（通信与信息系统专业论文）web应用的细粒度访问控制技术研究.pdf

w e b 应用的细粒度访问控制技术研究 通信与信息系统专业 研究生吴少华指导老师方勇 摘要 本文通过对w e b 应用的安全风险分析，提出了组合访问控制技术、 应用代理技术、缓存等技术的w e b 应用细粒度访问控制模型，并设计 了一种模型样机系统，其作用能够检查进出内部网络的w e b 数据流， 过滤w e b 页面的恶意代码和有害信息，封阻用户对非法站点的访问， 可有效地提高w e b 应用的安全性。 本文详细介绍了该模型样机系统的设计思想、关键技术，并且对该 模型样机系统进行了功能与性能的测试，测试结果表明该系统能够有 效地解决客户端的主要安全问题，并适应产品化的要求。 关键词：w e b 应用细粒度访问控制用户验证内容过滤缓存 s t u d yo nt e c h n o l o g yo ff i n e g r a i na c c e s s c o n t r o lf o rw e ba p p lic a tio n s c o m m u n i c a t i o n i n f o r m a t i o ns y s t e m s p o s t g r a d u a t e ： s h a o h u aw ut u t o r ： y o n gf a n g a b s t r a c t t h i s p a p e r i n t r o d u c e st h em o d e lo f f i n e g r a i n a c c e s s c o n t r o lf o rw e ba p p l i c a t i o n sw h i c hc o m b i n e s w i t hv a r i o o s t e c h n o l o g i e ss u c ha sa c c e s sc o n t r o l ，p r o x y ，c a c h ee t c ，a f t e r h a v i n ga n a l y z e dt h er i s ko fw e ba p p l i c a t i o n ，a n di m p e m e n ti t i tc a ni n s p e c tt h ew e bd a t ao u to fo ri n t op r i v a t en e t w o r k ， f 订z e rm a l i c i o u sc o d ea n dd e l e t e r i o u si n f o r m a t i o ni et h ew e b p a g e s ，p r e v e n tu s e r si n s i d ef r o ms u r f i n gt h ei l l e g a lw e bs i t e s ， a n de f f e c t i v e l ye n f o r c et h es e c u r i t yo ft h ew e ba p p l i c a t i o n s t h i sp a p e ri n t r o d u c e st h ed e s i g nt h i n k i n ga n do t h e rk e y t e c h n o l o g i e so ft h ef i n e g r a i na c c e s se o n t r o s y s t e mf o rw e b a p p li c a t i o n s w ea l s oc o n d u c t e ds o m et e s t so ni t sf u n c t i o n s a n dp e r f o r m a n c e t h er e s u l to ft e s t ss h o w st h a tt h es y s t e m c o u l de f f e c t i v e l ye n f o r c et h es e c u r i t yo fw e bc l i e n t s ，a n dm e e t t h er e q u i r e m e n to fs e c u r i t yp r o d u c t s k e y w o r d s ：w e ba p p l i c a t i o n s ，f i n e g r a i na c c e s sc o n t r o l ，u s e r a u t h e n t i c a t i o n ，c o n t e n tf i l t e r ，c a c h e 是少牛w e bf 越孀趵粕柱爱嘶问控制技术研咒 l 。l ，w e b 应用豹安全现状 第一章前言 从1 9 7 3 年i n t e r n e t 的诞生到现在仅二十多年的时阐，连接到i n t e r n e t 上 的计算机数目一直呈指数式增长。2 0 0 2 年全球已有1 6 0 0 0 0 0 0 0 多台计算机连 接剿i n t e r n e t 上“。