畢 業 論 文（設計）論文題目 訪問控制技術研究 姓 名 學 號 院 系 專 業 指導教師 職 稱 中國合肥二o一o 年 六 月畢 業 論 文（設 計）任 務 書論文（設計）題目 訪問控制技術研究 院 系 名 稱 專 業 （班 級） 學 生 姓 名 學 號 指 導 教 師 下發任務書日期 2011 年 1 月10日一、畢業論文（設計）的主要內容隨著網絡應用的逐步深入，安全問題日益受到關注。一個安全的網絡需要可靠的訪問控制服務作保證。訪問控制是在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制，是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問，它是保證網絡安全最重要的核心策略之一。因此對訪問控制的基本概念、訪問控制技術涉及的各項基本技術以及主要的訪問控制類型進行了研究，如自主訪問控制技術（dac）、強制訪問控制技術（mac）和基于角色的訪問控制技術（rbac），并對每種訪問控制技術進行了概念、實現方式以及其優缺點的總結。其中對自主訪問控制技術（dac）中的訪問控制表和基于角色的訪問控制技術（rbac）的各個基本模型進行了重點的討論分。二、畢業論文（設計）的基本要求根據畢業論文（設計）的主要內容對各個研究的部分進行相關的了解和研究：1、訪問控制技術的概念：所謂訪問控制，就是在鑒別用戶的合法身份后，通過某種途徑顯式地準許或限制用戶對數據信息的訪問能力及范圍， 從而控制對關鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。2、訪問控制的技術: 訪問控制是保證網絡安全最重要的核心策略之一，它涉及的技術也比較廣，它包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。對訪問控制的各個技術進行了相關的敘述。3、根據訪問控制機制，訪問控制技術主要有三種：基于授權規則的、自主管理的自主訪問控制技術（dac），基于安全級的集中管理的強制訪問控制技術(mac)和基于授權規則的集中管理的基于角色的訪問控制技術（rbac）。重點對各個訪問控制技術的概念、實現方式、典型案例以及其優缺點進行了研究，其中對rbac進行重點研究。三、應收集的資料及主要參考文獻1百度百科：訪問控制技術2百度百科：訪問控制列表3思科經典技術分享：訪問控制列表（acl）技術詳解4趙亮, 茅兵, 謝立. 訪問控制研究綜述j. 計算機工程,2004, 30( 2) . 5肖川豫（重慶大學）.訪問控制中權限的研究與應用d. 20066jerome h saltzer,michael d schroeder .the protection of information in computer systems m. 1975(09)7劉偉(四川大學).基于角色的訪問控制研究及其應用d. 20048 (電子政務工程服務網)9劉偉(石河子大學).訪問控制技術研究j.農業網絡信息2007年第七期 10李成鍇,詹永照,茅兵.謝立.基于角色的cscw系統訪問控制模型j. 軟件學報 2000(7)11許春根,江于,嚴悍.基于角色訪問控制的動態建模j. 計算機工程 2002(1)12張勇,張德運,蔣旭憲.基于認證的網絡權限管理技術j. 計算機工程與設計 2001(2)13中國信息安全產品測評認證中心,信息安全理論與技術m . 人民郵電出版社，2003914 david fferraiolo、drichard kuhn、ramaswamy chandramouli，rolebased access controlm. artech house，2003415american national standards institute s. inc american national standard for information technology-role based access control.2003/4/416汪厚祥, 李卉等.基于角色的訪問控制研究j.計算機應用研究, 2004, (4) .