（计算机应用技术专业论文）股票交易监控系统中的访问控制.pdf

浙江大学硕士学位论文 摘要 摘要 互联网应用已经走入了每个人的工作学习，日常生活当中，并且扮演着越来 越重要的角色，很多人上网查资料看新闻，上网跟别人讨论问题，去网上的商店 买东西。很多企业采用网页应用程序来办公，实现办公自动化，对企业做宣传， 策划活动，甚至与其他企业做生意。在各种网络活动中，难以避免地存在着个人 隐私，商业机密等各种需要保护的资源，防止未授权的访问和非法破坏。访问控 制从广义上来讲就是防止未授权的侵入，包括用户身份认证，访问权限的授予， 以及对访问活动的审计等方面。在现代金融信息领域，各种金融活动比如，货币 的发行、流通与回笼，货币的借贷，外汇、金银的买卖，各种有价证券的发行与 买卖，票据贴现，信托，保险等等很多都会应用到信息系统，金融信息系统中很 多重要的资源需要保护，对信息系统的非法入侵可能会造成重大的损失，所以， 对金融信息系统的访问控制研究也是很有意义的。 本文介绍了访问控制的基本概念，设计原则和常用的模型，包括强制访问控 制，自主访问控制和基于角色的访问控制，并重点论述了基于角色的访问控制的 基本特点，适用环境，实现方法和可能会带来的负面影响。结合股票交易监控系 统的项目特点，设计其访问控制的机制，包括身份认证，页面访问控制，富客户 端的访问控制，动态导航等方面。 【关键词】：金融信息系统，身份认证，访问控制，商业机密 浙江大学硕士学位论文 a b s t r a c t w e ba p p l i c a t i o nh a sb e e nw i d e l yu s e dn o w a d a y s ，c o m i n gd o w nt oe v e r y b o d y s e v e r y d a yl i f o ，w o r ka n ds t u d ya n dp l a y i n gm o r ea n dm o r ei m p o r t a n tr o l e s i ti sm t h e r c o m m o nt od i s c u s s 、析mo t h e r so nt h ei n t e r n e t , t ob u ys o m e t h i n go nt h ew e b m o s t c o r p o r a t i o n su s ew e ba p p l i c a t i o nt oi m p l e m e n to f f i c ea u t o m a t i o na n dd ob u s i n e s s 、) l ，i 也o t h e rc o r p o r a t i o n s i na l lt h e s ek i n d so fn e t w o r ka c t i v i t i e s ，i ti sc r u c i a lt op r o t e c t i m p o r t a n tr e s o u r c e ss u c ha sp e r s o n a lp r i v a c ya n dt r a d es e c r e c y u n a u t h o r i z e da c c e s s a n di l l e g a ld e s t r u a t i o nm u s tb ef o r b i d d e n b r o a d l ys p e a k i n g , a c c e s sc o n t r o li st o p r o - c e n tu n a u t h o r i z e di n t r u s i o n , i n c l u d i n gu s e fa u t h e n t i c a t i o n , p e r m i s s i o ng r a n t i n g , a n dt h ea u d i t i o no fa c t i o n i nt h ef i e l do fm o d e r nf i n a n c i a li n f o r m a t i o n , a l lk i n d so f f i n a n c i a la c t i v i t i e s ，f o re x a m p l e , t h ee u n e n c yi s s u e , c i r c u l a t i o na n dr e t u r n ，m o n e y l e n d i n g , f o r e i g ne x c h a n g e ，g o l da n ds i l v e rt r a d i n go fv a r i o u ss e c u r i t i e s ，t h ei s s u a n c e a n dt r a d i n g ，b i l l sd i s c o u n t i n g , t r u s t ，i n s u r a n c e ，c t c ，w o u l dm a k eu s co fi n f o r m a t