（计算机科学与技术专业论文）一种可信度可动态调节的rbac策略模型的研究.pdf

原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：幽丝整日期：丝生年上月旦日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名：蓝嶝导师签名塑塑望日期：鲨年月日 a nr b a cm o d e lo nd y n a m i c a l l ya d ju s t a b l et r u s td e g r e e s p e c i a l t y ：c o m p u t e rs c i e n c ea n dt e c h n o l o g y m a s t e rd e g r e ec a n d i d a t e ：h u x i - l i n g s u p e r v i s o r ：p r o f w a n gg u o - j u n s c h o o lo fi n f o r m a t i o ns c i e n c ea n de n g i n e e r i n g ， c e n t r a ls o u t h u n i v e r s i t y , c h a n g s h a ，h u n a n ，p r c m a y 2 0 1 0 摘要 访问控制策略有效地保障了信息系统的安全性，它是指实施允许 被授权的主体对某些客体的访问，同时拒绝向非授权的主体提供服务 的策略。随着信息化步伐的加快和计算机技术的发展，信息安全问题 也成为了人们关注的焦点。人们不断地研究各种访问控制策略从而增 加信息的安全。因此，设计一种好的访问控制策略模型成为了研究的 热点。 本文首先介绍访问控制的基本知识并列举了几种典型的访问控 制策略模型，接着着重分析了r b a c 访问控制策略模型以及可信计算 平台，并针对使用口令认证的环境提出了一种可信度可动态调节的 r b a c 策略模型。传统的r b a c 模型权限的分配是静态的，因此用户 的操作行为也是静态的。该模型很好地改善了这一问题，提出动态改 变可信度值，实现了用户在安全可靠的系统环境下设置初始可信度值 并根据用户申请及完成任务的情况动态改变用户可信度值，从而改变 用户的角色及行使的权限。 本文还在一种可信度可动态调节的r b a c 策略模型上提出了一 种基于可信计算平台的策略模型，主要是引入可信计算平台管理中心 的概念，结合密码的方式从而增加可信度值的安全性，最终达到整个 系统安全的提高。 本文的研究为认证提供了安全保障，解决了用户的信任问题，以 及对可信计算平台的研究具有理论价值与指导意义。 关键词：访问控制，r b a c ，可信度，可信计算平台，动态调节 a bs t r a c t a c c e s sc o n t r o l s t r a t e g ye f f e c t i v e l yp r o t e c t s t h e s e c u r i t y o f i n f o r m a t i o ns y s t e m s i ti n c l u d e sa c c e s s i n gf r o ma l l o w a b l ea u t h o r i z e d s u b je c te n t i t i e st oo b j e c te n t i t i e s ，a n dt h es t r a t e g yo fr e je c t i n gt op r o v i d e s e r v i c e st on o n a u t h o r i z e ds u b je c te n t i t i e sc o n c u r r e n t l y t h ei n f o r m a t i o n s e c u r i t yp r o b l e mh a sb e c o m eam a j o rf o c u sa st h ei n v o l v e m e n ta n d d e v e l o p m e n to ft h ec o m p u t e rt e c h n o l o g y s o a ne x c e l l e n td e s i g no f a c c e s sc o n t r o ls t r a t e g ym o d e lh a sb e c o m eah o tr e s e a r c ht o p i c t h i st h e s i sf i r s ti n t r o d u c e st h eb a s i cc o n c e p t so fa c c e s sc o n t r o lb y l i s t i n g s e v e