（計算機應用技術專業(yè)論文）基于xacml的rbac模型研究與實現(xiàn).pdf

河海人學碩上學位論文摘要 摘要 a n s ir b a c ( 基于角色的訪問控制) 規(guī)范是目前廣泛使用的存取控制模型，對 該規(guī)范中訪問控制模型的描述形式靈活多樣，如數(shù)據(jù)庫表關系形式、普通文本形 式、) ( m l 文本形式等。但上述描述形式只限定于特定的應用環(huán)境，因為缺少通用 性和交互性而無法在分布式系統(tǒng)的自治區(qū)域中共享相關訪問控制信息，這不但增 大了維護成本，而且降低了系統(tǒng)的交互性和可移植性。 x a c m l ( 可擴展訪問控制標記語言) 是一個o a s i s 標準，是一種通用的用 于保護資源的策略語言和一種基于x m l 的標準的訪問控制語言，用于為不同的 設備和應用編寫訪問控制策略，能夠解決上述幾種描述形式的不足。但x a c m l 語言的靈活性和強大的表達力帶來的代價是復雜和冗長，這樣很難直接操作策略 語言和策略文件。目前尚無成熟的商業(yè)產(chǎn)品或開源項目，可以方便的操作、編輯 x a c m l 策略，一般用戶很難直接使用基于x a c m l 的訪問控制系統(tǒng)。 為解決上述問題，本文以x a c m l 為訪問控制策略描述語言，參考r b a c 9 7 、 r b a c 9 9 框架和a n s ir b a c 功能規(guī)范，實現(xiàn)了基于x a c m l 的r b a c 訪問控制及管理 系統(tǒng)x r b a c ，并分析其在不同應用規(guī)模下的系統(tǒng)性能，取得了較好的效果。 本文主要工作如下： l 、 深入分析a n s ir b a c 的理論模型和功能需求，研究x a c m l 對r b c a 的語 言特性支持，提出了基于x a c m l 的r b a c 訪問控制應用模型( x r b a c ) ，并詳細描 述如何將理論模型轉化為具體實現(xiàn)。 2 、詳細分析和設計了x r b a c 應用系統(tǒng)，實現(xiàn)了部分r b a c 管理、瀏覽及性 能測試功能，詳細描述了策略決策點p d p 、策略信息點p i p 模塊的設計和實現(xiàn)。 3 、詳細描述了實驗方法和過程，通過對p d p 性能測試所獲取的實驗數(shù)據(jù)， 分析系統(tǒng)性能，驗證系統(tǒng)可行性。 【關鍵字】訪問控制、x a c m l 、r b a c 、角色、權限 河海大學碩上學位論文a b s 仃a c t a b s t r a c t i m a c ( r o l e - b a s e da c c e s sc o n t r 0 1 ) m o d e li sw i d e l yu s e d ，t h e r ea r ea l lk i n d so f w a y st 0d e s c d b em er b a cm o d e ii n c l u d i n gd a t a b a s et a b l e ，p l a i nt e x t ，x m lt e x t ，a 1 1 d s oo n a l lo ft h e s ew a y sa r el i m i t e di ns p e c i a lc o n d i t i o n s ，t 1 1 ep o l i c yl a n g u a g el a c ko f g e n e r a la n di n t e r a c t i v e ，w h i c hm a k ed i s t r i b u t e ds y s t e mc a nn o ts h a r et h es 鋤ep o l i c y ， s oi ti n c r e a s et h ec o s to fm a i n t e n a l l c ea n dd e s t r o yt h ei n t e r a c t i o na 1 1 dc o m p a t i b i l i 吼 x a c m li sa no a s i s ( o r g a n i z a t i o nf o r t h ea d v a n c e m e mo fs t r u c t u r e d i n f o 咖a t i o ns t a n d a r d s ) s t a i l d a r dt h a ti sap o l i c yl a n g u a g eb a s e do nx m ls c h e m at 0 d e s c 舶ea c c e s sc o n t r o ld e c i s i o na i l dp o l i c i e sf o rd i 虢r e n td e v i c e sa 1 1 da p p l i c a t i o n s ， w h i c hc a nr e s o l v et h ep r o b l e m sd e s c m e da b o v e t h ec o s to fn e x i b l ea n de x p r e s s i v e o fx a c m li sm o r ec o m p l e xa 1 1 dp r o l i x ，、v h i c hm a k ei td i 伍c u l tt om a i n t a i na l l de d i t x a c m lp o l i c y a st on