（计算机应用技术专业论文）分布式环境下的权限控制系统的研究与实现.pdf

大连理工大学硕十学位论文 摘要 访问控制技术是用来保护系统资源免于被非法用户访问、更改、破坏的一项重要技 术，它是企业信息系统不可缺少的组成部分。在企业内部运行多个功能相似的信息管理 软件时，由于信息量成倍增加，导致权限管理工作复杂繁琐，因此，在保证系统安全的 前提下，简化各个系统的权限管理工作，具有重要的现实意义。 近年来，随着访问控制技术不断发展和r 趋成熟，基于角色的访问控铝) j ( r o l e b a s e d a c c e s sc o n t r o l ，r b a c ) 和基于任务的访问控帝l j ( t a s k b a s e da c c e s sc o n t r o l ，t b a c ) 得到 了广泛的应用，但在实际应用中还显得不够灵活，主要表现在：r b a c 是从系统的角度 来实现访问控制，它不适合工作流环境。而t b a c 广泛应用于工作流环境，但它却不支 持静态形式的访问控制。针对应用系统同时存在静态形式的访问控制和工作流访问控制 的情况，把用于保护系统资源的访问控制功能模块从应用系统中抽取出来，形成一个独 立的既支持静态形式又支持工作流的权限控制系统，以松耦合的形式与其他应用系统协 同工作，既能避免软件功能模块的重复性开发，降低了软件开发的成本，又能保证可靠 的权限控制，给用户提供了更多的便利。 本文分柝了基于角色的访问控制和基于任务的访问控制的模型及其优缺点，并根据 应用系统实际，构建了一套基于r b a c 模型，结合t b a c 中任务的概念，利用n e t r e m o t i n g 基础框架对基于n e t 平台的多个应用系统进行管理的分布式访问控制系统。 把访问控制功能模块部署在专用服务器上，在客户端提供统一的调用接口，从而使多个 系统一起构成松耦合的集成应用系统环境，实现了人员和权限信息的共享，增强了访问 控制策略的管理和维护。 关键词：分布式对象；n e tr e m o t i n g ；权限控制 大连理1 ：大学硕十学位论文 r e s e a r c ha n di m p l e m e n t a t i o no ft h ea c c e s sc o n t r o ls y s t e m i nd i s t r i b u t e de n v i r o n m e n t a b s t r a c t a c c e s sc o n t r o l i sa ni m p o r t a n t t e c h n i q u ew h i c hi sl i s e dt op r o t e c ts y s t e r ar e s o u r c e sf r o m a c c e s s ，m o d i f i c a t i o na n dd a m a g eb yu n a u t h o r i z e du s e r i ti sc r i t i c a lp a r to fe n t e r p r i s e i n f o r m a t i o ns y s t e m i f m u l t i p l ea p p l i c a t i o ns y s t e m sn l nw i t h i na ne n t e r p r i s e ，t h ed a t ao f t h o s e s y s t e m si n c r e a s eg r e a t l y 1 1 1 i sr e s u l t si nc o m p l e xa n dt e d i o u sa c c e s sc o n t r 0 1 t h e r e f o r e i ti s o fg r e a tp r a c t i c a ls i g n i f i c a n c et op r e d i g e s tt h em a n a g e m e n to fa c c e s sc o n t r o l ，o nt h ep r e m i s e o f t h es y s t e m ss e c u r i t y w i mt h ed e v e l o p m e n ta n dm a t u r a t i o no ft h ea c c e s sc o n t r o lt e c h n o l o g yi nr e c e n ty e a r s r o l e - b a s e da c c e s sc o n t r o l ( r b a c ) a n dt a s k b a s e da c c e s sc o n t r o l ( t b a c ) h a v eb e e nw i d e l y a p p l i e di nv a r i o u sa p p l i c a t i o n s h o w e v e r , b o t ho f t h e i i lh a v et h e i ro w n d r a w b a c k si np r a c t i c a l b s