（测试计量技术及仪器专业论文）基于角色的访问控制扩展模型的研究和应用.pdf

南京邮电大学硕士研究生学位论文摘要 摘要 随着信息化技术的快速发展，访问控制技术的研究得到越来越多的科技人员 的关注，其中尤其是基于角色的访问控制技术( r o l e - b a s e da c c e s sc o n t r 0 1 ) 最为突出。r b a c 满足了商业和政府部门等对于系统安全方面的要求，显示了极 大的优势，其核心思想是用户通过角色取得访问权限，权限和用户在逻辑上实现 了分离，简化了授权管理，增加了访问控制的灵活性。 本文首先介绍了目前访问控制技术研究领域的现状，然后分析了经典的基于 角色的访问控制技术模型r b a c 9 6 【l 】和a r b a c 9 7 【2 1 ，在此基础上，结合现代商业和 机构的发展规模，提出基于r b a c 传统模型的扩展模型e r b a c ( e x t e n d e d r o l e b a s e da c c e s sc o n t r 0 1 ) ，该模型将部门抽象出来，和角色共同决定对用户 的授权，并在角色和许可之间增加任务概念，使得业务和功能分离，同时取消了 管理层级的概念，简化了管理的复杂度，提高了管理的效率。 本文给出了基于e - r b a c 模型的应用实例。按照e - r b a c 模型原理，基于 j 2 e e 3 1 【4 1 构架，以b s ( 浏览器服务器) 的模式实现了某电信企业的代理商管理 受理子系统，提高了系统整体运行效率，方便了管理，节约了运营成本，系统在 实际上线应用中运行良好，取得了很好的实用价值和经济效益。 关键词：访问控制，角色，r b a c ，e r b a c 南京邮电大学硕士研究生学位论文a b s t r a c t a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y ，t h er e s e a r c h o fa c c e s sc o n t r o lh a sb e e np a i da t t e n t i o nb ym o r ea n dm o r et e c h n i c a l p e r s o n n e l ，e s p e c i a l l yt h er o l e b a s e da c c e s sc o n t r 0 1 r a b cs a t i s f i e s c o m m e r c i a la n dg o v e r n m e n t a lo r g a n i z a t i o n sn e e df o rs y s t e ms e c u r i t y ，i t s c o r ei d e ai st h a tt h es u b s c r i b e rg a i n sa c c e s sa u t h o r i t i e st h r o u g ht h er o l e l o g i c a l l y ，t h ea u t h o r i t ya n dt h es u b s c r i b e ra r ei ns e p a r a t i o ns ot h a ti t s i m p l i f i e st h ea u t h o r i z a t i o na d m i n i s t r a t i o na n di m p r o v e st h ef l e x i b i l i t y o fa c c e s sc o n t r 0 1 f i r s t ，t h ep a p e ri n t r o d u c e st h ep r e s e n tc o n d i t i o no fa c c e s sc o n t r o l t e c h n o l o g y ，t h e na n a l y s e st h ec l a s s i cr o l e - b a s e da c c e s sc o n t r o lm o d e l s r b a c 9 6a n da r b a c 9 7 s e c o n d l y ，w i t hc o m b i n i n gm o d e r nc o m m e r c ea n d d e p a r t m e n t sd e v e l o p m e n ts c a l e ，t h ep a p e rr a i s e se - r b a c ( e x t e n d e d r o l e b a s e da c c e s sc o n t r 0 1 ) b a s e do nt r a d i t i o n a lm o d e lr b a c t h em o d e l a b s t r a c t st h ec o n c e p to fd e p a r t m e n t ，d e c i d e st