o w ，t h e r ea r en o tm a t u r ec o m m e r c i a lp r o d u c t sa 1 1 do p e n s o u r c ep r o je c t st om a l ( ei te a s yt 0m a i n t a i na n de d i tx a c m lp o l i c y t h ea c c e s s c o n t r 0 1s y s t e mb a s e do nx a c m li sd i m c u l tt 0u s ef o ru s i nt h i ss t u d y 、v ei n t e n dt o d e v e l o pan e wx r b a c ( x a c m l - b a s e di m a c ) s y s t e ma r c h i t e c t l l r eb yr e f e r r i n gt h e a r c h i t e c t u r eo fa i 之b a c 9 7 ，a r b a c 9 9a i l da n s ir b a cf u n c t i o n a ls p e c i f i c a t i o n ，t o i m p l e m e n tx r j 3 a c a c c e s sc o n t r o la n dm a i l a g e m e n t s y s t e m a 1 1 d a n a l y s i st h e p e r f o n 】：l a n c eu 1 1 d e rd i f r e r e n ta p p l i c a t i o nd i m e n s i o n s t h em a i n w o r ko ft h i st h e s i sc o n c e n t r a t e do nm ef o l l o w i n gp a n s ： 1 a n a l y s i st h ea n s ii m a ct i l e o 巧m o d e la n df u n c t i o n a ld e m a n d s ，s t u d yh o w t 0u s et h ex a c m lt om e e tt h er e q u i r e m e n t so fr o l eb a s e da c c e s sc o n t r o l ， p r o p o s eax a c m l b a s e dr b a cm o d e l ，a 1 1 dd e s c r i b eh o wt oi m p l e m e mt 1 1 e x r b a c 2 a n a l y s i sa n dd e s 咖t h ex r b a c 印p l i c a t i o ns y s t e m ，i m p l e m e n tap a no f 如n c t i o n so fm a l l a g e m e n t ，r e v i e wa 1 1 dp e 訂、o 姍a n c ea 1 1 a l y s i s ，a 1 1 dd e s c 曲e h o wt od e s i g na n di m p l e m e n tt h ep o l i c yd e c i s i o np o i n t ( p d p ) a n dp o l i c y i n f o n n a t i o np o i n t ( p i p ) m o d e l 3 d e s c 曲e l ew a y 鋤dp r o c e s so fp d pp e r f o n l l a n c e t e 甌a i l a l y s i s t l l e e x p e r i m e n td a t a ，a 1 1 dc o n c l u d et h ex i 氌a c i sn e x i b l ea n df e a s i b l e 【k e y w o r d s 】 a c c e s sc o n t r o l ，x a c m l ，r b a c ，r o l e ，p e 肌i s s i o n 學位論文獨創(chuàng)性聲明： 本人所呈交的學位論文是我個人在導師指導下進行的研究工作及 取得的研究成果。盡我所知，除了文中特別加以標注和致謝的地方外， 論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果。與我一同工作的同 事對本研究所做的任何貢獻均已在論文中作了明確的說明并表示了謝 意。如不實，本人負全部責任。 敝儲( 簽孫聾塑釜沙9 牌川日 學位論文使用授權說明 河海大學、中國科學技術信息研究所( 含萬方數(shù)據(jù)庫) 、國家圖書 館、中國學術期刊( 光盤版) 電子雜志社有權保留本人所送交學位論文 的復印件或電子文檔，可以采用影印、縮印或其他復制手段保存論文。 本人電子文檔的內容和紙質論文的內容相一致。除在保密期內的保密論 文外，允許論文被查閱和借閱。論文全部或部分內容的公布( 包括刊登) 授權河海大學研究生院辦理。 論文作者( 簽名) ： 砷杼i 其| 參日 河海大學碩上學位論文第一章緒論 第一章緒論 本章介紹課題研究的背景和意義，討論了國內外研究現(xiàn)狀，提出了研究的必 要性和價值，并闡述了本文的主要工作，最后介紹本文的組織結構。 1 1 引言 計算機網(wǎng)絡和信息系統(tǒng)在當今社會扮演重要角色，信息技術帶來的便捷讓人 愉悅。