（计算机软件与理论专业论文）企业环境下基于角色与任务的访问控制研究.pdf

企业环境下基于角色与任务的访问控制研究 摘要 访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法，在电 子商务环境下，它是解决企业信息系统安全的关键方法之一，也是信息安全领域研 究的重点和熟点。目前已存在多种访问控制模型，但均具有一定的局限性，不能很 好地满足现代企业中用户岗位频繁变化、业务流程日益复杂以及分布式管理等要求 本文在对已有访问控制模型进行研究的基础上，分析了各种模型的优势及其不 足，并根据企业环境下访问控制的特点和需求将基于角色的访问控制( r o l e - b a s e d a c c e s s c o n t m | ，r b a c ) 与基于任务的访问控制( t a s k - b a s e d a c c e s s c o n t r o l ，t b a c ) 相结台，提出了一种分布式环境下基于角色与任务的访问控制模型t - a r b a c ( t a s k - a d m i n l s t r a t i v er b a c ) ，这种模型能较好地满足企业访；习控制的要求，具有 灵活性和通用性；同时，本文利用统一建模语言( u n i f i e dm o d e l i n gl a n g u a g e ，u m l ) 对t - a r b a c 模型进行了建模、分析和设计，在模型的可实现性上，引入单点登录 对其进行了验证，并取得了较好的效果 本文所提出的t - a r b a c 模型以角色与任务作为访问控制的主元素，使用户与 权限实现了逻辑分离该模型具有如下特点： 1 主动访问控制与被动访问控制相结合，既能处理属于业务流程的任务，又 能处理不属于业务流程的任务，提高了访问控制的灵活性； 2 对管理角色和管理权限进行了划分，较好地满足了企业的分布式管理要求， 减少了授权管理的复杂性； 3 对任务进行了类别划分，解决了继承中的私有权限问题。 硕士研究生隋韦韦( 计算机软件与理论) 指导教师魏长江教授 关键词：访问控制；r b a c ；硼a c ；t - a r b a c ；单点登录 r 目e a 比ho ur o l e & t a s k b a s e d a c c e s sc o n t r o lu n d e r e n t e r p r i s e 勘v i r o n m e n t a b s t r a c t t h eo $ c o n t r o li so n em e t h o dw h i c hc o n t r o i sa n df i m i t st h ca c c e s s - r i g h t sa n d a c c e s s - s c o p ev i ae n m cw a ye x p l i c i t l y u n d e rt h ee l e c t r o n i cc o m m e r c oe n v i r o n m e n t , i t r v o n eo ft h ck e ya p p a c h t os o l v et h ee n t e r p r i s ei n f o r m a t i o ns y s t e ms c c g l r i t y , a l s oi st h ek e yp o i n ta n dh o ts p o to fs t u d yi nt h en e l do fi n f o r m a t i o ns e c u d t y a t p r e s e n t , t h e r ea l em a n yk i n d so fa c c e s sc o n t r o lm o d e lp r o p o s e d b u ta l m o s ta nt h e p r e s e n tm o d e l s a l ec o n f i n e dt oc o r t s i nl i m i t a t i o n s , s u c ha sc a n n o ts a t i s f y i n ge n o u g h f r e q u e n tp o s i t i o nc h a n g e s i nt h em o d e r ne n t e r p r i s e ，m 0 1 ee n dm o f ec o m p l e xb u s i n e s s p r o c e s s , a s w e l la s d i s 曲u t i n g m a n a g e m e m e n d s o o i l o nt h eb a s i so ft h ep r i n ta c c e s sc o n u o lm o d e l st ob er e s c a r c h o d ，t h i st h e s i s a n a l y z e st h es u p e r i o d t l e sa n di t sl i m i t a