（计算机应用技术专业论文）基于rbac的电子文档保护系统的研究与实现.pdf

j，il，lil，tjf 一 ad i s s e r t a t i o ns u b m i t t e dt og u a n g d o n gu n i v e r s i f o rt h ed e g r e eo fm a s t e ro fe n g i n e e r i n g r e s e a r c ha n di m p l e m e n t a t i o no fe l e c t r o n i cd o c u m e n t p r o t e c t i o ns y s t e mb a s e do nr b a c m a s t e rc a n d i d a t e ：k eg a n g s u p e r v i s o r ：p r o f l i n gj i e m a y2 0 1 0 f a c u l t yo fc o m p u t e r g u a n g d o n gu n i v e r s i t yo ft e c h n o l o g y g u a n g z h o u ，g u a n g d o n g ，p r c h i n a ，5 1 0 0 9 0 在现代信 政府部门的政 纸、产品配方 位希望相关人员能很方便地查阅这些文档，另一方面又担心这些文档泄密，希望能 有效的控制这些文档的传播和使用。而普通电子文档的易传播性导致这些信息很容 易被窃取，从而使电子文档保护成为政府部门和企事业单位为之头疼的问题。随着 信息化程度的深入，这个问题越发突出。 目前常用电子文档保护系统都或多或少存在着缺陷，本论文旨在设计和实现一 个基于r b a c 的电子文档保护系统，它能提供重要文档内容的保护、管理、身份鉴 定和访问控制机制，能够对重要文档提供安全的保护作用。对用户常用电子文档进 行安全防护，使用户按照相应的权限来访问电子文档。 本论文在分析电子文档保护技术研究现状的基础上，首先对访问控制模型做了 深入的研究，详细分析了n i s tr b a c 参考模型在电子文档保护中的不足，并在此 基础上提出了基于r b a c 的电子文档保护模型，给出了这个模型的形式化定义。 然后，提出了基于r b a c 的电子文档保护系统的设计方案，并从需求分析、系 统体系结构、系统模块结构等方面详细讨论了电子文档保护系统的设计方法，对实 现电子文档保护系统的相关技术进行了介绍。 接着，实现了基于r b a c 的电子文档保护系统，并详细介绍了客户端和策略中 心服务器端的实现过程。 最后，搭建测试环境，对电子文档保护系统分别进行功能、性能和稳定性测试。 测试结果表明，电子文档保护系统能够满足实际应用的需求，能够防止用户非法访 问重要电子文档。 本论文的创新之处是： 1 提出了基于r b a c 的电子文档保护模型，对n i s tr b a c 参考模型进行了改 进，引入了安全等级和客体角色的概念，提出了对主体和角色混合授权的方法。 2 为不同安全级别的用户、电子文档提供不同的授权，实现对电子文档细粒度 的管理。采用基于用户身份的认证技术和基于插件的文档内容的访问控制技术，根 广东工业大学工学硕士学位论文 据用户的权限来实现对受保护的电子文档的阅读、打印、编辑、保存明文、阅读时 间、阅读次数的控制。 关键词：电子文档；r b a c ；文件过滤驱动；o f f i c e 插件；s o c k e t 通信 i l d o c u m e n t ，m i n u t eo fm e e t i n g ，c l a s s i f i e dd o c u m e n ti nt h eg o v e r n m e n td e p a r t m e n t ，o rt h e d e v e l o p m e n tp l a n n i n g ，d e s i g nd r a w i n g ，p r o d u c tf o r m u l a , s o f t w a r es o u r c ec o d ei nt h e e n t e r p r i s ea n di n s t i t u t i o n ，i si nt h ei nt h ef o r mo fe l e c t r o n i cd o c u m e n t s w h i l et h e g o v e r n m e n td e p a r t m e n ta n dt h ee n t e r p r i s ea n di n s t i t u t i o nh o p e st h er e l e v a n tp e r s o n e a s i l ya c c e s st h e s ed o c u m e n t s ，i ta l s oa f r a i d t h a tl e a k st h e s ed o c u m e n t s ，h o p i n gt o e f f e c t i v e l yc o n t r o lt h es p r e a da n du s eo ft h e s ed o c u m e