（计算机应用技术专业论文）rbac在安全信息系统中的应用研究.pdf

华中科技大学硕士学位论文 摘要 咄计算机和通信网络为基础建立的各种信息系统 加速了社会自动化的进程 提高了生产辜 增加了经济效益 然而这种优势是有代价的 其中一个代价就是增 加了信息安全的风险 尤其是近年来计算机犯罪此起彼伏 怎样防止计算机犯罪 实现系统的安全就成了急待解决的问题 通过对访问控制技术的研究 得出基于角色的访问控制是一个非常有效的访问 控制技术 它具有灵活的角色机制 能够配置成自主访问控制和强制访问控制 基 于角色的访问控制的基本思想是用户被分配到角色 权限被分配到角色 用户通过 角色得到权限 通过对角色的深入研究 提出了使用角色的层次关系来描述一个组 织中的权力和责任 从而自然构造角色 提出了使用静态责权分离和动态责权分离 来实篪利益冲突策略 防止用户超越他们职位的授权层次 用形式化的语言描述了基于角色的访问控制模型 将权限扩展为对任务的操作 提出了基于工作流和角色的访问控制模型 模型的关键在于直接权限分配和隐含权 限分配这两个关系 为适应分布式环境下实现访问控制的需要 提出了分散的管理 结构 为了满足灵活地开发安全信息系统的需要 将系统设计成一个个可以复用的独 立的功能模决 在开发新系统时通过组合或替换某些模块 就可以方便地实现具有 基于角色访问控制功能的安全信息系统 提高了软件开发效率 改善了软件质量 关键字 信息安全 访问控制 触基辜角色彰窃问控制 华中科技大学硕士学位论文 a b s t r a c t a l lk i n d so fi n f o r m a t i o ns y s t e m s w h i c ha r eb a s e do nc o m p u t e ra n dc o m m u n i c a t i o n a c c e l e r a t es o c i e t ya u t o m a t i z a t i o nc o u r s e i m p r o v ep r o d u c t i v i t y a n di n c r e a s e e c o n o m yb e n e f i t b u t t h i sa d v a n t a g eb r i n g sm a n yp r o b l e m a n do n eo ft h e m i si n f o r m a t i o ns e c u r i t yv e n t u r ei n c r e a s i n g e s p e c i a l l y m o r e a n dm o r e c o m p u t e r c r i m eh a v eb e e nr e p o r t e di nr e c e n ty e a r s s oh o wt op r e v e n tc o m p u t e rc r i m e a n d i m p l e m e n ts y s t e ms e c u r i t yi sap r o b l e m w h i c hm u s t b ed e a l tw i t ho nt h ei n s t a n t a c c e s sc o n t r o lt e c h n o l o g yi si n v e s t i g a t e d a n dt h ef o l l o w i n gc o n c l u s i o ni sd r a w n t h a t r o l e b a s e da c c e s sc o n t r o l r b a c w h i c hh a sf l e x i b l er o l em e c h a n i s m i sae f f e c t i v e t e c h n o l o g y o fa c c e s sc o n t r o la n dc a nb e c o n f i g u r e d t o d i s c r e t i o n a r y a c c e s s c o n t r o l d a c o rm a n d a t o r ya c c e s sc o n t r o l m a c t h eb a s i cc o n c e p to fr b a c i s t h a tu s e r sa r ca s s i g n e dt or o l e sa n dp e r m i s s i o n sa r ea s s i g n e dt or o l e sa n du s e r sa c q u i r e p e r m i s s i o n sb yb e i n gm e m b e r so fr o l e s r o l ei sr e s e a r c h e d a n dt h ev i e wi sp r e s e n t e d t h a th i e r a r c h i e sa r ean a t u r a lm e a n so f s t r u c t u r i n gr o l e st or e f l e c