（计算机系统结构专业论文）基于角色访问控制技术在企业应用集成中的应用研究.pdf

华中科技大学硕士学位论文 = = = = 5 ；= = 2 = = = = = = = 2 = # = = = = = = _ = 一： 摘要 黪麓众、监应震集成e a i ( e n t e r p r i s ea p p l i c a t i o ni n t e g r a t o r ) 越来越受至人 f ：】鼹关注， 企业资滚统一访问控制正在成为当前访问控帝l 研究领域静热点之。由于传统的访问 控制方法已难以满足曰益复杂的企舭应用需求，丽基于角色的访问控制方滋则能减轻 授权管理鹣受担，并虽可提供与企救缀织架构相一致静安全繁略，因而开始戒为艇决 大型企池统一资源管琏的主要解决方案。 在深入分析基于角色访问控制r b a c 9 6 ( r o l e b a s e d a c c e s sc o n t r o l 9 6 ) 模型与基 于角色诱阀控制管理a r b a c 9 7 ( a & n i n i s t r a t i v er o l e - b a s e d a c c e s sc o n t r o l 9 7 ) 模型的 基础上，针对e a i 环境中的企韭倍感化应用特鬣，同时结台企渡的行政管瑷禳式，给 出了一种适应于e a i 威用环境的r b a c 实现模型e r b a c ( e n t e r p r i s ea p p l i c a t i o n i n t e g r a t o r - r b a c ) 。 钟对如何褥授投管理的控摹l 教交给对蠲户瀚职务需求最了解、对信息豹使用最熟 悉、最脊资格判断谁稀耍信息的管溅者，讨论了e r b a c 实现模型中以组织机构为管 理域的分布式管理模式。给出了e r b a c 模型的用户管理模型、箔色管理模型以及多 级权限管壤模鍪。这季唾f 授较管理攘黧，不餐篱德了a r b a c 9 7 禳整豹实现瓣菠，消涂 了在用户角色分配u r a 9 7 ( u s e r o l ea s s i g m n e n t 9 7 ) 模型与权限- 角色分配p r a 9 7 ( p e r m i s s i o n - r o l ea s s i g n m e n t 9 7 ) 模型中角色集与用户集依赖予角色层次所锵来的不 是，丽且落符台金监翁行致管理模式，与金盈兹蜜全管理策醛糖容。 e r b a c 模型的实现主要包括系统组件、数据库和人机界丽三部分。系统组件由 授权管理系统、身份认证服务器和访问控制服务器三大部分组成。授权管理系统采用 分布式毒摹系结稳，出鬻户端管理控麓螽帮缀务器漩授投骚务器筑藏。赛徐认涯l 爰务器 提供口令认证和数字证书认证两种方式。访问控制服务器的主袋功能是向应用系统提 供面向用户主体的访问控制规则文件，它的本质憋一个规则文件库。 e r b a c 实瑰模黧不 叉绦鏊了r b a c 模型懿麦妥跨筵，蔼羹辘渍是e a i 环境戆实 际应用需求，较好地突现了企业环境中的统一资源管理。 关键逶：企整应震集戏，涛嗣控铡，基予螽龟懿访海控裁，域，访嚣麓萎l 华中科技大学硕士学位论文 a b s t r a c t a st h e r a p i dp r e v a l e n c e o fe a i ( e n t e r p r i s e a p p l i c a t i o ni n t e g r a t o r ) ，p r o t e c t i n g e n t e r p r i s er e s o u r c e sb e c o m e sm o r ea n dm o r ei m p o r t a n t 1 l a d i t i o n a la c c e s sc o n t r o lm e t h o d s n ol o n g e rs a r i s f yt h en e e d so ft o d a y se n t e r p r i s e s r o l e - b a s e da c c e s sc o n t r o l ( r b a c ) ， w h i c hw i l ll o w e rt h eb u r d e no fa u t h o r i z a t i o nm a n a g e m e n ta n dp r o v i d eas e c u r i t yp o l i c y c o n s i s t e n tw i t ht h eo r g a n i z i n gs t r u c t u r eo f 也ee n t e r p r i s e ，b e c o m e sam a i nm e t h o dt o r e s o l v et h es a f ea c c e s sc o n t r o lf o re n t e r p r i s eg l o b a lr e s o u r c e a c c o r d i n gt ot h ec h a r a c t e r i s t i c so fe a ia n