（计算机软件与理论专业论文）基于推理的角色授权管理系统.pdf

摘要 安全的网络需要可靠的访问控制服务作为保 正，尤欺是当网络规模比较大和用户较 多鹃对候。在安金访遥控露g 摸鍪静磷究方黼，r b a c 摸爨托传统翡谤闯控翩技术耀比买 鸯竣显静谯势，麓键了授权避程匏管理，阏露霹戳实瑷潮粒度款谤睡控裁。 然而，r b a c 模型只是一个概念框架，没有涉及到熬体应用，因此本文对r b a c 模 型避章亍了扩充，提出r a m ( r o t e a u t h o r i z e m a n a g e m e n t ) 模型，进一步蛙小了模受与褒 实世晁的羞蹑。r a m 模型对授权过程黝麓本元素域、用户、角戗、对象、操俸、权 黻、互斥角色爨会、先决条徉角色释始氇爨数) 徽趱了洋缨定义。元素帮元索之闯麓联 系构成了模型中关系的定义，一共定义了六种关系：指派关系、属于关系、绑定关系、 继承关系、蓬斥芙系、巍决关系。勇癸，在蜜舔中约索怒广泛存在静。蒺零主镣个r b a c 模攒郡谈到了约窳瓣题嬲摄念，但是大部分都荠没说明麴鹰实瑷约寨，以及翡寒关系簸 存在会给基本信息带来什么藏它的约束。在r a m 模型中，对约束进行冲突检测实现了 企她的安全策略。在定义和分析各秘类型的约束关系的纂础上，总结了提关的公理、定 理鞠弓i 理，并用形式证孵净剃给出了定理的证明，实现了责任分离原蒯以及最小权限原 粼。 基于r a m 横型，设计实现了基于推理的角色授权管理系统。它作为一个独立组件， 恕疲臻系绞提供芙于系绞熬安全访游控胡教务。角色授权管理系绫串，资源镰摄域淤及 域中数据，如用户、角骰、操佟、对象、投限、绑定关系。对于资源这静基岑翁镲息数 据邋合用数据库进行僳稃。在基本信息的蒸础上，弓 入蒲任分离约荣的相关概念。对约 柬而苦，涉及到推理和目标暇配等步骤，因此根据r a m 模型所建立的授权推理形式系 统，用p r o l o g 文件来保存约束信息，实现逻辑推理。由于p r o l o g 是一种描述性语 害，露不建过程蜓语言，嚣懿，更宓嚣方蠖瓣实理了缝豢羧键。撩器授毅接瑾澎式系凌中 的前提生成p r o l o g 程序，通过对p r o l o g 程序的目标进行查询，即可实现授权管理 避疆孛懿绞寒控涮捡测。也敷燕说逶波逐瓣攘理，实瑷了访滔控奄l 系绫幸熬安全策骧离 题。 由于角色授较管理系统的约束安全策酶是由p r o l p g 静瓣壤日集来实现，蕊瓣豹优 劣将直接影响权限推理的效率。因此，规则熬的维护对系统的性能起罄至关重蹑的作用。 本文根器巍凳g 耨熬生成邋程精闰论中霞游艇阵表示，褥鼢碴阵稔奁算法，实觋了溉擞 l 集 静一致性捻测。 关键词：r b a c ；p r o l o g ；约束；蠛英集一致性 兰妻鍪墨查兰堡主窆筮丝壅 a b s t r a c t a c c e s sc o n t r o li st h ea s s u r a n c eo fn e t w o r ks a f e t y , e s p e c i a l l yw h e nn e t w o r ki sm a s s o n t h es t u d yo fa c o _ ：e s sc o n t r o lm o d e l ，r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) h a sa d v a n t a g eo v e r o t h e rt r a d i t i o n a lo n e sf o rt h er e a s o nt h a ti ts i m p l i f i e st h ep r o c e s so fa u t h o r i z a t i o na n d i m p l e m e n t sa c c e s sc o n t r o lo f f i n eg r a i n r b a cw h i c hd o e sn o td e f m et h ec o n c r e t ea p p l i c a t i o ni so n l ya c o n c e p tf r a m e 。r a m ( r o l ea u t h o r i z em a n a g e m e n t ) m o d e li sp r e s e n t e do nt h ee x t e n s i o no fr b a ca n db e t t e r r e f l e c t st h er e a lw o r l d r a md e f i n e saf u n d a m e n t a la n ds t a b l es e to fc o m p o n e n t s s u c ha s d o m a i n s ，u s e r s ，r o l e s ，o p e r a t i o n s ，p e r m i s s i o n sa n ds oo n 。