ta no r g a n i z a t i o n sl i n e s o fa u t h o r i t ya n d r e s p o n s i b i l i t y s t a t i ca n dd y n a m i cs e p a r a t i o no fd u t ya r cu s e d t oe n f o r c e c o n f l i c to fi n t e r e s t p o l i c i e s t h a t o r g a r a z a t i o n sm a ye m p l o y t o p r e v e n t u s e r sf r o m e x c e e d i n g ar e a s o n a b l el e v e lo f a u t h o r i t yf o rt h e i rp o s i t i o n s t h ef o r m a ld e f i n i t i o no fr o l e b a s e da c c e s sc o n t r o lm o d e li s g i v e n p e r m i s s i o ni s e x t e n d e dt oo p e r a t i o no nt a s k a n dt h ew o r k f l o w b a s e da n dr o l e b a s e da c c e s sc o n t r o l m o d e li sp r e s e n t e d t h ec r u xo fw h i c hl i e si ne x p l i c i tp e r m i s s i o na s s i g n r n e n t e p a a n d i m p l i c i tp e r m i s s i o n sa s s i g n m e n t i p a d e c e n t r a l i z e ds e c u r i t ym a n a g e m e n ta r c h i t e c t u r e i sp r e s e n t e dt om e e tt h en e e d o f i m p l e m e n t o f a c c e s sc o n t r o i i nd i s t n b u t e de n v i r o n m e n t i no r d e rt om e e tt h eo b j e c t i v eo f d e v e l o p i n gt h es e c u r ei n f o r m a t i o ns y s t e me x p e d i e n t l y t h ef u c t i o nm o d u l e sa r e d e s i g n e dt ob er e u s i n ga n di n d e p e n d e n ti nt h i ss y s t e m w h i l e d e v e l o p i n gt h en e ws y s t e m s o m eo f t h e s em o d u l e sc a l lb em o u n t e dt o g e t h e ra n d r e p l a c e d a n dt h es e c u r ei n f o r m a t i o ns y s t e mw i t hr o l e b a s e da c c e s sc o n t r o lr u c t i o ni sb u i l te x p e d i e n t l y s ot h ed e v e l o p i n ge f f i c i e n c ya n d q u a l i t yo f t h es o r a r ea r eb o t hi m p r o v e d i i 华申科技大学硕士学位论文 k e w o r d s i m e o r r n a t i o ns e c u r i t y a c c e s sc o n t r o l r o l e r o l e b a s e a c c e s sc o n t r o l 华中科技大学硕士学位论文 1 绪论 以计算机和通信网络为基础建立的各种信息系统 给人们生活 工作带来了巨 大变革 由于计算机的普及 无论是军事 外交 工业 金融还是商业领域都实现 了自动化 大型信息系统将众多的计算机和智能化设备连在一个通信网络中 共享 丰富的数据库信息和计算机资源 存储大量的数据文件 完成异地间的数据交换和 通信 信息系统的应用 加速了社会自动化的进程 减轻了日常繁杂的重复劳动 同时也提高了生产率 创造了经济效益 然而信息系统越是重要 越容易受到攻击 如 窃取 冒充 伪造 篡改等 攻击者从中获得非法的利益 因此 信息系统的安全保密成为迫切需要解决的问题 入们逐渐把关注的焦点投入到怎样保护信息的安全上来 1 1 计算机安全概述 国际标准化组织 i s o 将 计算机安全 定义为 采用技术或管理来对数据 