基于属性的授权和访问控制研究

收稿日期:2006-07-18;修订日期:2006-10-07

基金项目:国家自然科学基金资助项目(60574025);湖北省自然科学基金资助项目(2004ABA055)

作者简介:沈海波(1963-),男,湖北孝感人,教授,博士研究生,主要研究方向:访问控制、网络安全; 洪帆(1942-),女,教授,博士生导师,主要研究方向:密码学、信息安全.

文章编号:1001-9081(2007)01-0114-04

基于属性的授权和访问控制研究

沈海波1,2

,洪帆

(1.湖北教育学院计算机科学与工程系,湖北武汉430205;2.华中科技大学计算机科学与技术学院,湖北武汉430074)

(jkxshb @163.co m )

摘要:因开放环境的分布性、异构性和动态性,对访问控制提出了独特的安全挑战。基于属性的访问控制(AB AC)机制比基于身份的访问控制机制更能解决管理规模和系统灵活性问题,并提供细粒度的控制,已证明了对这种环境的适应性。讨论了AB AC 的授权和访问控制机制、实现框架、属性管理等问题,并通过对关键技术的比较分析,提出了将来需要研究的内容,为该领域的进一步研究提供了思路。

关键词:授权;访问控制;属性;安全声明标记语言;扩展访问控制标记语言中图分类号:TP309 文献标识码:A

R esearch on attri bute based authorizati on and access control

SHEN H ai bo 1,2

,HONG Fan

(1.D e p ar t m ent of Computer Science and Eng i neering ,H ubei Institute of Educati on ,W uhan H ubei 430205,China ;

2.Colle g e of Co mp uter S cience&T echnology,H uazhong Univers it y of Science&T echno logy,W uhan H ubei 430074,China )Abstract :T he open env iron m ent poses t he unique secur ity cha llenges to access contro l m echan i s m due to its distri buti v ity ,i nherent heterogene it y and h i ghly dynam ic nature .A ttri bute Based A ccess Control (ABAC )approach can prov i de flex i b ility ,scalability and fi ne gra i ned access contro l to i dentity based access contro lm ethods .Its appropriateness f o r th i s env i ron m ent has been proven .In this paper ,attr i bute based access contro lm echan is m,i m ple m entation arch itecture ,and attributes m anage m en t were discussed .By co m pa ri ng and analyzi ng t he key techno l og i es ,fut u re research issues w ere suggested .

K ey w ords :author i za ti on ;access contro;l attri bute ;S AM L (Secur ity A sse rti onM arkup L anguage);XAC M L (eX tensi b l e A ccess Contro lM arkup L anguage)

0 引言

像In ternet 这样的开放环境,具有分布性、异构性和动态性等显著特点。分布性主要指无集中管理控制中心和资源分散在各个管理域,这易引起资源访问效率与安全性矛盾以及造成对通信的安全威胁;异构性是指系统要跨多个安全域,相关的实体一般不存在先前已建立的互信关系,这易引起安全互操作和安全通信问题、资源访问的信任问题以及控制的效率与安全性矛盾问题;动态性是指协作方式需要动态建立,这易引起资源共享和资源控制的安全性问题以及用户认证与授权、信任管理的安全性问题。传统的集中式计算环境中使用的基于身份的访问控制机制,如基于角色的访问控制和访问控制列表等,它们只在一定程度上解决了特定系统的安全问题。在分布式环境下,它们存在严重的管理规模和控制粒度问题,并不能发挥令人满意的作用。开放环境的分布式访问控制对传统的访问控制模型和机制提出了严峻的挑战:(1)对传统的基于资源请求者身份的访问控制的挑战,即基于身份的方式如何认证和授权;(2)对访问控制策略集中管理模式的挑战,即跨不同安全系统的通信中,如何解决互操作问题。

依赖主体属性授权,是为陌生双方建立信任关系的一种有效方法[1],并基于此提出了基于属性的访问控制(ABAC )

方法[2,3]。在ABAC 中,利用相关实体(如主体、资源、环境)的属性而不只是身份作为授权的基础。这种基于属性的方法尤其适合于开放和分布式系统中的授权和访问控制。本文讨论了A B A C 的授权和访问控制机制、实现框架、属性管理等问题,并通过对应用需求和关键技术问题的比较分析,提出了将来的发展趋势和需要研究的内容,以使读者能够全面、准确地了解这一新领域的研究进展。

