訪問控制技術(shù)研究--學(xué)士論文.doc

畢 業(yè) 論 文（設(shè)計(jì)）論文題目 訪問控制技術(shù)研究 姓 名 學(xué) 號(hào) 院 系 專 業(yè) 指導(dǎo)教師 職 稱 中國(guó)合肥二o一o 年 六 月畢 業(yè) 論 文（設(shè) 計(jì)）任 務(wù) 書論文（設(shè)計(jì)）題目 訪問控制技術(shù)研究 院 系 名 稱 專 業(yè) （班 級(jí)） 學(xué) 生 姓 名 學(xué) 號(hào) 指 導(dǎo) 教 師 下發(fā)任務(wù)書日期 2011 年 1 月10日一、畢業(yè)論文（設(shè)計(jì)）的主要內(nèi)容隨著網(wǎng)絡(luò)應(yīng)用的逐步深入，安全問題日益受到關(guān)注。一個(gè)安全的網(wǎng)絡(luò)需要可靠的訪問控制服務(wù)作保證。訪問控制是在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。因此對(duì)訪問控制的基本概念、訪問控制技術(shù)涉及的各項(xiàng)基本技術(shù)以及主要的訪問控制類型進(jìn)行了研究，如自主訪問控制技術(shù)（dac）、強(qiáng)制訪問控制技術(shù)（mac）和基于角色的訪問控制技術(shù)（rbac），并對(duì)每種訪問控制技術(shù)進(jìn)行了概念、實(shí)現(xiàn)方式以及其優(yōu)缺點(diǎn)的總結(jié)。其中對(duì)自主訪問控制技術(shù)（dac）中的訪問控制表和基于角色的訪問控制技術(shù)（rbac）的各個(gè)基本模型進(jìn)行了重點(diǎn)的討論分。二、畢業(yè)論文（設(shè)計(jì)）的基本要求根據(jù)畢業(yè)論文（設(shè)計(jì)）的主要內(nèi)容對(duì)各個(gè)研究的部分進(jìn)行相關(guān)的了解和研究：1、訪問控制技術(shù)的概念：所謂訪問控制，就是在鑒別用戶的合法身份后，通過某種途徑顯式地準(zhǔn)許或限制用戶對(duì)數(shù)據(jù)信息的訪問能力及范圍， 從而控制對(duì)關(guān)鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。2、訪問控制的技術(shù): 訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，它涉及的技術(shù)也比較廣，它包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。對(duì)訪問控制的各個(gè)技術(shù)進(jìn)行了相關(guān)的敘述。3、根據(jù)訪問控制機(jī)制，訪問控制技術(shù)主要有三種：基于授權(quán)規(guī)則的、自主管理的自主訪問控制技術(shù)（dac），基于安全級(jí)的集中管理的強(qiáng)制訪問控制技術(shù)(mac)和基于授權(quán)規(guī)則的集中管理的基于角色的訪問控制技術(shù)（rbac）。重點(diǎn)對(duì)各個(gè)訪問控制技術(shù)的概念、實(shí)現(xiàn)方式、典型案例以及其優(yōu)缺點(diǎn)進(jìn)行了研究，其中對(duì)rbac進(jìn)行重點(diǎn)研究。三、應(yīng)收集的資料及主要參考文獻(xiàn)1百度百科：訪問控制技術(shù)2百度百科：訪問控制列表3思科經(jīng)典技術(shù)分享：訪問控制列表（acl）技術(shù)詳解4趙亮, 茅兵, 謝立. 訪問控制研究綜述j. 計(jì)算機(jī)工程,2004, 30( 2) . 5肖川豫（重慶大學(xué)）.訪問控制中權(quán)限的研究與應(yīng)用d. 20066jerome h saltzer,michael d schroeder .the protection of information in computer systems m. 1975(09)7劉偉(四川大學(xué)).基于角色的訪問控制研究及其應(yīng)用d. 20048 (電子政務(wù)工程服務(wù)網(wǎng))9劉偉(石河子大學(xué)).訪問控制技術(shù)研究j.農(nóng)業(yè)網(wǎng)絡(luò)信息2007年第七期 10李成鍇,詹永照,茅兵.謝立.基于角色的cscw系統(tǒng)訪問控制模型j. 軟件學(xué)報(bào) 2000(7)11許春根,江于,嚴(yán)悍.基于角色訪問控制的動(dòng)態(tài)建模j. 計(jì)算機(jī)工程 2002(1)12張勇,張德運(yùn),蔣旭憲.基于認(rèn)證的網(wǎng)絡(luò)權(quán)限管理技術(shù)j. 計(jì)算機(jī)工程與設(shè)計(jì) 2001(2)13中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心,信息安全理論與技術(shù)m . 人民郵電出版社，2003914 david fferraiolo、drichard kuhn、ramaswamy chandramouli，rolebased access controlm. artech house，2003415american national standards institute s. inc american national standard for information technology-role based access control.2003/4/416汪厚祥, 李卉等.基于角色的訪問控制研究j.計(jì)算機(jī)應(yīng)用研究, 2004, (4) .四、畢業(yè)論文（設(shè)計(jì)）進(jìn)度計(jì)劃起訖日期工 作 內(nèi) 容備 注201011中旬2011.2.