处理系统进行安全保护 保护计算机硬件 软件数据不因偶然的或故意的原因而遭 到破坏 更改和泄露 2 1 此概念偏重于静态信息保护 我国公安部将 计算机安全 定义为 保护计算机的硬件 软件和数据 保证他们不因偶然的或恶意的原因而遭 到破坏 更改和泄露 使整个系统能够连续正常的运行 2 1 该定义着重于动态意义 的描述 从软件的角度来看 对于计算机安全应考虑以下几个方面的内容 操作系统的 安全 网络通讯系统的安全 数据库管理系统的安全和应用系统的安全 这四个方 面的内容是相辅相成 缺一不可的 例如 一个应用系统 不管其自身带有如何强 有力的安全措施 如果它所处的操作系统的安全强度不够 那么整个系统的安全性 也不能从根本上得到保证 计算机信息系统中的信息具有三个基本的安全性质 保密性 c o n f i d e n t i a l i 劬 完 整性 i n t e g r i 劝和可用性 a i l a b i l i 呦 1 保密性 信息不泄露给非授权用户 实体或过程 信息只能被合法的授权用 户访问 华中科技大学硕士学位论文 2 完整性 数据不被非授权用户修改和破坏 即信息在存储和传输过程中保持 不被修改 不被破坏和丢失的特性 3 可用性 有权访问信息的合法用户可以随时对信息进行访问 即当需要时信 息能被存取 例如网络环境下拒绝服务 破坏网络和有关系统的正常运行等都属于 对可用性的攻击 破坏了这三条性质中的任何一条就是破坏了系统的安全 概括而言 对计算机 系统安全的威胁有四种类型 中断 窃取 更改和伪造 其中中断就是信息被破坏 丢失 变得不可用 窃取就意味着信息被不合法地访问了 更改就是指信息被不合 法地访问并且被修改 伪造信息就是信息来自于不合法用户 一个完整的安全信息系统要综合地使用身份鉴别 访问控制 数据加密 审计 安全管理等安全技术 在现实环境中 没有任何一项技术能够单独地解决安全问题a 在这些安全技术中 访问控制起着极其重要的作用 它是安全策略在系统运行中的 集中表现 这也是本文讨论的重点问题之一 1 2 国内外研究概况 1 2 1 访问控制的研究状况 使用访问控制对特定主体存取网络资源的权限进行限制 其中特定主体包括用 户 主机 通信信道 主体的联合体 用户群和特定角色的主体 计算机系统需要 控制这些主体登录系统 构建系统及对数据库系统的访问 以保护系统的安全 国外在七十年代就开始了计算机系统安全的研究 到了八十年代将计算机安全 系统地分成了安全操作系统 网络安全系统 安全数据库系统的研究 而访问控制 的研究在这三个领域都是重点 早在1 9 7 1 年 l a m p s o n 3 就提出了访问矩阵的概念 并结合c o s i n e 的任务驱 动技术 成功地应用在操作系统中 不久 g r a h a n l 和d e n n i n g 将该概念进行了改 进 4 j 最后由h a r r i s o n r u z z o 和u l l m a n 三人将该模型概念完善为一种框架体系结 构来为系统提供保护 同时c o n w a y m a x w e l l 和m o r g a r 三人在c o m e l lu n i v e r s i t y 的a s a p 项目中也使用了安全矩阵作为对数据的访问控制依据 将访问矩阵标准 化 这就是自主访问控制 d i s c r e t i o n a r y a c c e s s c o n t r o l 或d a c 嘲 在后面的章节 2 华中科技大学硕士学位论叉 我们会加以介绍 后来 d e n n i n g 4 等人发现给每个用户分配对系统文件的访问属性还不能很有效 地控制系统的信息流向 借鉴了美国安全局在军事中使用的信息流模型 1 9 7 6 年 d e n n i n g 提出了格模型 l a t t i c em o d e l 理论 以控制系统信息流向 这就是强制访 问控制 m a n d a t o r y a c c e s sc o n t r o l 或m a c 在后面的章节我们会加以介绍 由于强制访问控制的这些特点 使它非常适合应用在多级安全系统中 在这些 系统中严格控制信息的流向 却不适合很多商用 民用系统 所以自主访问控制技 术1 5 1 和强制访问控制是不可互相替代的 6 7 美国d o d 8 1 d e p a r t m e n to f d e f e n c e 一直致力于制定安全标准 对标准的解释和 制定实现方案 1 9 8 3 年他们制定了一套广为人知的标准一t c s e c 标准 t r u s t e d c o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a 这些标准直到九十年代中期还被很多部门用 户认为是安全有效的 该标准中定义了以上两种访问控制技术 其中d a c 被定义 作为商用 民用 政府系统和单级军事系统中的安全访问控制标准 m a c 被定义 作为多级军事系统的安全访问控制标准 所以这两种技术在很多系统中被采用 直 到今天还有很多系统使用这两种模型实现系统的访问控制 s 1 0 随着计算机系统网络化 系统面向的应用越来越复杂 安全讨论的重点转移到 了分布式系统环境 而强制访问控制和自主访问控制越来越不能适应这些变化和发 展 于是在八十年代末 