然而信息安全問題卻一直困擾我們，如數(shù)據(jù)訪問控制。網(wǎng)絡環(huán)境中的信息 需要受到保護，因此長時間以來計算機科學中的授權和訪問控制一直處在研究當 中，并且人們提出了許多訪問控制機制，這些機制主要關注如何定義用戶的權限， 不違反訪問控制策略。 訪問控制技術【1 l 【2 】【3 1 ，是通過某種方式明確地準許或限制訪問能力及范圍的一 種方法。通過訪問控制服務，可以限制對關鍵資源的訪問，防止非法用戶的侵入 或者因合法用戶的不慎操作所造成的破壞。傳統(tǒng)的訪問控制方式包括自主訪問控 制d a c ( d i s c r c 虹o n a d ra c c e s sc o n t r 0 1 ) 、m a c 強制訪問控制( m 2 i r l d a t o 巧a c c e s s c o n t r 0 1 ) 、基于角色的訪問控制r b a c ( i b l eb a s e da c c e s sc o i 燈0 1 ) 【4 】【5 】【6 】【7 1 等。 每種訪問控制方式都有廣泛應用，但應用的范圍有所區(qū)別。 r b a c 引入角色的概念，并以角色作為授權管理的中介。系統(tǒng)安全管理員可 根據(jù)需要定義各種角色，并為其設置合適的訪問權限，然后根據(jù)用戶所擔任的工 作職責或級別分配相應的角色，從而使用戶獲得相關的權限集。角色的引入使得 用戶的授權變得更加靈活，易于維護。r b a c 在訪問控制機制中并非新概念，在 商業(yè)領域有很成熟的應用。i 強a c 以其特有的靈活和細粒度授權模式已被廣泛采 納。 在某些應用系統(tǒng)中，權限都被集中管理和分配，因此對于r b a c 的描述不需 要和其他系統(tǒng)進行交互，只需要被本系統(tǒng)理解即可。而在分布式系統(tǒng)中，權限由 各系統(tǒng)單獨定義，不同的訪問控制描述將使得系統(tǒng)間無法共享相關的訪問控制信 息，人們越來越傾向于使用獨立的訪問控制系統(tǒng)，統(tǒng)一的訪問控制描述語言描述 i m a c 模型，以增強系統(tǒng)的交互性和可移植性。o a s i s ( o r g ；貓z a t i o nf 0 r t l l e a d v a n c e m e n to fs t i u c 眥di n f o n n a t i o ns t 鋤d a r d s ) 于2 0 0 3 年推出x a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ) 作為訪問控制的標準描述語言， 明確了對r b a c 的語言支持嘩j ，使得人們可以使用標準的訪問控制策略描述 r b a c 模型，以改善分布式訪問控制系統(tǒng)中的交互性和可移植性。 河海大學碩士學位論文 第一章緒論 1 2 技術背景 r b a c 的主要思想就是將授權和角色聯(lián)系在一起，使用戶和權限分離，用戶 的權限被分配給合適的角色，可簡化權限授權的管理。r b a c 模型在不同的系統(tǒng) 配置下可以顯示不同的安全控制功能，可以構造具備自主存取類型的系統(tǒng)，也可 以構造成強制存取類型的系統(tǒng)，可通過角色權限粒度控制用戶權限粒度，比較靈 活?；诮巧脑L問控制以其特有的優(yōu)勢，正被廣泛應用于各個系統(tǒng)中【9 【l 們。 目前基于i 也a c 的訪問控制策略，通常以下幾種形式描述： ( 1 ) 數(shù)據(jù)庫表形式。這是目前相當一部分系統(tǒng)采用的訪問控制策略描述方 式。用戶、角色、權限之間的關系，通過建立用戶角色表、角色權限表等來描 述。這種策略描述方式，適合大規(guī)模用戶，且用戶權限相對固定，權限適合集中 管理。策略評估方式由系統(tǒng)自定義，系統(tǒng)的交互性和可移植性差。 ( 2 ) 普通文本形式。在用戶數(shù)量相對較少，角色關系簡單，權限粒度大的 應用系統(tǒng)中較為普遍，如s o l 撕s 操作系統(tǒng)的權限描述。其特點是信息描述簡潔， 解析效率高，但可讀性、結構性、操作性差，在操作系統(tǒng)粗粒度授權中應用較多。 ( 3 ) x m l 文本形式【l 。角色的權限信息和角色的繼承關系以x m l 文件表 示，在中心服務器上維護，通過在x 】l 中定義角色和權限的標簽，利用x m l 的 層次性的特點，來表示角色之間的關系，在簡單文本的基礎上大大提高了系統(tǒng)的 可讀性、可操作性和靈活性。但不同的應用都需要考慮如何定義各種元素來表達 用戶、角色、權限之間關系，以及如何定義規(guī)則來描述策略，因此不同的應用有 不同的定義。這種非標準語義的x m l 文本形式，同樣面臨交互的問題。 ( 4 ) x a c m l 文本形式。隨著人們對基于l 的i m a c 模型研究的深入和 推廣，越來越需要統(tǒng)一、規(guī)范、權威、靈活的形式表述r b a c 關系模型及策略， 以統(tǒng)一的x m l 語法和規(guī)則定義標準的訪問控制策略和請求響應策略。 x a c m l 的主要優(yōu)勢有1 1 2 j ： ( 1 ) x a c m l 是標準。標準通過了大量專家和使用者審查，開發(fā)者不再需要 考慮設計一個定義語言所涉及的所有議題，不必經(jīng)常更改系統(tǒng)。隨著x a c m l 的越來越廣泛的開發(fā)部署，開發(fā)者將更容易通過標準語言與其它使用同一語言的 應用系統(tǒng)協(xié)作交互。 ( 2 ) x a c m l 是通用的。不僅為特殊的應用環(huán)境提供訪問控制，還包括任意 環(huán)境的特殊資源。一個策略可以被不同的應用所使用，當使用通用語言時，策略 管理變得更容易。 ( 3 ) x a c m l 是分布式的。這意味著一個訪問控制策略可以引用其它任意位 置的其它策略。其帶來的好處就是可以由不同的用戶或組各自管理策略中各自業(yè) 務范圍內、或專業(yè)領域內的子策略并最終合并為總策略，而不是集中管理一個集 成的訪問控制策略。由x a c m l 來處理如何正確的合并不同的子策略判斷結果， 2 河海大學碩上學位論文第一章緒論 并作出統(tǒng)一的訪問控制。 ( 4 ) x a c m l 是強大的。標準語言已經(jīng)可以支持廣泛的數(shù)據(jù)類型、功能、和 合并不同策略判斷結果的組合規(guī)則。另外，已經(jīng)有若干標準小組致力于開發(fā)擴展 和概要描述，使得x a c m l 可以與其它諸如s a m l 和l d a p 之類的標準協(xié)同工 作，這使得x a c m l 可以得到更廣泛的應用。 x a c m l 對于廣域分布式應用環(huán)境非常適用，支持多種授權方式和模型。對 于傳統(tǒng)訪問控制系統(tǒng)，x a c m l 也提供實用而明確的權限管理和定義描述。 x a c m l 是以x m l 形式描述的開放標準，有開源項目的支持，使得其在整合異 構系統(tǒng)中將有很好的表現(xiàn)，它將成為分布式授權系統(tǒng)很好的選擇。 1 3 研究現(xiàn)狀 目前，國內外已有許多基于x m l 的訪問控制的應用研究l l3 j 【1 4 1 ，以及基于 x a c m l 的i 國a c 安全訪問控制模型的研究，策略描述語言經(jīng)歷了從x m l 到 x a c m l 的發(fā)展?；趚 a c m l 的用戶、策略、角色管理以及r b a c 應用，已 處在積極的應用研究階段【1 5 】【1 6 j 。 在網(wǎng)絡應用環(huán)境中，特別是在網(wǎng)格應用中，策略的描述語言有各種各樣。在 網(wǎng)格安全基礎設施g s i ( g r i ds e c l l r i t yi n f r a s t m c t u r e ) 中，策略語言的使用是不透明 的，策略的創(chuàng)建者和資源提供者需要能理解共同的策略語割1 7 】。在公共授權服務 c a s ( c o i l u i l 時a u t h o r i z a t i o ns e 州c e ) 的代理證書中可使用任意策略語言，包 括c o n t r o l l e de n 鰣s h 【1 9 l ，a s l 【2 0 】，p o n d e r 【2 l 】，不同的策略描述語言，給系統(tǒng)的交 互和維護帶來諸多不便，因此在網(wǎng)格c a s 、g s i 應用中需要發(fā)展標準的策略語言 1 2 引，策略語言的發(fā)展將會使網(wǎng)格安全服務受益。 p r i m a 【2 3 】是網(wǎng)格計算環(huán)境中的分布式訪問控制系統(tǒng)，支持多向授權。允許用 戶作為管理者將驗證過的資源訪問權限授予用戶，也可將精確定義的權限賦予驗 證的資源。目前，p m a 系統(tǒng)已經(jīng)在g 1 0 b u st o o l k i t 的安全機制中實現(xiàn)。在網(wǎng)格 的安全訪問控制系統(tǒng)中，還有a k e n t i 【2 鍆、p e r m i s 【2 5 】等，這些系統(tǒng)使用的訪問 控制策略語言都基于x m l ，沒有統(tǒng)一的策略描述語言。a k e n t i 、p e i t m i s 項目 都在研究x a c m l ，打算將其作為核心策略描述語言代替原有的策略語言。 x a c m l 除了定義策略語言，還定義了認證的請求和響應格式。雖然x a c m l 不 是標準化一套完整的授權解決方案，但卻成為各種解決方案組合的基礎。 x a c m l 的規(guī)范正在不斷完善和發(fā)展，x a c m l l 2 規(guī)范的實現(xiàn)主要有s u n x a c m l l 2 的j a v a 實現(xiàn)和) 認c m l n e t 的c 撐實現(xiàn)【2 7 1 。通過這些開源項目的 支持，可以方便的生成標準的一致的請求響應格式，并方便處理策略策略集， 通過統(tǒng)一的評估算法，對訪問控制策略進行評估，得出一致的決策評估結果。 目前尚無成熟的商業(yè)或開源產(chǎn)品，可以方便的操作、編輯x a c m l 策略，因 3 河海人學碩 ：學位論文第一章緒論 此對于x a c m l 的操作，大都限于熟悉) 認c m l 語法的系統(tǒng)開發(fā)人員。x a c m l 語言的靈活性和強大的表達力帶來的代價是復雜和冗長，這樣很難直接操作策略 語言和策略文件。沒有方便使用的工具，一般用戶很難運用基于x a c m l 的訪問 控制系統(tǒng)，這些都阻礙了x a c m l 應用的推廣。 x a c m l 對r b a c 提出了明確的支持，對于用戶、角色、權限的定義也有明 確的語言規(guī)范。但用戶、角色、權限描述的存放位置并沒有明確規(guī)定，比如是存 放在同一文件中還是分開存儲，或以l d a p 形式存放。這些都可能影響到系統(tǒng)檢 索策略和評估策略的性能。