中山大學碩士學位論文基于胄 色的帶時限的轉授權與撤銷模型的研究與宴現 基于角色的帶時限的轉授權與撤銷模型的研究與實現 計算機系統結構專業 碩士生 楊虹軼 指導教師 湯庸教授 摘要 當前基于角色的訪問控制系統完全依賴于管理者的集中管理方式 不能夠滿 足分布式環境下的系統管理的需求 基于角色的轉授權模型更適于分布式環境的 授權管理 同時 時間是自然界無所不在的客觀屬性 所有的信息都具有相應的 時間屬性 通過在轉授權模型中引入時間的因素 能夠更好地控制用戶之間的轉 授權與撤銷的過程 目前已有的轉授權模型的研究都僅限于基于常規角色的轉授權與撤銷 r d m 系列模型 r o l e b a s e dd e l e g a t i o nm o d e l 只有轉授權的有效期到期將其自動撤銷 的概念 沒有將時間因素引入到模型里 而t r d m 模型 t e m p o r a lr o l e b a s e d d e l e g a t i o nm o d e l 是帶時限的轉授權模型 但是不支持角色的部分轉授權 也 沒有詳細討論帶時限的用戶主動撤銷轉授權的機制 本文將對r d m 和t r d m 中的基于常規角色的轉授權與撤銷機制進行擴展 擴展后的模型稱為基于角色的帶時限的轉授權與撤銷模型 t e m p o r a lr o l e b a s e d d e l e g a t i o na n dr e v o c a t i o nm o d e l t r d r m 同時將時間因素 a r b a c a d m i n i s t r a t i v er b a c 的思想 s a r b a c s c o p e d a r b a c 的管理范圍的定 義引入到t r d r m 中 從而在支持常規角色的轉授權與撤銷的同時 也支持管理 角色的轉授權與撤銷 是集中管理方式和分布式管理方式的有效結合 本文的最后對t r d r m 中的轉授權與撤銷機制的核心功能進行了實現 是將 t r d r m 模型應用到本人所參與的科研機構協同工作平臺項目里的一個探索 關鍵詞 訪問控制 基于角色 轉授權 時限 管理角色 巾i h 大學碰士學位論文 基于角色的帶時限的轉授權與撒銷模型的研究與實現 r e s e a r c ha n di m p l e m e n to fat e m p o r a lr o l e b a s e dd e l e g a t i o na n d r e v o c a t i o nm o d e l c o m p u t e ra r c h i t e c t u r e n a m e y a n gh o n g y i s u p e r v i s o r p r o f e s s o rt a n gy o n g a b s t r a c t r o l e b a s e da c c e s sc o n t r o li sa ne n a b l i n gt e c h n o l o g yf o rm a n a g i n ga n de n f o r c i n g s e c u r i t yi nl a r g e s c a l ea n de n t e r p r i s e w i d es y s t e m s r e s e a r c h e r sh a v ep r o p o s e dm a n y e n h a n c e m e n t so fr b a cm o d e l si nt h ep a s td e c a d e a n dd e l e g a t i o ni sa ni m p o r t a n t f a c t o rf o rs e c u r ed i s t r i b u t e dc o m p u t i n ge n v i r o n m e n t d e l e g a t i o nm o d e l sw i t hc a p a b i l i t i e st op r o c e s st e m p o r a li n f o r m a t i o ni sp o w e r f u l r d m r o l e b a s e dd e l e g a t i o nm o d e l a n dt r d m t e m p o r a lr o l e b a s e dd e l e g a t i o n m o d e l a r er e c e n t l yp u b l i s h e dd e l e g a t i o nm o d e l sf o c u s e do nr e g u l a rr o l ed e l e g a t i o n r d md e s c r i b e sar u l e b a s e df r a m e w o r kf o rr o l e b a s e d d e l e g a t i o na n dr e v o c a t i o n w i t h o u tt e m p o r a lf a c t o r t r d md e a l