有人提出了角色的概念 1 9 9 1 年的a d v a n c e s c r y p t o l o 旺r y p t o 会议中m a b a d i m b u r r o w s b l a m p s o n g p l o t k i n 等人再 次提到角色的概念f l o l 并将角色引入访问控制模型中 这一大胆设想激起了专门研 究访问控制专家们的思考 其中g o r g em a s o n 大学的教授r a v i s a n d h u 大胆提出 了基于角色访问控制 r b a c r o l e b a s e d a c c e s sc o n t r 0 1 的概念模型 l l 对基于 角色访问控制模型的发展作出了重大贡献 1 9 9 3 年r a v i s a n d h u 教授提议大家召开a c m r b a c 大会 专题为基于角色访问 控制的a c m 大会 对该控制模型进行广泛的探讨 这项提议得到了大会的重视 在1 9 9 3 和1 9 9 4 的a c m 大会上 来自世界各地的计算机专家们讨论了r b a c 模型 的理论基础性和实用性 最后决定在1 9 9 5 年1 1 月召开第一次基于角色访问控制的 a c m 研讨大会 l 引 在这次大会中到会的所有专家一致认为基于角色的访问控制模 华中科技大学硕士学位论文 型和技术非常实用 应该继续深入探讨 1 9 9 7 年儿月召开了a c m r b a c 第二次会议 1 4 1 讨论了r b a c 模型在数据库 系统 操作系统 分布式网络系统和基于角色访问控制系统本身中的应用前景和应 用技术 在这次会议上 还提出了一些其它的模型和概念 使r b a c 技术能够更好 的为大型复杂的应用系统服务 大会将这一主题定为下 界大会的讨论主题 1 9 9 8 年1 1 月举行的a c m r b a c 第三次会议主要讨论了更加适合大型复杂系 统的基于角色访问控制模型和实现技术 1 5 1 8 该主题延续到1 9 9 9 年1 1 月举行的 a c m r b a c 第四次会议 t 9 2 0 1 和2 0 0 0 年 月举行了第五次a c m r b a c 会议 2 1 2 4 1 自1 9 9 3 年以来 访问控制方面的学者们还提出了其他一些有创建性的访问控制 模型 2 s 2 7 l r a v i s a n d h u 和他的学生提出了基于任务的访问控制概念 并在随后两 年研究发展了该模型1 2 8 3 0 1 提出访问控制模型应该和任务 活动接近 但是易受主 动安全模型的影响 他们提出了实时访问控制权限管理机制 他们的研究为实掩动 态访问控制提供了良好的基础 他们为主动安全模型建立了一个新的概念框架 但 是并没有改变基于任务模型怎样与已存在的访问控制模型结合 这种结合在企业环 境下是必须的 因为在一个机构中并不是所有访问控制都能够当作一个工作流的内 容 b e r t i n o 等人提出了在工作流环境下实施访问控制的模型 3 卜3 引 他们的模型用 种形式化的语言描述了对访问控制约束的表达和评价 然而这种形式化的语言标示 的约束并不适合终端用户 主要工作集中在通过一个范例来描述静态责权分离和动 态责权分离 针对分布式环境实施访问控制 学者们进一步扩展了基于角色访问模型 提出 了面向对象的基于角色访问控制模型 o r b a c 3 4 3 5 1 2 0 0 0 年 a i mg s a n d h ur m y o n g h k p a r kj 等人将n a v a lr e s e a r c hl a b o r a to r y 设计的工作流设计工具和u n i v e r s i t yo f g e o r g i a 实现的工作流系统以及g m u 的信息 安全实验室已经实现的u r a 9 7 使用c o t s 技巧结合起来 论证了将基于角色的访问 控制加到一个已有的基于w e b 的工作流系统中去的可行性 3 6 但是他们只是使用了 简单的r b a c 模型 3 7 刁9 没有讨论将r b a c 加到工作流中的安全工作流模型 也没 有实现动态责权分离和细化角色信息 4 华中科技大学硕士学位论叉 从现在的分布式系统应用和发展前景来看 基于角色的访问控制模型比其他访 问控制模型更实用 更容易扩展 也更适合用来改造以前的强制访问控制和自主访 问控制系统 经过很多专家和各界人士的研究探讨 加强了基于角色访问控制模型 的理论基础 而且该技术已经在 些系统中得到实现 根据1 9 9 6 年联邦政府关于基于角色访问控制安全产品需求的行销调查报告 p d 3 a c 产品的市场主要在如下三个方面 4 0 l 1 在一个已经存在的客户端软件中嵌入r b a c 产品作为一个独特的功能 虽 然这种产品能够满足每个用户的特殊需要 但并不是一个经济的的选择 2 将r b a c 产品嵌入到一个已经大量存在的软件包中 如操作系统w i n d o w s n t 数据库o r a c l e 以及网络n c t w a r e 3 将r b a c 产品嵌入到应用层软件工具和防火墙系统中 如v e i l 和 s i d e w i n d e r 调查表明 后两种选择使用得更普遍一些 是更有前途的 但很难说哪种更好 