（控制理论与控制工程专业论文）基于智体的分布式系统访问控制技术的研究.pdf

北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机 构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：叠拉盘日期：加易t 匆彬 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留 并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅； 学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手 段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论文 注释：本学位论文不属于保密范围，适用本授权书。 本人签名：查& 盘日期：2 6 ，弓讹 导师签名：霉z 坯芷日期：渤占孑多护 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 基于智体的分布式系统访问控制技术的研究 摘要 互联网技术的飞速发展极大的推动了分布式应用的发展，单一结点构成的“信 息孤岛”已经失去了意义，越来越多的企业、组织、政府机构乃至每个普通用户都 需要通过网络这一载体交换信息。但是随着各种网络技术的极大普及，由于网络用 户误操作而造成网络安全的威胁也变得日益严峻。因此，在我们进行信息共享和资 源访问的同时，必须兼顾到系统资源的访问安全性，实施访问控制对敏感信息进行 隔离，从而保障计算机系统资源在合法范围内被使用，尽量降低由于用户误操作造 成的安全威胁。 本课题针对企业系统集成系统中资源的访问控制局限在一个企业的安全边界 内，难以在各个企业之间进行互操作的安全需求。解决在系统资源分布式的情况 下，异构信息孤岛之间的安全访问的安全问题。采用了将智体技术和基于角色的访 问控制模型相结合的方法，研究、设计并实现了一个分布式系统访问控制模型。主 要内容如下： 1 研究了访问控制技术的基本理论和技术，分析比较了目前几种典型的访问 控制技术的技术特点和适用范畴。并选定基于角色的访问控制为本文的丰 要访问控制模型。 2 分析了多智体系统的f i p a 标准以及本课题实验环节中使用的多智体平台 j a d e 。结合了智体技术的特点，提出了一种将智体技术同基于及角色的访 问控制技术相结合的方法。 3 面向分布式系统，设计了一个结合智体技术同基于角色访问控制模型的访 问控制系统，以保证访问主体和访问客体之间的相互鉴别以及安全通信所 要求的保密性、完整性和不可抵赖性。 4 实现了该模型，对安全域内部的访问控制使用基于角色的访问控制模型， 对安全域之间访问采用基于多智体技术的属性证书认证和授权模型。解决 了异地用户实现一次认证贯穿整个会话期的问题。 5 从系统功能和性能两方面进行评价，经验证该模型安全有效，是一种适合 于分布式系统的基于角色的访问控制模型。 文中给出的模型对异构信息资源整合的分布式系统的访问控制具有普遍意义。 关键词：访问控制，r b a c ，智体，分布式系统，属性证书，j a d e 北京邮电大学硕士学位论文基于智体的分布式系统访问控制技术的研究 r e s e a r c ho na g e n t b a s e da c c e s sc o n t r o l i nd i s t r i b u t e ds y s t e m a b s t r a c t i n t e m e tt e c h n o l o g yi s g r o w i n gq u i c k l yn o w ，i n d 印e n d e n ti n f o r m a t i o no r g a n i z a t i o n s h a v eat r e n dt og e tt o g e t h e r ，a n dm o r ea n dm o r ee n t e l p r i s e s ，o r g 柚i z a t i o n s ，g o v e m m e n t s a n dp e o p l e sn e e dt oe x c h 肌g et 1 1 e i ri n f b n l l a t i o nt h r o wt h e s en e t w o r k ，b u tm j s t a k e o p e r a t i o n sb ya u t | l e n t i c a t e du s e r sb e c o m eab i gs e c u r et h r e a t s ow en e e dt op m t e c t n e t w o r kr e s o u r c et h r o u 曲a c c e s sc o n t r 0 1 a c c e s sc o n t r o l i su s e dt oc o n s t r a i nt h eu s e r s 0 p e r a t i o n so nr e s o u r c e s u s e r sp e r m i s