sw i t ht e m p o r a li n f o r m a t i o nb a s e do nr d mb u t o m i t su s e rr e v o c a t i o n t h i sp a p e rp r e s e n t sat e m p o r a lr o l e b a s e dd e l e g a t i o na n dr e v o c a t i o nm o d e l c a l l e dt r d r mb a s e do nb o t hr d ma n dt r d m t r d r mn o to n l ys u p p o r t sr e g u l a r r o l ed e l e g a t i o na n dr e v o c a t i o n b u ta l s os u p p o r t sa d m i n i s t r a t i v er o l ed e l e g a t i o na n d r e v o c a t i o n i ti sa ne f f e c t i v ew a yt ob u i l db r i d g eb e t w e e nc e n t r a lm a n a g e m e n ta n d d i s t r i b u t e dm a n a g e m e n t a p r o t o t y p ei m p l e m e n t a t i o no ft r d r m i sp r e s e n t e di nt h el a s tp a r to ft h i sp a p e r i t i st h ef i r s ts t e pt o i n c o r p o r a t et r d r mi n t ot h ec o l l a b o r a t i v ew o r kp l a t f o r m s y s t e m s k e y w o r d s a c c e s sc o n t r o l r o l e b a s e d d e l e g a t i o n t e m p o r a l a d m i n i s t r a t i v er o l e 中i i i 大學碩士學位論文 基于角色的帶時限的轉授權與撤銷模型的研究與實現 1 1 訪問控制的發展 第1 章緒論 訪問控制技術的研究一直是信息安全研究的熱點問題 訪問控制技術起源于 二十世紀七十年代 最初的需求是保護大型計算機系統的數據集的安全 1 9 7 2 年 a n d e r s o n 首先提出了引用監視器 r e f e r e n c e m o n i t o r 的概念 為訪問控制成 為一項關鍵的安全技術奠定了理論基礎 1 在隨后的三十多年中 先后出現了多種訪問控制模型 其中 自主訪問控制 d a c 強制訪問控制 m a c 基于角色的訪問控制 r b a c 為其他的 訪問控制模型的發展提供了重要思路 自主訪問控制在操作系統和數據庫系統中得到了廣泛的應用 然而在d a c 模型中 訪問權限的授予是可以傳遞的 一旦訪問權被傳遞出去將難以控制 會 帶來嚴重的安全問題 m a c 源于對信息機密性的要求以及防止特洛伊木馬之類 的攻擊 雖然m a c 增強了信息的機密性 但不能實施完整性控 1 1 2 1 1 9 9 2 年f e r r a i o l o 和k u h n 提出了r b a c 模型 3 隨后 s a n d h u 等人又給 出了r b a c 模型的一個比較完整的框架 r b a c 9 6 模型 4 到2 0 0 4 年初 r b a c 已成為a n s i 標準 r b a c 模型的突出優點是簡化了各種環境下的授權 管理 基于角色的訪問控制 r b a c 的本質是權限是通過角色來賦予的 而不 是直接授予給獨立的用戶個體 也就是說 用戶被賦予角色 而角色被授予了權 限 從而實現對用戶權限的控制 在這里 角色充當了用戶和權限的中介 即給 用戶授權的動作可以分成兩個邏輯上獨立的部分 一是給用戶指派一定的角色 二是給角色指派一定的權限 與用戶相比角色是相對穩定的 角色實際上是與特 定工作崗位相關的一個權限集 當用戶改變時只需進行角色的撤消和重新分配即 可 基于角色的訪問控制已經被廣泛認可為傳統的自主訪問控制和強制訪問控 制的替代方案 就目前的應用情況來講 基于角色的訪問控制策略是在大型系統 以及企業級應用系統中實施管理和執行安全策略的有效技術 同時 基于角色的訪問控制模型也衍生出來一系列擴展模型 主要包括擴展 基于角色的書時限的轉授救與撤銷模型的研究與實現 r b a c 的約束 r b a cc o n s t r a i n t 來增強其表達能力的研究 5 6 7 8 9 基 于角色的轉授權模型 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 等方面的研究 當然還有繼 續研究和探索的空間 r b a c 的約束 規定了為角色分配權限時 或者為用戶分配角色時 以及當 用戶在某一時刻激活一個角色時所應遵循的強制性規則 文獻 