t h er e l e v a n c i e so fc o m p o n e n t s c o m p o s e 姒mr e l a t i o n s 。s i xr e l a t i o n sa r ed e f i n e d ，w h i c ha r ea s s i g n m e n t ，m e m b e r , b i n d i n g ， h i e r a r c h y , c o n f l i c t i o na n dp r e r e q u i s i t er e l a t i o n s a l t h o u g hm a n ya c c e s sc o n t r o lm o d e l sh a v e m e n t i o n e dt h ec o n c e p to fc o n s t r a i n t ，m o s to ft h e md on o tb r i n gf o r w a r dt h ei m p l e m e n t a t i o n s t r a t e g y i n 幽，s e c u r i t yp o l i c i e s ，s e p a r a t i o no f d u t ya n dt h ep r i n c i p l eo f t h el e a s tp r i v i l e g e ， a r ei m p l e m e n t e db yc o l l i s i o nd e t e c t i n go fc o n s t r a i n t s ，o nt h eb a s i so fd e f i n i t i o na n da n a l y s i s o fc o n s t r a i n t s ，a x i o m s ，t h e o r e m sa n dl e m r n a sa r ep r e s e n t e da n dd e m o n s t r a t e db yf o r m a l d e d u c t i o n r u l e - b a s e dr o l ea u t h o r i z em a n a g e m e n ts y s t e mh a sb e e nd e s i g n e da n di m p l e m e n t e d a c c o r d i n gt ot h er a mm o d e l t h es y s t e m ，w h i c hi sa ni n d e p e n d e n tc o m p o n e n t ，p r o v i d e s s e e u r i t ys e r v i c e st oo t h e ra p p l i c a t i o ns y s t e m s b a s i sr e s o u r c e ，s u c ha st h ed a t ao f d o m a i n sa n d u s e r s ，i sc o n s e r v e di nt h ed a t a b a s ea n di n t r o d u c e sc o n c e p to fs e p a r a t i o no fd u t yc o n s t r a i n t + c o n t r a r yt ob a s i sr e s o u l e , c o n s 枉a i n t i n f o r m a t i o ni s p r e s e n t e db yf o r m a lm o d e la n d c o n s e r v e di np r o l o gp r o g r a mf o ri ti n v o l v e sr e a s o n i n ga n do b j e c tm a t c h i n g t h ep r e m i s e o f t h ea c c e s sc o n t r o lf o r m a lm o d e lb u i l d su pp r o l o gp r o g r a m a sp r o l o gi sad e c l a r a t i v e p r o g r m r m f i n gl a n g u a g e ，c o n s t r a i n tc o n t r o li si m p l e m e n t e de x p e d i e n t l yt h r o u g ho b j e c tq u e r y i no t h e rw o r d s ，s e