四、畢業論文（設計）進度計劃起訖日期工 作 內 容備 注201011中旬2011.2.下旬2011.3上旬2011.32011.52011.52011.6中旬畢業論文（設計）統一選題確定畢業論文（設計）的題目提交畢業論文（設計）開題報告和任務書根據要求做好畢業論文（設計），完成畢業設計的初步定稿論文的修改、完善、定稿中間查閱資料，根據實際的工作或生活狀況確定題目根據題目以及所查閱的資料，確定畢業論文（設計）的內容學士學位論文（設計）開題報告課題名稱訪問控制技術研究課題來源學校提供，自主選擇學生姓名 專業 學號 指導教師姓名 職稱 研究內容訪問控制的基本概念、訪問控制技術涉及的各項基本技術以及主要的訪問控制類型，如自主訪問控制技術（dac）、強制訪問控制技術（mac）和基于角色的訪問控制技術（rbac），并對每種訪問控制技術進行了概念、實現方式以及其優缺點的總結。其中對自主訪問控制技術（dac）中的訪問控制表和基于角色的訪問控制技術（rbac）的各個基本模型進行了重點的討論分析。研究計劃2010 11月中 畢業論文統一選題2011 2月底 確定畢業設計（論文）題目3月初旬 提交畢業論文（設計）開題報告和任務書3月中3月底 調研、查資料。4月初4月中 確定論文大綱，分類查閱相關資料4月底5月下 論文的初步撰寫，并進行相關的資料查閱與修改5月底6月初 撰寫畢業論文，并與指導老師進行討論以修改，對論文定稿，進行論文答辯的ppt制作6月中 準備論文答辯特色與創新1. 該技術當前網絡發展與網絡安全重要性提高的必然重視性產物2. 該技術的發展快，潛力大，應用廣3. 該技術具有較強的研究價值與實際應用價值。指導教師意見教研室意見學院意見目 錄1 引言12 訪問控制的概念與策略13 訪問控制的技術23.1 入網訪問控制23.2 網絡權限控制33.3 目錄級安全控制33.4 屬性安全控制43.5 服務器安全控制44 訪問控制類型44.1 自主訪問控制（dac）54.1.1 自主訪問控制(dac)的實現機制54.1.2 自主訪問控制(dac)的訪問控制表54.1.3 自主訪問控制(dac)優缺點74.2 強制訪問控制(mac) 84.2.1 強制訪問控制(mac)概念84.2.2 強制訪問控制(mac)優缺點84.3 基于角色的訪問控制技術（rbac）94.3.1 基本模型rbac0 rbac0的基本構成與實現機制 rbaco的形式定義114.3.2 角色分級模型rbacl rbacl的基本構成與實現機制 rbacl的形式定義124.3.3 角色約束模型rbac2 rbac2的基本構成 rbac2的形式定義 rbac2的實現機制134.3.4 基于角色的訪問控制技術（rbac）優缺點145 典型案例一個基于角色的訪問控制系統155.1 系統的開發背景與開發目標155.2 系統業務功能簡介165.3 系統分析165.3.1 組織結構165.3.2 用戶和角色175.3.3 角色等級和權限的定義175.3.4 角色約束185.4 系統設計186 結束語19參考文獻19英文摘要20致謝20附錄21訪問控制技術研究摘要：訪問控制是信息安全的重要組成部分，也是當前注重信息安全的人們關注的重點。本文對訪問控制的基本概念、訪問控制技術涉及的各項基本技術以及主要的訪問控制類型進行了研究，如自主訪問控制技術（dac）、強制訪問控制技術（mac）和基于角色的訪問控制技術（rbac），并對每種訪問控制技術進行了概念、實現方式以及其優缺點的總結。其中對自主訪問控制技術（dac）中的訪問控制表和基于角色的訪問控制技術（rbac）的各個基本模型進行了重點的討論分析。關鍵字：自主訪問控制技術，訪問控制表，強制訪問控制技術，基于角色的訪問控制技術1 引言隨著全球網絡化和信息化的發展，計算機網絡已經深入到社會生活的各個方面，許多敏感的信息和技術都是通過計算機進行傳輸、控制和管理，尤其是近年來網絡上各種新業務的興起，如網絡銀行、電子政務和電子商務的快速發展，網絡的重要性及其對社會的影響也越來越大。隨之而來的問題是網絡環境同益復雜， 安全問題也變得日益突出，僅僅依靠傳統的加密技術已不能滿足網絡安全的需要。