硕士论文-基于角色的安全访问控制的应用.pdf

大连理工大学 硕士学位论文 基于角色的安全访问控制的应用 姓名 于伟海 申请学位级别 硕士 专业 软件工程 指导教师 李明楚 20060618 大连理工大学专业学位硕士学位论文 摘要 近年来 随着企业信息系统的广泛使用 系统安全问题受到越来越多的关注 而访 问控制技术是解决安全问题的关键 目前我国大部分企业均采用传统的访问控制技术 自主访问控制技术 D A C 和强制访问控制技术 M A C 它们均存在一定弊端 有一定的 局限性 基于角色的访问控制 R B A C 在企业和政府部门等系统安全需求方面显示了 极大的优势 因此砌j A C 作为传统访问控制机制的替代和补充而引起了广泛的关注 本文首先对传统的访问控制D A c M A C 和基于角色的访问控制R B A c 进行了简单 分析和比较 然后介绍和分析了三个比较成熟的基于角色访问控制模型R B A C 9 6 N I s T I A c 和A R B A c 9 7 模型 本文从理论上研究了砌3 A c 的概念模型 论证了在企业信息系统中采用R B A c 的 必要性 通过分析企业信息系统的特点和安全需求 指出了R B A c 概念模型的不足 给 出了R B A c 的改进模型 通过在建立会话管理时 加入对角色的动态限制 控制了角色 的可访问数据范围 以使模型更适应企业的多层次结构 其基本思想是 在角色被激活 后 除检验角色所拥有的功能权限外 将根据对角色的限制来检验某功能可以操作的数 据范围 这样既保证了R B A c 模型简化访问控制管理的优点 又可以完成根据用户机构 控制用户数据访问的需求 根据砌j A C 改进模型 在分析企业信息系统的安全需求和组 织特点的基础上 制定了企业信息系统R B A c 的实现方案 该方案支持角色机制 符和 最小特权安全原则 对角色划分 权限分配 会话管理 A c 管理进行了方案设计 并论述了方案的特点和优势 最后以 烟台有色金属集团有限责任公司信息管理系统 的开发为例 具体阐述了该系统基于角色的安全访问控制方案的实现 论证了设计方案 在企业信息系统中的可行性 关键词 访问控制l 权限 角色 基于角色的安全访问控制的应用 A p p l i c a t i o no fR o l e B a s e dS e c u r i 锣A c c e s sC o n 仃o l A b s t r a c t w i m 仕l ew i d e l yu s i n ga n dd e V e l o p m 咖o fE n t e r 两s eI n f o 册a t i o nS y s t e m s p e o p l e1 0 0 k m o r ei I n p o r t 吼tu p o nm es e 矾I r i 够o fs y s t e mg r a d l l a l l y A c c e s sc o n 虹D 1t e c h n o l o g yi s 也ek e y f h c t o ro fs o l v i I 塔s e c u r i 哆p m b l 眦s A tp r e s e n tm o s to f E n t e r p r i s ea d o p t 删t i o n a lm e m o d 8 i I I c l u d i n gD i s c r c t i o r l a 叮A c c e s sC o n 仃o l D A C a 1 1 dM a n d a t o r yA c c e s sC o n t m l M A C w 1 1 i c h h a v es o m eC l e f i c i e n c i e s T h e r e 盯eI n u c hr e s e a r c hf o c u s i I l go ni ta n dag e n e r a lR B A Cs t a l l d a r d h 嬲b e e na v a i l a b l ea I l da c c e p t e db yi n d u s n y T h ei m p r 0 V e m e n to fR B A Cc o m p 撕n gw i 也 D A Ca n dM A Ci sr e p r e s e n t c di 1 1i t T h ed i s s e n 砒i o nf i r s tp r e s e n t sg e n e r a la c c e s sm e t l l o dD A C 蚰dM A C 蜘di I l 仰d u c e s R B A C T h e ni n 订o d u c ea n d 髓a l y z e 仕鹏em o r em 曲 r em o d e lo fR D l eB a s e dA c c e s sC o n 们1 a b o u tR B A C 9 6 j N I S TR B A C 龇l dA R B A C 9 7 W e 蛐a l y z eI A Cc o n c e p tm o d e li nt h e o r y a n dd e m o n s 眦et l l en e c e s s i t yo f i m p