（計算機應(yīng)用技術(shù)專業(yè)論文）基于xacml的rbac模型研究與實現(xiàn).pdf

河海人學(xué)碩上學(xué)位論文摘要 摘要 a n s ir b a c ( 基于角色的訪問控制) 規(guī)范是目前廣泛使用的存取控制模型，對 該規(guī)范中訪問控制模型的描述形式靈活多樣，如數(shù)據(jù)庫表關(guān)系形式、普通文本形 式、) ( m l 文本形式等。但上述描述形式只限定于特定的應(yīng)用環(huán)境，因為缺少通用 性和交互性而無法在分布式系統(tǒng)的自治區(qū)域中共享相關(guān)訪問控制信息，這不但增 大了維護成本，而且降低了系統(tǒng)的交互性和可移植性。 x a c m l ( 可擴展訪問控制標(biāo)記語言) 是一個o a s i s 標(biāo)準(zhǔn)，是一種通用的用 于保護資源的策略語言和一種基于x m l 的標(biāo)準(zhǔn)的訪問控制語言，用于為不同的 設(shè)備和應(yīng)用編寫訪問控制策略，能夠解決上述幾種描述形式的不足。但x a c m l 語言的靈活性和強大的表達力帶來的代價是復(fù)雜和冗長，這樣很難直接操作策略 語言和策略文件。目前尚無成熟的商業(yè)產(chǎn)品或開源項目，可以方便的操作、編輯 x a c m l 策略，一般用戶很難直接使用基于x a c m l 的訪問控制系統(tǒng)。 為解決上述問題，本文以x a c m l 為訪問控制策略描述語言，參考r b a c 9 7 、 r b a c 9 9 框架和a n s ir b a c 功能規(guī)范，實現(xiàn)了基于x a c m l 的r b a c 訪問控制及管理 系統(tǒng)x r b a c ，并分析其在不同應(yīng)用規(guī)模下的系統(tǒng)性能，取得了較好的效果。 本文主要工作如下： l 、 深入分析a n s ir b a c 的理論模型和功能需求，研究x a c m l 對r b c a 的語 言特性支持，提出了基于x a c m l 的r b a c 訪問控制應(yīng)用模型( x r b a c ) ，并詳細(xì)描 述如何將理論模型轉(zhuǎn)化為具體實現(xiàn)。 2 、詳細(xì)分析和設(shè)計了x r b a c 應(yīng)用系統(tǒng)，實現(xiàn)了部分r b a c 管理、瀏覽及性 能測試功能，詳細(xì)描述了策略決策點p d p 、策略信息點p i p 模塊的設(shè)計和實現(xiàn)。 3 、詳細(xì)描述了實驗方法和過程，通過對p d p 性能測試所獲取的實驗數(shù)據(jù)， 分析系統(tǒng)性能，驗證系統(tǒng)可行性。 【關(guān)鍵字】訪問控制、x a c m l 、r b a c 、角色、權(quán)限 河海大學(xué)碩上學(xué)位論文a b s 仃a c t a b s t r a c t i m a c ( r o l e - b a s e da c c e s sc o n t r 0 1 ) m o d e li sw i d e l yu s e d ，t h e r ea r ea l lk i n d so f w a y st 0d e s c d b em er b a cm o d e ii n c l u d i n gd a t a b a s et a b l e ，p l a i nt e x t ，x m lt e x t ，a 1 1 d s oo n a l lo ft h e s ew a y sa r el i m i t e di ns p e c i a lc o n d i t i o n s ，t 1 1 ep o l i c yl a n g u a g el a c ko f g e n e r a la n di n t e r a c t i v e ，w h i c hm a k ed i s t r i b u t e ds y s t e mc a nn o ts h a r et h es 鋤ep o l i c y ， s oi ti n c r e a s et h ec o s to fm a i n t e n a l l c ea n dd e s t r o yt h ei n t e r a c t i o na 1 1 dc o m p a t i b i l i 吼 x a c m li sa no a s i s ( o r g a n i z a t i o nf o r t h ea d v a n c e m e mo fs t r u c t u r e d i n f o 咖a t i o ns t a n d a r d s ) s t a i l d a r dt h a ti sap o l i c yl a n g u a g eb a s e do nx m ls c h e m at 0 d e s c 舶ea c c e s sc o n t r o ld e c i s i o na i l dp o l i c i e sf o rd i 虢r e n td e v i c e sa 1 1 da p p l i c a t i o n s ， w h i c hc a nr e s o l v et h ep r o b l e m sd e s c m e da b o v e t h ec o s to fn e x i b l ea n de x p r e s s i v e o fx a c m li sm o r ec o m p l e xa 1 1 dp r o l i x ，、v h i c hm a k ei td i 伍c u l tt om a i n t a i na l l de d i t x a c m lp o l i c y a st on o w ，t h e r ea r en o tm a t u r ec o m m e r c i a lp r o d u c t sa 1 1 do p e n s o u r c ep r o je c t st om a l ( ei te a s yt 0m a i n t a i na n de d i