5 1c p 對授權約束的時間特性需求進行分析 提出一個帶時間特性的約束 描述語言r c l t r o l e b a s e dc o n s t r a i n t sl a n g u a g ew i t ht i m e c h a r a c t e r 文獻 6 中形式化描述了一個引入時間后的角色訪問控制模型 對原有授權約束進行了時 間擴充 提出了相應算法解決了時間授權約束和會話的狀態轉變問題 文獻 7 給出了一個角色激活受時間約束的模型t r b a c t e m p o r a l r o l e b a s e da c c e s sc o n t r 0 1 該模型通過角色觸發器 r o l et r i g g e r 支持角色激 活的依賴關系 文獻 8 則在文獻 7 的基礎之上 支持角色繼承關系下的時間約 束 文獻 9 主要探討時間約束與職責分離等其他約束的依賴關系 b a r k a 和s a n d h u 提出了基丁二角色的轉授權模型 1 0 稱為r b d m o 文獻 1 1 1 中z h a n g 等人提出的r d m 2 0 0 0 是對r b a c 以及r b d m 0 的擴展 該模型可以 支持角色繼承關系下的多步轉授權 而后z h a n g 等人又在r d m 2 0 0 0 的基礎上 對原有的模型進行了完善并做了概念原型的實現 1 2 文獻 1 3 提出了p b d m p e r m i s s i o n b a s e dd e l e g a t i o nm o d e l 轉授權模型 支持部分轉授權 b a n d m a n n 在文獻 1 4 1 中提出了一個受限的轉授權模型 可以很好地將權限 的授權和使用分離 并且可以有效地限制被授權權限的傳播 文獻f 1 5 的c r d m c o n s t r a i n e dr o l e b a s e dd e l e g a t i o nm o d e l 提出了基于角色的轉授權的約束的需 求 臨時性約束 部分性約束等探討得比較完善 不過它不是在角色繼承關系下 的研究 需要擴展多步轉授權中存在的約束 文獻1 1 6 1 中提出的x r d r 模型則是針i j w e b 信息系統的應用 使用x m l 來 描述轉授權策略 以及x m l 斗日關的技術完成轉授權的操作 從而實現對系統資 源的細粒度訪問 那么除此之外 同時也有在r b a c 的基礎之上根據不同的應用需求所做出的 擴展研究 文獻 1 7 1 提出的基于角色的c s c w 系統訪問控制模型 主要針對c s c w 環境 f l i h 大學碩士學位論文基于角色的帶時限的轉授權與撤銷模型的研究與實現 下的多用戶 交互 協作 實時 動態等特性 擴展r b a c 使其能較好地滿足c s c w 系統對訪問控制的需求 文獻 1 8 從協作環境下對訪問控制模型的要求 對幾種 模型的優缺點進行了對比分析 包括基于角色的訪問控制模型r b a c 基于任務 的訪問控制模型 t a s k b a s e da c c e s sc o n t r o l t b a c 基于用戶組的訪問控制 模型 t e a m b a s e da c c e s sc o n t r o l t m a c 空間訪問控制模型 s p a t i a la c c e s s c o n t r 0 1 上下文感知的訪問控制模型 c o n t e x t a w a r ea c c e s sc o n t r 0 1 等等 文獻 1 9 中的基于任務和角色的雙重w e b 訪問控制模型 文獻 2 的面向工作 流和服務的基于角色的訪問控制模型 都是在r b a c 的基礎上 針對工作流應用 的需求所做的擴展 1 2 與本文相關的研究工作 當前基于角色的訪問控制系統完全依賴于管理者的集中管理方式 不能夠滿 足分布式環境下的系統管理的需求 基于角色的轉授權模型更適于分布式環境的 授權管理 r d m 系列模型 r o l e b a s e dd e l e g a t i o nm o d e l 1 1 1 2 在r b d m o i o 以及 r b a c 3 4 1 的基礎上進行了擴展 但只有轉授權的有效期到期自動撤銷轉授權 關系的概念 沒有將時間因素引入到模型里 而t r d m 模型 t e m p o r a lr o l e b a s e d d e l e g a t i o nm o d e l 2 0 雖然將時間因素引入了轉授權模型 但是不支持角色的部 分轉授權 也沒有詳細討論帶時限的用戶主動撤銷轉授權的機制 p b d m 模型 1 3 1 則主要討論了如何靈活地支持部分轉授權的問題 但該模型的理論研究過于復 雜 實現起來十分困難 目前已有的轉授權模型的研究都僅僅限于基于常規角色的轉授權與撤銷 不 支持管理角色的轉授權與撤銷 雖然關于基于角色的訪問控制模型r b a c 的研 究相當多 但是利用r b a c 的原理去管理r b a c 系統的研究卻為數不多 其實 早在r b a c 9 6 就引入了管理角色的概念 到后來的a r b a c 9 7 a d m i n i s t r a t i v e r o l e b