一砦 1 2 2 信息系统发展现状 幽1 1信息系统示意图 社会组织的类型和功能各不相同 他们都有自己 定形式的信息系统 信息系 统的好坏直接影响到整个组织的效益 一般来说 一个完整信息系统的功能 如图 1 1 所示 包括以下几个方面f i 1 信息的采集 将分散在各部门 各地方的相关信息收集起来 记录其数据 然后整理成信息系统所需的格式 它是信息系统最基本的功能 2 信息的加工 信息系统对信息进行加工处理的具体含义是 捧序 分类 归 华中科技大学硕士学位论文 纳 检索 统计 模拟 预测以及各种数学运算 3 信息的存储 在形成对管理决策有价值的信息后 信息系统需要对这些有用 的信息进行存储保管 通常 信息的存储分为逻辑组织和物理存储 前者依赖合理 的数据结构 后者是把信息存储在合适的介质上 4 信息的传输 信息系统中的信息必须具有相互交换的功能 各部门之间要完 成通信工作 一定要解决好信息的传输问题 以便使信息准确迅速地送往使用者手 中 我国从八十年代末 九十年代初开始发展信息系统 到现在已经有十几年的历 史了 在早期 它们多数是输入某些特定内容 再把这些内容按照一定的格式打印 出来 不能实现信息交换和共享 目前 随着i m e m e 仇n 仃a l l e t 在国内酌普及 整个社会中人与入的交流和联系方 式发生了本质的变化 电子化的信息交流方式逐渐成为主流 信息管理系统利用计 算机来定义 管理和执行商业过程 从而使处理性能和效率大大增长 然而 这种 优势是有代价的 其中一个代价就是增加了信息安全的风险 从目前安全信息系统开发和应用状况来看 难点主要集中在以下几个方面 1 通用性问题 当前信息管理系统种类繁多 他们缺乏统一的交换格式 除了少数产品之间可 以实现数据共享之外 大多数产品处理的信息不能用于另一种产品 同时各个单位 部门的办公流程千差万别 同 信息系统很难适应 2 维护问题 某些重点单位的信息系统往往需要定制 但是这些单位的办公需求 旦发生变 化 用户方无法自行调整信息系统来适应变化的需求 原因主要在于信息系统在设 计上缺乏灵活性造成的 这时 开发人员就要对信息系统进行大规模的调整 花费 大量人力物力 系统经过多次改动之后 可靠性也大大降低 由此系统运行进入高 维护状态 3 安全策略问题 很难设计一种能适应各种情况的安全策略 安全策略往往太过严谨而失去实用 性 或者太松散而造成失控的局面 安全策略反映到系统中 集中表现为访问控制 6 华中科技大学硕士学位论文 方法 这是安全信息系统研究难点的核一t l 问题 1 3 课题来源和意义 本课题的目的主要在于研究一种适合n 络j 境的基于角色访问控制模型和策略 及其在安全信息系统中的实现方案 不仅要能够满足一般信息管理系统的安全要 求 还要满足工作流的安全要求 在湖北省荆门供电局信息系统中 需要在原有的信息库中通过查询 报表等形 式提取部分有用信息 进行数据统计和分析 以便于作出决策 系统要求对简单的 业务流程进行控制 同时对安全访闻控制有较高的要求 基于对湖北省荆门供电局 信息系统的设计和应用抽象 设计了基于r b a c 的安全信息系统 该安全信息系统 对于系统的数据实施基于角色的访问控制 对于这一访问控制系统自身也进行了管 理 该安全信息系统具有用户管理 角色管理 部门管理 业务流程管理 权限管 理等功能 出于灵活性和适应性等方面的考虑 我们将安全信息系统设计成一个个可以复 用的独立功能模块 在开发新系统时 能方便地通过组合或替换某些模块 实现具 有基于角色访问控制功能的安全信息系统 从而加速开发进程 基于角色访问控制 功能被设计成 个可以复用的独立模块 能够被其它系统使用 使开发人员从权限 管理重复劳动的负担中解放出来 专心致力于应用程序的功能上的开发 可以最小的 代价为原有信息系统升级增加访问控制功能提供 种很好的方法 在本课题中 展现了将基于角色的访问控制以可复用的独立功能模块的形式对 应用系统实施访问控制 这种方法也非常适用于企业范围内的其它信息过程 例如 分布式处理 交易管理和自动文档管理系统等等 本课题的意义在于研究出如何在 i n t r a n e t 系统中方便快捷的实现基于角色的访问控制 提出了一种通用的安全信息 系统解决方案 为信息系统实现了既安全又实用的安全策略 从而加快了安全信息 系统的普及和应用 对于电子商务和电子政务的发展具有深远的意义 基于r b a c 的安全信息系统配合基于p k i 的安全身份认证 安全审计 通讯和 存储加密等功能使用 可以满足各种单位和组织的信息系统安全要求 7 华中科技大学硕士学位论文 2 访问控制技术 访问控制是一个安全信息系统不可缺少的重要组成部分 访问控制的目的在于 限制系统内合法用户的行为和操作 非法用户不会通过身份鉴别 它包括用户能 做什么以及系统程序根据用户的行为应该做什么两层含义 访问控制的研究是一个 前沿领域 它在一个安全系统中起着极其重要的作用 是一种能达到显著安全效果 的十分重要的潜在技术 目前 国内外访问控制研究的重点仍然集中在自主访问控制 强制访问控制和 基于角色的访问控制上 研究人员已经逐渐认识到强制访问控制和自主访问控制理 论不能反映越来越复杂的安全需求 但没有出现其他占优势的理论来替代它们 基 于角色的访问控制作为近年来新产生的理论仍然处于形成阶段 出现了许多问题 