（计算机科学与技术专业论文）iam系统的设计与实现.pdf

北京邮电大学硕士研究生毕业论文 i a m 系统的设计与实现 i a m 系统的设计与实现 摘要 随着信息技术的飞速发展，企业内部应用系统及其用户数量都在 不断地增加。大多数的应用系统一般都有各自独立的用户信息数据， 用于系统的账号管理、认证、授权以及审计。这种模式降低了用户的 效率并且可能带来一些安全隐患，信息安全问题愈见突出。 本课题首先对访问控制的几种模型以及a a a a ( a c c o u n t 、 a u t h e n t i c a t i o n 、a u t h o r i z a t i o n 、a u d i t ) 技术框架进行了全面的研究和 分析，在此基础上针对国内某通信运营商提出了对企业内部应用系统 进行a a a a 改造的想法，并进行了深入的可行性分析，从而设计并实 现了一套基于角色的身份识别和访问管理( i a m ：i d e n t i t ya n d a c c e s s m a n a g e m e n t ) 系统。系统的特点主要是实现了对账号、认证、授权、 审计的统一管理以及单点登录功能，从而弥补了上面所提及的各应用 系统的缺点，使得系统能够在安全、高效的环境下正常运行。 本课题取得的主要成果有：提出并实现了i a m 系统框架结构，从 而将企业内部应用层面的账号完全纳入到a a a a 框架中，实现了对应 用系统账号的统一管理；实现了对应用系统的统一认证和统一鉴权； 实现了对用户行为的统一审计，此外还实现了系统层面上的单点登录 功能，使得用户一次登录便可在不同应用系统之间进行跳转，而不需 要再次认证。 关键词：角色a a a a 权限访问控制单点登录 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 d e s i g na n di m p l e m e n t a t i o no fi a ms y s t e m a b s t r a c t a st h er a p i dd e v e l o p m e n to ft h ei n f o r m a t i z a t i o n , t h en u m b e ro ft h es y s t e m si n e n t e r p r i s e sa n dt h es y s t e mu s e r si n c r e a s ec o n t i n u a l l y a tt h ep r e s e n ts t a g e ，m o s to f t h ea p p l i c a t i o ns y s t e m sh a v et h e i rr e s p e c t i v ei n f o r m a t i o nd a t a , w h i c hi sr e s p o n s i b l e f o rt h em a n a g e m e n to ft h ea c c o u n t ，a u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，a n da u d i t i n g s o s o m ep o t e n t i a ls a f e t yh a z a r d sa r eb r o u g h ta n dn s e l 笃e f f i c i e n c yi sr e d u c e d t h i ss u b j e c tf i r s tg a v ead e e ps t u d ya n da n a l y s i st os e v e r a la c c e s sc o n t r o l m o d e l sa n dt h ea a a a ( a c c o u n t 、a u t h e n t i c a t i o n 、a u t h o r i z a t i o na n da u d i t ) f r a m e w o r k i nt h i sb a s ep r e s e n t e da a a ar e c o n s t r u c t i o no ft h ei n t e r n a la p p l i c a t i o n s y s t e mr e q u i r e m e n tf r o ms o m en e t w o r ko p e r a t o rn a t i o n w i d e ，c o n t e m p o r a r i l y , w e d i df e a s i b i l i t ya n a l y s i s ，a n dt h e nw ed e s i g n e da n dr e a l i z e dar o l e b a s e di d e n t i f ya n d a c c e s sm a n a g e m e n t ( 队m ) s y s t e m t h i ss y s t e m sp r i m a r yc h a r a c t e r sa r et h eu n i f i e d a c c o u n t m a n a g e m e n t ，t h e u n i f i e da u t h e n t i c a t i o n m a n a g e m e n t ，t h e u n i f i e d a u t h o r i z a t i o nm a n a g e m e n t ，t h eu n i f i e da u d i t i o na n dt h es i n g l es i g no n ( s s o ) ， w h i c hc a nc o r r e c tt h es h o r t a g ep r e s e n t i n gi na b o v ep a r a g r a p ha n dm a k et h es y s t e m r u n i n gi ns a f ea n dh i g h l ya c t i v ee n v i r o n m e n t w ep r e s e n t e da n dr e a l i z e dt h e 队ms y s t e m sc o n s t r u c t i o n ，w h i c hb r i n g e d a c c o u n t sm a n a g e m e n tw h i c hi sa tt h ee n t e r p r i s ei n t e r n a la p p l i c a t i o nl a y e ri n t ot h e a aaaf r a m e ，u n i f i e dm a n a g e m e n tf o r a p p l i c a t i o ns y s t e m s a c c o u n t s ， u n i f i e d a