t i o n so fe a c hk i n do fm o d e l , a n dc o m b i n e s r o l e _ b a s c da c c e s sc o n t r o l ( r b a ow i t ht a s k - b a s e d a c c e s s c o n t r o l ( t b a c ) a c c o r d i n g t o t h e c h a r a c t e ：l i s t i c a e n d t h e d e m a n d s o f a c c e s s c o n t r o l u n d e r t h ee n t e r p r i s e e n v i r o n m e n t , p r o p o s e sat a s k - a d m i n i s t r a t i v er o l eb a s e d a c c c s 8c o n u o i ( t - a r b a o m o d e lo nd i s t r m u t e de n t e r p r i s ee n v i r o n m e n t t h i sk i n do fr o o d e lm a s t i s 母t h c r e q u e s to f t h ee n t e r p r i s ea o c e s sc o n t r o lw e l l , i th a s t h ef l e x i b i l i t ya n dt h ev e g s a t l l i t y a t t h es a m et i m e t h i sa r t i c l eu s t h eu n i f i e dm o d e l i n gl a n g u a g et oc a r r yo nt h e m o d e l i n g , a n e l y s i sa n d d e s i g n f o r t - a r b a c w h e n d e s i g m n g t h e m o d e l , t h e m e t h o d o fs i n g l es i g no d ( s s o ) i si n t r o d u c e dt ov e 【i 印t h em o d e l , a n dab e “甜s i m u l a t i o n r e s u l ti so b t a i n e d t h ep r o p o s e dt - a r b a cm o d e li nt h i sp a p e rt a k e sr o l ea n dt a s ka gk e ye l e m e n t so f a c c e s sc o n t r o l ，r e a l i z 穗t h el 晒c a ls e p a r a t i o nb e t w e e nt h eu s 既a n dt h ep e r m i s s i o n t kf e a t u r e so f t h i sm o d e la f o l l o w s ： 1 c o m b i n i n gt h ei n i t i a t i v ea c c sc o n t r o lw i t ht h ep a s s i v ea c c c o n t r o l , b yd o i n g s on o to n l y 锄r a g et a s k sb e l o n g i n gt ot h eb u s i n e s sp r o c e s s , b u ta l s o 锄m a n a g e t h eo g l e sn o tb e l o n g i n gt ot h eb e s i n e 鹤p r o c o a t h e r e f o r et h ea e $ sc o n t r o lf l c m b i l 姆 i se n h a n c e d 2t a a k i n gc l a s s i f i c a t i o no fa d m i n i s t r a t i v er o l ea n dt h ea d m i n i s t r a t i v ep e r m i s s i o n , t h ed i s t r i b u t e dm a n a g e m e n tr e q u i r e m e n to ne n t e r p r i s ee n v h o n m e n ti ss a t i s f i e dw e l l a n d t h e c q m p l c x i t y o f a u t h o r i z a t i o n m a n a g e m e n t i s r e d u c e d 3 c l a s s i f y i n gt h et a s k sb yc a t e g o r y , t h ep r i v a t ep e r m i s s i o np r o b l e mi ss o l v e d p o s t g r a d u a t es t u d e n t ：w e l - w e is u l ( c o m p u t e rs o f t w a r e t h e o r y ) k e yw o r d s ：a c c e s sc o n t r o l ；r b a c ；t b a c ；t - a r b a c ；s s o 青岛) 学硕士学位论文 学位论文独创性声明 本人声明，所呈交的学位论文系车人在导师指导下独立完成的研究成果。