i o n s y s t e m s m a n yr e s o u r c e si nf i n a n c i a li n f o r m a t i o ns y s t e mn e e d sc a r e f u lp r o t e c t i o na s a ni l l e g a li n t r u s i o nw o u l dc a u s es i g n i f i c a n tl o s s e s t h e r e f o r e , r e s e a r c ho nf i n a n c i a l i n f o r m a t i o ns y s t e ma c c e s sc o n t r o li so fg r e a ts i g n i f i c a n c e t h ea r t i c l ed e s c r i b e st h eb a s i cc o n c e p ta b o u ta c c e s sc o n t r o l ，d e s i g np r i n c i p l ea n d s o m ew i d e l yu s e dm o d e la n df r a m e w o r k ,i n c l u d i n gm a n d a t o r ya c c e s sc o n t r o l ， d i s c r e t i o n a r ya c c e s sc o n t r o l ，a n dr o l eb a s e da c c o s sc o n t r 0 1 i tw i l lf o c u so nt h eb a s i c c h a r a c t e r i s t i c s ，t h eg e n e r a la p p l i c a b l ee n v i r o n m e n t ，t h ei m p l e m e n t a t i o na n dt h e n e g a t i v ei m p a c to fr o l eb a s e da c c e s sc o n t r 0 1 b a s e do nt h ep r o j e c t f e a t u r eo f c o m p l i a n c er e p o r t i n gs y s t e m ，d e s i g nt h e a c c e s sc o n t r o lm e c h a n i s m s ，i n c l u d i n g i d e n t i t ya u t h e n t i c a t i o n ，p a g ea c c e s sc o n t r o l ，r c pa l e r tr e c e i v ep e r m i s s i o ng r a n t , p a s s w o r dm a n a g e m e n t ，d y n a m i cn a v i g a t i o na n ds oo n k e yw o r d s ：a c c e s sc o n t r o l ，a u t h e n t i c a t i o n , a u t h o r i z a t i o n , p e r m i s s i o ng r a n t 浙江大学硕士学位论文图目录 图目录 图2 i 访问控制的过程4 图2 2b e l l l a p a d u l a 安全模型9 图2 3b i b a 安全模型9 图3 1 用户，角色，许可1 3 图3 2 权限继承的例子1 5 图3 3 典型r b a c 的系统架构1 8 图3 4i m a c 运行步骤1 9 图3 5 访问冲突2 l 图4 1 股票交易监控系统示意图2 3 图4 2s t r u t s 结构2 8 图4 3 股票交易监控系统相关模块3 0 图4 6w e b 分层视图3 5 图4 7 业务流程图3 7 图5 1 监控系统的保密交易数据3 9 图5 2s i t e m i n d e r 与应用系统的关系4 0 图5 3s i t e m i n d e r 认证过程4 l 图5 4 用户a c t o r 分布4 2 图5 5 交易负责人的职责。4 3 图5 6 系统定义的角色4 4 图5 7a c t o r 与r o l e 之间的对应关系4 4 图5 8r c p 客户端架构图5 0 图5 9r c p 客户端g u i 界面5l 图5 1 0 导航视图显示流程5 3 图6 1i m a c 3 模型5 7 m 浙江大学硕士学位论文 浙江大学研究生学位论文独创性声明 浙江大学研究生学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得浙江大学或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文作者躲涉西凌签字嗍弼年么月7 日 学位论文版权使用授权书 本学位论文作者完全了解浙江大学有权保留并向国家有关部门或机 构送交本论文的复印件和磁盘，允许论文被查阅和借阅。