s i o n sd e c i d ew h a tt i l e yc 卸d o i no r d e rt op m t e c t t h o s ef 七s o u r c e sc o u l db eu s e du n d e rc e n a i nr u l e sa n dr e d u c es e c u r et h r e a tf 如mm i s t a k e 0 p e r a t i o n s t h ea i mo ft h i sp a p e ri st os 0 1 v et h ep m b l e mo fs e c u r ea c c e s si nd i s t r i b u t e ds y s t e m ia d o p tr b a c ( r o l e - b a s e da c c e s sc o n t r 0 1 ) a n da g e n tt e c h n o l o g y ，d e s i g na n dr e a j i z e a c c e s sc o n t r 0 1m o d e l i nd i s 仃i b u t e ds y s t e m m a i nc o n t e n ti ss h o w nb e j o w ： 1 f i r s to fa l l ，t h i sp 印e ri n t r o d u c e ss o m eb a s i cc o n c 印t i o n so fa c c e s sc o n t r o l ； c o m p a r es o m et y p i c a la c c e s sc o n t r o lm o d e l s a tl a s tid e c i d et ou s ei 江l a ca s m y a c c e s sc o n t m lm o d e l 2 s e c o n d ，ia n a i y z ea g e n tt e c h n o l o g ya f l d i t s a p p l i c a t i o n t h e nd i s c u s st h e i n t e 伊a t i o no fa g e n t 卸d 觚c e s sc o n t r 0 1 i n t r o d u c ef t p as t a n d a r d 锄dj a d e p l a t f o n l l 3 c o n s i d e r i n gt h ec h a r a c t e r i s t i c si nd i s t r i b u t e ds y s t e m ，iu s ea g e n ta n dr b a c t o g e t h e rt o f i l l n l lt h en e e do fm u t u a la u t h e n t i c a t i o n 拥dg u a r a n t e es e c u r i t y ， i n t e 笋a l t ya n du n d e n i a b l en e s s 4 r e a l i z i n gt h i sm o d e l iu s er b a c a si n n e rd o m a i na c c e s sc o n t r o ip o l i c y ，a n d m u l t i - a g e n ts y s t e mw i t ha t t r i b u t ec e r t i f i c a t ef o ra u t h e n t i c a t i o na n da u t h o r i z a t i o n ， i no r d e rt 0s o l v et h ep m b j e mo f s i n g l es i g no ni no n es e s s j o n 3 北京邮电大学硕士学位论文基于智体的分布式系统访问控制技术的研究 5 a tl a s t ，ie v a l u a t e 山i sm o d e lt l l o u 曲如n c t i o na n dp e r f o n l l a n c e b yt e s t i n t h i s m o d e l i ss a f e 醐de f 葑c i e n t b e s i d e s ，i t ss u i t a b l ef o rp m t e c tr e s o u r c e si nd j s t r i b u t e ds y s t e m t h em o d e l l nt h i sp 印e r h 嬲w i d e s p r e a dm e a i l i n gt os a f ea c c e s sc o n t m lo fi n t e 铲a t e di n f o m l a t i o ns y s t e m k e yw o r d s ：a c c e s sc o n t r o l ， r b a c ，a g e n t ，d i s t r i b u t e ds y s t e m ，a t t r i b u t e c e r t i f i c a t e ，j a d e 4 北京邮电大学硕士学位论文基于智体的分布式系统访问控制技术的研究 第一章引言 1 1 研究背景 近年来，高性能计算和网络技术的研究热潮极大的推动了分布式应用的发展。 