下旬2011.3上旬2011.32011.52011.52011.6中旬畢業(yè)論文（設(shè)計(jì)）統(tǒng)一選題確定畢業(yè)論文（設(shè)計(jì)）的題目提交畢業(yè)論文（設(shè)計(jì)）開題報(bào)告和任務(wù)書根據(jù)要求做好畢業(yè)論文（設(shè)計(jì)），完成畢業(yè)設(shè)計(jì)的初步定稿論文的修改、完善、定稿中間查閱資料，根據(jù)實(shí)際的工作或生活狀況確定題目根據(jù)題目以及所查閱的資料，確定畢業(yè)論文（設(shè)計(jì)）的內(nèi)容學(xué)士學(xué)位論文（設(shè)計(jì)）開題報(bào)告課題名稱訪問控制技術(shù)研究課題來源學(xué)校提供，自主選擇學(xué)生姓名 專業(yè) 學(xué)號(hào) 指導(dǎo)教師姓名 職稱 研究?jī)?nèi)容訪問控制的基本概念、訪問控制技術(shù)涉及的各項(xiàng)基本技術(shù)以及主要的訪問控制類型，如自主訪問控制技術(shù)（dac）、強(qiáng)制訪問控制技術(shù)（mac）和基于角色的訪問控制技術(shù)（rbac），并對(duì)每種訪問控制技術(shù)進(jìn)行了概念、實(shí)現(xiàn)方式以及其優(yōu)缺點(diǎn)的總結(jié)。其中對(duì)自主訪問控制技術(shù)（dac）中的訪問控制表和基于角色的訪問控制技術(shù)（rbac）的各個(gè)基本模型進(jìn)行了重點(diǎn)的討論分析。研究計(jì)劃2010 11月中 畢業(yè)論文統(tǒng)一選題2011 2月底 確定畢業(yè)設(shè)計(jì)（論文）題目3月初旬 提交畢業(yè)論文（設(shè)計(jì)）開題報(bào)告和任務(wù)書3月中3月底 調(diào)研、查資料。4月初4月中 確定論文大綱，分類查閱相關(guān)資料4月底5月下 論文的初步撰寫，并進(jìn)行相關(guān)的資料查閱與修改5月底6月初 撰寫畢業(yè)論文，并與指導(dǎo)老師進(jìn)行討論以修改，對(duì)論文定稿，進(jìn)行論文答辯的ppt制作6月中 準(zhǔn)備論文答辯特色與創(chuàng)新1. 該技術(shù)當(dāng)前網(wǎng)絡(luò)發(fā)展與網(wǎng)絡(luò)安全重要性提高的必然重視性產(chǎn)物2. 該技術(shù)的發(fā)展快，潛力大，應(yīng)用廣3. 該技術(shù)具有較強(qiáng)的研究?jī)r(jià)值與實(shí)際應(yīng)用價(jià)值。指導(dǎo)教師意見教研室意見學(xué)院意見目 錄1 引言12 訪問控制的概念與策略13 訪問控制的技術(shù)23.1 入網(wǎng)訪問控制23.2 網(wǎng)絡(luò)權(quán)限控制33.3 目錄級(jí)安全控制33.4 屬性安全控制43.5 服務(wù)器安全控制44 訪問控制類型44.1 自主訪問控制（dac）54.1.1 自主訪問控制(dac)的實(shí)現(xiàn)機(jī)制54.1.2 自主訪問控制(dac)的訪問控制表54.1.3 自主訪問控制(dac)優(yōu)缺點(diǎn)74.2 強(qiáng)制訪問控制(mac) 84.2.1 強(qiáng)制訪問控制(mac)概念84.2.2 強(qiáng)制訪問控制(mac)優(yōu)缺點(diǎn)84.3 基于角色的訪問控制技術(shù)（rbac）94.3.1 基本模型rbac0 rbac0的基本構(gòu)成與實(shí)現(xiàn)機(jī)制 rbaco的形式定義114.3.2 角色分級(jí)模型rbacl rbacl的基本構(gòu)成與實(shí)現(xiàn)機(jī)制 rbacl的形式定義124.3.3 角色約束模型rbac2 rbac2的基本構(gòu)成 rbac2的形式定義 rbac2的實(shí)現(xiàn)機(jī)制134.3.4 基于角色的訪問控制技術(shù)（rbac）優(yōu)缺點(diǎn)145 典型案例一個(gè)基于角色的訪問控制系統(tǒng)155.1 系統(tǒng)的開發(fā)背景與開發(fā)目標(biāo)155.2 系統(tǒng)業(yè)務(wù)功能簡(jiǎn)介165.3 系統(tǒng)分析165.3.1 組織結(jié)構(gòu)165.3.2 用戶和角色175.3.3 角色等級(jí)和權(quán)限的定義175.3.4 角色約束185.4 系統(tǒng)設(shè)計(jì)186 結(jié)束語(yǔ)19參考文獻(xiàn)19英文摘要20致謝20附錄21訪問控制技術(shù)研究摘要：訪問控制是信息安全的重要組成部分，也是當(dāng)前注重信息安全的人們關(guān)注的重點(diǎn)。本文對(duì)訪問控制的基本概念、訪問控制技術(shù)涉及的各項(xiàng)基本技術(shù)以及主要的訪問控制類型進(jìn)行了研究，如自主訪問控制技術(shù)（dac）、強(qiáng)制訪問控制技術(shù)（mac）和基于角色的訪問控制技術(shù)（rbac），并對(duì)每種訪問控制技術(shù)進(jìn)行了概念、實(shí)現(xiàn)方式以及其優(yōu)缺點(diǎn)的總結(jié)。其中對(duì)自主訪問控制技術(shù)（dac）中的訪問控制表和基于角色的訪問控制技術(shù)（rbac）的各個(gè)基本模型進(jìn)行了重點(diǎn)的討論分析。關(guān)鍵字：自主訪問控制技術(shù)，訪問控制表，強(qiáng)制訪問控制技術(shù)，基于角色的訪問控制技術(shù)1 引言隨著全球網(wǎng)絡(luò)化和信息化的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到社會(huì)生活的各個(gè)方面，許多敏感的信息和技術(shù)都是通過計(jì)算機(jī)進(jìn)行傳輸、控制和管理，尤其是近年來網(wǎng)絡(luò)上各種新業(yè)務(wù)的興起，如網(wǎng)絡(luò)銀行、電子政務(wù)和電子商務(wù)的快速發(fā)展，網(wǎng)絡(luò)的重要性及其對(duì)社會(huì)的影響也越來越大。隨之而來的問題是網(wǎng)絡(luò)環(huán)境同益復(fù)雜， 安全問題也變得日益突出，僅僅依靠傳統(tǒng)的加密技術(shù)已不能滿足網(wǎng)絡(luò)安全的需要。國(guó)際標(biāo)準(zhǔn)化組織(iso)在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(is074982)中定義了5個(gè)層次型安全服務(wù)：身份認(rèn)證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)和不可否認(rèn)服務(wù)，而訪問控制便是其中的一個(gè)重要組成部分。