l e m e n t R B A Ci nE n t 泖r i s eI n f o r m a t i o nS y s t 唧s W ep o i n to u tm ed e 6 c i e n c yo fm o d e lb y d i s c u s s i n g 也ec h a r a c t e r sa l l ds e c 嘶移r e q u i 衄e n t so fE n t e I p r i s eI n F 0 r m a t i o nS y s t e m s T l l e n w ep r o p o s e 趾i n 巾r o V e dm O d e lb ya d 西n gd y n a I n i cc o n s 缸n to nr o l e 谢h i c hc 蚰c o n t m lt l l e l l s e r s d a t aa c c e s sr a n g e n sb a s i ci d e ai st h a tV e r i f 弭n gs o m e 劬c t i o nc a n0 p e r a t ed a t ar a n g e a c c o r d i n gl i l n i tt or o l e 姐e rr 0 1 ei sa c t i V a t e d N o to n l ya s s l l r e 恤t 廿l em o d e lR B A Cp r e d i g e s t s m e r i to f a c c e s sc o n 订0 1m a I l a g 咖e n t b u ta l s o 丘I l i s ht 0c o n 打o lr e q u i r e m e n to f u s e rd a t a c e s s a c c o r d i n gu s e ri I l s d n l t i o n A c c o r d i n gt h ei m p r o V e dm o d e l w ed e s i g n 协es c h e m eo fR B A C i I I l p l e m e n t w l l i c hi n c l u d e sd i V i d i I l gf 0 1 e s 嬲s i g n i n gp e m i s s i o n s s e s s i o nm 觚a g e m e n ta I l d R B A Ca d m j n i s 拄 l t i 叫 W es u m m a r j z et l l es p e c i a l t i e s 髓da d v a l l t 雒r e so fR B A Ci nE n t e r p r i s e I I l f o m 撕o nS y s t e I n s F i 舢y w et a k ee x a m p l e so f M 觚a g e m e n tm f o r m a t i o nS y s t e mf o r Y a n T a iN o n f e I T 0 u sM c 忸lG r o u pL i r n i t e dC o m p a n y a n ds p e c i f i c a l l ye x p o l l I l dt h ec o u r s eo f a n a l y z i n 舀d e s i 鲫 i I l ga n di r 印l e m e n t i n gR B A Cs c h e m ei nE n t e I p r i s eI n f b m l a t i o nS y s t e m n a l s od 锄o n s n 呲e sm a tt l l es c h e m ei sf e 髂i b l ei nE n t e r p r i s eI n f o n n a t i o nS v s t e m s K e yW o r d s A c c e s sC o n t r o I P e r m i s s i O n R O I e 独创性说明 作者郑重声明 本硕士学位论文是我个人在导师指导下进行的研究工 作及取得研究成果 尽我所知 除了文中特别加以标注和致谢的地方外 论文中不包含其他人已经发表或撰写的研究成果 也不包含为获得大连理 工大学或者其他单位的学位或证书所使用过的材料 与我一同工作的同志 对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意 作者签名 大连理工大学专业学位硕士研究生学位论文 大连理工大学专业学位硕士学位论文版权使用授权书 本学位论文作者及指导教师完全了解 大连理工大学硕士 博士学位论文版权使用 规定 同意大连理工大学保留并向国家有关部门或机构送交学位论文的复印件和电子 版 允许论文被查阅和借阅 本人授权大连理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索 也可采用影印 缩印或扫描等复制手段保存和汇编学位论 文 名 霸作者签名 立 受 导师签名 勤宴 年 月 日 大连理工大学专业学位硕士研究生学位论文 1 绪论 1 1 