而随着信息技术的快速升温对信息安全技术的地位也越发重要起来。许多研究发 现：非认证授权访问特别是系统内部人员或者组织成为企业应用一大安全隐患。在 信息系统整合的分布式环境下该问题显得尤为突出。各个不同的系统分别使用各自 的安全策略，互操作性成为关键问题。 1 1 1w e b 技术的发展及应用 随着互联网技术突飞猛进地发展，开发w e b 软件越来越复杂。纵观互联网的 发展过程，有一个现象值得注意：底层功能的完善会优化上层功能，上层功能的推 广又对底层功能提出更高要求；w 曲系统被大量使用往往使现有系统不能满足需 求，这就要求开发出新的硬件和软件系统。例如，在h t t p 协议上，最先只有 h t m l 作为文档编辑语言，当w 曲浏览器成为计算机必不可少的上网工具时，动 态的w c b 设计语言f 如j a v as e r v l e 们s p ，a s p ，c g i ) 应运而生，其后由于这些语言 需要占用系统计算资源，高速的w 曲应用服务器软件和主机成为大型网站必不可 少的配置；j a v a 技术提供的w e b 编程技术就是在这样的发展背景下被开发和广泛 使用的，从而提供了高效、可靠、实用的w 曲程序平台。“客户服务 器”( c i i c n “s e r v e r ) 是典型的w c b 信息系统模式。“客户”是指信息服务的索取方， “服务器”指服务的提供方。随着w 曲科技的发展，“客户一服务器”软件框架成为一 种灵活、分布式和模块化的信息系统结构。“客户服务器”结构的发展又使之有双 层结构发展对三层结构甚至多层结构。 图1 1b s 双层结构图 双层结构如图1 1 所示，通常将客户端程序作为界面，而将数据库置于服务器 上；一台服务器上的数据库同时支持多个用户，数据处理过程由客户界面和数据库 管理系统协调进行，数据库管理系统( 如o r a c l e ，s q l s e r v e r 等) 提供现成的方法供 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 用户调用；双层结构的w e b 系统适用于少量用户对数据进行操作，但是当客户数 量过大时，处理速度往往难以满足要求；另外，由于双层结构系统对数据库的依赖 性很强，系统的维护和更新常常工作量巨大。 图卜2 三层结构w e b 程序 三层结构弥补了双层结构的不足( 见上图卜2 ) ；在客户界面和数据库之间加入 了完善系统功能的中间层，典型的中间层可以是事务处理控制器、消息服务器、应 用服务器等；在客户界面与数据库之间，中间层支持数据检索、程序的分布式运行 和数据库状态控制，中间层像是数据的周转和分配站，客户界面不再直接获取数 据，而是通过中间层提供的接口间接访问和更新数据，这样，便于支持大量客户并 发访问，提高用户的使用效率和程序的可移植性；由于三层结构系统比双层结构复 杂，随之被瞩目的还有一些相关的技术热点：例如如何维护数据交换一致，如何保 证安全等。下面就将针对这种多层结构的w e b 应用中的安全问题进行分析。 1 12w e b 应用中的信息安全问题 w 曲应用中存在多层次的安全威胁，主要分布在e i s 层、应用系统层、操作系 统层、网络层，安全内容见图l 一3 ： 数据加密存储数据备份视图安全策略 访问控制角色 认证 一般操作系统安全机制 防火墙安全策略 图1 3 信息安全层次图 网络层：网络层的安全由防火墙技术来实现。 e i s 层 应用系统层 操作系统层 网络层 北京邮电大学硕士学位论文基于智体的分布式系统访闽控制技术的研究 操作系统层：操作系统层的安全策略由一般的操作系统安全机制实现，这 样可以防止非法用户登录到服务器进行破坏活动。 应用系统层：应用系统层的安全策略由登录注销的安全机制、角色和访问 控制策略进行有机结合来实现。 e i s 层：e i s 层实现的安全策略有视图安全策略、数据加密存储和数据备 份。这三种策略的运用能有效地保护数据信息的安全。 一般而言，w e b 应用所面临的安全威胁主要分以下几类： 非法访问 非法篡改 假冒伪造 拒绝服务 抵赖 为了抵御上述安全威胁，主要的安全保护措施或者被称作安全服务。 根据i s 0 7 4 9 8 - 2 ，其中规定了五类安全服务： 鉴别( a u t h e n t i c a t i o n ) 访问控制( a c c e s sc o n t r 0 1 ) 数据机密性( d a t ac o n f i d e n t i a l i t v ) 数据完整性( d a t ai n t e g r i t y ) 抗抵赖( n o n r e p u d i a t i o n ) 其中身份认证服务也是身份鉴别；而数据保密服务、数据完整服务及不可否 认服务保证了w e b 应用安全需求中的数据机密性、完整性和不可抵赖性，并以数 据加密和数字签名技术为主要实现。