2 訪問控制的概念與策略所謂訪問控制，就是在鑒別用戶的合法身份后，通過某種途徑顯式地準(zhǔn)許或限制用戶對(duì)數(shù)據(jù)信息的訪問能力及范圍，從而控制對(duì)關(guān)鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。訪問控制技術(shù)的實(shí)現(xiàn)是基于訪問控制中權(quán)限的實(shí)現(xiàn)也就是訪問控制的策略。訪問控制策略定義了在系統(tǒng)運(yùn)行期間的授權(quán)和非授權(quán)行為，即哪些行為是允許發(fā)生的，那些是不允許發(fā)生的。一般分為授權(quán)策略(authorization policies)和義務(wù)策略(obligation policies)。授權(quán)策略是指對(duì)于客體，那些操作是允許的，而那些操作是被禁止的；義務(wù)策略是指主體必須執(zhí)行或不必執(zhí)行的操作，是主體的義務(wù)。訪問控制的基本概念有： 1）主體(subjeet) 主體是指主動(dòng)的實(shí)體，是訪問的發(fā)起者，它造成了信息的流動(dòng)和系統(tǒng)狀態(tài)的改變，主體通常包括人、進(jìn)程和設(shè)備。2）客體(object) 客體是指包含或接受信息的被動(dòng)實(shí)體，客體在信息流動(dòng)中的地位是被動(dòng)的，是處于主體的作用之下，對(duì)客體的訪問意味著對(duì)其中所包含信息的訪問?？腕w通常包括文件、設(shè)備、信號(hào)量和網(wǎng)絡(luò)節(jié)點(diǎn)等。3）訪問(access) 訪問(access)是使信息在主體(subject)和客體(object)之間流動(dòng)的一種交互方式。4）權(quán)限(access permissions)訪問權(quán)限控制決定了誰(shuí)能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。適當(dāng)?shù)脑L問控制能夠阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)。訪問控制的手段包括用戶識(shí)別代碼、口令、登錄控制、資源授權(quán)(例如用戶配置文件、資源配置文件和控制列表)、授權(quán)核查、日志和審計(jì)等等1-2。訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，它涉及的技術(shù)也比較廣，它包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。3 訪問控制的技術(shù)3.1 入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。 用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長(zhǎng)度應(yīng)不少于6個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密。用戶還可采用一次性用戶口令，也可用便攜式驗(yàn)證器（如智能卡）來驗(yàn)證用戶的身份。 網(wǎng)絡(luò)管理員可以控制和限制普通用戶的賬號(hào)使用、訪問網(wǎng)絡(luò)的時(shí)間和方式。用戶賬號(hào)應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個(gè)方面的限制：最小口令長(zhǎng)度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。 用戶名和口令驗(yàn)證有效之后，再進(jìn)一步履行用戶賬號(hào)的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時(shí)間、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對(duì)交費(fèi)網(wǎng)絡(luò)的訪問“資費(fèi)”用盡時(shí)，網(wǎng)絡(luò)還應(yīng)能對(duì)用戶的賬號(hào)加以限制，用戶此時(shí)應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對(duì)所有用戶的訪問進(jìn)行審計(jì)。如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報(bào)警信息。 3.2 網(wǎng)絡(luò)權(quán)限控制 網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（irm）可作為兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述。 3.3 目錄級(jí)安全控制 網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。用戶對(duì)文件或目標(biāo)的有效權(quán)限取決于以下兩個(gè)因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個(gè)網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對(duì)服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問 ，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。 3.4 屬性安全控制 當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限對(duì)應(yīng)一張?jiān)L問控制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。 3.5 服務(wù)器安全控制 網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問者檢測(cè)和關(guān)閉的時(shí)間間隔。