r a lc l a s s i c a la c c e s sc o n t r o l s t r a t e g ym o d e l t h e n ，i t e m p h a s i z e so na n a l y z i n gt h er b a ca c c e s sc o n t r o ls t r a t e g ym o d e la n d t r u s t d e g r e ep l a t f o r m f i n a l l y ，i tp r o p o s e s a nr b a cm o d e lo n d y n a m i c a l l ya d j u s t a b l e t r u s t d e g r e e u n d e rp a s s w o r da u t h e n t i c a t i o n e n v i r o n m e n t t h et r a d i t i o n a la u t h o r i z a t i o na l l o c a t i o no fr b a cm o d e li s s t a t i c ，s ou s e r s o p e r a t i o nb e h a v i o r sa r es t a t i c i no r d e rt oi m p r o v et h e s o l u t i o nt o w a r d st h i sp r o b l e m ，w ep r o p o s ead y n a m i ca d ju s t a b l et r u s t d e g r e e ，w h i c hi sa b l et oc h a n g eu s e r s c h a r a c t e r sa n da u t h o r i z a t i o np o w e r b e c a u s ead y n a m i ca d j u s t a b l et r u s td e g r e er e a l i z e st h a tw eb u i l du pi n i t i a l t r u s td e g r e ei nat r u s t e ds y s t e me n v i r o n m e n ta n dd y n a m i c a l l ya d ju s t u s e r s t r u s td e g r e eb ys t a t eo f u s e r s j o ba p p l i c a t i o na n dd o n e t h i st h e s i sa l s op r o p o s e sas t r a t e g ym o d e lb a s e do nt r u s tc o m p u t i n g p l a t f o r mf r o m t h e b l u e p r i n to fa nr b a cm o d e lo nd y n a m i c a l l y a d j u s t a b l et r u s td e g r e e i tm a i n l yi n t r o d u c e st h ec o n c e p to ft r u s td e g r e e p l a t f o r mm a n a g e m e n tc e n t e r ，t o g e t h e rw i t hp a s s w o r di no r d e rt oi n c r e a s e t h es e c u r i t yo ft r u s tv a l u e ，s o ，i tc a ni m p r o v et h es e c u r i t yo ft h ew h o l e s y s t e m t h i st h e s i sp r o v i d e sa ni n s u r a n c ef o ra u t h e n t i c a t i o n ，i ta l s os o l v e s u s e rt r u s t i n g p r o b l e m s ，a n dh a sam a j o rt h e o r e t i c a la n di n s t r u c t i o n a l s i g n i f i c a n c et o w a r d sr e s e a r c ho nt r u s tc o m p u t i n g k e yw o r d s ：a c c e s sc o n t r o l ，r b a c ，t r u s td e g r e e ，t r u s t e dc o