早期，商业化的CAD系统如ATUOCAD主要考虑设计功能而未过多地考虑数据安全管理功能。随着安全管理需求的不断提出，商业化的CAD系统对安全性提供了一定程度的支持，但是，现有的安全CAD产品其安全控制能力仅限于普通的数据加密和数字签名（典型的实例是ATUOCAD 2004以上版本），这种安全措施虽然能实现图纸文件的保密性和在传送过程中文件内容的完整性和不可否认性，但是，只要在同版本CAD环境下，即使加密的数据复制至其他操作环境便使得原来的访问控制失效。另外，现有的CAD系统其安全措施不能从根本上保证敏感信息如涉密图纸、文档的非法复制和传播，这对信息系统的安全来说是一个严重的安全隐患。

　　本文在传统的“主体－客体－权限”访问控制模型基础上，将主体对客体的访问纳入一定的“条件”和“约束”框架下，提出了具有时空约束能力的“主体（Subject）－客体（Object）－条件（Condition）－约束（Constraint）－权限（Right）”的增强型安全访问控制方法（SOCOR），实现内核级集成化安全CAD系统安全管理。SOCOR方法以基于内容的数据加密和数字签名为基础提供角色框架下的条件安全控制，实现“特定的用户主体，在特定物理运行空间和特定的时间约束下，对特定客体资源进行特定权限约束下的访问控制”，根据安全策略需要可以实现强制访问控制()、自主访问控制或基于角色的访问控制。与传统的访问控制相比，我们的方法不仅提供基于具有时空约束下的访问使能（Enability），更为重要的是，通过该增强型访问控制机制，使得敏感信息的非法复制和扩散得到了有效控制。SOCOR方法在清华英泰信息技术有限公司安全CAD系统TiSCAD系统中得到了实现和产品化，TiSCAD提供于中间件的内核级集成化安全功能，对于不同安全需求的企业用户，提供安全水平可参数化调整的安全业务能力，包括业务关键数据加解密、身份认证、系统授权、安全审计、访问控制以及数字版权管理等核心安全功能。

2 传统访问控制存在的问题

（1）由于各种版权受控资源具有不同的许可权限和生命周期，作为用户级应用，操作系统在发布前不可能满足各种授权许可机制不同的数字版权管理，因而，数字版权管理涉及的版权资源（客体）本质上处于操作系统级访问控制能力之外。

（2）资源使用者在物理上是分布的，环境上是可信性未知的，同时，相应的许可控制往往随着资源的复制与传播等操作失去意义。因而，对于版权受保护的数字媒体，必须通过一定的许可机制如水印或者许可证书等实现权限的管理。

（3）数字版权授权条件和约束涉及用户费用，而传统的访问控制主要处理主体（或者客体，或者主体与客体同时）满足一定的安全级别时，才进行授权。

（4）数字版权管理涉及的授权具有个性化特点，从商业盈利的角度，版权受保护的数字资源往往不允许像传统的访问控制那样具有许可权的继承性和传递性等特点。即使允许许可权限的传递（如多用户之间的超级分发superdistribution），许可权限的传递也是涉及多用户帐户管理的条件许可传递。

（5）类似与传统的访问控制，数字版权管理同样涉及授权中心对用户关于某一特定媒体资源许可权限的授权、收权以及注销等。二者的差异在于，数字版权许可权利的变动往往会触发用户计费问题，且需要维护用户对特定资源许可权限的状态信息。

　　访问控制技术由于缺乏相应的实施环境和实现依赖，因而不能应用到数字版权管理中来。事实上，数字版权管理是一种远程分布条件授权机制，考虑到版权受控的资源在用户使用过程中，由于运行环境的变化，使用功能的需要等，版权许可往往是动态变化的，如用户可能重新申请许可，或者注销许可，或者在终端用户之间进行超级分发。这就需要提供一种能够提供数字版权安全许可的通用机制来实现内容版权许可管理。

3 具有时空约束能力的内核级集成化安全CAD访问控制
　3.1时空约束能力的安全CAD体系结构

（2）逻辑层：用户控制来自表示层业务请求/调用的事务逻辑，并将相关请求交由下层应用服务。
（3）中间应用服务层：相应经由事务逻辑层来自客户的业务请求，执行相应的安全业务无关/相关。其中，TiSCAD中安全业务服务功能采用基于中间件的方式实现安全业务功能，对上层提供相应的安全服务。
（4）系统层：作为硬件的扩展层，提供基础平台支持。

　　TiSCAD作为自主知识产权的CAD设计绘图系统，在广泛参行业技术标准和规范，TiSCAD充分考虑了同类产品在系统级、应用级的安全需求，提出了基于中间件的内核级集成化安全功能。对于不同安全需求的企业用户，提供安全水平可参数化调整的安全业务能力，包括业务关键数据加解密、身份认证、系统授权、安全审计、访问控制和数字版权管理等核心安全功能。

　3.2时空约束能力的安全CAD系统功能
（1）数据加解密

1）在缺省方式下按照密文的方式存储、传输数据。
2）脱离TiSCAD运行环境，存储的关键数据无法有效访问。即，TiSCAD关键数据仅通过TiSCAD加载至内容空间后才处于明文状态（用户可识别其语义的状态），其他情况下均为密文状态。
3）TiSCAD数据加/解密过程由系统按缺省方式实现，加密解密过程对用户透明，操作上与普通非加密状态无差异。