4 訪問控制類型訪問控制機(jī)制可以限制對(duì)系統(tǒng)關(guān)鍵資源的訪問，防止非法用戶進(jìn)入系統(tǒng)及合法用戶對(duì)系統(tǒng)資源的非法使用。目前，訪問控制技術(shù)主要有三種：基于授權(quán)規(guī)則的、自主管理的自主訪問控制技術(shù)（dac），基于安全級(jí)的集中管理的強(qiáng)制訪問控制技術(shù)(mac)和基于授權(quán)規(guī)則的集中管理的基于角色的訪問控制技術(shù)（rbac）。其中rbac由于能進(jìn)行方便、安全、高效的授權(quán)管理，并且擁有策略中性化、最小特權(quán)原則支持、以及高校的訪問控制管理等諸多優(yōu)良的特性，是現(xiàn)在研究的熱點(diǎn)1。4.1 自主訪問控制(dac) 自主性訪問控制是在確認(rèn)主體身份及其所屬的組的基礎(chǔ)上對(duì)訪問進(jìn)行控制的一種控制策略。它的基本思想是：允許某個(gè)主體顯示的指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問以及執(zhí)行。4.1.1 自主訪問控制(dac)的實(shí)現(xiàn)機(jī)制自主訪問控制有兩種實(shí)現(xiàn)機(jī)制：一是基于主體dac實(shí)現(xiàn)，它通過權(quán)限表表明主體對(duì)所有客體的權(quán)限，當(dāng)刪除一個(gè)客體時(shí)，需遍歷主體所有的權(quán)限表；另一種是基于客體的dac實(shí)現(xiàn)，它通過訪問控制鏈表acl(access control list)來表明客體對(duì)所有主體的權(quán)限，當(dāng)刪除一個(gè)主體時(shí)，要檢查所有客體的acl。為了提高效率，系統(tǒng)一般不保存整個(gè)訪問控制矩陣，是通過基于矩陣的行或列來實(shí)現(xiàn)訪問控制策略?；谛?主體)的矩陣是表明主體隊(duì)所有客體的權(quán)限，基于行的矩陣的優(yōu)點(diǎn)是能夠快速的找出該主體對(duì)應(yīng)的權(quán)限集。目前以基于列(客體) 的訪問控制表acl實(shí)際應(yīng)用較多，但是主要應(yīng)用于操作系統(tǒng)。acl的優(yōu)點(diǎn)是表述直觀、易于理解，比較容易查出對(duì)一定資源有訪問權(quán)限的所有用戶，能夠有效的實(shí)施授權(quán)管理。但在應(yīng)用到規(guī)模較大、關(guān)系復(fù)雜的企業(yè)時(shí)，管理員為了實(shí)現(xiàn)某個(gè)訪問策略需要在acl中設(shè)定大量的表項(xiàng)；而且當(dāng)某個(gè)用戶的職位發(fā)生變化時(shí)，管理員需要修改該用戶對(duì)所有資源的訪問權(quán)限，使得訪問控制的授權(quán)管理需要花費(fèi)大量的人力，且容易出錯(cuò)。4.1.2 自主訪問控制(dac)的訪問控制表 訪問控制表(access control list，acl)是基于訪問控制矩陣中列的自主訪問控制。它在一個(gè)客體上附加一個(gè)主體明晰表，來表示各個(gè)主體對(duì)這個(gè)客體的訪問權(quán)限。明細(xì)表中的每一項(xiàng)都包括主體的身份和主體對(duì)這個(gè)客體的訪問權(quán)限。如果使用組(group)或者通配符(wildcard)的概念，可以有效地縮短表的長(zhǎng)度。acl實(shí)際上是一種把能夠訪問客體的主體列表與該客體結(jié)合在一起的形式，并以這種形式把訪問控制矩陣豎列的控制信息表達(dá)出來的一種實(shí)現(xiàn)方式3。acl的結(jié)構(gòu)如下圖4-1所示：圖4-1 acl結(jié)構(gòu)(acl structure)訪問控制表是實(shí)現(xiàn)自主訪問控制比較好的方式，下面通過例子進(jìn)行詳細(xì)說明。對(duì)系統(tǒng)中一個(gè)需要保護(hù)的客體oj附加的訪問控制表的結(jié)構(gòu)所示。圖4-2 訪問控制表舉例在上圖4-2的例子中，對(duì)于客體oj,主體s0具有讀(r)和執(zhí)行(e)的權(quán)利；主體s1只有讀的權(quán)利；主體s2只有執(zhí)行的權(quán)利；主體sm具有讀、寫(w)和執(zhí)行的權(quán)利。但是，在一個(gè)很大的系統(tǒng)中，可能會(huì)有非常多的主體和客體，這就導(dǎo)致訪問控制表非常長(zhǎng)，占用很多的存儲(chǔ)空間，而且訪問時(shí)效率下降。解決這一問題就需要分組和使用通配符。在實(shí)際的多用戶系統(tǒng)中，用戶可以根據(jù)部門結(jié)構(gòu)或者工作性質(zhì)被分為有限的幾類。一般來說，一類用戶使用的資源基本上是相同的。因此，可以把一類用戶作為一個(gè)組，分配一個(gè)組名，簡(jiǎn)稱“gn”，訪問是可以按照組名判斷。通配符“*”可以代替任何組名或者主體標(biāo)識(shí)符。這時(shí)，訪問控制表中的主體標(biāo)識(shí)為：主體標(biāo)識(shí)=id.gn 其中，id是主體標(biāo)識(shí)符，gn是主體所在組的組名。請(qǐng)看圖4-3的示例。圖4-3 帶有組和通配符的訪問控制表示例在上圖4-3的訪問控制表中，屬于info組的所有主體都對(duì)客體oj具有讀和執(zhí)行的權(quán)利；但是只有info組中的主體1iu才額外具有寫的權(quán)限；無論是哪一組中的zhang都可以讀客體oj；最后一個(gè)表項(xiàng)說明所有其他的主體，無論屬于哪個(gè)組，都不具備對(duì)oj有任何訪問權(quán)限。在訪問控制表中還需要考慮的一個(gè)問題是缺省問題。缺省功能的設(shè)置可以方便用戶的使用，同時(shí)也避免了許多文件泄露的可能。最基本的，當(dāng)一個(gè)主體生成一個(gè)客體時(shí)，該客體的訪問控制表中對(duì)應(yīng)生成者的表項(xiàng)應(yīng)該設(shè)置成缺省值，比如具有讀、寫和執(zhí)行權(quán)限。另外，當(dāng)某一個(gè)新的主體第一次進(jìn)入系統(tǒng)時(shí)，應(yīng)該說明它在訪問控制表中的缺省值，比如只有讀的權(quán)限。