论文的研究背景 本文工作由国家自然科学基金重大项目 网格计算中多用户协同计算的安全机制 9 0 4 1 2 0 0 7 资助 企业信息化是国民经济信息化的基础和重点 是企业现代化的重要标志 是提高经 济效益与竞争力的捷径和保证 1 2 企业信息化也是传统产业升级的微观基础 是高新 技术产业发展的重要起点 加快利用信息技术 大力推进企业信息化 是促进产业结构 升级 提高企业核心竞争力的战略选择 随着计算机技术应用的普及和发展 以及企业对自身信息化重视程度的提高 越来 越多的企业建立了自己的管理信息系统 初步形成了完攘的内部集成化信息系统 在国内 客户机 服务器 C l i e n t S e r v 啪模式的体系结构 以其稳定 安全和高效等特 点使之成为大多数企业的首选模式嘲 虽然目前C S 模式系统的安全措施己比较成熟 然而安全隐患仍然存在 有调查报告指出 5 1 近7 8 的信息主管 信息安全官员以及其 他高级技术管理人员 报告他们的企业因泄密等安全性问题而遭受损失 其中超过2 5 的企业损失高于2 5 万美元 目前国内大多数企业所开发的M I S 系统 往往对安全性问 题考虑不够 3 企业在实施管理信息系统过程中对安全性问题研究不够 对系统安全性 方案设计考虑不足 狭义的安全概念就是信息系统对外部威胁的防范 避免损失 从系统过程与控制角 度看 信息系统安全就是信息在存取 处理 集散和传输中 保持其机密性 完整性 可用性 可审计性和抗抵赖性的系统辨识 控制 策略和过程 从理论和实践来看 计 算机信息系统的安全管理是一个复杂的系统工程 3 7 随着网络等技术的不断发展 传统访问控制的安全策略在一些场合己经很难满足需 要 9 0 年代以来出现的一种新的基于角色的访问控制技术R B A C 有效地克服了传统访 问控制技术中存在的不足之处 可以减少授权管理的复杂性 降低管理开销 而且还能 为管理员提供一个比较好的实现安全政策的环境 砌3 A c 的概念起源于二十世纪七十年代 那时多用户 多任务在线系统刚出现 R B A c 的主要思想是 权限是和角色相联系的 而用户则被指定到相应的角色作为其成 员 这样就使权限的管理大大简化了 角色是为某机构或组织中多种工作岗位创建 根 据用户职责 能力和资格的不同把他们指派为不同的角色 如果需要也能很容易地改变 用户的角色 新的应用 系统集成时 可以给角色授予新的权限或是撤回一些权限 和 基于角色的安全访问控制的应用 一个角色相对应的用户集和权限集合可能只是暂时的 而角色本身则相对稳定得多 因 为一个组织或机构的活动或功能一般不会频繁的变动 因此 解决信息系统安全问题可以归结为 一是防止非法用户进入系统 二是防止 系统合法用户对系统功能的非法访问 可以说 安全访问控制是实现信息系统资源安全 的有效途径 所以自7 0 年代以来 访问控制技术便成为信息系统安全问题研究的热点 因此 本文拟对安全访问技术在企业信息系统中的应用进行深入的研究 访问控制技术作为国际化标准组织定义的五项标准安全服务之一 是实现信息系统 安全的一项重要机制 美国国防部的可信计算机系统评估标准 I S E C 把访问控制作 为评价系统安全的主要指标之一 其设计对提高系统安全的重要性不言而喻 访问控制 技术的应用非常广泛 操作系统 数据库系统 防火墙以及各种应用系统等 都需要通 过访问控制技术实现对资源的合理利用和合法访问 现有的访问控制机制主要有3 种模 式 自主访问控制 D A C D i s c t i o n a r y A c c e s s c o n 们1 强制访问控制 M A C M 髓d a t o r y A c c e s sC o n 拄0 1 和基于角色的访问控制 R B A C R o l eB 鹤e dA c c e s gc 0 曲 0 1 前两者 都不能很好地适应商业 企业环境 自主访问控制中允许用户个体授权或撤销它所拥有 的资源 即个体是资源的主人 并且信息在移动过程中其访问权限关系也会被改变 其 控制力太弱 而强制访问控制使用主体和客体对象相关的安全标签进行访问控制 其控 制力又太强 两者共同的弱点就是工作量太大 不便管理 因此 建立一个有普遍意义 的访问控制模型 将极大提高企业信息系统的安全性 基于角色的安全访问控制R B A c 实行用户职能为基础的权限管理 是一种相当完 整的安全访问控制机制 1 9 9 6 年R a v js 姐d h u 提出R B A c 9 6 模型 8 之后 至今I u B A C 仍 然是实际应用与学术研究上的热点 本文对基于角色的安全访问控制在企业信息系统中的应用进行了较深入的研究 不 仅可以加强企业信息系统的安全性 而且使系统的安全机制更加符合企业的具体实际 并能够简化安全管理工作 优化企业信息系统的安全机制 1 2 研究现状与主要研究内容 1 2 1 研究现状 R J j A C 是近几年在访问控制领域的研究热点 从1 9 9 6 年开始 美国计算机协会A C M 每年都召开R B A C 专题研讨会来促进m j A C 的研究 从2 0 0 1 开始 该会议改名 S A c M A T 为当前访问控制技术的发展提供论坛 由于在满足目前大量存在的商业 大连理工大学专业学位硕士研究生学位论文 企业和政府部门系统安全需求方面显示了极大的优势 因此 它作为传统访问控制的替 