國際標準化組織(iso)在網絡安全標準(is074982)中定義了5個層次型安全服務：身份認證服務、訪問控制服務、數據保密服務、數據完整性服務和不可否認服務，而訪問控制便是其中的一個重要組成部分。2 訪問控制的概念與策略所謂訪問控制，就是在鑒別用戶的合法身份后，通過某種途徑顯式地準許或限制用戶對數據信息的訪問能力及范圍，從而控制對關鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。訪問控制技術的實現是基于訪問控制中權限的實現也就是訪問控制的策略。訪問控制策略定義了在系統運行期間的授權和非授權行為，即哪些行為是允許發生的，那些是不允許發生的。一般分為授權策略(authorization policies)和義務策略(obligation policies)。授權策略是指對于客體，那些操作是允許的，而那些操作是被禁止的；義務策略是指主體必須執行或不必執行的操作，是主體的義務。訪問控制的基本概念有： 1）主體(subjeet) 主體是指主動的實體，是訪問的發起者，它造成了信息的流動和系統狀態的改變，主體通常包括人、進程和設備。2）客體(object) 客體是指包含或接受信息的被動實體，客體在信息流動中的地位是被動的，是處于主體的作用之下，對客體的訪問意味著對其中所包含信息的訪問。客體通常包括文件、設備、信號量和網絡節點等。3）訪問(access) 訪問(access)是使信息在主體(subject)和客體(object)之間流動的一種交互方式。4）權限(access permissions)訪問權限控制決定了誰能夠訪問系統，能訪問系統的何種資源以及如何使用這些資源。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據。訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日志和審計等等1-2。訪問控制是保證網絡安全最重要的核心策略之一，它涉及的技術也比較廣，它包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。3 訪問控制的技術3.1 入網訪問控制入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。 用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合，用戶口令必須經過加密。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。 網絡管理員可以控制和限制普通用戶的賬號使用、訪問網絡的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。 用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網絡的訪問“資費”用盡時，網絡還應能對用戶的賬號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。 3.2 網絡權限控制 網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽（irm）可作為兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類：特殊用戶（即系統管理員）；一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用訪問控制表來描述。 3.3 目錄級安全控制 網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、訪問控制權限。用戶對文件或目標的有效權限取決于以下兩個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問 ，從而加強了網絡和服務器的安全性。 3.4 屬性安全控制 當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。 