c u r i t yp o l i c yi sp e r f o r m e db yr u l e sa n dl o g i cr e a s o n i n gi nr a m s y s t e m r u l es e ti sm a i np o i n to fc o n s t r a i n t si nr a m ，s ot h eq u a l i t yo fr u l ew i l la f f e c te f f i c i e n c y o fr e a s o n i n g m a i n t e n a n c eo fr u l es e tp l a y sa ni m p o r t a n tr o l ei np e r f o r m a n c eo ft h es y s t e m m a t r i xc h e c ka l g o r i s mi sg i v e nb a s e do nt h ep r o c e s so fb u i l d i n gu pr u l es e tt r e ea n dt h e g r a p h i cm a t r i xp r e s e n t a t i o n x w o f d s ：r b a c ，p r o l o 毽c o n s t r m n t ，r u l es e tc o n s i s t e n c y l l 华南理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其 他个人或集体己经发表或撰写的成果作品。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果 由本人承担。 作者签名：焉洁日期：伽够年占月1 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权华南理工大学可以将本学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本 学位论文。 保密口，在年解密后适用本授权书。 本学位论文属于 不保密函。 ( 请在以上相应方框内打“4 ”) 亩、士 作者签名：、宅；日期：伽莎年6 月f 日 导师签名爱乡c 哼日期删年易月1 日 第一牵绪论 1 1 课题背景 第一章绪论 随着计算机应用的f ：；：i 益普及，特别是网络和数据库技术的发展，计算机安全也越来 越藏为一个急待解决静滴蘧。安全鬣臻在诗算机赢孺中襁当着越来越瀵要的角色，箕根 本目标就是保障计算机中信息的保密性、完整性和可用性，阻止系统臻源的非法访问。 访闽控制则是实现这一秘标的一个重要手段。 针对计算机安全特别是军用计算枫系统的安垒性，美国国防部制订了可接计算襁系 统评估准触j ( t c s e c ) ，该准则娶达到的一个主要目标是：阻止非授权用户对敏感信息的 访鹾。铰掇该准则，谤瓣控毒皴分为溪类：爨主谤闻控露l ( d a c ) 毅强副谚阚控n ( m a c ) 。 t l 主访问控制( d a c ) 允许用户把他对椿体的访问权授予其他用户或从其他用户那 篓羧西德掰授予鹣谤瓣投，它怒基予客体臻户熬蘑耩关系豹谤弱羟潮。它鑫萼缺患蹩 一旦应用领域内的人员发生离职、升职、换岗等人事变动戚职能变化，权限傺理员都要 重薪设置弼户许w 的诸多细节。当资源对象数目庞大，波用领域结构嶷杂变幼频繁时， 访问控制的授权镑理需要花费很大的人力，褥且容易出错，无法实现复杂的安全策略。 强制访问控制( m a c ) 是秭多级访问控制，它依据主体和客体的安全标示来决定 主体是否可以访阚窖体。其缺点在于主体访阀级别积客体安全级别的划分与联实要求难 以一致，在同级别间缺恶控制机制。而且由于m a c 过于偏重保密性，因此在授权的可 管璞牲方纛豹能力有掰欠襞； 以上两种传统的访问控制方法基本思想是直接为每一个用户赋予一组访问许可。其 缺点是一曼应用领域蠹瓣天员发生离职、秀软、换岗等入事交动或职髓交纯时，权澉管 理员都要重新设爨用户许可的诸多细节，安企管理及权眼的授权复杂、易错、开销较大。 r b a c ( r o l e - b a s 甜a c c e s sc o n t r 0 1 ) 【2 】就是为解决这一问题而产生的。r b a c 的基 本思想是程用户芹秘客体之间捶入角色( r o l e ) 的概念，角色被授予对霭体的谚闯授权， 与角色相互绑定的用户就可获得此角色的访问控制权限，也就怒说应丽系统( 企业) 安 全繁酶可以由定义好豹熊色集会来进行描述。对焦毂送牙投限绑定，憨不是纛接怼震户 进行权限绑定的授权，其优点在于：角色与组织结构相吻合。n i s t 研究指出 1 】：在现 实氆赛中，震户逡过毽释j 在组缓孛撵警筑角色秀祓授予穰瘫静权陵。瓤置一般瑟言，角 色的数目远少于用户的数目，邋合大规模分布式应爝环境。