n t s t h eg e n e r a ls p r e a do f e l e c t r o n i cd o c u m e n t se a s i l yl e a dt os u c hi n f o r m a t i o nc a nb es t o l e n ，s ot h a tt h ep r o t e c t i o n o ft h ee l e c t r o n i cd o c u m e n ti sap r o b l e mt ot h eg o v e r n m e n td e p a r t m e n ta n dt h ee n t e r p r i s e a n di n s t i t u t i o n a st h ed e v e l o p m e n to ft h ei n f o r m a t i o n ，t h i si s s u em o r ep r o m i n e n t n o wt h ee l e c t r o n i cd o c u m e n tp r o t e c t i o ns y s t e mt h a to f t e nu s e da r em o r eo rl e s s f l a w e d ，t h ep a p e ra i m st od e s i g na n di m p l e m e n tae l e c t r o n i cd o c u m e n tp r o t e c t i o ns y s t e m b a s e do nr b a c ，w h i c hc o u l dp r o v i d et h ep r o t e c t i o nm e a s u r e st ot h ee l e c t r o n i c d o c u m e n t sf r o mm a n a g e m e n t ，i d e n t i t ya u t h e n t i c a t i o na n da c c e s sc o n t r o l ，c a np r o t e c t et h e c o n f i d e n t i a le l e c t r o n i cd o c u m e n t s i tp r o v i d e st h es e c u r i t yp r o t e c t i o nt ot h ec o m m o n e l e c t r o n i cd o c u m e n t s ，a n du s e r sc a na c c e s se l e c t r o n i cd o c u m e n t sa c c o r d i n gt ot h e i r p e r m i s s i o n f i r s t ，t h i sp a p e rd o e sa ni n d e p t hr e s e a r c ht ot h ea c c e s sc o n t r o lm o d e lb a s eo n a n a l y s i so ft h es t a t u so f e l e c t r o n i cd o c u m e n tp r o t e c t i o nt e c h n o l o g y ，a n a l y z e si nd e t a i lt h e s h o r t c o m i n g so ft h en i s tr b a cr e f e r e n c em o d e li nt h ee l e c t r o n i cd o c u m e n tp r o t e c t i o n a n dp r o p o s e sr b a c b a s e de l e c t r o n i cd o c u m e n tp r o t e c t i o nm o d e la n dg i v e st h ef o r m a l d e f i n i t i o no ft h i sm o d e l s e c o n d ，p r o p o s e st h ed e s i g np l a no ft h ee l e c t r o n i cd o c u m e n tp r o t e c t i o ns y s t e m b a s e do nr b a c ，a n dd i s c u s s e si nd e t a i lt h ed e s i g nm e a n so fe l e c t r o n i cd o c u m e n t p r o t e c t i o ns y s t e mf r o mt h en e e d sa n a l y s i s ，s y s t e ma r c h i t e c t u r e ，s y s t e mm o d u l e s w h i l e d e s c r i b e st h er e l e v a n tt e c h n o l o g yt h