（管理科学与工程专业论文）动静态自适应的atrgbac模型的设计与实现.pdf

摘要随着我国信息化步伐的加快，越来越多的地方应用了信息系统进行办公与管理。信息系统的使用在给人们带来方便的同时也带来了诸多安全问题。访问控制是一种实现系统保密性和安全性的重要手段。访问控制模型能够为多用户系统中信息资源的共享和分配提供可行的安全策略。传统的访问控制模型m a c 模型和d a c 模型，已远不能满足当代系统安全的需要。r b a c 模型为系统提供了一种灵活的、中立的访问控制机制而被广泛采用，但它采用的静态授权方式使得它无法实现短暂的授权控制，不能保证业务流程按照预期的方向流动。t b a c 模型是一种主动的能够提供动态授权方式的访问控制模型。它能够根据信息在系统内的流动状况和任务情况灵活地更新授权信息来实现权限的按需分配，但它不支持像角色这样的比较有应用价值的静态访问控制需求。t & r b a c 模型虽然结合了r b a c模型和t b a c 模型的优点，但本质上仍然属于动态访问控制模型。面对当前信息系统中静态访问控制需求、动态访问控制需求以及动静态需相互切换的访问控制需求并存的复杂状况，迫切需要研究出一种更灵活更全面的访问控制模型。本文提出一种基于智能特性的动静态自适应的访问控制模型a 1 碾g b a c模型。该模型融合了r b a c 模型和 r b a c 模型，又拥有支持群组和动静态自适应等特性，能够为当前复杂多变的信息系统提供全面灵活可靠的访问控制技术。它的最大特点是既能实现动态访问控制，又能实现静态访问控制，还可实现动静态共存和相互自适应切换的访问控制。该模型具有的动静态访问控制的自适应功能可以很好地适应系统访问控制需求的变化，并能够依据访问控制推理机制自主地选择最适应的访问控制策略。本文主要的研究工作及其贡献有：1 分析了访问控制模型的历史，传统访问控制模型的原理和优缺点，r b a c模型和t b a c 模型的模型原理、模型结构及其优缺点比较，t & r b a c 模型及其与t b a c 模型的关系。2 提出了一种既能够结合静态和动态访问控制机制又可实现动静态访问控制自适应的基于智能特性的访问控制模型a 1 r i g b a c 模型，并给出了该模型的四层模型结构。同时为该模型设计了一种动静态自适应实现方案，包含自适应结构、自适应监控机制和自适应触发机制。3 为a t r g b a c 模型设计了一种构件化通用开发方案，该方案包括三大块：功能体系结构、软件开发方法、软件开发过程。方案为采用a t r g b a c 模型的访问控制系统选用了一种将面向对象( o o d ) 、面向方面( a o d ) 和基于构件( c b d )三者相结合的o a c o d 软件开发方法，并采用经裁减定制过的r u p 软件开发过程。该方案的目标就是将a t r g b a c 模型实现为一个系统级构件，以重用于多个业务系统中。4 按照开发方案，从r u p 的需求分析、系统分析和系统设计三方面分别阐述了a t r g b a c 模型在基于j 2 e e 平台的高校多制式教学综合管理系统中的具体开发过程，并给出了与a t r g b a c 模型对应的数据模型。关键词：访问控制自适应r b a c 模型t b a c 模型a t r g b a c 模型2a b s t r a c tw i t ht h ea c c e l e r a t e dp a c eo fi n f o r m a l i z a t i o ni nc h i n a , w eh a v eb e e nm a k i n gu s eo fi n f o r m a t i o ns y s t e m so na d m i n i s t r a t i o na n dm a n a g e m e n ti nm o r ea n dm o r ep l a c e s t h eu s eo fi n f o r m a t i o ns y s t e m sb r i n g sp e o p l el o t so fs e c u r i t yp r o b l e m sw h i l eb r i n g i n gp e o p l eg r e a tc o n v e n i e n c e a c c e s sc o n t r o li sa ni m p o r t a n tm e a n so fa c h i e v i n gs e c u r i t ya n ds a f e t yf o ri n f o r m a t i o ns y s t e m s a c c e s sc o n t r o lm o d e lc a np r o v i d ef e a s i b l es e c u r i t ys t r a t e g i e sf o rs h a r i n ga n da l l o c a t i n gi n f o r m a t i o nr e s o u r c e si nm u l t i - u s e rs y s t e m s t r a d i t i o n a la c c e s sc o n t r o