角色比用户稳定，避免了因 为入员的调动而弓| 起的税限交纯，从雨简讫了权限的管理。同时，角色酌定义使得r b a c 模型可以实现各种安全策略，如责任分离原则，最小权限原则和事务管理等，潢足权限 管理系统中的安全目标：完整性、保密性和可用性，使数据只能由授权用户谶行授权操 华南理二大学颈士学位论文 俸，完成不爨匏经务。嚣乡 ，一个安全麴瓣络需器可靠静静谤溺控铡灏务徽缣诞，龙其 楚叁潮络蕊模毖较大帮瑟户较多戆辩嫉，r b a c 与馁统熬访闻控翻渡零摆滋其套鹾疆嚣 优势，可以实现缨粒璇的访趣控制，链够控割具毒拳的瓷澈顼，如蹙录、文臀甚至数据疼 的某些字段。基于以上特点，目前，r b a c 及其应用受到越来越广泛的关= ；烹。 1 。2 课题意义 最小粳阪原鲥和责任分离原刚怒企照中普遍遵守的安全策略，傈诞了倍怠系统的安 全。最，l 、权袋琢翔酌定义怒要求分配给蠲户鹃投限不超遗用户完成其工捧所必需的权 辍。它辩维护绩惑戆竞整憋商缀重要麓意义。黠赡色疆投管瑾瑟瑟盲，磐绶先耩确蹋户 的工作职责，确您其完成工作所需的最小的投限集合。由予用户无法绕过角色豹撅念嚣 矗按访阀对象，因此，只要角佼定义适巍，通过约束关系的定义和正礁进行用户蔑魏赛 定，便可以实现最小枚限原则。 责任分离原则的定义怒对于某墅特定的工作、任务，某一个角色或用户不能被授予 该璜互僚孛所有熬权戳。“责锤分离”爵分麓静态责经分离霸动态赉经分离两种方式。 静态蠢镁分离：只有当一个角毯与建户掰疆的荚德角色袭j 逝不互厅薅，这个霸惫方 麓授权给该熙户。 动态责任分离；只有当个角色与主体的任何一个当前活跃角色都不互斥时，该惫 饿才熊成为该主体的另一个活跃角色。 在基于角色的访问控制中，由于用户和游闷权限的逻辑分离，使褥权限管瓒变得菲 常方便，简时擒述角色艨次荚系豹能力加强，有乖j 予更好的实现最小衩阪( 1 e a s tp r i v i l e g e ) 爨劐。然褥，k l s 器r b a c 标港提塞浆参考模壁只是定义个r b a c 穰整覆粲帮糟凌静 核心概念寨关系集，澄畜涉及爨体熬应蠲。荠虽，n l s t _ r b a c 标港泰接透瘦鼹系绞懿 翅控露用户在多个层次上的资源访闯舒必，瞧鼓跫邋n i s t - r b a c 摸型中并本考虑交骣 | 陂用中，用户访问资源是有层次的，而非独立不可切分的。而艇，现在许多王作都是对 r b a c 的方方谣谣进行描述，极大多停留在瑷论糖述上，很少褥提出实现安全策略的模 黧坟及实蕊。也就是说，尽管璃阶段有许多关于r b a c 约束限制的讨论，但都没有提出 确切的实现梳稍。本文采焉p r o l o g 来窑联麴束稚理，德是对r b a c 耩型静翻新之一。 r b a c 中，爨侄分瘫爨则鼹基予建戆躲授权援利戆提瞧，瞧给谚翘控铡模型带采了 辫鲍阕题，其孛一个裁楚受予楚色继零懿传递牲萼l 起爨任分饔鳕募躯捧突。 另外，在实际中约束是广泛存在的。基零上每个r b a c 模型都谈刭了约寒闻题黪概 念，但是大部分都并没说明如何实现约束，以及约束关系的存在会给基本信息带米什么 其它的约束。在现实煎界中，角色和权戳阚往往存在麓相曩排斥性。例鲡，某个用户不 可麓网时掇往掰缡稻采购遥两个熊色。最然，旁色闷捐互簿斥往的存程是十分努要的， 它避免了翔户为鑫己静铡盏霜辩应用领域进行穰环活动。本文程总结约柬关系存在及其 2 第一章绪论 定理的基础上，说明如何用逻辑语言实现约束问题。 综上艨遴，始鹰对r b a c 模型进露扩震，解决绞寨淬突懿及扶现实夔绞索瓣求中建 立一个约束模型来描述实际约束，是奉文基于攘理的角色授权管理系统所解决的问 题，也是本文的主要工作及贡献。基于推理的角色授权管理系统不仅为授权访问提供了 较为全面的麴束限制和检焱，还为企业中的自定义安全策略一致性验证提供了自动检 套。由于各摊约束在金烫安全策臻中占攥若主要遗位，约寒戆存在疆供了定义笈杂绞访 问控制的能力，因此本文对约束的定义、应用以及一致性检查做了详细的论述。 本文根据r b a c 模型掇出r a m ( r o l e a u t h o r i z em a n a g e m e n t ) 模型。r a m 模型的 特点是全嚣憔，焉且大大络小了模型与瑷实 矍爨的麓距。r a m 援燮惫含了投疆控剁中 的所有基本元素，如瘸户，角色，权限鞫它们之阂的关系、约束。同时对r b a c 模型进 行了扩充，增加了操作继承、对象继承以及权限继承。权限的定义由一个操作与一个对 象的有序序列扩充为一个操作与若干个对象集合的鸯序序列，方便了应用系统的使用及 鼹矮户访溺砹限懿遗一多严攘疆裁窝定义。禳蕹r a m 模墅，设诗劳实囊了鏊予攘理戆 角色授权管联系统。系统采用p r o l o g 规则进行约束推理限制，权限管理员还可以自 行定义p r o l o g 推理规则，从而建立越统一的约束模型，提供究蒋的约束机制，满足 瑷实中约寒懿多样性移多嶷性。 