a ti m p l e m e n t e st h ee l e c t r o n i cd o c u m e n tp r o t e c t i o n i i i 广东工业大学硕士学位论文 s y s t e m t h i r d ，r e a l i z e st h ee l e c t r o n i cd o c u m e n tp r o t e c t i o ns y s t e mb a s e do nr b a ca n d d e s c r i b e si nd e t a i l st h ei m p l e m e n t a t i o np r o c e s so ft h ec l i e n ts i d ea n dp o l i c yc e n t e rs e r v e r s i d e f i n a l l y , s e t su pt h et e s te n v i r o n m e n t sa n dt e s t e st h ee l e c t r o n i cd o c u m e n tp r o t e c t i o n s y s t e m sf u n c t i o n a l ，p e r f o r m a n c e ，s t a b i l i t y t h er e s u l t ss h o wt h a tt h ee l e c t r o n i cd o c u m e n t p r o t e c t i o ns y s t e mc a l lm e e tt h en e e d so fp r a c t i c a la p p l i c a t i o n ，t op r e v e n tu s e r sf r o m u n a u t h o r i z e da c c e s st oi m p o r t a n te l e c t r o n i cd o c u m e n t s t h ei n n o v a t i o n so ft h i sp a p e ra r ea sf o l l o w ： a t h i sp a p e r p r o p o s e st h ee l e c t r o n i cd o c u m e n tp r o t e c t i o nm o d e lb a s e do nr b a c ， i m p r o v e st h en i s tr b a cr e f e r e n c em o d e ，i n t r o d u c e st h ec o n c e p to ft h es e c u r i t yc l a s s a n dt h eo b je c tr o l e ，a n dp r e s e n t e st h ep r i n c i p a lt h a ta u t h o r z e st h eu s e ra n dr o l e b t h i sp a p e rp r o v i d e sd i f f e r e n ta u t h o r i z a t i o nt ot h eu s e r so fd i f f e r e n ts e c u r i t yc l a s s a n dt h ee l e c t r o n i cd o c u m e n to fd i f f e r e n ts e c u r i t yc l a s s ，r e a l i z e st h ef i n e g r a i n e d m a n a g e m e n tt ot h ee l e c t r o n i cd o c u m e n t s a d o p t et h ei d e n t i t ya u t h e n t i c a t i o nb a s e do n u s e rt e c h n o l o g ya n dt h ea c c e s sc o n t r o lb a s e do na d d i nt e c h n o l o g y , a c c o r d i n gt ot h e u s e r sa u t h o r i t yt or e a l i z ec o n t r o lt h ep r o t e c t e de l e c t r o n i cd o c u m e n t sf r o m r e a d ，p r i n t ， e d i t ，r e a dt i m e ，r e a dd e g r e e k e y w o r d s ：e l e c t r o n i cd o c u m e n t ，r b a c ，f i l es y s t e mf i l t e rd r i v e r , o f f i c ea d d i n ， s o c k e tc o m m u n i c a t i o n i v 1 1 研究背景及意义1 1 2 电子文档保护技术研究现状2 1 2 1 