e r b a ci m p l e m e n t st h ea c c e s sc o n t r o lf r o mav i e wp o i n to fs p e c i a ls y s t e m i t sn o t s u i t a b l ef o rt h ew o r k f l o we n v i r o n m e n t t b a ci sw i d e l ya p p l i e di nw o r k f l o wt e c h n o l o g y ，b u t i td o e s n ts u p p o r ts t a t i ca c c e s sc o n t r 0 1 f o rm o s to ft h es y s t e m s ，b o t hs t a t i ca n dw o r k f l o w a c c e s sc o n t r o la r eu s e d t o g e t h e r s ot h em o d e lu s e df o rp r o t e c t i n gs y s t e mr e s o u r c e si s e x t r a c t c df r o mt h es y s t e m a n db u i l d sa na c c e s sc o n t r o ls y s t e mw h i c hi si n d e p e n d e n tw i t ht h e s u p p o r to f b o t hs t a t i ca n dw o r k f l o wa c c e s sc o n t r 0 1 a n dt h i ss y s t e mw o r k st o g e t h e rw i t ho t h e r a p p l i c a t i o ns y s t e m su n d e rl o o s ec o u p l i n g 1 1 1 i sm e t h o dn o to n l ya v o i d s t h e r e p e a t e d d e v e l o p m e n to ft h i sf u n c t i o nm o d e l ，w h i c hd e e a s e st h ec o s to fs o f t w a r ed e v e l o p m e n t , a n d a l s og u a r a n t e e sr e l i a b l ea c c e s sc o n t r 0 1 w h i c hp r o v i d e sc o n v e n i e n c et on s e r s t h ep a p e rp r o p o s e sad i s t r i b u t e da c c e s sc o n t r o ls y s t e mf o rp r a c t i c a ll l s e | ，b a s e do nr b a c m o d e l t h es y s t e mi n t r o d u c e st h et a s ki nt b a c a n du s e s n e tr e m o t i n gf r a m e w o r k i tc a l l a l s om a n a g em u l t i p l ea p p l i c a t i o ns y s t e m sb a s e do n n e tp l a t f o r m t h er e c e s sc o n t r o lm o d e l i sd i s p o s e do ns p e c i a ls e v e r s ，a n du n i f i e di n t e r f a c ei sp r o v i d e do i lt h ec l i e n t s ，w h i c hs e tu pa l o o s ec o u p l i n gi n t e g r a t e da p p l i c a t i o ns y s t e mf r o mm u l t i p l es y s t e m s a n dw ei m p l e m e n tt h e s h a r i n go fu s e r sa n dc o n t r o li n f o r m a t i o n ，w h i c hi m p r o v e st h em a n a g e m e n ta n dm a i n t e n a n c e o f t h ea c c e s sc o n 打o ls t r a t e g y k e yw o r d s ：d i s t r i b u t e do b j e c t ；n e tr e m o t i n g ；a c c e s sc o n t r o l 独创性说明 作者郑重声明：本硕士学位论文是我个人在导师指导下进行的研究工 作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得大连理 j - 大学或者其他单位的学位或证书所使用过的材料。