tx a c m lp o l i c y t h ea c c e s s c o n t r 0 1s y s t e mb a s e do nx a c m li sd i m c u l tt 0u s ef o ru s i nt h i ss t u d y 、v ei n t e n dt o d e v e l o pan e wx r b a c ( x a c m l - b a s e di m a c ) s y s t e ma r c h i t e c t l l r eb yr e f e r r i n gt h e a r c h i t e c t u r eo fa i 之b a c 9 7 ，a r b a c 9 9a i l da n s ir b a cf u n c t i o n a ls p e c i f i c a t i o n ，t o i m p l e m e n tx r j 3 a c a c c e s sc o n t r o la n dm a i l a g e m e n t s y s t e m a 1 1 d a n a l y s i st h e p e r f o n 】：l a n c eu 1 1 d e rd i f r e r e n ta p p l i c a t i o nd i m e n s i o n s t h em a i n w o r ko ft h i st h e s i sc o n c e n t r a t e do nm ef o l l o w i n gp a n s ： 1 a n a l y s i st h ea n s ii m a ct i l e o 巧m o d e la n df u n c t i o n a ld e m a n d s ，s t u d yh o w t 0u s et h ex a c m lt om e e tt h er e q u i r e m e n t so fr o l eb a s e da c c e s sc o n t r o l ， p r o p o s eax a c m l b a s e dr b a cm o d e l ，a 1 1 dd e s c r i b eh o wt oi m p l e m e mt 1 1 e x r b a c 2 a n a l y s i sa n dd e s 咖t h ex r b a c 印p l i c a t i o ns y s t e m ，i m p l e m e n tap a no f 如n c t i o n so fm a l l a g e m e n t ，r e v i e wa 1 1 dp e 訂、o 姍a n c ea 1 1 a l y s i s ，a 1 1 dd e s c 曲e h o wt od e s i g na n di m p l e m e n tt h ep o l i c yd e c i s i o np o i n t ( p d p ) a n dp o l i c y i n f o n n a t i o np o i n t ( p i p ) m o d e l 3 d e s c 曲e l ew a y 鋤dp r o c e s so fp d pp e r f o n l l a n c e t e 甌a i l a l y s i s t l l e e x p e r i m e n td a t a ，a 1 1 dc o n c l u d et h ex i 氌a c i sn e x i b l ea n df e a s i b l e 【k e y w o r d s 】 a c c e s sc o n t r o l ，x a c m l ，r b a c ，r o l e ，p e 肌i s s i o n 學(xué)位論文獨創(chuàng)性聲明： 本人所呈交的學(xué)位論文是我個人在導(dǎo)師指導(dǎo)下進行的研究工作及 取得的研究成果。盡我所知，除了文中特別加以標(biāo)注和致謝的地方外， 論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果。與我一同工作的同 事對本研究所做的任何貢獻均已在論文中作了明確的說明并表示了謝 意。如不實，本人負(fù)全部責(zé)任。 敝儲( 簽孫聾塑釜沙9 牌川日 學(xué)位論文使用授權(quán)說明 河海大學(xué)、中國科學(xué)技術(shù)信息研究所( 含萬方數(shù)據(jù)庫) 、國家圖書 館、中國學(xué)術(shù)期刊( 光盤版) 電子雜志社有權(quán)保留本人所送交學(xué)位論文 的復(fù)印件或電子文檔，可以采用影印、縮印或其他復(fù)制手段保存論文。 本人電子文檔的內(nèi)容和紙質(zhì)論文的內(nèi)容相一致。除在保密期內(nèi)的保密論 文外，允許論文被查閱和借閱。論文全部或部分內(nèi)容的公布( 包括刊登) 授權(quán)河海大學(xué)研究生院辦理。 論文作者( 簽名) ： 砷杼i 其| 參日 河海大學(xué)碩上學(xué)位論文第一章緒論 第一章緒論 本章介紹課題研究的背景和意義，討論了國內(nèi)外研究現(xiàn)狀，提出了研究的必 要性和價值，并闡述了本文的主要工作，最后介紹本文的組織結(jié)構(gòu)。 1 1 引言 計算機網(wǎng)絡(luò)和信息系統(tǒng)在當(dāng)今社會扮演重要角色，信息技術(shù)帶來的便捷讓人 愉悅。然而信息安全問題卻一直困擾我們，如數(shù)據(jù)訪問控制。網(wǎng)絡(luò)環(huán)境中的信息 需要受到保護，因此長時間以來計算機科學(xué)中的授權(quán)和訪問控制一直處在研究當(dāng) 中，并且人們提出了許多訪問控制機制，這些機制主要關(guān)注如何定義用戶的權(quán)限， 不違反訪問控制策略。 訪問控制技術(shù)【1 l 【2 】【3 1 ，是通過某種方式明確地準(zhǔn)許或限制訪問能力及范圍的一 種方法。通過訪問控制服務(wù)，可以限制對關(guān)鍵資源的訪問，防止非法用戶的侵入 或者因合法用戶的不慎操作所造成的破壞。