当前电子文档保护的主要技术2 1 2 2 当前研究存在的问题3 1 3 本文的研究工作3 1 4 本文的组织结构4 第二章基于r b a c 的电子文档保护模型研究5 2 1 访问控制模型5 2 2n i s tr b a c 参考模型的概述一6 2 3n i s tr b a c 参考模型在电子文档保护中的不足一9 2 4 基于r b a c 的电子文档保护模型9 2 4 1 电子文档保护模型的基本思想1 0 2 4 2 电子文档保护模型的形式化定义1 1 2 5 本章小结一1 2 第三章电子文档保护系统的相关技术1 3 3 1w i n d o w s 文件系统过滤驱动技术1 3 3 1 1 文件系统驱动的工作原理1 3 3 1 2 文件系统过滤驱动工作原理1 6 3 1 3 文件系统过滤驱动设计方法1 6 3 2o f f i c e 二次开发技术1 8 3 2 1o f f i c e 开发技术概述1 8 3 2 2c o m 技术简介1 9 3 2 3o f f i c e 对象模型2 1 3 3s o c k e t 通信技术2 4 v 广东工业大学硕士学位论文 3 3 1s o c k e t 概述2 4 3 3 2 数据报套接字2 5 3 3 3 流式套接字：。2 6 3 4 本章小结2 7 第四章基于r b a c 的电子文档保护系统的设计2 8 4 1 需求分析2 8 4 2 系统的体系结构2 9 4 3 系统的模块结构3 0 4 3 1 客户端主要模块及功能3 1 4 3 2 安全文档服务器的主要模块及功能3 2 4 3 3 控制台的主要模块及功能3 3 4 3 4 策略中心服务器的主要模块及功能3 3 4 4 本章小结3 4 第五章基于r b a c 的电子文档保护系统的实现3 5 5 1 客户端的实现3 5 5 1 1 文档插件模块的实现3 5 5 1 2 文档加解密模块的实现4 0 5 1 3 安全通信模块的实现4 7 5 2 策略中心服务器的实现5 3 5 2 1 访问控制策略数据库的设计5 3 5 2 2 密钥数据库的设计5 6 5 2 3 日志数据库的设计5 7 5 3 系统测试5 8 5 3 1 测试环境5 8 5 3 2 测试过程5 9 5 3 2 测试结果分析6 0 5 4 本章小结6 0 总结与展望6 1 工作总结一6 1 工作展望6 1 v l 参考文献 攻读硕士学 独创性声明 致谢 v i i 广东工业大学硕士学位论文 c o n t e n t s c h i n e s ea b s t r a c t ：i e n g l i s ha b s t r a c t i i i c h a p t e r1 p r e f a c e 1 1 1b a c k g r o u n da n ds i g n i f i c a n c eo fr e s e a r c h 1 1 2s i t u a t i o no fe l e c t r o n i cd o c u m e n tp r o t e c t i o nt e c h n o l o g yr e s e a r c h 2 1 2 1t h em a i nt e c h n i q u e s 2 1 2 2c u r r e n tr e s e a r c hp r o b l e m s 3 1 3t a r g e t so ft h i sp a p e r 3 1 4o r g a n i z a t i o no ft h i sp a p e r 4 c h a p t e r2 t h ee l e c t r o n i cd o c u m e n tp r o t e c t i o nm o d e l 5 ：! 1a c c e s sc o n t r o lm o d e l 5 2 2n i s tr b a cr e f e r e n c em o d e lo v e r v i e w 6 2 3n i s ti m a cr e f e r e n c em o d e l sl i m i t a t i o n 9 2 4t h ee l e c t r o n i cd o c u m e n tp r o t e c t i o nm o d e lb a s e do nr b a c 9 2 4 1t h eb a s i ci d e ao fe l e c t r o n i cd o c u m e n tp r o t e c t i o nm o d e l 1o 2 4 2t h ef o r m a ld e f i n i t i o no ft h em o d e l 1l 2 5s u m m a r i z a t i o n 1 ：! c h a p t e r3 t h er e l a t e dt e c h n o l o g i e s 13 3 1w i n d o w sf i l es y s t e mf i l t e rd r i v e rt e c h n o l o g y 13 3 1 1f i l es y s t e md r i v e rw o r k s 13 3 1 2f i l es y s