h es u b s c r i b e ra u t h o r i z a t i o n w i t ht h er o l ea n da d d st h ec o n c e p to ft a s kb e t w e e nr o l ea n da u t h o r i z a t i o n t h e r e f o r e ，i ts e p a r a t e sb u s i n e s sa f f a i r sf r o mt h ef u n c t i o n a n di tc a n c e l s t h ec o n c e p to fa d m i n i s t r a t i o nl a y e r ，s i m p l i f i e st h ec o m p l e x i t yo f a d m i n i s t r a t i o na n di m p r o v e st h ee f f i c i e n c yo fa d m i n i s t r a t i o n t h ep a p e rg i v e st h ea p p l i c a t i o ni n s t a n c e sb a s e do ne r b a c t h em o d e b a s e do ne r b a ct h e o r e m 、j 2 e es t r u c t u r ea n db sm o d u l er e a li z e st h e a c c e p t a t i o ns u b s y s t e mo ft e l e c o me n t e r p r i s ea g e n t t h es u b s y s t e mh a sm o r e c o n v e n i e n ta d m i n i s t r a t i o na n dl e s sb u s i n e s sc o s t i th a sb e e n d e m o n s t r a t e dt h a tt h es u b s y s t e mh a s g o o dp e r f o r m a n c e i n p r a c t i c a l a p p l i c a t i o na n dg a i n sg o o de c o n o m i c a lb e n e f i t s k e y w o r d ：a c c e s sc o n t r o l ，r o l e ，r o l e b a s ea c c e s sc o n t r o l ， e x t e n d e dr o l e - b a s ea c c e s sc o n t r 0 1 1 1 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：蜱日期：- 2 巡 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名： 燃导师签名： 南京邮电大学硕士研究生学位论文 绪论 第一章绪论 1 1 课题背景及研究意义 伴随着全球化的快速发展和计算机网络技术的迅速提升，企事业单位的规模 越来越分散化和扩大化，信息得以更快更便捷传递和共享的同时，带来了访问控 制的安全性问题。为此必须寻求一种安全有效的访问控制技术，应用到企事业单 位的计算机网络系统中，才能在满足人们对于信息方便共享的同时，保证信息的 安全。 现有的访问控制技术主要有三种模式：自主访问控制技术( d a c ， d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 5 1 、强制访问控制技术( m a c ，m o n d a t o r ya c c e s s c o n t r 0 1 ) 5 1 和基于角色的访问控制技术( r b a c ，r o l e - - b a s e da c c e s sc o n t r 0 1 ) 。 d a c 是在确认主体身份和所属的组的基础上对访问进行控制的一种控制 策略，主要思想是允许某个主体显示的指定其他主体对该主体所拥有的信息资源 是否可以访问及执行。有两种主要的实现方式：1 基于主体的d a c 实现，它通过 权限表标明主体对客体的权限，当删除一个客体，需遍历主体所有的权限表；2 基于客体的d a c 实现，它通过访问控制链表来表明客体对所有主体的权限，当删 除一个主体时，需检查所有客体的访问控制链表。 m a c 基于主客体的安全级别，要求主体、客体具有良好的层次结构，只允 许信息从低安全级别的实体流向高安全级别的实体，每个主体和客体都有自己既 定的安全属性，主体对客体是否具有访问权限取决于二者安全属性的关系，m a c 将主体和客体分级，预先定义用户的可信任级别及信息的安全级别，如绝密、机 密、无密级别等等，系统通过主体和客体的级别标记来决定访问模式，般多用 于安全军事系统。 