但正在完善 将作为自主访问控制和强制访问控制的替代策略 2 1 自主访问控制 d a c 自主访问控制 d i s c r e t i o n a r ya c c e s sc o n t r 0 1 3 i 是指如果一个主体是某一客体 的拥有者 那么他对谁有权访问这个客体以及以什么样的权限访问可以完全随意设 置 自主访问控制起源于7 0 年代早期分时系统出现之后的学院和研究机构中 l a m p s a n 的一篇经典的论文 3 i 介绍了它的基本概念 在自主访问控制中 用户对信息的存取控制是基于对用户的鉴别和存取访问规 则的确定 每个用户都要对系统中的存取对象分配存取权限 对资源对象的 拥有 是用户最核心的权限属性 即自主访问控制是基于所有权的访问权限管理 当某个 用户要求访问系统的某个资源时 系统检查该用户对该资源的所有权 或衍生出来 的访问权限 如果通过 则允许该访问在许可的方式下执行 如果不能通过 则拒 绝继续访问系统 自主访问控制模型的典型代表是存取矩阵模型 l a m p s o n 1 9 7 1 g r a h a ma n d d e n n i n g 1 9 7 3 h a r r i s o n 1 9 7 6 从一开始的理论探讨到实际的系统 存取矩阵模型 在安全模型的发展进程中占有特殊的里程碑式的地位 存取矩阵模型是一个状态机 模型 将系统的安全状态描述为一个大型的矩阵阵列 在此矩阵中 行代表系统的 9 华中科技大学硕士学位论文 主体 列表示系统中的客体和主体 阵列中每个单元填入的数值表示主体对客体或 其它主体的存取方式 一般而言 凡是建立在主体对客体存取基础上的模型都可以 称为存取矩阵模型 而大多数自主访问控制模型都可以看作是存取矩阵模型的扩 展 存取矩阵模型 也称为控制表模型 a c l 授权状态用一个三元组q s 0 a 来表示 其中 s 主体的集合 主体可以是用户 用户组 进程或域 o 客体的集合 即安全机制的保护对象 可以是文件 内存空间 进程 数 据库 关系 属性 记录及记录内的字段 有些主体也是被保护的对象 此处客体 也包括主体 a 存取矩阵 矩阵中的项a s i 0 i 表示主体i 对客体j 的操作权限 每次用户提出资源的请求时 需要对存取控制矩阵进行一次扫描 自主访问控制是基于对用户的鉴别和存取访问规则的确定 其优点是灵活 适 用于各种类型的系统和应用 因此已经被广泛应用于各种商业和工业环境 但是它 不能提供确实的保证来满足对系统的保护要求 虽然每个存取是受控的 但这种授 权定义的存取控制很容易被旁路 如 某个用户读出所需数据后 可以无需经过数 据属主认证就将它授予未经授予该数据读取权的用户 这样用户可以未经授权而获 得他不应得的数据 d a c 没有对信息的传播加以控制 这对类似于 特洛伊木马 之类的攻击信息无能为力 2 2 强制访问控制 m a c 强制访问控制 m a n d a t o r y a c c e s sc o n t r 0 1 1 w 通过无法回避的存取控制来防止 各种直接和间接的攻击 在强制访问控制中 系统给主体和客体分配了不同的安全 属性 这些属性在组织的安全策略没改变之前是不可能被轻易改变的 系统通过对 主体和客体安全属性匹配的比较来确定是否允许访问继续进行 用户以及代表用户 的程序 进程等都不能以任何方式修改自身或任何客体的安全属性 显然用户无权 将任何数据资源 哪怕是属于自己的数据资源的访问权 赠送 给别的用户 因此 就不能简单地分配数据的访问权了 1 0 华中科技大学硕士学位论文 强制访问控制的经典代表是贝尔 拉帕丢拉 b e l l l a p a d u l a 模型 叭 其核心 思想是在系统中设置多个安全等级 安全系统中的主体和客体都按照各自的作用 所处的范围和等级等特性进行分级 并要求系统中所有的存取操作必须遵守模型给 出的保护信息安全的规则 低安全级的主体不能直接或者间接获取商安全级的客体 信息 为了保持系统稳定 在m a c 模型中规定除了安全级别的管理员以外 谁都 不能改变系统中客体和主体的安全标识 贝尔 拉帕丢拉模型中系统状态表示为四元组 b m h 其中 b 当前存取集 此集合由形如 主体 客体 存取方式 三元组表示 b 中的一 个三元组 s o m 表示主体s 当前以存取方式1 1 1 存取客体0 m 存取矩阵 描述每个主体可以何种存取方式存取每个客体 f 一个与系统中每个主体和每个客体以及他们安全级别相联系的级别函数 可描述为f o n s l s 是主体的集合 o 是客体的集合 l 是安全级别的集合 每个主体有两个安全级别 允许安全级 当前安全级f c 则对于每个主体s s 有 s s h 当前客体的层次结构 是一棵带根的有向树 树中每个节点均与系统中的客 体相对应 层次结构满足相容原则 即任一节点的安全级别必须支配其父节点的安 全级别 强制访问控制适用于用户和客体分为多级安全级别的运行环境 它提供了基于 标示的高级安全认证 对于诸如特洛伊木马之类的问题提供了某种类型的保护 但 是强制访问控制也有缺点 它过于严格 以至于在某些环境下是不能用的 例如 在一个商业系统中 并不是总能为用户分配一个允许的密级 或为数据分配一个敏 感的级别 2 3 基于角色的访闯控制 r b a c 随着商业和民用信息系统的发展 安全需求也在发生变化 