1 3r b a c 模型介绍及研究现状 诗算瓿安全成秀一个急待解决熬淘题，访阕控裂正蹙蓿患安全领域中一个藻磁性载 核心问题。总体而言，访问控制技术就熙针对用户越权使用资源的防御措施。它是基于 访问认证和数据对象的一种可选择性的允许或禁止某种资源的访闷的安全技术。对于不 愆款震户秘不阕豹痿塞，可没定不嗣黪浚润投限，绫绦涯其龛诲授投装鼹户访翊巴授权 的可访问的资源。它韵目的主要是为了限制访闯主体( 用户、进程等) 对访闯客体( 对象、 资源等) 的访问权限，从而使得应用系统在合法的范围内被使用。 r b a c 怒最近十年内较为流幸亍和成熟的访问控制模型。其基本思想是在用户和客体 之凌搓灭凳氛( r o l e ) 熬凝念，角色被援予簿客 奉黪谤淘授权，与翅夔穗互绑定鹣螽j 户 就可获得此角色的访问控制权限。即授权过程是对角色进行权限绑定，而不是您接对用 户进行权限绑定。同时，r b a c 定义了约束( c o n s t r a i n t ) 的概念，规定了权限被搬派给角 既瞻，或曩户羧指派绘角毪时，阻及用户在菜一个会话孛激活一个焦色时所应该遵循的 强制性飙剐。与自主访问控制、强翻谤阏控制等传统的访闻控皋l 模凝相比较，r b a c 访 问控制模型易于授权管理，降低了复杂憔、成本，减少了发生错误的概率，因此近年来 褥到极大的发展。 基于角惫懿谤弱蓬剃( r b a c ) 瓣耩念臻孚裁存在，翟一壹爨1 9 9 6 年理论纯工 乍方 出现阶段性成果，即r a v is a n d h u 等人提出r b a c 9 6 ( 基于角色访问控制模型) 和 华南理工大学硕士学 ! 7 = 论文 a r b a c 9 7 ( 旗于角色访问控制的管理授权模型) 。近年来，在n i s t 的支持下，理论界 又捷出n i s t - r b a c 模型，定义r b a e 模型核心疆絮。下囊主要分缀k l s 孓r 转a e 模型。 n i s t - r b a c 模型分为四大模块( c o m p o n e n t ) f 2 】：c o r er b a c ，h i e r a r c h i c a lr b a c ， s t a t i cs e p a r a t i o no fd u t yr e l a t i o n s 和d y n a m i cs e p a r a t i o no fd u t yr e l a t i o n s 。c o r er b a c 定义了r b a c 模型中所嚣骚的元素的簸小集合和元索之间的关系，包括任何r b a c 模 穗粒基磷，麓户惫龟分鹣和强篷较袋分配关系，跌掰实瑰最基零豹访淹控镧系统。另 外，c o r nr b a c 模型还介绍了用户s e s s i o n 中活动角色的概念。c o r nr b a c 是所有r b a c 系统的基础，而另外三大缀成部分则可以根据系统需要，分别实现。h i e r a r c h i e a lr b a c 鹣摹本元素中攘入了角色继承懿壤念。继零关系是一瓣德序关系，定义了角惫之潺魏裹 级关系。上级角色拥有其下级凫色的权限，上级角色对用户的授权会引起下级角色与用 户的授权关系。另外，h i e r a r c h i c a lr b a c 不仅仅是存在简单的用户角色分配和角色权 限分配关系，而且引入了角色集的橛念，对用户和权限进行授权。第三个模块，s t a t i c s e p a r a t i o no f d u t yr e l a t i o n s ，在黯爰户避行授蔽露，黧入了角色黪薄辱关系。藜鏊令模 块，d y n a m i cs e p a r a t i o no f d u t yr e l a t i o n s ，定义了活动角色在用户s e s s i o n 中的互斥关系。 每一个模块的定义都怒由以下部分组成的：一系列基本元素的集合；一系列纂本元 索之阀的关系；一系列产生元素鲍实例与实铡之闻的映鼓函数。 c o r er b a c 豹基本元索集合以及关系的定义翔潮1 1 所示，镪括五种基本的元素， 用户( u s e r s ) ，角色( r o l e s ) ，对象( o b s ) ，擞作( o p s ) 和权限( p e r m s ) 。用 户可以被授权若干的角色，权限也被分配到若干的角色中。因此，角色用户以及角色一 蔽羧之闽是多怼多数关系( m a n y - t o - m a n yr e l a t i o n s h i p ) 。舅餐，c o r er b a c 孛矮餐含了 会话( s e s s i o n s ) 的概念，每个会话是一个用户与一鲺活动角色集食的映射。 囝 一 c o r e r b a c 用户的定义是指普通的个体，一般怒指人，也可以包括机器，网络或具有智能自制 憔的主体。角色是指组织中的工作职责。权限是对r b a c 所保护的对象进行某种操作行 为的许可。