服务器的分布状况) 都是相互无关 的，因此l d a p 在数字化校园建设中有着广泛的应用前景首先，可以利用目 录中的组来表达门户访问的用户对象和资源服务对象之间的联系；其次，通过 校园门户与目录的紧密协作，确保安全认证驱动单点登录；再次，已授权的用 户可基于其在目录中定义的关联属性，由校园门户为之提供个性化的界面和资 源。可见，建立一个基于l d a p 目录服务的统一身份管理基础架构将从用户认 证、访问控制和门户个性化等多方面来全面支撑校园门户的建设。 1 2 本文研究的内容与思路 本文的研究目标是探索数字化校园门户建设下的整体安全解决方案，研究 校园门户信息服务基础平台建设中的基于目录服务的统一用户身份管理、角色 武汉理工大学硕士学位论文 划分与授权访问控制等安全需求的实现机制。主要研究内容包括以下几方面： ( 1 ) 在o r a c l ea p p l i c a t i o ns e r v e r1 0 和o r a c l ed a t a b a s e1 0 9 环境下，采用o r a c l e i n t e r n e ld i r e c t o r y ( o r a c l e 目录服务) ，结合我校电子校务的实际状况，规划并制 定出数字化校园环境下用户身份信息及其它认证信息存储方案( l d a ps c h e m a ) ， 为后续的安全解决方案提供用户及网络资源的数据准备。 ( 2 ) 在当前流行的o r a c l e 身份管理方案基础之上，研究我校数字化校园应用 下的用户身份管理系统，实现统一和集中的用户管理。为基于校园门户的授权 与访问控制等安全服务提供用户管理及身份认证功能。 ( 3 ) 分析和比较当前普遍使用的几种访问控制模型，主要对基于角色的授权 与访问控制技术进行分析和讨论。结合校园门户建设的特点，在目前的对角色 研究的基础上，对用户分组和角色集进行进一步优化，将组织结构引入r b a c 模型，探索一种符合校园门户访问的访问控制模型。 ( 4 ) 通过对学校机构建设结构的研究，结合我校电子校务现实应用情况下的 一些业务系统和业务流程，对权限集进行分类，加强对授权过程的约束，扩展 基于角色访问的符合门户需求的动态的授权方案。 ( 5 ) 提出一套基于我校数字化校园门户建设的安全支撑系统实现方案，并结 合门户技术实现校园应用的整合， 本文的主要研究思路：首先，从学校的机构数据入手，按机构所设置的岗 位对上岗人员进行身份管理，将角色与岗位绑定。其次，按分组授权的原则， 对岗位进行纵向( 行政级别) 和横向( 同类业务) 组合，实现灵活的授权机制。 1 3 本文的组织结构 第1 章绪论，阐述本课题的研究背景及安全机制研究在校园门户建设中的 重要性，说明本文的研究内容与思路以及本文的章节安排。 第2 章门户访问安全机制的关键技术基础，介绍安全访问控制技术，对四 种常见的访问控制模型进行了研究和分析比较，并简要介绍了l d a p 和目录服 务技术。 第3 章基于门户访问的扩展的角色访问控制研究和授权规则定制，在分析 校园门户建设中的安全需求和目标的基础上，对基于角色的访问控制模型进行 了扩展，对改进后的模型给出了定义，提出了基于门户访问的角色划分策略和 4 武汉理工大学硕士学位论文 授权规则。 第4 章校园门户的安全支撑系统设计实例，根据前章提出的访问控制模型， 结合武汉理工大学数字化校园门户建设的特点，设计门户安全访问控制方案。 第5 章校园门户的应用整合，简要介绍o r a c l e a s p o r t a l 体系结构，使用j a v a 技术开发p o r t l e t ，实现校园门户的应用集成。 第6 章总结与展望，对全文进行总结，并提出后续研究的内容和展望。 5 武汉理工大学硕士学位论文 第2 章门户访问安全机制的关键技术基础 2 1 安全访问控制技术 随着信息安全技术的发展，访问控制越来越受到人们的重视。访问控制， 就是通过某种途径准许或限制访问能力及范围的种方法。一个安全的网络需 要可靠的访问控制服务做保证，尤其是当网络规模比较大、用户数量比较多的 时侯。通过访问控制服务，可以限制对关键资源的访问，防止非法用户的入侵 或者因合法用户的不慎操作所造成的破坏。 