m p u t i n g i i p l a t f o r m ，d y n a m i c a l l ya d ju s t a b l e i i i 目录 摘要i a b s t r a c t i i 第一章绪论1 1 1 访问控制策略简介1 1 2 访问控制策略分类2 1 3 访问控制框架3 1 3 1g f a c 框架3 1 3 2f l a s k 结构4 1 3 3m a c 框架5 1 4 论文的研究内容及意义6 1 5 论文的组织结构6 第二章r b a c 访问控制策略和可信计算平台的研究现状8 2 1r b a c 访问控制策略的研究8 2 1 1r b a c 模型的角色要素8 2 1 2r b a c 的特点和优势1 1 2 1 3r b a c 的相关研究1 2 2 2 可信计算平台的研究1 4 2 2 1 可信计算平台简介1 4 2 2 2 可信计算平台功能结构1 4 2 2 3 可信计算平台主要的特点1 6 2 2 4 可信计算平台的相关研究1 6 2 3 本章小结1 9 第三章一种可信度可动态调节的r b a c 策略模型的研究2 0 3 1 可信度的评估方法一层次分析法2 0 3 2 可信度的评估2 0 3 2 1 建立可信度的层次结构模型2 l 3 2 2 建立可信度的判断矩阵2 2 3 2 3 一致性检验2 3 3 3 一种可信度可动态调节的r b a c 策略2 3 3 4 仿真分析2 6 3 5 本章小结2 8 第四章基于可信计算平台的r b a c 策略模型的研究3 0 4 1 模型中元素定义3 0 4 2 模型元素间的关系及函数定义3 0 4 3 模型的授权规则3 1 4 4 可信计算平台的安全验证3 1 4 5 可信计算平台管理中心3 2 4 5 1 可信计算平台管理中心系统结构一3 2 4 5 2 可信计算平台管理中心的功能3 3 4 5 3 加密协议3 3 i v 4 6 性能分析3 5 4 7 本章小结一3 5 第五章结束语3 7 5 1 本文总结3 7 5 2 研究工作展望3 8 参考文献3 9 致谢4 4 攻读学位期间主要的研究成果4 5 v 中南大学硕士学位论文第一章绪论 第一章绪论弟一早珀下匕 由于计算机使用的普遍性和人们对计算机信息系统的依赖性，计算机的安全 问题越来越受关注，于是计算机安全成为了大家研究的热点。访问控制有效地保 障了信息系统的安全性，它主要实现了将被授权的主体对某些客体资源的访问， 同时拒绝向非授权客体资源的访问。换句话说，访问控制策略【l 】就是在计算机的 各种层面包括操作系统、数据库、网络、各应用系统等，判断各类客体资源是否 允许被访问，允许哪个主体来进行访问，允许进行什么方式的访问策略。本章首 先简要介绍访问控制策略的相关知识、访问控制策略的分类以及访问控制框架， 然后阐述论文的研究内容和意义，最后给出了本论文的组织结构。 1 1 访问控制策略简介 未来社会已经进入信息时代，正在分享着信息化带来的巨大成果，但同时也 面临着越来越多的信息安全问题。特别是，近年来出现了很多影响较大的信息安 全事件，引发了人们对信息安全的空前关注。由于计算机信息有共享和易于扩散 等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥 用、遗漏和丢失，甚至被泄露、篡改、伪造和破坏。防止这一切的主要手段是通 过访问控制，防止对计算机中信息的非授权访问，从而保护信息的保密性、完整 性和可用性。即使信息没有遭到泄露，也没有被改动，但如果不能被需要的人使 用，仍然是一个突出的安全问题。所以加强访问控制策略的研究已经是一个迫在 眉睫的研究。 访问控制策略的目的主要是保证系统中的数据只能被授权的主体或人访问， 未经授权的主体或人是没有办法访问到数据资源的。访问控nl 2 - 3 】的三个要素是 主体( s ) 、客体( 0 ) 和操作( p ) ，主体一般是主动的访问者，客体是一些被动的资 源。访问控制策略的集合可以用一个三元组( s ，0 ，p ) 或映射厂：s x 0 专2 尸来 表示。 如图1 - 1 所示，访问控制过程为主体向访问控制实施组件提出访问请求，访 问控制实施组件向访问控制决策组件提出决策请求，访问控制决策组件给予相应 的决策应答，最后访问控制实施组件向客体提出实施访问请求。也就是说访问控 制实施组件分隔了主体与客体的直接联系，当主体试图访问客体时，实施功能组 件将咨询决策功能组件，获得访问控制策略，而访问控制决策组件则以访问控制 策略的形式说明哪些主体以何种方式访问哪些客体。 中南大学硕士学位论文 第一章绪论 1 2 访问控制策略分类 决策请求决策应答 图1 - 1 访问控制的通用模型 根据应用背景的不同，访问控制可以有不同的实现策略。它分为自主访问控 制策略，强制访问控制策略和基于角色的访问控制策略。这三者访问控制策略的 关系如图1 - 2 所示。 