傳統(tǒng)的訪問控制方式包括自主訪問控 制d a c ( d i s c r c 虹o n a d ra c c e s sc o n t r 0 1 ) 、m a c 強制訪問控制( m 2 i r l d a t o 巧a c c e s s c o n t r 0 1 ) 、基于角色的訪問控制r b a c ( i b l eb a s e da c c e s sc o i 燈0 1 ) 【4 】【5 】【6 】【7 1 等。 每種訪問控制方式都有廣泛應(yīng)用，但應(yīng)用的范圍有所區(qū)別。 r b a c 引入角色的概念，并以角色作為授權(quán)管理的中介。系統(tǒng)安全管理員可 根據(jù)需要定義各種角色，并為其設(shè)置合適的訪問權(quán)限，然后根據(jù)用戶所擔(dān)任的工 作職責(zé)或級別分配相應(yīng)的角色，從而使用戶獲得相關(guān)的權(quán)限集。角色的引入使得 用戶的授權(quán)變得更加靈活，易于維護。r b a c 在訪問控制機制中并非新概念，在 商業(yè)領(lǐng)域有很成熟的應(yīng)用。i 強a c 以其特有的靈活和細(xì)粒度授權(quán)模式已被廣泛采 納。 在某些應(yīng)用系統(tǒng)中，權(quán)限都被集中管理和分配，因此對于r b a c 的描述不需 要和其他系統(tǒng)進行交互，只需要被本系統(tǒng)理解即可。而在分布式系統(tǒng)中，權(quán)限由 各系統(tǒng)單獨定義，不同的訪問控制描述將使得系統(tǒng)間無法共享相關(guān)的訪問控制信 息，人們越來越傾向于使用獨立的訪問控制系統(tǒng)，統(tǒng)一的訪問控制描述語言描述 i m a c 模型，以增強系統(tǒng)的交互性和可移植性。o a s i s ( o r g ；貓z a t i o nf 0 r t l l e a d v a n c e m e n to fs t i u c 眥di n f o n n a t i o ns t 鋤d a r d s ) 于2 0 0 3 年推出x a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ) 作為訪問控制的標(biāo)準(zhǔn)描述語言， 明確了對r b a c 的語言支持嘩j ，使得人們可以使用標(biāo)準(zhǔn)的訪問控制策略描述 r b a c 模型，以改善分布式訪問控制系統(tǒng)中的交互性和可移植性。 河海大學(xué)碩士學(xué)位論文 第一章緒論 1 2 技術(shù)背景 r b a c 的主要思想就是將授權(quán)和角色聯(lián)系在一起，使用戶和權(quán)限分離，用戶 的權(quán)限被分配給合適的角色，可簡化權(quán)限授權(quán)的管理。r b a c 模型在不同的系統(tǒng) 配置下可以顯示不同的安全控制功能，可以構(gòu)造具備自主存取類型的系統(tǒng)，也可 以構(gòu)造成強制存取類型的系統(tǒng)，可通過角色權(quán)限粒度控制用戶權(quán)限粒度，比較靈 活?；诮巧脑L問控制以其特有的優(yōu)勢，正被廣泛應(yīng)用于各個系統(tǒng)中【9 【l 們。 目前基于i 也a c 的訪問控制策略，通常以下幾種形式描述： ( 1 ) 數(shù)據(jù)庫表形式。這是目前相當(dāng)一部分系統(tǒng)采用的訪問控制策略描述方 式。用戶、角色、權(quán)限之間的關(guān)系，通過建立用戶角色表、角色權(quán)限表等來描 述。這種策略描述方式，適合大規(guī)模用戶，且用戶權(quán)限相對固定，權(quán)限適合集中 管理。策略評估方式由系統(tǒng)自定義，系統(tǒng)的交互性和可移植性差。 ( 2 ) 普通文本形式。在用戶數(shù)量相對較少，角色關(guān)系簡單，權(quán)限粒度大的 應(yīng)用系統(tǒng)中較為普遍，如s o l 撕s 操作系統(tǒng)的權(quán)限描述。其特點是信息描述簡潔， 解析效率高，但可讀性、結(jié)構(gòu)性、操作性差，在操作系統(tǒng)粗粒度授權(quán)中應(yīng)用較多。 ( 3 ) x m l 文本形式【l 。角色的權(quán)限信息和角色的繼承關(guān)系以x m l 文件表 示，在中心服務(wù)器上維護，通過在x 】l 中定義角色和權(quán)限的標(biāo)簽，利用x m l 的 層次性的特點，來表示角色之間的關(guān)系，在簡單文本的基礎(chǔ)上大大提高了系統(tǒng)的 可讀性、可操作性和靈活性。但不同的應(yīng)用都需要考慮如何定義各種元素來表達 用戶、角色、權(quán)限之間關(guān)系，以及如何定義規(guī)則來描述策略，因此不同的應(yīng)用有 不同的定義。這種非標(biāo)準(zhǔn)語義的x m l 文本形式，同樣面臨交互的問題。 ( 4 ) x a c m l 文本形式。隨著人們對基于l 的i m a c 模型研究的深入和 推廣，越來越需要統(tǒng)一、規(guī)范、權(quán)威、靈活的形式表述r b a c 關(guān)系模型及策略， 以統(tǒng)一的x m l 語法和規(guī)則定義標(biāo)準(zhǔn)的訪問控制策略和請求響應(yīng)策略。 x a c m l 的主要優(yōu)勢有1 1 2 j ： ( 1 ) x a c m l 是標(biāo)準(zhǔn)。標(biāo)準(zhǔn)通過了大量專家和使用者審查，開發(fā)者不再需要 考慮設(shè)計一個定義語言所涉及的所有議題，不必經(jīng)常更改系統(tǒng)。隨著x a c m l 的越來越廣泛的開發(fā)部署，開發(fā)者將更容易通過標(biāo)準(zhǔn)語言與其它使用同一語言的 應(yīng)用系統(tǒng)協(xié)作交互。 ( 2 ) x a c m l 是通用的。不僅為特殊的應(yīng)用環(huán)境提供訪問控制，還包括任意 環(huán)境的特殊資源。一個策略可以被不同的應(yīng)用所使用，當(dāng)使用通用語言時，策略 管理變得更容易。 ( 3 ) x a c m l 是分布式的。