访问控制服务，实质上是对资源使用的限制， 决定主体是否被授权对客体执行某种操作。它依赖于鉴别使主体合法化，并将组成 员关系和特权与主体联系起来。只有经授权的用户，才允许访问特定的系统资源。 以用户认证作为访问控制的前提，将各种安全策略相互配合才能真正起到企业信息 资源的保护作用。这里的主体和资源的概念是广义的。在2 2 3 节基于角色的访问 控制相关概念介绍中会有详细阐述。 11 3 异构信息互联的安全需求 根据2 0 0 3f b i c s i 计算机犯罪和安全调查报告，对于w e b 访问的危险行为和 破坏活动近8 0 是来自于合法授权用户的错误访问或者恶意的操作造成的。而由于 北京邮电大学硕士学位论文基于智体的分布式系统访问控制技术的研究 数据加密技术的发展已经比较成熟，因而安全问题应当更加关注与系统内访问控制 技术。尤其是信息系统整合的今天，访问控制技术越来越熏要。 对于大多数的企业，都会搭建不同的管理系统，比如财务系统、人力资源管理 系统、o a 系统、e r p 系统等，这些系统之间的相互独立，各个系统之间的信息也 可能存在不一致、不及时、不同步、分散的状况。例如，人员变动时，在人力资源 系统中已经发生，但是在o a 系统，可能还没有发生更改；在财务系统也没有发生 更改。系统访问控制服务没有得到及时的调整，使得变动主体在变动发生后仍然可 以访问原先赋予该主体的资源，这样给系统留下了很大的安全隐患。 因此，作为企业来讲，需要一种平台，把这些孤立的信息系统整合起来，并实 现系统之间的互动，信息之间的互动。企业的结构组成，在这个时候，往往会成为 系统能否全面实现整合的关键所在。而且，企业的规模越大，这种信息的整合也就 越困难。针对系统访问控制的安全服务而言，重点在于使用一种适合分布式环境的 安全控制策略，使之在信息孤岛间建立起安全服务的联系桥梁，并且还需要一种自 主，自动的机制检测到系统访问控制服务在信息孤岛上的变动，及时对变动做出相 应的响应。 针对以上访问控制技术在异构系统上实现信息互动的安全需求，企业资源之间 的异构性，决定了多种多样的访问控制的实现技术，如访问控制列表、基于角色的 访问控制等。每个信息管理系统都会根据自己的需求设计并采用各种各样的访问控 制技术，这使得多所有资源的访问控制往往局限在一个企业的安全边界内，难以在 各个企业之间进行互操作。而在典型的w e b 应用中( 例如电子商务) ，一个交易的 完成通常涉及到多个w e b 服务之间的协作，而这些服务可能由不同的管理系统提 供，实际上是要求在多个企业之间共享信息，即安全需要跨越原有边界。因此，能 否提供一种分布式计算环境下适用的技术来实现对各种w e b 资源的访问控制，从而 实现各个信息管理系统之间的安全互操作。成为了信息化发展对访问控制安全服务 提出的新需求。 1 2 国内外研究现状 访问控制是众多计算机安全解决方案中的一种，是最直观最自然的一种方案。 信息安全的风险( i n f o m a t i o ns e c u r i t yr i s k s ) 可以被宽泛的归结为c i a ：信息机密性 ( c o n f i d e n t i a l i t y ) 、信息完整性( i n t e 鲥t y ) 和信息可用性( a v a i l a b i l i t y ) 。访问控 制主要为信息机密性和信息完整性提供保障。 北京邮电大学硕士学位论文基于智体的分布式系统访问控制技术的研究 6 0 年代末，正式定义并对访问控制进行完善的数学描述方面的工具最早由 l a m p s o n 完成，他提出了主体( p r i n c i p a i ) 和客体( s u b l e c t ) 这两个重要的基本概 念。并提出，需要有一个访问矩阵来描述主体与客体之间的访问关系。7 0 年代， b e i l 和l a p a d u l a 将军事领域的访问控制形式化为一套适合定义和评估计算机系统 安全的数学模型，并在这个模型实现了类似于政府文件分级策略的多极安全访问模 型。 1 9 8 3 年，对于访问控制模型标准化是有纪念意义的一年。在这一年美国国防 部提出了计算机系统可信赖性评估标准( t c s e c ) ，该标准中详细的定义了两 种军事系统的访问控制模式：d a c ( d i s c r e t i o n a r ya c c e s sc o n t m l ) 和m a c ( m a n d a t o r ya c c e s sc o n t r o j ) 。d a c 即自主访问控制：对象( 指文件等，与o o 语言 中的对象无关) 的属主全权管理该对象的访问控制策略，有权泄漏、修改对象信 息，并且这种权限可以在主体问转移。通常d a c 使用a c l ( 访问控制列表) 来限 定哪些主体可以对哪些客体执行什么样的操作。d a c 在一定程度上实现了多用户 的权限隔离和资源保护并且实现简便。但是d a c 的缺陷也十分明显：资源管理过 于分散，给控制这个系统的安全造成很大不便；无法防范木马型攻击。 m a c 即强制访问控制，它诞生的初衷是为了弥补d a c 在防范木马型攻击方 面不足。在m a c 系统独立于用户行为强制执行访问控制策略，每一个主体拥有固 定的安全标记，每个客体同样具有安全标记，主体能否对客体进行指定操作取决于 主体和客体所拥有安全标记的关系( 如：安全标记同为“机密”则可以执行操 作) 。