r b a c 是基于角色的访问控制技术，主体通过角色来访问客体资源，通过 授权给用户某种角色，并给某种角色赋予操作某种客体资源的许可，最终完成主 体对客体资源的访问。 d a c 、m a c 不能很好地适应商业、企事业的现实环境。自主访问控制中允许用 南京邮电大学硕士研究生学位论文 绪论 户个体授权或撤销他所拥有的资源，即个体用户是资源的主人，并且在信息移动 过程中其访问权限关系也会被改变，控制力太弱；而强制访问控制使用主体和客 体对象相关的安全标识进行访问控制，控制力太强。两者的管理复杂，而且工作 量非常大。 r b a c 通过角色起到主体和客体资源的中间桥梁作用，对用户的访问授权转 变为对角色的授权，同其它访问控制方式相比较，r b a c 使系统权限管理更为简 单，系统更易于升级和维护，同时也实现了最小特权和职责分担等控制功能，增 加了系统的安全性，有效地解决了系统信息安全和系统易用性这两方面的矛盾。 本课题来源于某电信企业的信息软件系统项目。根据电信企业的实际应用 需求，必须寻找到一套适合电信企业信息系统通用的访问控制技术规则，通过在 现实环境中不断测试应用进而系统地整理总结出某种协议规范一一访问控制协 议，使得对电信企业信息系统的开发和应用更为便捷，从而提高企业的实际竞争 力。本文是在这样的大背景下，以r b a c 的访问控制模型为基础，结合电信企业 部门机构的庞大化，对客体资源操作( 例如对文件文档的操作，如查看、修改等) 的相似性等现实环境，为总结适合电信企业通用的访问控制协议打下基础，研究 并提出、实现了改进的基于角色的访问控制模型e - r b a c ，解决了由于组织机构 庞大而带来的角色数量增多、系统研发人员和使用系统的业务人员职责分工难度 较大以及角色层次过于复杂而导致的管理繁琐的问题，以满足企业的现实需要， 更好地适应了企业的发展要求，同时对使用访问控制技术的其他领域有很大的借 鉴意义。 1 2 国内外研究应用的现状 进入上世纪7 0 年代以来，随着计算机技术的快速发展，计算机系统应用于 各个行业和各种不同的多用户环境，人们对于信息和数据的安全越来越重视，系 统管理员或者软件的开发人员都在寻求一种安全可靠的用户和数据资源的访问 控制技术，r b a c 在这种环境下诞生了。 基于角色的访问控制经典模型最早是在1 9 9 6 年，由r a v is s a n d h u 等人提 出，称之为r b a c 9 6 t 1 1 模型，由于其满足目前大量存在的商业和政府部门系统安 南京邮电大学硕士研究生学位论文 绪论 全的需要，近几年来成为访问控制领域研究的热点。r b a c 9 6 访问控制模型主要 引入了角色的概念，并使得角色权限拥有继承性，从而降低了授权的复杂性和工 作量，提高了工作的效率。在接下来的9 7 年和9 9 年，r a v is s a n d h u 等人在原 有r b a c 9 6 模型的基础上提出了管理r b a c 9 6 模型的管理控制模型，其最大的特点 是以基于角色的访问控制模型管理其模型本身，并在其中引入了管理角色的层次 概念，称之为a r b a c 9 7 2 1 模型。2 0 0 1 年，n t s i 公布了r b a c 的建议标准1 6 ，进一 步推广r b a c 的研究和应用。2 0 0 3 年，a n s i 公布了r b a c 的新标准【6 】，增加了支 持角色层次结构的需求，将r b a c 的层次分为一般性层次和限制性层次，明确提 出角色层次关系的概念，并把它限制为简单的树或倒立的树结构，系统全面的描 述了r b a c 多层次、多方面的意义。 利用r b a c 模型能够避免对系统资源的非法访问和使用，防止非法用户的侵 入和合法用户不慎操作带来对系统的破坏性影响，直接支持信息的保密性、完整 性、安全性，加强了对共享信息的保护，是系统信息安全的重要环节，因此r b a c 现有的应用范围十分广泛。w i n d o w s n t 系统中实现了a r b a c 9 7 模型的用户一角色 分配撤销模型，o r a c l e 数据库系统中实现了a r b a c 9 7 模型的用户一角色和角色一 许可分配撤销模型。另外，各种商业和政府机构的信息软件系统都是以r b a c 为 基础的权限管理访问控制机制。 随着r b a c 模型广泛应用，也暴露出一些问题，例如电信企业的运营中，需 要分散在各个地市的分公司和总公司合作运营，机构庞大，人员数量非常多，以 r b a c 模型为基础的系统应用虽然方便，但也存在角色数量过多，角色层次复杂， 角色管理繁琐等问题，在系统使用和开发方面分工也难以明确。因此国内外很多 研究机构和大学都对r b a c 模型的扩展方面进行了深入研究与实际应用，以解决 r b a c 模型在实际系统使用中所出现的问题。 