這意味著一個訪問控制策略可以引用其它任意位 置的其它策略。其帶來的好處就是可以由不同的用戶或組各自管理策略中各自業(yè) 務(wù)范圍內(nèi)、或?qū)I(yè)領(lǐng)域內(nèi)的子策略并最終合并為總策略，而不是集中管理一個集 成的訪問控制策略。由x a c m l 來處理如何正確的合并不同的子策略判斷結(jié)果， 2 河海大學(xué)碩上學(xué)位論文第一章緒論 并作出統(tǒng)一的訪問控制。 ( 4 ) x a c m l 是強大的。標(biāo)準(zhǔn)語言已經(jīng)可以支持廣泛的數(shù)據(jù)類型、功能、和 合并不同策略判斷結(jié)果的組合規(guī)則。另外，已經(jīng)有若干標(biāo)準(zhǔn)小組致力于開發(fā)擴展 和概要描述，使得x a c m l 可以與其它諸如s a m l 和l d a p 之類的標(biāo)準(zhǔn)協(xié)同工 作，這使得x a c m l 可以得到更廣泛的應(yīng)用。 x a c m l 對于廣域分布式應(yīng)用環(huán)境非常適用，支持多種授權(quán)方式和模型。對 于傳統(tǒng)訪問控制系統(tǒng)，x a c m l 也提供實用而明確的權(quán)限管理和定義描述。 x a c m l 是以x m l 形式描述的開放標(biāo)準(zhǔn)，有開源項目的支持，使得其在整合異 構(gòu)系統(tǒng)中將有很好的表現(xiàn)，它將成為分布式授權(quán)系統(tǒng)很好的選擇。 1 3 研究現(xiàn)狀 目前，國內(nèi)外已有許多基于x m l 的訪問控制的應(yīng)用研究l l3 j 【1 4 1 ，以及基于 x a c m l 的i 國a c 安全訪問控制模型的研究，策略描述語言經(jīng)歷了從x m l 到 x a c m l 的發(fā)展?；趚 a c m l 的用戶、策略、角色管理以及r b a c 應(yīng)用，已 處在積極的應(yīng)用研究階段【1 5 】【1 6 j 。 在網(wǎng)絡(luò)應(yīng)用環(huán)境中，特別是在網(wǎng)格應(yīng)用中，策略的描述語言有各種各樣。在 網(wǎng)格安全基礎(chǔ)設(shè)施g s i ( g r i ds e c l l r i t yi n f r a s t m c t u r e ) 中，策略語言的使用是不透明 的，策略的創(chuàng)建者和資源提供者需要能理解共同的策略語割1 7 】。在公共授權(quán)服務(wù) c a s ( c o i l u i l 時a u t h o r i z a t i o ns e 州c e ) 的代理證書中可使用任意策略語言，包 括c o n t r o l l e de n 鰣s h 【1 9 l ，a s l 【2 0 】，p o n d e r 【2 l 】，不同的策略描述語言，給系統(tǒng)的交 互和維護帶來諸多不便，因此在網(wǎng)格c a s 、g s i 應(yīng)用中需要發(fā)展標(biāo)準(zhǔn)的策略語言 1 2 引，策略語言的發(fā)展將會使網(wǎng)格安全服務(wù)受益。 p r i m a 【2 3 】是網(wǎng)格計算環(huán)境中的分布式訪問控制系統(tǒng)，支持多向授權(quán)。允許用 戶作為管理者將驗證過的資源訪問權(quán)限授予用戶，也可將精確定義的權(quán)限賦予驗 證的資源。目前，p m a 系統(tǒng)已經(jīng)在g 1 0 b u st o o l k i t 的安全機制中實現(xiàn)。在網(wǎng)格 的安全訪問控制系統(tǒng)中，還有a k e n t i 【2 鍆、p e r m i s 【2 5 】等，這些系統(tǒng)使用的訪問 控制策略語言都基于x m l ，沒有統(tǒng)一的策略描述語言。a k e n t i 、p e i t m i s 項目 都在研究x a c m l ，打算將其作為核心策略描述語言代替原有的策略語言。 x a c m l 除了定義策略語言，還定義了認(rèn)證的請求和響應(yīng)格式。雖然x a c m l 不 是標(biāo)準(zhǔn)化一套完整的授權(quán)解決方案，但卻成為各種解決方案組合的基礎(chǔ)。 x a c m l 的規(guī)范正在不斷完善和發(fā)展，x a c m l l 2 規(guī)范的實現(xiàn)主要有s u n x a c m l l 2 的j a v a 實現(xiàn)和) 認(rèn)c m l n e t 的c 撐實現(xiàn)【2 7 1 。通過這些開源項目的 支持，可以方便的生成標(biāo)準(zhǔn)的一致的請求響應(yīng)格式，并方便處理策略策略集， 通過統(tǒng)一的評估算法，對訪問控制策略進行評估，得出一致的決策評估結(jié)果。 目前尚無成熟的商業(yè)或開源產(chǎn)品，可以方便的操作、編輯x a c m l 策略，因 3 河海人學(xué)碩 ：學(xué)位論文第一章緒論 此對于x a c m l 的操作，大都限于熟悉) 認(rèn)c m l 語法的系統(tǒng)開發(fā)人員。x a c m l 語言的靈活性和強大的表達力帶來的代價是復(fù)雜和冗長，這樣很難直接操作策略 語言和策略文件。沒有方便使用的工具，一般用戶很難運用基于x a c m l 的訪問 控制系統(tǒng)，這些都阻礙了x a c m l 應(yīng)用的推廣。 x a c m l 對r b a c 提出了明確的支持，對于用戶、角色、權(quán)限的定義也有明 確的語言規(guī)范。但用戶、角色、權(quán)限描述的存放位置并沒有明確規(guī)定，比如是存 放在同一文件中還是分開存儲，或以l d a p 形式存放。這些都可能影響到系統(tǒng)檢 索策略和評估策略的性能。目前尚未有針對策略存儲方式和策略評估算法的性能 測試，對于基于x a c m l 的i 啦a c 訪問控制策略描述，其響應(yīng)性能需要進一步 驗證。 