文中 依法引用他人的成果，均已做出明确标注或得到许可。论文内容未包含法律意义上 已属于他人的任何形式的研究成果，也不包含本人己用于其他学位申请的论文或成 果。 本人如违反上述声明，愿意承担由此引发的一切责任和后果。 做作者虢新 日期：聊何，购 学位论文知识产权权属声明 本人在导师指导下所完成的学位论文及相关的职务作品，知识产权归属学校。 学校享有以任何方式发表、复制、公开阅览、借阅以及申请专利等权利。本人离校 后发表或使用学位论文或与该论文直接相关的学术论文或成果时，署名单位仍然为 青岛大学。 本学位论文属于： 保密口。在年解密后适用于本声明。 不保密日： ( 请在以上方框内打“”) 论文作者签名：母g 乖韦 导师签名； 日期：m 涔扣，蝈 日期：口7 年易月j 自 ( 本声明的版权归青岛大学所有，未经许可，任何单位及任何个人不得擅自使用) 第一章引言 1 1 研究背景和意义 第一章引言 近年来，随着网络技术的成熟和电子商务的迅速发展，信息系统安全成为企业 信息化过程中所要解决的首要问题之一企业的信息安全是指在存取、处理，传输 企业信息时，要保证信息数据的安全性、完整性和机密性；从系统应用角度来看一 企业内外用户是通过访问企业信息系统来完成对企业信息数据的存取和处理的，对 于不同类型的系统用户和角色，对应于信息系统中的信息需求不同，其访问权限也 不同。访问控制是准许或限制用户访问能力及范围的一种方法，可以允许或限制用 户对系统关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作所造成 的破坏1 1 1 因此，访问控制对系统的安全性极为重要，是解决企业信息安全的关键 方法之一 但随着企业规模的不断扩大，企业环境有如下两个重要特点： 1 1 企业人员岗位频繁变化，企业业务流程越来越复杂 在动态的企业环境中，企业组织结构不断调整，存在频繁的岗位整合和岗位细 化，因此，对于应用系统来说，用户的岗位和权限不是一威不变的，用户在不同的 岗位上所具有的权限要伴随岗位的变化而改变。另外，企业的业务流程越来越复杂 使得存储在系统中的敏感数据越来越多，这些敏感数据对不同的用户需要有不同的 保密级别。根据业务需要，用户在对不同的业务流程数据进行处理时，往往要求其 对数据的访问权限随着时间变化和流程变化而改变 企业在地域上是分布式的组织结构 企业规模的扩展使得企业需要在各地区设立子公司，在对企业信息系统进行管 理时，企业这种地域分布式的组织结构，使得对系统的管理难度和管理工作量都有 了大幅度增加，地域的分布式岿然要求管理上的分布式 企业环境以上两个特点，对访问控制提出了较高的要求，目前，针对企业访问 控制，已有初步的研究和成果比较有影响和实用的是基于角色的访问控制模型和 基于任务的访问控制模型。基于角色的访问控制r b a c 以角色作为主元素，并针对 管理人员定义了管理角色和管理权限，能较好地满足企业的分布式管理，但对权限 的控制是被动的用户所拥有的权限在用户访问系统期间，不会随着用户的访问过 程而主动改变，因此它不能处理动态的业务流程数据；基于任务的访问控制t b a c 以任务作为主元素，对信息对象的访问权限是随着任务执行的上下文环境而主动变 化的，因而t b a c 适合处理业务流程中有时效性和流动性的业务数据，但它不能灵 活处理如决策、查询、审计等不属于业务流程的信息数据，也不支持分布式的授权 1 青岛大学硕十学位论文 管理。因此，在电子商务环境下，如何采用一种高效、通用的访问控制机制来满足 企业信息系统的安全需求、并实现对信息系统的有效管理变得尤为重要。本文的研 究目的就在于针对企业组织结构和企业信息系统需求的分析，构建一个具有通用性、 灵活、安全、高效的企业访问控制模型，使得此模型能适应于各类不同企业的信息 系统。 开展对企业安全访问控制机制的研究具有重要的应用前景和理论价值，为企业 信息系统提供可靠的安全访问控制方法，可以有效防止用户对关键或敏感数据进行 非法或不合法操作所造成的破坏，给企业信息安全提供了保证。此外，灵活高效的 访问控制机制为用户提供了便利的访问控制平台。使得用户对信息系统的访问更灵 活、对信息对象的各种操作更高效。因此，电子商务环境下，构建具有通用性的企 业访问控制模型，对提高企业信息系统的安全性、控制用户对信息系统的有效访问， 都具有十分重要的意义。 1 2 国内外研究现状 访问控制技术是国际标准化组织玲o 【1 2 1 提出的五大安全服务之一，是保证信息 安全的常用技术。