dc o n s i d e r i n gt h es p e c i f i cr e q u i r e m e n to f e n t e r p r i s e a d m i n i s t r a t i o nm o d e ，t h e p a p e rp r o v i d e s ae r b a cm o d e l ( e n t e r p r i s e a p p l i c a t i o ni n t e g r a t o r - r b a c ) b a s e d o n 氇e a n a l y s i s o fr b a c 9 6 ( r o t e - b a s e da c c e s s c o n t r o l 9 6 ) m o d e la n da r b a c 9 7 ( a d m i n i s t r a t i v e r o l e - b a s e da c c e s sc o n t r 0 1 9 7 ) m o d e l a i m i n ga th o w t oa u t h o r i z em a n a g e m e n tr i g h tt o 也o s cw h ok n o w st h ed e m a n d so f u s e r sb e s t ，t h eu s a g eo f i n f o r m m i o nm o s ts u f f i c i e n t l ya n dt h o s ew h om o s tq u a l i f i e dt o j u d g e w h i c hu s e rn e e d si n f o r m m i o n m a n a g e f ，a d i s t r i b u t e dm a n a g em e t h o db a s e do n o r g a n i z a t i o n i i le r b a cm o d e ii sd i s c u s s e d u s e rm a n a g e m e n tm o d e ia n dr o l el e v e im o d e lb a s e do n d o m a i nm a i n t e n a n c eo fe r b a c a n dm u l t i - l e v e ip e r m i s s i o nm a n a g e m e n tm o d e la r e p r e s e n t e d n 娃sa u t h o r i z a t i o nm a n a g e m e n tm o d e lc a l ln o to n l ys i m p l i f yi m p l e m e n t a t i o n d i f f i c u l t yo fa r b a c 9 7 ，b u t a l s od i m i n i s ht h es h o r t a g eb r o u g h tb yr o l es e ta n dt i g e rs e t s d e p e n d e n c e o nr o l e1 e v e li nu r a 9 7 ( u s e r - r o l ea s s i g n m c n t 9 7 ) m o d e la n dp r a 9 7 f p e r m i s s i o n - r o l ea s s i g n m e n t 9 7 ) m o d e l i ta l s oa c c o r d sw i t ha d m i n i s t r a t i o nm o d e la n d s e c u r i t yp o l i c yo f e n t e r p r i s e s e r b a cm o d e li sc o m p o s e do ft h r e ep a r t s ：s y s t e mc o m p o n e n t ，d a t a b a s e a n d h u m a n - m a c h i n ei n t e r f a c e s y s t e mc o m p o n e n ti n c l u d e sa u t h o r i z a t i o nm a n a g e m e n ts y s t e m ， i d e n t i f i c a t i o na u t h e n t i c a t i o ns e r v e ra n da c c e s sc o n t r o ls e a - v e r a u t h o r i z a t i o nm a n a g e m e n t s y s t e ma d o p t sd i s t r i b u t e da x c h i t e c t u r ea n dc o m p o s e do f c l i e n tm a n a g e m e n tc o n s