3.5 服務器安全控制 網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。4 訪問控制類型訪問控制機制可以限制對系統關鍵資源的訪問，防止非法用戶進入系統及合法用戶對系統資源的非法使用。目前，訪問控制技術主要有三種：基于授權規則的、自主管理的自主訪問控制技術（dac），基于安全級的集中管理的強制訪問控制技術(mac)和基于授權規則的集中管理的基于角色的訪問控制技術（rbac）。其中rbac由于能進行方便、安全、高效的授權管理，并且擁有策略中性化、最小特權原則支持、以及高校的訪問控制管理等諸多優良的特性，是現在研究的熱點1。4.1 自主訪問控制(dac) 自主性訪問控制是在確認主體身份及其所屬的組的基礎上對訪問進行控制的一種控制策略。它的基本思想是：允許某個主體顯示的指定其他主體對該主體所擁有的信息資源是否可以訪問以及執行。4.1.1 自主訪問控制(dac)的實現機制自主訪問控制有兩種實現機制：一是基于主體dac實現，它通過權限表表明主體對所有客體的權限，當刪除一個客體時，需遍歷主體所有的權限表；另一種是基于客體的dac實現，它通過訪問控制鏈表acl(access control list)來表明客體對所有主體的權限，當刪除一個主體時，要檢查所有客體的acl。為了提高效率，系統一般不保存整個訪問控制矩陣，是通過基于矩陣的行或列來實現訪問控制策略。基于行(主體)的矩陣是表明主體隊所有客體的權限，基于行的矩陣的優點是能夠快速的找出該主體對應的權限集。目前以基于列(客體) 的訪問控制表acl實際應用較多，但是主要應用于操作系統。acl的優點是表述直觀、易于理解，比較容易查出對一定資源有訪問權限的所有用戶，能夠有效的實施授權管理。但在應用到規模較大、關系復雜的企業時，管理員為了實現某個訪問策略需要在acl中設定大量的表項；而且當某個用戶的職位發生變化時，管理員需要修改該用戶對所有資源的訪問權限，使得訪問控制的授權管理需要花費大量的人力，且容易出錯。4.1.2 自主訪問控制(dac)的訪問控制表 訪問控制表(access control list，acl)是基于訪問控制矩陣中列的自主訪問控制。它在一個客體上附加一個主體明晰表，來表示各個主體對這個客體的訪問權限。明細表中的每一項都包括主體的身份和主體對這個客體的訪問權限。如果使用組(group)或者通配符(wildcard)的概念，可以有效地縮短表的長度。acl實際上是一種把能夠訪問客體的主體列表與該客體結合在一起的形式，并以這種形式把訪問控制矩陣豎列的控制信息表達出來的一種實現方式3。acl的結構如下圖4-1所示：圖4-1 acl結構(acl structure)訪問控制表是實現自主訪問控制比較好的方式，下面通過例子進行詳細說明。對系統中一個需要保護的客體oj附加的訪問控制表的結構所示。圖4-2 訪問控制表舉例在上圖4-2的例子中，對于客體oj,主體s0具有讀(r)和執行(e)的權利；主體s1只有讀的權利；主體s2只有執行的權利；主體sm具有讀、寫(w)和執行的權利。但是，在一個很大的系統中，可能會有非常多的主體和客體，這就導致訪問控制表非常長，占用很多的存儲空間，而且訪問時效率下降。解決這一問題就需要分組和使用通配符。在實際的多用戶系統中，用戶可以根據部門結構或者工作性質被分為有限的幾類。一般來說，一類用戶使用的資源基本上是相同的。因此，可以把一類用戶作為一個組，分配一個組名，簡稱“gn”，訪問是可以按照組名判斷。通配符“*”可以代替任何組名或者主體標識符。這時，訪問控制表中的主體標識為：主體標識=id.gn 其中，id是主體標識符，gn是主體所在組的組名。請看圖4-3的示例。圖4-3 帶有組和通配符的訪問控制表示例在上圖4-3的訪問控制表中，屬于info組的所有主體都對客體oj具有讀和執行的權利；但是只有info組中的主體1iu才額外具有寫的權限；無論是哪一組中的zhang都可以讀客體oj；最后一個表項說明所有其他的主體，無論屬于哪個組，都不具備對oj有任何訪問權限。在訪問控制表中還需要考慮的一個問題是缺省問題。