现在i n t e r n e t 已密切融入于大众的f j 常生活、学习和工 作中。i n t e r n e t 基于t c p i p 协议簇，而t c p i p 协议是在可信任的躜络环境下 开发出来的，其目的是把分布在各地的计算机资源通过一定的协议逐接在一起 实现资潺共享，因越其甥始设诗莠来考虑安全阉越。兰宅菝应援于开教熬鼷终 环境时，安全问题就暴露出来了。1 9 8 8 年1 1 月i n t e r n e t 蠕虫事件”1 的发生敲 晌了弼络安全的警钟，仅仅8 个小时的时溺，蠕虫程序就感染了a r p a n e t 上的 6 ，0 0 0 台计算机，而在当时这个网络上总共才有6 0 ，0 0 0 奁计算机。由于蠕虫的 疯狂复制，这些受染计算机的工作都陷于瘫痪，许多计簿机不得不中断与嘲络 的联系，以便彻底渍除蠕虫的拷贝，堵塞蠛虫所利用的安全漏洞。2 0 0 0 年1 月 份包括y a h o o ! 、e b a y 在内的美国几家著名的网站遭受黑客攻击，造成巨大的损 失，引筵美国当潜静憨统竟拣顿熬离度恐巍，恁蔟至将郑次袭蠢与二跤对懿珍 珠港事件相提并论”1 。据c e r t ( c o m p u t e re m e r g e n c yr e s p o n s et e a m ) 统计，网 络安全事件日渐增多，从1 9 8 8 年的6 次，弼1 9 9 9 年的9 ，8 5 9 次，直至2 0 0 2 年 已达到了8 2 ，0 9 4 次“，网络安全问题的严爨性已不容忽视。 w e b 应用构建在t c p i p 协议之上，使用t c p i p 迸行通信，其安全问题熨为 严璧，很多网络攻击的目标都是针对w e b 服务器。根据赛门铁克要联网安全 威胁报告一2 0 0 2 年第三季度第四季度攻击趋势分析，程最常见的2 0 种扫描类 型中h t t p 高藩第二，舂掘接总数懿1 6 5 ，仅次子勰i c r o s o f ts o ls e r v e r ，h t t p s 的捆描位居第五位，占扫描总数的4 o 。w e b 应用的漏洞也大大增多，在2 0 0 2 年发现的w e b 应穰的漏洞的总数量比2 0 0 1 年高出1 7 8 。更为甚者，这些漏洞的 9 5 w 被远程利用，著且9 9 的严重程度位慰中等或较高“j 。除_ l | ：之外，一些w e b 站点还包含许多政治、色情、发动、暴力等内容，这些内容都可对未成年人身 州川九学商! l 学位论文 曼少华：w e b 寝嘲兹细 = 童发访问控制技术磁又 心健康逡成辍大的危害。出j i ：可见，醚着w e b 应掰成为i n t e r n e l 中的主要应用， 基于h t t p 协议的w e b 应用的安全问题目盏严峻。 目前对w e b 应用的安全研究主要集中在w e b 服务器和。4 ：e b 通信方面，对w e b 客户端的安全磺究相对较少。但是，i n t e r n e t 客户端软 牛安全颞阀翻曾在2 0 0 1 年指出，目前对i n t e r n e t 用户的攻击正如滚雪球一样越滚越大。并且w e b 应 用客户端具有同w e b 服务器鲻一样的安全霰求，甚至超过服务器端静安全需求。 众所周知，有些客户端系统上保存的资料比服务器上保存的资料可能更有价值， 比如公司c e o 豹计算辊中的漆料。若黑客攻入公司c e o 的计算机、机密资料丢 失，其造成损失将是致命的。因此我们应冀视对w e b 应用客户端的安全保护。 笔者在成都市川大能士公司实习期间，结合公司的项目，提出了一种对w e b 应用的缨粒度螅访阔控制技本，它糍够对w e b 应瘸窖户端提供缎粒菠趣保护， 过滤用户浏览的网页中不安全的脚本程序，阻止用户访问非法站点，从而实现 对客户端的安全保护。根据返释原理，铡作了相应的藤型样机，愿鼙样机的功 能和性能测试结果表明，所撬出的细粒度的访问控制接术是成功和可行的。 1 ，2 。论文的结构和内容 论文共分七章。全文从w e b 应用安全需求到最后鲍糕型样桃测试系统地介绍 了w e b 应用细粒度访问控制系统的设计过稔。 该文首先分析了w e b 应用粒安全风险。指出各辩活裁代鸦( 包括j a v a s c r i p l 、 j a v aa p p l e t 、v b s c r i p t 、a c t i v e x 控件) 严重威胁w e b 客户端的安全，c o o k i e 造成用户的私有信息澄漏，两页广告消耗用户系统的资源，以及不健康的阏页 内容给予用户身心健康造成极大的危害。并且提出了w e b 客户端鲍安垒需求。 接着，讨论了访问控制技术、防火墙技术、用户认证技术、内容过滤技术、 缓存技术、l d a p 积w e b 虚用缳粒度访阚控铡技本。 第四章介绍了w e b 应用细粒度访问控制系统的设计目标及其体系结构。指出 该系统是构建在经过特别定铡静l i n u x 操俸系统之上，骶层使用l i n u x 内核提 供的n e t f i 1t e r 框架实现状态包过滤功能，描述了该系统包含的主要模块及其 它们之间的交互情况。 鞲蚓凡掌蓑扛学位论文 鬟步毕：w e b 成爨 魏甥较凌谤鞫擦涮技术鞴宄 第五章详缨奔绍了w e b 应藤缩粒度访勰控割系统的各模块设计，包括应用代 理模块、访问控毒0 模块、缓存模块釉目志每计模块。