与我一同i - 作的同志 对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。 作者签名：寄兰亨日期： 大连理r 人学硕l 研究生学伉论文 大连理工大学学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位 论文版权使用规定”，同意大连理工大学保留并向国家有关部门或机构送 交学位论文的复印件和电子版，允许论文被查阅和借阅。本人授权大连理 工大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，也 可采用影印、缩印或扫描等复制手段保存和汇编学位论文。 作者签名： 求亚号 导师签名塑堑 丑年兰月上闩 大连理r 大学硕十学位论文 1绪论 1 1 研究背景及意义 计算机技术正以惊人的速度改变着人们的生活方式和工作效率。计算机网络和管理 信息系统在政府部门、企事业单位和商业机构的运行中发挥着越来越重要的作用。然而， 这些以网络为平台，以信息为资源，具有开放性和匿名性特性的电子商务、电子政务等 形式的软件系统在给人们的生活带来前所未有的影响和便利的同时，不可避免地存在着 信息安全隐患。计算机信息安全的含义是指组成信息系统的硬件、软件及数据能受到保 护，不会因偶然或恶意的原因遭到破坏、更改或泄露，能保证系统安全、连续、正常运 行【”。 如今，越来越多的企业重视自动化、信息化的建设和发展，在企业内部各类信息资 源管理系统同趋多用户和网络化，而涉及不同部门、不同业务的信息管理软件也在不断 地开发使用，工作人员因岗位和职责的不同，或多或少地要访问到各种信息系统中相应 的业务功能，因此系统资源的访问安全问题就显得尤为重要。访问控制机制是实现企业 信息安全的重要手段之一，其中，基于角色的访问控制就是将人员按职责分为不同的角 色授予相应的访问权限，以确保访问的安全。 在基于角色的访问控制模型中，角色是实现访问控制策略的基本语义实体。管理员 可以根据职能或机构的需求策略来创建角色、给角色分配权限和给用户分配角色等。基 于角色的访问控制的核心思想是把访问权限分配给角色，让用户属于角色，用户的访问 权限就是由该用户所拥有的全部角色的权限集合的并集决定。角色之间可以有继承、限 制等逻辑关系，并影响到用户和权限的实际对应。在实际应用中，根据企业机构中不同 工作的职能可以创建不同的角色，每个角色代表一个独立的访问权限实体，然后在建立 了这些角色的基础上根据用户的职能分配相应的角色，这样用户的访问权限就通过被授 予角色的权限来体现。在用户机构或权限发生变动时，可以很灵活的将该用户从个角 色移到另一个角色来实现权限的协调转换，降低了管理的复杂度，而且这些操作对用户 完全透明。另外在组织机构发生职能性改变时，应用系统只需要对角色进行重新授权或 取消某些权限，就可以使系统适应新的需要。这些都使得基于角色的访问控制策略的管 理和访问方式具有无可比拟的灵活性和易操作性。因此，该访问控制模型自提出之同起 就得到了深入的研究和广泛的使用。然而，目前的研究都是针对r b a c 在某一特定的方 面或在实际中遇到的某一具体问题而进行的扩展，但是如何有效地在多个应用系统中共 享权限控制信息，还是一个有待探索的问题。 分布式环境卜的权限控制系统研究与实现 在企业内部使用的多个e r p 系统，往往希望能够共享某些公共信息，例如：人员 信息和权限信息。此外，r b a c 的不断发展，使得这种权限控制方式逐渐被用户所接受 和认可。在多个系统当中都使用r b a c 的方式来管理权限时，实现一套可以被多个系统 共用的权限控制系统也就显得具有重要的现实意义。 本文在前人工作的基础上探讨了访问控制技术在企业应用系统中的应用价值，提出 一个构建于分布式对象基础上的权限控制系统d r t b a c 系统。该系统的以r b a c 为基 础，结合了任务的概念，为多个应用系统提供一个统一的权限管理策略。应用系统在开 发时，无需为权限控制编写代码，只需调用远程的权限控制对象，按照指定的舰则为用 户分配权限即可，因此大大减少了应用系统丌发过程中重复劳动，使开发人员更能专注 于系统业务功能的实现。经过d r t b a c 授权的用户，使用一个用户名即可登录多个应 用系统，为用户提供了便利。 1 2 研究现状 访问控制技术起源于上世纪七十年代，当时只是为了满足管理大型主机系统上共享 数据授权访问的需要。随着计算机技术和网络应用的发展，这一技术的思想和方法迅速 应用于信息系统的各个领域【2 1 。目i j i ，访问控制技术作为实现安全操作系统的核心技术， 成为计算机科学的研究热点技术之一。 传统的访问控制策略有：自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，简称d a c ) 、 强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，简称m a c ) 。2 0 世纪7 0 年代h a r r i s o n 、r u z z o 和u l l m a n 提出的h r u 模型；1 9 7 6 年，j o n e s 等人提出了t a k e g r a n t 模型。