4.1.3 自主訪問控制(dac)優(yōu)缺點(diǎn)dac的優(yōu)點(diǎn)： 1)訪問控制的粒度足單個(gè)用戶，能夠在一定程度上實(shí)現(xiàn)權(quán)限隔離和資源保護(hù)。2)能夠不加控制地使信息從一個(gè)可以被寫的客體流向一個(gè)可以被讀的客體。3)用戶可以隨意地將自己擁有的訪問權(quán)限授予其他用戶，之后也可以隨意地將所授予的權(quán)限撤銷。4)由于自主訪問控制將用戶權(quán)限與用戶直接對(duì)應(yīng)，因此自主訪問控制具有較高的訪問效率。dac的缺點(diǎn)：1)信息在移動(dòng)過程中其訪問權(quán)限的關(guān)系可能會(huì)發(fā)生改變，這使得管理員難以確定哪些用戶對(duì)哪些資源具有訪問權(quán)限，不利于實(shí)現(xiàn)統(tǒng)一的全局訪問控制，使其在資源共享方而難以控制。2)dac中資源管理比較分散，用戶間的關(guān)系不能在系統(tǒng)中體現(xiàn)出來，且不易管理，信息容易泄露，無法抵御特洛伊木馬的攻擊。一旦帶有特洛伊木馬的應(yīng)用程序被激活，它可以任意泄漏和破壞接觸到的信息，甚至改變這些信息的訪問授權(quán)模式。3)授權(quán)管理繁瑣，需要對(duì)每個(gè)資源指定可以訪問的用戶以及相應(yīng)的權(quán)限，當(dāng)用戶的情況發(fā)生變化時(shí)需要進(jìn)行大量的修改操作，并且每個(gè)子系統(tǒng)都要維護(hù)自己的訪問控制列表，使得整個(gè)系統(tǒng)的統(tǒng)一管理非常困難，容易產(chǎn)生安全漏洞2。4.2 強(qiáng)制訪問控制(mac) 4.2.1 強(qiáng)制訪問控制(mac)概念強(qiáng)制訪問控制(mac，mandatoryaccess control)是由美國(guó)政府和軍方聯(lián)合研究出的一種控制技術(shù)，目的是為了實(shí)現(xiàn)比dac更為嚴(yán)格的訪問控制策略。它是基于主體-客體的安全級(jí)別，要求主體客體關(guān)系具有良好的層次結(jié)構(gòu)，只允許信息從低安全級(jí)別的實(shí)體流向高安全級(jí)別的實(shí)體，一般用于多級(jí)安全軍事系統(tǒng)。每個(gè)主體和客體都有自己既定的安全屬性，主體對(duì)客體是否具有訪問權(quán)限取決于二者安全屬性之間的關(guān)系。mac 將主體和客體分級(jí)，預(yù)先定義用戶的可信任級(jí)別及信息的敏感程度(安全級(jí)別)，如可以分為絕密級(jí)、機(jī)密級(jí)、秘密級(jí)、無密級(jí)等。系統(tǒng)根據(jù)主體和客體的級(jí)別標(biāo)記來決定訪問模式。當(dāng)用戶提出訪問請(qǐng)求時(shí)，系統(tǒng)對(duì)兩者進(jìn)行比較以確定訪問是否合法，是一種系統(tǒng)強(qiáng)制主體服從事先制定的訪問控制策略。mac可以通過使用敏感標(biāo)記對(duì)所有用戶和資源強(qiáng)制執(zhí)行安全策略4。如下圖4-45：圖4-4 強(qiáng)制訪問控制訪問模式主體（用戶、進(jìn)程）：被分配一個(gè)安全等級(jí)；客體（文件、數(shù)據(jù)）：也被分配一個(gè)安全等級(jí)；訪問控制執(zhí)行時(shí)對(duì)主體和客體的安全級(jí)別進(jìn)行比較。4.2.2 強(qiáng)制訪問控制(mac)優(yōu)缺點(diǎn)mac的優(yōu)點(diǎn)是：1）它是管理集中，根據(jù)事先定義好的安全級(jí)別實(shí)現(xiàn)嚴(yán)格的權(quán)限管理，因此適合對(duì)于安全性要求較高的應(yīng)用環(huán)境，如美國(guó)軍方就一直使用這種訪問控制模型6。2）通過信息的單向流動(dòng)來防止信息擴(kuò)散，能夠抵御特洛伊木馬對(duì)系統(tǒng)保密性的攻擊。mac的缺點(diǎn)是： 1)根據(jù)用戶的可信任級(jí)別及信息的敏感程度來確定它們的安全級(jí)別，在控制粒度上不能滿足最小權(quán)限原則。2)應(yīng)用領(lǐng)域比較窄，使用不靈活。一般只用于軍事等具有明顯等級(jí)觀念的行業(yè)或領(lǐng)域7-9。3)主體訪問級(jí)別和客體安全級(jí)別的劃分與現(xiàn)實(shí)要求無法一致，在同級(jí)別間缺乏控制機(jī)制，管理不便。因?yàn)橹挥凶酉到y(tǒng)的管理員才能制定出合適該子系統(tǒng)的訪問控制模式，而整個(gè)系統(tǒng)的管理員不可能指定出適合各個(gè)子系統(tǒng)的統(tǒng)一的訪問控制模式。4)完整性方面控制不夠。重點(diǎn)強(qiáng)調(diào)信息從低安全級(jí)向高安全級(jí)的方向流動(dòng)， 對(duì)高安全級(jí)信息的完整性保護(hù)強(qiáng)調(diào)不夠。4.3 基于角色的訪問控制技術(shù)（rbac）在傳統(tǒng)的訪問控制中，主體始終是和特定的實(shí)體捆綁對(duì)應(yīng)的。例如，用戶以固定的用戶名注冊(cè)，系統(tǒng)分配一定的權(quán)限，該用戶將始終以該用戶名訪問系統(tǒng)，直至銷戶。其間，用戶的權(quán)限可以變更，但必須在系統(tǒng)管理員的授權(quán)下才能進(jìn)行。然而在現(xiàn)實(shí)社會(huì)中，這種訪問控制方式表現(xiàn)出很多弱點(diǎn)，不能滿足實(shí)際需求?；诮巧脑L問控制模式(role based access control，rbac)就是為了克服傳統(tǒng)訪問控制中的問題而提出來的。迄今為止，已經(jīng)討論和發(fā)展了4種基于角色的訪問控制（role-base）模型，下圖4-5所示是它們之間的相互關(guān)系：圖4-5 rbac家族系列關(guān)系示意圖其中rbac0為基本模型，rbac1為角色分級(jí)模型，rbac2為角色限制模型，rbac3為統(tǒng)一模型10。