2 1 1 安全访问控制技术概述 电子政务系统的安全体系主要包括六个部分1 1 】：物理安全、网络安全、数据 安全、应用系统安全、安全制度建设、安全教育与培训。其中，应用系统安全 可分为用户身份认证、访问控制及权限管理、安全日志及审计、以及包括数据 加密、数据摘要、数字签名、时阃戳验证等在内的安全技术及其应用。教育电 子政务作为国家电子政务建设的重要组成部分，是教育信息化建设的主要方面 之一，是实现教育管理现代化的重要手段。访问控制作为电子政务安全服务内 容之一，是保护数据安全的一项重要途径，对提高系统安全的重要性是不言而 喻的。 访问控制是指主体依据某些控制策略或权限对客体本身或其资源进行的不 同授权访问。访问控制系统一般包括【2 】： ( 1 ) 主体( s u b j e c t ) ：发出访问操作、存取要求的主动方，通常指用户或用户 的某个进程； ( 2 ) 客体( o b j e c t ) ：被调用的程序或欲存取的数据，即被访问的对象，包括信 息系统中的一些活跃元素，如程序、进程、数据、信息、信息系统的网络服务 和功能、信息系统的网络设备设施等； ( 3 ) 控制策略：一套规则，用以确定一个主体是否对客体拥有访问能力。 访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选 用与管理，最后是对非法用户或是越权操作进行管理。所以，访问控制包括认 6 武汉理工大学硕士学位论文 证、控制策略实现和审计三方面的内容。 2 1 2 访问控制模型 美国1 9 8 5 年的计算机安全标准t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o n c d t e r i a ) “f i 定了两种类型的访问控制：强制型访i h l 控制( m a c ) 和自主型访问控制 ( d a c ) 。它们已经在许多应用系统中得到广泛的应用，对计算机系统的安全做出 了很大的贡献。 然而，传统的访问控制技术已不能满足现代系统安全的需求，安全需求的 发展对访问控制技术提出了新的要求。主要有以下两方面： ( 1 ) 与应用领域有关的安全需求大量涌现，传统访问控制技术很难满足这种 需求： ( 2 ) 网络和分布式技术的发展，使得访问控制要立足于单位或部门的网络来 设计和实施，甚至还需考虑其开放性，以便于协作单位间的系统互连。 为了满足新的安全需求，f e r r a i o l o 和k u h n 在1 9 9 2 年提出了基于角色的访 问控s f j ( r b a c ) 。考虑到网络安全和传输流，又提出了基于任务的访问控$ i j ( t b a c ) 和基于对象的访问控$ 1 j ( o b a c ) 等其它模型。 2 1 2 1 自主访问控制模型( d a cm o d e l ) 自主访问控制( d a c ) 最早出现在七十年代初期的分时系统中，它是多用户环 境下最常用的一种访问控制技术。它是在确认主体身份以及它们所属组的基础 上，对访问进行限定的一种方法。称其为自主型，是因为在d a c 系统中，一个 拥有一定权限的主体可以直接或间接地将权限传给其它主体。由此，自主访问 控制模型的特点就是授权的实施主体自主负责赋予和回收其他主体对客体资源 的访问权限( g r a n t & r e v o k e ) 。d a c 模型一般采用访问控制矩阵和访问控制列表 来存放不同主体的访问控制信息，从而达到对主体访问权限的限制目的。 对于一个系统，如果采用自主访问控制，则可在每一项资源对象上直接设 置用户的权限，也可针对每一用户组设定权限，每个组对应一定的岗位、职位、 职责，而把用户置于一个或多个组中，实现权限管理。它的缺点是一旦组织内 的人员发生离职，升职，换岗等人事变动或者职能发生变化，都要管理员对每 一项资源重新设置用户许可的诸多细节。当资源对象数目庞大、组织机构结构 复杂、变动频繁时，访问控制的授权管理就需要花费很大的人力，而且容易出 7 武汉理工大学硕士学位论文 错，也无法实现动态的和复杂的安全政策【3 j 。 针对d a c 的不足，一些学者对它提出了一系列的改进措施。