a s e da c c e s sc o n t r 0 1 2 1 a r b a c 0 2 1 2 2 以及s a r b a c s c o p e d a d m i n i s t r a t i o no f r o l e b a s e d a c c e s sc o n t r 0 1 模型的不斷補充完善 2 3 2 4 2 5 為本文擴展支持管理角色的轉授權與撤銷提供了研究思路 基于角色的爺時阻的轉授權與撤銷模型的研究與實現 1 3 本文所作的工作及意義 1 3 1 項目背景 本文的研究工作始于本人參與開發的項目 科研機構協同工作平臺項目 項目開發的目的在于研究與開發基于中小型科研機構管理的解決方案 實現 科研機構里的各項工作 比如教學 實驗室管理 論文管理等活動的電子信息化 該項目的成果將是極大的提高中小型科研機構的管理水平 提高效率 解決某些 中小型科研機構地點分散 人員眾多 教務繁忙 各種工作不能協調開展的問題 目前 此項目的訪問控制模塊的設計與開發是以r b a c 9 6 模型為指導的 是 一種靜態地訪問控制方式 不支持轉授權與撤銷 也沒有引入時間的因素進行有 效的動態控制 勢必不能滿足協同工作的需求 1 3 2 本文所做的工作 時間是自然界無所不在的客觀屬性 所有的信息都具有相應的時間屬性 通 過在轉授權模型中引入時間的因素 能夠更好地控制用戶之間的轉授權與撤銷的 過程 因此本文將對r d m 和t r d m 中的基于常規角色的轉授權與撤銷機制進行 擴展 同時將時間因素引入到擴展之后的模型中 并且利用a r b a c 的思想以 及s a r b a c 的管理范圍的定義 使擴展后的模型在支持常規角色的轉授權與撤 銷的同時 也支持管理角色的轉授權與撤銷 是集中管理方式和分布式管理方式 的有效結合 本文所做的理論上的研究工作 主要包括以下六點 1 總結帶時限的轉授權樹的特點 并得出了形式化的結論 2 不僅支持帶時限的完全轉授權 也支持轉授角色中的部分權限 3 詳細討論了帶時限的用戶主動撤銷授權的處理機制 4 轉授權和撤銷操作若是對有效時間的更改 歸納分析了對轉授權樹的 結構產生影響之后的處理機制 5 擴展研究管理角色的轉授權與撤銷的處理機制 并重點討論了管理角 中山大學碩士學位論文 基于角色的帶時限的轉授權與撤銷模型的研究與宴現 色的轉授權樹與常規角色的轉授權樹之間建立聯系的問題 即如何管理和監控常 規角色的轉授權與撤銷操作的問題 6 定義重要的約束規則 包括靜態職責分離中的角色沖突與權限沖突 本文將擴展后的模型稱為基于角色的帶時限的轉授權與撤銷模型 t e m p o r a lr o l e b a s e dd e l e g a t i o na n dr e v o c a t i o nm o d e l t r d r m 最后 本文針對t r d r m 中的核心功能進行了實現 本文所實現的t r d r m 原型系統 是將t r d r m 模型應用到科研機構協同工作平臺項目里的一個探索 下一步工作則是把t r d r m 原型系統整合到此項目中 1 3 3 本文的結構安排 第一章是緒論部分 簡單介紹訪問控制的發展 本文所做的工作及意義 第二章介紹與本文的研究相關的基礎知識 包括時態相關的基礎知識 訪問 控制的基礎知識 重點介紹了轉授權與撤銷的基礎概念 第三章介紹了本文擴展研究的重點對象 r d m 模型和t r d m 模型 并分析 了這兩個模型存在的不足 提出本文的研究思路 第四章形式化地描述了本文擴展之后的轉授權與撤銷模型t r d r m 詳細分 析了引入時間因素之后的轉授權與撤銷的各種情形對轉授權樹造成的影響如何 處理的機制 同時使用了基于規則的策略描述語言定義了授權判定的規則以及重 要的約束規則 第五章在第四章的基礎之上 把對常規角色的轉授權與撤銷機制的處理擴展 到管理角色的轉授權與撤銷的方面 并且結合a r b a c 的思想以及s a r b a c 中 的管理范圍的重要概念 在常規角色的轉授權樹與管理角色的轉授權樹之間建立 了聯系 以達到管理和監控的目的 第六章則是對t r d r m 模型的一個原型實現 針對t r d r m 模型中的核心功 能進行了實現 下 步工作是將其整合到本人參與的項目 科研機構協同工作 平臺中去 中山大學碩士學位論文 基于角色的帶時限的轉授救與撤銷模 牲的研究與實現 第2 章相關基礎知識介紹 本章介紹與本文的研究相關的基礎知識 關于時態的基礎知識來自文獻 1 2 6 1 訪問控制的基礎知識來自文獻 1 轉授權與撤銷相關的基本概念來自文獻 1 2 1 3 1 6 2 7 2 1 關于時態的基礎知識 2 1 1 時態信息 在現實世界中 時間無時不有 無處不在 客觀世界中的事物都帶有時問的 屬性 描述現實世界的帶有時間屬性的信息系統 稱為時態信息系統 這些系統 中的記錄的信息是隨時間變化的 這種隨時問變化的信息稱為時態信息 t e m p o r a li n f o r m a t i o n 時態信息需要用數據庫進行記錄 這些用于記錄時態信息的數據就是時態數 據 t e m p o r a ld a t a 時態數據在計算機系統中一般保存在數據庫系統中 2 1 2 時間模型 在自然界中 時問是每時每刻都存在 連續發生且一去不復的 