9 0 年代， d a v i df c r r a i o l o 和r a v is a n d h u 等人提出了上文提到的基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，简称r b a c ) 并对此作了许多研究【3 】，由于r b a c 具备容易理解、 支持最小权限原则、易于管理、责任分离、权限继承等优点，成为该领域的主流技术。 在r b a c 的应用过程中，前人不断对其进行完善和扩展，其中比较重要的扩展模型有： r a v is a n d h u 等人提出的著名的分布式角色管理模型a r b a c 9 7 【4 1 ，基本思想是利用 r b a c 模型本身来进行r b a c 的管理；国内外关于带时| 8 j 约束的r b a c 的研究文章很 多【5 一，其中t r b a c ( t e m p o r a lr o l eb a s e da c c e s sc o n t r 0 1 ) s l 是一种典型的对r b a c 的时间 约束的扩展；w r p t a c ( w e i n g t e dr o l ea n dp e r i o d i ct i m ea c c e s s ) 7 1 是r b a c 在工作流中的 具体应用，并进行了必要的扩展，这是一个与实际应用紧密结合的扩展模型。 基于角色的访问控制模型都是从系统的上下文环境是静态的角度来保护系统内资 源，只有当访问实体对某一被访问实体有访问操作请求，而且访问实体拥有该权限时， 大连理t 大学硕十学位论文 系统对该访问实体开放该被访问实体的相关权限，符合这一特征的安全模型被称之为被 动安全模型。由于在对访问控制模块进行设计的同时并没有考虑到系统程序执行时的上 下文环境，因此，这样的访问控制模块存在潜在的安全隐患【8 一。实际中必须将系统程序 所处的上下文环境作为判断是否应该授予访问实体对某一被访问实体的某些权限的一 个重要的因素来考虑。这里所说的系统程序的上下文环境即是当前的一个研究熟点：工 作流。所谓的工作流是为完成某一目标而由多个相关的任务构成的业务流程【1 0 l 。传统的 访问控制技术并不能够直接应用工作流到访问控制当中，为了能够采用“面向任务”的 观点来对企业应用系统进行访问控制，前人提出了一种新的安全模型一t b a c ( t a s k b a s e da c c e s sc o n t r o l ，基于任务的访问控制) i l l 。t b a c 对系统中对象的访问权限控制并 不是静态的，而是随着系统程序执行环境和执行任务的上下文环境发生变换，因此也将 其称为主动安全模型。具体而言，t b a c 有如下几点含义： ( 1 ) 由于在工作流的环境中，每一步对数据的处理都与前面的数据处理密切相关， 所以t b a c 是一种上下文相关的访问控制模型； ( 2 ) t b a c 不仅能够对不同的工作流实行不同的访问控制，还能对同一个工作流的 不同任务实例实行不同的访问控制策略，所以，t b a c 又是一种“基于实例” ( i n s t a n c e - b a s e d ) 的访问控制模型； ( 3 ) 在t b a c 中，用户只能在有效时间范围内使用该用户被授予的权限。 为了更为方便控制和管理访问控制模块中的权限粒度，人们还提出了一种基于角色 和任务的工作流授权模型。该模型的基本思想是角色和权限相互不直接联系，而是通过 任务将两者联系在一起。给用户指派合适的角色，用户通过该角色可以获得执行的任务。 用户只有在执行任务的某一个具体的实例时才能够获得该任务所允许访问的客体的权 限u 2 。在这一权限控制过程中最为关键的是授权约束，前人已经提出了授权约束的形式 化描述 5 , 1 3 , 1 4 】。 对分布式访问控制的研究始于2 0 世纪9 0 年代初分布式系统开始大量出现的时期。 当时，主要集中于对分布式授权进行抽象的描述和委托技术的研究。t h o m a s 提出了一 种基于逻辑的思路【i5 1 ，主要解决几个问题：分布式授权需要较强的表达力：传统方法太 底层，与应用相关，不易在异构环境下互操作；m a r v i n 对分布式环境下的委托技术进 行了研究【l “，并提出了使用访问控制程序进行委托，使用户可以通过一个不可信的第三 方，访问其所需要的服务。这些早期的研究成果，由于其本身表达能力的有限性以及对 问题研究的不足，并未得到广泛的应用。近年来的研究主要集中于多域间安全互操作的 机制，信任管理和证书的分布查找等方面，具有代表性的有：k a p a d i a 等人提出的一个 基于角色转换的域间互操作模型i r b a c 2 0 0 0 1 7 1 ；d e n k e r 等人研究了使用用户角色证书 分布式环境f 的权限控制系统研究与实现 p k i 进行跨域访问控制的技术；e l l i s o n 提出了s p k i 19 1 ，在学术界引起了广泛关注， 并已有了一些实现；f r e u d e n t h a l 等人提出了一人动念结盟环境下的分布式r b a c 模型 d r b a c 2 0 1 ，它使用基于角色的委托和证明监控，达到动态结盟的目的。 _ 人连理1 ：又学硕十学位论文 2 访问控制理论 2 1 访问控制理论基础 随着计算机技术、通信技术和互联网的飞速发展，计算机信息安全已经越来越受到 人们的重视。访问控制是一种重要的信息安全技术，已经渗透到操作系统、数据库、网 络等各个方面。 2 1 1 信息安全与企业信息化 信息安全因关系到一个国家的政治、经济、国防、生产和民生等大计历来备受关注。 伴随着网络化和信息化进程的步伐，信息安全问题愈发突现。目前，世界各国都投入大 量资金和精力进行信息安全的研究和实践。2 0 0 3 年，美国建立了网络空问国家战略和国 家基础设施安全保护战略，将信息安全战略纳入其国家安全的整体战略之中；对信息安 全问题的普遍关注也使得欧盟各国更趋于团结，并在该领域达成了统一的策略和立场； 俄罗斯国家安全构想中明确提出，保障国家安全应把保障经济安全放在第一位，而 信息安全又是经济安全的重中之重；日本则强调，信息安全保障是f 1 本综合安全保障体 系的核心。我国也己启动了信息安全保障体系建设，并以中央文件的形式从明确责任、 加强监管、发展科技、扶持产业、培养人才、加强协同等方面提出了具体的工作意见 2 1 , 2 2 1 。 信息安全是对信息资源及其服务的管理，其安全问题主要来自于以下三个方面： ( 1 ) 计算机信息系统本身存在的严重的脆弱性，给各种攻击提供了方便之门； ( 2 ) 计算机网络的互连性、开放性和匿名性，也使蓄意非法访问有机可乘； ( 3 ) 人为因素，包括安全管理水平低、人员技术素质差、操作失误或错误、违法犯 罪行为等。 计算机信息系统中的信息具有三个基本的安全性质：保密性( c o n f i d e n t i a l i t y ) ，完整 性( i n t e g r i t y ) 和可用性( a v a i l a b i l i t y ) ，其中的任何一条被破坏就是破坏了系统的安全。同 时，计算机信息服务是面向用户的，与使用者有关的三个安全概念有：认证 ( a u t h e m t i c a t i o n ) 、授权( a u t h o n z a t i o n ) 和抗抵赖( n o n - r e p u d i a t i o n ) 2 3 搿】。 保密性是指只有授权用户才可以访问数据信息，用于防止未授权用户访问或复制数 据。 完整性是指信息不被非法修改、删除、插入虚假信息，以及防止非法生成消息或重 发，用于对抗破坏通信和重发的威胁。对于网络信息服务而言，数据完整性的重要性有 时高于保密性。 分布式环境f 的权限控制系统研究与实现 可用性是指合法用户可以不受干扰地使用各种资源。一个具有可用性的网络信息服 务系统应当能够在攻击发生后及时正确地恢复。一般通过加强系统的管理和设计来提高 可用性。 授权决定哪个用户可以访问特定的数据资源。授权决定了用户的权限，用户必须等 到其身份被确认以后力可以进行被授权的操作。授权用来抵御系统入侵，访问控制列表 和策略标签是常用机制。 认证和授权紧密相关，认证用来确认用户的身份，用来对抗伪装和欺骗等威胁。认 证包括实体认证( 确认用户身份) 和数据源认证( 确认数据来自确定用户) 。 抗抵赖是指通信者不能在通信过程完成后否认对通信过程的参与。抗抵赖包括起源 抗抵赖( 保护接受方利益，证明发送方身份，发送时j b j 和发送内容) 和传递抗抵赖( 保护 发送方利益，证明接受方身份，接受时问和接受内容) 。 针对信息安全的管理问题，由英国标准协会( b s i ) 于1 9 9 5 年2 月提出了 i s o i e c l 7 7 9 9 作为信息安全管理实用规则。该规则对信息安全管理给出建议，供在其 组织启动、实施或维护安全的人员使用。i s o i e c l 7 7 9 9 包含了1 2 7 个安全控制措施来 帮助组织识别在运做过程中对信息安全有影响的元素，组织可以根据适用的法律法规和 章程加以选择和使用，或者增加其它附加控制。这1 2 7 个控制措施被分成1 0 个方面， 成为组织实施信息安全管理的实用指南。在这个标准的第七条明确指出： 制定访问控制的业务要求，以控制对信息的访问；建立全面的用户访问管理，避免 信息系统的未授权访问；让用户了解他对维护有效访问控制的职责，防止未授权用户的 访问；对网络访问加以控制，保护网络服务；建立操作系统级的访问控制，防止对计算 机的未授权访问；建立应用访问控制，防止未授权用户访问保存在信息系统中的信息； 监视系统访问和使用，检测未授权的活动；当使用移动计算和远程工作时，也要确保信 息安全。 信息系统安全是一项复杂的系统工程，它的实现除了技术方面的问题还需要法律、 管理、社会因素的配合。 i n t r a n e t 是一种企业内部信息管理和交换的基础设施，通过引入i n t e r n e t 的通信标 准和w w w 内容的标准( w 西技术、浏览器、页面、检索工具和超文本链接) ，对信息 处理表示方式和相关技术进行了变革。在i n t r a n e t 的应用中，信息系统的安全保密成为 迫切需要解决的问题。