目前，对r b a c 模型有比较深入研究的典型机构有上述的n t s i ( n a t i o n a l i n s t i t u t eo fs t a n d a r dt e c h n o l o g y ) 美国国家标准技术研究院，r a v is s a n d h u 教授所在的g e o r g em a s o n 信息安全技术实验室l i s t ( l a b o r a t o r yo fi n f o r m a t i o n s e c u r i t yt e c h n o l o g y ) 。国内也有一些研究机构和大学在r b a c 扩展模型方面有 深入细致的研究和应用，主要是中科院软件研究所、华中科技大学、电子科技大 学、浙江大学计算机系等等。对基于角色的访问控制模型r b a c ，大多数学者的 南京邮电大学硕士研究生学位论文绪论 研究重点主要是对其扩展模型的研究以及对实际应用领域的研究，提出了各种以 r b a c 模型为基础的改进型模型，如基于角色和组织的访问控制模型7 1 、基于r b a c 模型的w e b 应用服务【8 】【9 1 等等。 1 3 本文主要工作 基于角色的访问控制模型r b a c 相对于d a c 和m a c 来说管理简单、灵活，但 不能很好地实现目前企事业单位多部门、多机构对信息访问控制的安全策略。传 统的r b a c 模型在企事业规模不断发展的今天，显得有些力不从心。部门和机构 的不断壮大，使得新增的角色数量显得过于庞大，管理角色层次的多层化和继承 关系的复杂化，使得对于角色的管理异常艰难，工作效率也随之下降颇多，在这 样的条件下，急需寻找一种在传统r b a c 模型的基础上有所扩展的模型一一 e - r b a c 模型，既保留传统r b a c 模型的优势，又能够解决角色数量过多和管理过 于复杂的问题。 本论文主要的工作及创新点有以下几个方面： ( 一) 概述了基于角色的访问控制经典模型r b a c 9 6 1 1 和a r b a c 9 7 t 2 1 ，讨论了 传统经典模型的优点和在现实应用环境下的不足。 ( 二) 针对实际的企事业部门机构日益庞大和分散化，以及信息应用系统开 发人员和使用人员职责难以明确分离和系统管理复杂的现实应用环境，研究并提 出了基于角色的访问控制扩展模型e - r b a c ，它包括了访问控制的普通模型 c e - r b a c ( c o m m o ne x t e n d e dr o l e - b a s e da c c e s sc o n t r 0 1 ) 和管理模型 a e r b a c ( a d m i n i s t r a t i v ee - r b a c ) ，分别做以下两点说明。 ( 1 ) c e r b a c 模型将现实环境中企事业单位的部门独立抽象出来作为和角色 同等的地位，共同给用户授权，并在角色和对客体资源操作的许可之间增加任务 的概念，使得功能管理和业务管理很好地实现了分离，即系统开发人员和使用人 员职责得以分离。对新增加的概念做了详细的解释，对角色和部门共同决定用户 对客体资源操作的优点做了充分地说明。 ( 2 ) 基于a r b a c 9 7 模型，提出了管理c e - r b a c 的访问控制模型a e - r b a c 模 型，简化了角色管理的复杂度。详细说明了a e - r b a c 模型的实现过程：u r d a ( 用 南京邮电大学硕士研究生学位论文 绪论 户一角色、部门管理) ，t r d a ( 任务一角色、部门管理) ，r r d a ( 角色一角色、部门管理) 。 a e r b a c 模型对于管理层次进行了大量简化，更加适应环境需求，对于这些与传 统的a r b a c 9 7 模型不同之处，都做了详尽的阐述。 ( 三) 将e - r b a c 模型应用于某电信企业的代理商管理受理子系统中，参照 e - r b a c 模型的标准，设计了代理商管理受理子系统的权限管理模型，并验证了 模型的权限管理过程。 1 4 论文结构安排 本文以传统的基于角色的访问控制模型r b a c 为基础，研究和实现了其扩展模 型e - r b a c ，共分五章来阐述。 第一章绪论主要介绍了课题的研究背景和国内外的研究现状，并对论文的主 要工作和创新点作了简单的描述。 第二章对传统的基于角色的访问控制模型r b a c 做了详细介绍，主要是对经典 模型r b a c 9 6 和a r b a c 9 7 模型描述，讨论了其优缺点。 第三章在经典模型的基础上提出了扩展模型e - r b a c ，给出了新定义和新概念 的说明，对角色管理层次做了简化，深入阐述了扩展模型的验证和管理过程，比 较了与传统模型的不同点。 第四章是e - r b a c 模型的具体现实应用，描述了系统的设计目标、开发环境、 具体实现和权限受理验证过程。 第五章对本文进行了总结，以及对下一步工作的展望。 南京邮电大学硕士研究生学位论文 基于角色的访问控制模型r b a c 第二章基于角色的访问控制模型r b a c 2 1r b a c 模型概述 基于角色的访问控制模型r b a c 是为解决传统的访问控制模型的缺陷而提出 来的，其基本思想是：授权给用户的访问权限，一般由用户所承担的角色来决定。 