它在時問軸 上是連續存在的 從計算機科學的角度來看 如何量化時間和確定某個時問點或 者時間段 這關系到如何確定時間模型 基于對時間軸結構的選擇 時問模型可以劃分成如下幾種模型 1 連續模型 c o n t i n u o u sm o d e l 連續模型把時問看作是同構于實數 每一個實數對應于一個時間點 這種模 型能夠最精確地為時間建模 但是由于現代計算機基于數字邏輯的工作方式 所 以不可能無失真地記錄時間 2 步進模型 s t e p w i s em o d e l 步進模型把數據的狀態看成是時間的函數 當時間點上的數據狀態發生變化 時才址錄狀態變化 否則保持不變 在這種模型下 時間序列上任一點上數據的 基于角色的帶時限的轉授權與撤銷模墅的研究與實現 值對應于上一次數據改變時保持的狀態 如果要查詢當前數據的取值 則需要回 溯 3 離散模型 d i s c r e t em o d e l 離散模型把時間和整數映射起來 且在相鄰的兩個時間點之間不存在另一個 時間點 任一時間點有前驅和后繼時間點 在實際應用中 該模型適用于記錄那 些在關鍵時間點上才 有意義的數據 4 恒定模型 n o nt e m p o r a lm o d e l 有些數據是不隨時間變化的 例如籍貫 出生地等 這些數據只有本身固有 的屬性 在一般情況下 建模時通常沒有充分考慮值隨時間變化的情況 2 1 3 時間基本元素單位 時間元素 t i m ee l e m e n t 就是指表示時間屬性值的元素 時間元素在時態 信息系統中有著基礎的地位 它對于正確有效的表達記錄的時間屬性有著重要的 意義 1 時間點 基于點的時間將是時間離散化 事物或者事件的時間屬性用時間點表示 用 時間點的形式來表示時問元素 這和系統的時間量子及時間粒度的關系較大 基 于點 p o i n t b a s e d 的時間元素 又稱為時間點 或稱時刻 t i m ep o i n t 這種 描述方式把時間看成一個個離散的時間點 這些離散化的時間點的間隔大小適度 時 就可以準確地描述現實世界事件發生及變化的狀況 2 時間區間 在基于區間 i n t e r v a l b a s e d 的時間元素中 時間的基本單位為時間段或者 時間區間 即通過描述時間段的起始點和終止點來描述時間區間 時問區間是指 一段時問 有固定的起止時間點 3 時間跨度 時間跨度 t i m es p a n 是指持續的一段時間 表示時問的長度 在數據庫 系統內 一般用一個整數表示時間跨度 與時間區間不同的是 時間跨度沒有時 間起點 也沒有時間終點 中i i i 大學碩士學位論文基于角色的帶時限f n 轉授權與撤銷模型的研究與實現 4 時間集合 時間集合 t i m es e t 也稱時間域 t e m p o r a ld o m a i n 時間域是一些時間 區間 i n t e r v a l 的有窮并集 2 1 4 時態元素關系 時間的表示可以分成兩大類 基于時間點的表示和基于時問區間的表示 由此可以把時態關系分成三大類 分別是時態區間之間 時態區間與時間點之間 時間點之間的時態關系 基于時間點的時間處理方法是將時間看成是離散的 基于時間區間的處理 方法是將時間看作是連續型的 1 a l l e n 的時態區間關系 a l l e n 在1 9 8 3 年發表的論文 m a i n t a i n i n gk n o w l e d g ea b o u tt e m p o r a li n t e r v a l s 中指出十三種時態區間的關系 如表2 一l 表中的t 1 和t 2 表示兩個時態區間 表2 1a l l e n 的十三種時態區間的關系 時態區間解釋 b e f o r e t l t 2 t 1 比1 2 早開始 同時t 1 與t 2 之間沒有相交 a f t e r t l t 2 t 1 比t 2 晚開始 同時t l 與t 2 之間沒有相交 d u r i n g t 1 t 2 t 1 比t 2 晚開始 且早結束 即在時間軸上t 1 的區間范圍被包含在t 2 的區間范圍內 c o n t a i n s t 1 t 2 t 1 比t 2 早開始 且晚結束 即在時間軸上1 1 的區間范圍包括r t 2 的 區間范圍 o v e r l a p s t 1 t 2 1 1 比t 2 早開始 且兩個區間在時間軸上有相交 o v e r l a p p e d b y t 1 t 2 1 1 比t 2 晚開始 且兩個區間在時問軸上沒有相交 m e e t s t l t 2 t l 比t 2 早開始 且t l 和t 2 之問沒有其他時態區間 即t 2 開始于t 1 的結束點 m e t b y t l t 2 t l 比t 2 晚開始 且t 1 與t 2 之間沒有其他時態區間 即t 1 開始于t 2 的結束點 s t a r t s t 1 t 2 t l 和t 2 有共同的起始點 但1 1 比c 2 先結束 s t a r t e d b y t l t 2 t l 和t 2 有共同的起始點 但t 2 比t l 先結束 f i n i s h e s t 1 t 2 t l 硐 t 2 有共同的結束點 但t l 比t 2 晚開始 f i n i s h e d b y