计算机系统的广泛应用，使得访问控制技术的研究一直是国内外 研究的热点 早在1 9 7 1 年，协p s 衄闭就提出了访问矩阵模型并将此模型成功地应用在操 作系统中；1 9 7 2 年，g r a h a m 和d t m l i n g l “1 对访问矩阵模型进行了改进，加入了其他 的规则；最终，由i i a 耐s 皿，r t 旺z o 和u l l m 蚰三人完善为种框架体系机构来为体 系提供保护。与此同时，c o w a y ，m a x w e u 和m o r g a r 三人在c o m c l lu n i v e m i t y 的 a s a p 项目中也使用丁安全矩阵作为对数据的访阃控制依据，并将访问矩阵标准化， 这是最初的自主访问控制( d i 涮蜘i 帆a f ya c c e s sc o n t r o l ，d a c ) 1 4 1 自主访问控钊 是在确认主体身份以及它们所属的组的基础上，控制主体的活动，实施用户权限管 理、访问属性( 读、写、执行) 管理等。在基于d a c 的系统中，主体的拥有者负责 设置访问权限，在u n i x 系统中被普遍采用。1 9 7 6 年d e n n i n s ! 等人借鉴美国安全 局在军事上使用的信息流模型，提出了格模型( l a t t i c em o d e l ) 理论通过给系统的 主体和客体分配不同的安全属性来决定主体是否允许访问客俸，这就是强制访问控 制( m a n d a t o r ya c c e s sc o n h o l ，m a c ) ，又称为基于格的访问控制( l a r i c e - b a s e d a c c sc o n t r o l ，l b a c ) 。在基于m a c 的系统中主体与客体的安全属性是由系统 强加的，用户无权将自己的访问权限外传，它非常注重保密性，主要应用于多层次 安全级别的军事系统中 1 9 9 2 年，美国国家标准与技术研究所( n i s t ) 的d a v i df e l r a i o l o 和r i c kl m f l 暑l 在综合前人研究的基础上，率先提出基于角色的访问控制( r o l eb a s e da c c e s s 2 第一章引言 c o n t r o l ，r b a c ) 模型框架，首次在用户和权限之间引入了角色的概念，使用户和 权限不再直接相关，角色作为二者的中介，但在当时角色并没有得到广泛的摊广和 应用。1 9 9 6 年。r a v is a n d h u 等人 1 9 1 提出了著名的r b a c 9 6 模型，格传统的r b a c 模型拆分成四种嵌套的模型井给出了形式化定义，成为以后r b a c 研究和应用中的 经典模型。1 9 9 7 年，他们进一步提出了a r b a c 9 7 ( a d m i n i s l r m j v er b a c 9 7 ， a r b a c 9 7 ) 模型l 硼，即r b a c 管理模型提供对r b a c 9 6 模型中的各元素进行管 理的策略实现了分布式管理。r a v is a n d h u 等人为基于角色的访问控制作出了重大 贡献，此后绝大多数r b a c 方面的研究都是咀这两个模型作为出发点 同时，t h o n l s 和r a v is a n d h u l 2 3 1 于1 9 9 7 年提出了基于任务的访问控制 ( t a s k - b a s e da c c e s sc o n t r o l ，t b a c ) 模型，用阻解决在执行过程中，各工作之间 可能因为并行处理相同资料所产生的问题t b a c 采用“面向任务”的观点，从任务 的角度建立安全模型和实现安全机制。 2 0 0 0 年，a i mg ，s a n d h t tkm y o a ghkp a r kj 等人1 4 2 1 将n a v a lr e s e a r c h i a b o r a t o 巧设计的工作流设计工具和g e o r g i a 大学实现的工作流系统以及g o r g e m a s o n 大学的信息安全实验室己经实现的u r a 9 7 结合起来，论证了将基于角色的访 问控制加到一个已有的基于w c b 的工作流系统中去的可行性，但是他们只是使用了 简单的r b a c 模型，没有讨论将r b a c 加到工作流中的安全工作流模型，也没有实 现动态职责分离和细化角色信息。 2 0 0 3 年，s c o n g o h * ，s e o g p a r k l 2 s 首次将r b a c 9 6 模型和t b a c 模型结合起来， 提出了角色与任务相结合的访问控制模型t a s k - r o l e - b a s e d 扯嗍c o n t r o lm o d e l ，以角 色和任务作为访问控制的主元素并给出了一系列控制规则 r b a c 是近几年在访问控制领域的研究热点，目前，国外r b a c 的研究机构主 要是美国国家标准与技术研究院n 1 s tfn a t i o n a li n s t i t u t e 。