本人授权浙江大学 可以将学位论文的全部或部分内容编入有关数据库进行检索和传播，可以采用影 印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 导师签名： 凯钐 签字吼郴年占月7 日签字魄纱骆月乙汐日 第1 页 浙江大学硕士学位论文第1 章绪论 1 1 研究背景 第1 章绪论 信息技术和信息产业正在改变传统的生产、经营和生活方式，信息已成为社 会发展的重要战略资源。电子商务、网上银行、电子证券、网络防伪、网上交易、 网络会议等网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方 面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强，信息网络已经 成为社会发展的重要保证。在计算机应用日益广泛和深入的同时，计算机网络的 安全问题日益复杂和突出。网络的脆弱性和复杂性增加了威胁和攻击的可能性。 随着大规模企业应用程序的广泛应用，如何做好信息资源的有效保护，防止 非法入侵和未授权访问就显得越来越重要，信息安全特别是访问控制已经成为很 多企业应用项目里非常重要的一个模块，尤其是在金融行业。随着金融信息化的 加剧，信息系统的规模逐步扩大，金融信息资产的数量急剧增加，如何对这些资 产进行保护是一个严峻的挑战。 1 2 论文内容 本文主要论述了在信息系统中如何做好信息的有效安全访问，通过对某公司 的股票交易监控系统的分析，总结出在实际的大型企业应用中做好访问控制的重 要性，以及如何运用高效的访问控制模型的方法。 首先介绍了访问控制的基本概念，什么背景下特别要注意做好访问控制，有 哪些过程，以及常见的访问控制模型。并对其中一种访问控制模型，基于角色的 访问控制模型做了稍微重点的论述和分析。这种模型的概念，特点，实现方法以 及用这种模型的缺点。本文还介绍了某公司的股票交易监控系统，分析了项目特 点，并结合特点来阐述项目中的访问控制实现。然后做出总结，提出论文的研究 成果。 1 3 论文目标 这篇文章通过对大型企业应用中的访问控制的分析，论述了金融信息系统中 浙江大学硕士学位论文第1 章绪论 的访问控制是非常重要的一个模块，可以用基于角色的访问控制模型来有效地实 现，并且保持了很好的可扩展性和灵活性，以后系统需求有所变化，只需要很少 的改动就可以满足需求，而且作为一个相对独立的模块，可以在其他的信息系统 中加以重用。 1 4 组织结构 本文第一章绪论是这篇文章的纲领，综述了论文的研究背景，论文的内容以 及目标。第二章主要介绍了访问控制的基本概念。先介绍了信息安全的风险和现 状，接着从验证，授权，审计三个方面讲述了访问控制的过程，然后介绍了三种 常见的访问控制的模型，强制访问控制，自主访问控制和基于角色的访问控制。 第三章就基于角色的访问控制展开来讲，比较详细地论述了这个模型的特点，实 现，缺点等。第四章介绍了股票交易监控系统，讲述了这个项目使用的一些主要 技术，系统架构，以及项目的特点。第五章就股票交易监控系统中访问控制这一 块来展开讲，结合基于角色访问控制的模型，论述了如何结合项目的特点来实现 这个模型。 羹 浙江大学硕士学位论文第2 章访问控制的基本概念 第2 章访问控制的基本概念 访问控制是对信息系统资源进行保护的重要的措施，互联网的迅速发展给各 种w e b 应用系统带来了巨大的应用空间，数据库系统是各种w e b 应用系统最为 核心的组成部分，担负着信息资源存储和管理的任务。由于互联网的开放性和功 能丰富性使得w e b 系统在对数据资源的管理上面临诸多挑战。如大量分散的用 户在不同的时间对数据库中的数字资源进行访问，在访问控制过程中对数字资源 具有不同的使用行为以及客户端用户对数字资源下载后无视版权的任意分发等， 都给w e b 数据库的访问控制管理带来了难度。 2 1 信息安全的介绍 信息安全指的是保护信息和信息系统，以防止未授权的入侵，使用，泄密， 破坏，修改或者毁坏。网络信息系统是一个服务开放、信息共享的系统，因而网 络信息安全具有如下特征：安全的不确定性和动态性网络要受到来自内、外网不 同身份、不同应用需求的用户访问使用，其网络安全受到多方面因素的制约和影 响。综合性网络信息安全并非是个单纯的技术层面的问题，它还涉及到内部管理、 外部环境、用户水平等各个方面，必然把每个环节紧密联系起来，统筹考虑。不 易管理的网络信息安全相对于“用户至上 而言是相互矛盾的。因此，网络信息 安全与用户之间需要一个平衡，通过不同技术的控制手段和管理相互结合来实现 最佳效果。信息安全的核心原则大概可以归结为三个，那就是机密性 ( c o n f i d e n t i a l i t y ) ，完整性( i n t e g r i t y ) 和可用性( a v a i l a b i l i t y ) 。 机密性：确保信息在存储、使用、传输过程中不会泄露给非授权用户或 实体。 完整性：确保信息在存储、使用、传输过程中不会被非授权篡改，防止 授权用户或实体不恰当的修改信息，保持信息内部和外部的一致性。 