其中， m h h a r r i s o n 、w i l r u z z o 和j d ，u l l m a n 通过对传统d a c 的扩充，提出了客体 主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自 主式的h r u 访问控制模型 4 1 。h r u 模型提出了管理员可以限制客体访问权限 的扩散，但没有对访问权限扩散的程度和内容做出具体的定义。 2 1 2 2 强制性访问控制模型( m a cm o d e l ) 为了实现比d a c 更为严格的访问控制策略，美国政府和军方开发了各种各 样的控制模型，这些方案或模型都有比较完善的和详细的定义。随后，逐渐形 成强制性访问控制模型，并得盈f 广泛的商业关注和应用。 强制性访问控制【5 j ( m a c ) ，顾名思义，即系统强制主体服从访问控制策略。 m a c 是基于安全标识和信息分级等信息敏感性的访问控制，通过比较资源的敏 感性与主体的级别来确定是否允许访问。当一个主体访问一个客体时必须符合 各自的安全级别需求，特别是如下两个原则必须遵守： ( 1 ) r e a dd o w n ：主体安全级别必须高于被读取对象的级别； ( 2 ) w r i t eu p ：主体安全级别必须低于被写入对象的级别。 m a c 机制由系统中心管理部门进行管理和实施，用户在自由选择访问控制 时无权进行任何参数的修改，只有系统安全管理员有此权力。在m a c 方式的机 制下，极少发生安全策略被破坏和客体保护不完全的情况发生。除非信息文件 声明扩展菜用户的访闯权限，否则该用户对此信息文件的访问权限是固定的。 因此，m a c 方式主要适合于多层次安全级别的军事应用。 相比d a c 而言，m a c 虽然可以抵御用户滥用职权等攻击，但它仍存在不 足之处。主要体现在以下两个方面： ( 1 ) 用户共享数据的机制不灵活，m a c 不允许一个进程生成共享文件，这 样虽然可以防止进程通过共享文件将信息从一个进程转移到另一个进程，但这 对合法用户却是一种限制。 ( 2 ) 应用领域比较窄，使用不灵活，一般只用于军方等具有明显等级观念的 行业领域。 8 武汉理工大学硕士学位论文 2 1 2 3 基于角色的访问控制模型( r b a cm o d e l ) 随着网络的迅速发展，对访问控制服务的质量也提出了更高的要求，而自 主访闯控制技术和强制性访问控制技术的局限性已经越来越明显，已经很难满 足当前需求 6 1 。d a c 技术中存在着用户滥用职权、用户问的关系不能在系统中 体现出来、不易管理及信息容易泄露，不能抵御特洛伊木马( t r o j a nh o r s e ) 的攻击 等一系列不足。而m a c 由于过于偏重保密性，对其它方面如系统连续工作能力、 授权的可管理性等又考虑不足。 进入九十年代以来，一种基于角色的访问控制技术限b a c ) 引起了人们的广 泛关注，它有效地克服了传统访问控制技术中存在的不足之处，减少了管理的 复杂性，降低了管理开销，并且为管理员提供一个较好的实现安全策略的环境。 目前，各国的众多学者和研究机构都在从事这方面的研究，如美国的 n i s t ( n a t i o n a li n s t i t u t eo fs t a n d a r dt e c h n o l o g y1 7 1 和g e o r g em a s o n 大学的 u s t ( l a b o r a t o r y o f i n f o r m a t i o ns e c u r i t y t e c h n o l o g y ) t 叫等。 r b a c 的核心思想就是将访问权限与角色相联系【9 j f t 0 i ，通过给用户分配适合 的角色，让用户与访问权限相联系。这样通过应用r b a c ，将安全性放在一个接 近组织结构的自然层面上进行管理。 ( 1 ) r b a c 中的基本概念i ) 1 1 2 ) 用户( u s e r ) ：一般指系统的使用者，主要指人，也可以是计算机或网络， 用户与角色是多对多的关系。 