1 4 問題的提出 依據(jù)以上研究現(xiàn)狀和技術(shù)分析，可以看到網(wǎng)絡(luò)環(huán)境數(shù)據(jù)訪問控制中x a c m l 的重要和r b a c 優(yōu)勢，因此實現(xiàn)基于x a c m l 的r b a c 模型，是非常有意義的 工作。為了更好的維護和使用x a c m l 策略，必須實現(xiàn)基于x a c m l 的r b a c 管理系統(tǒng)( 簡稱x i 出a c ) ，以便更方便更有效地管理和維護用戶、角色和權(quán)限 之間的關(guān)系，提供可移植的、一致的訪問控制策略，實現(xiàn)網(wǎng)絡(luò)資源的跨域、細(xì)粒 度授權(quán)。 合理組織策略存儲結(jié)構(gòu)，保證策略檢索和策略評估效率，保證策略集的可擴 展性。測試策略檢索和評估效率，以確認(rèn)在實際應(yīng)用中的可行性，為基于x a c m l 的r b a c 訪問控制應(yīng)用提供數(shù)據(jù)參考。 1 5 本文的工作和組織結(jié)構(gòu) 1 5 1 本文的工作 本論文從分析現(xiàn)階段網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)訪問控制面臨的問題入手，分別從理論 和實際應(yīng)用角度擬定解決問題的措施，設(shè)計了基于x a c m l 的r b a c 訪問控制 管理系統(tǒng)，并提出具體的可行實現(xiàn)技術(shù)。 本文的主要內(nèi)容是設(shè)計實現(xiàn)基于x a c m l 的i 強a c 訪問控制和管理系統(tǒng) x i m a c 。通過分析r b a c 理論模型，依據(jù)虻m l 實現(xiàn)r b a c 的描述，結(jié)合 s u n 提供的s u i lx a c m l l 2a p i ，設(shè)計實現(xiàn)基于x a c m l 的r b a c 各種管理功 能、系統(tǒng)功能等，以簡化基于x a c m l 訪問控制策略的操作和維護，并提供性能 測試功能，進行數(shù)據(jù)分析和性能評估，在不同的用戶規(guī)模和權(quán)限規(guī)模下，測試系 統(tǒng)的訪問控制性能和可擴展性，驗證理論模型的可行性。通過大量的實驗數(shù)據(jù)， 分析系統(tǒng)的瓶頸，為其他相關(guān)研究提供可供參考的信息。 4 河海大學(xué)碩士學(xué)位論文第一章緒論 1 5 2 論文的組織 論文的具體組織結(jié)構(gòu)如下： 第一章緒論，概述本文的技術(shù)背景、研究現(xiàn)狀、選題的意義、本文的主要 工作及組織結(jié)構(gòu)。 第二章簡要介紹了x a c m l 在數(shù)據(jù)訪問控制中的位置，分析了訪問控制技 術(shù)和r b a c 模型。 第三章通過分析r b a c 功能規(guī)范，獲取管理i 強a c 的各功能需求，以及 x a c m l 為支持r b a c 提供的相關(guān)定義和描述，進行x r b a c 系統(tǒng)分析和設(shè)計， 描述x r b a c 的管理功能、系統(tǒng)功能、性能分析功能的實現(xiàn)細(xì)節(jié)。 第四章通過對x r b a c 的策略決策點p d p 性能測試，驗證x r b a c 理論模 型的可行性，測試系統(tǒng)的訪問控制性能、可擴展性，分析性能瓶頸并提出解決方 案。 第五章總結(jié)和展望，對整篇論文的主要工作和取得的成果進行了總結(jié)，并 指出了一些需要完善的不足和對未來研究工作的一些思考和展望。 河海大學(xué)碩七學(xué)位論文第_ 二章x a c m l 及r b a c 概述 第二章x a c m l 及r b a c 概述 本章簡單介紹x a c m l 的基本概念和主要行為，簡單介紹如何通過x a c m l 描述 實現(xiàn)訪問控制。深入分析a n s i 標(biāo)準(zhǔn)的r b a c 模型及相關(guān)要素，通過集合描述各要 素之間的關(guān)系，為實現(xiàn)基于x a c m l 的r b a c 模型提供理論支持。初步研究r b a c 管 理模型，了解r b a c 模型的管理功能的需求。 2 1x a c m l 簡介 目前，許多訪問控制和授權(quán)系統(tǒng)都以各自的方式實現(xiàn)，所以都限定于特定的 應(yīng)用環(huán)境而無法在開放的網(wǎng)絡(luò)環(huán)境中使用，因為無法在不同的區(qū)域中共享相關(guān)的 訪問控制信息。在沒有x a c m l 的時候，需要為網(wǎng)絡(luò)編寫和維護多個身份驗證系 統(tǒng)，因此需要一種通用語言表達不同的訪問控制策叫2 8 j 。2 0 0 3 年2 月，可擴展訪 問控制標(biāo)記語言x a c m l 獲得了批準(zhǔn)，成為了一個o a s i s 標(biāo)準(zhǔn)。x a c m l 定義了一 種通用的用于保護資源的策略語言和一種基于x m l 的標(biāo)準(zhǔn)的訪問控制語言，用 于為不同的設(shè)備和應(yīng)用編寫訪問控制策略。 x a c m l 包括訪問控制語言和請求響應(yīng)( r e q u e s t i 之e s p o n s e ) 語言兩部分。 訪問控制語言使得開發(fā)者能以統(tǒng)一的語法和規(guī)則，描述誰何時何種情況下能做什 么，這使得不同的節(jié)點資源能相互理解彼此的策略規(guī)則。請求響應(yīng)語言用來描 述訪問請求和響應(yīng)結(jié)果。圖2 1 描述了x a c m l 中主要行為的應(yīng)用流程。 當(dāng)客戶端向服務(wù)端提出訪問請求( a c c e s sr e q u e s t ) 時，由策略執(zhí)行點p e p ( p o l i c ye n f o r c e m e mp o i n t ) 執(zhí)行。為了執(zhí)行授權(quán)的策略，這個實體將規(guī)范化策 略描述信息，向策略決策點p d p ( p o l i c yd e c i s i o np o i n t ) 發(fā)出委托授權(quán)請求?？?