代和补充而引起了广泛的关注 目前 美国很多学者和研究机构都在从事这方面的研究 如美国国家标准与技术研 究院N I s T N a t i o n a lI n s t i t u t eo f S t a n d a r dT e c h n o l o g y 和G r g eM 踮o n 大学的信息安全 技术实验室L I S T m 嘲t o r yo fI n f o m I a t i S e c I l r i t rT e c h n o I o g y 等 其中尤以R a v i S 柚d h u 教授提出的R B A C 9 6 模型 8 由于其系统 全面地描述了R B A C 的基本含义及关 系而成为角色访问控制研究领域的经典 对砌 A c 进一步的深入研究奠定了基础 美国 N I S T 主要进行R B A c 及其相关模型的标准化工作 2 0 0 1 年 N I S T 公布了R B A C 的建 议标准 9 以推进 A C 进一步的应用 国内对m A C 的研究主要有中国科学院软件研 究所 华中科技大学等 主要是对R B A C 模型扩展和应用方面进行深入的研究 文献 l0 中认为对基于角色的访问控制模型的研究主要朝着以下方面发展 1 标准化 通过美国国家标准局制定基于角色的访问控制模型标准 2 对R B A C 建立更深的理论认识 特别是它与D A C 和M A c 之间的关系 3 从实现基于角色的访问控制模型的角度进行深入的研究 其中 第一条关于标准化的工作 目前已基本实现 2 0 0 4 年4 月1 9 日 N I S T 的 R B A C 模型正式通过了美国国家标准局国际信息技术标准委员会A N S I 矾c I T S A m e r i c a nN a t 主o n a lS t a n d 础h l s t i t L l t e h I t e n l a l i o n a lC o m m i t I e ef b rI n f b r m a 士i o n T e c h n o l o g yS t 锄d 础k 的标准制定工作而成为一项国家标准A N S I I N C l T S3 5 9 2 0 0 4 l l 1 2 1 2 2 主要研究内容 理解R B A C 概念模型 并根据模型构建 A c 系统并不困难 但是如何使褂j A c 实现方案与企业信息系统的实际情况相结合 则不是一个容易解决的问题 本文对 R B A C 系统的设计以及实现方案与具体实施进行深入探讨 首先 对R B A C 的概念模型进行分析和讨论 结合企业信息系统的特点 对模型进 行改进 然后 以改进的I u A C 模型为基础 设计企业信息系统安全访问控制方案 给 出角色划分和权限分配策略 论述企业信息系统采用该方案的原因 最后 结合参与开 发的烟台有色金属集团有限公司 以下简称烟金公司 信息管理系统 介绍了系统安全 访问控制方案的具体实现 本文依据理论联系实际的思路 对基于角色的安全访问控制在企业信息系统中的应 用进行研究 研究分为以下四个阶段进行 1 搜集并阅读有关R B A C 和信息系统安全机制的文献 重点对I m A C 概念模型进 行仔细研究 基于角色的安全访问控制的应用 2 分析企业信息系统的流程 结合企业组织结构的特点 对 j A c 概念模型给出 改进方案 使模型更符合企业实际 更利于安全访问控制和安全管理的实现 3 根据耻j A c 概念模型设计企业信息系统的 l A c 应用模型 即实现方案 并构 建系统的安全访问控制机制 4 通过实例分析 将上述理论研究成果应用于实际系统的开发中 1 3 论文结构 本论文的后续章节安排如下 第二章 首先对计算机系统的安全问题进行了简单介绍 指出访问控制是计算机安 全技术中一个重要的组成部分 在对系统资源的安全性保护方面起到举足轻重的作用 对传统的两种访问控制机制D A C M A C 以及基于角色的访问控制鼬 A c 分别进行分析 与讨论 接着分别对R B A c 9 6 模型 N I S TR B A c 模型和 蛆 A C 9 7 模型进行了系统的 介绍 这三个模型是本文研究工作的基础 第三章 这部分和第四章共同构成了本论文研究工作的主体 通过对前面R B A c 模 型的研究 以及结合实际的应用系统中权限管理的需要 给出了一种改进的R B A c 模型 通过在建立会话管理时 加入对角色的动态限制 控制了角色的可访问数据范围 以使 模型更适应企业的多层次结构 根据R B A c 改进模型 在分析企业信息系统的安全需求 和组织特点的基础上 制定了企业信息系统R B A C 的实现方案 对角色划分 权限分配 会话管理 R B A C 管理进行了方案设计 并论述了方案的特点和优势 第六章以 烟台有色金属集团有限责任公司信息管理系统 的开发为例 具体阐述 了该系统基于角色的安全访问控制方案的实现 论证了设计方案在企业信息系统中的可 行性 最后针对本论文的研究工作进行了总结 并对本课题的后续研究和实现工作进行了 展望 4 大连理工大学专业学位硕士研究生学位论文 2 计算机安全与访问控爿 搬术 2 1 计算机安全技术概述 信息时代的到来 信息技术突飞猛进的发展和计算机技术的广泛应用 使计算机成 为信息处理的重要工具 计算机系统的应用已经深入到社会的各行各业 然而任何事情 