缺省功能的設置可以方便用戶的使用，同時也避免了許多文件泄露的可能。最基本的，當一個主體生成一個客體時，該客體的訪問控制表中對應生成者的表項應該設置成缺省值，比如具有讀、寫和執行權限。另外，當某一個新的主體第一次進入系統時，應該說明它在訪問控制表中的缺省值，比如只有讀的權限。4.1.3 自主訪問控制(dac)優缺點dac的優點： 1)訪問控制的粒度足單個用戶，能夠在一定程度上實現權限隔離和資源保護。2)能夠不加控制地使信息從一個可以被寫的客體流向一個可以被讀的客體。3)用戶可以隨意地將自己擁有的訪問權限授予其他用戶，之后也可以隨意地將所授予的權限撤銷。4)由于自主訪問控制將用戶權限與用戶直接對應，因此自主訪問控制具有較高的訪問效率。dac的缺點：1)信息在移動過程中其訪問權限的關系可能會發生改變，這使得管理員難以確定哪些用戶對哪些資源具有訪問權限，不利于實現統一的全局訪問控制，使其在資源共享方而難以控制。2)dac中資源管理比較分散，用戶間的關系不能在系統中體現出來，且不易管理，信息容易泄露，無法抵御特洛伊木馬的攻擊。一旦帶有特洛伊木馬的應用程序被激活，它可以任意泄漏和破壞接觸到的信息，甚至改變這些信息的訪問授權模式。3)授權管理繁瑣，需要對每個資源指定可以訪問的用戶以及相應的權限，當用戶的情況發生變化時需要進行大量的修改操作，并且每個子系統都要維護自己的訪問控制列表，使得整個系統的統一管理非常困難，容易產生安全漏洞2。4.2 強制訪問控制(mac) 4.2.1 強制訪問控制(mac)概念強制訪問控制(mac，mandatoryaccess control)是由美國政府和軍方聯合研究出的一種控制技術，目的是為了實現比dac更為嚴格的訪問控制策略。它是基于主體-客體的安全級別，要求主體客體關系具有良好的層次結構，只允許信息從低安全級別的實體流向高安全級別的實體，一般用于多級安全軍事系統。每個主體和客體都有自己既定的安全屬性，主體對客體是否具有訪問權限取決于二者安全屬性之間的關系。mac 將主體和客體分級，預先定義用戶的可信任級別及信息的敏感程度(安全級別)，如可以分為絕密級、機密級、秘密級、無密級等。系統根據主體和客體的級別標記來決定訪問模式。當用戶提出訪問請求時，系統對兩者進行比較以確定訪問是否合法，是一種系統強制主體服從事先制定的訪問控制策略。mac可以通過使用敏感標記對所有用戶和資源強制執行安全策略4。如下圖4-45：圖4-4 強制訪問控制訪問模式主體（用戶、進程）：被分配一個安全等級；客體（文件、數據）：也被分配一個安全等級；訪問控制執行時對主體和客體的安全級別進行比較。4.2.2 強制訪問控制(mac)優缺點mac的優點是：1）它是管理集中，根據事先定義好的安全級別實現嚴格的權限管理，因此適合對于安全性要求較高的應用環境，如美國軍方就一直使用這種訪問控制模型6。2）通過信息的單向流動來防止信息擴散，能夠抵御特洛伊木馬對系統保密性的攻擊。mac的缺點是： 1)根據用戶的可信任級別及信息的敏感程度來確定它們的安全級別，在控制粒度上不能滿足最小權限原則。2)應用領域比較窄，使用不靈活。一般只用于軍事等具有明顯等級觀念的行業或領域7-9。3)主體訪問級別和客體安全級別的劃分與現實要求無法一致，在同級別間缺乏控制機制，管理不便。因為只有子系統的管理員才能制定出合適該子系統的訪問控制模式，而整個系統的管理員不可能指定出適合各個子系統的統一的訪問控制模式。4)完整性方面控制不夠。重點強調信息從低安全級向高安全級的方向流動， 對高安全級信息的完整性保護強調不夠。4.3 基于角色的訪問控制技術（rbac）在傳統的訪問控制中，主體始終是和特定的實體捆綁對應的。例如，用戶以固定的用戶名注冊，系統分配一定的權限，該用戶將始終以該用戶名訪問系統，直至銷戶。其間，用戶的權限可以變更，但必須在系統管理員的授權下才能進行。然而在現實社會中，這種訪問控制方式表現出很多弱點，不能滿足實際需求。基于角色的訪問控制模式(role based access control，rbac)就是為了克服傳統訪問控制中的問題而提出來的。