用的策略位于策略信息點p i p ( p o l i c yi n f o n n a t i o np o i n ) 中，依據(jù)資源屬性由策 略決策點p d p 評估請求，然后返回授權(quán)結(jié)果。根據(jù)響應(yīng)信息，策略執(zhí)行點可以 向客戶端做出適當(dāng)?shù)姆磻?yīng)。訪問請求到達策略執(zhí)行點p e p 后，p e p 創(chuàng)建一個 x a c m l 請求并發(fā)送到策略決策點p d p ，由p d p 評估請求并返回一個響應(yīng)。該 響應(yīng)可以是允許訪問，也可以是拒絕訪問，可同時具有適當(dāng)?shù)牧x務(wù)( o b l i g a t i o n s ) 。 p d p 評估請求中的相關(guān)策略和規(guī)則后會做出決策?？梢詰?yīng)用的策略有多種，p d p 并沒有評估所有的策略，而是根據(jù)策略目標(biāo)選擇相關(guān)的策略進行評估。策略目標(biāo) 包括關(guān)于主體、動作和其他環(huán)境屬性的信息。為了獲得策略，p d p 要用到策略 訪問點p a p ，p a p 編寫策略和策略集，供p d p 使用。p d p 也可以調(diào)用策略信息 點p i p 服務(wù)檢索與主體、資源或者環(huán)境有關(guān)的屬性值。p d p 做出的授權(quán)決策被發(fā) 送到p e p 。p e p 履行義務(wù)，并根據(jù)p d p 發(fā)送的授權(quán)決策允許或拒絕訪問。 6 河海大學(xué)碩十學(xué)位論文第二章x a c m l 及l(fā) m a c 概述 i a 冷酷r e q u e 猷 2 r e q 域7 r 色即。舊e 8 。酬。一目 p d pt 4 a 黼q u 卿+ lp i p p 刪q 曬s | p o | n t l 一6 a t 晡b h j 悟一j 剛q 咖m 硎p 。m 2 l軸黜b j 鰣 l & 黜黑詈e 哩 i 3 p o h 掣 ll 1 l 剛時恐n 。i 勖q 耐f 一l e n 啊n ，n n 憎蚋i 圖2 1x a c m l 應(yīng)用流程 在x a c m l 出現(xiàn)之前，應(yīng)用開發(fā)者必須創(chuàng)建自己的訪問控制描述方式，很顯 然這種描述無法和其他的應(yīng)用策略交互。x a c m l 的出現(xiàn)，是為了替代現(xiàn)存的面 向應(yīng)用的特殊策略描述方式，如a k e n t i 和p e r m i s 中基于x m l 的策略。目前， x a c m l 已獲得了初步應(yīng)用【2 9 】，x a c m l 的第一個j a v a 實現(xiàn)已由s 吼m i c r o s y s t e m i n c 開發(fā)完成【3 0 j 。 o a s i s 為了滿足r b a c 應(yīng)用的需求，已經(jīng)明確提出了x a c m l 對r b a c 的 語言特性支持。支持核心r b a c ( c o r er b a c ) ，繼承i 也a c ( h i e r a r c h i c a li 也a c ) 和職權(quán)分離模型。x a c m l 支持r b a c 具體的語言特性在3 1 4 節(jié)中說明。 2 2r b a c 模型分析 r b a c 已不是什么新出的概念，早在2 0 世紀(jì)7 0 年代，基于角色的訪問控制 ( i 沁l e b a s e da c c e s sc o n 仃d 1 ) 的概念已隨著多用戶多應(yīng)用在線系統(tǒng)的產(chǎn)生而出現(xiàn) 【3 。砌3 a c 的核心概念就是訪問權(quán)限和角色相關(guān)聯(lián)，而將用戶賦予特定的角色， 從而使用戶關(guān)聯(lián)特定的權(quán)限。在用戶( u s e r ) 和權(quán)限( p e m i s s i o n ) 之間引入角色 ( r o l e ) 的概念，用戶和特定的一個或多個角色相關(guān)聯(lián)，角色可依據(jù)實際應(yīng)用建 立或取消，這大大簡化了訪問權(quán)限的管理。角色依據(jù)組織中的各種工作需要創(chuàng)建， 用戶依據(jù)不同的職責(zé)被賦予不同的角色。用戶可以很方便地從一個角色轉(zhuǎn)換為另 一角色。角色可以被賦予系統(tǒng)相應(yīng)的權(quán)限，權(quán)限也可在必要時被撤銷。1 9 9 2 年， 7 河海人學(xué)碩：卜學(xué)位論文第二章x a c m l 及r b a c 概述 f e r r a i o l o 和k u l l i l 正式首先提出了r b a c 的概念【3 l j 。1 9 9 6 年，由s a n d h u 等提議 的由用戶、角色、訪問權(quán)限和s e s s i o n s 組成的i 氌a c 一系列模型被正式提出， 如r b a c 9 6 【4 】等，其中和a n s i 模型最接近的為( 美國) 國家標(biāo)準(zhǔn)技術(shù)研究所 ( n a t i o n a li n s t i t u t eo fs t a n d 刪t e c h n o l o g y ) n i s t 模型l “j 。 2 0 0 4 年，r b a c 被美國國家標(biāo)準(zhǔn)委員會( a n s i ) 和i t 國際標(biāo)準(zhǔn)委員會 ( i n c i t s ) 接納為a n s i 烈c i t s3 5 9 2 0 0 4 標(biāo)準(zhǔn)1 2 j ，描述了r b a c 的統(tǒng)一模型。 r b a c 標(biāo)準(zhǔn)包括兩個主要部分：r b a c 參考模型和r b a c 功能描述。i m a c 參 考模型定義了r b a c 的基本定義和基本元素集合，并通過集合論給出了一套 r b a c 的數(shù)學(xué)模型。