1 基于属性的授权和访问控制

1.1 基于属性的授权模型

属性是指与安全相关的某些特性。基于访问控制的目的,可将属性分为主体属性、资源属性和环境属性。主体是对资源采取操作的实体,如用户、应用、过程等;主体有定义其身份和特性的属性,包括主体的身份、角色、能力、年龄、邮政编码、IP 地址、雇员职位、已验证的PK I 证书等;资源是被主体操作的实体,如数据、服务、系统设备等,资源属性包括资源的身份、位置(UR L )、大小、值等,这些属性可从资源的元数据中获取;环境属性是与事务处理关联的属性,它通常与身份无关,但适用于授权决策,如时间、日期、系统状态、安全级别等。

ABAC 的基本观点是不直接在主体和客体之间定义授权,而是利用他们的属性作为授权决策的基础。基本的

第27卷第1期

2007年1月

计算机应用

C o mpu ter App lications

V o.l 27No .1Jan.2007

A B A C 授权模型如图1

所示。

图1 ABAC 授权模型

在A BAC 基本授权模型中,主体和客体(资源)均用一组

属性和对应的属性值表示。权限(perm ission)由客体描述器(Ob j ec t D escr i ptor)和操作(operation)组成,授权是在主体描述器(Sub ject D escr i ptor)与客体描述器之间定义的,Subject D escript o r 或O bject D escr i ptor 由关于主体或客体的属性条件组成,如年龄>30 等。

除了主体属性和客体属性外,在许多情况下,访问还需要受到一定环境和系统状态的约束。例如,只有在工作日或在特定地点才能访问某个数字资源。系统负荷很重时,只有高级用户才能得到它提供的服务。授权系统需要检查目前环境和系统的状态,这种决策因素被称为环境上下文(环境属性) 。因此,此模型可进一步扩展[4]。1.2 基于属性的访问控制架构

基于属性的访问控制基本框架如图2所示。

图2 ABAC 访问控制框架

其中各模块的主要功能如下:

(1)属性机构(A ttribute A ut hor ity ,AA ):各个属性机构负责建立和管理各自的主体属性、资源属性和环境属性。AA 本身可以存储也可以不存储属性,如可以从LDAP 目录抽取属性。

(2)策略执行点(Po li cy Enforce m ent Po i nt ,PEP )负责建立一个基于主体、资源、环境的属性的授权请求,并发送授权请求给PDP ;它还要执行PDP 的决策(允许或拒绝对资源的访问请求)。

(3)策略决策点(P o licy D ec isi on Po int ,PDP )负责利用策略规则集来判断主体的访问请求是否满足要求,以便决定是允许还是拒绝请求,并将决策结果返回给PEP 。当属性没有出现在访问请求中时,它还要负责联系相关的AA,以抽取需要的属性值。

(4)策略机构(P o licy A utho rity ,PA ):负责建立和管理访问控制策略,供PDP 使用。策略中主要包含访问资源所需的决策规则、条件和其他约束。

从上述ABAC 授权模型及访问控制框架可以看出,A B A C 中所要解决的主要问题和研究内容有:属性的表示、基于属性授权时所采用的策略语言、敏感属性的保护、属性的分布式存储与发现、实际系统的实现等。

2 基于XAC M L 和S AM L 的实现框架

XAC M L [5]是基于X M L 的OA SIS 标准,它定义了一种通

用的用于保护资源的策略语言和一种访问决策语言,并定义

了基于策略管理点(P o licy A d m inistrati on P o i nt ,PAP )、策略信息点(Po li cy Infor m ation Po int ,P IP )、PD P 和PEP 等构件的访问控制决策模型,能够在分布式的环境中根据资源、请求者和环境的属性(而不仅仅是局部身份)动态地评估访问请求,并进行授权决策。同时它还定义了用于PEP PDP 之间通信的请求/响应消息格式。XAC M L 不但处理授权请求,而且还定义了一种机制,来创建进行授权决策所需的规则、策略和策略集的完整基础设施。特别地,它可利用规则组合算法将来自不同授权实体的多个策略结合成唯一可用的策略集,为位于分布式系统中的资源进行访问控制决策;而且单个的访问策略可被用于分布在不同管理域的异构资源。总之,XAC M L 授权架构可容易地支持A B A C 。