图1 - 2 三种访问控制策略的关系 1 自主访问控制策略 自主访问控制( d a c ，d i s c r e t i o n a r y a c c e s sc o l l 仃0 1 ) 【4 】又称为基于身份的访问控 制，是根据请求者的身份和授权并判断请求者的身份属于哪个组来决定访问的模 式，因此是一种对访问有约束的策略。大多数支持d a c 的系统都将访问控制规则 存储在访问控制矩阵里，如表1 1 所示。 表1 - 1 访问控制矩阵 主体客体 客体1客体2客体3 主体1 读写 主体2写 主体3读 主体4读执行 2 中南大学硕士学位论文第一章绪论 2 强制访问控制策略 强制访问控制( m a c ，m a n d a t o r ya c c e s sc o n t r 0 1 ) 1 5 】又称为基于规则的访问控 制或者基于格的访问控制。m a c 依据主体和客体的安全级别来决定主体是否有对 客体的访问权。b e l l 与l a p a d u l a 提出了一个典型的强制访问控制模型，称作b l p 模型。 在b l p 模型中，主体按照“向下读，向上写 的原则访问客体，这一原则使 得信息流具有单向不可逆性，因此使得高安全级别用户向非敏感客体写数据，但 与此同时就限制了低安全级别用户无法读取高安全级别用户的数据。 3 基于角色的访问控制 如图1 - 3 所示，基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 【6 】是 将用户和权限分离开来，添加进了角色，每个用户对应一个或多个角色，把用户 的权限分配给角色，也就是说不用直接分配给用户，用户通过角色来完成相应的 权限操作。 1 3 访问控制框架 1 3 1g f a c 框架 图1 - 3r b a c 基本框架图 在九十年代前期完成，m a r s h a l la b r a m s 领导完成g f a c ( g e n e r a l i z e d f r a m e w o r kf o ra c c e s sc o n t r 0 1 ) 研究项目。 g f a c l 7 1 主要包括访问控制实施a e f ( a c c e s s c o n t r o le n f o r c e m e n tf a c i l i t y ) 和 访问控制决策a d f ( a c c e s s c o n t r o ld e c i s i o nf a c i l i t y ) 两部分。如图卜4 所示，a e f 依 据a d f 的判断结果，控制请求是否被允许进行；a d f 则负责实施系统中的各种安 全策略，综合计算各个安全策略的判断结果，然后决定访问请求是否允许访问， 3 中南大学硕士学位论文 第一章绪论 其中a d f 在进行判断时，需要以保存在a c i ( a c c e s sc o n t r o li n f o 姗a t i o n ) 中的访问 控制信息作为参考依据。 6 许可或拒 绝访问 主体 1 访问请求 2 决策请求 访问控制实施 a e f 7 访问 4 返回决策 访问控制决策 a d f 5 更新f 寄娘3 信息获取 l 一笛 图1 - 4g f a c 框架图 从图卜4 中可以看出g f a c 的整个访问控制过程为：主体向a e f 发送访问 请求，a e f 将访问请求发送到a d f ，a d f 向a c i 进行信息获取从而判断访问是 否允许，a d f 向a e f 返回决策结果，a e f 更新a c i 中的信息，如果a e f 或得 的决策结果是拒绝访问，主体没有访问权限，请求失败，否则可以实施主体对客 体进行请求的访问。 1 3 2f l a s k 结构 f l a s k 8 - 9 1 主要包括对象管理器( o m ，o b j e c tm a l l a g e r ) 和安全服务器( s s ，s e c u r i t y s e r v e r ) 两部分，其中o m 的作用是负责实施安全策略，s s 的作用是负责安全策略 的决策。 习| i 对象请求 实施策略 图1 - 5f l a s k 结构图 如图卜6 中( a ) 所示，对象管理器包括三个基本部分。其中，访问决策判断 访问请求是否被允许，标记决策判断授予客体哪种安全属性，多实例化决策判断 4 中南大学硕士学位论文第一章绪论 多实例化资源的哪一个成员被访问；访问向量缓冲器( a v c ，a c c e s sv e c t o r c a c h e ) 暂时缓存访问决策的结果从而提高系统效率。 如图卜6 中( b ) 所示，安全服务器包括两个基本部分。其中，策略逻辑中的策 略库中保存主客体s c 对和访问许可向量之间的对应关系。 (a)(b) 图i - 6 对象管理器和安全服务器结构图 从图卜5 可以看出f l a s k 的访问控制过程为：当客户端向o m 发出一个客户请 求时，o m 首先查询a v c ，寻找是否有合适的缓冲结果，如果没有适当的缓存结 果，将通过内部的决策接口向s s 提交查询，s s 根据策略逻辑做出安全决策，返 回给o m ，同时由o m 更新a v c 。 1 3 3m a c 框架 t m s t e d b s d 项目组开发的t m s t e d b s d q b 的m a c 框架【1 0 1 ，它采用安全策略链 表的形式支持多个m a c 策略并支持新生成的内核安全策略，其中多个m a c 策略 包括b i b a 完整性策略、b l p 秘密性策略、基于规则的t e 访问控制策略。从图1 - 7 所示，m a c 框架将具体的m a c 策略的内部内容与内核服务的实现隔离开，是一 个灵活的、可以以多种方式扩展内核的安全策略的安全框架。 - lv f s lu r p s 卜 - jm a c b - b a is o c 融- 陀i iu 蝌s s y s t e m p r o c e s s m a c 1 眦矗 c a f r a m e i n t e r f a c e s i g n a l i n g w o 咄 u 孵si - i p i p e p c l l 蕊 图1 - 7t r u st e d b s dm a c 框架 m a c 框架的访问控制原理是每个安全策略在注册时插入到一个策略链表 中，在进行访问控制判定等操作时，系统依次遍历已经注册的各个安全策略，执 5 中南大学硕士学位论文 第一章绪论 行每个安全策略对应的访问判定操作。访问控制判定的结果将由多个策略模块的 判定结果相综合，只有当所有策略都允许时才可以授权。 1 4 论文的研究内容及意义 本文主要是针对访问控制策略中的r b a c 访问控制策略进行研究。 由于当前r b a c 模型中访问权限和角色是关联在一起的，用户通过给分配 角色并获得与该角色相对应的访问授权，也就是说，角色与权限的关系是固定不 变的，并且在初次访问系统时就被分配好了角色，与此同时各系统中每个角色对 应的访问权限也是一开始就确定的。因此只要用户和角色关联，那么相应的权限 也被限制了，这种关系是静态的，在整个运行过程中都得不到改变。于是有人提 出系统在用户与角色指派中增加用户的可信度来标识，可是仍然没有达到随着用 户在系统运行过程的表现来更改用户的角色，从而改变用户的权限。 考虑到以上这些原因，本文提出了一种可信度可动态调节的r b a c 访问控 制策略模型。在此模型中将用户的角色与用户可信度值进行关联，并将其细分， 从而解决了针对主体资源数量种类繁多、管理控制复杂的问题；并且用户的初始 可信度值是通过严格的系统可信评估给予的，用户可信度值是会随着用户在系统 中申请并完成任务的情况而改变的，最终实现用户角色的动态性。 为了增强整个系统的安全性，考虑将用户的可信度值不被非法用户篡改，于 是本文将访问控制策略和可信计算平台相结合，提出了基于可信计算平台的可信 度动态调节的r b a c 访问控制策略模型，在此模型中提出了可信计算平台管理 中心的概念，并对此概念进行了详细的说明，主要采取了加密的方式保证用户的 可信度的安全性，提出了相应的算法协议。 总之，这个策略模型在系统应该能得到很好的应用，能保证授权用户的安全 性。 1 5 论文的组织结构 本论文的组织结构为： 第一章简要介绍访问控制策略的基本知识，并阐述了本文的研究内容和意 义。 第二章首先介绍了r b a c 访问控制策略，分析了当前r b a c 访问控制策略 的特点和优势，并讲述了近几年大家在这方面的相关研究；然后简要介绍了可信 计算平台、可信计算平台的功能结构、主要特点以及研究现状。 6 中南大学硕士学位论文第一章绪论 第三章针对使用口令认证的环境提出了一种基于可信度动态调节的r b a c 策略模型，其基本思想是对于传统的r b a c 模型权限的分配是静态的，而且用 户无法根据用户以往完成情况和用户在系统安全状态时动态调整用户的权限操 作，从而对用户的操作行为动态调节。该模型很好的改善了这一问题，引入可信 度值，实现了用户使用的是一个安全可靠的系统并动态调节用户可信度，从而改 变用户的角色及行使的权限。 针对第三章提出的基于可信度动态调节的r b a c 策略模型，第四章将其与 可信计算平台结合，引入可信计算平台管理中心的概念，结合密码的方式从而增 加可信度值的安全性，最终达到整个系统安全的提高。 第五章对本文做了一个总结，并阐述了接下来的一些工作。 7 中南大学硕士学位论文 第二章r b a c 访问控制策略和可信计算平台的研究现状 第二章r b a c 访问控制策略和可信计算平台的研究现状 上一章中对访问控制策略的概念及访问控制策略做了简要介绍，由于目前大 多数的访问控制策略是基于r b a c 访问控制策略进行扩展，因此本章首先介绍 r b a c 访问控制策略，并总结r b a c 访问控制策略的特点和优势，给出了现有 的基于r b a c 访问控制策略的研究，再次详细介绍了可信计算平台、可信计算 平台的功能结构、主要特点以及研究现状，为我们进一步探讨r b a c 访问控制 策略和可信计算平台提供相关的研究背景和理论基础。 