详细介绍了各个模块使鼹 的一些技术和算法以及数据处理流程。 燕六章瓣w e b 应爨缨较凄诱超控测系统麴原型榉捉进行了功麓黎憋憨测试， 测试结果袭明该杀统功能上基本满足设计目标，性能上也达到了产品他的要求。 最爱一蠢总结全文势握窭下一步诗戴。 1 。3 。缩螓语 w 3 c ( w 3c o n s o r ti u m ) ：w 3 联黼 c s s ( c r o s s s i d es c r i p t ) ：跨站踯本 c e o ( c h i e fe x e c u t i v eo f f i c e r ) ：首席执行长宦 蘩鑫e ( m a n d a f o r ya c c e s sc o n t r 0 1 ) ：强裁访阉控载 d a c ( d i s c r e t i o n a r ya c c e s sc o n t r o ) ：自主型访问控制 矗c l ( a c c e s sc o n t r o ll is t ) ：访运控髑戮袭 a c m ( a c c e s sc o n t r o lm a t r i x ) ：访阏控毒i 越降 c l ( c a p a b i l i t yl i s t ) ：权能梦 j 表 n a t ( n e t w o r ka d d r e s st r a n s l a t i o n ) ：爨终逡建转换 l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) ：轻攒级目录访问协议 臻! f ( 捞艚d a t a n t e r c h a n g ef o r m a t ) ：l d a p 数据交互捂式 d n ( d i s t i n g u i s h e dn a m e ) ：辨别名 r d n ( r e l a t i v e - d i s t i n g u i s h e dn a m e ) ：褶必辨射名 o t p ( o n e - t i m ep a s s w o r d ) ：一次性口令 p i c s ( p l a t f o r mf o ri n t e r n e tc o n t e n ts e l e c t i o n ) ：i n t e r n e t 内容选择平台 x m l ( e x t e n s i b l em a r k u pl a n g u a g e ) ：霹扩蕊拣嚣诱意 n i s t ( n a t io n a l i n s tit u t eo fs t a n d a r da n dt e c h n o l o g y ) ：美豳国家标准与技 术拚会 f q d n ( f u l l yo u a l i f i e dd o m a i nn a m e ) ：i e 式域名 望：! 童兰鎏点鲎竺熏兰。 。茎尘兰i 翌登塞篓整塑楚燕堕鎏婆塑篓娄篓! 壅 第二章w s b 黢蔫蜜全风险黧安全需求分析 w e b 斑褥给人类帮袋缀丈翁好楚：夫销莓敛逶过w e b 站点滚剩最新麓耩澜： 通过w e b 聊天璧进行沟通：邋过网络论坛发布信息，发液自已的看法；通过基 予w e b 静e m a i l 系统收发都佟；通过电子商务网站避彳亍购物等簿，w e b 应用已经 成为最主要鲍网终应题。在人髑墨趋依赖w e b 度粥进行瓣络活动鲍固瓣，有关 w e b 应用黻务器端的安衾问题也日黼突出。2 0 0 0 华2 月，包括y a h o o ! ，a m a z o n ， c n n 等瓣滔褪缝遴弱黑察攻壹 2 0 0 1 颦4 一i 毒戆审美爨褰大鼗，缀多掰筵薮罴。 与此同时，w e b 威用也给客户端用户带来很大的安全风险，很多病毒通过w e b 瓣甍逡露传播，瓣耍孛鹩恶意蓰璃黪敬或瓣豫嚣户麓磺盘资辩，甚至修改溺户 机器的注船表，造成用户计算机的系统崩溃、机密资料泄漏等舞全闻题黑窖 还可以献掰络上酌w e b 髂怠流巾读取糟声的视密信怠等等。 w e b 虚鼹系统由鼹务器、客户端、逶售嬲络缀成。匿鼗其安全风殓瞧可以分 为三个部分；w e b 服务器安全风险、w e b 客户端的蜜全风险、网络通信安全风险。 w e b 服务器安全鞍逶售安全一盏是a 霞l 关注鳃焦煮，辩篡懿磷究邑较多，蠢对 w e b 客户端的安全性研究相对较少。本文主躲讨论w e b 成用客户端的蜜全技术， 在l 琏：只霹译如巍爝客产壤透雩亍安全风险帮索全需甙进牙分祈，霄关w e b 赧务安 全孝n 通信嘲络安全不在本文讨论的范围。 2 1 。w e b 应用客户安垒风验 w e b 虚用客户的安全风险描述了那些造成客户端系统不可用、客户枫密信息 渣漏以及糟軎信惠迸入客户系统等安企蠲纛。主要镪括备种a c t i v e x 控件安金、 活动代码安全、c o o k i e 安全、沲容安全等。 2 。 a c t i v e 搜件安垒阍蹙 a c t i v e x 是微软公司开发的一种活动代码模型，a c t i v e x 可以播放电影、胬 乐等，霞鼹够在浏览器上添麓菜单，在糕融蔽主获联接惠、摆攥雳户计算瓿硬 盘，甚至修改用户计算机系统的注册淡。