lm o d e l s ，i n c l u d i n gm a cm o d e la n dd a cm o d e l ，h a v en ol o n g e rb e e na b l et om e e tt h es e c u r i t yn e e do fc o n t e m p o r a r ys y s t e m s a l t h o u g hr b a cm o d e lh a sb e e nu s e de x t e n s i v e l yb e c a u s eo fp r o v i d i n gaf l e x i b l ea n dn e u t r a lk i n do fa c c e s sc o n t r o lm e c h a n i s mf o rs y s t e m s ，i tc a n tr e a l i z et e m p o r a r ya u t h o r i z a t i o nc o n t r o lf o ri t ss t a t i cs t y l eo fa u t h o r i z a t i o na n dc a n tg u a r a n t e et h em o v e m e n to f b u s i n e s sp r o c e s si nt h ed e s i r e dd i r e c t i o n t b a cm o d e li sav o l u n t a r yk i n do fa c c e s sc o n t r o lm o d e lp r o v i d i n gd y n a m i ca u t h o r i z a t i o n i tc a nr e a l i z et h ed i s t r i b u t i o no f p e m f i s s i o n sa c c o r d i n gt ot h en e e db yt h ew a yo fu p d a t i n ga u t h o r i z a t i o ni n f o r m a t i o nf l e x i b l ya c c o r d i n gt ot h em o v e m e n to fi n f o r m a t i o ni ns y s t e m sa n dt h es i t u a t i o no ft h et a s k s b u ti tc a n ts u p p o r ts o m ev a l u a b l es t a t i ca c c e s sc o n t r o le l e m e n t sl i k er o l e a l t h o u g ht & r b a cu n i t e st h ea d v a n t a g e so f r b a cm o d e la n dt b a cm o d e l ，i ts t i l lb e l o n g st od y n a m i ca c c e s sc o n t r o lm o d e le s s e n t i a l l y c o n f l o n t e dw i t ht h ec o m p l i c a t e ds i t u m i o nt h a ts t a t i ca c c e s sc o n t r o lr e q u i r e m e n t sa n dd y n a m i ca c c e s sc o n t r o lr e q t d r e m e n t sa n dt h er e q u i r e m e n t so fm u t u a ls w i t c hb e t w e e ns m i l ea n dd y n a m i ca c c e s sc o n t r o lc o e x i s ti nc o n t e m p o r a r yi n f o r m a t i o ns y s t e m s ，w et h i n kt h a tam o r ef l e x i b l ea n dm o r ec o m p r e h e n s i v ea c c e s sc o n t r o lm o d e li su r g e n t l yn e e d e dt ob er e s e a r c h e d a 虹n do f a c c e s sc o n t r o lm o d e ln a m e da t r g b a ci sc r e a t e d , w h i c hi sb a s e do nt h ec h a r a c t e ro fi n t e l l i g e n c ea n dh a st h ef e a t u r eo fs e l fa d a p t a t i o nb e t w e e nd y n a m i ca n ds t a t i ca c c e s sc o n t r 