r b a c 根据用户所拥有的角色进行访问控制和授权，传统的访问控制机制是将访 问主体和客体直接联系，而r b a c 在主客体之间加入了角色的概念，通过角色沟 通主体与客体的联系。 r b a c 模型中访问权限的受理和撤销由管理员角色统一来管理，用户只能被动 接受授权，不可以主动决定授权。同时，用户的访问权限权力不可以主动的转交 其他用户，也就是说非自主的访问控制。 本文主要介绍两种经典的r b a c 模型一r b a c 9 6 1 1 1 、a r b a c 9 7 1 2 1 ，首先对一些基 本概念有如下的定义。 定义1 用户u ，用户集u ，u u ； 定义2 角色r ，角色集r ，r e r ；管理角色a r ，管理角色集a r ，a r a r ； 定义3 许可p ，许可集p ，p p ； 定义4 会话s ，会话集s e s s i o n ( s ) ，s s ； 定义5 约束c ，约束集c o n s t r a i n t ( c ) ，c ec 。 用户：主要指系统的使用者，一般指企事业单位的员工。与角色是多对多的 关系，一个用户可以有一个或多个角色，一个角色也可授予多个用户。 角色：在企事业组织中的特定岗位，能够执行某种特定操作的职位，代表一 定的权限，反应用户的职责，可以看成一系列是许可的集合体，称之为主体角色， 也可以是一系列的客体资源，称之为客体角色。本文为了叙述方便，下文中没特 殊说明，主体角色通称角色。 许可：表示操作的集合，例如查询、选择、撤销、删除、插入等。角色和许 南京邮电大学硕士研究生学位论文基于角色的访问控制模型r b a c 可也是多对多的关系，一个角色可以拥有多个许可，一个许可也可被多个角色使 用，用户必须通过角色和许可联系，最终完成对客体资源的访问。 会话：是一个动态概念，用户激活角色集时建立会话。会话时一个用户和多 个角色的映射，用户和会话是一对多的关系，一个用户可以同时打开多个会话， 通过会话建立用户角色联系以及角色许可联系。 约束：是控制分配撤销操作的某种限制条件，指定职责分离以避免冲突。典 型的约束有角色互斥、角色数限制。角色互斥指两个或两组不同角色由于职责不 同，不能同时被一个用户所拥有，如银行出纳会计和主办会计不能是同一个人； 角色数限制指某个角色能被同时授权或激活的数目。根据职责分离的不同阶段， 约束一般可分为动态和静态的职责分离。详见2 2 。 定义6u a c u x r ，a u t h o r i z e d u s e r ( r ) ，多对多的用户和角色的分配关系。 定义7p a t ：p r ，a u t h o r i z e d _ p e r m i s s i o n s ( r ) ，多对多的许可和角色间的 分配关系。 定义8u s e r ：s 一 u ，会话和用户映射的函数关系，u s e r ( s i ) 。 定义9r h c _ r r ，是角色集上的偏序关系，用表示。 用户角色分配：( u ， ) c u a ，表示用户u 拥有角色r ，也就是说用户u 被分 配了角色 所具有的许可。 角色许可分配：( p ，r ) p a ，表示许可p 被赋予角色r ，也就是说角色r 拥 有了操作许可p 。 角色激活：指用户被授权某些角色的过程。用户访问客体资源的时候实际上 具有的是被激活后的角色，未激活的角色在访问中不起作用。角色激活是动态的 过程，提供了很大程度的灵活性。 角色层次：当且仅当角色r 2 的所有许可也是角色r 1 的许可并且r 1 的用户也 是r 2 的用户时，r l r 2 ，分为一般角色继承和受限角色继承，具体见2 2 。 南京邮电大学硕士研究生学位论文基于角色的访问控制模型r b a c 2 2r b a c 9 6 模型 在r b a c 9 6 模型家族中，尉洌c ou 作为基本模型，满足r b a c 9 6 系统的最小要 求，是模型的核心，处于最低层；r b a g m 增加了角色层次结构，允许角色之间 的继承，更加符合实际的要求，r b a q 增加了约束的概念，两个模型都对核心 模型进行了内容上的丰富，且两者之间所增加的特征没有交叉，处于次高层； r b a c 是一个比较完备的r b a c 9 6 模型，r b a c i 和r b a c 的综合，是处于最 高层次的模型。图2 1 展示了基本模型r b a c or b a c , 、r b a c 2 、r b ac 1 的关 系，图2 2 展示了r b a c 9 6 模型的具体内容。 删g 图2 - 1r b a c 各模型关系图 南京邮电大学硕士研究生学位论文基于角色的访问控制模型r b a c 图2 - 2r b a c 各模型详细图 ( 一) 基本模型r b a c o r b a c o 有四个基本要素组成，用户( u u ) 、角色( r r ) 、会话( s s ) 、许 可( p p ) ，具体含义见定义l 、2 、3 、4 和相关的说明。 在一个系统中，定义了多个用户、角色，同时对多个角色设置多个授权关系， 称为访问的许可( p ) 权限。在用户看来，获得了某种角色也就获得了某种许可， 进而获得了对系统内某些资源的操作。