訪問控制技術應用研究

摘要：有效的安全訪問控制機制是合法地使用信息系統、充分發揮信息系統的作用的一個前提，因此，要充分利用信息系統的諸多優點，有力保障所開發系統的訪問安全性，必須建立一套有效的系統訪問控制機制。本文著重分析、研究了訪問控制方面的各種理論并進行比較。

關鍵詞：訪問控制；RBAC；DAC；MAC

中圖分類號：TP302文獻標識碼：A文章編號：1009-3044(2008)35-2302-03

The Research of Access Control Technology Implementation

ZHANG Su， ZHANG Xiao-yan， WANG Fang

(Suzhou Vocation University， Suzhou 215011， China)

Abstract: Effective security access control mechanism is the premise to use information systems legally and to have a better performance in using. So we have to establish an effective system access control mechanism to have a better use of information system and to assure the access security of the system. This paper mainly analysis all kinds of access control analysis theories and have a compare.

Key words: access control; RBAC; DAC; MAC

1 引言

訪問控制是一個古老而又新穎的話題，訪問控制技術起源于70年代，當時是為了滿足管理大型主機系統上共享數據授權訪問的需要。但隨著計算機技術和應用的發展，特別是網絡應用的發展，這一技術的思想和方法迅速應用于信息系統的各個領域。所謂訪問控制，就是通過某種途徑顯式地準許或限制訪問能力及范圍的一種方法。通過訪問控制服務，可以限制對關鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。簡單的說訪問控制要解決的問題就是“何時何地，哪些用戶可以對哪些資源做哪些操作”。目前比較流行的技術有三種：自主訪問控制、強制訪問控制和基于角色的訪問控制。

2 自主訪問控制技術

自主訪問控制（DAC：Discretionary Access Control）隨分時系統的出現而產生。基本思想是：系統中的主體（用戶或用戶進程）可以自主地將其擁有的對客體的訪問權限（全部或部分地）授予其它主體。其實現方法一般是建立系統訪問控制矩陣，矩陣的行對應系統的主體，列對應系統的客體，元素表示主體對客體的訪問權限。

盡管DAC已經在許多系統中得以實現（如UNIX），然而DAC的一個致命弱點是：訪問權的授予是可以傳遞的。一旦訪問權被傳遞出去將難以控制，訪問權的管理是相當困難的，會帶來嚴重的安全問題；另一方面，DAC不保護受保護的客體產生的副本，即一個用戶不能訪問某一客體，但能夠訪問它的拷貝，這更增加了管理的難度；而且在大型系統中主、客體的數量巨大，無論使用哪一種形式的DAC，所帶來的系統開銷都是難以支付的，效率相當低下，難以滿足大型應用特別是網絡應用的需要。

3 強制訪問控制技術

強制訪問控制(MAC：Mandatory Access Control)源于對信息機密性的要求以及防止特洛伊木馬之類的攻擊。MAC通過無法回避的存取限制來阻止直接或間接的非法入侵。系統中的主/客體都被分配一個固定的安全屬性，利用安全屬性決定一個主體是否可以訪問某個客體。安全屬性是強制性的，由安全管理員(SO：Security Officer)分配，用戶或用戶進程不能改變自身或其他主/客體的安全屬性。

MAC的本質是基于格的非循環單向信息流政策。系統中每個主體都被授予一個安全證書，而每個客體被指定為一定的敏感級別。訪問控制的兩個關鍵規則是：不向上讀和不向下寫，即信息流只能從低安全級向高安全級流動。任何違反非循環信息流的行為都是被禁止的。