关闭用户计算机簿旧。当m s i e ( 微软 熬w e b 潮黧器，怒一释w e b 应臻客产端软箨) 磋劐带有a c t i v e x 较侔静w e b 甄 鼹拟太学壤j ：学位论文 蔓少华；w e b 蠛蒋妁蠲拣凌访鹕羟铷技术骈究 封对，m s i e 首先检查用户豹本避系统注嚣表，若该控体已经注册，则m s i e 就直 接下载该控件：棼用户操作系统没有注艘该控 牛，m s i e 使用 挺签撂说 它。虽然微软公司为掇高a c t i v e x 控件的安全性使用了数字签名授术，但是 a e t i v e x 姣然存凌很多嶷全闯题，比始：a c t i v e x 控 宰懿“s a f ef o rs c r p t ” 问题“，用户在浏览网页对，浏览器的主页、收藏必、鼠标右键菜单以及w i n d o w s 开始菜鼙的运 子等菜攀被恶爨磐改等，这些莓是熙户洌莲了带霄恶意a e t i v e x 控件的剐蒙所致。 2 1 2 活动安龛问题 壤霉w 3 c 定义，活动霞码怒一种可编稷代码，这种 弋码通过两络传送到客户 端，并且在客户端执行，活动代码包括：j a v a s c r i p t 、j a v a 、t c l 和v g s c r i p t 等等。这些活动代码燕嵌入在w e b 页面量丽并能够自动执行的程序。若正常使 焉，活动代码戆够丰富w e b 员疆建容，增强网贾静交嚣麓链。艇是这些活动代 码都是从服务器上被下载到本地测蹩器上运行韵，因此客户端的计算机存在潜 在辩安全鹣题。 j a v a 小程序存在的安全潺涧有”! ： 夺程蠹飘簿祝器指令静能力，有燕这个安全漏嗣详细描逐可以在 h t t p ：加删。c s 。p r i n c e t o n ，e d u s i p 啜站中找到； 夺掇绝服务攻击。j a v a 小程序辩以抢占系统的资源( 如c p u 时间和内脊) ， 嚣且在辫一个巅菱器申熬运行戆j a v a ，j 、程序之蠲没有僚护功髓，一个 j a v a 小程序很容易发现其它j a v a 小程序的存在并与之交互。 夺与涟意鹣圭机建立连接懿髭力。裂用这令安全藁溺，黑客可以遴遥防火 墙的检查，防火墙的寂全策略般允许内部用户访阀外部网络，而禁止 辨都网络用户意接访闯内部两络。若内部网络搏产下载释运行个带有 j a v a 夺糕痔戆憨夏，郡么活动代码髓够鑫动向雏龆熙终发起连接，黪火 墙就允许该连接及其后续的应答通过，这样黑客骏击就可以逃避防火墙 攥烈检蠢。 有关j a v a 安会的更多的信息可以访问b t t p ：j a v a 。s u n c o m s f a q j a v a s c r i p t 靛安全潺澜膏“1 ： 列川大学碗士学位论文 关少华：w e b 成用的到粒发访问控制投术研究 夺j a v a s c r i p t 可以欺骗用户，将用户本地硬盘的数据传送到i n t e r n e t 上 躲任意主极上： 夺j a v a s c r i p t 很容易获得用户本地硬盘和网络上的目录列表； 夺t a v a s c r i p t 哥鞋整褫舞户菜段辩润漆诱润豹掰有礴爱，并上传给攻击 者。 专j a v a s c r i p t 遥可良产生交叉站点脚本攻击( c r o s s s i t es c r i p t i n g 简 称c s s ) ”3 ，从而可能造成用户机密信息( 如：爆户账号、麟令、信用 卡号等) 泄漏。 同样，其它活动代码也存在羞缀多款安全潺溺。 2 1 ，3 。c o o k i e 安全 c o o k i e 是由n e t s c a p e 开发并将其作为持续保存状态信息和其它信息的一种 方式，强兹绝太多数豹溯楚黎支持c o o k i e 协议。c o o k i e 是一个德存予浏览器磊 录中的文本文件，约由2 5 5 个字符缀成，仅占4 k b 硬盘空间。当用户正在浏览 某站点时，它储存于用户枫的r a m 巾；在退出测览器后，它储存予用户的硬盘 中。储存在c o o k i e 中鲍大部分信息是普通豹，如；当你浏览一个站点时，此文 件记录了每一次的击键信息和被访站点韵u r l 等。但题许多w e b 站点也使用 c o o k i e s 寒德存镑黯私久豹数攘，热：注瓣魏令、鲻声名、绩蠲卡编号等。潞n ( 微 软提供的网络在线服务) 、n e t s c a p e 都完全采用了使用c o b k i e s 储存信息的个性 化楚理。 关于c o o k i e s 的个值得关心的问题并不是c o o k i e s 对你的机器能做些l 十 么，而是它能存储些什么信息绒传递什么信息至8 所连接的服务器。h t t pc o o k i e s 可以被用_ 束跟踪网上冲浪者访问过的特定站点，尽管鲢点鲍跟踪不用c o o k i e s 也容易实现，不过利用c o o k i e s 使跟踪到的数掇更加坚固可靠些。由于一个 c o o k i e 燕w e b 黢务器敖墨在依豹枫嚣上熬、并可璇重瑟获取体瓣搂案黪难豹 标识符，因此w e b 站点管理员可以利用c o o k i e s 建立关于用户及其浏览特征的 详细档案赘瓣。