作为商业机密的企业各种资料安全与否关系到企业的存亡，因此， 信息系统必须设立严格的管理制度，包括严格的权限管理，无关人员无权查看、改动资 料；有效的技术手段和管理措施防止计算机病毒对系统的侵害；严格而有效的措施防止 大连理l ：大学硕十学位论文 资料被非法窃取，合理的备份策略以利于系统受到侵害时的恢复；完备的系统文件管理 以利于系统的改进；一个企业的j 下常运转有赖于各部门管理人员的努力工作及相互配 合，其中也包括m i s 各个子系统的有效运转。目前，在企业信息系统的丌发设计过程 中，安全性能被放在首要地位，成为信息系统的关键【2 5 1 。 2 1 2 访问控制的概念 i s o o s i 参考模型的信息体系结构i s 0 7 4 8 9 - - 2 标准对构建具有网络环境的信息安 全有重要的指导意义。它提出的核心内容包括鉴别、访问控制、数据完整性、数据保密 性和不可否认性五大类的安全服务。作为其中之一的访问控制服务，在企业信息系统的 安全体系结构中具有不可替代的作用。 访问控制就是通过某种途径显式地准许或限制访问能力及范围的一种方法【2 “。它是 针对越权使用系统资源的防御措施，实质上是对资源使用的限制，防止非法用户的侵入 或因为合法用户的不慎操作而造成的破坏。访问控制决定了谁能够访问系统，能访问系 统的何种资源以及如何使用这些资源。正确的访问控制能够阻止未经允许的主体有意或 无意地获取资源。 访问控制系统一般包括： 主体( s u b j e c t ) ：是主动的实体，该实体造成了信息的流动和系统状态的改变，主体 通常指人，也可以是任何主动发出访问请求的智能体，包括程序、进程、服务等； 客体( o b j e c t ) ：是包含或接受信息的被动实体，是所有受访问控制保护的资源，在 不同应用背景下可以有相当广泛的定义，比如在操作系统中可以是一段内存空间，在数 据库里可以是一个表中的记录等。 安全访问策略( p o l i c y ) ：是一套访问规则，确定主体对客体是否有某种访问能力。 访问控制在操作系统、数据库和网络上都有十分重要的应用。现代操作系统如 w i n d o w s 系列，s o l a r i s 系列，u n i x 系列都实现了不同程度的访问控制；许多大型数 据库产品如o r a c l e ，s y b a s e ，i n f o r m i x 等都支持访问控制功能。 2 1 3 访问控制的策略 目前，主要有三种访问控制策略：自主访问控制、强制访问控制和基于角色的访问 控制。其中自主访问控制和强制访问控制是两种传统的访问控制策略，而基于角色的访 问控制策略克服了前两者存在的不足，是一种改进的中性策略。 ( 1 ) 自主访问控制：是一种允许主体对访问控制施加特定限制的访问控制类型。其 主要特征体现在：主体可以自主地把自己所拥有对客体的访问权限授予其它主体或者从 其它主体收回所授予的权限。 分布式环境f 的权限控制系统研究与实现 ( 2 ) 强制访问控制：是一种不允许主体干涉的访问控制类型，它是基于安全标签和 信息分级等信息敏感性的访问控制，通过无法回避的存取控制来防止各种直接和间接的 攻击。它的主要特征体现在它是根据客体的敏感级和主体的许可级来限制主体对客体的 访问。 ( 3 ) 基于角色的访问控制：在用户与权限之阳j 设置角色，通过为角色定义权限集合 间接地对用户和权限之f 日j 的关系分隔。一旦为用户分配角色，那么该角色所对应的权限 也随之分配给该用户。权限的变化被限制在角色和权限之间，大大减轻了系统管理员的 负担并具有极大的灵活性，从而满足了商业应用的需求。 2 1 4 访问控制的实现 实现访问控制策略是抽象和复杂的行为，实现访问控制不仅要保证授权主体使用的 权限与其所捌有的权限对应，制止非授权主体的非授权行为，还要保证敏感信息的交叉 感染。访问控制机制常采用访问控制矩阵、访问控制表、能力关系表来实现访问控制策 略。 ( 1 ) 访问控制矩阵( a c c e s sc o n t r o lm a t r i x ) ，是实现访问控制最常用的一种机制，系 统通过矩阵来记录用户对资源使用情况。 表2 1 访问控制矩阵 t a b 2 1 a c c e s sc o n t r o lm a t r i x 如表2 1 所示，访问矩阵是以主体为行索引，以客体为列索引，矩阵中的每个元素 表示一组访问方式，是若干访问方式的集合。矩阵中第i 行第j 列的元素记录着第i 个 主体s i 可以执行的对第j 个客体o j 的访问方式，比如m i j 表示s i 可以对o j 进行读和 写操作。 8 人连理i ：人学硕十学位论文 访问控制矩阵的实现很易于理解，但是查找和实现起来具有一定的难度，而且，如 果用户和文件系统要管理的文件很多，那么访问控制矩阵将会成几何级数增长，这样对 于增长的矩阵而言，会有大量的空余空间。 ( 2 ) 访问控制表( a c c e s sc o n t r o ll i s t ) ，是以客体为中心建立的访问权限集。以文件 系统为例，对于某个文件，访问控制表中将登记每个可以对它访问的合法用户以及他们 的权限( 读r ，写w ，拥有o w n 等) ，并把它们链接起来。访问控制表可以认为是访问控 制矩阵基于列的实现。 访问控制表机制最适合于有相对少的需被区分的用户，并且这些用户中的绝大多数 是稳定的情况。如果访问控制表太大或经常改变，维护访问控制表成为最主要的问题【2 ”。 ( 3 ) 访问控制能力列表( c a p a b i l i t i e sl i s t ) ，和访问控制表相反，它是以主体为中心建 立访问权限集。例如，对于某个用户，将登记每一个他可以访问的文件以及相应的权限 ( 读r ，写，w ，拥有o w n 等) ，并把它们链接起来。一个能力说明了用户可以以何种方 式访问哪一个文件，访问控制能力列表可以认为是访问控制矩阵基于行的实现。 访问控制能力列表很容易获得一个主体所被授权可以访问的客体及其权限。但访问 控制能力列表对于权限的存储是分散的，这导致很难撇消对某文件的访问权限，系统很 难找出全部权限并收回【2 7 】。 ( 4 ) 访问控制安全标签列表( a c c e s sc o n t r o ls e c u r i t yl a b e l sl i s t ) ，是限定一个用户 表2 2 访问控制安全标签列表 t a b 2 2a c c e s sc o n t r o ls e c u r i t yl a b e l sl i s t 对一个客体访问的安全属性集合。安全标签是限制和附属在主体或客体上的一组安全属 性信息，它的含义比能力更为广泛和严格，因为它实际上还建立了一个严格的安全等级 集合。 分布式环境f 的权限控制系统研究与实现 如表2 2 所示，左侧为主体对应的安全级别，右侧为客体对应的安全级别。如果请求 访问的主体s u b j e c t1 的安全级别为s ，那么s u b j e c tl 请求访n o b j e c t2 时，由于s c ，所以允许访问。 安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策 略，因此，强制访问控制经常会用到这种实现机制。 2 1 5 访问控制的管理 访问控制的管理涉及访问控制在系统中的部署、测试、监控以及对用户访问的终止。 虽然不一定需要对每一个用户设定具体的访问权限，但是访问控制管理依然需要大量复 杂和艰巨的工作。访问控制需要考虑机构的策略、员工的职务描述、信息的敏感性、用 户的职务需求等因素。 基本的访问管理模式有三种：集中式、分布式和混合式。各有优缺点，实际运用中 应根据情况选择合适的管理模式。 ( 1 ) 集中式管理：就是由一个管理者设置访问控制。如果用户对信息的需求发生变 化时，只能由这个管理者改变用户的访问权限。由于只有极少数人有更改访问权限的权 力，所以这种控制是比较严格的。每个用户的账号都可以被集中监控，当用户离丌机构 时，其所有的访问权限可以被容易的终止。因为管理者较少，所以整个过程和执行标准 的一致性就比较容易达到。但是，当需要快速而大量修改访问权限时，管理者的工作负 担和压力就会很大。 ( 2 ) 分布式管理：就是把访问的控制权交给了信息的拥有者或创建者，通常是职能 部门的管理者。这样就等于把控制权交给了对信息负有直接责任、对信息的使用最熟悉、 最有资格判断谁需要信息的管理者的手中。但是这也同时造成在执行访问控制的过程和 标准上的不一致性。在任一时刻，很难确定整个系统所有用户的访问控制情况。不同管 理者在实施访问控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求，同 时也有可能造成在员工调动和离职时访问权不能有效地清除。 ( 3 ) 混合式管理：是集中式管理和分布式管理的结合。它的特点是由集中式管理负 责整个机构中的基本的访问控制，而由职能管理者就其所负责的资源对用户进行具体的 访问控制。混合式管理的主要缺点是难以划分哪些访问控制应集中控制，哪些就在本地 控制。 1 0 一 大连理t ：大学硕十学位论文 2 2 传统的访问控制策略 2 2 1 自主访问控制策略d a c 自主访问控制策略起源于2 0 世纪7 0 年代初期分时系统出现之后的学院和研究机构 中，其6 7 l a m p s o n 的经典论文中介绍了它的基本概念【2 8 1 。自主访问控制策略基本思想 是：系统中的主体可以自主地将其拥有的对客体的访问权限全部或部分地授予其它主 体，其实现方法一般是建立系统访问控制矩阵。 为了提高系统性能，在实际应用中常常是建立基于行( 主体) 或列( 客体) 的访问控制 方法【2 0 9 】： ( 1 ) 基于行的方法是在每个主体上都附加一个该主体可以访问的客体的明细表。根 据表中信息的不同可分为三种形式：权能表( c a p a b i l i t i e sl i s t ) 、前缀表( p o r f i l e s ) 和1 3 令 ( p a s s w o r d ) 。 权能表决定用户是否可以对客体进行访问以及进行何种方式的访问( 读、写、改、 执行等) 。一个拥有某种权力的主体可以按一定方式访问客体，并且在进程运行期间访 问权限可以添加或删除。 前缀表包括受保护的客体名以及主体对它的访问权。当主体欲访问某客体时，自主 访问控制系统将检查主体的前缀是否具有它所请求的访问权。 口令机制，每个客体或每个客体的不同访问方式都对应个口令，主体访问客体时 首先向操作系统提供该客体的口令。 ( 2 ) 基于列的自主访问控制是对每个客体附加一个可访问它的主体的明细表。它有 两种形式：保护位和访问控制表。 保护位是对所有的主体指明一个访问模式集合，由于它不能完备地表达访问控制 矩阵，因而很少使用。 