4.3.1 基本模型rbac0 rbac0的基本構(gòu)成與實(shí)現(xiàn)機(jī)制下圖4-611給出了rbac0的基本構(gòu)成：圖4-6 rbaco的基本構(gòu)成rbaco由4個(gè)基本要素構(gòu)成，即用戶(u)、角色(r)、會(huì)話(s)和授權(quán)(p)，一個(gè)數(shù)據(jù)庫(kù)系統(tǒng)中，定義并存在著多個(gè)用戶，定義并存在著多個(gè)角色，同時(shí)對(duì)每個(gè)角色設(shè)置了多個(gè)權(quán)限關(guān)系，稱之為權(quán)限的賦予(pa)。授權(quán)機(jī)制從某個(gè)角度看可以視為在系統(tǒng)內(nèi)通過特定的操(action)將主體與動(dòng)作客體(數(shù)據(jù)或其他資源)聯(lián)結(jié)起來，語(yǔ)義可以是允許讀、允許修改和允許創(chuàng)建等，在不同系統(tǒng)中，客體的種類可能非常不同，例如，在操作系統(tǒng)中考慮的客體一般是諸如文件、目錄、端口和設(shè)備籌，操作則為讀取、寫入、打開、關(guān)閉和運(yùn)行等，在數(shù)據(jù)庫(kù)系統(tǒng)中則是考慮諸如關(guān)系、表、視圖、記錄、字段和值等。也可以針對(duì)具體應(yīng)用的需求將一個(gè)完整的子網(wǎng)絡(luò)視為一個(gè)授權(quán)操作處理的對(duì)象一角色，操作則為選取、修改、刪除和插入等。rolebase模型中授權(quán)就是將這些客體的存取訪問的權(quán)限在可靠的控制下連帶角色所需要的操作一起提供給那些角色所代表的用戶，通過授權(quán)的管理機(jī)制，可以給予一個(gè)角色以多個(gè)權(quán)限，而一個(gè)權(quán)限也可以賦予多個(gè)角色，同時(shí)一個(gè)用戶可以扮演多個(gè)角色，一個(gè)角色又可以接納多個(gè)用戶。不難看出，相比于用戶互相授權(quán)之間的直接關(guān)聯(lián)的做法，通過rolebase模型數(shù)據(jù)庫(kù)系統(tǒng)能夠以較為簡(jiǎn)單的方式向最終用戶提供語(yǔ)義更加豐富的、得到完整的控制的存取功能10。 rbaco的形式定義rbaco模型的組成包括下列幾個(gè)部分：1)u、r、p以及s(用戶、角色、授權(quán)和會(huì)話)；2)pap*r，pa是授權(quán)到角色的多對(duì)多的關(guān)系：3)uau*r，ua是用戶到角色的多對(duì)多的關(guān)系：4)roles (si) r|(user(si)，r)ua其中，user：su，將各個(gè)會(huì)話映射到一個(gè)用戶去的函數(shù)user(si)。roles：s2r，將各個(gè)會(huì)話si與一個(gè)角色集合連接起來的映射，可以隨時(shí)間變化而變化，且會(huì)話si的授權(quán)srroles(si)p |(p，r)pa在role-base中每個(gè)角色至少具備一個(gè)授權(quán)，而每個(gè)用戶至少扮演一個(gè)角色，雖然在形式定義上并不要求這一點(diǎn)12。4.3.2 角色分級(jí)模型rbacl rbacl的基本構(gòu)成與實(shí)現(xiàn)機(jī)制下圖4-711給出了rbac1的基本構(gòu)成：圖4-7 rbacl的基本構(gòu)成在一般的單位或組織中，特權(quán)或職權(quán)通常是有繼承關(guān)系的，上級(jí)領(lǐng)導(dǎo)(角色)所得到的信息訪問權(quán)限高于下級(jí)職員的權(quán)限，因此在rolebase中引進(jìn)一定的層次結(jié)構(gòu)用以反映這個(gè)實(shí)際情況是自然的，在多級(jí)安全控制系統(tǒng)內(nèi)，存取類的保密級(jí)別是線性排列的。其中安全策略的一個(gè)要求就是：要想合法地獲得信息，提出存取請(qǐng)求的人員的存取類的級(jí)別就要大于信息的存取類級(jí)別，rbaci中支持的層次關(guān)系可以容易地實(shí)現(xiàn)多級(jí)安全系統(tǒng)所要求的保密級(jí)別的線性排列的要求。多級(jí)安全系統(tǒng)的另一個(gè)要求就是要能夠支持范疇的安排，其中的范疇是互相獨(dú)立的和無序的。為了獲得信息的存取權(quán)，提出存取請(qǐng)求的人員必須屬于一定的存取類，存取類的范疇的集合應(yīng)該包括信息存取類的全部范疇。角色的層次結(jié)構(gòu)rbacl，rh中的角色可以容易地實(shí)現(xiàn)所要求的保密存取類的范疇的要求。用數(shù)學(xué)的語(yǔ)言來說，就是要求所使用的安全模型必須是偏序的。rbac，對(duì)層次角色的支持包括了偏序模型的支持10。 rbacl的形式定義rbac1模型的組成包括下列幾個(gè)部分：1)u、r、p以及s(用戶、角色、授權(quán)和會(huì)話)；2)pap*r，pa是授權(quán)到角色的多對(duì)多的關(guān)系：3)uau*r，ua是用戶到角色的多對(duì)多的關(guān)系：4)rhr*r，rh是角色上的一個(gè)偏序關(guān)系，稱之為角色層次關(guān)系成支配關(guān)系，一般記作“”；5)roles (si) r|(rr)(user(si)，r)ua。其中：user：su，將各個(gè)會(huì)話映射到一個(gè)用戶去的函數(shù)user(si)。roles：s2r，將各個(gè)會(huì)話si與一個(gè)角色集合連接起來的映射，可以隨時(shí)間變化而變化，且會(huì)話si的授權(quán)srroles(si)p|(p，r)pa12。4.3.3 角色約束模型rbac rbac2的基本構(gòu)成下圖4-811給出了rbac2的基本構(gòu)成：圖4-8 rbac2的基本構(gòu)成 rbac2的形式定義rbac2，包含了rbaco所有的基本特性，除此之外增加了對(duì)rbaco的所有組成元素的核蠢過程，只有擁有有效值的元素才可被接受。在rbac2中約束條件指向ua、pa和會(huì)話中的user、role等函數(shù)。一般說來，最好是根據(jù)其實(shí)際的類型和屬性加以陳述。這樣就要考慮語(yǔ)言等環(huán)境，所以較難給約束模型一個(gè)嚴(yán)格的形式定義。在實(shí)際的安全數(shù)據(jù)庫(kù)管理系統(tǒng)中，約束條件和實(shí)現(xiàn)的方式各有不同，多數(shù)專家傾向于采取盡可能簡(jiǎn)單而又高效的約束條件，作為實(shí)際rolebase系統(tǒng)的約束機(jī)制。 