0 1 h a v i n gi n t e g r a t e dr b a ca n dt b a ca n ds u p p o r t i n gg r o u pa n ds e l fa d a p t a t i o nb e t w e e nd y n a m i ca n ds t a t i ca c c e s sc o n t r o l ，t h i sn e wm o d e lc a np r o v i d ec o m p r e h e n s i v ea n df l e x i b l ea n dr e l i a b l ea c c e s sc o n t r o lt e c h n i q u e sf o rc o m p l i c a t e da n dv a r i a b l ei n f o r m a t i o ns y s t e m sn o w a d a y s t h eg r e a t e s tf e a t u r eo ft h i sm o d e li st h a ti tn o to n l yc a nr e a l i z ed y n a m i ca c c e s sc o n t r o la n ds t a t i ca c c e s sc o n t r o lr e s p e c t i v e l y , i ta l s oc a l la c h i e v et h ea c c e s sc o n t r o lt h a ts u p p o r t st h ec o e x i s t e n c eo fd y n a m i ca n ds t a t i ca c c e s sc o n t r o la n dm u t u a ls w i t c ha d a p t i v e l yb e t w e e nd y n a m i ca n ds t a t i ca c c e s sc o n t r 0 1 t h ef u n c t i o no fs e l fa d a p t a t i o nb e t w e e nd y n a m i ca n ds t a t i ca c c e s sc o n t r o lt h em o d e lh o l d s3c a na d a p tt ot h ec h a n g eo fa c c e s sc o n t r o ld e m a n dc o m i n gf r o mt h es y s t e m se a s i l ya n dp r o p e r l y , a n dc a nc h o o s et h em o s tp r o p e ra c c e s sc o n t r o ls t r a t e g yo ni t so w na c c o r d i n gt ot h er e a s o n i n gm e c h a n i s mo f a c c e s sc o n t r 0 1 t h i st h e s i s sm a j o rr e s e a r c hw o r ka n di t sc o n t r i b u t i o n sa r ea sf o l l o w s i a n a l y z i n gt h eh i s t o r yo f a c c e s sc o n t r o lm o d e l ，t r a d i t i o n a la c c e s sc o n t r o lm o d e l sp r i n c i p l e sa n da d v a n t a g e sa n dd i s a d v a n t a g e s r b a cm o d e l sa n dt b a cm o d e l sp r i n c i p l e s ，s t r u c t u r e ，a d v a n t a g e sa n dd i s a d v a n t a g e sa n dt h ec o m p a r i s o nb e t w e e nt h e m ，t & r b a cm o d e la n di t sr e l a t i o n s h i pw i t ht b a cm o d e l 2 c r e a t i n gan e wk i n do fa c c e s sc o n t r o lm o d e ln a m e da t r g b a cb a s e do nt h ec h a r a c t e ro fi n t e l l i g e n c e ，w h i c hn o to n l yu n i t e ss t a t i ca c c e s sc o n t r o lm e c h a n i s ma n dd y n a m i ca c c e s sc o n t r o lm e c h a n i s m ，b u ta l s oa c h i e v