m a c 的缺陷在于只能应用于等级观念明显的行业( 如军队) ，应用范围过于 狭小。随着时间的推移，越来越多的商业用户意识到d a c 平um a c 在商业领域中 并不十分有效。而同时期c l a r kw i l s o n 通过大量商业安全的实际系统形式化出一套 与d a c 和m a c 完全不同的一套访问控制模型，并第一次提出了职责分离( s o d ， s e p a r a t j o no f d u t y ) 的概念。 在8 0 年到9 0 年代初这段时期，访问控制领域的研究者逐渐认识到将r 0 l e 作 为一个管理p r i v i l e g e 的实体单独抽象出来的好处，这时r o i e 被认为是组织中的一 个职位或位置，是分离于u s e r 之外的，并通过将r o l e 指派给u s e r 使之获得某些 权限。第一次使用r b a c ( r o l e _ b a s e da c c e s sc o n t m i ) 术语，是f e n a i o i o a n d k u h n 于 1 9 9 2 年在美国国家标准技术局的第1 5 届国家计算机安全会议提出来的，之后，出 现了各个不同r b a c 模型，其中，以r a v j s a n d h u 等人提出的r b a c 9 6 模型最为典 型，从而掀起了一股研究r b a c 的浪潮。 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 1 9 9 5 年1 1 月召开了第一次a c mr b a c 大会主题为基于角色访问控制的a c m 大会，在这次大会中所有专家一致认为基于角色的访问控制模型和技术非常实用， 应该继续深入探讨。对于一个大型系统，角色的数量成百上千，管理这些角色和它 们之间的关系将会是一个可怕的任务，如何有效地管理r b a c 则成为一个新的问 题。r a v i s 锄d h u 等在r b a c 9 6 模型基础上进一步提出了用于管理r b a c 自身的模型 a r b a c 9 7 模型，在a r b a c 9 7 模型基础上增加用户和权限的可移动性形成了a r b a c 9 9 模型。在r b a c 社区的不断努力下，r b a c 在2 0 0 4 年2 月被美国国家标准委员会 ( a n s i ) 和i t 国际标准委员会( i n c i t s ) 接纳为a n s ii n c i t s3 5 9 2 0 0 4 标准。 自1 9 9 3 年以来，访问控制方面的研究人员还提出了其他些有创新性的访问 控制模型。r a v i s a n d h u 和他的学生提出了基于任务的访问控制( t a s k 。b 髂e d a c c e s s c o m m i ，t b a c ) 模型，并在随后两年研究发展了该模型，提出访问控制模型应该和 任务、活动相应。他们提出了实时访问控制权限管理机制，为实施动态访问控制提 供了良好的基础。他们还为主动安全模型建立了一个新的概念框架，但是并没有指 明基于任务的模型怎样与已经存在的访问控制模型结合。这种结合在企业环境下是 必要的，因为在个机构中并不是所有访问控制都能够当作一个工作流的内容。 b e n i n 等人提出了在工作流环境下实旌访问控制的模型，他们的模型用一种形 式化的语言描述了对访问控制约束的表达和评价。然而这种形式化的语言标示的约 束并不适合终端用户，主要工作集中在通过一个范例来描述静态职责分离和动态职 责分离。 2 0 0 0 年，a h ng ，s a n d h ur ，m y o n ghk ，p a r kj 等人将n a v a lr e s e a r c h l a b o r a t o r y 设计的工作流设计工具和g e o r g i a 大学实现的工作流系统以及g o r g em a s o n 大学的 信息安全实验室已经实现的u r a 9 7 结合起来，论证了将基于角色的访问控制加到一 个已有的基于w e b 的工作流系统中去的可行性 1 。但是他们只是使用了简单的 r b a c 模型，没有讨论将r b a c 加到工作流中的安全工作流模型，也没有实现动态 职责分离和细化角色信息。 从以上技术研究可以看出，访问控制技术到近期已经发展成以基于角色的访问 控制为核心的技术主体，同时访问控制技术的趋势是将原有访问控制技术与其他技 术结合，例如r b a c 同工作流的结合等；近年来研究访问控制技术还出现了 r b a c 同人工智能技术的结合，例如，使用粗集和v a g u e 集合用于分析专家数据， 以提取访问控制规则等。 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 本文的主要思想就是将访问控制策略技术同智体技术相结合，利用智体的自主 性，反应性，协作性的特点，实现超越安全域边界的安全访问，以适应分布式计算 环境下多安全域互操作的安全需求。 