目前尚未有針對策略存儲方式和策略評估算法的性能 測試，對于基于x a c m l 的i 啦a c 訪問控制策略描述，其響應性能需要進一步 驗證。 1 4 問題的提出 依據(jù)以上研究現(xiàn)狀和技術分析，可以看到網(wǎng)絡環(huán)境數(shù)據(jù)訪問控制中x a c m l 的重要和r b a c 優(yōu)勢，因此實現(xiàn)基于x a c m l 的r b a c 模型，是非常有意義的 工作。為了更好的維護和使用x a c m l 策略，必須實現(xiàn)基于x a c m l 的r b a c 管理系統(tǒng)( 簡稱x i 出a c ) ，以便更方便更有效地管理和維護用戶、角色和權限 之間的關系，提供可移植的、一致的訪問控制策略，實現(xiàn)網(wǎng)絡資源的跨域、細粒 度授權。 合理組織策略存儲結構，保證策略檢索和策略評估效率，保證策略集的可擴 展性。測試策略檢索和評估效率，以確認在實際應用中的可行性，為基于x a c m l 的r b a c 訪問控制應用提供數(shù)據(jù)參考。 1 5 本文的工作和組織結構 1 5 1 本文的工作 本論文從分析現(xiàn)階段網(wǎng)絡環(huán)境中數(shù)據(jù)訪問控制面臨的問題入手，分別從理論 和實際應用角度擬定解決問題的措施，設計了基于x a c m l 的r b a c 訪問控制 管理系統(tǒng)，并提出具體的可行實現(xiàn)技術。 本文的主要內容是設計實現(xiàn)基于x a c m l 的i 強a c 訪問控制和管理系統(tǒng) x i m a c 。通過分析r b a c 理論模型，依據(jù)虻m l 實現(xiàn)r b a c 的描述，結合 s u n 提供的s u i lx a c m l l 2a p i ，設計實現(xiàn)基于x a c m l 的r b a c 各種管理功 能、系統(tǒng)功能等，以簡化基于x a c m l 訪問控制策略的操作和維護，并提供性能 測試功能，進行數(shù)據(jù)分析和性能評估，在不同的用戶規(guī)模和權限規(guī)模下，測試系 統(tǒng)的訪問控制性能和可擴展性，驗證理論模型的可行性。通過大量的實驗數(shù)據(jù)， 分析系統(tǒng)的瓶頸，為其他相關研究提供可供參考的信息。 4 河海大學碩士學位論文第一章緒論 1 5 2 論文的組織 論文的具體組織結構如下： 第一章緒論，概述本文的技術背景、研究現(xiàn)狀、選題的意義、本文的主要 工作及組織結構。 第二章簡要介紹了x a c m l 在數(shù)據(jù)訪問控制中的位置，分析了訪問控制技 術和r b a c 模型。 第三章通過分析r b a c 功能規(guī)范，獲取管理i 強a c 的各功能需求，以及 x a c m l 為支持r b a c 提供的相關定義和描述，進行x r b a c 系統(tǒng)分析和設計， 描述x r b a c 的管理功能、系統(tǒng)功能、性能分析功能的實現(xiàn)細節(jié)。 第四章通過對x r b a c 的策略決策點p d p 性能測試，驗證x r b a c 理論模 型的可行性，測試系統(tǒng)的訪問控制性能、可擴展性，分析性能瓶頸并提出解決方 案。 第五章總結和展望，對整篇論文的主要工作和取得的成果進行了總結，并 指出了一些需要完善的不足和對未來研究工作的一些思考和展望。 河海大學碩七學位論文第_ 二章x a c m l 及r b a c 概述 第二章x a c m l 及r b a c 概述 本章簡單介紹x a c m l 的基本概念和主要行為，簡單介紹如何通過x a c m l 描述 實現(xiàn)訪問控制。深入分析a n s i 標準的r b a c 模型及相關要素，通過集合描述各要 素之間的關系，為實現(xiàn)基于x a c m l 的r b a c 模型提供理論支持。初步研究r b a c 管 理模型，了解r b a c 模型的管理功能的需求。 2 1x a c m l 簡介 目前，許多訪問控制和授權系統(tǒng)都以各自的方式實現(xiàn)，所以都限定于特定的 應用環(huán)境而無法在開放的網(wǎng)絡環(huán)境中使用，因為無法在不同的區(qū)域中共享相關的 訪問控制信息。在沒有x a c m l 的時候，需要為網(wǎng)絡編寫和維護多個身份驗證系 統(tǒng)，因此需要一種通用語言表達不同的訪問控制策叫2 8 j 。2 0 0 3 年2 月，可擴展訪 問控制標記語言x a c m l 獲得了批準，成為了一個o a s i s 標準。x a c m l 定義了一 種通用的用于保護資源的策略語言和一種基于x m l 的標準的訪問控制語言，用 于為不同的設備和應用編寫訪問控制策略。 x a c m l 包括訪問控制語言和請求響應( r e q u e s t i 之e s p o n s e ) 語言兩部分。 訪問控制語言使得開發(fā)者能以統(tǒng)一的語法和規(guī)則，描述誰何時何種情況下能做什 么，這使得不同的節(jié)點資源能相互理解彼此的策略規(guī)則。請求響應語言用來描 述訪問請求和響應結果。圖2 1 描述了x a c m l 中主要行為的應用流程。 當客戶端向服務端提出訪問請求( a c c e s sr e q u e s t ) 時，由策略執(zhí)行點p e p ( p o l i c ye n f o r c e m e mp o i n t ) 執(zhí)行。為了執(zhí)行授權的策略，這個實體將規(guī)范化策 略描述信息，向策略決策點p d p ( p o l i c yd e c i s i o np o i n t ) 發(fā)出委托授權請求。