当焉户鼗录至l 一个w e b 菇煮螽，在任倚一个设鬻了c o o k i e s 的 网贝上的点击操作信息都会被加到该档案中。此外某些赢级的w e b 站点( 如许多 的网上商娩部门) 实际上采用了h t t pc o o k i e s 的淀蕊鉴定方式。当用户在这些 鞠川夫掌颟士学位论文吴少华：w e b 成用的剐粒凄访弼控制控术 i 充 站点注j i | 或请求信息时，经常输入确认他们身份的登记口令、e - m a i l 地址藏郝 政地址到w e b 页面的鬻体中，密体从w e b 页菇收集用户信息并提交绘站点服务 器，服务器利用c o o k i e s 持久地傈存信息，并将其放置在用户机上，等待以后 赘访闯。这些c o o k i e s 连嵌予h t m l 售患中，荠客瘸户撬与站点服务器阍；| 乏鞭传 递，如果用户的注册信息未曾加密，将是危险的。例如：h o t m a j l 利用两个名为 “m s p a u t h ”积“m s p p r o f ”稼存一黧蠲户豹重要信惠，若黑客褥到了这蘸个重 要的c o o k i e 并安放在自己的计算机上，那么黑客们就可以直接进入你的 h o t m a i l 都箱。 2 。 。4 ，w e b 广卷 网络广告已缀成为遗今最重要的广告传媒之一，许多网站簇至以广告为生。 这熙广告在增加网站的收入的同时。也很大的干扰了用户的使用。这些网络广 告过多占耀瘸户系统资源，逑残系统运行缓漫，溯j | 亳器疆错，甚至耀户系统死 机等等。网络广告已经成为网络安全的一火隐患。 2 1 。5 内容安全 i n t e r n e t 的飞速发展和广泛应掰导致了溺上信息莹瀑囊# 链增长。据权威机 孝句统计，阏上约有数十亿的网页，甚至有些专家宣称网萸总数融达5 5 0 0 亿，这 一数字仍然在不断地快速增长。在这数量曩大的网页中有关反动、色情的网页 占缳大比霪。答这些建鸯壹接进入髑户麴诗雾规，簿对用户黪测是一些寒成年 用户身心健康造成极大的危害。 2 2 。w e b 应用安全霈求 w e b 成用客户端的安全匿橱是确保客户端系统豹可髑性、数据的像密性茅完 整性以及测览页面内容的健康性。彬据该安全目标，可以将w e b 应用客户端的 安全需求分为疆类： 夺确保w e b 客户端系统的可用性： 夺确裸w e b 窖户端蠲产倍怠鼢瓶密往； 夺确保w e b 客户端系统数据的完整性； 强川a 掌碗士学位论文 关少华w e b 巍甩的剐被度访潮控制技术研究 夺确傈翊户测览的w e b 页面信息的健康健。 为了满足w e b 应用客户端系统的安全器求，成该有静安全毫眨制熊够深度检 查进出内部网络的w e b 数据流，过滤进入w e b 客户端系统的恶意代码和有害的 嬲蹑售怠，阻止其进入w e b 宓户裁，确摄w e b 盛赐客户溃系绞的霹鲻性，数据 文件不会被恶意修改和对终端用户造成危害；同时这种安全机制还能够有效地 控涮瘫帮阚络蹋户的私有信怠的渣灞，阻正内部阚络访阉不安全的灞点。 列川大学颀j 学位论义 晃少华：w 曲臆用的细f 粒度访问控制技术研究 3 1 访问控制技术 第三章相关技术研究 访问控制“”就是通过某种途径，准许或限制访问能力及范围的一种方法。通 过访问控制服务，可以限制对关键资源的访问，防止非法用户的侵入或者因合 法用户的不慎操作所造成的破坏。传统的访问控制技术主要有自主型访问控制 ( d i s o r e r i o n a r ya c c e s sc o n t r o l 一潞c ) 和强制型访问控制( m a n d a t o r ya c c e s s c o n t r o l m a c ) 2 种。 自主访问控制是被广泛应用的访问控制方法。用这种控制方法，主体( 用户 或应用等) 可任意在系统中规定谁可以访问它们的资源。这样，用户或用户进程 就可有选择地与其它用户共享资源。它是一种对单独用户执行访问控制的过程 和措施。每个用户的访问权限是由系统确定的。d a c 常使用访问控制表或权能表 来实现访问控制功能。d a c 可对用户提供较灵活和易行的数据访问方式，但安全 性相对较低。d a c 的风险是某些资源不能受到充分的保护。由于d a c 参数较容易 被改变，因此它不完全适用于网络环境。 与d a c 相比，强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 可通过无法绕 过的访问控制机制来防止对系统的非法入侵。在m a c 下，系统给主体和客体分 配不同的安全属性，用户不能改变自身或任何客体的安全属性。即不允许单个 用户确定访问权限，只有系统管理员可确定用户和用户组的访问权限。系统通 过比较客体和主体地安全属性来决定主体是否可访问客体。此外，强制访问控 制不允许一个进程生成共享文件，从而防止进程通过共享文件将信息从一个进 程传送到另一个进程。m a c 可通过使用敏感标号对所有的用户和资源强制执行安 全策略，即实现强制访问控制。m a c 可抵御用户滥用职权等攻击当敏感数据需 在多种环境下受到保护时，就需要使用m a c 。 强制访问控制是比自主访问控制功能更强的访问控制机制。