fs t a n d a r dt e d m o l o g y ) 和 g e o r g em a s o n 大学的信息安全技术实验室l i s t ( l a b o r a t o r yo fi n f o n m t i o ns e c u f i t y t e c h a o l o g y ) 。美国n 1 s t 主要进行r b a c 及其相关模型的标准化工作。2 0 0 1 年，m s t 公布了r b a c 的建议标准i 蜘，推进了r b a c 的进一步应用。2 ( 3 0 4 年4 月1 9 日，i q l s t 的r b a c 模型正式通过了美国国家标准局国际信息技术标准委员会a n s i i n c r r s ( a m e r k n a t i o n a ls t a n d a r d si n s t i t u t e , i n t e r n a t i o n a l c o m m i t t e ef o ri n f o t m a t i o a t e d m o l o g ys t a 玎d 蛐的标准制定工作而成为一项国家标准a n s ii n c i t s 3 5 9 - 2 0 0 4 i 1 7 蜘。 国内相关人员对访问控制的研究主要是针对r b a c 模型扩展和应用方面进行 的。钟华、冯玉琳等人1 1 0 l 于2 0 0 0 年提出了扩充角色层次关系( e x t e n d e dh i e r a r c h y r b a c ，e h r b a c ) 模型，对角色之闻的层次关系进行了扩充定义了角色的公有 权限和私有权限，引入了一般继承和扩展继承机制，形成了一个能描述复杂角色层 3 青岛大学硕士学能论文 次关系的访问控制模型；聂伯敏、熊桂喜1 1 1 1 于2 0 0 2 年提出了认证访问控制c - r b a c ( c e r t i f i c a t er b a c ) 模型，将证书引入了基于角色的访问控制中，把身份认证和访 问控制通过证书有机结合在起，提高了分布式系统的安全性能：俞诗鹏、林作铨 等人刚于2 0 0 3 年提出了多维角色访问控制( m u l l i - d i m c n s i o nr b a c ，m d r b a c ) 模型，将角色集划分维( 称为虚拟角色维) ，定义每一维上的虚拟角色，各个维之 间的虚拟角色互不相交。通过对角色划分维，使得角色数量极大的减少，更方便、 有效的实现了角色管理和权限继承。谢东文，刘民等人口l 于2 0 0 5 年对企业信息系统 中基于策略的访问控制进行了研究，提出了一种具有通用性和良好可扩展性的实现 方案；同时，孙永、王熊1 1 4 j 也于2 0 0 5 年提出了域增强的访问控制( d o m a i ne x t e n d e d r b a c ，d e - r b a c ) 模型，在r b a c 9 6 模型的基础上扩展了域和客体类的概念，使 其更适合在大型分层管理系统中应用，减少了角色的定义和权限的分配。 目前，已有不少对信息系统访问控制的实现方案，大多是基于b s 结构和w 曲 环境的。但是在对r b a c 的研究中还没有一个针对企业特点的权限配置的通用 框架。企业有自身的特殊性，企业中的地域分布式、访问用户众多、信息系统类型 多样以及业务流程复杂等特点，使得企业环境下的访问控制更为复杂。因此，如何 构建一个具有通用性、灵活性的、适合企业环境的访问控制构架，满足企业访问控 制的需求，是一个亟待解决的问题，对企业的发展有着至关重要的作用。 1 3 课题的研究内容 如何实现企业环境下对信息资源对象安全、有效的访问是本文研究的重点。因 此，本文的主要研究内容是：对基于角色的访问控制和基于任务的访问控制两种模 型进行了深入分析，研究了模型的各自特点及应用场合；对企业环境下的访问控制 需求及企业组织结构进行了研究：针对企业环境的特点。将两种访问控制模型结合 起来，提出了适合企业信息系统的访问控制解决方案；并对新模型进行了分析、设 计与实现，并引入单点登录，为企业访问控制系统提供了统一入口，本文的主要刨 新点如下： t ) 将a r b a c 9 7 模型和t b a c 模型相结合，以角色和任务作为用户和权限的 中介，管理角色的划分实现了真正意义上的分布式管理；任务的分类较好 的满足了企业信息系统对不同种类信息对象的处理需求，并解决了继承中 的私有权限问题； 2 ) 利用统一建模语言u m l 对所构建的访问控制模型进行建模、分析和设计， 分别建立了系统的静态模型和动卷模型，为访问控制模型的实现提供了参 考依据t 3 ) 建立了单点登录的实现方案，为企业访问控制系统提供了统一的用户验证 4 第一章引言 入口，给用户访问和系统管理带来了极大的便利。 1 4 本文的组织结构 本文的组织结构如下： 第一章，引言部分，首先介绍了本课题的研究背景及意义，其次阐述了国内外 对访问控制的研究历程，并说明了本课题的研究内容及主要创新点； 第二章，是对访问控制模型的分析研究，包括传统访问控制模型、摹于角色访 问控制模型和基于任务访问控制模型，详细介绍了各种访问控制模型的特点，并对 四种模型进行了比较，分析了各自的优缺点及应用背景，为后文对模型的选取奠定 了基础； 第三章，是企业环境下的访问控制模型的构建过程，首先分析研究了企业环境 下访问控制需求的特点，然后结合已有模型提出了角色与任务相结合的企业分布 式访问控制模型t - a r b a c 并用统一建模语言u m l 对模型的静态特征和动态特征 进行了构建； 第四章。