o l ea n d s e r v e ra u t h o r i z a t i o ns e r v e l i d e n t i f i c a t i o na u t h e n t i c a t i o ns e r v e r p r o v i d e sp a s s w o r d a u t h e n t i c a t i o na n d d i g i t a lc e r t i f i c a t ea u t h e n t i c a t i o n a c c e s se o n t r o ls e r v e rp r o v i d e sf i l e so f u s e rf a c e da c c e s sc o n t r o lr u l ef o ra p p l i c a t i o ns y s t e m s ，a c t u a l l y , i ti sar u l ef i l e1 i b r a r y e r b a cm o d e lm a t e r i a l i z e st h em a i nc h a r a c t e r i s t i c so fr b a cm o d e l ，c a r ts a t i s f y a p p l i c a t i o nr e q u i r e m e n t o fe a l 。t h em o d e lc a nc o m m e n d a b l yr e a l i z et h eu n i v e r s a l r e s o u r c ea c c e s sc o n t r o li ne n t e r p r i s ee n v i r o n m e n t k e yw o r d s ：e n t e r p r i s ea p p l i c a t i o ni n t e g r a t o r , a c c e s sc o n t r o l ，r o l e - b a s e d a c c e s sc o n t r o l ， d o m a i n ，a c c e s sr u l e 独创牲声龋 本人声明所璺交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已经称明；f 用的内容夕 ，本论文不包含任何其他个 人或集 摹邑经发袭或撰篝过熬疆究藏暴。瓣本文瓣磅梵镁出燹麸戆个人帮嶷薅， 均己在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文揍者签名；杏 孥 鼹期：知一寥年4 - 胃工舅舅 学位论文版权使用授权书 零学位论文作者完全了解学校省关保嘲、使用学位论文的规定，即：学校肖 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被奁阅和 借阅。本人授权点| 盎孛科技大学丽蓉将本学往论文的全都菇部分内容编入鸯关数恭 库进纷捡索，可以采用澎窜、缀印或据撵棼复制孚段保存和汇编本学位埝文。 保密口，在年解密后适用本授权书。 零论文灞予不保密i ( 请奁以土方框痰打“”) 学健论文晦蛰签皂莴迎颔 圈期：h 手年4 - 月滔垦 指导教师签名：月专谨扛 e t 期。h 印年4 月岁u 日 华中科技大学硕士学位论文 1 1 本课题研究的背景 1 绪言 现今信息化浪潮此起彼伏，企业纷纷致力于企业信息化。伴随着企业信息化进 程的发展，每个企业都或多或少地存在某些“计算机应用系统”。虽然应用的i t 技 术有新有旧、应用领域的范围也有宽有窄，但是有一个共同点：基本上是以企业某 个部门基于一个或几个功能为目标设计的。这样，由于历史原因，企业就可能拥有 多个独立的应用系统。通常这些应用系统针对不同的应用领域，可能由不同的开发 商实现，有各自的用户管理与访问控制功能模块。 随着i n t e m e t 与电子商务的发展，企业迫切需要进行这些应用系统之间的应用 业务、流程及数据的整合，以消除这种应用碎片或信息孤岛。在这种背景下，企业 应用集成e a i ( e n t e r p r i s e a p p l i c a t i o ni n t e g r a t o r ) 越来越受到大家的关注。 所谓e a i 是将进程、软件、标准和硬件结合起来，在两个或更多的企业应用系 统之f 自j 实现无缝集成，使它们就像一个整体一样。尽管e a i 常常表现为对一个商业 实体的信息系统进行业务应用集成，但当在多个企业应用系统之间进行商务交易的 时候，e a i 也表现为不同公司实体之间的企业应用系统集成。 在企业应用集成之前，企业的各个应用系统处于孤立状态，有各自的用户和访 问控制功能模块。在企业应用集成之后，如果继续采用这种访问控制管理模式，则 存在若干问题： ( 1 ) 用户使用不方便 由于多个应用系统同时并存，每个应用系统都有自己的用户名和密码输入需求， 导致对一个可能涉及多个应用系统的用户来讲，每进入一个应用系统就要输入一次 用户名与密码，使用起来极不方便。 ( 2 ) 用户信息重复 假设一个用户能访问多个应用系统，那么在每个应用系统中都要维护该用户的 信息，这造成了应用系统之问用户信息的大量重复。 ( 3 ) 管理员管理难度增加 华中科技大学硕士学位论文 由于每个应用系统都有自己的用户和访问控制功能模块，那么在具体的授权管 理时，每个应用系统都需要专门的管理员独立地谶行操作。用户信息的大缀重复， 辍大遮髦臻了管理员缳持瑟畜鬟户信惑一致连懿整理难度。 从上两的分析可以看出，要实现企业应用集成，则迫切需要一种能够满足企业 应用集成需求的访问控制技术【2 ，3 1 ，以消除信息孤岛，实现企业应用系统的尝正集成。 1 2 谤阉控制凝述 l 。2 。l 谚阍控制的概念、内容翔范畴 近年来，随着全球网络化的热潮，网络技术正在日益广泛而深入嫩被应用到社 会豹各令领域中，深翔邀改变赘社会鹣行舞秘嚣虢。然嚣，鬻终安全帮藏为困挽帮 阻挠网络投术迸一步酱及、应用的绊脚石。尤其在商业、盒融和国防等领域的网络 应用中，能否保证网络具有足够的安全性是首先要考虑的问题。安全问题如果不能 褥到有效她解决，必然会影确熬个潮络技本及应爱鞠发袋。 为此，国际标准化缀织i s o 在网络安全体系的设计标准( i s 0 7 4 9 8 。2 ) 中，提 出了鼷次型的安全体系结构，怒义了五大安全服务功能：舞份认证服务，访问控制 服务，数撼保密服务，数据完熬性服务，不w 西认服务1 4 】。 新谨访闻控蠢，就是透过巢秘方式鞠确魄礁许或限制访阍链力及范澄懿一种 方法。通过访阎掇制服务，可以限制对关键资源的访问，防止非法用户的侵入或 者困合法用户的不慎操作所造成的破坏。简单的说，即：“哪些用户可以使用哪 些资源”。 访问控制系统一般包括如下三个组成部分： 主体( s u n e c t ) ：发出访问操作簧求的实体，通常攒用户或用户的某个进程； 袋体( 0 b e c t ) ：渡保护戆浚源，可以是瑕序、数据蕤楚蘩个设备； 蜜全访问政策：一套规则，糟以确定一个主体是否对客体糖有访阔熊力。 1 2 2 传统的访湖控粼技术 传统的访问撩稍方法包括了荚闰国防部颁布静橘皮书中制订酶两释方法：强制 型访闻控制m a c ( m a n d a t o r y a c c e s s c o n t r 0 1 ) 、自主型访闯控制d a c ( d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 。 华中科技大学硕士学位论文 ( i ) 自主型访问控制 d a c 的含义是由客体自主地确定各个主体对它的直接访问权限。这种方法能够 控裁主 零对窖薅懿鲞羧访囊，毽不戆控裁主髂辩饔镩懿霆接访趣。穗英为囊主墼羲 是因为在d a c 系统中，一个拥有一定访问权限的主体可以赢接或间接地将权限传 给其他主体【5 j 。d a c 熙目前计算机系统中实现最多的访问控制机制，如常用的操作 系统中的文传系统使用豹就是自主型谚超控制方式。 d a c 的优点在予袭述直观、易予理解，并强比较容易查出对一特定资源拥有访 问权限的所有用户，容易实旌有效的授权管理，阂而目前广泛地应用在商用系统中。 然丽，在d a c 方法中，资源的拥露者可以自行决定资源的访问权限，这不符合企 监环凌中麓安全策珞。魏在企监环壤中，系统产生豹资源是耩予企翌羲羹于产，若奎 用户自主决定资源的健用权限，显然是不合理的作法。 ( 2 ) 强制型访问控制 颞名愿义，m a c 怒“强鸯鼗”绘访游蔓侮懿，鞠系统强澍主体暇从谤润控制麓蜷。 m a c 是横缀寓体髂敏感缴秘主体孵许可缀来隈翻主体霹客体的访阀箨培】。m a c 出- - - - 个授权机构为主体和窖体分别定义固定的访闯属一睫，且这些访问权限不能通过用户 柬修改。m a c 常用于攀驮酾政府戳桷，例如将数攥分成绝密、褫密、秘密署群般等 凡类。髑户躲访闼权限嵌炎 菇定义，朝搦有裙应投黻的用户可以谤闯对应安全缀剐 的数掘，从黹避免了自主访问控制方法中出现的访闻传递问题。遗种方法鼹肖滕次 性特点，麓级别的救隈可访闯低级别的数据。 魏；黪方法逶露予多屡次安全缀蹦豹攀事瘟燃，缺点在于谚| 瓣缀剩的划分不够续 致，在湖级剐之间缺乏控制机制，秃法适应于复杂的企业环竣。 1 2 3 基詈螽色熬游潮控制 隧着网络的迅速发糯，尤其燕i n t r a n e t 的兴越，对访闽控制服务的质鬣魄提出 了更商的臻嫩，以上两种访问控制方法已很难满熄这些要求。d a c 将赋予媾取消访 嘲权限戆一帮分权力毽绘了鼹户个入，送使得饕溅爨滩 三乏确淹爨些雳户对暌魑瓷澎 有访问擞隈，不利于实璇绕一鲍全躅访淘控翎。蕊m a c 出于过予偏重像密髋，对 其它方蕊，如系统连续工作能力、授权的可管瑾憾椁考虑不足。 基予蕉龟豹访阉控制r b a c ( r o t e b a s e da c c e s sc o n t r 0 1 ) 楚荚謦n i s t ( n a t i o n a l i n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ) 予2 0 毽纪粥年代裙爨趱的一耪赣懿访闺控制 华中科技大学硕士学位论文 技术 9 , 1 0 1 。r b a c 技术不仅有效地究服了d a c 和m a c 存在的不足，而且还可以减 少授权管理的复杂性、降低管理开销，并为管理员提供一个比较好的实现教全策略 憝环凌。