e ss e l fa d a p t a t i o nb e t w e e nd y n a m i ca n ds t a t i ca c c e s sc o n t r o l ，a n dp r e s e n t i n gt h ef o u r - l e v e lm o d e ls t r u c t u r eo f t h i sm o d e l a tt h es a m et i m ea l li m p l e m e n t a t i o ns c h e m ef o rt h ea d a p t a t i o nf u n c t i o no ft h em o d e li sd e s i g n e d ，i n c l u d i n ga d a p t i v es t r u c t u r e ，a d a p t i v em o n i t o r i n gm e c h a n i s ma n da d a p t i v et r i g g e r i n gm e c h a n i s m 3 d e s i g n i n gag e n e r a lk i n do f c o m p o n e u t i z e dd e v e l o p m e n ts c h e m ef o r a t r g b a cm o d e l ，w h i c hi n c l u d e st h r e ep a r t s ：f u n c t i o n a la r c h i t e c t u r e , s o f t w a r ed e v e l o p m e n tm e t h o d , s o f t w a r ed e v e l o p m e n tp r o c e s s t h es c h e m ea d o p t san e wk i n do fs o f t w a r ed e v e l o p m e n tm e t h o dn a m e do a c o d ，w h i c hh a si n t e g r a t e do b j e c t - o r i e n t e dd e v e l o p m e n t ( o o d ) ，a s p e c t - o r i e n t e dd e v e l o p m e n t ( a o d ) a n dc o m p o n e n t - b a s e dd e v e l o p m e n t ( c b d ) ，a n dp r u n e da n dc u s t o m i z e dr a t i o n a lu n i f i e dp r o c e s s ( r u p ) t h eg o a lo f t h i ss c h e m ei st oc r e a t eas y s t e m l e v e lc o m p o n e n tf o ra t r g b a cm o d e la n dt or e n s et h ec o m p o n e n ti nm a n yb u s i n e s ss y s t e m s 4 g i v i n gs p e c i f i cd e v e l o p m e n tp r o c e s si nt e l m so fr e q u i r e m e n ta n a l y s i s ，s y s t e ma n a l y s i sa n ds y s t e md e s i g nf r o mr u pr e s p e c t i v e l ya n dc o r r e s p o n d i n gd a t am o d e lf o ra t r g b a cm o d e li nt h ec o l l e g em u l t i - m o d ec o m p r e h e n s i v et e a c h i n gm a n a g e m e n ts y s t e mb a s e do nj 2 e ep l a t f o r ma c c o r d i n gt ot h ed e v e l o p m e n ts c h e m ea b o v e k e yw o r d s ：a c c e s sc o n t r o ls e l fa d a p t a t i o nr b a cm o d e lt b a cm o d e la t r g b a cm o d e l4独创性声明本人郑重声明：所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得江西财经大学或其他教育机构的学位或证书所使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。