可 用的策略位于策略信息點p i p ( p o l i c yi n f o n n a t i o np o i n ) 中，依據(jù)資源屬性由策 略決策點p d p 評估請求，然后返回授權結果。根據(jù)響應信息，策略執(zhí)行點可以 向客戶端做出適當?shù)姆磻?。訪問請求到達策略執(zhí)行點p e p 后，p e p 創(chuàng)建一個 x a c m l 請求并發(fā)送到策略決策點p d p ，由p d p 評估請求并返回一個響應。該 響應可以是允許訪問，也可以是拒絕訪問，可同時具有適當?shù)牧x務( o b l i g a t i o n s ) 。 p d p 評估請求中的相關策略和規(guī)則后會做出決策?？梢詰玫牟呗杂卸喾N，p d p 并沒有評估所有的策略，而是根據(jù)策略目標選擇相關的策略進行評估。策略目標 包括關于主體、動作和其他環(huán)境屬性的信息。為了獲得策略，p d p 要用到策略 訪問點p a p ，p a p 編寫策略和策略集，供p d p 使用。p d p 也可以調用策略信息 點p i p 服務檢索與主體、資源或者環(huán)境有關的屬性值。p d p 做出的授權決策被發(fā) 送到p e p 。p e p 履行義務，并根據(jù)p d p 發(fā)送的授權決策允許或拒絕訪問。 6 河海大學碩十學位論文第二章x a c m l 及l(fā) m a c 概述 i a 冷酷r e q u e 猷 2 r e q 域7 r 色即。舊e 8 。酬。一目 p d pt 4 a 黼q u 卿+ lp i p p 刪q 曬s | p o | n t l 一6 a t 晡b h j 悟一j 剛q 咖m 硎p 。m 2 l軸黜b j 鰣 l & 黜黑詈e 哩 i 3 p o h 掣 ll 1 l 剛時恐n 。i 勖q 耐f 一l e n 啊n ，n n 憎蚋i 圖2 1x a c m l 應用流程 在x a c m l 出現(xiàn)之前，應用開發(fā)者必須創(chuàng)建自己的訪問控制描述方式，很顯 然這種描述無法和其他的應用策略交互。x a c m l 的出現(xiàn)，是為了替代現(xiàn)存的面 向應用的特殊策略描述方式，如a k e n t i 和p e r m i s 中基于x m l 的策略。目前， x a c m l 已獲得了初步應用【2 9 】，x a c m l 的第一個j a v a 實現(xiàn)已由s 吼m i c r o s y s t e m i n c 開發(fā)完成【3 0 j 。 o a s i s 為了滿足r b a c 應用的需求，已經(jīng)明確提出了x a c m l 對r b a c 的 語言特性支持。支持核心r b a c ( c o r er b a c ) ，繼承i 也a c ( h i e r a r c h i c a li 也a c ) 和職權分離模型。x a c m l 支持r b a c 具體的語言特性在3 1 4 節(jié)中說明。 2 2r b a c 模型分析 r b a c 已不是什么新出的概念，早在2 0 世紀7 0 年代，基于角色的訪問控制 ( i 沁l e b a s e da c c e s sc o n 仃d 1 ) 的概念已隨著多用戶多應用在線系統(tǒng)的產(chǎn)生而出現(xiàn) 【3 。砌3 a c 的核心概念就是訪問權限和角色相關聯(lián)，而將用戶賦予特定的角色， 從而使用戶關聯(lián)特定的權限。在用戶( u s e r ) 和權限( p e m i s s i o n ) 之間引入角色 ( r o l e ) 的概念，用戶和特定的一個或多個角色相關聯(lián)，角色可依據(jù)實際應用建 立或取消，這大大簡化了訪問權限的管理。角色依據(jù)組織中的各種工作需要創(chuàng)建， 用戶依據(jù)不同的職責被賦予不同的角色。用戶可以很方便地從一個角色轉換為另 一角色。角色可以被賦予系統(tǒng)相應的權限，權限也可在必要時被撤銷。1 9 9 2 年， 7 河海人學碩：卜學位論文第二章x a c m l 及r b a c 概述 f e r r a i o l o 和k u l l i l 正式首先提出了r b a c 的概念【3 l j 。1 9 9 6 年，由s a n d h u 等提議 的由用戶、角色、訪問權限和s e s s i o n s 組成的i 氌a c 一系列模型被正式提出， 如r b a c 9 6 【4 】等，其中和a n s i 模型最接近的為( 美國) 國家標準技術研究所 ( n a t i o n a li n s t i t u t eo fs t a n d 刪t e c h n o l o g y ) n i s t 模型l “j 。 2 0 0 4 年，r b a c 被美國國家標準委員會( a n s i ) 和i t 國際標準委員會 ( i n c i t s ) 接納為a n s i 烈c i t s3 5 9 2 0 0 4 標準1 2 j ，描述了r b a c 的統(tǒng)一模型。 r b a c 標準包括兩個主要部分：r b a c 參考模型和r b a c 功能描述。i m a c 參 考模型定義了r b a c 的基本定義和基本元素集合，并通過集合論給出了一套 r b a c 的數(shù)學模型。