（2）安全身份认证

1）TiSCAD身份认证组件面向不同层次用户提供统一的认证和授权。
2）保证系统处在安全控制环境之中。
3）灵活的访问控制能力

　　TiSCAD系统访问控制功能旨在管理TiSCAD的用户、资源、权限，实现“何种用户（主体）在何种环境下（时空）拥有何种资源（客体）的何种使用权限能力（版权）。

1）提供强制访问控制；
2）自主访问控制；
3）基于角色（任务、对象、时间）的访问控制。

　　功能可选的多模型系统访问控制功能。达到用户访问过程的透明化管理，在安全性和易用性方面做到较好的折中，使得系统易用的基础上不丧失数据和管理的安全性，为企业的提供便捷而安全的应用服务。

（I）自主访问控制模型（DAC）

①自主访问控制模型（DAC Model，Discretionary Access Control Model）根据自主访问控制策略建立系统安全访问体系。
②允许合法用户以用户或用户组的身份访问策略规定的客体。
③阻止非授权用户访问客体，支持客体的访问权限的继承与传播。

（II）强制访问控制模型（MAC）

①系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性。
②在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。
③支持主体对客体的访问主要有四种方式：向下读（rd，read down）、向上读（ru，read up）、向下写（wd， write down）、向上写（wu， write up）。

（III）角色访问控制（RBAC）

①RBAC提供描述用户和权限之间的多对多关系，角色可以划分成不同的等级，通过角色等级关系来反映职权和责任关系。
②RBAC中通常定义不同的约束规则来对模型中的各种关系进行限制，最基本的约束是"相互排斥"约束和"基本限制"约束。
③用角色表示访问主体具有的职权和责任，灵活地表达和实现了企业的安全策略，使系统权限管理在企业的组织视图这个较高的抽象集上进行，从而简化了权限设置的管理，RBAC很好地解决了企业管理信息系统中用户数量多、变动频繁的问题。

　　需要说明的是，用户不能自主地将访问权限授给别的用户，这是RBAC与DAC的根本区别所在。RBAC与MAC的区别在于：MAC是基于多级安全需求的，而RBAC则不是。

　(4) 安全增强审计功能

1）动态可编辑安全审计策略
2）日志记录，实时监控、审计。
3）实时进行违规报警，在终端进行违规提醒
4）可视化审计分析。

　(5)TiSCAD数字版权管理

　　数字版权管理的基本目标在于解决防护措施主要针对被保护资源的非法复制和扩散，使得被保护资源在授权约束下得到有效的使用控制，实现特定的资源在特定的环境下运行。TiSCAD系统按照EULA协议在特定的运行环境下得到授权运行。其中包括：

1）软件锁加密
通过并口硬件设施实现数字版权管理。

2）网卡加密
通过讲应用软件与网卡关联实现数字版权管理。

3）智能卡加密
在资源的访问控制过程中通过智能卡在USB接口上实现TiSCAD资源的面向角色

用户的时空访问控制。

4 TiSCAD安全技术特色
　4.1访问粒度
　　TiSCAD系统支持按被保护资源的不同粒度（文件，目录等）的授权，授权引擎与授权策略相分离，授权策略由系统总体方案决定。访问控制支持角色的访问控制能力。

　4.2最少权限
　　TiSCAD系统采用将角色权限分类和可变的继承关系支持最少权限，使得授权过程中普通用户在无特殊权限的前提下仅获得最小权限子集，有利于系统的安全管理，同时简化的授权逻辑。

　4.3责任互斥
　　TiSCAD系统支持责任互斥和多重控制，前者指将一个任务分解成多个子任务，从而由不同的人执行不同的子任务; 而双重控制则要求至少两个以上的人参与去完成一项工作。使得TiSCAD授权具有较好的灵活性和适应性。

　4.4角色管理
　　TiSCAD系统中角色的建立和撤消以及权限的指派和撤消是严格按照岗位职责而进行的。当用户被调离本单位后，　有关该用户的角色指派和权限指派均会被撤消。当用户的角色发生变更或者单位的组织机构发生变化后，可以调整角色层次关系以适应新的组织机构。

　4.5个人权限指派
　　TiSCAD系统除了可以将权限指派给角色以外，还支持将权限直接指派给个人，使得授权不仅面向群体，同时可以支持单个用户的独立授权。

　4.6组授权
　　TiSCAD系统借助对角色授权的机制对组进行授权，这不仅摆脱了分别将权限指派给每个个人造成的管理负担，也降低了分别授权所可能带来的出错概率和不一致性。

　4.7会话环境
　　TiSCAD系统提供良好的用户角色会话管理，支持基于角色的会话状态跟踪和控制，因此当用户登录到系统后，将取得他被指派的所有角色的所有权限。

5 TiSCAD应用
　　清软英泰安全CAD系统TiSCAD目前在上海、北京、苏州、大同等得到了初步应用，除了基本的绘图设计功能外，在安全控制方面，TiSCAD系统在数据透明加密、安全传输与控制、图纸管理、用户管理，以及图纸信息审计等方面能够贴近最终用户需求，系统人机交互界面美观大方，操作便捷，能够提供灵活的角色管理、授权管理和敏感图纸文件的远程分布安全传输与控制。具有很强的安全管理能力，目前，清软英泰同时推出了面向商业化CAD系统AUTOCAD的安全增强插件（TiSCAD for AutoCAD），可实现与商业化产品无缝集成应用。

6 小结
　　针对当前市场对设计绘图系统的广泛安全需求，本文介绍了内核级安全CAD时空约束访问控制及其中间件实现机制。并以清软英泰安全CAD产品TiSCAD为实例给出了基于中间件的内核级集成化安全CAD的基本功能，包括业务关键数据加解密、身份认证、系统授权、安全审计、访问控制和数字版权管理等核心安全服务。本文提出的时空约束机制下的内核级访问控制方法SOCOR也可应用到其他同类产品如CAPP、ERP、CRM、 PDM/PLM中去，SOCOR方法具有一定程度的适应性和可适配性，适合企业级不同层次的安全管理需求。