凌予其在嚣藏大量存在熬麓鼗蟊政府部门系统安全鬣求方垂显示瓣极大优 势，因此，它已成为传统访问控制方法的发展和补充而被引起了广泛关注“。 基于角色的访问控制方法引入了角色的概念，并以角色作为授权管理的中介。 系统安全篱理员可根撼霈要定义各种受色，著鸯箕设置合适的访阃投限，然后根据 用户新担任的工作职黉藏级鄹分配襁应的角色，从而镬矮户菰褥稳关静投限集。其 中角色可以看成是一个液达访问控制策略的语义结构，它可以表示承担特定工作的 资格，如外科医生、药剡师等，也埘以体现某种权利与责任，知护士长、饿班医生 等f 豫1 。 引入角色的管理模式后，对资源授权管理过程将分成两个部分，即首先实现访 问权限与角色相关联，然后再实现角色与用户棚关联，从而实观了用户与访问权限 戆逻辑分褰。絮图1 1 瑷示。 卜乏多 蚕l ，1 螯予角色豹诲秘投锱的基本愚戆 1 3 本漂避酝究麓意义、内窭翱嚣蠢 撼于角色的访问控制具有减少授权管理复杂性，降低管避开镑，并能提供与企 曼组织镶构提一致躺安全策路的优势，被公认是大型垒业成耀环境中蜜现授权营理 的最健方案。然丽近年来的研究主簧集中予聚统模型的建立( ”。7 1 或模测在巢具体 应用环境中的实现”。这些抽氖、普适的模型，距具体的域实应用有很犬的差距， 丽针对麓其体应熙环境设计的模型又不具肖遴用性。 本漾蘧梅锌对e a i 环境申的倍感亿应丽符链，丽露绻合企娩静雩亍敬管璎模式， 给出一种遗用于e a t 成用环境的r b a c 实现模型e r b a c ( e n t e r p r i s ea p p l i c a t i o n i n t e g r a t o r r b a c ) 。e r b a c 模澄是在深入分析r b a c 9 6 ( r o l e b a s e da c c e s s c o n t r 0 1 9 6 ) 模墼裰a r b a c 9 7 ( a d m i n i s t r a t i v er o l e b a s e d a c c e s sc o n t r o | 9 7 ) 模型熬 基础上，依据e a i 环境的应用特点，对r b a c 9 6 模型和a r b a c 9 7 模溅进行简化与 改进的结果，能较好地满足e a i 环境下的访闷控制需求。 华中科技大学硕士学位论文 本谦题黎望能为解决e a i 环境中企韭资源统一访闻控镧的润遂提供一塑有益的 探索，并为实现通用访问控制系统提供一种新的思路。 本课题的主要研究内容包括： ( 1 ) 深入分毒跨髓a e 模罐与a 船a c 9 7 摸蘩； ( 2 ) 给出e r b a c 实现模型的框架； 3 ) 给出e r b a c 实现模黧的系统设计 ( 4 ) 给嫩e r b a c 模型的实现技术。 本课题的主要目标是提出适用于e a i 环境的基于角色的访问控制系统模型，并 熬戬实凌。该实瑗模型盛该达妥懿下骜拣： ( 1 ) 满足e a i 环境的具体需求； ( 2 ) 符合企业的行政管理模式； ( 3 ) 易于实瑷，方便授权镣理； ( 4 ) 能体现r b a c 模型的主要特征； ( 5 ) 具有一定鼹逶粼整。 华中科技大学硕士学位论文 2r b a c 模型分析 本章将对r b a c 研究领域两个著名的理论模型进行分析。首先，介绍r b a c 9 6 模型，并总结r b a c 9 6 模型的优势；然后，介绍a r b a c 9 7 模型，并深入分析 a r b a c 9 7 模型在实际应用中的不足之处。 2 1r b a c 9 6 模型分析 美国g e o r g em a s o n 大学的r a v i s a n d h u 在1 9 9 6 年提出了r b a c 9 6 模型2 ”。 r b a c 9 6 模型提供了一个分析、评价现存系统对r b a c 支持程度的框架，也提供了 软件开发者在未来系统中实现基于角色访问控制的理论基础。 2 1 1 基本架构 图2 1 给出了r b a c 9 6 模型。其中，单箭头表示一对一关系，双箭头表示多对 多关系。 r h 图2 1r b a c 9 6 模型 r b a c 9 6 模型包括4 个不同层次，如图2 2 所示。r b a c o 模型定义了支持基于 角色访问控制的基本模型，规定了任何r b a c 系统所必须的最小需求：r b a c 一模型 在r b a c o 的基础上加入了角色继承关系，可以根据组织内部权力和责任的结构来构 华中科技大学硕士学位论文 造角色与角色之间的层次关系 r b a c 2 穰型在r b a c o 的藻础上勰入了备种用户与 角色之闽、投隈与惩色之间以及角色与始色之闯的限制关系，如角色互斥、蹙色最 大藏员数、前提角色、前提权限等；丽r b a c 3 模型楚对r b a c 和r b a c 2 的集成， 它不仅包括角色的继承关系，逐包括限制关系【2 2 1 。 r b a c 3 螽色继承与疆割 角色继承 限铡 、 r b a c o 基本模裂 圈2 2r b a c 9 6 屡次模型 2 1 2r b a c o 模型 r b a c o 模缀定义了四个实体和两个分配关系。 ( 1 ) 餍户( u s e r s ) ：豢一令可瑷猿烹访蠲诗算穰系统孛静鼗爨裁雳数莛表示懿 熟他资源的主体。用户在一般情况下是指人，但有时也包括计算机或一些执行的程 序。 ( 2 ) 霭夔r ( r o l e s ) ：糖执行特定任务魏麓力或在缝缓中已被援予一定责任敬 工作头衔。它代表一种资格、权利和责任。 ( 3 ) 权限p ( p e r m i s s i o n s ) ：在系统中对一个或多个客体进行特定模式访问的 掇俸投疆，与蜜璐辊割密切稳关。权限熬本震取决予系统的实瑰缨节，如操 乍系统 中保护静是文件、目录等资滚，相应斡搡作是读、写、执行等。 ( 4 ) 会话s ( s e s s i o n s ) 每一个用户在系统执行时，可以建立数个会话，而每 一个会话又可对应数个角色，或称每个会话都拥有一个“活跃角色集”a r s ( a c t i v e r o l es e t ) 2 3 1 。这样爱户霞霹以魂态选铎掰需惫色，筏往琢蘸罴衩羧，麸露霹实凌 最小权限原则。 ( 5 ) 用户分配u a ( u s e ra s s i g n m e n t ) ：表示用户角色分配关系，是一个多对 多稳获射关系。 华中科技大学硕士学位论文 ( 6 ) 权限分配p a ( p e r m i s s i o na s s i g n m e n t ) ：表示角色权限分配关系，也是 个多对多的映射关系。 2 1 3r b a c l 模型 r b a c l 模型在r b a c o 模型的基础上引入了角色继承的概念。基于角色的访问 控制方法的优点在于引入了角色继承关系。当一个角色r l 继承另一个角色r 2 时， r l 就自动拥有了r 2 的访问权限。角色继承关系自然地反映了一个组织内部的权利 和责任关系，例如，外科医生继承了医生的所有权限，而首席外科医生又继承了外 科医生的所有权限等。这种角色继承关系为权限管理提供了方便。角色继承关系如 图2 3 所示。 但是在有些情况下，角色之间不希望继承全部的权限。如在一个课题中，每 个课题成员都有一些个人的数据资料，如临时文档等，只供课题成员自身访问，即 使是对于课题负责人，也不希望他能得到。在r b a c 9 6 模型中，角色权限的部分继 承，是通过私有角色来实现的 2 4 1 。如图2 3 所示，如果一个角色p e l 的部分权限不 希望被另一个角色p l l 继承，那么p e l 必须将这些权限分离出来，派生出一个新的 角色p e l ( 称为p e i 的私有角色) ，在p e l 中只能描述可以被p l l 继承的权限，而在 p e l 中再补充描述p e l 的私有权限。 d t r p e d 图2 3 角色的继承关系 e 2 利用角色继承的概念，可以减少重复的权限分配工作，使用上也非常直观，而 且不会造成困扰。因此使用角色层次，可以大量的简化管理工作。 但这种方法最大的缺点是将一个逻辑上统一的、属于同一角色的权限分离开来， 使得很多角色( 如p e i ) 成为不完整的角色，并且，如果私有角色之间也实现继承 华中科技大学硕士学位论文 关系时，则会使得角色间的继承关系特别复杂。因此，很难用于角色层次关系比较 复杂的应用场合。 2 1 4r b a c 2 模型 r b a c 2 模型在r b a c l 模型的熬础上引入了限制条件的概念。限制条件就是应 蠲在r b a c 各缝 串上懿些断言，只有当条l 孛为囊舜，裙应的操雩# 才能被接受。限 制条件链较好地体现众业组织机构中的组织政策。最普通豹侧予就是限制条件在职 务分离方酾的应用，这可以通过定义两个不同的角色，同时制定一个应用在用户指 派关系u a 上的限制祭件，使得这掰个角色不能摄派给圊一个愿户。 限翻条件一般包播翔下几种： ( 1 ) 互斥角色限制 互斥臌制楚r b a c 中擞重要的限制。互斥角鬯隈制指同一个用户只能分配到互 斥角色集合中的最多令角色。倒始，财务部门中黥感纳与会计，这两群臻德成该 麓楣互摊斥静，豳蔼嗣一爝户不挠麟盼粕有出继帮会计这鼹个角佼。 互斥角色支持了职辫分离的原则。职责分离鼹主要的目的，就是将互斥的工作 分由不同孵人寒受爨。职黉分离可以分为静态驳黉分离s s d ( s t a t i cs e p a r a t i o no f d u t i e s ) 与潮淼联贵分壤d s d ( d y n a m i cs e p a r a t i o no f d u t i e s ) 。静态职责分离烧籀一 个用户不可拥有两个甄斥的角色；筒动悉职责分离指一个掰户可以拥有两个互斥的 角色，但是不能同时使硝它们。 在投隈分鞑辩也有戛斥限剜，灏群瓣投隈在一个匿斥集会巾麓多可被分酝绘一 个角色，邈样尤其有利予对比较冀癸的权利枝戳豁分配。 ( 2 ) 旗数限制 在许多穗滋下霹熊会涉及劐“数爨”敬隈割。潦数匿割蔑窥了一个受谯可梭分 酝的最大蹋户数。铜翔，蘩系统中，怒长燕色只熊分辩给个嗣户，裁局长角色最 多只能分配绘4 个用户。同样，个用户可以拥谢的角色数爨也怒受限的。慝进一 步，一个权限可分配鹣怒色数量也应爱溺限制以羧制菇级权黢农系统中的分配。 ( 3 ) 先决条伟焦後 一个角德可以分配给用户，其衙掇条件是该用户已经拥裔弱外一个角畿；一个 权限可以分酝给角色，箕蔚提条件麓该角色已经拥有另处一摹申操作权限。