但是这种机制对 合法用户也带来许多不便。例如，在用户共享数据方面是不灵活和受限制的。 因此，保护敏感信息一般使用m a c ；需对用户提供灵活的保护更多地考虑共享 信息时，使用d a c 。 叫川人掌坝：卜学位论文 吴少1 # ：w e b 应甩的璺n 粒鹱访问控制技术研究 访问控制通常采用访问控制列表a c l ( a c c e s sc o n t r o l i s l ) 和权能关系表 c l ( c a p a b i l i t yl i s t ) 实现。对于访问控制列表，每个客体都有一张表，表中 列出所有可访问该客体的主体及授权。授权系统模型可由三元有序组( 主体、客 体、授权) 矩阵定义。该矩阵为一稀疏矩阵又称访问控制矩阵a c m ( a c c e s s c o n t r o lm a t r i x ) 。在实际应用中，采用一个访问控制矩阵表，表中每行对应一 个主体，每一列对应一个客体，每项记录则表示出该主体对客体的访问授权。 如果访问控制矩阵的列对应客体行对应主体，那么该矩阵就构成一个主体的权 能表。权能是拥有者对客体具有特定权限的标记。权能的原理是主体可以建立 新的客体，并赋予这些客体允许的操作。即用户可以创建文件、数据段、进程 等新客体，并且指定这些客体可接受的操作( 读、写、执行等) 。 3 2 防火墙技术 防火墙是网络之间一种特殊的访问控制设施，是用来保护网络数据、资源 和用户的声誉1 。从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角 度看，各个防火墙的物理实现方式可以有所不同，它通常是一组硬件设备( 路由 器、主机) 和软件的多种组合。 主要的防火墙技术有：包过滤防火墙技术，状态检测包过滤防火墙技术，应 用代理防火墙技术以及网络地址转换技术。 3 2 1 包过滤技术 包过滤技术使用数据包头中存储的信息控制网络传输。当防火墙接收到数据 包时，把包头中存储的数据属性与访问控制策略对比( 称为访问控制表a c l ) 。根 据对比结果的不同，决定该传输被丢弃还是允许它通过，包过滤防火墙使用数 据包的源i p 、目的i p 、源端口、目的端1 3 、协议类型。包过滤防火墙不能检查 应用层数据，不能保持状态信息。但是它对网络性能影响较小，对用户透明。 其优缺点如表3 一】所示： 州j 1 1 大学坝i 学位论文吴少华：w e b 应用的圳粒度访问控制控术研究 表3 1 ：包过滤防火墙的优缺点 优点缺点 1 1 高速度：1 ) 低安全性： 2 1 对_ l = l i 户透明：2 )过滤规则复杂，则难配置，且其完备性难以得到 3 )若过滤规则简单则容易配置。检验： 3 )不能检查应用层数据； 4 1没有用户和应用验证。 3 2 2 状态检测技术 、 又称自适应防火墙技术，或动态包过滤防火墙技术。c h e c kp o i n t 公司的 f i r e w a l l l 就是基于这种技术。它根据过去的通信信息和其他应用程序获得的 状态信息来动态生成过滤规则。根据新生成的过滤规则过滤新的通信。当新的 通信结束时，新生成的过滤规则将自动从规则表中被删除。这种类型防火墙的 主要优缺点如表3 2 所示。 表3 - 2 ：状态检测包过滤防火墙的优缺点 优点缺点 1 1 高速度： 1 1不能检查应用层数据 2 )保存数据包的状态信息，提高了安全性。2 ) 不能进行用户验证 3 2 3 应用代理技术 它检查数据包的应用层数据，并且保持完整的连接状态，它能够分析不同协 议的完整的命令集，根据安全规则禁止或允许某些特殊的协议命令；还具有其 他像u r l 过滤、数据修改、用户验证、日志等功能。应用代理防火墙包含三个 模块：代理服务器、代理客户和协议分析模块。这种防火墙在通信中执行二传 手的角色，很好地从i n t e r n e t 中隔离出受信网络，不允许受信网络和不受信网 络之间的直接通信，获得很高的安全。但是由于所有的数据包都要经过防火墙 t c p i p 的所有的协议栈并返回，因此处理速度较慢，其优缺点如表3 3 所示。 四川入学硕一一学位论文 关少华：w e b 碰用的细粒俊访问控制技术研究 表3 3 应用代理防火墙的优缺点比较 优点缺点 1 ) 较高的安全性： t )处理速度较慢 2 )要检查应朋层数据： 3 )具有完整的用户和应用验证； 4 ) 有效的隔离了内外网的直接通信。 3 2 。4 网络地址转换( n a t ) 技术 网络地址转换( n a t ，n e t w o r ka d d r e s st r a n s l a t i o n ) “将专用网络中的专用 i p 地址转换成在i n t e r n e t 上使用的全球唯一的公共i p 地址。尽管，最初设计 n a t 的目的是为了增加在专用网络中可使用的i p 地址数，但是它具有隐藏内部 网络拓扑的安全特性。 当包通过防火墙时，n a t 通过转换所有内部主机地址为防火墙地址的方法隐 藏了所有i p 地址和网络拓扑结构。从外部看，网络上的通信看上去就像来自一 个非常忙碌的计算机上一样。由于n a t 只对数据包上i p 地址和端口号执行简单 的替换，不需要对其包含的数据进行复杂的分析。