可用性：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝， 允许其可靠而及时地访问信息及资源。 当前计算机技术已经遍及到国民经济的各个领域，数据库技术更是在金融、 军事等方面得到了广泛应用。通常存储着大量保密性的信息，若这些数据库中的 浙江大学硕士学位论文第2 章访问控制的基本概念 数据遭到破坏，造成的损失难以估量，所以信息安全是信息系统在运行过程中一 个不可忽视的问题。 2 2 访问控制的过程 访问是使信息在主体和对象间流动的一种交互方式。主体是指主动的实体， 该实体造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。对 象是指包含或接受信息的被动实体。对对象的访问意味着对其中所包含信息的访 问。广义的对象通常包括记录、块、页、段、文件、目录、目录树和程序以及位、 字节、字、字段、处理器、显示器、键盘、时钟、打印机和网络节点。 访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些 资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控 制的手段包括用户识别代码、口令、登录控制、资源授权( 例如用户配置文件、 资源配置文件和控制列表) 、授权核查、日志和审计，如图2 1 所示。 图2 1 访问控制的过程 验i 正( a u t h e n t i c a t i o n ) 验证是核实某人自己声称的身份的过程。一般来讲，最常见的都是通过让用 户提供用户名和密码来实现，比如银行取款，操作系统登陆，网上虚拟社区等； 而实际上可以包含任何证明身份的办法，比如说智能卡，视网膜扫描，语音识别 或者指纹识别等。这些验证方法都可以从某种程度上做到防止非法的访问的目 的，不过并不总是可以做到这一点。身份验证经常伴随着密码遗失，验证失败等 4 浙江大学硕士学位论文第2 章访问控制的基本概念 问题，需要进一步研究实现。 在b s 的系统中，为识别用户身份，通常使用的技术策略为用户名密码登 录。现在，非常多的验证系统都用h t t p s 协议来实现，这样可以大大增加系统 的安全等级。h t t p s 就是在普通的h r r p 协议中加入了s s l 加密过程，用户的 用户名，密码等认证信息可以更为安全地传递到服务器进行验证。有些虚拟社区 除了用户名密码，用户还需要提供安全验证码。安全验证码是一个在用户注册时 提供的特定问题的答案，问题答案对作为一个整体，加密后存入数据库。只有用 户提供了正确的问题和正确的答案，安全验证码才能正确匹配，作为除了用户名 密码以外的第三个验证信息。 用户登录成功以后，用户的身份记录在s e s s i o n 中，也就是当用户登录时即 获取用户的身份信息，并将其记录到s e s s i o n 里，当访问某个系统模块需要进行 身份认证的时候通过从s e s s i o n 中获取用户的身份信息并同时判断用户的会话 是否过期，来实现用户的身份认证。 授权( a u t h o r i z a t i o n ) 授权最初的意思是指上级把自己的职权授给下属，使下属拥有相当的自主权 和行动权。有点类似委派的意思，赋予某人自己的权利，来替自己完成某个任务。 比如古代帝王的手谕，领导的亲笔签字，这些都可以作为授权的根据。所以，授 权具有三个特征：首先，其本质就是上级对下级的决策权力的下放过程，也是职 责的再分配过程。其次，授权的发生要确保授权者与被授权者之间信息和知识共 享的畅通，确保职权的对等，确保受权者得到必要的技术培训。三是授权是动态 变化的。只有正确的必要的授权才能更好地提供服务，授权又不可以过多，否则 就会出现滥用职权。 在信息系统中，授权是指当用户经过身份验证的过程，已经证明了自己的身 份以后，系统根据授权规则决定用户是否有访问某种资源的权利。在这里，授权 的主体是系统，系统的程序决定了用户可以访问系统的某些资源，可以说系统是 权利最大者，而授权的被动方是系统的用户，也就是系统的下级。一般操作系统 中的比较简单的方法可以是比较用户和资源的安全级别，只有用户的级别高于资 源的级别，才可以进行访问。否则，如果资源的安全级别比用户高，这些资源相 浙江大学硕士学位论文第2 章访问控制的基本概念 对用户来说就是保密的资源，不可以访问。还有很多其他的复杂的授权模型可以 借鉴，参考2 4 节。 审计( a u d i t ) 审计这个词是从会计中派生出来的，审计的主要对象是会计资料及其所反映 的财政、财务收支活动。任何审计都具有三个基本要素，即审计主体、审计客体 和审计授权或委托人。审计主体，是指审计行为的执行者，即审计机构和审计人 员，为审计第一关系人；审计客体，指审计行为的接受者，即指被审计的资产代 管或经营者，为审计第二关系人；审计授权或委托人，指依法授权或委托审计主 体行使审计职责的单位或人员，为审计第三关系入。审计作为一种监督机制，有 独立性权威性，公正性等特征。 信息系统里的审计指的是记录系统用户的操作，特别是重要的操作，比如转 账，订单交易等。以防万一出现问题，可以根据审计日志来查找蛛丝马迹。就 j 2 e e 平台上的系统来讲，审计可以简单地由系统日志来实现。