都是有利有弊 安全问题对计算机信息系统而言 也是一个非常重要的问题 无论是传 统的信息管理系统 还是近些年涌现出来的基于I n t e r n e t 的各种电子商务应用 均面临 着严峻的安全挑战 信息安全研究防止信息内容被故意地或偶然地非授权泄漏 更改 破坏 或使信息 被非法地系统辨识 控制的各种机制 它可确保信息的完整性 保密性 可用性和可控 性 信息安全包括操作系统安全 数据库安全 网络安全 计算机病毒防护 访问控制 数据加密与鉴别等七个方耐1 3 在一般计算机系统中 安全措施是一级一级层层设置的 形成 个层次化的安全体 系结构 安全服务体系主要包括身份验证 加密 访问控制等 各部分有机结合实现安 全性要求 例如在一个数据库应用系统中可能有如下安全模型 1 4 图2 1 计算机系统的安全模型 F i g 2 1s e 乱I r 畸m o d e lo fc 烈唧眦e rs 辨吨咖 在图2 1 的安全模型中 用户要求进入计算机系统时 系统首先根据输入的用户标 识进行用户身份鉴定 只有合法的用户才准许进入计算机系统 对已经进入系统的用户 D B M S 还要进行存取控制 访问控制 只允许用户执行合法操作 操作系统一级也会 有自己的保护措施 数据还可以以密码形式存储到数据库中 由上面例子可以看出 访问控制是以用户认证作为前提 访问控制实质上是对资源 使用的限制 决定主体是否被授权对客体执行某种操作 它依赖于鉴别使主体合法化 并将组成员关系和特权与主体联系起来 只有经过授权的用户 才允许访问特定的系统 资源 访问控制必须与身份认证 数据加密等各项技术有机结合起来才能真正实现计算 机安全系统的要求 基于角色的安全访问控制的应用 2 2 三种访问控制机制 每个计算机应用系统的用户可能会有很多 他们在系统中处于不同级别 对系统信 息获取和处理的职权也不尽相同 为了保证系统信息的保密性和完整性 必须首先确定 信息的可存取性 因而就要求应用系统能够对用户的存取控制权力进行有效的管理 访问控制最初是针对越权使用资源的防御措施 其目的是为了限制访问主体 用户 进程 服务等 对访问客体 文件 系统等 的访问权限 从而使计算机应用系统在合 法范围内使用 它决定用户能做什么 也决定代表一定用户利益的程序能做什么 尽管 最初的目的是阻止对机密情报和信息的未授权的访问 目前更多地应用于商业环境和企 业管理系统中 访问控制 A c c e s sc o n 订0 1 就是通过某种途径显式地准许或限制访问能力及范围的 一种方法 一个安全的计算机系统需要可靠的访问控制服务做保证 尤其是当系统规模 比较大和用户较多的时候 通过访问控制服务 可以限制对关键资源的访问 防止非法 用户的侵入或者因合法用户的不慎操作所造成的破坏 访问控制系统一般包括 1 主体 s u b j e c t 发出访问操作 存取要求的主动方 通常指用户或用户的 某个进程等 2 客体e o b j e c t 被调用的程序或欲存取的数据访问 3 安全访问政策 一套规则 用以确定一个主体是否对客体拥有访问能力 传统的访问控制类型主要有两类 自主型访问控制D A C D i s c r e t i o 衄r yA c c e s s c o r l t r 0 1 和强制性访问控制M A c M a I l d a t o r yA c c c s sc o n 仃0 1 基于角色的访问控制 R B A c R D l e B a s e dA c c e s sc o 曲 0 1 是9 0 年代开始兴起的一种新的访问控制技术 提出 后便立即引起广泛关注 成为访问控制领域内的研究热点 被认为是对D A c 和M A c 的升级和替代 1 5 2 2 1 自主访问控制D A c D A C 的基本思想是基于访问者身份或访问者所属工作组 I d t i t yb a s e d 进行权限 的控制 信息资源的拥有者可以自主的将对该资源的访问权限授予其他用户以及回收这 些权限 O w n e rC o n t r o l l e d 系统中一般利用访问控制矩阵来实现对访问者的权限控制 如表2 1 中例子所示 因为存取矩阵一般都是稀疏矩阵 浪费存储空间 在实际应用中 通常采取另外 种存取控制列表的方式来实现 如对系统中每一项资源 分别列出对它具有操作权限的 主体 或者对每一个用户 分别列出他拥有操作权限的客体 这里对此不做详细描述 6 大连理工大学专业学位硕士研究生学位论文 表2 1 存取矩阵表 T a b 2 1A c c e s sm 8 扛i t a b l e R e a d E x e 础 R 龃d W r t e R e a d 在自主存取控制中 用户对于不同的数据对象有不同的存取权限 不同的用户对同 一对象也有不同的权限 而且用户还可将其拥有的存取权限转授给其他用户 因此自主 访问控制非常灵活 允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否 可以访问以及可执行的访问类型 目前常用的操作系统中的文件系统使用的都是自主访 问控制方式 因为这比较适合操作系统的资源的管理特性 D A c 的自主性对用户提供了灵活易用的数据访问方式 但同时带来的是安全性较 低 自主访问控制能够通过授权机制有效地控制其他用户对敏感数据的存取 这种方法 能够控制主体对客体的直接访问 