角色( r o l 0 ；指定的完成某些工作的功能的抽象，一般对应于企业组织 结构中一定的职能岗位，描绘了被赋予此角色的用户所拥有的权力和职责。 许可( p e r m i s s i o n ) ：表示操作许可的集合，即用户对信息系统中的对象进 行某种特定模式访问的操作许可。在系统中对一个或多个客体进行特定模式访 问的操作许可，与实现机制密切相关。操作许可的本质取决于其所在的应用系 统的实现细节，如操作系统中保护的是文件、目录、设备、端口等资源，相应 操作为读、写、执行；而在关系数据库管理系统中保护的是关系、元组、属性、 视图，相应操作为s e l e c t , u p d a t e , d e l e t e ，i n s e r l 。许可与角色是多对多的关系。 会话( s e s s i o n ) ：会话是一个动态概念，用户激活角色集时建立会话。会 话是一个用户和多个角色的映射，因此用户与会话是一对多的关系，个用户 可以同时打开多个会话，每个会话可以拥有许多不同的操作权限。 9 武汉理工大学硕士学位论文 用户分配、许可分配：用户分配，指根据用户在组织中的职能被赋予为 各个角色集的成员。许可分配，指角色按其职责范围与一组操作许可相关联。 用户通过被指派到角色，从而间接获得访问资源的权限。进行许可分配时，应 遵循最小特权原贝j j ( t h el e a s tp r i v i l e g er u l e ) ，即分配的许可集既能保证角色充分 行使其职权，又不能超越职权范围。 活跃角色集( a r s ) - 一个对话构成一个用户到多个角色的映射，即会话 激活了用户授权角色集的某个子集，这个子集被称为活跃角色集( a r s ，a c t i v e r o l es e 0 ，a r s 决定了本次会话的许可集。 ( 2 ) r b a c 的模型 在目前所出现的几种r b a c 模型中，r s ，s a n d h u 等提出的r b a c 9 6 模型 t 3 l “i 系统地、全面地描述了r b a c 多层次的意义而得到了广泛的认可。 r b a c 9 6 是由四个撅念模型：r b a c o ，r b a c l ，r b a c 2 和r b a c 3 组成的一 个模型家族。图2 - 1 描述了各子模型的关系及其本质。 r b a c 3 r b a c lr b a c 2 r b a c o r b a c 3 图2 1 r b a c 9 6 模型图 r b a c o l l 5 】：基本模型，该模型体现r b a c 的核心概念角色关系。模 1 0 武汉理工大学硕士学位论文 型定义如下： a u ，r ，p ，s 分别表示用户集，角色集，许可集和会话集。 b u a _ u x r ，u a 是用户分配，表示此分配是多对多的关系。 c p a p x r ，p a 是许可分配，表示此分配是多对多的关系。 d u s e r ：s u ，表示会话s i 对应单一用户u s e r ( s i ) 的映射，此映射在会话过 程中是恒定的。 已r o l e s ：s 一2 8 ，表示会话s f 到角色集r o l e ( s i ) _ c r l ( u s e r ( s i ) ，r ) e u a ) 的映 射。 r b a c l 【1 5 】：层次模型，在r b a c o 的基础上增加了角色层次的概念，即上 层角色继承下层角色的访问权限。 由于继承关系是一种很自然的角色组织方式，用以反映现实世界中权力和 义务的组织关系，因此，角色层次可以反应一个组织和一个部门的责任权力关 系，表明职位之间的层次结构。 角色间的继承关系( 1 6 】又可分为一般继承关系和受限继承关系： a 一般继承关系( g e n e r a lh i e r a r c h i c a lr b a c 0 ：上层的角色可以继承下层角色 的属性和权限，没有任何限制条件。一般继承关系仅要求角色继承关系是一个 绝对偏序关系，它允许角色问的多继承。 b 受限继承关系( r e s t r i c t e dh i e r a r c h i c a lr b a c ) ：在一般继承关系的基础上强 化了上层角色所能继承的权限范围和继承上的管理限制。