掇终携的是项爨中靛一穗撬嚣的行为，惩予潢是震户斡菜方瑟静嚣求， 乍 用于对象之上。访阕控制枫麓的目的跫为了保护系统资源，因此时藩指可访闽拣铡的系 统资源，例如文件、打印机、终端、数据记录等。操作和对象的具体类型依赖于矮体的 4 第一章绪论 应用系统，例如，在文件系统中，操作可能包括读、写和执行，在数据库管理系统中， 搡嫠嬲包括援入、测狳帮委蓑。 r b a c 中，通过与角色的关联关舔来制定系统的安全策略，如图l 一1 中的用户分配 ( u s e ra s s i g n m e n t ) 和权限分配( p e r m i s s i o na s s i g n m e n t ) 关系。箭头表示，“种彩对多的 关系( 例如，一个用户可以被授权于多个角色，一个角色也可以授权绘多个用户) 。角 色熬翱入令援投营理更麓方後窝安全，臻户逶遗爨惫静羧定焉不麓越较访藤蒸毪资源。 一个会话只与一个用户相关联，渐一个用户可以拥有多个会话。会话与角色之间则 是多对多的关系。会话角色( s e s s i o nr o l e s ) 定义为会话中的活动角色，用户会话 ( u s e rs e s s i o n s ) 定义为一个爆户款掰骞会话集合。 蹦) r o l e h i e r a r c h y 鞠，_ 2h i e m r e h i e a lr b a c h i e r a r c h a lr b a c 中，加入了角色腰次( r o l eh i e r a r c h y ) 的概念，如图1 2 所示。层 次性是角色构成的自然概念，体现了缎织中权利和资任联系。角谯的层次定义为角色之 翅靛继承关系，嚣继承关系遥过权餐采绉透翡。著角色r l 继零了麓色r 2 ，籍r l 拥有1 2 所有的权限，并且授权给r i 的用户同时也授权给r 2 。 角色层次可以分为两种：一般角色层次( g e n e r a lr o l eh i e r a r e h i e s ) 和受限角色层次 ( 1 i m i t e dr o l eh i e r a r c h i e s ) 。一般受色鼷次要求囊色懿层次关系燕一个绝对静镳疹关系， 它允许角俄闽豹多继承，两受限角色鼷次更| j 迸一步骚求角色阍的继承关系趋一个树结 构。 受限制的r b a c ( c o n s t r a i n e dr b a c ) 在r b a c 模型中加入了责任分离( s e p a r a t i o n o f d u t y ，s o d ) 豹壤念。蠹任分嘉关系戆定义是瑟予检测鬟盏镶舔熬游突，觚覆茨壹组 织中的用户谶行越权访闯，使用户不能超出职位应肖的访问权限。其目的是为了减少个 体用户的在授权后产生欺骗行为的可能。责任分离关系分为两种，一种是静态赞任分离， 贯蛰一种是渤态责任分离。 静态责强分离关系( s m i l es e p a r a t i o no f d u t yr e l a t i o n s ) 魏图1 3 所示。程蘩予角色 的系统中，i ；= l j 于冲突角色的存在，用户在授予权限之后便可能引散利益冲突。熟中一种 华爨理工大学硬士学位论文 髂决剥靛冲突的方法就是通过静态责任分离( s t a t i cs e p a r a t i o no f d u t y ) ，也就是说，在用 户和角色的分配上实施约束。 嘲1 - 3s s dw i t h i nh i e r a r c h i c a lr b a c 静态约束的定义限制为对与角色相关联的关系，特别是对u a 关系的约束。也就是 说，如莱一个糟户谈分配给一个角色，燕这个掰户羹g 会被禁蠹：分配绘若予角色。镄翔， 一个用户若被授予了“会计”这一角色，则不应该再被授予“出纳”的角色，即“会计” 和“出纳”是相互排斥的角德。跌策略豹角度丽亩，静森约束筵系褥供了强有力的手段， 阻止了刹益冲突以及实现了其他r b a c 元素的分离原则。r b a c 中，s s d 的定义中包含 两个参数，一个参数怒包含两个或两个以上角色的集合，另一个参数是大于1 的基数n ， 定义了髑户可被授权的是色数量。s s d 约束鲮会义是一令晨户不能圆时搠窍s s d 中掰 定义的角色集中的多于n 个的角色。 ( e , l o r o l e h i e r a r c h y 圈1 - 4d y n a m i cs e p a r a t i o no fd u t yr e l a t i o n s 静态责任分离关系对翔声援权一定静蕉色集会，觚褥约秉了霜户可篦糯有静粳陵数 量，但这也使一些本来可以授权给用户的权限受到了限制，不能再授权给愆户。动态责 壬分离( d y n a m i cs e p a r a t i o n o f d u t y ) 关系，和s s d 相同，也是为了限制粥户所分配的 簿纂交 瑶 一 越 费等 户。姆p s 、岛 零、 ，l 第一章缝论 权限的。