一些第三方的日 志工具比如l 0 9 4 j 都可以很方便地记录不同安全级别的日志，可以把低级别的日 志作为开发人员调试信息，比较高级别的日志作为产品环境下的审计信息，最高 级别的错误信息则需要产生警报信息让维护人员采取及时的措施，比如给支持 人员发送邮件通知，等等。 2 3 访问控制的原则 访问控制是个比较大的概念，唯一的目的是阻止非法的访问。要做好访问控 制的过程，必需遵从一些访问控制的原则： 2 3 1 最小特权原则 最小特权原则是系统安全中最基本的原则之一。所谓最小特权( l e a s t p r i v i l e g e ) ，指的是在完成某种操作时所赋予网络中每个主体( 用户或进程) 必 不可少的特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。 最小特权原则一方面给予主体必不可少的特权，这就保证了所有的主体都能 在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体必 不可少的特权，这就限制了每个主体所能进行的操作。 6 浙江大学硕士学位论文第2 章访问控制的基本概念 最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权，而角 色允许主体以参与某特定工作所需要的最小特权去登录系统。被授权拥有强力角 色的主体，不需要动辄运用到其所有的特权，只有在那些特权有实际需求时，主 体才去运用它们。如此一来，将可减少由于不注意的错误或是侵入者假装合法主 体所造成的损坏发生，限制了事故、错误或攻击带来的危害。它还减少了特权程 序之间潜在的相互作用，从而使对特权无意的、没必要的或不适当的使用不太可 能发生。这种想法还可以引申到程序内部，只有程序中需要那些特权的最小部分 才拥有特权。 2 3 2 多人负责原则 即授权分散化，对于关键的任务必须在功能上进行划分，由多人来共同承担， 保证没有任何个人具有完成任务的全部授权或信息。如将责任作分解使得没有一 个人具有重要密钥的完全拷贝。这样多人之间还可以起到相互监督的作用，不同 的人各司其职，不至于重要的权利过分集中，导致意外情况的出现。这个原则虽 然是从现实社会中的授权过程总结出来的，却同样适用于信息系统中的用户授 权。比如，现在很多设计架构师都反对设计出超级管理员的角色，这个角色就相 当于一个权利过分集中的人，像古代的帝王一样，非常不利于授权的管理，发生 意外权利的泄露也容易。设计的原则就是细分系统权利，授权给不同的角色。 2 3 3 职责分离原则 职责分离是保障安全的一个基本原则。职责分离是指将不同的责任分派给不 同的人员以期达到互相牵制，职责分离是指通过合理的组织分工以达到相互牵 制、相互监督的作用，指有明确的分工、授权和建立岗位责任制，企业应根据合 理分工的原则，尽量将不同的工作岗位分派给不同的人员来担任，在内部岗位、 职员之间形成内部牵制，消除一个人执行两项不相容的工作的风险。例如收款员、 出纳员、审计员应由不同的人担任。计算机环境下也要有职责分离，为避免安全 上的漏洞，有些许可不能同时被同一用户获得。 2 4 访问控制模型 访问控制在各种应用系统中使用非常广泛，几乎任何与用户有交互的系统都 7 浙江大学硕士学位论文第2 章访问控制的基本概念 需要进行访问控制，在长期的设计过程中，不少人总结出了一系列的访问控制的 模型。访问控制模型是用于规定如何做出访问决定的模型。传统的访问控制模型 包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体( s ) 、一组 对象( o ) 、一组访问权包括读、写、执行和拥有。访问控制模型涵盖对象、主 体和操作，通过对访问者的控制达到保护重要资源的目的。对象包括终端、文本 和文件，系统用户和程序被定义为主体。操作是主体和对象的交互。访问控制模 型除了提供机密性和完整性外，还提供记账性。记账性是通过审计访问记录实现 的，访问记录包括主体访问了什么对象和进行了什么操作。常见的模型包括强制 访问控制，自主访问控制和基于角色的访问控制。 2 4 1 强制访问控制 强制访问控制( m a n d a t o r y a c c e s sc o n t r o l ，即m a c ) 是“强加给访问主体的， 即系统强制主体服从访问控制政策。强制访问控制的主要特征是对所有主体及其 所控制的客体( 例如：进程、文件、段、设备) 实施强制访问控制。为这些主体 及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强 制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能 够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记，从而 系统可以防止特洛伊木马的攻击。 强制访问策略将每个用户及文件赋予一个访问级别，如最高秘密级( t o p s e c r e t ) ，秘密级( s e c r e t ) ，机密级( c o n f i d e n t i a l ) 及无级别级( u n c l a s s i f i e d ) 。 