但不能控制主体对客体的间接访问 利用访问的传递 性 即A 可访问B B 可访问c 于是A 可访问C 由于用户对数据的存取权限是 自 主 的 用户可以自由地决定将数据的访问权限授予何人 决定是否也将 授权 的权 限授予别人 而系统对此无法控制 在这种授权机制下 就可能存在数据的 无意泄漏 比如 甲将自己权限范围内的某些数据存取权限授权给乙 甲的意图是只允许乙本人操 作这些数据 但甲的这种安全性要求并不能得到保证 因为乙一旦获得了对数据的权限 就可以将数据备份为自身权限内的副本 并在不征得甲同意的前提下传播副本 或者将 权限继续授予丙等其他人 2 2 2 强制访问控制M C 强制访问控制是将系统中的主体和客体均按照一定的安全特性而划分为等级 预先 定义用户 主体 的可信任级别及信息 客体 的敏感程度安全级别 用户 权限关系 具有层次结构 L a 坩c eb 粥e d 当主体提出对客体的访问请求时 系统通过对两者安 全级进行比较以确定访问是否合法 P 0 1 i c vc o n 怕l l e d 实现M A c 的访问控制模型包括B e l lL a P a d I I l a 向下读 向上写 的安全模型 B i l a 向下写 向上读 的一致性模型以及c l a r k w i l s o n 基于一组实际规则的一致性模 们 吐 嘴 m m P P 基于角色的安全访问控制的应用 型 其中尤以B e uL 盘P a d u l a 模型最为著名 它实现了一种多级的强制访问控制 这里以 一个适当简化的B e l lL a P a d l l l a 模型进行阐述 在B L P 模型中 将安全标识作为主体和客体自身所具有的属性 安全标识一般由 一个分层的密级和一个非分层的范围 范畴组成 定义一个安全标识的偏序关系 L 其中L 为安全标识的有限集 如果A 的安全标识小于B 则记做S e c A S e c B 它的访问控制来自以下两个基本规则 如图2 1 2 所示 绝密 机密 秘密 普通 图2 2B L P 模型中的读写规则 F i g 2 2R l l l e o f r 龃d a n d w 血e i n B L P m o d c l 规则1 简单特性 仅当S e c o b j e c t S e c S u b j e c t 主体才能读取客体中 的数据 即 向下读 规则2 星号特性 仅当S e c S u b j e c t S c c 0 b j e c t 主体才能向客体中写 数据 即 向上写 在强制存取控制方法中 每一个数据对象被标以一定的密级 每一个用户也被授予 某一个级别的许可证 对于任意一个对象 只有具有合法许可证的用户才可以存取 强 制存取控制因此相对比较严格 它主要用于多层次安全级别的应用中 如军事 国防以 及政府等部门的安全系统 2 2 3 基于角色的访问控制R B C R B A C 机制的核心思想是将角色作为用户与权限联系的中间桥梁 用户通过被授予 一定的角色而获得相应权限 从而大大简化权限管理 R B A C 与前两者最明显的区别在 于 R B A C 对权限的控制对象为角色而不是个人 R o l eb 昭c d 用户与角色关联 角 色与权限关联 用户通过分配角色而间接获得对资源的访问许可 8 大连理工大学专业学位硕士研究生学位论文 R B A C 作用于应用级 根据组织内的工作岗位划分角色 授予角色对资源的存取权 限 用户被指派为角色成员并只能通过角色获取相应存取权限 从而实现了用户与存取 权限的逻辑分离 l 国A C 的基本思想可以用图2 3 表示 图2 3 R B A C 基本思想 F i g 2 3B a s i ci d e ao f R B A C R B A c 是对自主访问控制和强制访问控制机制的改进 它基于用户在系统中所起的 作用来规定其访问权限 这个作用 即角色r 0 1 e 可被定义为与一个特定活动相关联的 一组动作和责任 例如担任系统管理员的用户便有维护系统文件的责任和权限 而不管 这个用户是谁 角色是R B A c 中的重要概念 是R j A c 机制的先进性和优越性得以体现的关键环 节 R j A c 从控制主体的角度出发 根据企业中相对稳定的职权和责任来划分角色 角 色还可以划分成等级以反映一个组织机构内的职责管理关系 A C 一个重要的特征是 它的 策略中性 是一种策略无关的访问控制技术 系统管理者可通过灵活配置R B A C 模型中的各组成元素来表达和实现企业组织特定的安全策略 支持最小特权和职责分离 原则 简化了系统授权管理 已有文献证明 通过配置R B A C 既可以实现自主访问控制 也可以实现强制访问控制 l5 1 R B A C 被认为是前面两种传统访问控制技术的最佳取代 者 2 3 三种访问控制模型 基于角色的访阿控制R B A c 自开始被提出就引起广泛关注 成为访问控制领域内的 研究热点 许多学者先后提出了多种砌3 A c 模型卧7 1 8 1 9 其中尤以R 且v iS a n d h u 教授等 提出的R B A c 9 6 模型最为著名 成为以后R B A C 的研究和应用中的经典 为了更好的 展现R B A c 特征及优势并对R B A c 有一个统一的描述 N I s T 开始致力于m A C 模型标 准化的研究工作 在2 0 0 0 年的A c