2 1r b a c 访问控制策略的研究 2 1 1r b a c 模型的角色要素 根据r b a c 实现的复杂度和特色需求，n i s t 将r b a c 分成了4 个组件：核心 r b a c ( c o r er b a c ) 、层次r b a c ( h i e r a r c h i c a lr b a c ) 、静态职责分害- i ( s s d ：s t a t i c s e p a r a t i o no f d u t y ) 和动态职责分割( d s d ：d y n a m i cs e p a r a t i o no f d u t y ) t 1 1 】。 1 核心r b a c 核一c , , r b a c 的基本元素集合分为用户集( u s e r s ) 、角色集( r o l e s ) 、客体集 ( o b j e c t s ) 、操作集( o p e r a t i o n s ) 和许可集( p e r m i s s i o n s ) 。基本关系包含：用户指派 ( u s e r a s s i g n m e n t ) 和许可指派( p e r m i s s i o n a s s i g n m e n t ) ，如图2 1 所示。 用户 指派 图2 - 1 核心r b a c 模型 定义2 1 【1 2 】符号u s e r s 、r o l e s 、o b s 和o p s 分别代表了r b a c 的用户 集、角色集、客体集和操作集。 定义2 2 【1 2 1 用户指派是指用户和角色之间的指派映射关系，通过符号u a 标 识；u a 是u s e r s 和r o l e s 的笛卡儿积的子集，即：u a u s e r s x r o l e s 。 8 中南大学硕士学位论文第二章r b a c 访问控制策略和可信计算平台的研究现状 定义2 5 【1 2 1 符号p a 表示许可指派，体现了许可权和角色之间的关系，它是 许可集和角色集的笛卡儿积：p asp r m s r o l e s 。 定义2 - 3 1 1 3 1a s s i g n e d u s e r s ( r ：r o l e s ) - - - 2 u s e r s ：角色，与用户集之间的映射关 系：即：a s s i g n e d u s e r s ( r ) 兰 甜u s e ri ( “，) u a 。 定义2 6 【1 4 】a s s i g n e d p e r m i s s i o n s ( ，：r 说嬲) 一2 嬲：角色，与许可集之间的 映射关系，即：a s s i g n e d p e r m i s s i o n s ( r ) = p p r m sl ( p ，) p a j 。 定义2 4 【1 4 】符号p r m s 表示许可，p r m s 是操作集和客体集的幂集： p 嗍：2 ( o p s x o b s ) o 定义2 7 【1 4 1o b ( p ：p r m s ) _ o p o p s ) ：许可集与操作集的映射关系，表明 为操作集分配相应的许可权p 。 定义2 8 【1 4 】o b ( p ：p r m s ) _ o b o b s ) ：许可集与客体集的映射关系，表明 为客体集分配许可权p 。 定义2 9 f 1 2 】符号s e s s i o n s 表示会话集。 定义2 1 0 1 1 3 1 淞一s e s s i o ，z j ( “：删) 一2 艇嬲硷懈：用户甜与会话集的映射关 系。 定义2 11 1 3 1 s e s s i o n s 一，d 胁0 ：s e s s i o n s ) - - + 2 r 说殿：会话j 与角色集的映射 关系；最口：s e s s i o n s r o l e s ( s i ) g r r o l e s is e s s i o n u s e r s ( s i ) ，厂) u a 。 交g s ( 2 1 2 1 1 4 1a v a i l s e s s i o n p e r m s ( s ：s e s s i o n s ) - - - 2 p r m s ：会话中的用户与 有效许可集的映射关系；即： u ，j e s s i o 疗，d l e s ( j 、伽咖耐一p e r m i s s i o n s ( ，) 。 2 层次r b a c 为了提高r b a c 的管理效率、明确角色间的逻辑关系，提出了层次r b a c 。 它的思想是在原有核, i r b a c 上添加角色层次，如图2 2 所示。层次r b a c 中各元 素采用偏序关系。 