其级别为t s ( my ，系统根据主体和客体的敏感标记来决定访问模式。访问模 式包括： 下读( r e a dd o w n ) ：用户级别大于文件级别的读操作； 上写( w r i t eu p ) ：用户级别小于文件级别的写操作； 下写( w r i t ed o w n ) ：用户级别大于文件级别的写操作； 上读( r e a du p ) ：用户级别小于文件级别的读操作； 依据b e l l l a p a d u l a 安全模型所制定的原则是利用不上读不下写来保证数据 的保密性【l 】。如图8 1 ，即不允许低信任级别的用户读高敏感度的信息，也不允 许高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问 浙江大学硕士学位论文 第2 章访问控制的基本概念 控制通过这种梯度安全标签实现信息的单向流通。如图2 2 所示。 主体客体主体 客体 i t o ps e c z e t i 禁止读一t o ps e c r e t i i t o ps e c r e t 允幅一r l t o ps e c x e t iu n c k s i f a di 允许读叫匝固匪蚤函禁止写叫匝固 依据b i b a 安全模型所制定的原则是利用不下读不上写来保证数据的完整性 【2 】。见图8 2 。在实际应用中，完整性保护主要是为了避免应用程序修改某些重 要的系统程序或系统数据库。b i b a 安全模型如图2 3 所示。 i n t e g r it y酴 固淤 i n t e g r it y酴 固蔚 图2 3b i b a 安全模型 强制访问控制通常用于多级安全军事系统，一般与自主访问控制( 见2 4 2 节) 结合使用，并且实施一些附加的、更强的访问限制。一个主体只有通过了自 主与强制性访问限制检查后，才能访问某个客体。用户可以利用自主访问控制来 防范其它用户对自己客体的攻击，由于用户不能直接改变强制访问控制属性，所 以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然 或故意地滥用自主访问控制。 强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统并不那 么有效。一般强制访问控制采用以下几种方法： 1 ) 限制访问控制： 9 貅一雌一一一一一h一 貅一雌一一一h 浙江大学硕士学位论文 第2 章访问控制的基本概念 一个特洛伊木马可以攻破任何形式的自主访问控制，由于自主控制方式允许 用户程序来修改他拥有文件的存取控制表，因而为非法者带来可乘之机。m a c 可以不提供这一方便，在这类系统中，用户要修改存取控制表的唯一途径是请求 一个特权系统调用。该调用的功能是依据用户终端输入的信息，而不是靠另一个 程序提供的信息来修改存取控制信息。 2 ) 过程控制： 在通常的计算机系统中，只要系统允许用户自己编程，就没办法杜绝特洛伊 木马。但可以对其过程采取某些措施，这种方法称为过程控制。例如，警告用户 不要运行系统目录以外的任何程序。提醒用户注意，如果偶然调用一个其它目录 的文件时，不要做任何动作，等等。需要说明的一点是，这些限制取决于用户本 身执行与否。 3 ) 系统限制： 要对系统的功能实施一些限制。比如，限制共享文件，但共享文件是计算机 系统的优点，所以是不可能加以完全限制的。再者，就是限制用户编程。不过这 种做法只适用于某些专用系统。在大型的，通用系统中，编程能力是不可能去除 的。 2 4 2 自主访问控制 自主访问控$ 1 ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，即d a c ) 的核心就是自主访 问，其含义是有访问许可的主体能够直接或间接地向其他主体转让访问权【引。自 主访问控制是在确认主体身份以及( 或) 它们所属的组的基础上，控制主体的活 动，实施用户权限管理、访问属性( 读、写、执行) 管理等，是一种最为普遍的 访问控制手段。自主访问控制的主体可以按自己的意愿决定哪些用户可以访问他 们的资源，亦即主体有自主的决定权，一个主体可以有选择地与其它主体共享他 的资源。 基于访问控制矩阵的访问控制表( a c l ) 是d a c 中通常采用一种的安全机 制。a c l 是带有访问权限的矩阵，这些访问权是授予主体访问某一客体的。安 全管理员通过维护a c l 控制用户访问企业数据。对每一个受保护的资源，a c l 1 0 浙江大学硕士学位论文 第2 章访问控制的基本概念 对应个人用户列表或由个人用户构成的组列表，表中规定了相应的访问模式。当 用户数量多、管理数据量大时，由于访问控制的粒度是单个用户，a c l 会很庞 大。当组织内的人员发生能变化( 升迁、换岗、招聘、离职) 、工作职能发生变 化( 新增业务) 时，a c l 的修改变得异常困难。采用a c l 机制管理授权处于一 个较低级的层次，管理复杂、代价高以至易于出错。 d a c 的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予 其它主体或者从其它主体收回所授予的权限，访问通常基于访问控制表( a c l ) 。 