签名：晔魄掣目关于论文使用授权的说明本人完全了解江西财经大学有关保留、使用学位论文的规定，即：学校有权保留送交论文的复印件，允许论文被查阅和借阏：学校可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手段保存论文。( 保密的论文在解密后遵守此规定)张熟导师张饧! 篁f日期：芬，户。以1 绪论1 绪论1 1 选题的背景和意义随着计算机技术和网络技术的发展，特别是i n t e m e t 的迅速普及，各类信息系统得到了广泛的应用。而分布式系统的孕育而生，并受到人们的大力重视，则进一步加剧了各类信息系统的异构化和网络化趋势，使得它们比传统的软件系统更易遭受攻击。所以，安全问题一直是当今信息系统的一个很重要而又普遍关心的大问题。为了保证信息系统的安全性，必须对系统的访问授权和系统的数据传输进行保护。一直以来，人们的兴趣大多集中在网络的安全数据传输上，如数据加密技术和数字签名技术，忽视了对系统访问授权控制这一重要安全问题的研究。加之数据传输技术比起访问控制技术发展更为成熟，因此访问控制技术就显得更加重要。信息系统可以利用有效的访问控制机制决定用户对系统的共享资源所拥有的访问权限，有效防止非法用户的非法访问以及合法用户的越权访问和非法操作。研究和实现访问控制模型已经成为解决当前系统安全问题的关键任务之一。1 9 6 9 年l a m p s o n 提出以正式的数学式子来表示访问控制。他将访问控制中用户对某资源拥有的访问权限引申为主体( s u b j e c t ) 对客体( o b j e c t ) 的访问权限，并以访问矩阵( a c c e s sm a t r i x ) 的形式来表达i l l 。传统的访问控制模型来源于美国国防部1 9 8 3 年在“t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ” 2 1 中提出的两种重要的访问控制模型：自主访问控制( d a c ，d i s c r e t i o n a r y a c c e s s c o n t r 0 1 ) 和强制访问控制( m a c ，m a n d a t o r y a c c e s s c o n t r 0 1 ) 。在d a c 模型中，对信息访问权限的分配是基于用户的身份或所属工作组来完成的，而且对信息拥有自主访问权限的主体可以将信息访问权限自由地授予其他主体【，1 。d a c 由于其灵活性在上世纪八十和九十年代被许多商业部门和政府部门广泛使用。访问控制列表( a c c e s sc o n t r o ll i s t ，a c l ) 就是使用最广泛的一种d a c 模型。但是d a c 有致命的缺点，它只能控制直接访问，无法控制间接访问，所以易受到攻击，系统安全性大大降低。m a c 模型是基于被访问对象的信息敏感程度以及访问主体的访问权限是否可以包含这些敏感信息来进行权限控制的【4 】。m a c 模型提供像b e l l l a p a d u l a 模型一样的多级安全机制，它的主要特点是所有权限的分配和调整都是由系统完成的，用户无法修改，所以灵活性很差。m a c 作为一种强有力的访问控制策略，多用于军事系统中。现在被各种系统广泛采用的访问控制模型是于1 9 9 2 年提出来的基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 模型。r b a c 模型从概念上来说是很动静态自适应的a t r g b a c 模型的设计与实现简单的，它的首要原则是用户对系统客体的访问权限是由用户在一个组织中担任的角色来决定的。它根据应用领域中用户易于改变，而角色相对稳定的特点，对用户赋予角色，再根据角色的不同分配相应的权限，从而大大简化了授权控制。r b a c 模型有别于前两种模型之处是在用户和权限之间加入角色这一要素，这可以说是对d a c 和m a c 模型的一大改进。与d a c 相比，r b a c 以非自主性取代d a c 的自主性，提高了系统安全性。也就是说，r b a c 中用户并不“拥有”所访问的对象，用户并不能随意地将自己拥有的访问权限授予其他用户。与m a c 相比，r b a c 模型以基于角色的控制取代m a c 中基于用户的控制，大大提高了系统的灵活性，降低了系统授权的复杂度i s l 。r b a c 模型采用的与组织结构一致的安全授权管理方法，使管理员从访问控制底层的具体实现机制中脱离出来，十分接近日常的组织管理规则，被认为是一种可以普遍使用的访问控制模型，有效缓解了传统的安全处理瓶颈问题t 4 1 。但是r b a c 模型也不是没有缺点，它的最大缺点是r b a c 模型中的角色是一种静态的概念，用户只要被授予具有一定操作权限的角色，任何时候该用户的权限都是有效的，用户可以无限制多次使用该角色对应的权限。然而，随着分布式应用的发展，组织活动的进一步自动化，我们对安全问题的注意力已逐渐从独立的计算机系统中静态的主体和客体保护转移到随着任务的执行而进行动态授权的保护上。r b a c 由于只能提供静态的访问控制，这样就很可能威胁到分布式系统中共享资源的安全性和完整性，从而使得它不能够满足工作流系统或者安全性要求较高系统的需求。工作流是为完成某一目标而由多个相关的任务( 活动) 构成的业务流程嗍。它的主要关注点是处理过程自动化，通过对人和其他资源的协调管理完成某项工作。