许 指 图2 - 2 层次r b a c 模型 根据对角色条件规定可将层次r b a c 分为两类：常规角色层次( g e n e r a lr o l e 9 中南大学硕士学位论文第二章r b a c 访问控制策略和可信计算平台的研究现状 h i e r a r c h i e s ) 和有限角色层次( l i m i t e dr o l eh i e r a r c h i e s ) 。常规角色层次对角色分层 中的偏序关系具有随意性，包括角色间的许可集和用户集从属关系的多重继承； 有限角色层次对角色分层强加限制控制。层次i m a c 的分层形式有树( t r e e s ) 或者 反向树( i n v e a e dt r e e s ) ，如图2 3 所示。 主管 监理工程师l 电气工程师l监理工程师电气工程师2 项目主管l项目主管2工程部门l工程部门2 入 软件工程师l 软件测试师软件工程师2软件测i 式1 $ 2 工程部门 图2 - 3 角色层次实例 定义2 1 3 1 2 1 角色集的偏序关系，用符号r h 表示，也称之为继承关系，记 为，属于角色集的笛卡儿积，r h r o l e s x r o l e s 。 y 9 3 l 2 1 4 1 5 1 口u t h i e d 一淞盯( ，：尺d 锄) 专2 删：角色r 与角色层次中用户集 的映射关系，即：a u t h o r i e d u s e r ( r ) = 甜u s e r sfr ，( 掰，) u a 。 定义2 1 5 1 1 5 】a u t h o r i e d _ p e r m i s s i o n s ( ，：r 说殿) 寸2 脚：角色r 与角色层次中许 可集的映射关系，即：a u t h o r i e d p e r m i s s i o n s ( r ) = p p r m si ，( p ，) p a 。 根据以上定义，若 吃，则表明的许可集都是吃的许可集，且的用户集 是 的用户集。因此， 1 岛ja u t h o r i e d p e r m i s s i o n s ( r 9 ) 口甜历d ，沈d p e r m i s s i o n s ( r 1 ) a a u t h o r i z e d u s e r s ( 5 ) sa u t h o r i e d u s e r s ( r 9 ) 。 多重继承【1 6 l ( m u l t i p l ei n h e r i t a n c e s ) 是常规角色分层的主要特性，它主要是指 一个角色能够从两个或两个以上的角色中继承许可集，也可以从两个或两个以上 角色中继承用户集的成员资格。 有限角色层次添加了限制规定， v r ，1 ，r e r o l e s ，1 a r r e ：12 之。 如果，j 吃，且和，2 之间不存在其它任意角色，则称是的直接派生， 记为 一卜。即：1 - - 幺，v ，1 ，之= 厂= f 2 j 。 3 静态权责分割 静态权责分割s s d 又称为定义时约束( 静态约束) ，它是通过为角色集指定限 制条件来限制相关角色关系，特别是用户指派关系。s s d 关系在层次r b a c 中的 表现形式，如图2 4 所示。 1 0 中南大学硕士学位论文第二章r b a c 访问控制策略和可信计算平台的研究现状 许可 指派 图2 - 4 层次r b a c 的s s d 4 动态权责分割 动态权责分割d s d 关系是用来限制对用户有效的许可，通过在激活角色、 用户会话处设定约束。d s d 关系图如图2 5 所示。 许可 指派 2 1 2r b a c 的特点和优势 图2 - 5 动态权责分割关系 基于角色的访问控制策略及其模型就为了满足各大企业的需求开始被广泛 研究并应用计算机信息系统中，提供了很强的灵活性和扩展性，显示出了强大的 优势。总结r b a c 模型特点和优势如下【1 2 】： 1 有利于授权管理 r b a c 访问控制模型中引用了角色，用户通过角色和权限关联起来。在r b a c 中，要求对角色进行删除、增加功能或者定义新角色，却不改变权限。因为在用 户的权限改变时，改变授权给他们的角色，也就更改了用户的权限。这样的话就 有利于用户的授权管理。 中南大学硕士学位论文 第二章r b a c 访问控制策略和可信计算平台的研究现状 2 有利于角色划分 由于r b a c 的层次模型具有继承的特性，因此角色不仅拥有自己的权限属 性，而且同时也可以继承其他角色的权限属性。这样就避免了相同权限的重复设 置，提高了效率。角色继承采用树或者反向树来表示。 3 适应范围广泛的安全策略 自主访问控制的安全级别低，并且无法实现统一的全局访问控制；而强制访 问控制由于过于偏重保密性，对其他方面如系统连续工作能力、授权的可管理性 等考虑不足。相对于自主访问控制和强制访问控制，r b a c 提供了更好的灵活性 和扩展性，能适应不同应用领域的安全需要，所以它是一种适用范围广泛的安全 策略。 