rbac2的實(shí)現(xiàn)機(jī)制rbaco的另一個(gè)增強(qiáng)方向是rbac2，即所謂的約束模型。rbacl和rbac2之間是互不相關(guān)的，因此也就是不可比較的。作為一個(gè)完整的安全模型，約束增強(qiáng)是非常重要的性能。在絕大多數(shù)組織中，除了角色的層次關(guān)系外，經(jīng)常要考慮的問題是類似于這樣的情況：一個(gè)公司的采購(gòu)員和出納員雖然都不算是高層次的角色，但是任何一個(gè)公司都絕不會(huì)允許同時(shí)給某一個(gè)具體人員分配這兩個(gè)角色。因?yàn)椋@種工作安排必然導(dǎo)致欺詐行為的發(fā)生。不論一個(gè)具體的系統(tǒng)中是否具備層次角色的機(jī)制，約束機(jī)制都是很重要的。特別是對(duì)于高級(jí)決策層，約束機(jī)制的作用更是重要。當(dāng)整體上確定了對(duì)某一個(gè)角色的分配的約束條件后，公司的領(lǐng)導(dǎo)層就可以不必再操心具體的實(shí)施了。當(dāng)role-base的管理集中在一個(gè)系統(tǒng)管理員時(shí)，約束機(jī)制至少可以使得管理工作輕松一些。對(duì)于一個(gè)特別大的系統(tǒng)，這是很重要的，因?yàn)楦呒?jí)系統(tǒng)管理人員就可以通過規(guī)定約束條件來指導(dǎo)和控制下級(jí)的系統(tǒng)管理人員的操作不致有失誤和越軌之處。實(shí)際上，通過約束機(jī)制，rolebaseac就可以實(shí)現(xiàn)強(qiáng)制安全控制，而且包括了對(duì)rolebase本身的管理和控制10。4.3.4 基于角色的訪問控制技術(shù)（rbac）優(yōu)缺點(diǎn)rbac的優(yōu)點(diǎn)：1）通過角色概念的引入，實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，即先給角色分配權(quán)限，再給用戶分配相應(yīng)的角色，從而該用戶具有了與該角色相關(guān)聯(lián)的權(quán)限；2）實(shí)現(xiàn)了根據(jù)用戶在系統(tǒng)中所處的位置及作用設(shè)置相應(yīng)的訪問權(quán)限；3）rbac以對(duì)角色的控制取代了dac和mac中直接對(duì)用戶的控制，增加了系統(tǒng)的靈活性；4）最小特權(quán)原則的實(shí)施，保證了用戶只具有完成特定任務(wù)所必須的權(quán)限，防止了用戶具備過大的對(duì)系統(tǒng)資源進(jìn)行訪問的權(quán)限；5）方便管理員對(duì)權(quán)限的管理。在定義好了權(quán)限和角色后，只需進(jìn)行簡(jiǎn)單的角色分配或取消，即可完成用戶權(quán)限的分配與取消。rbac的缺點(diǎn)：1）在rbac中進(jìn)行了職責(zé)分離，使得原來對(duì)身份標(biāo)識(shí)的竊取惡化為對(duì)角色的竊??；2）任何一個(gè)對(duì)象或主體會(huì)因此損害到整個(gè)對(duì)象組或用戶組；3）角色的繼承不加限制的權(quán)限授予會(huì)導(dǎo)致違背安全性策略；4）角色重疊的模糊本質(zhì)、為用戶指定多種角色以及將對(duì)象指定到多個(gè)對(duì)象訪問組，會(huì)使錯(cuò)誤配置成為一種實(shí)際的風(fēng)險(xiǎn)；5)最后rbac的角色層次圖中的許多都只有理論模型和算法描述,實(shí)現(xiàn)困難，并且許多理論框架依然不清楚，沒有完整的代數(shù)描述。對(duì)于模型中的限制的研究#將角色的互斥進(jìn)行分類，定義了理論上的安全級(jí)別，不過實(shí)際中幾乎無法使用，僅有理論意義。 再有，許多模型的代數(shù)描述非常復(fù)雜，很抽象，很難理解，需要很好的數(shù)學(xué)基礎(chǔ)，不易推廣13。5 典型案例一個(gè)基于角色的訪問控制系統(tǒng)5.1 系統(tǒng)的開發(fā)背景與開發(fā)目標(biāo)以下為某公司開發(fā)的一套在局域網(wǎng)絡(luò)環(huán)境下運(yùn)行、b/s模式web版的業(yè)務(wù)系統(tǒng)管理軟件，軟件功能強(qiáng)大，包含9個(gè)大模塊，9大模塊下又包括100多個(gè)子模塊。由于數(shù)據(jù)涉密范圍不同，因此對(duì)用戶的操作權(quán)限有非常嚴(yán)格的限制。目前，在軟件的訪問控制實(shí)現(xiàn)上，采用傳統(tǒng)訪問控制策略，對(duì)系統(tǒng)中的所有用戶進(jìn)行一維的權(quán)限管理，這樣，一個(gè)用戶往往要針對(duì)9大模塊，以及9個(gè)模塊下的若干個(gè)子模塊進(jìn)行授權(quán)管理。在實(shí)現(xiàn)起來，操作很煩瑣，既不能有效適應(yīng)安全性需求，也不能快速實(shí)現(xiàn)。如下圖5-1：圖5-1 授權(quán)系統(tǒng)界面而單位各科室人員的調(diào)動(dòng)又很頻繁，這樣就造成系統(tǒng)管理員的負(fù)擔(dān)很重，且多是重復(fù)勞動(dòng)。為了解決這一問題，使管理人員從權(quán)限管理重復(fù)勞動(dòng)的負(fù)擔(dān)中解放出來，根據(jù)他們?cè)谄浔拘袠I(yè)多年積累下來的經(jīng)驗(yàn)，參考了其它同行的成功經(jīng)驗(yàn)整合了先進(jìn)的思想，認(rèn)為基于角色的訪問控制能有效解決他們工作中遇到的問題。因此需要開發(fā)出一套功能完善而且又靈活方便的安全管理系統(tǒng)，以此提高業(yè)務(wù)軟件的安全性。5.2 系統(tǒng)業(yè)務(wù)功能簡(jiǎn)介由于該處開發(fā)的業(yè)務(wù)管理系統(tǒng)涉密較深，不能詳細(xì)介紹它的功能、模塊。因此就對(duì)軟件進(jìn)行了脫密處理，就業(yè)務(wù)系統(tǒng)的基本架構(gòu)與功能菜單做一個(gè)簡(jiǎn)單地、類似的介紹，但能反映出其設(shè)計(jì)思想。