r b a c 功能描述定義了r b a c 系統(tǒng)必須具備的功能，包括 管理功能( a d m i n i s t r a t i v ef u n c t i o n s ) ，系統(tǒng)功能( s u p p o n i n gs y s t e mf u n c t i o n s ) 和瀏覽功能( r e v i e wf u n c t i o n s ) 。 在圖2 2 中，i 出a c 0 作為最基本的模型，滿足i m a c 系統(tǒng)中最少的需求。 r b a c l 和r b a c 2 都包含r b a c o ，i 出a c l 增加了角色繼承關系( 角色能繼承 其他角色的訪問權限) ，而r b a c 2 增加了約束條件。最頂層的模型是r b a c 3 包含r b a c l 和i m a c 2 ，通過傳遞也包含了r b a c o 。r b a c o 由除角色繼承和 約束的其他元素組成。其中顯示了四個實體：用戶、角色、訪問權限和會話。 圖2 2 基于角色訪問控制模型( r b a c ) 【2 】 r b a c 作為靈活高效的授權機制，在許多商業(yè)領域中已有廣泛應用。砌j a c 模型被分為三個等級不斷提升的功能層次：核心i 出a c ，繼承融a c 和約束 r b a c 。后一層次是在前一層功能需求基礎上的累積和擴展。如果沒有標準模型 作為參考將會導致功能和描述上的不確定和混亂。a n s i 模型組合了各種r b a c 模型、商業(yè)產(chǎn)品和研究模板相一致的概念，發(fā)展成為進一步的標準。a n s i 模型 和n i s t 模型比較一致，只做了很少的修正。核心r b a c 對應i m a c o ，繼承i m a c 對應r b a c l ，約束i 出a c 則對應r b a c 2 。 8 河海大學碩上學位論文第一二章x a c m l 及i 也a c 概述 將a n s i 模型作為r b a c 參考模型有兩個目的： ( 1 ) 參考模型定義了標準中r b a c 的特性。明確了包含在所有r b a c 系統(tǒng)中 特性元素的最小集合，有角色繼承，靜態(tài)約束和動態(tài)約束。 ( 2 ) 參考模型使用精確和一致的語言定義了一套元素集合和功能規(guī)范。 i 強a c 主要組成模塊包括核心r b a c 、繼承r b a c 、以及靜態(tài)職權分離s s d ( s t a t i cs e p 刪i o no f d u t ) ，) 和動態(tài)職權分離d s d ( d y n 鋤i cs e p 刪i o no f d u 夠) 關系，如圖2 3 所示。以下為參考模型及相關內容： 核心i m a c 定義了i m a c 元素的最小集合( 包括用戶角色賦值和權限角色賦 值關系) 。 繼承i 氌a c 定義了角色中的繼承關系。 靜態(tài)職權分離關系在角色集合上添加約束特別是在形成u a 關系時。( 即用戶 不能同時被賦予兩個相互約束的角色) 動態(tài)職權分離關系允許用戶被兩個或兩個以上的角色在行為不沖突的情況 下動態(tài)授權。 2 2 1 核心r b a c 模型 圖2 3r b a c 組件的參考模型 i 圓a c 模型作為一個整體，主要定義了被賦予角色的用戶和被賦予權限的角 色。這樣一來，角色就在用戶和權限之間，起到了多對多映射關系的作用。此外， 核心r b a c 模型還包括一套會話( s e s s i o n s ) ，每個會話都是一個用戶和與之 對應角色的有效集合之間的映射關系。 核心i m a c 模型主要由三個實體組成：用戶( u ) ，角色( r ) 和權限( p ) 。它主要 描述了r b a c 的基本概念：用戶被賦予相應的角色，角色被賦予相應的權限。 這使得用戶以角色為中介獲取相應的權限。 r b a c 參考模型定義了一套基本i 也a c 元素( 用戶、角色、許可、操作和對 9 河海大學碩七學位論文 第二章x a c m l 及r b a c 概述 象資源) 及其功能關系。 對象資源：在此標準中，一個對象指的是任何受控的系統(tǒng)資源，如一個文件、 打印機、終端、數(shù)據(jù)庫記錄、等。 操作：一個操作指一個可執(zhí)行過程，它為用戶提供某些可調用功能。 權限：在一個或多個受r b a c 訪問控制的對象資源上進行某項操作的操作許 可。 角色：執(zhí)行特定任務的權利或在組織中已被授予一定責任的工作頭銜。它代 表一種資格、權利和責任。 用戶：一個用戶被定義為一個人。盡管用戶的概念可以被擴展，包括機器， 網(wǎng)絡，或智能自治代理，為了便于理解這里只限于人。 操作和對象資源的類型取決于其所在的系統(tǒng)類型。例如，在文件系統(tǒng)中操作 就包括讀、寫和執(zhí)行；在數(shù)據(jù)庫管理系統(tǒng)中，操作就包括插入、刪除、追加和更 新。 訪問控制機制的目的就是保護系統(tǒng)資源。和原來的訪問控制模型一致，對象 資源就是包含或接收信息的實體。在i 出a c 系統(tǒng)中，對象資源能表示信息( 如 操作系統(tǒng)中的文件、目錄，數(shù)據(jù)庫系統(tǒng)中的列、行、表和視圖) 或表達有限的系 統(tǒng)資源如打印機，磁盤空間，c p u 周期等。i 強a c 所涵蓋的對象資源都列在賦予 角色的權限中。 r b a c 的中心是角色關系的概念，角色則是描述策略的語義構造。 圖2 4 說明了用戶賦值( u a ) 和權限賦值( p a ) 關系。箭頭表示了一個多 對多的關系( 例如，一個用戶能被賦予多個角色，一個角色能被指派給不同的用 戶) 。