角色在系统中起到中间桥梁的作用，用户 不再和客体资源进行直接的联系，这也是r b a c 模型和传统的d a c 、m a c 模型有显 著区别的关键。由于角色和用户的数据非常多，因此用户对客体资源的操作许可 不可能一直保持，于是就引进了“会话”的概念。当用户进入系统时，并不能立 即对相关的资源进行操作，也即并没有建立用户和角色之间的关系；只有当激活 用户和角色关系的会话时，用户才能对与角色相联系的资源进行相应许可的操 作。每次会话将激活用户的角色集中的一个子集，这些子集称为活跃角色集。系 统根据本次会话启用的活跃角色集将其映射到许可集上，便可以得知会话用户所 需要拥有的许可权限。对用户而言，一次会话能获得所有活跃角色集中所有角色 所拥有的许可。角色和许可之间的关系般而言是固定存在的，在系统建立初期 南京邮电大学硕士研究生学位论文基于角色的访问控制模型r b a c 就已经完成配置。 r b a c o 实现了r b a c 9 6 模型的基本功能，是r b a c 9 6 的核心，它奠定了整套模 型系统的基础，简单、灵活且易理解。 ( 二) 角色层次结构模型r b a c j r b a c i 引入了角色层次的概念，角色层次具有继承的性质，一个角色可以通 过继承其他一个或多个角色来定义，当这种继承关系完成后，就自动的获得了被 继承角色的所有许可。角色的继承性质避免了许可的重复定义。r b a c l 反映了权 限的线性关系，可以实现多级安全系统所要求的保密级别的排列要求和保密存储 类的范畴。 在系统中，假设角色r 2 继承自角色r 1 ，而角色r 1 拥有许可a 、b ，角色r 2 拥有许可c 。当用户u 被分配了角色r 2 的一个实例，由于角色的继承性，u 同时 也拥有了角色r 1 的一个实例，就是说用户u 同时拥有了操作许可a 、b 、c ，此 时用户u 的当前角色激活集为 r 1 ，r 2 ) 。 r b ac 1 有两类角色层次：一般角色继承和受限角色继承。一般角色继承的继 承与被继承角色之间的层次结构是任意的，可以存在权限的多重继承，每个子角 色可以拥有多个父角色；受限角色继承可以在角色层次上施加约束，最常见的约 束为角色层次是树型或倒立的树型，除了根角色之外，每个角色有且仅有一个父 角色。 一般角色继承如： r l r 2 - - ) a u t h o r i z e d _ p e r m i s s i o n s ( r 2 ) a u t h o r i z e dp e r m i s s i o n s ( r 1 ) a u t h o r i z e d u s e r ( r ：r ) 一 2 u ，角色r 在用户集上的映射，这个用户集在当前角 色分层中定义，有： a u t h o r i z e d u s e r s ( r ) = u e u i ，r ，( u ，厂) u a a u t h o r i z e dp e r m i s s i o n s ( r ：r ) 一 2 尸，角色r 在许可集上的映射，这个许可集 在当前角色分层中定义，有： a u t h o r i z e d p e r m i s s i o n s ( r ) = p c p f ，。r ，( p ，) p a ) 南京邮电大学硕士研究生学位论文基于角色的访问控制模型r b a c 受限角色继承如： vr ，r l ，r 2 r ，r r lir r 2 = r l = r 2 ( 三) 约束条件模型r b a c 为了避免或消除冲突，r b ac 增加了职责分离的约束限制，包括角色互斥和 角色数限制，例如某企业的出纳会计和主办会计不是同一个人，避免财务上的腐 败。职责分离在访问控制的不同阶段分为静态职责分离和动态职责分离。 ( 1 ) 静态职责分离( s s d ) 1 1 j 静态职责分离指在用户分配阶段，与会话和角色激活无关，它有多种表现形 式，若r 表示某角色集，r 1 表示其子集，n 表示大于1 的自然数，( r ，n ) 表示 r 中分配给用户角色的个数不能超过n ，s s d 冬( 2 月n ) 表示静态职责分离中( r ， n ) 的集合，则有： v ( r ，n ) s s d ，vr l r ：ir ll n = ia s s i g n e d u s e r s ( r ) = r e r l 基于角色的静态职责分离不但是基于角色用户分配，而且还基于用户授权，有表 如下示： v ( r ，f 1 ) s s d ，v r l c r ：i r li n = ia u t h o r i z e d u s e r s ( r ) = ( 2 ) 动态职责分离( d s d ) 【u 动态职责分离是指在角色激活阶段，作用域在会话内部，如图2 - 2 。 ( 四) r b a c 3 模型 r b a c 3 位于r b a c 9 6 模型家族的最上层，是r b a c l 和r b a c 2 的集合体，是 r b a c 9 6 模型完整的概括，包含了r b a c o 、r b a q 、r b a c 2 的所有功能。 