迄今為止，已經討論和發展了4種基于角色的訪問控制（role-base）模型，下圖4-5所示是它們之間的相互關系：圖4-5 rbac家族系列關系示意圖其中rbac0為基本模型，rbac1為角色分級模型，rbac2為角色限制模型，rbac3為統一模型10。4.3.1 基本模型rbac0 rbac0的基本構成與實現機制下圖4-611給出了rbac0的基本構成：圖4-6 rbaco的基本構成rbaco由4個基本要素構成，即用戶(u)、角色(r)、會話(s)和授權(p)，一個數據庫系統中，定義并存在著多個用戶，定義并存在著多個角色，同時對每個角色設置了多個權限關系，稱之為權限的賦予(pa)。授權機制從某個角度看可以視為在系統內通過特定的操(action)將主體與動作客體(數據或其他資源)聯結起來，語義可以是允許讀、允許修改和允許創建等，在不同系統中，客體的種類可能非常不同，例如，在操作系統中考慮的客體一般是諸如文件、目錄、端口和設備籌，操作則為讀取、寫入、打開、關閉和運行等，在數據庫系統中則是考慮諸如關系、表、視圖、記錄、字段和值等。也可以針對具體應用的需求將一個完整的子網絡視為一個授權操作處理的對象一角色，操作則為選取、修改、刪除和插入等。rolebase模型中授權就是將這些客體的存取訪問的權限在可靠的控制下連帶角色所需要的操作一起提供給那些角色所代表的用戶，通過授權的管理機制，可以給予一個角色以多個權限，而一個權限也可以賦予多個角色，同時一個用戶可以扮演多個角色，一個角色又可以接納多個用戶。不難看出，相比于用戶互相授權之間的直接關聯的做法，通過rolebase模型數據庫系統能夠以較為簡單的方式向最終用戶提供語義更加豐富的、得到完整的控制的存取功能10。 rbaco的形式定義rbaco模型的組成包括下列幾個部分：1)u、r、p以及s(用戶、角色、授權和會話)；2)pap*r，pa是授權到角色的多對多的關系：3)uau*r，ua是用戶到角色的多對多的關系：4)roles (si) r|(user(si)，r)ua其中，user：su，將各個會話映射到一個用戶去的函數user(si)。roles：s2r，將各個會話si與一個角色集合連接起來的映射，可以隨時間變化而變化，且會話si的授權srroles(si)p |(p，r)pa在role-base中每個角色至少具備一個授權，而每個用戶至少扮演一個角色，雖然在形式定義上并不要求這一點12。4.3.2 角色分級模型rbacl rbacl的基本構成與實現機制下圖4-711給出了rbac1的基本構成：圖4-7 rbacl的基本構成在一般的單位或組織中，特權或職權通常是有繼承關系的，上級領導(角色)所得到的信息訪問權限高于下級職員的權限，因此在rolebase中引進一定的層次結構用以反映這個實際情況是自然的，在多級安全控制系統內，存取類的保密級別是線性排列的。其中安全策略的一個要求就是：要想合法地獲得信息，提出存取請求的人員的存取類的級別就要大于信息的存取類級別，rbaci中支持的層次關系可以容易地實現多級安全系統所要求的保密級別的線性排列的要求。多級安全系統的另一個要求就是要能夠支持范疇的安排，其中的范疇是互相獨立的和無序的。為了獲得信息的存取權，提出存取請求的人員必須屬于一定的存取類，存取類的范疇的集合應該包括信息存取類的全部范疇。角色的層次結構rbacl，rh中的角色可以容易地實現所要求的保密存取類的范疇的要求。用數學的語言來說，就是要求所使用的安全模型必須是偏序的。rbac，對層次角色的支持包括了偏序模型的支持10。 rbacl的形式定義rbac1模型的組成包括下列幾個部分：1)u、r、p以及s(用戶、角色、授權和會話)；2)pap*r，pa是授權到角色的多對多的關系：3)uau*r，ua是用戶到角色的多對多的關系：4)rhr*r，rh是角色上的一個偏序關系，稱之為角色層次關系成支配關系，一般記作“”；5)roles (si) r|(rr)(user(si)，r)ua。其中：user：su，將各個會話映射到一個用戶去的函數user(si)。roles：s2r，將各個會話si與一個角色集合連接起來的映射，可以隨時間變化而變化，且會話si的授權srroles(si)p|(p，r)pa12。