這種安排提供了很好的靈活性和權限到角色及用戶到角色的細粒度賦值。 在便利之外同樣有隱患，由于在用戶和資源上缺少有效的訪問控制手段，用戶對 資源的操作可能被賦予過多的權限。例如，用戶需要列出目錄或是更改文件而不 需創(chuàng)建新的文件，或需要在文件中添加記錄不需更改存在的記錄。任何對資源訪 問控制靈活性提升的同時，都需要強調最小權限的應用原則。 每個會話是一個用戶對可能多個角色的映射，在用戶激活與之相關的角色集 時產(chǎn)生會話。每個會話對應一個用戶，而每個用戶與一個或多個會話相關聯(lián)。 s e s s i o nr o l e s 提供會話激活的角色，s e s s i o nu s e r s 提供和會話相關的用戶。對當 前用戶有效的權限是當前用戶所有會話所包含的角色被賦予的權限。 核心r b a c 規(guī)范： ( 1 ) u s e r s 、i 的l e s 、o p s 和0 b s ( 用戶，角色，操作和對象資源) 。 ( 2 ) u a 互u s e r s r o l e s ，一個多對多映射用戶一角色的賦值關系。 ( 3 ) a s s i 印e du s e r s ：( r ：r o l e s ) _ 2 u s e r s ，角色r 映射的用戶集合。公式： a s s i g n e d s e r s ( r ) = u u s e r si ( u ，r ) u a ) l o 河海人學碩士學位論文 第二章x a c m l 及r b a c 概述 ( 4 ) p i t m s = 2 ( 0 p s o b s ) ，權限集合。 ( 5 ) p a p e r m s r o l e s ，多對多映射權限角色賦值關系。 ( 6 ) a s s i g n e dp e 姍i s s i o n s ( r ：r o l e s ) _ 2 p i 之m s ，角色r 映射的權限集合。 公式：a s s i 盟e d _ p e m i s s i o n s ( r ) = p p i 己m sl ( p ，r ) p a ) ( 7 ) o p ( p ：p r m s ) 一 o p 0 p s ，權限對應操作的映射，給出與權限相關 的操作集。 ( 8 ) o b ( p ：p i 洲s ) _ o b o b s ) ，權限對應對象資源的映射，給出了與權 限相關的對象資源集。 ( 9 ) s e s s i o n s = 會話集合。 ( 1 0 ) s e s s i o nu s e r s ( s ：s e s s l 0 n s ) 一u s e r s ，會話對應的用戶集合。 ( 1 1 ) s e s s i o nr o l e s ( s ：s e s s i o n s ) _ 2 r o l e s ，會話所映射的角色集合。公 式：s e s s i o r l _ r o l e s ( s i ) 竺 r r o l e si ( s e s s i o n _ u s e r s ( s i ) ，r ) u a ) ( 1 2 ) a v a i ls e s s i o np e n n s ( s ：s e s s i o n s ) _ 2 p r m s ，當前會話中的有效權限。 圖2 4 核心r b a c ( c o r er b a c ) 【2 1 2 2 2 繼承r b a c 模型 本模型構造介紹如圖2 5 的角色繼承。角色繼承是r b a c 模型的重要概念， 通常包含在r b a c 產(chǎn)品中。繼承是一個表示角色構成的自然方式，來反映一個 組織的權限和責任。角色繼承定義了角色的繼承關系，繼承用權限的術語表示， 如r 1 “繼承了，r 2 則表示r l 包含了r 2 的所有權限。一般考慮兩種類型的角色繼承， 通用角色繼承和受限角色繼承。通用角色繼承提供一種偏序繼承方式，包括權限 和角色中用戶成員的多繼承。受限角色繼承則限制一個簡單的樹結構( 如一個角 色可以有一個或多個直接后繼，但只允許有一個直接前驅) 。 ( 1 ) 通用角色繼承： i m 墨r o l e s r o l e s 表示角色繼承關系，寫作，r 1 r 2 表示當且僅當 凡r 2 擁有的權限r(nóng) 1 也都擁有，并且所有r l 的用戶也必然是r 2 的用戶，例如：r 1 r 2 = 亭a u t h o r i z e d 肼；肌i s s i o n s ( r 2 ) a u t h o r i z e d e 冊i s s i o n s ( _ ) 。 河海人學碩j 二學位論文第二二章x a c m l 及r b a c 概述 a m h o r i z e du s e r s ( r ：r o l e s ) _ 2 ，角色繼承下的角色r 映射的用戶集，公 式：a u t h o r i z e du s e r s ( r ) = u u s e r sr r ，( u ，r ) u a 。 a u t h o r i z e dp e r m i s s i o n s ( r ：r o l e s ) _ 2 ，角色繼承下的角色r 映射的權限 集，公式：a u t h o r i z e d j e m i s s i o n s ( r ) = p p r m sr r ，( p ，r ) p a 。 ( 2 ) 受限繼承模型 受限繼承模型中角色只限定在單個直接前驅。節(jié)點r l 對節(jié)點r 2 直接繼承表 示為r 1 掙r 2 ，如果r 1 2 ，在r l 和r 2 之間沒有其他角色。也就是在角色繼 承中，不存在第三角色r 3 使得r l