是企业访问控制模型t - a r b a c 的设计与实现，首先建立了模型的部 署视图，其次详细介绍了单点登录的实现方法，并依据模型对系统的主要功能模块 进行了划分，最后验证了模型的可实现性，并给出了数据库设计与人机界面； 第五章，总结与展望对本论文的工作进行了回顾与总结并对进一步的研究 进行了展望。 5 青岛 学硕士学位论文 第二章访问控制模型分析 本章针对访问控制的发展历程，主要对自主访问控制、强制访问控制、基于角 色的访问控制和基于任务的访问控制四种典型模型进行了分析和研究，并对各种模 型的优缺点进行了分析和比较指出了其各自的应用环境。 2 1 传统的访问控制模型 传统的访问控制模型包括两种：自主型访问控制( d i s c r e t i o n a r y a c c e s s c o n t r o l ， d a c ) 和强制型访问控制( m a n d a t o r y a ( m s sc o n t r o l 。m a c ) 。 2 1 1 自主访问控制 自主访问控制是根据主体或主体所属的组来限制主体对客体的访问权限，是一 种最为普遍的访问控制手段。自主访问控制的主体可以按自己的意愿决定哪些用户 可以访问他的资源将他所拥有的权限直接或间接地传递给其他主体，亦即主体有 自主的决定权，一个主体可以有选择地与其它主体共享他的资源，主体全权掌握客 体的访问权限，故称为自主型。在d a c 系统中，一般利用访问控制矩阵或访问控制 列表来实现访问权限的控制1 2 1 访问控制矩阵( a c c e s sc o n t r o lm a t r i x ，a c m ) 是一 种通过矩阵形式表示访问控制权限的方法，实现如表2 1 所示。 衰2 1 访问控制矩阵 客体 主体 客体l客体2客体3 主体i写读 主体2 读，写 主体3读读，写 表中每一行代表一个主体，每一列代表一个客体，矩阵中行列的交叉元素代表 某主体对某客体的访问权限。在表2 1 中，主体3 对客体2 有“读极限t 对客体3 既有“读”权限，又有“写”权限；但对客体1 没有任何访问权限。在实际应用中，当 主体、客体数量很多时，矩阵中的空元素将造成存储空间的极大浪费。 访问控制表( a c c e s sc o n t r o li j s l a c l ) 是d a c 系统中通常采用的另一种安全 机制。a c l 是以客体为中心建立的访问权限表，对每个客体单独指定对其有访闯权 限的主体，还可以将有相同权限的主体分组，授予组的访问权限。如针对客体 6 第二章访问控制模型分析 o b j e c t l ，用户u s e r l 有“读”权限，用户u s e r 2 有“读，写阪限，组d e p t 中的所有成员 都有“写”权限，a c l 中定义如下： o b j e c t l ：( u s e r l r e a d ) t ( u s e r 2 ， r e a d ，w r i t e - ) r ( d e p t ， w r i i e ) 。 a c l 表述直观，易于理解，可以较方便的查询对某一特定资源拥有访问权限的 所有用户。但对于用户数量多，客体对象复杂的信息系统，当组织内的人员发生人 事变动( 升迁、换岗、招聘、离职等) 时，管理员需要修改用户对所有资源的访问 权限这使得访问控制的授权管理变得十分复杂，并且容易出错，造成权限的失控 状态 在自主访问控制中，访问控制是基于主体的主体可以自主地把自己所拥有客 体的访问权限授予其它主体或者从其它主体收回所授予的权限这使得访问控制具 有较高的灵活性，d a c 是多用户环境下常用的一种访问控制技术在u n i x 类操作 系统中被普遍采用 ， d a c 的自主性给用户提供了灵活的访问控制方式，但同时带来的是系统的安全 性相对较低，信息在传递的过程中可能会被修改或破坏。用户可以自由地将自己的+ 访问权限授予他人，系统对此无法控制。如用户a 对信息资源r 具有读和写的访河 权限，用户b 对信息资源r 只有读的权限。用户a 将自己的访问权限传递给用户b ， 从而使得用户b 也具备了对r 的写权限。访问权限的传递容易产生安全漏洞。造成 信息数据的泄漏或错误修改，这样以来，系统的安全性不能得到充分的保证 2 1 2 强制访问控制 强制访问控制是基于主体和客体的安全标记来实现的一种访问控制策略嘲在 m a c 中，系统给主体和客体都分配了不同的安全属性，通过比较主体和客体的安全 属性来决定主体是否可以访问客体。安全属性是系统强加给访问主体和客体的，不 能被随意改变，只能由管理员根据限定的规则进行管理和实施。 在m a c 中，系统预先定义主体和客体的安全标记，定义了主体和客体的安全 属性后，用户的访问必须遵守安全级别的设定和有关访问权限的设定。