r b a c 功能描述定義了r b a c 系統(tǒng)必須具備的功能，包括 管理功能( a d m i n i s t r a t i v ef u n c t i o n s ) ，系統(tǒng)功能( s u p p o n i n gs y s t e mf u n c t i o n s ) 和瀏覽功能( r e v i e wf u n c t i o n s ) 。 在圖2 2 中，i 出a c 0 作為最基本的模型，滿足i m a c 系統(tǒng)中最少的需求。 r b a c l 和r b a c 2 都包含r b a c o ，i 出a c l 增加了角色繼承關(guān)系( 角色能繼承 其他角色的訪問權(quán)限) ，而r b a c 2 增加了約束條件。最頂層的模型是r b a c 3 包含r b a c l 和i m a c 2 ，通過傳遞也包含了r b a c o 。r b a c o 由除角色繼承和 約束的其他元素組成。其中顯示了四個實體：用戶、角色、訪問權(quán)限和會話。 圖2 2 基于角色訪問控制模型( r b a c ) 【2 】 r b a c 作為靈活高效的授權(quán)機制，在許多商業(yè)領(lǐng)域中已有廣泛應(yīng)用。砌j a c 模型被分為三個等級不斷提升的功能層次：核心i 出a c ，繼承融a c 和約束 r b a c 。后一層次是在前一層功能需求基礎(chǔ)上的累積和擴展。如果沒有標(biāo)準(zhǔn)模型 作為參考將會導(dǎo)致功能和描述上的不確定和混亂。a n s i 模型組合了各種r b a c 模型、商業(yè)產(chǎn)品和研究模板相一致的概念，發(fā)展成為進一步的標(biāo)準(zhǔn)。a n s i 模型 和n i s t 模型比較一致，只做了很少的修正。核心r b a c 對應(yīng)i m a c o ，繼承i m a c 對應(yīng)r b a c l ，約束i 出a c 則對應(yīng)r b a c 2 。 8 河海大學(xué)碩上學(xué)位論文第一二章x a c m l 及i 也a c 概述 將a n s i 模型作為r b a c 參考模型有兩個目的： ( 1 ) 參考模型定義了標(biāo)準(zhǔn)中r b a c 的特性。明確了包含在所有r b a c 系統(tǒng)中 特性元素的最小集合，有角色繼承，靜態(tài)約束和動態(tài)約束。 ( 2 ) 參考模型使用精確和一致的語言定義了一套元素集合和功能規(guī)范。 i 強a c 主要組成模塊包括核心r b a c 、繼承r b a c 、以及靜態(tài)職權(quán)分離s s d ( s t a t i cs e p 刪i o no f d u t ) ，) 和動態(tài)職權(quán)分離d s d ( d y n 鋤i cs e p 刪i o no f d u 夠) 關(guān)系，如圖2 3 所示。以下為參考模型及相關(guān)內(nèi)容： 核心i m a c 定義了i m a c 元素的最小集合( 包括用戶角色賦值和權(quán)限角色賦 值關(guān)系) 。 繼承i 氌a c 定義了角色中的繼承關(guān)系。 靜態(tài)職權(quán)分離關(guān)系在角色集合上添加約束特別是在形成u a 關(guān)系時。( 即用戶 不能同時被賦予兩個相互約束的角色) 動態(tài)職權(quán)分離關(guān)系允許用戶被兩個或兩個以上的角色在行為不沖突的情況 下動態(tài)授權(quán)。 2 2 1 核心r b a c 模型 圖2 3r b a c 組件的參考模型 i 圓a c 模型作為一個整體，主要定義了被賦予角色的用戶和被賦予權(quán)限的角 色。這樣一來，角色就在用戶和權(quán)限之間，起到了多對多映射關(guān)系的作用。此外， 核心r b a c 模型還包括一套會話( s e s s i o n s ) ，每個會話都是一個用戶和與之 對應(yīng)角色的有效集合之間的映射關(guān)系。 核心i m a c 模型主要由三個實體組成：用戶( u ) ，角色( r ) 和權(quán)限( p ) 。它主要 描述了r b a c 的基本概念：用戶被賦予相應(yīng)的角色，角色被賦予相應(yīng)的權(quán)限。 這使得用戶以角色為中介獲取相應(yīng)的權(quán)限。 r b a c 參考模型定義了一套基本i 也a c 元素( 用戶、角色、許可、操作和對 9 河海大學(xué)碩七學(xué)位論文 第二章x a c m l 及r b a c 概述 象資源) 及其功能關(guān)系。 對象資源：在此標(biāo)準(zhǔn)中，一個對象指的是任何受控的系統(tǒng)資源，如一個文件、 打印機、終端、數(shù)據(jù)庫記錄、等。 操作：一個操作指一個可執(zhí)行過程，它為用戶提供某些可調(diào)用功能。 權(quán)限：在一個或多個受r b a c 訪問控制的對象資源上進行某項操作的操作許 可。 角色：執(zhí)行特定任務(wù)的權(quán)利或在組織中已被授予一定責(zé)任的工作頭銜。它代 表一種資格、權(quán)利和責(zé)任。 用戶：一個用戶被定義為一個人。盡管用戶的概念可以被擴展，包括機器， 網(wǎng)絡(luò)，或智能自治代理，為了便于理解這里只限于人。 操作和對象資源的類型取決于其所在的系統(tǒng)類型。例如，在文件系統(tǒng)中操作 就包括讀、寫和執(zhí)行；在數(shù)據(jù)庫管理系統(tǒng)中，操作就包括插入、刪除、追加和更 新。 訪問控制機制的目的就是保護系統(tǒng)資源。和原來的訪問控制模型一致，對象 資源就是包含或接收信息的實體。在i 出a c 系統(tǒng)中，對象資源能表示信息( 如 操作系統(tǒng)中的文件、目錄，數(shù)據(jù)庫系統(tǒng)中的列、行、表和視圖) 或表達有限的系 統(tǒng)資源如打印機，磁盤空間，c p u 周期等。i 強a c 所涵蓋的對象資源都列在賦予 角色的權(quán)限中。 r b a c 的中心是角色關(guān)系的概念，角色則是描述策略的語義構(gòu)造。 圖2 4 說明了用戶賦值( u a ) 和權(quán)限賦值( p a ) 關(guān)系。箭頭表示了一個多 對多的關(guān)系( 例如，一個用戶能被賦予多個角色，一個角色能被指派給不同的用 戶) 。