可以说，现今绝大多数系统都存在工作流。而在实现有工作流存在的应用系统访闯控制功能时，d a c 和m a c 由于存在过早授权和未能及时收回权限的问题，都显得有点力不从心，它们很难适应工作流中用户和权限的不断变化。r b a c也需要不断地更换用户的角色来实现，不适合工作流程的运转。新的访问控制模型的出现很有必要。1 9 9 7 年被提出来的基于任务的访问控制( t a s k - b a s e da c c e s sc o n t r o l ，t b a c )模型可以很好地解决了工作流应用的访闯控制问题。t b a c 模型是一种基于任务的动态实时访问控制模型。它是从应用的角度来解决安全控制问题，而不像前三种访问控制模型是从系统的角度来解决安全控制问题。它的授权不仅与用户相关，还同任务相关，当任务即将执行时，才对用户授予适当的权限，当任务执行完毕时就立即撤销用户的权限，真正实现了权限的按需分配，满足了最小特权原则。同时，t b a c 还是一种上下文相关的访问控制模型。任务的执行与否与任务实例所处的上下文环境直接相关。此外，它不仅能对不同工作流实施不同的访问控制策1 绪论略，而且还能对同一工作流的不同任务实例实施不同的访问控制策略，所以说t b a c 又是基于实例的访问控制模型。然而，虽然t b a c 模型能够为系统提供更加安全的访问控制机制，但它不支持像角色这样的应用很广泛的访问控制要素，加之任务的业务流程相关性，使得t b a c 模型很多时候都是应用相关的，实现起来比较困难，所以应用面不广。通常一个信息系统的访问控制功能中既有相对来说不变化的部分，如某些用户的角色，也有经常变化的部分，如正在当前系统业务流程中执行任务的用户。根据不同的系统用户所拥有的权限随着时间的变化程度的不同，我们可以将信息系统的访问控制大致分为静态访问控制和动态访问控制。通常我们把系统访问控制中用户的权限随时间相对不变化的部分称为静态访问控制，把用户的权限随时间经常变化的部分称为动态访问控制。动静态访问控制的判断是以用户权限的存在时间或变化频率为依据的。一般来说，r b a c 模型是一种静态访问控制模型，t b a c 模型是一种动态访问控制模型。最近几年，国内外学者对访闯控制模型的研究热情日益高涨，有的学者研究如何更好地应用和实现访问控制模型，有的学者则根据已有的模型提出了自己的改进模型。段隆振等人在s a n d h u 等提出的r b a c 9 6 模型中r b a c 3 的基础上，针对其在机构自身组织结构的管理功能和动态授权方面的不足进行了改进，提出了一种扩展的r b a c 模型o d t r b a c ，通过在该模型中引入组、用户授权、有状态任务等概念，增强t r b a c 机构管理的能力，增加了对动态授权的支持并能够支持工作的时序要求m 。金铭月等人针对工作流兼有静态性与动态性的特点，将r b a c和t b a c 模型联合起来，发挥各自长处，对传统r b a c 模型进行动态扩展，提出了一种基于角色一任务的工作流系统存取控制模型r t b a c t s l 。付松龄等人针对r b a c模型的缺陷和分布式工作流管理系统的特性，在传统的r b a c 模型中引入任务集( t a s k s ) 、任务实例集( t a s ki m t a n e e s ) 和任务上下文( t a s kc o n t e x t ) 的概念，将传统的u s e r - r o l e - p e r m i s s i o n 权限赋予结构修改为u s e r - r o l e - t a s k - p e r m i s s i o n 权限赋予结构，提出了一种基于任务和角色的访问控制模型- t & r b a c 模型，并给出了其形式化定义【9 l 。虽然g d t r b a c 模型、r t b a c 模型和t & r b a c 模型都是在r b a c 模型的基础上扩展碍到的，但是我们认为这三个访问控制模型本质上都是动态访问控制模型。因为它们都利用了t b a c 模型的优点，在其模型中引入了任务这个要素，而正是任务的存在使得用户权限将随着任务状态的变化而不断变化。访问控制的目的就是要限制或规范主体的访问权限，使系统在合法的范围内被使用。2 0 0 6 年夏天发生的中国工商银行网上银行资金被盗事件可以让人们认识到访问控制的重要性。随着信息系统的广泛使用，信息系统的安全性也日益成为广大人们群众关心的话题，因为它的安全性正在日益影响人们的学习和生活。访动静态自适应的a t r g b a c 模型的设计与实现问控制模型能够以其灵活安全高效的访问控制思想为信息系统的安全性提供坚实保障，但现今提出的各种访问控制模型及其改进模型大都有其不完善的地方，还不能够完全满足当今复杂多变的系统安全控制需要。d a c 太强，m a c 太弱，t b a c不支持静态访问控制，r b a c 不支持动态访问控制。g d t r b a c 模型、r t b a c 模型和t & r b a c 模型本质上都是动态访问控制模型，不能实现静态访问控制。再者，很多时候信息系统中都有静态访问控制需求，动态访问控制需求以及动静态需相互切换的访问控制需求共存的现象出现，这种动静态相结合的访问控制需求若采用前面提到的几种模型来实现，灵活性和全面性明显不足。