主体的安全 标记表示用户的可信任级别；客体的安全标记表示信息资源的敏感程度一般将安 全标记分为四个级别：绝密级t s ( t o ps e c r e t ) 、秘密级s ( s e c t ) 、机密级c ( c o n f i d e n t i a l ) 和无密级u ( u n c l a s s i f i e d ) 其级别顺序为l1 s ) s c u 。因此， 相应的主体对客体的访问方式有四种t 向下读( r e a dd o w n ) ：主体安全级别高于客件信息资源的安全级别时允许 的读操作： 向上读( r e a du p ) t 主体安全级别低于客体信息资源的安全级别时允许的 读操作 7 青岛大学硬士学位论文 向下写( w r i t e d o w n ) ：主体安全级别高于客体信息资源的安全级别时允许 执行的动作或是写操作： 向上写( w r i t eu p ) ；主体安全级别低于客体信息资源的安全级别时允许执 行的动作或是写操作。 这种访问控制策略保证了信息的单向流动“上写一下读”方式保证了信息数据 的安全性，而“上读一下写”方式则保证了信息数据的完整性。在m a c 中，常用的 经典模型是b l p ( b e l l l a p a d u l a ) 模型【1 5 1 和b i b a 模型l “。 在b l p 模型中，采取的是“上写下读”方式，只允许。向下读和。向上写”，即： 只有当主体的安全级别高于或等于客体的安全级别，主体对客体才有“读”权限；只 有当主体的安全级别低于或等于客体的安全级别，主体对客体才有“写一权限。这样 以来，系统中的信息只能在同一级别或向更高级别流动，有效地防止了机密信息向 下级泄露。但b l p 模型没有采取有效的措施来制约对信息的非授权修改，因此使非 法、越权篡改成为可能。 b i b a 模型与b l p 模型完全相反，采取的是“上读下写，方式。它模仿b l p 模 型的信息保密性级别，定义了信息完整性级别。在b i b a 模型中，禁止“向下读”和。向 上写”，也就是说用户只能向比自己安全级别低的客体写入信息，从而防止非法用户 刨建安全级别高的客体信息，避免越权、篡改等行为的产生有效地保证了数据的 完整性。 强制访问控制通过控制信息的单向流动来保证信息数据的安全性和完整性，对 主体和客体进行了很强的等级划分只有符合安全级别要求的用户才可以操作数据， 从而提供了更高级别的安全性。这种严格的权限管理和高度的保密特性使得强制访 问控制在军事领域得到了广泛的应用。但m a c 的保密性使得其在授权方面缺乏灵 活性，有时会限制高密级用户向非敏感客体写数据的合理请求，从而降低了系统的 可用性此外，访问级别的划分不够细致，缺乏同级别间的控制机制。因此，m a c 系统中高保密性的优点同时带来了低灵活性的缺陷。 2 2 基于角色的访问控制 基于角色的访问控制( r o l e - b a s e da c c e s sc o n t r o l ，r b a c ) 是在九十年代后引 起了广泛的关注，其基本思想是：用户和权限通过角色相关联对用户的授权通过 赋予用户相应的角色来实现。角色由系统管理员根据组织或任务中的工作职能创建， 用户根据工作职责和资格被分配给相应的角色从而获得相应的权限。在r b a c 中， 权限管理围绕角色而进行，定义角色后，给用户分配角色和取消用户角色，相应的 就间接完成了给用户授权和取消用户权限。当用户的职责发生变化时。只需要改变 用户的角色，从一个角色转移到另一个角色，就可以改变用户的权限，而不必对用 8 第二章访问控制模型分析 户重新进行权限配置；当系统的组织机构发生功能变化时，只需要对角色进行重新 授权或取消某些权限，就可以适应新的功能需求，而不必针对每一个用户的权限重 新进行配置，极大地减少了授权管理的复杂性。 在基于角色的访问控制中角色作为访问控制策略的基本语义实体，与用户之 问是多对多的关系，一个用户可以同时担任多个角色，一个角色也可以同时分配给 多个用户。角色在某种意义上代表了一个用户集合，因此进行授权时，这种对整体 的授权比起针对个体的授权来说，可操作性和可管理性要强得多，因为角色的变动 远远低于个体的变动。在此需要提及的是，角色与用户组并不等同，用户组单纯只 是用户的集合而角色既代表用户的集合又代表权限的集合i t 。 基于角色的访问控制模型由于引入了角色的概念，授权变得简单而灵活。并且， 角色之间可以实现继承还存在一些限制、最小权限等规则来规范角色关系，这些 特点使得对r b a c 模型的研究越来越受到广泛关注。在r b a c 模型的理论研究中， 最著名的是r b a c 9 6 模型和其管理模型a r b a c 9 7 模型。由于篇幅所限，下文中并 没有详细分析两种模型的形式化定义，只重点阐述了模型的本质所在。 r b a c 9 6 模型_ f t g j 是由四个层次模型组成，分别为r b a ( 3 0 、r b a c l 、r b a c 2g l r b a c 3 ，各模型问的关系如图2 1 所示 一 r b a c lr b a c 2 一 田2 i ir 层次模型关系 其中： r b a c 0 是最基本的模型，即核心r b a c ，它规定了r b a c 系统的最小需求，只 包含了用户、角色、权限、会话四个实体元素； r b a c l 在r b a c 0 的基础上增加了角色层次，即角色继承关系； r b a c 2 在r b a c 0 的基础上增加了限制，约束； r b a c 3 包含了r b a c l 和r b a c 2 ，也包吉r b a c 0 ，包含了所有的模型元素 下面是完整的r b a c 9 6 模型，如图2 2 所示。 