4.3.3 角色約束模型rbac rbac2的基本構成下圖4-811給出了rbac2的基本構成：圖4-8 rbac2的基本構成 rbac2的形式定義rbac2，包含了rbaco所有的基本特性，除此之外增加了對rbaco的所有組成元素的核蠢過程，只有擁有有效值的元素才可被接受。在rbac2中約束條件指向ua、pa和會話中的user、role等函數。一般說來，最好是根據其實際的類型和屬性加以陳述。這樣就要考慮語言等環境，所以較難給約束模型一個嚴格的形式定義。在實際的安全數據庫管理系統中，約束條件和實現的方式各有不同，多數專家傾向于采取盡可能簡單而又高效的約束條件，作為實際rolebase系統的約束機制。 rbac2的實現機制rbaco的另一個增強方向是rbac2，即所謂的約束模型。rbacl和rbac2之間是互不相關的，因此也就是不可比較的。作為一個完整的安全模型，約束增強是非常重要的性能。在絕大多數組織中，除了角色的層次關系外，經常要考慮的問題是類似于這樣的情況：一個公司的采購員和出納員雖然都不算是高層次的角色，但是任何一個公司都絕不會允許同時給某一個具體人員分配這兩個角色。因為，這種工作安排必然導致欺詐行為的發生。不論一個具體的系統中是否具備層次角色的機制，約束機制都是很重要的。特別是對于高級決策層，約束機制的作用更是重要。當整體上確定了對某一個角色的分配的約束條件后，公司的領導層就可以不必再操心具體的實施了。當role-base的管理集中在一個系統管理員時，約束機制至少可以使得管理工作輕松一些。對于一個特別大的系統，這是很重要的，因為高級系統管理人員就可以通過規定約束條件來指導和控制下級的系統管理人員的操作不致有失誤和越軌之處。實際上，通過約束機制，rolebaseac就可以實現強制安全控制，而且包括了對rolebase本身的管理和控制10。4.3.4 基于角色的訪問控制技術（rbac）優缺點rbac的優點：1）通過角色概念的引入，實現了用戶與訪問權限的邏輯分離，即先給角色分配權限，再給用戶分配相應的角色，從而該用戶具有了與該角色相關聯的權限；2）實現了根據用戶在系統中所處的位置及作用設置相應的訪問權限；3）rbac以對角色的控制取代了dac和mac中直接對用戶的控制，增加了系統的靈活性；4）最小特權原則的實施，保證了用戶只具有完成特定任務所必須的權限，防止了用戶具備過大的對系統資源進行訪問的權限；5）方便管理員對權限的管理。在定義好了權限和角色后，只需進行簡單的角色分配或取消，即可完成用戶權限的分配與取消。rbac的缺點：1）在rbac中進行了職責分離，使得原來對身份標識的竊取惡化為對角色的竊取；2）任何一個對象或主體會因此損害到整個對象組或用戶組；3）角色的繼承不加限制的權限授予會導致違背安全性策略；4）角色重疊的模糊本質、為用戶指定多種角色以及將對象指定到多個對象訪問組，會使錯誤配置成為一種實際的風險；5)最后rbac的角色層次圖中的許多都只有理論模型和算法描述,實現困難，并且許多理論框架依然不清楚，沒有完整的代數描述。對于模型中的限制的研究#將角色的互斥進行分類，定義了理論上的安全級別，不過實際中幾乎無法使用，僅有理論意義。 再有，許多模型的代數描述非常復雜，很抽象，很難理解，需要很好的數學基礎，不易推廣13。5 典型案例一個基于角色的訪問控制系統5.1 系統的開發背景與開發目標以下為某公司開發的一套在局域網絡環境下運行、b/s模式web版的業務系統管理軟件，軟件功能強大，包含9個大模塊，9大模塊下又包括100多個子模塊。由于數據涉密范圍不同，因此對用戶的操作權限有非常嚴格的限制。目前，在軟件的訪問控制實現上，采用傳統訪問控制策略，對系統中的所有用戶進行一維的權限管理，這樣，一個用戶往往要針對9大模塊，以及9個模塊下的若干個子模塊進行授權管理。在實現起來，操作很煩瑣，既不能有效適應安全性需求，也不能快速實現。如下圖5-1：圖5-1 授權系統界面而單位各科室人員的調動又很頻繁，這樣就造成系統管理員的負擔很重，且多是重復勞動。