遗憾的是,XACM L 没有定义这些构件之间的通信协议和安全机制,来保护消息的真实性、完整性和机密性。这就需要

S AM L [6]

来定义声明、协议和传输机制了。

安全声明标记语言SAM L 是OA SIS 组织发布的是一种实现W eb 服务安全产品之间互操作的基于XM L 的标准,用于在业务伙伴之间安全地交换认证和授权信息。SAM L 通过称之为声明(asserti on) 的消息在两个管理域之间提供对登录和授权信息进行确认的标准化方式,它定义了认证声明、授权决策声明和属性声明等三种声明。其中,属性声明声称特定主体具有某些属性。另外,S AM L 还定义了一个客户端向S AM L 安全验证方发送声明请求以及响应的协议。这个协议包括对基于XM L 的请求/响应消息格式的定义。这些消息可以被绑定到很多主流的交换传送协议上,现在S AM L 实现了与简单对象访问协议(S i m ple O b j ect A ccess P ro toco ,l SOA P)的绑定,通过它可以实现基于HTT P 的安全验证请求和响应。

为了更好地将XAC M L 和SAM L 结合起来,允许PEP 利用S AM L 请求和响应语法来完全支持XA C M L 请求和响应上下文语法,OA SIS 专门发布了XA C M L 中使用S AM L 的文档规范[7]。规范定义了多个S AM L 扩展,并且规定了XA C M L 中各构件之间的通信格式和机制。结合SAM L 的XA C M L 访问控制体系结构如图3所示。

图3 基于XACM L 和SA M L 的体系结构

图3中有六种query 和sta te m ent ,其含义和功能如下:(1)A ttr i buteQ uery :一种标准的S AM L 请求,用于从AA 请求一个或多个属性;

(2)A ttr i buteStatem ent :一种标准SAM L 声明,它包含一

115第1期

沈海波等:基于属性的授权和访问控制研究

个或多个属性。这种声明用于来自AA的S AM L响应中,或者作为一种将属性存储在A ttri bute R epos it o ry(属性存储器)的格式,用于S AM L声明中。

(3)XAC M LPo licy Q uery:一种SAM L请求的扩展,用于从策略管理点PA P请求一个或多个策略。

(4)XA C M LPo li cyS tate m ent:一种SAM L声明的扩展,它用于来自策略管理点PA P的S AM L响应中,或者作为一种将策略存储在P olicy R epos it o ry的格式,用于SAM L声明中。

(5)XAC M LA ut hz D ec isi on Q uery:一种S AM L请求的扩展,用于PEP从PD P请求授权决策。

(6)XAC M LA uthz D ecisi onS tate m ent:一种SAM L声明的扩展,它用于来自PD P的S AM L响应中,它也可用于用作凭证的SAM L声明中。

有了这些SAM L的扩展,PDP就可以直接利用S AM L形式的请求和响应与XA C M L的各构件之间直接通信,获取所需的信息。XAC M L策略表达格式和SAM L安全声明格式是两种工业标准,为ABA C的实现打下了坚实的基础。

3 属性管理

为了充分发挥ABAC的潜能,我们还需要系统的方法论,来管理属性的整个生命周期,如属性的定义和提供、将属性绑定到主体和客体的实现方法、属性的发现机制、属性的保护、属性使用的监控和审计等。

3.1 属性的建立与提供

在属性被使用之前,它们首先必须被AA定义与建立。对主体属性,涉及到定义一个方案,能列出与用户/主体相关的所有属性,然后选取与特定问题的安全密切相关的属性,如角色、身份、安全级别等(当然也要考虑与访问控制目的相关的其他属性,如办公位置)。在某种情况下,AA能够从组织的LDA P目录中获取属性。如果组织已经使用使用了身份管理系统,只要它能提供必须的抽取和管理界面,即可作为主体AA。当然,在复杂情况下,AA可能需要从多个系统中获取属性。对资源属性,它们本质上是元数据,因此通常需要从数据中获取。近几年,XM L因其自描述性和自验证能力,它已成了广泛接受的数据标记标准。

对于分布于不同管理域或组织中的异构系统,是很难采用统一的属性表示方案或数据模型。因此,在ABAC能够被使用之前,必须取得属性层的互操作性。这种互操作性主要表现在:

(1)语法层。来自一个系统的属性必须能被另一个系统处理。如果属性以不同的格式或模式处理,则首先必须转换成目标系统能理解的形式。目前,属性主要以属性证书和SAM L属性声明方式来表示。

(2)语义层。为了使跨不同系统的属性能够被正确理解,属性的意义要有统一的解释。目前,语义W eb技术[8](尤其是Onto logy)已广泛用于解决这样的语义差异。

3.2 属性的绑定

为了保证属性能在AA与PDP之间安全地交换,属性需要用密码技术将其与主体或资源绑定,以防止属性或主体/资源的信息内容被泄露。可以用对称加密或非对称加密机制,对选取的数据元素进行数字签名,来实现这种绑定。S AM L 属性声明通常被用来传递主体属性,此声明一般被包括在SOA P消息中,利用XM L签名此声明可保证其完整性,通过签名验证可发现它是否被篡改。

但由于资源的多样性,目前还没有标准的方法来实现资源属性绑定。一种常用的方法是使用遵从XM L数据结构的信息对象(In f o r m ati on O bject) 方法,它将元数据属性与传递数据结合在一起。信息对象是一个信封,由包含元数据元素的头部和包含实际数据负荷的体部组成。

3.3 属性的发布

属性被定义和绑定后,接下来就要研究PDP如何获取这些属性,一般有如下两种方式:

方式一:pus h模式,即客户端在请求访问某个资源时,事先抽取所需的属性并随同请求一起发送给PEP,由PEP前传给PDP,用于授权决策。这种方法不需要在授权过程中抽取属性,但需要每次请求资源时传送属性,并且这种选择也不是最佳的,因为客户端不能决定发送哪些属性,当有些属性是敏感的时候,容易造成隐私暴露。

方式二:pull模式,即PD P根据需求从相应的AA实时地请求属性。这种方式保证了只有需要的属性被获取,但可能导致策略决策过程中的执行效率问题。

3.4 敏感属性的保护

在A B A C系统中,为了满足访问控制规则,获取对资源的访问权,用户必须提供相应的包含属性的凭证,其中就可能含有用户不愿透露的敏感属性。因此,敏感属性的保护是ABAC中的中心问题之一。典型的保护方法有如下两类:

(1)匿名凭证系统[9]。在匿名凭证系统中,资源提供者和凭证发行者只是通过别名认识请求者,同一个请求者可以有多个别名,不同别名之间没有任何联系,但凭证发行者可以为每个别名发布一个凭证,请求者可用此凭证向资源提供者证明他拥有某些属性,并且不暴露其真实身份和隐私。特别地,当在不同的交易中要提供相同的凭证时,用户在匿名系统中可使用不同的别名,以便这些交易不能产生关联,避免从关联中推测出用户的敏感信息。

(2)自动信任协商(A utom ated T rust N ego ti ation, ATN)[10]。交换属性凭证是在希望共享资源或实施商务交易的陌生人之间建立相互信任的一种方法,ATN是这种交换过程中控制敏感属性暴露的一种重要手段。ATN是指网络上的实体(资源请求者和资源保护者)相互传递某些凭证以满足对方的访问控制策略,从而建立信任关系的一种机制,目前它已成为主要的属性和策略保护方法。

4 ABAC的研究展望

尽管目前支持基于属性的访问控制方法在技术上能够应用于实际中,但仍然有一些问题值得深入研究,使得它能更好地应用于更复杂的应用中。这些有待研究的问题主要包括:

(1)通用O nto l ogy的开发。O nto l ogy是一组概念的规范说明,其目的是为了定义某个领域内的词汇及词汇之间的关系,以用于描述和表示该领域内的知识,从而提供明确的语义、属性和推理算法,便于数据的自动处理。由于环境的开放性和安全需求的多样性,需要考虑的属性更多更复杂,为资源请求者和保护者提供相应的方法,让他们能相互理解各自的特性(即提供互操作)是非常重要的。因此,需要开发共同的语言、字典和On t o logy。

(2)访问控制的评估方法研究。在开放系统中,用户的访问是随机的,他们事先并不知晓在什么条件下可以访问某资源。因此,为了让用户能访问某资源,访问控制机制对用户的访问请求,不能只简单地给出是或否的回答。它应该提供一种机制,解释为什么授权被否定,或告诉请求者如何获取所需的访问权。