1 3 本文的研究目的和主要工作 本论文的研究目的是探讨在分布式平台下，如何利用智体技术实现多安全域之 间的互访问，扩展原有基于角色的访问控制，对分布式平台下不同安全域内的资源 进行访问控制管理，同时对不同安全域之间的资源访问进行控制，提高分布式环 境下各信息孤岛的资源互访安全性。 本文的主要工作有： 1 、 分析现有的访问控制技术及其应用特点； 2 、 分析智体技术同访问控制技术的结合点； 3 、 设计一个基于智体的访问控制系统，以适应分布式环境下信息孤岛之 间的资源安全互访。 4 、 实现以上基于智体的访问控制系统，试验并测试其安全可行性和性能 稳定性，并对系统的设计进行评价。 本文的章节安排如下： 1 、第一章：引言。主要介绍本文的研究背景：w 曲技术的发展以及 w e b 技术对信息安全的要求。然后介绍本文主要介绍的安全范畴一 访问控制，以及访问控制技术的国内外研究现状。最后是本文的研究 目的和章节安排； 2 、 第二章：访问控制技术基础理论。分析了访问控制的概念并介绍了几 种典型的访问控制技术，重点介绍应用最为广泛的r b a c 技术及其适 用范围： 3 、 第三章：智体技术在访问控制中的研究与应用。本章介绍了智体技术 及其应用范围；然后分析了将智体技术同访问控制技术的结合；最后 介绍了多a g e n t 系统标准：f i p a 标准以及本论文实现部分使用的多 a g e n t 平台j a d e 的参考模型和通信模型。 4 、 第四章：基于智体访问控制系统的设计。是本论文实现基于智体访问 控制的系统模型设计；包括有系统整体架构设计，域内访问控制中心 设计，域间访问策略设计以及信任模型的设计： 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 5 、 第五章：系统的实现。介绍了系统运行的软硬件环境以及系统架构， 然后分别详述了各个模块的具体实现，最后对系统的运行效率和功能 进行评价。 6 、 第六章：总结和展望。介绍本文的主要工作，并提出了对研究的进一 步设想。 第二章访问控制技术基础理论及其相关技术分析 2 1 访问控制技术的概述 2 1 1 访问控制的定义 访问控制技术是针对越权使用资源的防御措施。其基本目标是防止对任何资 源( 如计算资源、通信资源或信息资源) 进行未授权的访问。从而使计算机系统在 合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。 2 1 2 访问控制技术在信息安全技术中的层次结构 见图2 l 中i s 0 7 4 9 8 2 到t c p i p 的映射，可以看出访问控制技术在t c p i p 层次 中处于网络层、传输层和应用层之中，而本文的讨论不涉及到i p 层的信息安全，因 此重点放在传输层和应用层中的访问控制技术。针对授权用户的访问实行控制。授 权用户的访问控制是合法用户对系统资源的非法使用。 安全服务t c p i p 协议层 网络接口互联网层传输层应用层 对等实体鉴别 yyy 数据源鉴别 yyy 访问控制服务 y y y 连接保密性 yyyy 无连接保密性 yyyy 选择域保密性 y 流量表密性 y yy 有恢复功能的连接完整性 yy 无恢复功能的连接完整性 yyy 选择域连接完整性 y 无连接完整性 yyy 选择域非连接完整性 y 源发方不可否认y 北京邮电大学硕士学位论文基于智体的分布式系统访问控制技术的研究 i 接收方不可否认 y 图2 1i s 0 7 4 9 8 2 到t c p i p 的映射 2 2典型的访问控制技术 2 2 1自主型访问控制d a c 自主访问控制 2 】( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 随分时系统出现而产生。是指如 果一个主体是某一客体的拥有者，那么他对谁有权访问这个客体以及什么样的权限 访问可以完全随意设置。自主访问控制起源于7 0 年代早期分时系统出现之后的学 院和研究机构中。在自主访问控制中，用户对信息的存取是基于对用户的鉴别和存 取访问规则的确定，每个用户都要对系统中的存取对象分配存取权限，对资源对象 的“拥有”是用户最核心的权限属性，即自主访问控制是基于所有权的访问权限管 理。当某个用户要求访问系统某个资源时，系统检查该用户对该资源的所有权，或 衍生出来的访问权限，如果通过，则允许该访问在许可的方式下执行，如果不能通 过，则拒绝继续访问系统。 d a c 访问控制完全基于访问者和对象的身份。通过访问控制矩阵可以清楚地 了解d a c ，该矩阵的行表示用户名，列表示对象名。矩阵的每一个元素表示某个 访问者对某个对象的访问授权。以职员关系为例，将职员定义为：职员( 姓名、工 资、部门、经理) 。王某是普通职员，他对数据库只有执行s e l e c t 的权限：而孙某 是会计经理，她不仅有s e l e c t ，查询的权限，还有修改职员薪水的权限；人事经 理江总可以执行s e l e c t 查询、插入或删除职员的信息，并且可以改变职员所属部 门。通过矩阵元素的对应坐标定义员工同访问权限之间的多对多关系。 2 2 2 强制型访问控制m a c 强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ) 通过无法回避的存取控制 来防止各种直接和间接的攻击。