访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的 访问权。d a c 的缺点是信息在移动过程中其访问权限关系会被改变。如用户a 可将其对目标o 的访问权限传递给用户b ，从而使不具备对o 访问权限的b 可 访问o 。 为了实现完备的自主访问控制系统，由访问控制矩阵提供的信息必须以某种 形式存放在系统中。访问矩阵中的每行表示一个主体，每一列则表示一个受保护 的客体，而矩阵中的元素，则表示主体可以对客体的访问模式。目前，在系统中 访问控制矩阵本身，都不是完整地存储起来，因为矩阵中的许多元素常常为空。 空元素将会造成存储空间的浪费，而且查找某个元素会耗费很多时间。实际上常 常是基于矩阵的行或列来表达访问控制信息。 2 4 3 基于角色的访问控制 以上两种访问控制模型的共同缺点就是在大型应用中缺乏足够的灵活性，可 扩展性不好，维护性能差。基于角色的访问控带i ( r o l eb a s e da c c e s sc o n t r o l ，即 r b a c ) 的是实施面向企业安全策略的一种有效的访问控制方式。其基本原理是， 对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之 间建立一个角色集合【3 1 。每一种角色对应一组相应的权限。一旦用户被分配了适 当的角色后，该用户就拥有此角色的所有操作权限。这样做的好处是，不必在每 次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色 的权限变更比用户的权限变更要少得多，这样将简化用户的权限管理，减少系统 的开销。下一章就这种访问控制模型来进行介绍。 浙江大学硕士学位论文 第2 章访问控制的基本概念 2 5 本章小节 本章介绍了访问控制的基本现状和重要性。在企业级信息系统特别是网页应 用程序中，有很多常见安全漏洞( v u l n e r a b i l i t y ) 要值得特别注意，比如跨网站 脚本( c r o s ss i t es c r i p t , x s s 漏洞) ，注入缺陷( r e j e c t i o nf l a w ) ，不完整的认证 和会话管理( b r o k 衄a c c o u n ta n ds e s s i o nm a n a g e m e n t ) ，不当的异常捕获导致信 息泄露等等。系统的攻击者经常对这些漏洞进行攻击，来达到破坏系统的目的， 在设计信息系统的时候，如何有针对性的预防这些漏洞攻击的发生，设计出安全 性高的系统，是开发和设计人员需要密切注意的一个方面。 对系统做好访问控制是这些安全防范中很重要的一部分，可以说是从源头上 阻止了x s s 、注入等攻击，因为经过访问控制最后进入系统的都是合法用户，客 观上不具备非法攻击的可能性。 1 2 浙江大学硕士学位论文第3 章基于角色的访问控制 第3 章基于角色的访问控制 3 1r b a c 模型的概念 基于角色的访问控制( r o l eb a s e da c c e s sc o n t r o l ，即r a a c ) 的基本思想是， 授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。r b a c 中 许可被授权给角色，角色被授权给用户，用户不直接与许可关联。r b a c 对访问 权限的授权由管理员统一管理，r b a c 根据用户在组织内所处的角色做出访问授 权与控制，授权规定是强加给用户的，用户不能自主地将访问权限传给他人，这 是一种非自主型集中式访问控制方式【3 1 。 3 1 1 用户、角色、许可 基于角色访问控制的要素包括用户、角色、许可等基本定义。在r b a c 中， 用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其他资源的 主体。角色是指一个组织或任务中的工作或者位置，它代表了一种权利、资格和 责任。许可( 特权) 就是允许对一个或多个客体执行的操作。一个用户可经授权 而拥有多个角色，一个角色可由多个用户构成；每个角色可拥有多种许可，每个 许可也可授权给多个不同的角色。每个操作可施加于多个客体( 受控对象) ，每 个客体也可以接受多个操作。如图3 1 所示。 图3 1 用户，角色，许可 用户表( u s e r s ) 包括用户标识、用户姓名、用户登录密码。用户表是 系统中的个体用户集，随用户的添加与删除动态变化。 角色表( r o l e s ) 包括角色标识、角色名称、角色基数、角色可用标识。 角色表是系统角色集，由系统管理员定义角色。 客体表( o b j e c t s ) 包括对象标识、对象名称。客体表是系统中所肴受 浙江大学硕士学位论文第3 章基于角色的访问控制 控对象的集合。 操作算子表( o p e 黜盯i o n s ) 包括操作标识、操作算子名称。系统中所 有受控对象的操作算子构成操作算子表。 许可表( p e 砌m s s i o n s ) 包括许可标识、许可名称、受控对象、操作标 识。