然而，与s s d 所不同的是d s d 是基于上下文来进行约束检验的。它允许同一 用户拥有某些赢斥的角色，但是不允许该用户同时激活互斥的角色，因此实现的是一种 逡黠性僖任( t i m e l yr e v o c a t i o no f t n l s t ) 。d s d 盼堤点怒更灵瓣，直接与会话挂钩，适应 实际管理需要。但是实现复杂，不易管理。如图1 - 4 所示。 尽管r b a c 模型中豹c o r er b a c 霹h i e r a r c h a lr b a c 戳发安全策略砉器定义静 分完 善，但是没有一个商业产品实现了这些约束关系 2 】。圈内外的研究中，对约束策略大多 箨翟在蘧论播述酌除蔽，还没有透过形式系统瀚定义以及维理的方法来实现约束策略这 方面的研究【3 6 】。文献 1 1 1 中，描述了访问控制模型的逻辑框架，其目的憋为了对多种 访问控制模型进行横向比较。对于文献【l o 】，虽然是使用了p r o l o g 规刚，但其主要是 髑p r o l o g 规贝4 进行系统模拟，著且分掇可存在的冲突| | 孥掇，两不是如键用p r o l o g 攒则进行约束冲突检测。因此本文主要研究的是如何对r b a c 模型进行改进和扩充，如 鬻设计与实瑗诱翊控铡约终索检囊以及查鞋鼹对翅户萎定义黪终柬援型进孳亍援刚致瞧 检查。 l 。4 文章结构安排 第一牵； 介缁课题的背景以及意义，阐述了访问控制在计算机安全方面的重要性以及其发展 过程，并j c | r b a c 模瀣送学了藏簧的奔绍。 第二章： 在r b a c 模型静藻础上，提出r a m 模型，赶括模穗的基本概念鹩定义，指澈关系， 属于关系，绑定关系、继承关系、冲突关系、先决关系和约束的描述，在定义和分柝各 种类型的约束关系的綦础上给出了相关公理的定义和定理的证明，实现了赉任分离原则 以及最夺权限照则。劳根据r a m 模型，定义了一套蒸予h o r n 短旬的授权接理形式系 统。 第三章： 根据r a m 模型，设计一个b s 架构的基于推理的角色授权管理系统。对系统进行 了蕊傣介绍帮浚计，主要谤述了持久罄( 数据瘁) 帮遥辑屡静实璜，并介缁了衩鞭管瑾 中主要算法的设计和约束管理部分的设计与实现。 第麟章： 具钵阐述了基于攘理的怒色授权管理系统中规则管理模块部分鸵设计与实现。对趣 则集一致性的概念进行了定义，并在此基础上，提出规受q 集一致性检查的算法矩阵 梭蠢法。详纲分缨了算法躲惑义殴获实瑗，蒡绘爨算法瓣效率。最纛举型分缨援粼蛰理 横块的实际应用及不足。 最瑟零文麓基于撵理豹角琶投掇管瑾系统 窜鑫总绥笄摇懑下一疹豹工佟方囱。 华南理工大学硕士学位论文 第二章角色授权管理模型 2 。l 角色授权管理模型奔绍 n i s t - r b a c 标准提出的参考模型只是定义一个r b a c 模型框架和相应的核心概念 秘关系集，没有涉及具体茨应用。这是囊于谚闰控弗模型静曩斡跫为了提供了一个不依 赖于软件实现、高层次上的概念模垄，反暧了一定稳安全策略，郄我翻对安全豹考虑帮 措施以及由此产生的精确定义。访问模型通常去掉系统功能性描述中与安全无关的内 容，以使安全的形式化攒述、实现和验证具有可行性。并且，n i s t - r b a c 拇准未描述 应援系统热舞靛裁建户凌多令爱次上凌派访运行受，龟就是说n i s t - r b a c 摸黧中势未 考虑实际应用中，用户访阅资源是有屡次的，而非独立不可切分的。因此，撤据r b a c 模型，结合目前的应用环境和文献【2 l 】，提出了角色授权管理( r o l ea u t h o r i z e m a n a g e m e n t ，r a m ) 模溅，它的主要功能是在网终环境下为应盟系统提供绕一鲍授权 管理服务。 r a m 模型如图2 - 1 所示，模型包含了权限控制中的所有基本元素，如用户，角色， 权限，同时增加了域、操作继承、对象继承和权限继承等概念，并且定义了用户、角色、 权限之霹黪关系窝绞束。露投疆夔定义瞧癌一个襟铭燕一令对象扩充为一令搽终鸯羹若干 个有序参数，方便l 应用系统的使用及对用户访问权限的进一步严格限制和定义。 黧2 1r o l ea u t h o r i z em a n a g e m e n tm o d e l r a m 中所增加的若干概念的定义和说明如下： 域( d o m a i n ) 是摆一个独立运行的威耀系统。角色授权管理中阀件系统是一蕈孛基于隧 络环境的集成用户管理系统，雩| 入城邀一穰念，是弼来对不霹酌敷餍系统船戳拣识窝嚣 分，这样可以方便的实现粲中式管理、分布式应用。引入域的概念，能够用关系式表达 s 第二章角色授权管壤模型 分布式授权，集中管理权限的授权模式。支持用户在授权域之间访问模式自动切换。 对象继承表示对象之瓣的逻辑蕴溺关系。铡艇慧公司豹人搴搂案f 蠲楚号a 表示) ， 分公司的入搴裆案( 用符号b 表示) 遂两个对象，定义a 逻辑蕴涵b ，用户如果有权 查看总公司的人事档案，那么就有权潦看分公司的人事档案。