2 1 3r b a c 的相关研究 r b a c 被广泛地应用在不同领域、不同规模、不同架构的计算机信息系统中。 黄建、卿斯汉等在文 1 7 】中通过定义一个离散时间点序列来模拟现实世界中 的连续时间序列，对r b a c 做时间维上的扩展，提出的相应算法解决了时间授权 约束和会话的状态转变问题。l i up e n g 、x uf e n g 等分别提出了基于r b a c 的w e b 服务访问控制模型【1 8 - 2 0 。s h a f i qb 、m a s o o da 等将p e t r i 网引入r b a c ，提出一种 基于着色p e t r i 网的事件驱动的r b a c 模型【2 l 】，使用p e t r i 网的可达性分析技术能够 对r b a c 策略进行正确性验证，以确保系统的安全。徐松、赵曦滨、顾明等人提 出了基于p k i 的分布式r b a c 模型( g r b a c ) 2 2 1 ，实现了网格访问控制中的跨信任 域授权，并且利用可变属性值的授权证书使得系统能够动态地根据用户的登录环 境授予不同的权限。s u d i pc h a k r a b o r t y 等提出了基于用户的信任级别的r b a c 模 型1 2 3 ，该模型以分配给用户的信任级别来分配角色，从而分配相应的权限。付争 方、王小明等引入模糊逻辑的思想，提出了基于信任授权的模糊访问控制模型1 2 4 1 。 罗海、安世全在文 2 s 】“网格访问控制及对r b a c 模型扩展的研究 中指出尽管 r b a c 访问控制模型便于授权管理，有很高的灵活性，但在网格计算这样一个分 布式环境中，对遇到的动态用户、动态资源和环境异构等多种挑战并没有很好的 解决方案，为此，在传统r b a c 模型的基础上进行了扩展，使之能适应网格计算 环境的通用性、自主控制、互操作性、动态适应性。 x a m c m l 不自动支持r b a c 甚至特殊的x a c m l 文档也不支持一些相关的 限制，比如说静态和动态的职责区分。然而，要通过扩展x a c m l 来支持这些限 制，不仅仅需要扩展x a c m l 语言，而且需要扩展x a c m l 参考架构和引擎。 r o d o l f of e r r i n i 、e l i s ab e r t i n o 在文献【2 6 】中介绍了x a c m l + o w l ，这是一种集成 o w l 的本体和x a c m l 策略来支持r b a c 的结构。基本的想法是仿真角色级别和 1 2 中南大学硕士学位论文第二章r b a c 访问控制策略和可信计算平台的研究现状 o w l 本体的限制还有x a c m l 权限策略来分离r b a c 系统设计。作为扩展的一部 分，扩展了x a c m l 参考架构以及调用函数来访问控制决策x a c m l 数据流程。 语义网是近年来发展迅猛互联网的扩展。h a s s a n t a k a b i 、m i n s o ok i m 等在文 2 7 】中把r b a c 模型这种强大的安全管理方法和语义网集成起来，提出了 g t r b a c ( g e n e r a l i z e dt e m p o r a lr b a c ) 模型。g t r b a c 模型结合了r b a c 模型 的关键功能和t e m p o r a l 架构，用于有限的函数和进程的时间间隔和周期性。它对 于固有的t e m p o r a l 语义的应用，比如说工作流程系统，是非常有用的。有几种不 同的用o w l 语言采用r b a c 基本组成到语义网。文中还展示了g t r b a c 中怎样建 立t e m p o r a l 限制的模型以及描述了一种g t r b a c 策略规范和实施的可扩展架构的 实现。展示的模型的可实现性是用现役实现表示出来的。 随着移动计算的繁荣，我们经常会观察到r b a c 访问决策直接受到系统主观 或客观时空背景的影响。最近，有一些模型解决了经典r b a c 模型基础上的时空 安全规则。s a m r a tm o n d a l 、s h a m i ks u r a l 在文 2 8 中为时空r b a c 模型提出了基于 x m l 的规则规范架构。此架构是建立在时空r b a c 模型上的，又称e s t a r b a c 。 它合并了不同的限制例如，角色级别，职责和度的区分，以及其他它的时空条件 下的限制，并且支持时空角色和许可扩展。这样的扩展允许详细说明大量的时空 访问控制策略。这个构架提供了方便有效的管理访问控制策略的途径，促进了大 型机构的管理任务。 在大型机构中，需要多个管理员管理r b a c 策略。管理角色访问控制 ( a r b a c ) 策略描述了每个不同管理员怎样改变策略的。通常来说，简单的检