MR B A c 专题研讨会上 F e r r a j o I o s a n 曲u 等人首次 提出了一个建议的模型标准 2 0 R B A c 模型标准化的工作迈出了重要一步 经过进一 步的探讨与研究 2 0 0 1 年 N I s T 公布了该建议标准的正式版本 9 之后 N I S T 的砌 A c 基于角色的安全访问控制的应用 模型建议标准被提交至美国国家标准局的国际信息技术标准委员会 A N S 班N c I T S 最终于2 0 0 4 年4 月通过了该组织的标准制定工作而成为一项国家标准 由于砒j A c 9 6 模型 N I s T 的R B A c 模型和A R B A c 9 7 模型是基于角色的访问控制 研究中三个重要的基础模型 本文对I u j A c 的研究及其应用的工作主要也是基于这三个 模型 本章将分别对这三个模型进行介绍 2 3 1R 队C 9 6 模型 美国G e o r g eM 嬲0 n 大学信息安全技术实验室的R a v is 锄d l l u 教授在对砌 A c 进行深 入研究的基础上 于1 9 9 6 年提出了著名的 j A c 9 6 模型 8 并被业界广泛接受及采用 R B A c 9 6 模型由四个概念模型组成 I u j A C 0 模型 R B A c l 模型 R B A C 2 模型和R I A c 3 模型 四个概念模型之间的关系如图2 4 所示 R B A C O 模型处于关系图的最底部 代表它 是支持R B A c 系统的最低要求 R j A c l 模型和趾 A c 2 模型都包含R B A C o 模型 但是 分别增加了不同的特性 R B A c l 增加了角色层次关系 角色可以继承其他角色的权限 砌j A c 2 增加了约束关系 R B A C 模型各组成部分的配置约束条件 R A C l 和R B A c 2 本身并不互相包含 R B A c 3 模型包含了砌j A c l 和R B A C 2 模型 通过传递关系同时包 含了砌3 A c 0 模型 砌 A c O 作为基本模型 包含了任何砌j A c 系统中所必须的最小需 求 R B A c l R B A c 2 和砒j A c 3 被称为高级模型或扩展模型 图2 4R B A C 9 6 模型家族关系 F i g 2 4F a 邛I i l yr e l 撕o no f R J j A C 9 6m o d e l 基本模型R B A c 0 包含三个基本集会 用户 u 角色 R 和权限 P 另外 包含一组会话 S 和两个分配关系用户 角色分配 u A 角色 权限分配 P A 如 图2 5 中所示 大连理工大学专业学位硕士研究生学位论文 角色分层 图2 5 A C 9 6 详细模型 F 蟾 2 5P a m c u l 盯m o d e lo f R B A C 9 6 模型中的用户是可以独立访问计算机系统中数据或资源的主体 可以是人 机器人 网络计算机等 一般情况下为简单起见常指的是自然人 角色是组织中的工作或职位 代表一种资格 权力和责任 权限是对计算机系统中的客体 数据或资源 进行访问的 操作许可 权限描述了拥有权限的用户在系统中执行操作的能力 通常还可以用许可 a u t h o r i z a t i o n 访问权 a c c e s s 啦m 和特权 p r i v i l e g e 等概念来表示权限 会话 是一个用户到多个角色的映射 在用户建立的会话中 用户可以激活其分配角色集合中 的部分角色 从会话到角色的一次会话中可以同时激活多个角色 用户的当前权限是在 一个会话中每个活动角色所拥有权限的合集 从会话到用户的每个会话和单个用户相关 联 这种关系在会话的过程中保持不变 R B A C O 模型包含两个分配关系 用户分配 u A u s c r 缸s i 即m e n t 和权限分配 P A P e n m s i o n A s s i 留m e n t 这两个分配都是多对多的关系 即一个用户可以被授予多个角 色 一个角色可以分配给多个用户 同样 一个角色可以被授予多个权限 一个权限可 以分配给多个角色 用户可以同时打开多个会话 在每个会话中用户可以拥有不同的活动角色集合 用 户可以只激活完成任务所必需的角色 R B A c O 模型的这个特性支持最小特权原则 比 如 被授予管理员角色的用户在进行普通操作时撤销管理员角色 在需要时才激活 这 样可以防止特权的误用和滥用 在这里 本模型认为所有的限制关系 包括用户激活角 基于角色的安全访问控制的应用 色的限制 都属于砌3 A C 2 模型 因此在R B A C O 中用户可以自主决定是否激活角色 R B A C O 允许用户在会话过程中动态激活和撤销角色 I u j A C O 模型指明用户 角色 访问权限和会话之间的关系 每个角色至少具备一 个权限 每个用户至少扮演一个角色 可以对两个完全不同的角色分配完全相同的访问 权限 会话由用户控制 一个用户可以创建会话并激活多个用户角色 从而获取相应的 访问权限 用户可以在会话中更改激活角色 并且用户可以主动结束一个会话 R B A C l 模型支持角色层次关系 R H 角色层次关系反映了组织中职权和责任的 层次关系 R B A c 2 模型增加了约束关系 约束关系的一个典型例子就是对互斥角色的限制 