这些系统对数据完 整性的要求可能比对保密性的要求更突出 而且由于系统总是处于不断变化之中 例如 应用部门增加或者裁减 新招公司职员或者裁减公司职员 这些变化使得一 些访问控制需求难以用d a c 或者m a c 描述和控制 而且在很多商业部门中 即使 华中科技大学硕士学位论文 是由终端用户创建的文件信息 他们也没有这些文件的 所有权 访问控制应该根 据应用系统中用户的职责确定用户是否创建了该文件信息 换句话说 就是访问控制 是由用户在系统中所承担的角色来确定的 9 例如 一个银行包括出纳员 会计 分 行行长和总行长等角色 而一个学校有行政职员 老师 校长等角色 这些角色承担 的职责并不相同 对系统的访问权限也就不同 所以利用自然 社会中角色的概念帮 助系统进行访问控制管理是非常有效的 基于角色的访问控制 r b a c 3 6 3 9 是作为d a c 和m a c 的替代策略在近年来 逐渐引起关注的 r b a c 从实质上说是一种策略中立的访问控制策略 即它本身并 不提供一种特定的安全策略 只是通过配置各种参数 例如文档的安全标志和用户 的角色 来实现某种安全策略 增加了r b a c 的灵活性 允许更加广阔的访问策略 得以实施 作为一种灵活的体现 r b a c 可以被配置成传统的强制访问控制 m a c 和自主访问控制 d a c 4 1 1 图2 1 基于角色访问控制关系图 基于角色的访问控制思想可以简单地表述为图2 1 基于角色访问控制模型的 基本思想是让权限与角色相映射 在系统中根据应用的需要创建相应的角色 并且 将用户分派到相应的角色集合中 于是利用角色作为中间量将用户与权限联系起 来 实现了用户与访问权限的逻辑分离 而不是像传统访问控制技术那样将访问权 限直接分配给用户 在r b a c 中 权限和角色是相关联的 用户通过获得适当的角色 而得到相应的权限 这在很大程度上简化了权限管理 在组织内 用户根据他的职务 和承担的责任被指派角色 r b a c 的优势在于 用户可以很容易地从一种角色指派为 另一种角色 角色可依新的需求而赋予新的权限 根据需要角色对应的权限也能被回 收 当今对r b a c 的研究重点放在如何在特定应用系统中使用这种访问控制技术 2 4 小结 本章概括地介绍了访问控制模型和技术 简要介绍了强制访问控制和自主访闯 1 2 华中科技大学硕士学位论文 控制相关概念和基本模型 讨论了这两种访问控制的优缺点 并引出了基于角色访 问控制技术的基本思想 介绍了基于角色访问控制技术的意义a 华中科技大学硕士学位论文 3 基于角色访问控制 r b a c 模型 基于角色的访问控制是一种非常有前途的访问控制技术 本章将详细讨论基于 角色的访问控制模型 形式化描述 角色的层次关系以及责权分离 3 1r b a c 模型的建立 r b a c 模型1 9 1 8 2 2 4 2 卅的结构如图3 1 所示 其中权限 包括一般权限和管理权 限 如图3 2 所描述 由图3 1 可以看出 r b a c 模型由两大同构的部件组成 包括对应用系统的访 问控制和对访问控制自身的控制 在图3 1 的上半部分展示了角色与控制访问数据 和资源权限之间的映射关系 下半部分显示了管理员与管理普通角色权限之间的映 射关系 图3 1r b a c 模型 直观地讲 个用户是一个人或一个自治的代理人 一个角色是组织范围内的 一个任务函数或工作函数或工作标题 一个权限是对系统中一个或多个特定的受保 护对象的访问认可或能够采取特定行为的某种特权 1 4 华中科技大学硕士学位论文 图3 2 权限集描述 为了与多级安全系统的应用相匹配 系统给角色标记上安全级别 级别的高低 决定了角色之间的层次关系 角色是按照偏序来组织的 可以用格模型来表示 每个会话将一个用户和多个角色相联系 这就是说一个用户建立一个会话将激 活他所在的角色集的子集 图3 1 中用虚线表述了应用在模型所有组件上的限制条件 这组约束条件约束 了i u 3 a c 模型上的所有组件 约束是指定高层组织策略的一个强有力的机制 通过 约束 安全管理员能够很好地行使管理用户权限的能力 图3 2 中的权限指对操作对象执行相应的操作 包括对象和操作两个方面 3 2r b a c 模型的形式化定义 该r b a c 模型含有六个基本实体集 9 1 8 2 2 4 2 4 3 4 5 4 8 用户集 u s e r s 角色集 r o l e s 操作集 o p s 对象集 d 嬲 权限集 州 r 会话集 s e s s d 俺 详细描述如下 1 权限集包括一般权限集p 和管理权限集a p 即尸砌舔 a p u p 管理权限与 一般权限是分离的 即a p i 1 p 矿 2 角色集包括一般角色集合r 和管理角色集合a r 即r o l e s a r u r 管理 角色与一般角色是分离的 即a r i 1 r 驴 3 明互u s e r s r o l e s 在用户一角色分配关系上的多对多映射 4 a s s i g n e d 淞e r s r r o l e s 呻2 娜 角色r 到角色集上的映射 形式化 a s s i g n e d u s e r s r u u s e r sf r u a 5 p r m s 2 o 雕 o a s 权限集合 6 刚 p e r m s xr