t l t 2 t l 和c 2 有共同的結束點 但1 2 比t 1 晚開始 e q u a l s t 1 t 2 t 1 和t 2 有共同的時間區間 即1 1 和t 2 在時間軸一r 重合 基于角色的帶時陬的轉授權與撤銷模型的研究與實現 2 時態區間與時間點之間的時態關系 時間點可以看作延續時間為0 的時間區間 關于時態區間與時間點的關系有 5 種 如圖2 1 所示 其中t 表示時態區間 p 表示時間點 b e f o r e p t a r e r p 0 m e e t s p 0 s t a r t s 0 0 m e t b y p t f i n i s h e s p t d u r i n g t p t 卜 t p 一 t 卜 p t p l l p 圖2 1 時間區間與時間點的時態關系 3 時間點之間的時態關系 時間點與點之間的時態關系相對而言比較簡單 一共有三種關系 如圖2 2 所示 圖中的p q 分別表示兩個時間點 pq b e f o r e q 2 2 訪問控制的基礎知識 a r e r p q qp p e q u a l s q q 圖2 2 時間點之問的時態關系 訪問控制系統中需要區分安全策略和機制 安全策略是組織或系統中決定訪 問權限的高層指導原則 安全機制是用來實現安全策略的底層軟件和硬件方法 中山大學碩士學位論文 基于角色的帶叫 h 的轉授權與撤銷模型的研究與實現 2 2 1 自主訪問控制 d i s c r e t i o n a r y a c c e s sc o n t r 0 1 d a c 自主訪問控制是一種最普遍的訪問控制安全策略 其最早出現在二十世紀七 十年代初期的分時系統中 基本思想伴隨著訪問矩陣被提出 自主訪問控制基于 對主體的識別來限制對客體的訪問 這種控制是自主的 自主的是指對其他主體 具有授予某種訪問權限權力的主體能夠自主地 可以是間接地 將訪問權限或訪 問權限的子集授予其他主體 自主訪問控制存在明顯的不足 資源管理比較分散 用戶間的關系不能在系統中體現出來 不易管理 最嚴重的是不能對系統中信息 流進行保護 信息容易泄漏 2 2 2 強制訪問控制 m a n d a t o r y a c c e s sc o n t r 0 1 m a c 由于自主訪問控制不能抵御特洛伊木馬的攻擊 強制訪問控制 m a n d a t o r y a c c e s sc o n t r 0 1 應運而生 強制訪問控制通過比較主體與客體的安全屬性來決 定是否允許主體訪問客體 安全屬性是由系統自動或由安全管理員分配給每個實 體 主體和客體 的 它不能被任意更改 如果系統認為具有某一安全屬性的主體 不能訪問具有一定安全屬性的客體 那么任何人 包括該客體的主人 都無法使該 主體訪問該客體 即使存在特洛伊木馬 強制訪問控制也保證了信息可以在安全 屬性的格中按一個方向流動 這就解決了自主訪問控制的問題 強制訪問控制的 不足主要表現在兩方面 應用的領域比較窄 完整性方面控制不夠 2 2 3 基于角色的訪問控制 r o l e b a s e da c c e s sc o n t r o l r b a c 隨著安全需求的不斷發展和變化 自主訪問控制和強制訪問控制已經不能完 全滿足需求 研究者提出許多自主訪問控制和強制訪問控制的替代者 其中最引 人矚目的無疑是基于角色的訪問控制 r o l e b a s e da c c e s sc o n t r 0 1 在基于角色 的訪問控制中 在用戶 u s e r 和權限 p e r m i s s i o n 之間引入角色 r o l e 的 概念 用戶與一個或多個角色相聯系 角色與一個或多個權限相聯系 角色可以 根據實際的 r 作需要生成或取消 而且用戶可以根據自己的需要動態激活自己擁 有的角色 避免了用戶無意中危害系統安全 除此之外 角色之間 權限之間 角色和權限之間定義了一些關系 比如角色間的層次性關系 而且 也可以按需要 定義各種約束 c o n s t r a i n t s 如定義出納和會計兩個角色為互斥角色 1 0 中i l 大學碩士學位論文 基于角色的帶時阻的轉授權與撤銷模型的研究與實現 與自主訪問控制和強制訪問控制相比 基于角色的訪問控制具有顯著優點 首先 它實際上是一種策略中立的訪問控制技術 其次 基于角色的訪問控制具 有自管理的能力 此外 基于角色的訪問控制還便于實施整個組織或單位的網絡 信息系統的安全策略 不過 基于角色的訪問控制要復雜得多 如圖2 3 所示是基于角色的訪問控制模型 r b a c 9 6 模型 4 基本的術語 和概念包括用戶 u s e r s 角色 r o l e s 權限 p e r m i s s i o n s 會話 s e s s i o n s 約束 c o n s t r a i n t s 兩種指派關系即用戶指派關系 u s e ra s s i g n m e n t u a 權 限指派關系 p e r m i s s i o na s s i g n m e n t p a 以及角色的層次結構關系 r o l e h i e r a r c h y r h e s s i o 描 圖2 3r b a c 9 6 模型 2 3 轉授權與撤銷的基礎知識 在分布式環境下 