换言之， 警熙户捎露了角色b 拜尊，角色a 恣可以分配绘该掰户，并盛受饿a 在冀它任簿绩 华中科技大学硕士学位论文 况下都不能分配给用户，这个角色b 就是角色a 的先决条件角色。例如在图2 3 中， 若要给用户分配角色p e l ，则此用户首先必须具有角色e 1 。除了先决角色外，同样 的原理也可应用在权限上面。 ( 4 ) 时间频度限制 规定特定角色权限的使用时间及频度2 5 1 。 ( 5 ) 运行时互斥 例如，允许一个用户被分配两个角色，但在用户访问资源的运行过程中，不允 许同时激活这两个角色【2 5 。 可以应用限制条件的范围包括：用户、角色、会话、角色层次、用户分配、权 眼分配等。除了上述常见的限制条件外，还有许多各种形式的限制，要视系统的具 体需求而定。 2 1 5r b a c 3 模型 r b a c 3 模型是r b a c l 模型和r b a c 2 模型的结合，在这里不作讨论。 2 1 6r b a c 9 6 模型评估 r b a c 9 6 模型是对自主控制和强制控制机制的改进，它基于用户在系统中的作 用来规定其访问权限，这个作用即角色可被定义为与一个特定活动相关的一组动作 和责任。 r b a c 9 6 模型具有以下优势： ( 1 ) 简化了授权管理 通常的访问控制实现方法，将用户与访问权限直接相联系，当组织内人员新增 或有人离开时，或者某个用户的职能发生变化时，需要进行大量授权更改工作。而 在r b a c 中，将访问权限与角色相联系，通过给用户分配合适的角色而让用户获得 相应的访问权限，以实现用户与访问权限的逻辑分离。一旦r b a c 系统建立起来以 后，主要的管理工作即为授权或取消用户的角色 2 6 ，2 7 1 。 ( 2 ) 提供了层次化的管理机构 由于访问权限是客体的属性，所以角色的定义可以用面向对象的方法来表示， 并可用类和继承等概念来表示角色之间的关系【2 8 1 。 ( 3 ) 最小权限原则 1 0 华中科技大学硕士学位论文 由于可以按照角色的具体要求来定义对客体的访问权限，即分配的权限集既能 保证角色充分行使其职权，又不能超越职权范围 2 9 】。 ( 4 ) 职责分离 由于具有责任分离的能力，不同角色的访问权限可相互制约，用户不能激活相 互排斥的角色，因此具有更高的安全眭 3 0 , 3 1 1 。 2 2a r b a c 9 7 模型分析 在大型系统中，由于涉及到的用户、角色与资源成百上千，仅由单一的系统安 全管理员来管理显然不现实。为进一步降低授权管理的负担，r a v i s a n d h u 等人在 r b a c 9 6 模型的基础上提出了a r b a c 9 7 管理模型。 2 2 1 基本架构 a r b a c 9 7 模型是一种分布式管理模型，如图2 4 所示。 r h 用户 u 弓x 竺只唑 会话庐p 誓； 管理用户分配 a u a 田 i一 。厂、一； 管理a 角r 色) 一管理a 权p 限 管理权限 、7 飞分配a p a 、， 管理角色继承a r h 注：a u a ：a d m i n i s t r a t i v eu s e ra s s i g n m e n t a p a ：a d m i n i s t r a t i v ep e r m i s s i o na s s i g n m e n t a r h ：a d m i n i s t r a t i v er o l ea s s i g n m e n t 图2 4a r b a c 9 7 模型 l l 华中科技大学硕士学位论文 图中上半部分表示系统中角色与权限的关系，下半部分表示管理角色a r ( a d m i n i s t r a t i v er o l e ) 和管理权限a p ( a d m i n i s t r a t i v e p e r m i s s i o n ) 的关系，下半部 分是上半部分的镜像，其中限制可以作用于所有的实体。 a r b a c 9 7 模型在r b a c 9 6 模型的基础上引入了管理权限和管理角色，管理权 限指对用户、角色和权限进行特定模式访问的操作权限，如添加或删除用户、添加 或删除角色、添加或删除权限等。管理角色代表一种资格、权利和责任，这种角色 只能被授予管理权限。 a r b a c 9 7 管理模型包括用户角色分配u r a 9 7 ( u s e r - r o l e a s s i g n m e n t 9 7 ) 模型、 权限角色分配p r a 9 7 ( p e r m i s s i o n r o l ea s s i g n m e n t 9 7 ) 模型和角色角色分配r r a 9 7 ( r o l e r o l ea s s i g n m e n t 9 7 ) 模型三部分【3 3 j 。 2 2 2u r a 9 7 模型 u r a 9 7 模型讨论的是分布式的用户角色的分配，包括两方面内容：为用户授 予角色和从用户取消角色。 用户角色的授予关系可描述为：c a n _ a s s i g n ( x ，y ，z ) 。