其中的角色继承关系 是一个树结构，且角色之间不存在多继承。如，r l - - r 2 表示r l 是f 2 的直接父 亲，且在r 1 与r 2 之间没有其他任何角色。这样可能要求一个角色可以有一个 或多个直接父亲，但只能有一个直接儿子( 相反的情况也是可能的) 。 r b a c 2 1 7 1 ：约束模型，在r b a c o 的基础上增加了约束( c o n s t r a i n t s ) l 拘概 念。 为了防止单个用户获得过大的权限，约束条件将在用户分配角色和激活角 色的过程中发挥作用。其中对于责任的划分又分为两类： a 静态责任划分( s t a t i cs e p a r a t i o no fd u t yr e l a t i o n s ) 若两个角色被指定具有静态约束，则一个用户不能同时被指定给这两个角 色。另一方面静态限制也可能包括对一个角色可被指定给用户的数量进行限制， 这种限制可能同时包括上限和下限。 b 动态责任划分( d y n a m i cs e p a r a t i o no fd u l yr e l a t i o n s ) 1 1 武汉理工大学硕士学位论文 依据最小权限原则，某些角色可以指派给同一人，但是不可以同时激活这 些角色，这些角色间的关系称为弱互斥。 r b a c 3 ：层次约束模型，该模型兼有r b a c l 和r b a c z 的特点，由于传 递性也间接地具有r b a c o 的特点。 ( 3 ) r b a c 的基本原则 角色继承 为了提高效率，避免褶同权限的重复设置，r b a c 采用了“角色继承”的概念， 定义了这样的一些角色，它们有自己的属性，但可能还继承其他角色的属性和 权限。角色继承把角色组织起来，能够很自然地反映组织内部人员之间的职权、 责任关系【1 8 1 ； 最小权限原则 所谓最小权限原则是指，用户所拥有的权限不能超过他执行工作时所需的 权限。实现最小权限原则，需分清用户的工作内容，确定执行该项工作的最小 权限集，然后将用户限制在这些权限范围之内。 职责分离 对于某些特定的操作集，某一个角色或用户不可能同时独立地完成所有这 些操作。“职责分离”可以有静态和动态两种实现方式。r b a c z 模型充分体现了“职 责分离”的思想。 角色容量 在创建新的角色时，要指定角色的容量。在一个特定的时间段内，有一些 角色只能由一定人数的用户占用。 可见，r b a c 之所以倍受青睐主要体现在以下几大优点之中：角色和角色 继承可以简单、直观的把企业的组织结构映射到信息系统中，易于应用。一 旦权限初始设置好之后，就不再需要做大的调整。因为权限是直接与角色相对 应，而不是用户。即使出现人员调动频繁的现象，但工作岗位的职责定义本身 一般来说相对稳定，而权限控制是基于工作岗位，而非基于职员的，所以人员 的调动并不会太多的影响到权限控制机制。支持访问权限的委托机制。这些 优点使得r b a c 非常适用于应用层的安全模型，因为在应用层内角色的逻辑意 义明显而直接。 但是，r b a c 模型仍存在一定的局限性。r b a c 模型的基本出发点是以主体 为中心来考虑整个安全系统的访问控制，且只能局限于用户角色来制定安全策 武汉理工大学硕士学位论文 略，所以它只针对有关主体的安全特性进行了深入研究，而没有涉及到有关访 问控制中的客体的安全特性等内容，这样就忽略了访问控制过程中对客体安全 特性的抽象，从而可能造成整个安全系统的安全策略的不平衡，降低了模型对 现实世界的表达力和可用性。 2 1 2 4 基于任务的访问控制模型 基于任务的访问控制c ) 采用“面向任务”的观点，从任务( 活动) 的角度来 建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理 1 s l q 2 1 1 。在t b a c 中，对象的访问权限控制并不是静止不变的，而是随着执行任 务的上下文环境发生变化，因此称其为主动安全模型。 作为一种主动访问控制模型，t b a c 的授权与传统访问控制模型的授权有很 大的不同。 