o l e s 权限一角色分配关系的多对多映射 华中科技大学硕士学位论文 7 a s s i g n e dp e r m i s s i o m r r o l e s 9 2 p m 角色r 到权限集合上的映射 形式 化为 a s s i g n e dp e r m i s s i o n s r 仞 p r m s ip r p a 8 o p p p r m s o i 延o p s 权限对操作的映射 给出了和权限p 相关联的 操作集合 9 o h p p r 2 v t s 专 o b c o b s 权限对操作对象的映射 给出了和权限p 相关 联的操作对象集合 1 0 s e s s i o n s 会话的集合 1 1 u s e r s e s s i o n s u s e r 5 2 蝴n s 用户对会话集合的映射 1 2 s e s s i o n r o l e s0 s e s s i o n s 一2 删 鼍会话对角色集合的映射 形式化为 s e s s i o nr o l e s r r o l e s i s e s s i o n u s e r s s i u a 1 3 a v a i ls e s s i o n e r m s s s e s s l o n s 2 删l 在一个会话中一个用户拥有的权 限 表示为 u a s s i g n e d p e r m i s s i o n s r r e s c s t o n m i c a s 1 4 c 系统的一组约束 决定上面各个部件产生的值是否可用 3 3 角色的层次 角色层次关系 9 1 7 2 2 4 2 4 3 1 是r b a c 模型的一个关键方面 角色层次关系示意图如 p r o d u c t i o n q u a l 时 图3 3 树 t r e e 1 6 华中科技大学硕士学位论文 图3 4 反向树 i n v e r t e d t r e e 图3 5 格 l a t t i c e 图3 3 到图3 5 所描述 在图中 角色层次关系是一种反映一个组织中权力和责任 的自然构造角色的方法 角色层次关系定义了角色之间的继承关系 继承根据权限定义为 4 l 如果角色 r 2 的所有权限也是角色n 的权限 那么角色 l 继承角色r 2 对于一些分布式环 境的r b a c 实现而言 角色的权限并没有被集中管理 但角色继承是被集中管理的 对于这些系统来说 角色的层次关系根据用户之间的联系定义为 如果被授予角色 r l 的所有用户也是被授予角色r 2 的用户 那么角色r l 包含角色 2 用户包含关系表 示 1 的一个用户至少拥有r 2 的所有权限 但是权限在厂i 和r 2 之间的继承并不包括 任何的用户分配 角色的层次关系包括两种类型 一般角色层次关系和有限制条件的角色层次关 1 7 华中科技大学硕士学位论文 系 一般角色层次关系是用偏序 4 9 1 来表示角色的层次关系 包括角色的权限和用 户成员多继承的概念 有限制条件的角色层次关系在简单的树形结构中加入了限制 条件 例如 一个角色可能由一个或更多个角色直接派生得到 但被限制只能有一 个直接的派生角色 下面形式化定义角色层次关系 定义1 一般角色层次关系 i r c r o l e s r o l e s 是角色集合上的偏序 称为角色层次关系 记做0 a 当且仅当力的所有权限也是r 的权限 并且 j 的所有用户也是r e 的用户时 r l o r e 例如 r l o n j a u t h o r i z e d p e r m i s s i o n s r 2 a u t h o r i z e d p e r m i s s i o n s 2 口u t h o r i z e du s e r s r r o l e s 一2 娜 表示根据角色层次关系角色 到用户 集合上的映射 形式化为 a u t h o r i z e d u s e r s r u s e r s l r 0r r u a 3 a u t h o i z e d 2 a e r m i s s i o n s r r o l e s 2 删哆表示根据角色层次关系角色 到权限集合上的映射 形式化为 a u t h o r i z e d p e r m i s s i o n s r 2 仞 p r m s ir p p a 一般角色继承支持多继承的概念 多继承提供了从两个或多个角色中继承权限 和用户成员关系的能力 多继承提供了两个重要的层次特性 第一 在为描述一个组织和商业机构的特征而定义了角色和角色问联系的时候 能够将多个具有较少的权限的角色组合成一个新的角色 第二 多继承提供了统一的处理方式来对待用户 角色分配关系和角色 角色继 承联系 用户能被包括在角色继承中 使用相同的关系符0 来表示用户分配到角色 就 像权限分配到角色一样 在有限制条件的角色层次中的角色被限制为一个独立的直接派生 尽管有限制 条件的角色层次关系并不支持多继承 他们仍然提供对r b a c 管理的有利条件 我们使用r l v v r e 来描绘 为r 2 的直接派生 如果 or e 但是没有角色在角色 层次关系中位于7 和r 2 之间 也就是不存在角色n 满足7 or 3or 2 r l r e 且r