r b a c 9 6 模型家族虽然涉及到模型的角色管理概念，但没有深入讨论。随后的 1 9 9 7 年，r a v is s a n d h u 领导的团队提出了基于分布式角色管理模型a r b a c 9 7 ( a d m i n is t r a t i v er o l e b a s e da c c e s sc o n t r 0 1 ) ，从理论上阐述了r b a c 模型自 南京邮电大学硕士研究生学位论文 基于角色的访问控制模型r b a c 我管理的方法，即以r b a c 模型管理r b a c 模型。a r b a c 9 7 是基于r b a c 9 6 模型的， 其本身亦是基于角色的访问控制技术，它的角色称作管理角色，许可称为管理许 可。图2 - 3 展示了a r b a c 9 7 模型的基本框架。 角色层次 曾理角色层次 图2 3a r b a c 9 7 模型图 a r b a c 9 7 模型分为三种不同的管理模型：u r a 9 7 模型【2 】( 用户一角色授权管理) 、 p r a 9 7 模型【2 1 ( 许可一角色授权管理) 、r r a 9 7 模型 2 1 ( 角色一角色授权管理) 。 ( 一) u r a 9 7 模型 u r a 9 7 解决了用户和角色分配和撤销的问题。当一个用户进入系统时，它开 始并不拥有角色，需要由特定的某种角色来完成用户的角色分配，这种特定的角 色就是管理角色。u r a 9 7 又分为用户一角色分配管理和用户一角色撤销管理，分别 有以下定义： 定义1 0c a n _ a s s i g n g a r x c r 2 尺 定义1 1c a n r e v o k e g a r x2 r 南京邮电大学硕士研究生学位论文基于角色的访问控制模型r b a c 定义1 0 也可用c a n a s s i g n ( x ，y ， a ，b ，c ) ) 表示，意思是管理角色x ( 或者比 x 高级别的管理角色) 在用户u 已经是角色y 的前提下能够将角色a 、b 或者c 分配给他，用这种方法来描述管理员角色对某些普通角色的用户授权管理。由于 管理员角色也存在层次的结构，所以引入了角色区间的概念来区别不同管理角色 所能管理的区域范围，级别高的管理员能够管理级别低的管理员所管辖的区域范 围，从而形成层次分明、管理等级严格的管理梯队层次。为了更好地说明问题， 如图2 4 和图2 - 5 展示了管理角色和普通角色的层级结构，图2 4 为普通角色层 级，图2 5 为管理角色层级。 p l l ( 工 q e l ( 项目1 程师) ( 项目 图2 - 4 普通角色层次图 ( 项目2 工程) 南京邮电大学硕士研究生学位论文基于角色的访问控制模型r b a c p s o i ( 项目1 s s o ( 高级管理员) 管理员) 图2 5 管理角色层次图 高级管理员s s o 可以管理全部普通角色，即管理区域范围为 e ，d i r ，d s o 所 能管理的普通角色区域范围为 e d ，d i r ) ，d i r 不在其管理范围之内，p s o i 能管理 的普通角色区域范围为 e l ，p l l ，p s 0 2 与此相类似。 定义1 1 用户和角色撤销管理也能够表示为c a n r e v o k e ( x ，y ) ，意思是管理角 色x ( 或者比x 高级别的管理角色) 能够对用户撤销角色y e y 。由于用户可以通 过角色继承关系获得普通角色权限，因此对于角色的撤销分为强撤销和弱撤销两 种。 强撤销：用户u 通过角色继承关系获得了角色p l i 、p e i 、e 1 ，撤销u 的 角色e 1 的同时，也强制撤销了角色p l i 、p e l 与用户u 的关系，也就是说撤销了 用户u 与角色p l l 、p e l 、e 1 相关的所有许可； 弱撤销：用户u 通过非继承关系( 即直接分配) 获得了角色p l i 、p e l 、 e 1 ，那么撤销u 的角色e 1 对用户没有影响，即用户仍然拥有e 1 所拥有的许可( 因 为p e l 拥有e 1 所有的许可) 。 ( 二) 。p r a 9 7 模型 p r a 9 7 模型与u r a 9 7 模型是对偶模型，将用户u 换成许可p 即可，相关定义 如下。 定义1 2c a n a s s i g n p a r c r 2 只 定义1 3c a n r e v o k e p a r x2 月 定义1 2 另外一种表示形式：c a n _ a s s i g n p ( x ，y ，z ) ，意思是管理角色x ( 或 者比x 高级别的管理角色) 在角色r e z 且r 满足条件y 的前提下能够将许可p 分配给r 。 南京邮电大学硕士研究生学位论文基于角色的访问控制模型r b a c 定义1 3 另外一种表示形式：c a n r e v o k e p ( x ，y ) ，枣思是管理角色x ( 或者 比x 高级别的管理角色) 能够撤销角色y e y 的任何许可p 。它也分为强弱撤销， 不过仅仅是将角色区域范围改为角色拥有的许可区域范围，这里不再累赘。 ( 三) r r a 9 7 模型 r r a 9 7 模型是角色本身的管理，是a r b a c 9 7 模型中最为复杂的。有能力集、 组、u p 三个角色的概念。能力集包含许可和其他能力集；组包含用户和其他组； u p 角色是没有限制的角色概念，可以包含用户、许可，能力集、组及其它u p 角 色。r r a 9 7 通过管理管理角色来表明管理角色是否有权限增加角色、删除角色以 及改变角色间继承的关系，给出了一些形式化的说明，限于篇幅，这里不再叙述， 详见参考文献【2 】。 2 4 传统r b c 模型的小结 传统的基于角色的访问控制模型目前在商业界已广泛应用。其优点十分明 显，主要有下面几点： ( 一) 方便可行的抽象化实现 用角色沟通了用户和客体资源，而角色的概念在现实世界中比较容易抽象， 一般是指在企事业单位中按职责不同的岗位。 ( 二) 职责分离 用户和客体资源的分离，直接导致职责的分离。当机构用户流动量大且流动 频繁时，职责分离将使得系统更易于维护。 ( 三) 简单最小化特权的实现 角色拥有对客体资源操作的最小特权。不一定拥有高级管理员角色的用户一 定能够使用高级管理员角色的权限，他也可以只使用普通角色的权限，这样对系 统的安全性起到一定保护作用。 ( 四) 方便的授权管理 用户和客体资源的间接联系，使得管理更为方便。当用户离职或调动，系统 只需撤销此用户和其有关的角色之间的关系，使得人员的管理相当简单；许可和 和角色关系亦如此。管理的工作量大大减少了。 虽然传统的r b a c 优点众多，但在实际的应用中也发现了一些不足之处。 南京邮电大学硕士研究生学位论文基于角色的访问控制模型r b a c ( 一) 角色数量有过于庞大的可能性 随着某些企业的发展，部门机构逐渐壮大，角色数量将急剧增加，而每个机 构或部门中的角色职责却差别不大。例如上述项目经理角色，当项目增多时，就 要不断增加项目经理的角色，而每个项目经理的职责相差不大，显然这是没有必 要的。 ( 二) 与某些企事业的现实环境不能很好符合 某些企事业单位机构庞大，现实环境复杂，对客体资源的访问操作多样化， 导致访问许可数量过多过分散，而某些访问许可是对某一特定资源做的一系列操 作，许可之间有密切联系，缺一不可。例如上述某部门中项目经理对本部门某个 文件的查看、修改、保存，这一系列的访问许可是为了对某文件进行更新操作， 由于许可分散且有三个之多，给业务人员使用系统带来极大不便，使得工作效率 大为降低，同时也增加了系统开发人员的负担，要处理过多的访问许可，也使得 使用系统的业务人员和系统开发人员职责分工不明确，造成系统开发周期的增 加，从而增加了系统的成本。 ( 三) 角色一角色管理过于复杂 角色一角色的管理在传统模型中很复杂，至今都没得到很好地解决。管理角 色的层次继承更增加了角色管理的复杂度，使得对普通角色的分配和撤销实现起 来有相当大的难度，而且在安全性方面也增加了风险。 南京邮电大学硕二l 研究生学位论文基于角色的访问控制扩展模型e r b a c 第三章基于角色的访问控制扩展模型e - r b a c 3 1e - r b a c 模型提出的背景 为了满足大型企事业单位对于信息化管理的需要，原有的r b a c 模型对于规 模大、内部结构复杂的企事业环境越来越困难去抽象实现，如何找到一套既兼顾 r b a c 的优势又符合现实的企事业环境( 即比较容易地从实际环境中抽象出一些 概念和模型配合应用) 有迫切的实际需求，e - r b a c 模型在此环境下应运而生。 在一个大的企业中可能在各地分布着很多的子公司，这些子公司在业务上面 是独立，只是在管理上面接受总公司的统一领导。传统的r b a c 解决了这种关系 的管理问题，但随着互联网的快速发展，对于公司内部各部门协作和资源共享的 要求越来越强烈，传统的r b a c 对于协作和资源共享关系并不她n e , l 佃t r 好的处理，因 此需要对其进行适当的改进。e - r b a c 解决了传统模型和现实环境实际抽象实现 的一些问题，总结起来主要有以下几个方面。 ( 一) 组织机构的独立抽象。在传统的r b a c 9 6 1 1 模型中组织机构作为角色 的一个属性，e - r b a c 中将组织机构独立抽象出来作为和角色同等的地位，共同 决定对用户的授权。这样做可以减少由于企业规模的扩大导致角色的无限增长问 题。比如企业各地子公司都有经理、销售人员、维护人员、财务人员等，虽然有 的职责有所差异，但大部分的普通职责是相同的，假设有3 个子公司，传统模型 需要4 3 = 1 2 个角色，而e - r b a c 只需要4 个角色。 ( 二) 功能管理和业务管理的分离，即系统开发人员和使用系统的业务人员 职责的分离。大型企业功能管理集中在总公司和各个子公司的特定部门，业务管 理分布在每个子公司的各个业务部门。功能管理员往往是企业内i t 部门人员， 他们对于业务并不熟悉，熟悉业务的人员往往分布在下级子公司，因此很有必要 将功能和业务分离开来。 ( 三) 角色管理的简化，保证了权限的下放。各子公司的业务由各个子公司 管理，总公司不去干涉。a r b a c 9 7 2 1 模型中保持了角