9 青岛人学硕士学位论文 角色层次g t l 模型中的基本概念如下； 用户( u s e r ，u ) ：与系统交互的主体，一般情况下指人，也可为智能程序。 角色( r o l e ，r ) ：是一个组织机构或任务环境中的工作职责，代表特定的 权限，反映用户的职责。角色与用户之间、权限之阃都是多对多的关系。 权限( p e r m i s s i o n ，p ) ：表示用户对客体资源进行访问的操作许可，可细化 为操作和对象。对象是客体资源，操作是访问方式如对文件( 客俸) 进 行读、写的操作( 访问方式) 。 会话( s e s s i o n s ) ：表示用户对角色的激活过程，是一个动态概念一次 会话代表用户与系统交互的一个过程，用户与会话之问是一对多的关系 用户只有通过会话激活角色，才能获得角色所对应的权限。一次会话可以 同时激活多个角色。 角色层次( r o l eh i e r a r c h i e s ，r h ) ：反映了角色的继承关系。角色层次可以 用角色树来表示，上层角色可以继承下层角色的权限。在r b a c 9 6 模型中， 继承为全部继承，上层角色继承下层角色的所有权限。 用户角色指派( u s e r a s s i g n m e n t ，u a ) ；给用户分配角色的过程。 角色权限指派( p e r m i s s i o n a s s i g n m e n t ，p a ) ：给角色分配权限的过程。 限制( c o n s t r a i n t s ，c ) 是整个模型上的一系列约束条件，是个抽象的概念。 限制有很多种，典型的限制主要有静态职责分离、动态职责分离、角色互 斥、角色基数限制等。一一介绍如下。 静态职责分离( s t a t i c s e p a r a t i o n o f d u t y ，s s d ) ：在用户角色指派阶段的限 制，与角色激活无关。 l o 第二章访问控制模型分析 动态职责分离( d y n a m i cs e p a r a t i o no fd u t y d s d ) ：在角色激活阶段的限 制。， 角色互斥( m u t u a l l ye x c l u s i v er o l e s ) ：根据职责分离，分为静态角色互斥和 动态角色互斥静态角色互斥是指的在用户角色指派阶段，不能赋予同一 个用户的两个角色就为静态互斥角色：动态角色互斥是指在角色激活阶段， 一个用户不能同时激活的两个角色就为动态互斥角色。 角色基数限制( r o l ec a r d i n a l i t yc o n s t r a i n t s ) ：一个用户可以被赋予的最大 角色数或一个角色可以被分配的最大用户数。根据职责分离，同样有静态 基数限制和动态基数限制 r b a c 9 6 模型中的角色权限的配置过程如下：首先由系统管理员根据系统功能 定义权限然后根据组织或任务中的工作职能创建角色，定义角色继承关系( 角色 层次) ，同时将权限赋予角色，使得角色有实际的意义。在定义好系统的角色和权限 后，根据用户的工作职责和资格给用户分配角色，这样，用户就获得了相应的权限。 管理员在定义和分配角色时，要根据系统实际需求，满足各种限制条件。当用户在 进行访问信息系统时，首先要启动会话来激活角色，激活角色后从而获得权限对系 统进行操作；当用户要离开系统时，会话关闭从而完成与系统的一次交互。 随着信息技术的发展，信息系统的规模越来越大人员与角色数量众多，权限 定义复杂，单一的系统管理员来管理整个访问控制系统是不现实的。a r b a c 9 7 模 型就是基于此背景被提出的，它是r b a c 9 6 的管理模型，实现了角色的分布式管理。 2 乏2a r b a c 9 7 模型 a r b a c 9 7 ( a d m er b a c 9 7 ) 模型i 划中引入了管理角色和管理权限。如 图2 3 所示 1 1 青岛大学硕士学位论文 角色层次r h 管理员角色层次 图 a r b a c 9 7 模型 管理角色( a d m i n i s t r a t i v er o l e ，a r ) 即管理员所具有的角色，他负责对用户进 行角色和权限的配置，相应地，管理角色所拥有的权限即是管理权限( a d m i n i s t r a t i v e p e r m i s s i o n ，a p ) 。在集中式访问控制中，管理角色只由一个系统管理员来充当：而 在分布式访问控制中，可以通过制定多个地区管理员对系统进行分布式管理，每个 管理员负责一个独立的管理地区，这正是a r b a c 9 7 模型的典型特征。在a r b a c 9 7 模型中，普通角色与管理角色均可以定义继承蓑系，但继承为全部继承，即父角色 拥有子角色的所有权限，并且继承只限于地区内部继承，不同地区的角色之间不能 定义继承关系。a r b a c 9 7 模型进行权限配置的实施过