t e mf i l t e rd r i v e rw o r k s 1 6 3 1 3f i l es y s t e mf i l t e rd r i v e rd e s i g n 16 3 2s e c o n d a r yd e v e l o p m e n to f f i c e l8 3 2 1o f f i c ed e v e l o p m e n tt e c h n o l o g yo v e r v i e w 18 3 2 2c o mt e c h n i c a lo v e r v i e w 19 3 2 3o f f i c eo b j e c tm o d e l 2 1 3 3s o c k e tc o m m u n i c a t i o nt e c h n o l o g y 2 4 v u i 4 2s y s t e ma r c h i t e c t u r e ：1 9 4 3s y s t e mm o d u l es t r u c t u r e 3 0 4 3 1m a i nm o d u l e sa n df u n c t i o n so ft h ec l i e n t 3l 4 3 2m a i nm o d u l e sa n df u n c t i o n so ft h es e c u r ed o c u m e n ts e r v e r 3 2 4 3 3m a i nm o d u l e sa n df u n c t i o n so f t h ec o n s o l e 3 3 4 3 4m a i nm o d u l e sa n df u n c t i o n so ft h ec e n t r a lp o l i c ys e r v e r 3 3 4 4s u m m a r i z a t i o n 3 4 c h a p t e r5 t h ei m p l e m e n t i o no fe l e c t r o n i cd o c u m e n tp r o t e c t i o ns y s t e m 3 5 5 1t h ei m p l e m e n t a t i o no f t h ec l i e n t 3 5 5 1 1i m p l e m e n t a t i o no ft h ed o c u m e n ta d d - i nm o d u l e 3 5 5 1 2i m p l e m e n t a t i o no ft h ee n c r y p t i o na n dd e c r y p t i o nm o d u l e 4 0 5 1 3i m p l e m e n t a t i o no fs e c u r ec o m m u n i c a t i o nm o d u l e 4 7 5 2t h ei m p l e m e n t a t i o no f t h ec e n t r a lp o l i c ys e r v e r 5 3 5 2 1d e s i g no ft h ea c c e s sc o n t r o lp o l i c yd a t a b a s e 5 3 5 2 2d e s i g no ft h ek e yd a t a b a s e 5 6 5 2 3d e s i g no ft h el o gd a t a b a s e 5 7 1 ；3s y s t e mt e s t ! ；8 5 3 1t e s te n v i r o n m e n t 5 8 5 3 2t e s tp r o c e d u r e 5 9 5 3 2r e s u l t sa n a l y s i s 6 0 ! ；4s u m m a r i z a t i o n 6 ( ) s u m m a r ya n do u t l o o k 61 w b r l ( s u m m a r y 61 w o r kp r o s p e c t 61 i x 广东工业大学硕士学住论文 r e f e r e n c e s 6 3 p u b l i c a t i o n sd u r i n gm a s t e r ss t u d i e s 6 6 o r i g i n a lc r e a t i o nd e c l a r e 6 7 a c k n o w l e d g m e n t 6 8 x 1 1 研究背景及意义 随着计算机网络技术飞速发展，信息技术的应用层次不断深入，越来越多的政 府部门和企事业单位为了提高信息处理的速度和效率，把纸质文档转化为电子文档 的形式，许多政府部门和企事业单位甚至把9 0 以上的机密信息以电子文档的形式 存储在内网中。内网开放共享的特点，使各台主机中的机密信息处于一种高风险的 状态，信息很容易受到系统内部和外部的非法窃听、复制和访问等各种恶意攻击。 随着大量的机密信息存储在内网的计算机中，因信息泄密造成的损失也越来越大。 