(3)访问控制策略的安全保护。为防止资源的未授权访问,被保护的资源应由访问控制策略监控。访问控制策略定

116

计算机应用2007年

义了为获取访问权必须满足的需求。由于ABAC系统要求不轻易否定访问请求,需要向请求者提供资源的访问控制策略,因此更加容易暴露访问控制策略中的敏感信息。所以,我们要研究既要能保护访问控制策略,又不妨碍双方交易过程的方法。目前,主要利用ATN机制来保护访问控制策略。也就是在逐步建立信任的过程中,随着信任级别的提高,逐步披露敏感程度较高的访问控制策略。但如何衡量信任的级别,采用何种协商协议,都是值得研究的问题。

(4)协商策略(stra tegy)的研究。当A B A C系统采用ATN机制来进行访问控制时,其协商策略的研究就显得尤为重要。协商策略定义了应该什么时候披露凭证、如何披露凭证和什么时候终止协商等。

(5)语义访问控制规则的开发。尽管ABAC系统允许根据相关实体的属性来定义访问控制规则,但它们还未能充分利用正在兴起的语义W eb技术的语义能力和推理能力。因此,在先进的e sevices中,如何利用丰富的基于O nto l ogy的元数据来定义访问控制规则,是值得研究的问题。

(6)研究属性的发现机制。由于ABAC系统应用于分布式环境,访问控制决策所需的属性可能来自于不同安全域中的属性机构,因此,如何发现并获取所需的属性显然是很关键的。

5 结语

由于开放环境的特殊性,基于属性的访问控制正逐步成为解决该领域资源访问控制的研究热点。本文研究了与基于属性的访问控制相关的问题,讨论了其实现机制、属性管理等,并给出了基于属性访问控制的若干研究方向。参考文献:

[1] J O HNSON W,M UDUM BA I S,THO M PSON M.Authori zation and

attri bute certifi cates f or w idel y d istri buted access con trol[A].I EEE Proceed i ngs of the7t h W orks hop on E nab li ng Technol ogi es:In fra struct u re f or C ollaborati ve En terp ri ses[C].1998.

[2] 沈海波,洪帆.W eb服务中结合XACM L的基于属性的访问控

制模型[J].计算机应用,2005,25(12):2765-2767.

[3] PR I EBE T,FERNANDEZ EB,M EHLAU JI.A Pattern Syst e m f or

Access Control[A].Proceed i ngs of t h e18th Annual IFI P W G11.3 W ork i ng Con ference on Dat a and App lication S ecu ri ty[C].2004. [4] 沈海波,洪帆.面向W eb服务的基于属性的访问控制研究[J].

计算机科学,2006,33(4):92-96.

[5] OASIS eXtens i b l e A ccess Con trolM ar kup Language(XACM L)V er

sion2.0[EB/OL].h ttp://docs.oas is https://www.360docs.net/doc/877147285.html,/xac m l/access_con trol xac m l 2.0 core spec os.pd,f2005-02-10.

[6] OAS I S Securit y A ss erti on M arkup Language(SA M L)V2.0[EB/

OL].h tt p://docs.oas i s https://www.360docs.net/doc/877147285.html,/s ecurity/s a m l/v2.0/,2005-03 -14.

[7] ANDERSON A,LOKHART H.SAM L2.0p rofile of XACM L2.0

[EB/OL].h tt p://docs.oas i s https://www.360docs.net/doc/877147285.html,/xac m l/2.0/access_con trol xac m l 2.0 sa m l p rofile spec os.pd,f2005-02-10.

[8] YAGUE M,M ANA A,LOPEZ J.et a l.A pp l y i ng t he S e m anti c

W eb Layers t o Access C ontrol[A].Proceed i ngs of t h e14In t erna ti onal W orkshop on Dat ab ase and Exp ert Syste m s App li cati on s (DEXA 03)[C].2003.

[9] PERS I ANO P,V ISCONT I I.An Anony m ous C red enti al Syste m and

a Privacy Aw are PK I[A].Proceed i ngs of t h e8t h Austral asian Con

ference on In f or m ati on Security and Privacy[C].2003.