传统访问控制模型的授权一般用三元组( s ，0 ，p ) 表示，其中s 表示主体，o 表示客体，p 表示许可。如果存在元组( s ，o ，p ) ，则表明s 可在o 上执彳亍p ； 否则，s 对0 无任何操作许可。但这些三元组都是预先定义好并静态地存放在 系统中的。 在t b a c 中，授权用五元组( s ，o ，p ，l a s ) 来表示。其中s ，0 ，p 的含义不 变，l 表示生命期，a s 表示授权步。如果p 是授权步a s 所激活的权限，l 则 是授权步a s 的存活期限。可见，l 和a s 是t b a c 不同于其它访问控制模型的 显著特点。在授权步a s 被触发之前，它的保护态是无效的，其中包含的许可不 可使用。当授权步a s 被触发对，它的委托执行者开始拥有执行者许可集中的权 限，同时它的生命期开始倒记时。在生命期期间，五元组( s ，0 ，p ，la s ) 有效； 当生命期终止，即授权步a s 被定为无效时，五元组( s ，o ，p ，la s ) 无效，委 托执行者所拥有的权限被回收。 可见，t b a c 通过引入授权步和权限生命周期的概念实现了权限的动态管 理，在任务执行过程中，通过将任务分割成子任务，实现了分割后子任务的权 限下放。但是，t b a c 仅讨论了授权步的内部属性和由授权步组成的授权结构体 之间的依赖关系，却忽视了任务的不同状态性特征。 1 3 武汉理工大学硕士学位论文 2 2l d a p 与目录服务技术 2 2 1l d a p 与目录服务概述 目录是一种专门被优化用于执行读、浏览、搜索等操作的数据库，可以包 含网络以及在网络上运行的应用程序所需的信息【矧。它倾向于包含具有描述性 的、基于属性的信息，并且支持高度复杂的过滤搜索功能。 目录服务提供对目录信息的访问。目录服务的实现方式有多种，不同的方 式允许目录存储不同种类的信息，对目录信息的引用、查询、更新也有不同的 要求。其中全局目录通常是分布式的，目录信息存储在网络上的多台主机上， 多台主机联合提供目录服务。常用的目录服务的应用有：n d s ( n o v d ld i r e c t o r y s e r v i c e s ) 、n i s ( n e t w o r k i n f o r m a t i o ns e r v i c e s l 、w i n d o w sn td o m a i n s 和 a d s ( a c t i v ed i r e c t o r ys e r v i c e s ) 。 l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c o l ，轻量级目录访问协议1 。一般是 基于x 5 0 0 标准的，但与x 5 0 0 不同的是l d a p 支持t c p i p ，这对访问i n t e m e t 是必须的。可以简单地把l d a p 目录看成是一种数据库，不过这种数据库不是 关系数据库，而是采用树状( 链式) 结构存储的数据库。因此基于l d a p 目录服务 的应用更易于使用和管理，目录信息的共享也为应用的开发提供了方便。 此外，对目录的访问可以通过访问控制表( a c l ，a c c e s sc o n t r o ll i s t ) 来控 制。a c l 提供极其细粒度的访问控制，而且a c l 将这种控制与l d a p 安装结合 在一起，而不是与请求信息的客户机结合在一起。此外，可以容易地将l d a p 与大多数现有的安全性层或认证系统( 例如s s l ，k e r b e r o s 和p a m 等) 集成在一 起。 2 2 2 目录服务中数据的存储方式和组织结构 l d a p 的信息模型描述了能够在目录中存储的数据类型和基本的信息单元。 目录的基本信息单元是条目( e n t r y ) ，即关于对象的信息集合。通常，条目中的信 息说明真实世界的对象，比如一个人。如果查看一个典型的目录，就会发现数 以千计的条目与人、部门、服务器、打印机等组织中的真实对象对应。 目录中的条目用l d i f 文本格式表示。l d i f 是一种用文本格式表示目录的 标准方式，用来从目录服务器导出数据或者向目录