這種安排提供了很好的靈活性和權(quán)限到角色及用戶到角色的細(xì)粒度賦值。 在便利之外同樣有隱患，由于在用戶和資源上缺少有效的訪問控制手段，用戶對 資源的操作可能被賦予過多的權(quán)限。例如，用戶需要列出目錄或是更改文件而不 需創(chuàng)建新的文件，或需要在文件中添加記錄不需更改存在的記錄。任何對資源訪 問控制靈活性提升的同時，都需要強調(diào)最小權(quán)限的應(yīng)用原則。 每個會話是一個用戶對可能多個角色的映射，在用戶激活與之相關(guān)的角色集 時產(chǎn)生會話。每個會話對應(yīng)一個用戶，而每個用戶與一個或多個會話相關(guān)聯(lián)。 s e s s i o nr o l e s 提供會話激活的角色，s e s s i o nu s e r s 提供和會話相關(guān)的用戶。對當(dāng) 前用戶有效的權(quán)限是當(dāng)前用戶所有會話所包含的角色被賦予的權(quán)限。 核心r b a c 規(guī)范： ( 1 ) u s e r s 、i 的l e s 、o p s 和0 b s ( 用戶，角色，操作和對象資源) 。 ( 2 ) u a 互u s e r s r o l e s ，一個多對多映射用戶一角色的賦值關(guān)系。 ( 3 ) a s s i 印e du s e r s ：( r ：r o l e s ) _ 2 u s e r s ，角色r 映射的用戶集合。公式： a s s i g n e d s e r s ( r ) = u u s e r si ( u ，r ) u a ) l o 河海人學(xué)碩士學(xué)位論文 第二章x a c m l 及r b a c 概述 ( 4 ) p i t m s = 2 ( 0 p s o b s ) ，權(quán)限集合。 ( 5 ) p a p e r m s r o l e s ，多對多映射權(quán)限角色賦值關(guān)系。 ( 6 ) a s s i g n e dp e 姍i s s i o n s ( r ：r o l e s ) _ 2 p i 之m s ，角色r 映射的權(quán)限集合。 公式：a s s i 盟e d _ p e m i s s i o n s ( r ) = p p i 己m sl ( p ，r ) p a ) ( 7 ) o p ( p ：p r m s ) 一 o p 0 p s ，權(quán)限對應(yīng)操作的映射，給出與權(quán)限相關(guān) 的操作集。 ( 8 ) o b ( p ：p i 洲s ) _ o b o b s ) ，權(quán)限對應(yīng)對象資源的映射，給出了與權(quán) 限相關(guān)的對象資源集。 ( 9 ) s e s s i o n s = 會話集合。 ( 1 0 ) s e s s i o nu s e r s ( s ：s e s s l 0 n s ) 一u s e r s ，會話對應(yīng)的用戶集合。 ( 1 1 ) s e s s i o nr o l e s ( s ：s e s s i o n s ) _ 2 r o l e s ，會話所映射的角色集合。公 式：s e s s i o r l _ r o l e s ( s i ) 竺 r r o l e si ( s e s s i o n _ u s e r s ( s i ) ，r ) u a ) ( 1 2 ) a v a i ls e s s i o np e n n s ( s ：s e s s i o n s ) _ 2 p r m s ，當(dāng)前會話中的有效權(quán)限。 圖2 4 核心r b a c ( c o r er b a c ) 【2 1 2 2 2 繼承r b a c 模型 本模型構(gòu)造介紹如圖2 5 的角色繼承。角色繼承是r b a c 模型的重要概念， 通常包含在r b a c 產(chǎn)品中。繼承是一個表示角色構(gòu)成的自然方式，來反映一個 組織的權(quán)限和責(zé)任。角色繼承定義了角色的繼承關(guān)系，繼承用權(quán)限的術(shù)語表示， 如r 1 “繼承了，r 2 則表示r l 包含了r 2 的所有權(quán)限。一般考慮兩種類型的角色繼承， 通用角色繼承和受限角色繼承。通用角色繼承提供一種偏序繼承方式，包括權(quán)限 和角色中用戶成員的多繼承。受限角色繼承則限制一個簡單的樹結(jié)構(gòu)( 如一個角 色可以有一個或多個直接后繼，但只允許有一個直接前驅(qū)) 。 ( 1 ) 通用角色繼承： i m 墨r o l e s r o l e s 表示角色繼承關(guān)系，寫作，r 1 r 2 表示當(dāng)且僅當(dāng) 凡r 2 擁有的權(quán)限r(nóng) 1 也都擁有，并且所有r l 的用戶也必然是r 2 的用戶，例如：r 1 r 2 = 亭a u t h o r i z e d 肼；肌i s s i o n s ( r 2 ) a u t h o r i z e d e 冊i s s i o n s ( _ ) 。 河海人學(xué)碩j 二學(xué)位論文第二二章x a c m l 及r b a c 概述 a m h o r i z e du s e r s ( r ：r o l e s ) _ 2 ，角色繼承下的角色r 映射的用戶集，公 式：a u t h o r i z e du s e r s ( r ) = u u s e r sr r ，( u ，r ) u a 。 a u t h o r i z e dp e r m i s s i o n s ( r ：r o l e s ) _ 2 ，角色繼承下的角色r 映射的權(quán)限 集，公式：a u t h o r i z e d j e m i s s i o n s ( r ) = p p r m sr r ，( p ，r ) p a 。 ( 2 ) 受限繼承模型 受限繼承模型中角色只限定在單個直接前驅(qū)。節(jié)點r l 對節(jié)點r 2 直接繼承表 示為r 1 掙r 2 ，如果r 1 2 ，在r l 和r 2 之間沒有其他角色。也就是在角色繼 承中，不存在第三角色r 3 使得r l