许可表给出了受控对象与操作算子的对应关系。 角色许可授权表包括角色标识、许可标识。系统管理员通过为角色分配 或取消许可管理角色许可授权表。 在r b a c 中，用户标识对于身份认证以及审计记录是十分有用的；但真正 决定访问权限的是用户对应的角色标识。用户能够对一客体执行访问操作的必要 条件是，该用户被授权了一定的角色，其中有一个在当前时刻处于活跃状态，而 且这个角色对客体拥有相应的访问权限。即r b a c 以角色作为访问控制的主体， 用户以什么样的角色对资源进行访问，决定了用户可执行何种操作。 a c l 直接将主体和受控客体相联系，而r b a c 在中间加入了角色，通过角 色沟通主体与客体。分层的优点是当主体发生变化时，只需修改主体与角色之间 的关联而不必修改角色与客体的关联。 3 1 2 角色继承 为了提高效率，避免相同权限的重复设置，r b a c 采用了“角色继承的概 念【1 2 1 。定义了这样的一些角色，它们有自己的属性，但可能还继承其他角色的 许可。角色继承把角色组织起来，能够很自然地反映组织内部人员之间的职权、 责任关系。角色继承可以用祖先关系来表示。如图所示，角色2 是角色1 的“父 亲”，它包含角色1 的许可。在角色继承关系图中，如图3 2 所示，处于最上面 的角色拥有最大的访问权限，越下端的角色拥有的权限越小。 1 4 浙江大学硕士学位论文第3 章基于角色的访问控制 图3 2 权限继承的例子 角色层次表包括上一级角色标识、下一级角色标识。上一级角色能够继承下 一级角色的许可。 3 1 3 角色分配与授权 用户角色分配表包括用户标识、角色标识。系统管理员通过为用户分配角 色、取消用户的某个角色等操作管理用户角色分配表。 用户角色授权表包括用户标识、角色标识、可用性。我们称一个角色r 授 权给一个用户u 要么是角色r 分配给用户u ，要么是角色r 通过一个分配给用户 u 的角色继承而来。用户角色授权表记录了用户通过用户角色分配表以及角色 继承而取得的所有角色。可用性为真时，用户才真正可以使用该角色赋予的许可。 3 1 4 角色限制 角色限制包括角色互斥与角色基数限制。对于某些特定的操作集，某一个用 户不可能同时独立地完成所有这些操作。角色互斥可以有静态和动态两种实现方 式。静态角色互斥：只有当一个角色与用户所属的其他角色彼此不互斥时，这个 角色才能授权给该用户。动态角色互斥：只有当一个角色与一个主体的任何一个 当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色。 静态互斥角色表包括角色标识1 、角色标识2 。系统管理员为用户添加角 色时参考。 动态互斥角色表包括角色标识1 、角色标识2 。在用户创建会话选择活跃 角色集时参考。 1 5 浙江大学硕士学位论文第3 章基于角色的访问控制 角色基数限制是指在创建角色时，要指定角色的基数。在一个特定的时间段 内，有一些角色只能由一定人数的用户占用。 3 1 5 角色激活 用户是一个静态的概念，会话则是一个动态的概念。一次会话是用户的一个 活跃进程，它代表用户与系统交互。用户与会话是一对多关系，一个用户可同时 打开多个会话。一个会话构成一个用户到多个角色的映射，即会话激活了用户授 权角色集的某个子集，这个子集称为活跃角色集。活跃角色集决定了本次会话的 许可集。会话表包括会话标识、用户标识。会话的活跃角色表包括会话标识、角 色标识。 3 2 衄a c 的特点 3 2 1 基本特点 将用户划分成与其职能和职位相符合的角色，将权限授予角色而不是直接 授予主体，主体通过角色分派得到客体操作权限，从而实现授权。减少了授权管 理的复杂性，降低了管理开销，为管理员提供了一个比较好的实现安全政策的环 境。 安全策略实质上表明的是所论的那个系统在进行一般操作时，在安全范围内 什么是允许的，什么是不允许的。 不像a c l 只支持低级的用户许可关系，r b a c 支持角色许可、角包角色 的关系，由于r b a c 的访问控制是在更高的抽象级别上进行的，系统管理员可 以通过角色定义、角色分配、角色设置、角色分层、角色限制来实现组织的安全 策略。 1 ) 通过角色定义、分配和设置适应安全策略 系统管理员定义系统中的各种角色，每种角色可以完成一定的职能，不同的 用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则 此用户可以完成该角色所具有的职能。根据组织的安全策略特定的岗位定义为特 定的角色、特定的角色授权给特定的用户。例如可以定义某些角色接近d a c ， 1 6 j l i 江大学硕士学位论文 第3 章基于角色的访问控制 某些角色接近m a c 。系统管理员也可以根据需要设置角色的可用性以适应某一 阶段企业的安全策略，例如设置所有角色在所有时间内可用、特定角色在特定时 间内可用、用户授权角色的子集在特定时间内可用。 系统建立起来后，主要的管理工作即为授权或取消用户的角色。用户的职责 变化时，改变授权给他们的角色，也就改变了用户的权限。当组织的功能变化或 演进时，只需删除角色的旧功能、增加新功能，或定义新角色，而不必更新每一 个用户的权限设置。这些都大大简化了对权限的理解和管理。 2 ) 通过角色分层映射组织结