在强制访问控制中，系统给主体和客体分配了不同 的安全属性，这些属性在组织的安全策略没改变之前是不可能被轻易改变的。系统 通过对主体和客体安全属性匹配的比较来确定是否允许访问继续进行。用户以及代 表用户的程序进程等都不能以任何方式修改自身或任何客体的安全属性。显然用 户无权将任何数据资源，哪怕是属于自己的数据资源访问权“赠送”给别的用户， 因此就不能简单的分配数据的访问权了。强制访问控制的典型代表是贝尔一拉帕丢 拉( b e l i 1 a p a d u i a ) 模型。 m a c 给每一个访问主体和被访问对象分配敏感标签，分别称作安全访问 ( s e c u r i t yc j e a r a j l c e ) 和安全分类( s e c u r i t yc l a s s i n c a t j o n ) 。安全访问指定了与访问主 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 体有关的信任度，而安全分类则指定了访问主体或程序的信任度，比如t o p s e c r e t ( t s ) ，s e c r e t ( s ) ，c o n f l d e n t i a l ( c ) 和u n c l a s s 语e d ( u ) ，其中信任度t s s c u o 。 当m a c 限定了哪些访问主体可以访润网络中哪些对象后，必须遵循以下两条规 则( b e l l 和l a p a d u l a 建立的b l p 模型) ：简单安全( s i m p l es e c u r 时) 也称“向下读取规 则”，即访问者只能对比安全访问授权敏感程度低的数据进行相关访问或操作，而 不允许信任度低的用户访问比安全访问授予权限高的数据。比如，一个s e c r e t 可以 以u n c l a s s 谊e d 身份登陆，而u n c l a s s i f j e d 用户则不能以s e c r e t 身份登陆。s t a r 属性 ( s t a rp r o p e r t 也称为“向上写入规则”) 即安全访问仅限于被写入对象的安全 级别，被访问对象不允许降级，比如$ e c r e t 用户不允许写入u n c l 嬲s m e d 级别的数 据。但强制控制并没有完全解决特洛伊木马问题，还有其他方法可以从s e c r e t 级程 序向u n c l a s s i f i e d 级程序进行信息传递。 强制安全与自主安全不同在于强制安全控制基于对访问者安全级别和被访问对 象安全级别比较。自主访问实现了用户访问控制决策。m a c 和d a c 并不完全互 相排斥，m a c 和d a c 均实现了对不同种类信息访问的安全控制。在任何信息需 要保护的环境中，强制策略控制前提下的自主安全提供了更细致的控制粒度。 2 2 3 基于角色的访问控制砌9 a c 在r b a c 3 中，在用户( u s e r ) 和访问权限( p e m i s s i o n ) 之间引入角色( r 0 1 e ) 的概 念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系， 角色可以根据实际的工作需要生成或取消。由于r b a c 在管理大型网络应用安全时 所表现出的灵活性和经济性迅速成为最具影响的高级访问控制模型。它有以下基本 概念： 用户( u s e r ) ：访问系统中的资源的主体，一般为人也可为a g e n t 等智能程 序； 权限( p e r m i s s i o n ) ：对计算机中某些受保护的资源的访问许可，是一个广义 概念，有的文章中将权限理解成一个二元组( o p e r a t i o n ，o b j e c t ) ； 角色( r o l e ) ：应用领域内一种权力和责任的语义综合体；可以是一个抽象概 念，也可以是对应于实际系统中的特定语义体，比如组织内部的职务等针对角 色属性的不同，某些模型中将角色进一步细分为普通角色( r e g u i a rr d i e ) 和管 理员角色( a d m i n i s t r a t i v er o l e ) ； 用户指派( u s e ra s s i g n m e n t ) ：用户集到角色集的多对多的关系； 权限指派( p e r n l i s s i o na s s i 印m e n t ) ：权限集到角色集的多对多的关系； 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 会话( s e s s i o n ) ：对应于一个用户以及一组激活的角色。用户每次必须通过建 立会话来激活角色，得到相应的访问权限； 角色继承关系( i n h e r i t 柚c er e l a t i o n ) ：角色集上定义的一个偏序关系至r 1 堇r 2 = p e r m i s s i o n ( r 2 )p e r m i s s j o n ( r 1 ) ，u s e r ( r 1 )u s e “r 2 ) ； 角色层次图( r o i eh i e r a r c h i e s ) ：在角色继承关系下，角色集实际上构成了一 个层次图允许各种形式的角色继承，包括多重继承。