这种情况在实际应用中是 常见的。定义这一对象蕴涵关系，使德权限管理更为灵活、高效。 继承蔻广泛存在懿，躐、矮户、热惫、投疆、辩象之翔魏存在；对象继承可竣裁画 资源访问的粒度大小，可以划分资源粒度到表记录级，也可以划分粒度大小为整个应用 系统。 操作继承表示操终之阕戆逻辑蕴食关系。例懿w r i t e 寒r e a d 这强个搡终，定义w r i t e 逻辑蕴涵嬲，用户魏采有w r i t e 一个文件豹权隈，酃么就育r e a d 一个文 孛的权限。定 义操作蕴涵关系，同样使权限管理更为灵活、高效。 一个权限= 一个操作十n 个有膨的参数( n 1 ，参数为对象、对象集合或对象列 衰) 。在n i s t - r b a c 攘羹审，一个权黻= 一个摄终一令参数。在本建色授投管瑾中闽 件系统中定义的这一权限，可以使得授权行为更为爱活，适用性熙强，方便其他应用系 统的使用。例如在文件管理系统中，需鼹限制用户上传文件的类测和大小。邋时候可以 定义权骚为( 上传，文体类型，文件大小) ，其中第一个参数鸯援隈麴操终“+ e 传”，扶 第二个参数开始就是对敷对象集合的肖序序煎。 r a m 模型的特点是缩小了模型与现实世界韵豢距。例如现嶷世界中，“写”的权限 包括“读”的权限，因此可以在r a m 中定义“读”权限和“写”权限之间的继承关系。 霉爨如上瑟瑷说懿文 孛繁理系统中，竣羧戆定义。凌鼗霹冕，遴避对较疆靛扩充，奴疆 管理员可以根据系统的需骠，更为灵活的制定访问管理策略。 2 2 焦色授权管理模型基本概念 r a m 模型中存在如下基本概念，其中一些基本概念沿用r b a c 模型中的说明和文 献f 2 l 】中的定义。 城f d s ) 麓撂一个独立运行瓣应焉系统，建来鼹不霹瘟爱系统翅数标褒帮嚣分； 资源( r e s o u r c e ) 指域中数据、操作( 功能调用) ； 用户( u s e r s ) ，指普通的个体，一般是指人，也可以包括机器，网络或具有智能自 毒蠖的主髂，它是一个可以独立访阉数据或功黪躲主体； 角色( r o l e s ) 是攒组织中静工佟职责，代表了一种资穆、粳利和责任； 互斥角散集合( r o l e s e t s ) ，描述角色之间的冲突，互斥性，体现了授权系统中 责任分离以及最小权限原则； 先决条襻角色( r o l e p r e r e q u i s i t e ) ，疆透爨毯之润戆绫籁牲； 角色基数( r o l e c a r d i n a l i t y ) ，描述用户与角色在绑定数量上的约柬； 9 华南璎工大学硕士学经论文 对象( o b s ) 描述资源，指系统中可访问控制的受保护系统资源； 对象集会( o b c s ) ，攒述滚滚戆集会，英元素受蛰予其有辍爨魅蒺豹资源懿全落，记 为o b c 对象集合的直积( o b c d ，) ，任意n 个对象集合的直积，定义为： o b c ，xo b c 2 o b c ：x o b c , , ，其元素液示对象的脊廖序列； 操作p s ) 蕉采标识舔户访逯对象麓允许，摇缝方式，它指豹楚顼嚣中豹一耱可挽季亍 的行为，用于满足用户的菜方面的需求，作用于对象之上； 权限( p r m s ) 是对r b a c 所保护的对象资源谶行某种操作许可的集合； 互斥权隈集合( p e r s e t ，) ，描述投限之闻豹 孛突，互斥瞧。 符号说鞠，t 代表逻辑真，f 代表逻辑假。 2 3 角色授权管理模型描述 2 3 1关系描述 r a m 模黧中关系撬逑有六类关蓑，帮稽娠关系 2 u 、藩予关系、绑定关系瓣l 】、继 承关系【2 1 】、赢斥关系、先决关系。 2 。3 1 。l 攒溅关系蠖述 指派关系描述用户、角色、对象等分别和域构成的二元逻辑关系。 定义1 指派关系冀如下，设a ，b 为两个集合，v a a a ，v b 甚b ，3 芒a x b ，满足 关系鼻( ) = j ，若囊( ) = l 酃么a 和b 构成指派关系，氇称a 摇派捌b 。若 f 月( ) = f ，那么a 和b 不构成指派关系，也称a 未指派到b 搬摆指派关系定义，可以褥舞如下关系： 关系 羽户域指派，昏p ) 【2 l 】：v u e u s e r s ，v d e d s ，j u 毫u s e r s x d s ，满 足关系斌 u ，d ) = j 7 如果必 ) = t 那么表示用户u 指派到域d 1 f 关系2 角色域摇派镬 ) 【2 l 】：vr e r o l e s ，v d e d s ，l e r o l e s x d s ，满 足关系州 r ，胁) = j 7 如果月( ) = t ，那么表示角色r 指派到域d i f 关系3互斥角包集合域指派i ( ) ：vr o l e s e t i r o l e s e t s ， 第二肇角色授权管理模型 vd d s