美国c s i f b i 连续五年的计算机犯罪与安全调查报告中指出，有超过8 5 的安全威胁来自组织内部，有1 6 来自内部未授权的存取，各种安全漏洞造成的损 失中，3 0 4 0 是由电子文档的泄露造成的，而在f o r t u n e 排名前1 0 0 0 家的公司中， 每次电子文档泄露所造成的损失平均是5 0 万美元。 受保护电子文档直接或间接的泄漏与破坏大都是在各种各样不设防的情况下， 相关人员进行受保护电子文档的操作过程中发生的；越是内部人员越疏于防范也就 越容易发生受保护电子文档失泄密事件。从而导致大量的涉密、核心电子文档有意 或者无意的泄漏和流失往往是不为人知的，不断的侵蚀着企事业单位的涉密资产和 核心竞争力。一旦到了事情败露，带来的巨大损失早已是无法挽救和弥补的。 实际上，很多政府部门和企事业单位也已经意识到保护电子文档的重要性，但 都只是采用防病毒、防火墙、v p n 、入侵检测、物理隔绝、加密解密等技术。这些 技术都有弊端，无法对电子文档进行高安全性的保护。例如，防病毒软件、入侵检 测等技术主要围绕着政府部门和企事业单位信息的外围安全展开，却很少对信息内 容本身的保护；而物理隔绝方式比如关闭u s b 端口则严重影响用户的工作效率；另 外，单纯的加密解密文件的技术，不能保证对文件进行持久性的保护，当文件被加 密后，其在分发的过程中是安全的，一旦文件被合法解密使用之后，被解密的文件 就失去了保护控制，无法继续保证文件的后续安全。 基于以上的背景，本论文设计和实现了基于r b a c 电子文档保护系统，它提供 广东工业大学硕士学位论文 了受保护电子文档内容的保护、管理、身份鉴定和访问控制机制，能够对受保护电 子文档提供安全的保护作用，对提高电子文档保护的高安全性有着十分重要的意义。 1 2 电子文档保护技术研究现状 1 2 1 当前电子文档保护的主要技术 电子文档保护越来越受到政府部门和企事业单位的重视，产品的种类和数量不 断增加。常用的电子文档保护的技术主要包括如下几种心1 ： ( 1 ) 基于外设及网络软件控制的保护方式 禁止或有选择地限制使用移动硬盘、u 盘等外设，q q 、e m a i l 等网络软件来控 制非法用户通过这些渠道将机密信息泄露；在这种方式下需要防止各种途径：除了 包括u 盘、移动硬盘、光驱等外部存储设备外，还要考虑1 3 9 4 、红外、网络等接口。 这种方式最大的缺点在于将受保护文档和普通文档不加任何区分，一旦禁止了某种 传输途径，这种途径即使对于普通文档也加以禁止；而要想使用，必须获得管理员 同意，这显得非常复杂和不灵活。 ( 2 ) 基于文件或文件夹主动加密方式 通过主动加密的方式，由用户对文件或文件夹进行加密。这种电子文档保护方 法需要由操作者去判断文档是受否是受保护的，是受保护的则加密。这种方式的缺 点是无法防止内部用户对文档的泄密，其应用范围具有很大局限性。 ( 3 ) 基于文件格式转换的保护方式 将需要保护的文档转化为其特有的格式( 例如：常见的p d f 等格式) 进行保护。 格式转换后，可以很方便地对文档进行权限控制。但是，这种方式存在很多缺点：1 ) 其加密后的文档需要用专门的阅读器来阅读，改变了用户使用习惯；2 ) 支持的文档 格式有限。 。 ( 4 ) 基于全盘的数据加密模式 通过对逻辑磁盘卷或者整个磁盘卷进行加密，来实现文档的保护。这种方式的 缺点是无法防止内部人员的泄密。 ( 5 ) 基于透明加密的保护方式 通过对特定的电子文档进行加密以保护机密信息。它突出的特点是加密的“强制 2 第一章绪论 性”和加密过程的“透明性”。强制性是指文档是否加密保护不是由用户来判断，而是 根据制定的策略强制执行；透明性是指所有的加解密工作均在操作系统后台进行， 用户感觉不到加密过程的存在，不改变用户的使用习惯。强制性保证文档的安全， 即使文档作者也无法在未授权的情况下将文档解密。透明性方便了用户的使用，即 文档加解密的过程不需要用户参与。 1 2 2 当前研究存在的问题 ( 1 ) 将要受保护的电子文档转换为系统自己定义的文档格式，由系统提供专 门的阅读器。造成用户的使用习惯被改变。 ( 2 ) 没有考虑文档的密级管理和权限控制问题，给实际的应用带来麻烦。 ( 3 ) 需要对设备端口进行限制，造成用户使用上不便。 ( 4 ) 客户端的可扩展性差，受保护文档格式有限，一般的客户端往往只针对 某一种格式的文档，缺乏通用性。 1 3 本文的研究工作 网络信息安全技术总体上有行为安全和内容安全两大类口3 。行为安全是指通过 安全机制来保证所有的网络行为都符合网络安全策略，防范攻击、欺诈、破坏、泄 密等非法行为的发生。内容安全是指通过安全机制来保证网络中发布和传递的信息 内容是真实、健康、完整、受保护的。 本论文研究的内容属于内容安全的范畴，针对电子文档面临的安全风险，以实 现对电子文档安全保护为目标，利用w i n d o w s 文件系统过滤驱动技术、o f f i c e 二次 开发技术和s o c k e t 通信技术等，设计和实现一个电子文档保护系统，在对电子文档 共享的同时进行有效控制和保护，防范用户非法访问受保护电子文档。 本论文的主要研究工作有： ( 1 ) 分析n i s tr b a c 参考模型在电子文档保护中的不足，提出了一个基于 r b a c 的电子文档保护模型，并给出了该模型的思想和形式化定义。 ( 2 ) 基于电子文档保护模型，设计并实现了一个电子文档保护系统。根据用 户的权限来实现对受保护电子文档的阅读、打印、编辑、保存明文、阅读时间、阅 3 广东工业大学硕士学位论文 读次数的控制，从而实现对电子文档细粒度的管理。 ( 3 ) 搭建测试环境，对电子文档保护系统进行功能、性能和稳定性测试。 1 4 本文的组织结构 论文结构如下： 第一章，讲述课题研究背景及意义，电子文档保护技术的研究现状及本论文的 研究工作。 第二章，分析了传统r b a c 模型在电子文档中的不足，提出了一个基于r b a c 的电子文档保护模型，并给出了该模型的思想和形式化定义。 第三章，综述电子文档保护系统实现中的一些相关技术。 第四章，叙述电子文档保护系统的需求分析、系统体系架构和系统的模块结构。 第五章，叙述电子文档保护系统的实现，并对系统的功能、性能、稳定性进行 测试。 最后总结本论文的工作，并展望进一步的研究工作。 4 电 于电子 制模型是目前公认优秀的访问控制模型。本章将首先介绍访问控制模型的基础，接 着详细阐述n i s tr b a c 参考模型，然后分析n i s tr b a c 参考模型在电子文档保护 中的不足，并在其基础上提出基于r b a c 的电子文档保护模型。最后给出电子文档 保护模型的基本思想和形式化定义。 2 1 访问控制模型 电子文档保护系统从信息安全的角度上来说，本质上就是对电子文档资源的访 问控制。访问控制模型起源于上个世纪7 0 年代。访问控制就是通过某种途径，准许 或限制访问能力及范围的一种方法。它是针对越权使用资源的防御措施，通过限制 对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏， 从而保证系统资源受控地、合法地被使用。用户只能在自己的权限内访问系统资源， 不得越权访问。随着计算机网络技术的发展，应用的层次不断深入，这一模型的思 想迅速应用于信息安全的各个领域h 1 。在3 0 年的发展的过程中，先后出现了多种重 要的访问控制模型，它们的基本目标都是防止非法用户进入系统和合法用户对系统 资源的非法使用。为了达到这个目标，访问控制模型常以用户身份认证为前提，在 此基础上实施各种访问控制策略来控制和规范合法用户在系统中的行为。 传统的访问控制模型主要有自主访问控制模型( d a c ：d i s c r e t i o n a r ya c c e s s c o n t r 0 1 ) 和强制访问控制模型( m a c ：m a n d a t o r y a c c e s sc o m r 0 1 ) 两种。 自主访问控制模型是目前计算机系统中使用最多的访问控制模型，它是在确认 用户身份以及( 或) 它们所属组的基础上对访问进行控制的一种方法，称其为自主 是因为在d a c 系统中，一个拥有一定访问权限的用户可以直接或间接地将权限传 给其他用户。其基本思想是：允许某个用户显示地指定其他用户对该用户所拥有的 信息资源是否可以访问以及可执行的访问类型。w i n d o w s 、u n i x 系统都采用了自 5 广东工业大学硕士学位论文 主访问控制模型的思想晦6 。 强制访问控制模型( m a c ) 是“强加”给访问用户的，即系统强制用户服从访问控 制策略。 强制访问控制模型主要用于多层次安全级别的军事应用当中，它预先将用户和 客体分级，即定义用户的可信任级别及信息的重要程度( 安全等级，比如可以分为 绝密级、机密级、秘密级、公开等) ，然后根据用户和客体的等级标记来决定访问模 式，用户的访问必须遵守安全策略划分的安全等级以及有关访问权限的设定。当用 户提出访问请求时，系统对用户和客体两者的安全等级进行比较以确定访问是否合 法 。 网络的发展，特别是i n t r a n e t 的广泛应用使人们对信息的完整性要求超过了机 密性，而传统的d a c m a c 模型难以提供这方面的支持。2 0 世纪9 0 年代出现的一 种基于角色的访问控制( r b a c ) 模型有效克服了传统访问控制模型的不足，可以 减少授权管理的复杂性，降低管理开销，而且还能为管理者提供一个良好的安全实 现政策的环境，从而成为了实施面向政府部门或者企事业单位的安全策略的一种有 效的访问控制方式随，鲥。 r b a c 是安全访问控制领域中新兴的一种访问控制模型。它是访问控制策略与 现代商业环境相结合的产物，是自主访问控制模型和强制访问控制模型的变体。 r b a c 与控制者的身份认证密切相关n 们，通过确定该合法用户的身份来确定用户在 系统中对哪类信息有什么样的访问权限。 把r b a c 模型应用于文档保护系统具有如下一些优点3 ： 1 ) 便于根据工作需要分级，如企业财务部门与非财务部门的员工对企业财务 文档的访问权限就可以由财务人员这个角色来区分； 2 ) 便于文档分级授权管理，文档本身也可分为不同的角色，如信件、账单等， 由不同角色的用户拥有； 2 2nis tr b a c 参考模型的概述 r b a c 模型是在2 0 世纪7 0 年代提出的，后来在s a n d u 等人的提倡和推动下得 到了很大的发展。2 0 0 1 年8 月美国国家技术与标准局( n i s t ) 发表了r b a c 建议 标准阳3 。此建议标准综合了该领域众多研究者的共识，主要包括两个部分：第一部 6