因而n a t 对网络性能的影响 比较小。 ， n a t 类型有： 夺静态n a t ：又叫端口转发，指一个内部i p 地址对应一个固定的外部i p 地址， 主要用于向外部发布信息； 夺动态n a t ：又加i p 地址伪装，它使得一个大i n t e r n e t 用户群可以共享一个 或者较少几个i p 地址。 夺负载均衡n a t ：它使得多个服务器可以共享一个i p 地址，根据一定的算法 实现负载均衡。 夺网络冗余n a t ：这种类型的n a t 将多个网络连接在一个n a t 舫火墙上，根据 网络负载和可用性选择不同的网络。 n a t 也存在一些问题。n a t 不能同那些需要打开一个返回客户端通道的协议协同 工作“。另外n a t 状态表存在超时和大小限制问题，容易受到一些攻击。 叫川人学硕l 学位论文 吴少毕：w e b 应用的细粒度访问控制技术研究 3 3 用户认证技术 在五大安全服务中，用户认证是最重要的安全服务之一，因为所有其它的安 全服务都依赖于该服务，认证可以对抗假冒攻击的危险，确认用户身份。常用 的认证机制有口令机制、一次性口令机制、询问一应答机制以及基于公钥的认 证机制。 夺口令认证机制是最常用的一种认证机制。口令系统有许多脆弱点，最严重的 脆弱点是外部泄露和口令猜测以及口令窃听和口令重放攻击等。 一次性口令机制( o n et i m ep a s s w o r d ) 是指用户口令仅使用一次，以后不 再使用，以便对抗重放攻击。s k e y “”“”就是一种简单、灵活的一次性口令 认证系统，采用m d 4 m d 5 作为其加密算法。它的核心思想是客户通过对用户 的秘密密码多次应用一个安全杂凑函数f 生成一次性密码。而生成下一个一 次性密码时，杂凑函数的应用次数减一，这样就可以产生一个独特的密码系 列。 夺询问一应答机制是验证者每次都向声称者发送一个s e e d ，声称者根据新发送 的s e e d 重新产生一个应答，这样就可以大大提高抗重放攻击的能力。 夺公钥密码认证机制。声称者使用他的秘密密钥签署某一消息，验证者使用声 称者的公钥检查签名。如果签名能被正确地检查，那么验证者相信声称者是 声称本人。 3 4 内容过滤技术 内容过滤技术“一般包括名单过滤技术、关键词过滤技术、图像过滤技术、 模版过滤技术和智能过滤技术等。目前，内容过滤技术还处于初级阶段，实用 的技术相对比较单一，主要表现在名单过滤和关键词过滤技术基本成熟，而图 像过滤与模版过滤技术还处于起步阶段，面临着图片的智能识别和过滤对机器 或网络性能存在负面影响的障碍。现阶段的内容过滤技术主要是对u r l 网址过 滤和网页文字等固定内容过滤，还无法做到智能的判断，这是内容过滤技术在 现阶段的状况。 ij u 川大学硕1 学位论土 吴少o # ：w e b 应用的餐u 粒度访问控制控术研究 现阶段的内容过滤技术主要分为基于网关和基于代理两种。网关与代理方式 的区别是工作于网络的不同层次。网关是在网络层上处理数据，其特点是处理 效率高、速度快，但要求内容过滤技术十分全面，因为内容过滤大部分是必须 针对应用层进行的，这样就需要过滤产品能够对全部网络层的数据进行应用层 的分析。而代理是在应用层上处理，其特点就是易于实现，但对硬件处理速度 要求高，同时还需要对一些非应用层代理进行分析。 内容过滤技术最终的发展方向必然是实时、准确、智能地进行内容分类。目 前需要进一步研究和实用化的技术有：中文的词义语义分析和图形的识别。 3 5 缓存技术 缓存技术是构建在现有网络架构的基础之上，利用传输本地化的方法达到 优化使用网络带宽、提高网络服务质量、增强网络信息可用性以及提高网络灵 活性的目的。 缓存的一个关键性问题是缓存的替换策略，一个有效的替换算法将一些用 户经常访问的网页保存在缓存中，而替换掉那些很少使用的网页。常见的缓存 替换算法1 9 1 ”有： 1 ) l r u ( l e a s tr e c e n t l yu s e d ) 算法：基于w e b 访问中存在的时间局部性，将最 不常被访问的w e b 文档替换出缓存，这是一种非常容易实现的w e b 缓存替换 策略。但是没有考虑文档的大小和延迟时间，因此其效率并不高： 2 ) l f u ( l e a s tf r e q u e n t l yu s e d ) 算法：基于w e b 静态页面的访问特性，将访 问频率最低的w e b 文档替换出去。其优点也是实现简单，但是存在这样的一 些网页，这些网页曾经获得过很高的访问频率，以后却不会再被访问。若没 有一种失效机制，这些过时的文档永远留在缓存中，即污染缓存； 3 ) s i z e 算法：利用w e b 静态页面的大小分布特性，在替换发生时将最大的w e b 文档替换出去。其优点是可以保存更多的小文档，提高请求命中率。但是有 些小文档被保存在缓存以后，再也没有被访问过，这同样会造成缓存污染； 4 ) l l f ( l o w e s tl a t e n c yf i r s t ) 算法：使用访问w e b 文档时的延时作为替换的 标准，在替换发生时优先考虑访问延时最小的w e b 文档。