这样，角色层次图可以是 树，倒装树，格等； 限制( c o n s t r a i n t s ) ：模型中的职责分离关系( s e p a r a t i o no fd u t y ) ，用于控制 冲突( c o n f l i c t ) 静态职责分离( s t a t i cs d ) ：指定角色的互斥关系，用于用户 指派阶段。避免同一用户拥有互斥的角色。实现简单，角色互斥语义关系清 楚，便于管理，但是不够灵活，不能处理某些实际情况； 动态职责分离( d y n a m j cs d ) ：指定角色的互斥关系，用于角色激活阶段。允 许同一用户拥有某些互斥的角色，但是不允许该用户同时激活互斥的角色。更 灵活，直接与会话挂钩，适应实际管理需要，但是实现复杂，不易管理； 下面对美国g e r o g em a s o n 大学的访问控制规则模型r j j a c 9 6 与管理模型 r b a c 9 7 模型进行描述： l 、r b a c 9 6 层次模型 r b a c o ：含有r b a c 核心部分( c o r e 砌3 a c ) r b a c l ：包含r b a c 0 ，另含角色层次关系( r o i eh i e r a r c h i e s ) r b a c 2 ：包含r b a c 0 ，另含限制( c o n s t m i n t s ) r b a c 3 ：包含所有层次内容，是一个完整模型( c o n s 0 1 m a t e dm o d e l ) 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 一，一一，卜、一+ 3 。，一一一。 ： r ， 图2 2 砌3 a c 9 6 层次模型 2 、r b a c 9 7 层次模型： 基本思想：在r b a c 模型内部实现对各部分元素的管理，包括有：用户角 色管理，权限角色管理，角色层次关系管理，限制管理等；实现分布式管理， 避免由一个管理员负责整个系统的管理和维护；管理员对应管理员角色，各个 管理员角色之间也存在继承关系。 a r b a c 9 7 模型的基本组成部分： u r a 9 7 ：分布式实现用户角色指派 p r a 9 7 ：分布式实现权限角色指派 r r a 9 7 ：分布式实现角色层次关系管理 r h 柚l r h 蕊判纷色罅蕴 a j a 售理舟代分配 p _ 蜘曩f 许可分掘 m i 臂理角也婷艇 s 台话 p 管理许玎分匣 图2 3r b a c 9 7 层次模型 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 2 3访问控制技术的比较和本文的研究重点 基于角色的访问控制( r b a c ) 是在自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 和 强制访问控制( m a n d a t o r ya c c e s sc o n t r 0 1 ) 的基础之上发展起来的一种策略中立的、 具有强扩展性的访问控制框架。r b a c 与访问者的身份认证密切相关，通过确定合 法访问者的身份来确定访问者在系统中对哪类资源有什么样的访问权限。它实际上 是一种强制的访问控制模型，即用户自己不能进行自主授权和权限转移，但是它没 有如m a c 中那样限制信息的流向，而是引入了一种抽象的中介元素一角色一来传 递授权信息，从而提供了足够的灵活性和扩展性。因此基于角色的访问控制r b a c 更符合组织中人与人的角色关系，贴切的描述了集团或者公司的组织结构，非常适 合于大型企业集团或者经济团体的主体访问控制的定义。本文中研究的安全需求是 建立在分布式集团环境下，实现各个不同资源模块之间的互访问。使用r b a c 定义 模块内的资源访问酉己置规则，将安全域内的资源按照角色的分类，分配不同角色的 访问权限。实现用户的最小权限原则。对于不同安全域的访问，需要在不改变原有 安全策略的基础上，实现资源的互访，首先要解决不同安全域之间的认证问题，然 后不同安全域的安全规则需要对所有客户端的访问主体加载，包括从非本地安全域 发出的访问请求，实际上是要达到一个单点登陆的过程。本文试图通过使用智体的 方法，实现自律分散系统的安全访问控制。 2 4本章总结 本章详细介绍了访问控制技术，包括访问控制的定义及其分类；然后对访问控 制技术的几种典型的技术进行了介绍：自丰型访问控制、强制型访问控制以及基于 角色的访问控制；最后重点介绍了基于角色的访问控制模型的定义及其发展，并且 评价利比较了r b a c 同d a c 和m a c 的不同，以及本文中使用访问控制方式。 第三章智体技术在访问控制中的研究与应用 3 1 智体技术 3 1 1 智体技术的特点和适用范围 智体 4 的概念 北京邮电大学硕士学位论文 基于智体的分布式系统访问控制技术的研究 智体是目前分布式人工智能乃至计算机科学领域内一个常用的概念。a g e n t 表 示具有拟人智能特性利功能的软件或硬件实体。智体英文名称是a g e n t 或者叫做智 能代理，本文中的a g e n t 都翻译为智体。其概念如下表示： a = a u ，a