[10]W I NSBOROUGH WH,J ACOBS J.Auto m ated Tru st Negoti ati on i n

A ttri bu te based Access C ontrol[A].Procees i ngs of t h e DARPA I n

for m ation Su rvivab ility Conference and Exposition(D I SCEX)[C].

2003.

(上接第113页)

外部存在节点认证的机制。可以采用基于密码学的原型来实现,这也强调了R S W S N不是根本脱离密码学,两者对可信无线传感器网络都是需要的。

本文根据无线传感器网络资源受限的特点,分析了一些密码学无法有效解决的异常攻击和系统故障等情形,例如密码学无法有效地对内部攻击者和伪装节点的恶意行为进行数据认证。根据这些分析,本文提出了RS W S N系统,系统根据运行时节点的行为来建立可信的无线传感器网络。实验表明,本系统可以抵御诋毁和合谋等攻击。

参考文献:

[1] PERR I G A,SZEW CZ YK R,W EN V,e t a l.SPI NS:Securit y Pro

tocols f or Sensor Net w orks[J].W i rel ess N et w orks Journa,l2002,8

(5).

[2] KARLOF C,SASTRY N,WAGNER D.T i nySec:L i nk Layer E n

cryp ti on for T i ny Dev i ces[A].ACM SenSys[C].2004.

[3] DENG J,HAN R,M IS HRA S.The Perf or m an ce E valuati on of In

tru si on Toleran t Routi ng i n W i rel ess Sen s or Net works[C].Proceed

i ngs of I PSN[C].2003.

[4] W ATRO R,KONG D,CUT I SF,et al.T i nyPK:Secu ri ng S ensor

Net w orks w ith Pub li c Key T echnol ogy[A].Proceedi ngs of t he2nd ACM W orkshop on Secu rit y of A d H oc and Sensor Net w orks[C].

2004.

[5] GANER I W AL S,KUM AR R,HAN CC,e t al.Locati on&Identit y

bas ed Sec u re Even t Report Gen erati on for Sensor Net w ork s[R].

NE SL Techan i calReport,2004.

[6] BLAZE M,FE I GENBAU M J,LACY J.Decentrali zed Trus tM an

age m ent[A].Proceed i ngs of the17t h Sy m pos i um on Securit y and Privacy[C].1996.[7] BLAZE M,FE I GENBA UM J,I OANNIDIS J,et a l.RFC2704-

The K ey N ote T rustM anage m en t Syste m Vers i on2[S],1999.

[8] LI N,M ITCHELL J,W I NSBOROUGH W.Design of a role based

trus tm anage m ent fra m e w ork[A].P roceed i ngs of t he IEEE Sy m posi um on Secu rit y and Pri vacy[C].2002.

[9] BUCHEGGER S,BOUDEC J L.A Robus t Repu tati on Syste m f or

P2P and M ob ile Ad hoc Net w orks[A].P roceed i ngs of P2PE con 2004,H arvard U nivers it y[C].2004.

[10] DELLAROCAS C.M echan i s m s f or cop i ng w i th un f air rati ngs and

d i scri m i n atory behavi or i n on li n

e repu t ati on reporti ng s yste m s[A].

P roceed i ngs of I C IS[C].2000.

[11] RESN I CK P,ZECKHAUSER R.Trus t a m ong strangers i n Internet

tran sactions:Em p i rical analys is of eBay s reputation s yste m[A].

NBER w orks h op on e m pirical st ud i es of el ectron i c co mm erce[C].

2000.

[12] BUCHEGGER S,BOUDEC J L.Perfor mance an al ysis of t he CON

FI DANT protoco l[A].Proceed i ngs of ACM M ob i hoc[C].2002. [13] XI ONG L,LI U L.A reputation based trustm odel for peer to peer

eco mm erce co mmun iti es[A].I EEE con ference on e co mm erce

[C].2003.

[14] J SANG A,IS M AIL R.Th e Beta Repu t ati on Syst e m[A].Proceed

i ngs of the15th B led E lectron ic Comm erce Con ference[C].2002.

[15] SHAFER G.A mathe m atical theory of evidence[D].Pri n cet on U

n i vers i ty,1976.

[16] J SANG A.A l og i c for uncertai n p robab ili ti es[J].Internati onal

Journa l of Un certai n t y,Fuzz i ness and Know ledge Based Syste m s,

2001,9(3):279-311.

117

第1期沈海波等:基于属性的授权和访问控制研究