系統的管理工作異常繁重 完全依賴于某個或者某些管理 者的集中管理方式 需要管理者參與系統中所有的授權行為 更加重了系統的管 理負擔 2 0 轉授權 d e l e g a t i o n 的基本思想是用戶將自己所具有的部分或者全部權限 轉授給其他用戶 讓接受授權的用戶代表發出授權的用戶執行某些任務 轉授權 技術允許將分布式環境下集中式管理工作分散實施 是提高分布式系統伸縮性的 重要技術 而基于角色的轉授權技術為在分布式系統中實現角色訪問控制提供了 一種有效的手段 文獻 1 2 1 3 1 6 2 7 忡對轉授權和撤銷的類型的歸納 本小 節對其進行整理 以便于本文后續章節的討論 中山火學碩士學位論文墼于角色的特h 十限的轉授權與撤銷模型的研究與實現 2 3 1 轉授權的類型 d e l e g a t i o n 2 3 1 1 從角色的角度來劃分轉授權的類型 轉授權的類型從角色的角度來看 有兩種 1 具有系統管理權限的角色 a d m i n i s t r a t i v er o l e 的轉授 比如 新增和刪除用戶這樣的操作權限 在文獻 1 2 1 3 1 6 2 7 1 均沒有 探索這種方式的轉授 因為控制起來是比較復雜的 但是在實際生活中是存在這 種需求的 例如 人力資源部門招聘了新的員工 就需要新增用戶以及為該用戶 分配所屬的部門 或者某位老員工離職則需要刪除掉這個用戶的相關信息 如果 所有的管理工作均交給安全管理員來做 必然使得管理員的任務繁重 也不符合 應用環境中的需求 2 具有常規權限的角色 r e g u l a rr o l e 的轉授 這種轉授權的發生通常有三種情況 1 3 本文將一一舉例說明 1 角色的備份 b a c ku po fr o l e 例2 1 在實際生活中 某個具備銷售經理角色的用戶要出差 就可能把銷 售經理的角色轉授給其下屬 也許是某個銷售代表讓其代為管理 直到經理出差 返回再收回銷售經理的角色 2 授權的逐級下放 d e c e n t r a l i z a t i o no f a u t h o r i t y 例2 2 具有總經理角色的用戶 把某項任務交給其下屬部門經理 而部門 經理又把具體的任務交給他的下屬 某個員工去完成 如此逐級下放轉授權限 3 臥同工作的需要 c o l l a b o r a t i o no f w o r k 例2 3 某個龐大的工程項目需要工程部門內的兩個項目小組一起負責 而 不同的項目小組所擁有的資源是不相同的 為了協同的完成這個項目 就需要部 門的同事之間共享某些資源 從而完成任務 2 3 1 2 從轉授權的方式劃分轉授權的類型 從轉授權的方式來看 主要有幾個相剝應的概念 1 永久轉授權 暫時轉授權 p e r m a n e n ta n d t e m p o r a r yd e l e g a t i o n 如果轉授用戶 d e l e g a t i n gu s e r 在轉授出角色 d e l e g a t e dr o l e 之后 再 也收不回來該角色的權限 則是永久轉授權 此種情況適用于被授用戶 d e l e g a t e d 巾i h 大學碩士學位沿文基于角色的帶時限的轉授權與撤銷模型的研究與實現 u s e r 完全替代轉授用戶的職能 如果轉授的過程只是暫時的 則是暫時轉授權 例2 4 一個教授擁有教授的角色 同時擁有某個學術組織的成員的角色 如果需要另一個人來接替該教授的學術組織成員的角色 則該教授在轉授出該角 色之后 就是永久的轉授權 而如果是由于該教授出差暫時不能處理事務 則暫 時地轉授角色給被授用戶 屬于暫時轉授權的情況 2 單調轉授權 非單調轉授權 m o n o t o n i ca n dn o n m o n o t o n i cd e l e g a t i o n 如果轉授用戶在轉授出自己擁有的角色之后 仍然享有該轉授角色的權限 則是單調轉授權 如果轉授之后 失去了該轉授角色的權限直到該轉授關系失效 則是非單調轉授權 這兩種情況的相同點是轉授用戶仍然擁有撤銷轉授操作的權力 這樣的話 對于非單調轉授權的情況來說 在撤銷之后或者是轉授關系的有效時間到期 則 轉授的用戶可以收回轉授出去的權限 3 完全轉授權 部分轉授權 t o t a la n dp a r t i a ld e l e g a t i o n 如果轉授角色的用戶將該角色的全部權限都轉授給被授的用戶 則稱為完全 轉授權 如果轉授的只是角色的部分權限 則稱為部分轉授權 例2 5 一個教授的角色擁有授課 實驗研究 管理日常事務等權限 那么 如果具備教授角色的某個教授 將授課的權限轉授給助教 實驗研究轉授給研究 員 管理日常事務轉授給秘書 則屬于部分轉授權的情況 完全轉授權則是將教 授這個角色完整地轉授給他人 4 單步 多步與多重轉授權 s i n g l e s t e p m u l t i s t e p m u l t i p l ed e l e g a t i o n 如果被授用戶還可以繼續轉授權 那么從初始的轉授用戶開始可以形成一條 轉授權路徑 路徑的長度不止一步 則是多步轉授權 而單步轉授權是多步轉授 權的特例 是路徑長度為一的情況 多重轉授權則是指轉授用戶在轉授角色的時 候 可以同時將該角色轉授給多個用戶 2 3 2 