访问控制表可以决定任一主体是否能够访问该客体，它是在客体上附加一主体明细 表的方法来表示访问控制矩阵。表中的每一项包括主体的身份和对客体的访问权。访问 控制表是实现自主访问控制的最好的方法。 自主访问控制策略具有相当的灵活性，尽管在许多计算机系统( 包括流行的u n i x 类 操作系统) 得到广泛的应用，但它也存在明显的不足：资源管理比较分散；用户间的关 系不能在系统中体现出来，不易管理；最严重的是访问权的授予是可以传递的，一旦传 递出去就难以控制，信息容易泄漏，而且用户在没有系统管理员的干涉下对他们所控制 的客体能够进行修改，这样容易受到特洛伊木马的攻击。 分布式环境r 的权限控制系统研究与实现 针对自主访问控制的不足，一些研究者对其提出了一系列的改进措施。早在7 0 年代 未，h a r r i s o n m ar u z z o w l 和u l l m a nj d 就对自主访问控制进行扩充，提出了客体 主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的 h r u 访问控制模型。1 9 9 2 年，s a n d h u 等人为了表示主体需要拥有的访问权限，将h k u 模型发展为t a m ( t y p e da c c e s s m a t r i x ) 模型。随后，为了描述访问权限需要动态变化的 系统安全策略，t a m 发展为a t a m ( a u g m e n t e dt a m ) 模型。 2 2 2 强制访问控制策略m a c 强制访问控制策略是一种不允许主体干涉的访问控制类型，它源于对信息机密性的 要求以及防止特洛伊木马之类的攻击，最初用于军方的应用中，并常与自主访问控制策 略结合使用【2 】。强制访问控制策略是通过无法回避的存取限制来阻止直接或间接的非法 入侵。系统中的主体和客体都被分配一个固定的安全属性，强制访问控制通过比较主体 与客体的安全属性来决定是否允许主体访问客体。安全属性是强制性的，由系统自动或 安全管理员分配给每个主体和客体，用户或用户进程不能改变自身或其它主体和客体的 安全属性。 强制访问控制模型中的典型代表是b e l l l ap a d u l a 模型 3 , 3 0 1 。b e l l l ap a d u l a 模型是 发展最早并且是迄今最受欢迎的模型之一。b e l l l ap a d u l a 模型中系统状态表示为四元 组( b ，m 。f ，h ) ，其中： b ：当前存取集，此集合由形如( 主体，客体，存取方式) 三元组表示，b 中的三元 组( s o ，m ) 表示主体s 当前以存取方式m 存取客体o 。 m ：存取矩阵，描述每个主体可以何种存取方式存取每个客体。 f ：一个与系统中每个主体和每个客体以及他们安全级别相联系的级别函数。可搐 述为f 0 ns 一) l ，s 是主体的集合。o 是客体的集合，l 是安全级别的集合。每 个主体有两个安全级别：允许安全级f s ，当前安全级f c ，则对于每个主体s e s ， f s ( s ) s c u ) ，r 为读权限，w 为写权限，则系统中的信息 流向如所图2 1 示。 夫连理l ：大学硕十学侥论文 主体t s l ， u ucst s 图2 1 强制型访问控制 f i g 2 1 m a n d a t o r ya c c e s sc o n t r o l 客体 强制访问控制对客体施加了更严格的访问控制，因而可以防止特洛伊木马之类的程 序偷窃受保护的信息，同时强制访问控制对用户意外泄漏机密信息的可能性也有预防能 力。然而，由于强制访问控制增加了不能回避的存取限制，因而可能影响系统的灵活性； 另一方面，虽然强制访问控制增强了信息的机密性，但不能实施完整性控制，而网上信 息更需要完整性这影响了强制访问控制的网上应用；最后，强制访问控制太严格，实 现工作量太大，管理不便，不适用于主体或客体经常更新的应用环境。可见，强制访问 控制的不足主要表现在两方面：完整性方面控制不够：应用的领域比较窄。 为了增强强制访问控制的完整性控制，研究者在b e l l l ap a d u l a 模型基础上做了许 多改进，比如提出了和b e l l l a p a d u l a 模型异曲同工的b i b a 模型等。美国s e c u r e c o m p u t i n g 公司提出了t e ( t y p e e n f o r c e m e n t ) 访问控制控制技术，该技术把主体和客体分 别进行归类，它们之间是否有访问授权由t e 授权表决定，t e 授权表由安全管理员负 责管理和维护。c h i n e s ew a l l 模型是b r e w e r 和n a s h 开发的用于商业领域的访问控制模 型，它的贡献在于对开发商用访问控制技术的尝试【2 9 1 。国内自主开发的o p e n b a s e s e c u r e 安全数据库采用了强制访问控制机制，按照敏感程度的不同，提供元组级安 全标记，使对数据库客体的访问控制最小粒度达到了元组级。 2 3 基于角色的访问控制理论 随着安全需求的不断发展和变化，自主访问控制和强制访问控制已经不能完全满足 需求，研究者提出许多自主访问控制和强制访问控制的替代者，其中基于角色的访问控 制