因此，为了为信息系统提供更加合理更加高效更加灵活的安全保障，有必要针对以上各种访问控制模型的优缺点，提出一种更加先进的访问控制模型。此外，针对以前的学者大多专注于访问控制模型的理论研究而忽略了模型实现和应用问题的现状，有必要对提出的访问控制模型的开发和实现问题进行研究。这些就是本文选题的意义所在。1 2 选题的研究思路本文提出了一种访问控制模型动静态自适应的a t r g b a c 模型，并分五大章来详细阐述本文的研究思路和内容。( 1 ) 第一章是绪论，包括了选题的背景和意义，选题的研究思路。这一章主要讲述了访问控制模型的历史，提出新的访问控制模型的必要性以及论文是如何组织的。( 2 ) 第二牵讲的是动静态自适应的a t r g b a c 模型的设计。该章首先分析了静态访问控制的r b a c 模型的基本思想、模型结构和优缺点，动态访问控制的t b a c模型的基本思想、与主体客体访闯控制模型的比较、模型结构、优缺点分析，t & 砌j a c 模型原理及其与t b a c 模型的关系。为了满足当前信息系统动静态相结合的访问控制需求，为各类信息系统设计一种比较通用的访问控制模型，使其既能达到静态访问控制的需求，又能实现动态访问控制，也能实现动静态相结合的访问控制，本文接下来提出一种访问控制模型动静态自适应的a t r g b a c 模型。该模型在将t b a c 模型和r b a c 模型有机结合的基础上，引入了群组这个要素，并拥有基于智能特性的动静态自适应功能。该自适应功能可以很好地适应系统访问控制需求的变化以及系统内外部环境、条件的变化，并能够依据访问控制推理机制为用户的访问行为自主地选择最适应的动态的或静态的访问控制机制。此外，为该模型设计了一种动静态自适应实现方案，给出了其自适应结构、自适应监控机制和自适应触发机制。( 3 ) 有了更好的访问控制模型，没有一个好的实现和开发方案也不行，好的理论和思想不能应用于实践。r b a c 模型由于相对比较简单，所以耳前已在各种应41 绪论用系统中得到实现。t b a c 模型现在还处于一种较为抽象的概念层次，还没有具体化，并且应用时需要对组织的业务工作流程进行整理和改造，所以实现起来比较困难，目前在实际系统中的应用还比较少。据此，本文第三章为a t r g b a c 模型提出一种构件化通用开发方案。该开发方案首先分析了基于a t r g b a c 模型的访问控制系统的功能体系结构，大致将系统的内部结构分为三层：应用层、业务层、数据层，然后提出采用一种将面向对象的软件开发( o o d ) 、面向方面的软件开发( a o d ) 和基于构件的软件开发( c b d ) 相结合的o a c o d 软件开发方法和r u p( r a t i o n a lu n i f i e dp r o c e s s ，r a t i o n a l 统一过程) 软件开发过程来开发a 限g b a c模型，构建出了一个理想的a t r g b a c 模型开发框架，并且探讨了如何试图实现模型的构件化，将模型重用于多个应用系统的问题。此外，由于r u p 是一个大而全的通用流程框架，适合于各种实现技术、各种类型和大小的软件项目，我们需要根据具体应用情况对r u p 进行裁减和定制。所以，本章还简要地介绍了r u p在j 2 e e 开发平台下的裁减和定制问题。( 4 ) 第四章分析了基于a t r g b a c 模型的访问控制系统的具体实现问题。本章以作者参与的江西省科技厅工业攻关项目高校多制式教学综合管理系统为例，遵循模型通用开发方案，采用j 2 e e 平台技术，按照r u p 的需求分析、系统分析与设计这一开发流程详细描述了a t r g b a c 模型的具体开发过程。由于篇幅有限，本文并没有描述开发过程的每一个细节，而是重点描述了模型中主要部件的分析和设计问题。( 5 ) 第五章是结论，讲述了本文的创新尝试和本文的不足与展望。总之，本文提出了一种灵活通用的基于智能特性的动静态自适应的访问控制模型a t r g b a c 模型，并为该模型设计了一种动静态自适应的实现方案和一种构件化通用开发方案，最后结合具体应用系统详细分析了模型的具体实现过程。本文的主要研究目的是通过设计一种能够提供更安全更灵活的访问控制机制的访问控制模型及其通用实现方案，为方便快捷的管理工作提供技术保障，从而大大提高管理工作的安全级别和效率。本文在研究访问控制系统的设计和开发方面具有较高的理论价值，其提出的系统访问控制解决方案在实际访问控制系统开发中值得参考和采纳。此外，本文提出的思想和方法在设计和实现高质量的和高安全级别的可重用系统方面具有较大的借鉴价值。动静态自适应的a t r g b a c 模型的设计与实现2 动静态自适应的a t r g b a c 模型的设计2 1 静态访问控制的r b a c 模型2 1 1r b a c 模型简介r b a c 模型的基本思想起源于2 0 世纪7 0 年代的多用户多进程的在线计算机系统 1 0 l ，它的出现得益于美国国家标准与技术研究院( t h en a t i o n a li n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ，n i s t ) 的一个简单称之为“r b a cp r o j e c t ”的项目，该项目的目标就是要设计一个能够标准化的、可伸缩的、非系统依赖的访问控制模型【”l 。