為了解決這一問題，使管理人員從權限管理重復勞動的負擔中解放出來，根據他們在其本行業多年積累下來的經驗，參考了其它同行的成功經驗整合了先進的思想，認為基于角色的訪問控制能有效解決他們工作中遇到的問題。因此需要開發出一套功能完善而且又靈活方便的安全管理系統，以此提高業務軟件的安全性。5.2 系統業務功能簡介由于該處開發的業務管理系統涉密較深，不能詳細介紹它的功能、模塊。因此就對軟件進行了脫密處理，就業務系統的基本架構與功能菜單做一個簡單地、類似的介紹，但能反映出其設計思想。下圖5-2為業務軟件功能菜單示例：圖5-2 業務軟件功能菜單由上圖5-2可以看到，本業務管理系統包含4大模塊，數據查詢、數據維護、文秘管理和人事管理，而4大模塊又包含若干子模塊。其對數據按涉密范圍不同，分為a類數據和b類數據，被授予不同訪問權限的操作人員只能訪問他被授權的數據。例如：系統管理員只能為用戶分配權限，不能讀取、修改任何涉密數據；a類和b類數據的維護工作(增、刪、改)只能由專門的維護人員操作；從事于人事管理、行政管理的人員也不能訪問涉密數據：同樣的，具有訪問a類數據的用戶不能訪問b類數據，具有訪問b類數據的用戶也不能訪問a類數據。5.3 系統分析5.3.1 組織結構下圖5-3為其組織結構關系圖，它清晰地顯示了各部門之間的領導關系，以及每個部門內部的人員職責分工等情況。圖5-3 組織結構關系圖5.3.2 用戶和角色其實在現實生活中也經常提到某人扮演了什么角色，處長還是副處長。不過在rbac中的角色與實際的角色概念有所不同。在一個rbac模型中，一個用戶可以被賦予多個角色，一個角色也可以對應多個用戶，它們之間是多對多的關系，這些角色是根據系統的具體實現來定義的；同樣的一個角色可以擁有多個權限，一個權限也可以被多個角色所擁有。在他們這套系統里，用戶是指自然人，角色就是組織內部一件工作的功能或者工作的頭銜，表示該角色成員所授予的職權和責任。他們根據組織機構、業務崗位不同，定義了以下幾種角色：處長、數據查詢科科長，a類數據查詢科員，b類數據查詢科員。數據維護科科長，數據增、改科員，數據刪除科員。辦公室主任，辦公室科員，人事管理科科長，人事管理科數據維護科員，人事管理科普通科員，系統管理員。5.3.3 角色等級和權限的定義rbac模型中引入了角色等級來反映一個組織的職權和責任分布的偏序關系，以上應用系統為例，上圖顯示了該應用系統中角色的簡化等級。其中高等級角色在上方，低等級角色在下方。等級最低的角色是科員，科長、主任高于科員，處長高于科長，所以科長繼承了科員，處長繼承了科長，顯然角色等級關系具有反身性、傳遞性和非對稱性，是一個偏序關系。由上圖5-3，我們可以看到，我們定義了12個角色，數據增、改科員負責a、b類數據的增加和修改，但不具備刪除數據功能：數據刪除科員負責a、b類數據的刪除；數據維護科科長繼承了數據增、改科員和數據刪除科員的權限，既能對數據進行增、刪、改、查：a類數據查詢科員只能查詢數據庫中的a類數據；b類數據查詢科員只能查詢數據庫中的b類數據；而數據查詢科的科長繼承了a類數據查詢科員和b類數據查詢科員的權限，能對a、b類數據進行查詢；辦公室科員負責本處的收發文登記；辦公室主任繼承了數據查詢科科長和辦公室科員的權限，既能查詢a、b類數據，也能查看收發文情況；人事科的普通科員只能查詢黨員管理、警銜管理、工資管理的數據：人事科數據維護員繼承了人事科普通科員的權限，還能對黨員管理、警銜管理、工資管理的數據進行增、刪、改、查：人事科科長繼承了人事科數據維護員的權限，擁有了數據維護員的權限：處長在這里處于最高級別，他繼承了數據維護科科長、辦公室主任人事科科長的權限，能進行所有的權限操作。同時還有一個系統維護員的角色，它只能對用戶進行權限分配，而不能訪問所有的數據。5.3.4 角色約束rbac模型引進了約束概念。rbac中的一個基本的約束稱為“相互排斥”角色約束，由于角色之間相互排斥，一個用戶最多只能分配到這兩個角色中的一個。例如：在數據查詢科科員當中，一個人不能即查詢a類數據，又查詢b類數據，在數據維護科科員當中，一個人不能對數據進行增、刪、改的所有操作。另外，“基本限制”約束規定了一個角色可被分配的最大用戶數。在我們研制的系統中，處長這個角色最多被賦予5個人，數據維護科科長、