MAC起初主要用于軍方的應用中，并且常與DAC結合使用，主體只有通過了DAC與MAC的檢查后，才能訪問某個客體。由于MAC對客體施加了更嚴格的訪問控制，因而可以防止特洛伊木馬之類的程序偷竊受保護的信息，同時MAC對用戶意外泄漏機密信息的可能性也有預防能力。但如果用戶惡意泄漏信息，則可能無能為力；而且，由于MAC增加了不能回避的訪問限制，因而可能影響系統的靈活性；另一方面，雖然MAC增強了信息的機密性，但不能實施完整性控制，而一些完整性控制策略卻可以實現機密性的功能；再者網上信息更需要完整性，這影響了MAC的網上應用；最后，在MAC系統中實現單向信息流的前提是系統中不存在逆向潛信道。逆向潛信道的存在會導致信息違反規則的流動。而現代計算機系統中這種潛信道是難以去除的，如大量的共享存儲器以及為提升硬件性能而采用的各種Cache等，這給系統增加了安全性漏洞。

4 基于角色的訪問控制技術

RBAC是通過角色將用戶和資源相關聯，用戶不知道他可以操作哪些資源，只知道他屬于哪些角色，用戶一旦屬于某個角色，就可以操作該角色擁有的所有資源。

RBAC的基本思想是將權限指派給角色，同時將用戶也指派給角色，用戶通過角色取得相應的權限。RBAC的突出優點是簡化了各種環境下的授權管理，和DAC、MAC相比安全性和可操作性更高，因此受到廣泛的支持。由于RBAC理論中的角色和權限概念非常抽象，它們應用廣泛、內涵豐富，因此，在討論角色和權限的時候一定要明確具體的環境。所以RBAC到目前為止還只是一個理論的抽象模型，使用時必須和具體應用相結合。雖然RBAC已經在一些商業數據庫系統中得到應用（如Oracle、SQL Server），但RBAC仍處于發展階段，RBAC的應用仍是一個相當復雜的問題。

5 NIST關于RBAC的建議標準

NIST建議標準將RBAC模型劃分為四個組件：核心RBAC(Core RBAC)、等級RBAC(Hierarchical RBAC)、靜態職責分離(SSD: Static Separation of Duties)和動態職責分離(DSD: Dynamic Separation of Duties)。可以根據需要選擇實現其中的部分或全部組件，其中核心RBAC是必須實現的組件。如果實現全部組件，其模型如圖1所示。

下面解釋一下相關概念。

1) 主體(Subject)

可以對其它實體實施操作的主動實體。通常是系統用戶或代理用戶行為的進程。一般來說，為了敘述方便，常把主體限定為自然的人也就是用戶。

2) 用戶(User)

企圖使用系統的人員。每個用戶都有一個唯一的用戶標識(UID)，當注冊進入系統時，用戶要提供其UID，系統進行用戶身份認證以確認用戶身份。

3) 客體(Object)

接受其它實體動作的被動實體。通常是可以識別的系統資源，如文件。一個實體在某一時刻是主體而在另一時刻又成了客體，這取決于該實體是動作的執行者還是承受者。

4) 角色(Role)

角色的含義非常豐富。把角色引入到訪問控制中，不僅大大豐富了訪問控制的內涵，而且使得訪問控制的實現也更加靈活。但是，至今在訪問控制中對角色還沒有清晰明確的定義。簡單的說，一個角色就是在組織上下關系范圍之內的一項工作的職能。角色也可以被定義為與特殊工作相關的行為和職責的集合。由于在RBAC中用戶和權限都分配給角色，所以也可以把角色理解為用戶與權限的集合。

5) 權限(Permission)

權限是一個很抽象的概念，指在受系統保護的客體上執行某一操作的許可。這里的操作定義為一個可執行的程序映像，對于用戶來講，它的調用將執行某些函數。RBAC所控制的操作和對象的類型依賴于系統中要實現的類型。例如，在一個文件系統中，操作就可能包括讀、寫和執行；在數據庫管理系統中，操作可能包括插入、刪除、附加和更新。除此之外，這里說的權限僅限于對數據和資源對象的訪問，不包括對系統要素自身的訪問控制。

6) 用戶角色指派(User-to-Role Assignment)

將用戶指派給角色，一個用戶可指派給多個角色，一個角色可被指派給多個用戶。用戶和角色之間是多對多的關系。

7) 權限角色指派(Permission-to-Role Assignment)