1 9 9 2 年，d a v i d f e r r a i o l o 和r i c k k u h n 首先提出了自己的r b a c 解决方案【1 2 1 ，后来许多人在这方面也做了许多有益的研究。美国的s a n d h u 等人于1 9 9 6 年发表了著名的r b a c 9 6 模型 1 0 l ，1 9 9 7 年又提出了a r b a c 9 7 模型。2 0 0 4 年，r b a c 模型正式成为n i s t 的标准。r b a c 模型和d a c 模型、m a c 模型一样，都是遵循主体客体访问控制思想的，它还是一种非自主的访问控制模型旧。r b a c 模型的中心思想是用户对组织中系统资源的访问是由该用户在组织中担当的角色决定的，这样就可以保证组织中具体的安全政策遵循组织结构。权限只与角色发生联系，用户要获得适当的权限是通过将适当的角色授予用户实现的，这样极大地简化了权限的管理【l o l 。r b a c 模型中最基本的概念就是角色( r o l e ) 。角色是一种通过各种属性给客体分门别类的类型组。这些属性通常是指用户在组织中的功能和责任。角色是根据组织中的各种工作职责来创建的，如软件工程师、打字员等，用户可以根据他的职责和能力获得相应的角色【1 3 1 。用户可以容易地从所拥有的一种角色转换到另一种角色。当业务流程变化或者系统升级更新时，角色可以被赋予新的权限或者可以根据需要被收回。角色是一种相对静态的概念，不会经常变化，因为组织中的大多数业务活动和职能通常变化也不是很频繁l i ”。砌；a c 模型中系统可以预先定义好角色权限关系，从而使得接下来给用户分配预定义的角色简单多了。n i s t 的一项研究表明，角色一权限关系的改变相对角色用户关系的改变要慢一些。该研究还表明，允许系统管理员把已存在的角色授予给用户或收回用户的角色但不将创建新角色或者改变角色权限关系等权力授予给系统管理员是十分可取的f l o l 。因为通常给用户分配一个角色比起给角色分配合适的权限所需要的技术和技能要少很多。所以，创建新角色或者改变角色权限关系的工作通常是由专业技术人员负责完成的。r b a c 模型中各个要素问的关系，如角色一权限关系，用户角色关系，角色角色关系，都可能包含了各种访问控制策略。这些要素间的关系组合在一起可以62 动静态自适应的a t r g b a c 模型的设计决定系统中某一个用户是否被允许访问某些资源。i r j b a c 模型中这些要素间关系的配置，可以直接由系统所有者自己完成，也可以通过系统所有者的代理人间接完成。此外，访问控制策略可能随着系统生命周期的变化而需要不断改变，而r b a c模型有能力修改访问策略以满足组织的变化需求，因为它是策略无关( p o l i c yn e u t r a l ) 的，可以结合传统的安全访问控制模型，构造出不同的访问控制模型。r b a c 模型可以直接支持三种常见的安全原则：最小特权( l e a s tp r i v i l e g e ) 、职责分离( s e p a r a t i o no f d u t i e s ) 和数据抽象( d a t aa b s t r a c t i o n ) 。r b a c 支持最小特权原则，是因为它能够做到把仅仅让用户可以完成某一任务的最小权限授予某个角色。支持职责分离是指r b a c 模型中敏感任务必须有互斥的两个角色合作完成。比如，开出一张银行支票要会计和账户管理员一起参与实现。支持数据抽象是指r b a c 可以支持抽象的权限，比如银行账户的借钱和还钱，而不仅仅是传统的由操作系统提供的读、写、执行等权限0 1 。2 1 2r b a c 模型结构r b a c 模型是一种内容丰富的开放模型，它一方面可以非常简单，另一方面又可以是非常复杂成熟，所以想要用单独一个结构模型来表示它是不现实的。因此，为了充分展示r b a c 模型的各个维度和各个层次的内容，r b a c 9 6 模型定义了一组由四个概念模型组成的模型组，这四个模型分别为r b a c o 、r b a c i 、r b a c 2 和r b a c3 【l o l 。图2 1b o 显示了该模型组中各个模型之间的关系。r b a c o 作为基础模型( b a s em o d e l ) ，是一个r b a c 系统应该满足的最小要求，所以处于图形的底部。r b a c l又称为层次模型( h i e r a r c h i c a lm o d e l ) ，r b a c 2 又称为约束模型( c o n s t r a i n e dm o d e l ) ，它们都包含了r b a c o 。r b a c l 在r b a c o 的基础上增加了支持层次角色( 或者说角色继承) 的功能。r b a c 2 在r b a c o 的基础上增加了对约束条件的支持，反映了现实生活中对用户在职责分离、赋予角色的前提和数量等方面的约束。它主要包括静态职责分离( s t a t i cs e p a r a t i o no f d u t y ，s s d ) 和动态职责分离( d y n a