撤銷的類型 r e v o c a t i o n 撤銷的過程是與轉授權的過程密不可分的一個重要過程 轉授出去的權限如 果不及時收回 不在一定時間內進行撤銷 勢必為訪問控制帶來安全隱患 從撤銷的方式來看 主要有三對相對應的概念 基于角色的帶時限的轉授權與撤銷模型的研究與實現 1 級聯撤銷 非級聯撤銷 c a s c a d i n g n o n c a s c a d i n gr e v o c a t i o n 在多步轉授權的情況下 如果在轉授權路徑中的一個節點被撤銷 則該節點 的后代全部都將被撤銷 屬于級聯撤銷 如果僅僅撤銷掉這個節點本身 它的后 代不予以撤銷 不受影響 則屬于非級聯撤銷 例2 6 用戶b o b 將自己的某個角色轉授給了用戶a l i c e 而a l i c e 又將該角 色轉授給了另一用戶c h a r l i e 如果要撤銷a l i c e 與這個被授角色的對應關系 也 就是撤銷掉轉授權路徑當中的這個節點 那么撤銷操作執行之后 若c h a r l i e 仍 然擁有此轉授角色 則屬于非級聯撤銷 若c h a r l i e 因為a l i c e 被撤銷也同時被撤 銷 則屬于級聯撤銷的情況 2 授權依賴撤銷 授權獨立撤銷 g r a n t d e p e n d e n t g r a n t i n d e p e n d e n tr e v o c a t i o n 如果只有直接的轉授用戶能夠撤銷掉被授用戶與被授角色之間的對應關系 則是授權依賴撤銷 如果在轉授權路徑上的間接的轉授用戶均可以撤銷 則是授 權獨立撤銷 例2 7 仍然采用例2 6 中的b o b a l i c e c h a r l i e 的例子 如果要撤銷c h a r l i e 這個節點 若只有a l i c e 能執行撤銷操作 則屬于授權依賴撤銷 若a l i c e 和b o b 都可以執行對c h a r l i e 的撤銷操作 則屬于授權獨立撤銷的情況 3 強撤銷 弱撤銷 s t r o n g w e a kr e v o c a t i o n 2 1 如果一個用戶與多個角色有對應關系 即該用戶擁有多個角色 若因為撤銷 該用戶和其中一個角色的對應關系 那么導致不僅是該用戶與這個角色的關系被 撤銷掉 同時該用 所擁有的比被撤角色高級的角色對應關系也將被撤銷掉 則 屬于強撤銷 若該用戶與其它角色的對應關系不會受到影響 仍然成立 則屬于 弱撤銷 例2 8 公司早的某位員工 同時擁有項目開發部門員工的角色 軟件丌發 工程師的角色 項目經理的角色 按實際情況來看 項目開發部門員工的角色 軟件丌發工程師角色 項f 1 經理的角色 是從低級到高級的關系 那么如果要撤 銷該員 i 與軟件開發工程師角色的對應關系 同時也撤銷項目經理的角色 則屬 于強撤銷的情況 因為該員工可能已經被調去部門內的其他職位 若僅僅是軟件 開發工程師的角色對應關系被撤銷 則屬于弱撤銷的情況 第3 章基于角色的轉授權模型的研究 本章主要是對與本文相關的研究的一個總結與歸納 分析現有的基于角色 的轉授權模型存在的不足 從而提出本文的研究思路 3 1r d m r o l e b a s e dd e l e g a t i o nm o d e l 模型 r d m 2 0 0 0 1 1 是在r b a c 9 6 1 4 平i r b d m o 1 0 的基礎上擴展而成 r d m 2 0 0 0 支持角色的層次結構 在引入轉授權關系之后同時也支持多步轉授權 本小節部 分重點介紹r d m 模型 在本文的第四章部分將在r d m 的基礎上對其進行擴展 研究 3 1 1 基本元素和系統函數 來自r b a c 9 6 和r b d m o r b a c 9 6 的基本元素及關系如圖2 3 所示 它包括五種基本元素 用戶 u s e r s 角色 r o l e s 權限 p e r m i s s i o n s 會話 s e s s i o n s 約束 c o n s t r a i n t s 兩種關系 用戶指派關系 u s e ra s s i g n m e n t u a 權限指派關系 p e r m i s s i o n a s s i g n m e n t p a 從角色r o l e 的角度來看 用戶可以被劃分為兩個集合 初始用戶 o r i g i n a l u s e r s 即被直接分配了角色r o l e 的用戶的集合 被授用戶 d e l e g a t e du s e r s 即被轉授了角色r o l e 的用戶的集合 一個用戶可以是一個角色的初始用戶 也可以是另一個角色的被授用戶 一 個用戶還可能是同時是一個角色的初始用戶和被授用戶 1 r b a c 9 6 的概念 u r p s 分別代表用戶 角色 權限 會話的集合 u a u r 是用戶與角色之間的多對多關系 p a p x r 是角色和權限之間的多對多關系 r h r r 是角色層次結構的是偏序關系 函數s e s s i o n s u 一2 5 是從一個用戶到會話集合的映射函數 中山大學碩士學位論文 基于角色的惜時戳的轉授批與撤錆懂型的研究與吏現 函數r o l e s s 一2 8 是從一個會話到一組角色的集合的映射函數 函數p