將權限指派給角色，即建立權限與角色之間的多對多關系。這樣，通過角色將用戶與權限關聯起來，用戶具有其所屬諸角色擁有的權限的總和。

8) 會話(Session)

指特定環境下一個用戶與一組角色的映射，即用戶為完成某項任務而激活其所屬角色集合的一個子集，被激活角色的權限并集即為該用戶當前有效的訪問權限。

9) 角色層次(Role Hierarchical)

在核心RBAC的基礎上增加對角色等級的支持。角色等級是一個嚴格意義上的偏序關系，上級角色繼承下級角色的權限，下級角色獲得上級角色的用戶。根據偏序關系中有無限制又可以分為兩種情形：

通用等級RBAC支持任意的偏序關系，支持角色多種繼承，一個角色可以有多個直接子角色，也可以有多個直接父角色。

有限等級RBAC在偏序關系中加入某種限制，一般是使等級結構趨于簡單，如成為樹或反樹結構。

角色劃分等級是RBAC的一個突出優點。通常可以根據現實組織結構的模式構造角色層次關系，使它直接反映一個組織的職責關系。

10) 靜態職責分離(SSD: Static Separation of Duties)

在一個基于角色的系統中，由于用戶可能會獲取互斥角色的授權，因此就會出現權力沖突。靜態職責分離可以通過將用戶指派給角色時施加約束來阻止這種沖突發生。這意味著如果一個用戶指派給了一個角色，那么他將被禁止指派給與這一角色存在互斥關系的任何角色。除了角色間的職責分離，同時還存在權限間的職責分離。

11) 動態職責分離(DSD: Dynamic Separation of Duties)

與SSD類似，DSD也是限制可提供給用戶的訪問權限，但實施的機制不同，DSD在用戶會話中對可激活的當前角色進行限制。在SSD中，有沖突的角色不可被指派給同一個用戶；在DSD中，有沖突的角色可以被指派給同一個用戶，但是它們不能在同一個會話中被激活。

6 各種訪問控制技術比較

DAC是將用戶和資源、操作直接關聯，采用列表、矩陣等形式記錄用戶可以對哪些資源做哪種操作。MAC一般應用于軍事系統中，它不將用戶和資源做關聯，而是給每個用戶和資源都分配一個安全級別，用戶只可以操作安全級別比其低的資源，無權操作安全級別比其高的資源。RBAC是通過角色將用戶和資源相關聯，用戶不知道他可以操作哪些資源，只知道他屬于哪些角色，用戶一旦屬于某個角色，就可以操作該角色擁有的所有資源。

從現在分布式系統應用和發展的前景來看，基于角色的訪問控制模型比其它訪問控制模型更實用，更容易擴展。目前國內外在基于角色的訪問控制理論方面的研究主要分為模型研究和應用研究兩類。模型研究是對模型本身做修改和發展，完善模型的內涵。應用研究主要是針對特定的應用領域，擴充和調整基于角色的訪問控制模型，使其更好的滿足特定應用的需求。

7 總結

一個應用系統要投入實際運營，不可避免的需要考慮其訪問安全性問題，只有解決了這個問題才能保障應用程序能夠穩定的運行。本文著重分析、闡述了訪問控制方面的各種理論并進行比較，為下一步的研究奠定基礎。

參考文獻：

[1] Ravi S. Sandhu. Access Control. The neglected frontier[Z]. ACISP/1996.

[2] David F. Ferraiolo， Ravi S. Sandhu， Serban Gavrila， D. Richard Kuhn and Ramaswamy Chandr-amouli. Proposed NIST standard for role-base access control[J]. ACM Transactions on Information and Systems Security， Aug 2001， (3):224-274.

[3] 毛碧波，孫玉芳.角色訪問控制[J].計算機科學，2003，30(1):121-123.

[4] 劉宏月，范九倫，馬建峰.訪問控制技術研究進展[J].小型微型計算機系統，2004，25(3):56-59.