下圖5-2為業(yè)務(wù)軟件功能菜單示例：圖5-2 業(yè)務(wù)軟件功能菜單由上圖5-2可以看到，本業(yè)務(wù)管理系統(tǒng)包含4大模塊，數(shù)據(jù)查詢、數(shù)據(jù)維護(hù)、文秘管理和人事管理，而4大模塊又包含若干子模塊。其對(duì)數(shù)據(jù)按涉密范圍不同，分為a類數(shù)據(jù)和b類數(shù)據(jù)，被授予不同訪問權(quán)限的操作人員只能訪問他被授權(quán)的數(shù)據(jù)。例如：系統(tǒng)管理員只能為用戶分配權(quán)限，不能讀取、修改任何涉密數(shù)據(jù)；a類和b類數(shù)據(jù)的維護(hù)工作(增、刪、改)只能由專門的維護(hù)人員操作；從事于人事管理、行政管理的人員也不能訪問涉密數(shù)據(jù)：同樣的，具有訪問a類數(shù)據(jù)的用戶不能訪問b類數(shù)據(jù)，具有訪問b類數(shù)據(jù)的用戶也不能訪問a類數(shù)據(jù)。5.3 系統(tǒng)分析5.3.1 組織結(jié)構(gòu)下圖5-3為其組織結(jié)構(gòu)關(guān)系圖，它清晰地顯示了各部門之間的領(lǐng)導(dǎo)關(guān)系，以及每個(gè)部門內(nèi)部的人員職責(zé)分工等情況。圖5-3 組織結(jié)構(gòu)關(guān)系圖5.3.2 用戶和角色其實(shí)在現(xiàn)實(shí)生活中也經(jīng)常提到某人扮演了什么角色，處長(zhǎng)還是副處長(zhǎng)。不過在rbac中的角色與實(shí)際的角色概念有所不同。在一個(gè)rbac模型中，一個(gè)用戶可以被賦予多個(gè)角色，一個(gè)角色也可以對(duì)應(yīng)多個(gè)用戶，它們之間是多對(duì)多的關(guān)系，這些角色是根據(jù)系統(tǒng)的具體實(shí)現(xiàn)來定義的；同樣的一個(gè)角色可以擁有多個(gè)權(quán)限，一個(gè)權(quán)限也可以被多個(gè)角色所擁有。在他們這套系統(tǒng)里，用戶是指自然人，角色就是組織內(nèi)部一件工作的功能或者工作的頭銜，表示該角色成員所授予的職權(quán)和責(zé)任。他們根據(jù)組織機(jī)構(gòu)、業(yè)務(wù)崗位不同，定義了以下幾種角色：處長(zhǎng)、數(shù)據(jù)查詢科科長(zhǎng)，a類數(shù)據(jù)查詢科員，b類數(shù)據(jù)查詢科員。數(shù)據(jù)維護(hù)科科長(zhǎng)，數(shù)據(jù)增、改科員，數(shù)據(jù)刪除科員。辦公室主任，辦公室科員，人事管理科科長(zhǎng)，人事管理科數(shù)據(jù)維護(hù)科員，人事管理科普通科員，系統(tǒng)管理員。5.3.3 角色等級(jí)和權(quán)限的定義rbac模型中引入了角色等級(jí)來反映一個(gè)組織的職權(quán)和責(zé)任分布的偏序關(guān)系，以上應(yīng)用系統(tǒng)為例，上圖顯示了該應(yīng)用系統(tǒng)中角色的簡(jiǎn)化等級(jí)。其中高等級(jí)角色在上方，低等級(jí)角色在下方。等級(jí)最低的角色是科員，科長(zhǎng)、主任高于科員，處長(zhǎng)高于科長(zhǎng)，所以科長(zhǎng)繼承了科員，處長(zhǎng)繼承了科長(zhǎng)，顯然角色等級(jí)關(guān)系具有反身性、傳遞性和非對(duì)稱性，是一個(gè)偏序關(guān)系。由上圖5-3，我們可以看到，我們定義了12個(gè)角色，數(shù)據(jù)增、改科員負(fù)責(zé)a、b類數(shù)據(jù)的增加和修改，但不具備刪除數(shù)據(jù)功能：數(shù)據(jù)刪除科員負(fù)責(zé)a、b類數(shù)據(jù)的刪除；數(shù)據(jù)維護(hù)科科長(zhǎng)繼承了數(shù)據(jù)增、改科員和數(shù)據(jù)刪除科員的權(quán)限，既能對(duì)數(shù)據(jù)進(jìn)行增、刪、改、查：a類數(shù)據(jù)查詢科員只能查詢數(shù)據(jù)庫(kù)中的a類數(shù)據(jù)；b類數(shù)據(jù)查詢科員只能查詢數(shù)據(jù)庫(kù)中的b類數(shù)據(jù)；而數(shù)據(jù)查詢科的科長(zhǎng)繼承了a類數(shù)據(jù)查詢科員和b類數(shù)據(jù)查詢科員的權(quán)限，能對(duì)a、b類數(shù)據(jù)進(jìn)行查詢；辦公室科員負(fù)責(zé)本處的收發(fā)文登記；辦公室主任繼承了數(shù)據(jù)查詢科科長(zhǎng)和辦公室科員的權(quán)限，既能查詢a、b類數(shù)據(jù)，也能查看收發(fā)文情況；人事科的普通科員只能查詢黨員管理、警銜管理、工資管理的數(shù)據(jù)：人事科數(shù)據(jù)維護(hù)員繼承了人事科普通科員的權(quán)限，還能對(duì)黨員管理、警銜管理、工資管理的數(shù)據(jù)進(jìn)行增、刪、改、查：人事科科長(zhǎng)繼承了人事科數(shù)據(jù)維護(hù)員的權(quán)限，擁有了數(shù)據(jù)維護(hù)員的權(quán)限：處長(zhǎng)在這里處于最高級(jí)別，他繼承了數(shù)據(jù)維護(hù)科科長(zhǎng)、辦公室主任人事科科長(zhǎng)的權(quán)限，能進(jìn)行所有的權(quán)限操作。同時(shí)還有一個(gè)系統(tǒng)維護(hù)員的角色，它只能對(duì)用戶進(jìn)行權(quán)限分配，而不能訪問所有的數(shù)據(jù)。5.3.4 角色約束rbac模型引進(jìn)了約束概念。rbac中的一個(gè)基本的約束稱為“相互排斥”角色約束，由于角色之間相互排斥，一個(gè)用戶最多只能分配到這兩個(gè)角色中的一個(gè)。例如：在數(shù)據(jù)查詢科科員當(dāng)中，一個(gè)人不能即查詢a類數(shù)據(jù)，又查詢b類數(shù)據(jù)，在數(shù)據(jù)維護(hù)科科員當(dāng)中，一個(gè)人不能對(duì)數(shù)據(jù)進(jìn)行增、刪、改的所有操作。另外，“基本限制”約束規(guī)定了一個(gè)角色可被分配的最大用戶數(shù)。在我們研制的系統(tǒng)中，處長(zhǎng)這個(gè)角色最多被賦予5個(gè)人，數(shù)據(jù)維護(hù)科科長(zhǎng)、