比如出纳和会计 大多数组织中 出纳和会计是不允许有一个人同时担任的 因为这样 可能会导致贪污行为 这种角色间的互斥关系就是著名的 职责分离 规则 另外一个 常见的约束例子是基数约束 比如每个用户最多能分配多少个角色 或者一个角色最多 可以授予多少用户 约束有多种 主要包括 互斥角色 同一用户只能分配到一组互斥角色集合中至多一个角色 支持职责分离 的原则 基数约束 一个角色被分配的用户数量受限 一个用户可拥有的角色数目受限 同 样一个角色对应的访问权限数目也应受限 以控制高级权限在系统中的分配 先决条件角色 可以分配角色给用户仅当该用户已经是另一角色的成员 对应的可 以分配访问权限给角色 仅当该角色已经拥有另一种访问权限 运行时互斥 例如 允许一个用户具有两个角色的成员资格 但在运行中不可同时 激活这两个角色 j A c 3 模型将R B A c l 和砌j A c 2 模型合并 同时提供角色层次关系和约束关系 约束关系同样可以运用在角色层次之上 角色层次关系是偏序关系 这是模型内在 的约束 除此之外 可以约束给定角色的子角色的数目 或者限制某些角色不能拥有子 角色等 R B A c 3 模型比较完整地定义了耻j A c 的备部分及其相互关系 2 3 2 S TR 8 A C 参考模型 文献 2 川最早提出制定R B A c 标准 并且提出将N 1 s TR B A c 模型 9 1 组织成为一个分 4 步功能上递增的序列 这4 步分别是 平坦型R B A C 层次型R B A c 约束型R B A c 和对称型l u j A c 其中每个级别都包含了序列中前一个级别的所有要求 同时引入一个 新的要求 其中层次型R B A c 根据要求支持的角色层次的不同被进一步划分为两个子级 别 一般层次型l m A C 和受限层次型R B A c 这些级别的要求如表2 2 所示 大连理工大学专业学位硕士研究生学位论文 表2 2m A C 各级别的功能要求表 T a b 2 2F 岫嘶0 nr e q u i 舢咖t a b l eo f R J I A Ce hl e v e l 级别名称I也AC功能要求 平坦型剐3 A C 2 层次型R B A c 3 约束型瑚j A c 4 对称型R B A C 必须支持多到多的用户 角色指派 必须支持多到多的权限 角色指派 必须支持对用户 角色指派关系的查看 用户可以同时使用多个角色的权限 在平坦型砌 A C 的功能要求基础上增加下列要求 必须支持角色层次 偏序 级别2 a 要求支持以角色集合上任意偏序作为角色层 次 级别2 b 要求支持受限层次 通常指树或者翻转树 在层次型I u j A C 的功能要求基础上增加下列要求 必须强制职责分离 s o D 级别3 a 要求支持以角色集合上任意偏序作为角色层 次 级别3 b 要求支持受限层次 通常指树或者翻转树 在约束型R B A c 的功能要求基础上增加下列要求 必须支持对权限 角色指派关系的查看 其性能应该与 查看用户 角色指派关系的性能可比 级别4 a 要求支持以角色集合上任意偏序作为角色层 次 级别4 b 要求支持受限层次 通常指树或者翻转树 N I S T 的R B A c 建议标准由两部分组成 第一部分是R B A c 参考模型 它规定了该 标准涉及到的特性的范围 并且规定了该规范所使用的词汇列表 第二部分是R B A c 系 统及管理功能规范 它规定了对管理操作和查询操作的功能需求 包括基本集合和关系 的创建 维护和评估 对会话属性管理和访问控制决策的支持等 N I S T R B A C 参考模型由4 个模型组件组成 他们分别是 核心R B A c 层次型R B A c 静态职责分离关系s s D s 切缸cs 印鼬曲no fD l 啊 和动态职责分离关系D s D D 锄i c S 印a r a t j o no f D u t y 核心R B A C 定义了为完成基于角色访问控制系统的最小集合 R B A c 元素 元素集 合及其之间的相互关系 这包括任何基本的R B A C 系统必须考虑到的用户 角色分配 关系和权限 角色分配关系 在一个计算机系统中 核心R B A C 还引入了作为用户会话 基于角色的安全访问拄靠4 的应用 的角色激活概念 核心R B A c 在任何R B A c 系统中都是必要的 而其他模型部分则是 相互独立的 而且可以各自分别实现 层次型R B A c 模型都分加入了支持角色继承的关系 继承是角色之间的等级关系 高等级的角色从他们的低等级角色获得权限 通过引入授权用户和权限角色 层次型 R B A c 超越了简单的用户 权限和角色之间的分配关系 第三种模型部分 就是静态职责分离关系s s D 即加入了关于用户分配角色的互斥 关系 由于静态职责分离关系和角色继承关系的不一致 s S D 关系模型部分定义了存在 继承的S S D 关系和没有继承的S s D 关系 第四种模型部分 即动态职责分离关系D S D 定义了角色在用户会话期间被激活时 的互斥关系 此外 建议标准还提出了一种根据需求组合R B A c 特性以定制功能组件包的方法 并用z 符号 2 1 1 系统的一个简化版本给出了各个函数功能的形式化规范 为便于理解 首 先对模型中所用到的基本概念进行简单说明 用户 u s c r 系统的使用者 可以是人 计算机 机器人等 通常指的是人