其优点为实现简单， 心川大学硕士学位论文 吴少华：w e b 应用的细粒度访问控制技术 i j | _ 究 但是没有文档的大小和年龄( 指文档保存在缓存中的时间) ； 5 ) l r v ( l o w e s tr e l a t i v ev a u e ) 算法：它主要考虑获取文档的代价、文档的大 小，并利用对w e b 缓存访问日志的分析，计算文档下一次被访问、一段时阳j 后被访问的概率，最后形成一个计算公式，其值即为替换依据。l r v 算法力 图利用各种w e b 访问特性，但计算公式较为复杂，实现起来较为困难，且计 算公式中的参数过分依赖于日志( l r v ) ，因此效果并不理想。 6 ) g d s i z e ( g r e e d y d u a l s i z e ) 算法：它赋予每一个缓存中的文档一个h 值， h 的初始值为c o s t s i z e ，c o s t 为将文档带入缓存的开销，s i z e 为文档大 小。当替换发生时，选出h 值最小的文档将其替换出去，并将所有的缓存中 的文档的h 值都减去这个最小的h 值，而当文档访问命中时，则将文档的h 值恢复为c o s t s i z e 其中c o s t 可以为l ，p a c k e t s ，l a t e n c y 等等，这正 是此算法的灵活之处，可以根据不同的需要变换c o s t ，达到提高命中率或降 低网络开销的目的。因为不可能有一种算法满足所有的需求，g r e e d y d u a l - s i z e 的主要贡献是应用的灵活及在算法中考虑了文档的年龄问题。 衡量一个缓存替换策略的主要指标有以下两种“： ( 1 ) 请求命中率( r e q u e s th i t r a t e ) 当用户通过缓存访问w e b 时，缓存通过自己的缓存或直接访问w e bs e r v e r 来提供用户所要访问的文档，如果缓存通过自己的缓存提供用户所要访问的文 档，则称之为一次命中，反之如果缓存通过直接访问w e bs e r v e r 来提供用户所 要访问的文档，则称之为一次不命中则文档命中率按以下公式来计算： h ： 鱼主姿塑 ( 3 5 1 ) 一 用户访问的总次数 ( 2 ) 字节命中率( b y t eh i tr a t e ) 文档字节命中率和文档命中率很相似，只是计算单位改为字节数，文档字 节命中率按以下公式来计算： h ：鱼主墼麦薹鍪。： ( 3 5 2 )“ 用户访问的总字节数 其中：命中的字节数为命中文档的大小的总和；用户访问文档的总字节数 p qj i 从学坝j 学位论文 吴少1 # ：w e b 应用n 4 细粒度访问拄谁4 技术研究 舔 为访问文档的大小的总和。 通过设置g d s i z e 算法的c o s t 值，g d s i z e 算法在请求命中率和字节命中 率上都要超过其他算法“。但是g d s i z e 算法有个缺点，那就是它没有考虑 到缓存中文档的使用频率”。若没有使用频率，那些具有相同h 值但访问频率 不同的文档将具有同等被替换的几率，这可能造成具有更高访问频率的文档被 替换掉。因此可以在g d s i z e 算法中增加频率因数f 来改进g d - s i z e 算法，改 进后的算法记为g d s f 算法。 3 6 l d a p l d a p 船”3 的英文全称是l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c o l ，一 般都简称为l d a p 。它是基于x 5 0 0 标准o ”的。与x 5 0 0 不同，l d a p 支持t c p i p ， 这对访问i n t e r n e t 是必须的。 l d a p 中目录是按照树型结构组织，目录由目录项( e n t r y ) 组成，目录项是 具有辨别名d n ( d i s t i n g u i s h e dn a m e ) 的属性( a t t r i b u t e ) 集合，属性由类 型( t y p e ) 和多个值( v a l u e s ) ，组成，l d a p 中的t y p e 可以有多个v a l u e 。属性 值的取值依赖于属性类型。例如，m a i l 属性可用来存放一个电子邮件地址，而 j p e g p h o o 属性则可存放j p e g 格式的图像。 所有在l d a p 目录服务中存放的目录项构成了目录树。图3 - i 描述了一个目 录信息树。树中的任意一个节点都是目录信息树的一个目录项( e n t r y ) 。每一 个节点旁的标注指明了该目录项的一个或多个属性值，构成了该目录项的相关 辨识名( r e l a t i v ed i s t i n g u i s h e dn a m e ，简称r d n ) ，它把该目录项与其它同级 目录项区别开来。从特定目录项到根的直接下级目录项的相关辨识名序列形成 了该特定目录项的辨识名( d i s t i n g u i s h e dn a m e ，简称d n ) 。可以在整个树中标 识该目录项。 l d a p 支持下列操作：“s e a r c h ”、“a d d ”、“d e l e t e ”、“m o d i f y ”、“b i n d ”、