其含义是指一个管理 角色x 3 2 , 3 4 , 3 5 ( 或由x 继承而来的管理角色) 可以对某一用户，当它的常规角色【3 2 , 3 4 , 3 5 】 满足先决条件y 时就能授予该用户成为范围z 中某个常规角色的成员。 用户。角色的撤消关系可描述为：c a nr e v o k e ( x ，y ) 。其含义是指一个管理角 色x ，或出x 继承而来的管理角色可从任何常规角色y y ( y 是常规角色集) 中取 消一个用户的成员资格。 u r a 9 7 模型中的撤消操作是比较虚弱的，因为它仅适用于可以直接撤消的角 色。例如，一个用户是p e l 与e l 的用户，p e l 由e l 继承而来，删除了用户的e 1 角色成员资格，他仍可通过角色p e l 获得e 1 的权限。而较强的撤消则采取级联撤 消，在删除e 1 成员资格时连p e l 的成员资格也一并删除，但是若用户是e 1 和p l l 的成员，而p l i 在管理员作用范围之外，则不允许删除p l l 。 u r a 9 7 模型的主要思想是使用角色范围和先决条件这两个概念来界定每个管 理角色的管理范围 3 6 , 3 7 1 。角色范围决定管理角色能进行操作的角色集合，先决条件 决定管理角色能进行操作的用户集合。如图2 5 所示。 2 华中科技大学硕士学位论文 图2 5u r a 9 7 模型的主要思想 2 2 3p r a 9 7 模型 从角色的角度看，用户与权限具有相同的特征，因此p r a 9 7 可与u r a 9 7 一一 对应。故上面对u r a 9 7 模型的所有讨论都适用于p r a 9 7 模型。 2 2 4r r a 9 7 模型 在r r a 9 7 模型中，区分3 种角色： ( 1 ) 能力角色( a b i l i t i e s ) 能力角色是指只拥有操作权限或其它能力角色作为其成员的角色。 ( 2 ) 组角色( g r o u p s ) 组角色是指拥有用户或其它组角色作为其成员的角色。 ( 3 ) 顶级角色( u p r o l e s ) 顶级角色是指对成员资格没有限制的角色。即它的成员资格包括用户、权限、 组角色、能力角色和其它顶级角色。 这3 种角色互不相交，分别记作a 、g 、u p r 。 能力角色是可分配给角色的一个权限集合，例如银行中开户的能力就包含多个权 限，而只分配其中的一部分权限是不行的，应当将所有相关权限作为一个整体分配。这 样，分配能力角色给角色的过程就如同分配权限给角色的过程。因此，可以按照p r a 9 7 模型建立相应的能力角色一角色分配a r a 9 7 ( a b i l i t y - r o l e a s s i g n m e n t 9 7 ) 模型。 用户组是分配给角色的用户集合。用户组之间也可以形成层次关系。对于组角 色一角色分配，可以通过调整u r a 9 7 模型来产生组角色角色分配g r a 9 7 ( g r o u p r o l e a s s i g n m e n t 9 7 ) 模型。 华中科技大学硕士学位论文 能力角色一角色的分配与取消关系在a r a 9 7 模型中描述为 c a n a s s i g n a ca r c r 2 “和c a r l r e v o k e a ca r 2 “。 组角色一角毯熬分配与敷溪关系在g r a 9 7 模型中攘述为 c a n ，a s s i g n g _ a r c r x 2 6 和c a n - r e v o k e g c a r x 2 8 。 角色的产生、删除，角色与角色之间关联的捅入、删除，谯顶级角色。角色分配 u p r r a 9 7 ( u p r o l e + r o l e a s s i g n m e n t 9 7 ) 模型中接述为e a n - m o d i f y ：a r 叶2 。 c a n - m o d i f y ( x ，y ) 的含义是攒一个管理楚色x ( 或由x 继承两来静管怒兔色) 可以在范围y 内创立绒删除角色( 除了y 的两个端点) ，也可以修改范围y 内的角 邕关系。 在c a 珏m o d i f f ( x ，y ) 孛，落潮y 酃是封溺麓罄闼，著虽这辩封闭范瀚又穆之 为一个授权范围。r r a 9 7 模型要求任两个授权范围要么是互斥的关系，要么是相互 包含的关系。对于担任管理角色的菜一角色，其所属的最小授权范围又称之为直接 授较范豳。每一整饪蛰璎受垂夔楚惫，只爱在冀掰j ；霉戆壹按授投范围之内滋行囊色 层次的维护工作。在角色层次结构中，直接授权范围之问存在包含的关系，故管理 角色在相应的直接授权范围内进行谢关的维护工作还应受到全局一致性的限制，必 簇僳证垒蕊缝票是可以接受魏f 3 9 , 4 0 i 。 如在圈2 3 中，假设管理角色有权管理从d i r 到e d 闻瀚角色，若测除了p l l 则参考边界p l l 就不存在了。为了避免这种情况，规定在c a l l r e v o k e 中作为参考边 器的角色不s 被删除。此时，删除角色螅能力受到全局一致憾的约束。 2 2 5a r b a c 9 7 模逊评估 就a r b a c 9 7 模型的起源而言，其是建立在r b a c 9 6 模溅盼基础