u t h e n t i c a t i o na n da u t h o r i z a t i o nf o ra p p l i c a t i o ns y s t e m s ，u n i f i e da u d i t i n gf o ru s e r s a c t i o n b e s i d e s ，w ea l s or e a l i z e dss oa ts y s t e ml a y e r , w h i c hm a k e su s e r s s i n g l e e n t r yc o u l ds i k pt oa n y d i f f e r e n ta p p l i c a t i o ns y s t e m ，w i t h o u te n t r y i n ga g a i n k e yw o r d s ：r o l ea a a ap e r m i s s i o na c c e s sc o n t r 0 1s s o 北京邮电大学硕士研究生毕业论文 i a m 系统的设计与实现 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：鸯厶盏垃 日期：益旦艺：墨：! z 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期问论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 本学位论文不属于保密范围，适用本授权书。 本人签名； 怨蜀k 日期： 导师签名： 阳7 3 f7 日期：逊呈：三，12 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 1 1 研究背景 第一章绪论 随着计算机网络技术的迅猛发展和网络应用的迅速增加，网络已经渗透到人 们生活的方方面面，成为人们日常生活中不可或缺的一部分。在人们享受着网络 带来便捷的同时，信息安全问题也日益突出。 当提及信息安全，人们首先想到的往往是防火墙、漏洞扫描、入侵检测、数 据加密等安全防御产品。随着电子商务、电子政务的发展以及企业将内部资源不 同程度地向客户、合作伙伴以及员工开放，对于企业至关重要的信息安全也越发 重要。电子商务、电子政务以及企业内部应用系统不但需要保护系统资源不受侵 犯，更需要给适当的访问者提供适当的服务，这就要求系统必须能够控制哪些访 问者能够访问系统的信息，访问者访问的是什么信息，访问者对他所访问的数据 拥有什么样的权限。这涉及到网络安全的重要内容：权限管理与访问控制。 随着企业的发展，各种新的应用系统不断地被应用于企业的管理之中。伴随 着新系统的加入，用户的数量也在不断的增加。现有的账号管理、访问控制以及 审计方式在业务系统和用户数目增多时，不仅需要占用大量的资源，而且给系统 管理带来很大的人力开销，已经远远不能满足企业自身业务的发展，迫切的需要 一套能够提供统一账号管理、统一认证、统一授权和统一审计的系统。 1 2 国内外研究的现状 i a m ( i d e n t i t ya n da c c e s sm a n a g e m e n t ：身份识别和访问管理) 系统所基 于的两大技术：基于角色的访问控制【l 】( r b a c ：r o l e b a s e da c c e s sc o n t r 0 1 ) 和 a a a a ( 或称4 a ) 技术，在国内外都进行了大量的研究。 国外的许多机构，包括美国国家标准与技术研究所( n i s t ：n a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ) 为r b a c 的标准化【2 ，3 】做出了大量工作。同时，国外许 多软件开发商也提供了很多与r b a c 相关的产品。而国内与国外相比，在r b a c 的研究和产品化方面显得落后，尚无比较成熟的r b a c 安全访问控制产品。 在统一安全管理的研究中，国内外已经提出了一系列解决方案，并出现了很 多产品，比如c a 公司的e t r u s t 、i b m 公司的t i v o l i 系列产品、启明星辰的4 a 统一安全管理平台、国内数字校园网的统一认证系统等等。国内外在统一安全管 理方面的研究开发中投入了较大的精力，取得了不少成绩，但也存在着一些问题： 北京邮电大学硕士研究生毕业论文 a m 系统的设计与实现 国外的产品普遍比较成熟，功能较为完善，但价格比较昂贵，其产品客户群 主要针对大型企业应用，对中小公司并不适合。 无论是国内产品还是国外产品，通用性都不是太好，只是针对特定一家公司 的安全产品。 国内的统一安全产品还处在发展初期，难以和国外产品相抗衡。 各个厂家产品的功能不尽完善，比如有的系统缺乏多种认证方式的支持，有 的系统缺乏对单点登录的支持。 针对以上问题，结合国内某电信运营商的管理需求，开发了这套认m 系统， 来对其公司内部各应用系统的账号和权限进行统一的管理。 1 3 本文要解决的问题 本课题来源于国内某大型通信运营商对其企业内部应用系统进行a a a a 改 造的需求，将企业内部应用层面的账号管理完全纳入a a a a 框架，实现统一管 理，包括统一账号管理、统一身份认证、统一授权、以及统一审计等。 为了达到以上目的，必须要解决以下问题： 账号管理的统一化。使所有纳入a a a a 框架的应用系统使用同一个用户库。 管理员通过l w 系统即可对被管系统中的账号进行管理，并实现认m 系统 与被管系统之间账号信息的自动同步。 认证方式的统一化。提供一个统一认证平台的接口，供应用系统认证时调用。 访问授权的统一化。对应用系统中的所有资源和操作进行统一管理统一授 权，提高企业资产的安全性；实现基于角色的权限管理，给管理员提供方便 灵活的授权方式。 安全审计的统一化。能够对用户登录所有应用系统后的操作行为进行综合审 计，从中发现其中可能存在的问题。 系统层面的单点登录。解决用户在不同的应用系统问转换时需要重复登录的 问题，提高工作效率和用户体验。 提供应用系统灵活的接入方式。当有新开发的应用系统要纳入到认m 系统 的管理中时，操作过程要尽量简单，做到不修改认m 系统的源码。 1 4 论文期间的主要工作 本文依托作者参与的国内某电信运营商企业内部“统一安全管理系统”项目， 以此为基础并进行了理论提升。在此期间，作者所做的主要工作如下： 对实现n m 系统所需要的理论知识进行学习。研究分析了访问控制的几种 2 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 模型，着重研究了基于角色的访问控制理论，对基于角色的访问控制模型进 行了学习和分析：分析a a a a 框架体系，对账号管理、认证管理、授权管 理以及审计管理的理论和实现方式进行分析；学习w e bs e r v i c e s 技术，掌握 w e bs e r v i c e s 接口的开发方法； 对已有的统一安全管理类产品进行分析，研究其架构和实现方式，对比系统 的功能，分析不同系统的优缺点； 对企业现有的应用系统进行调研，分析其账号管理、认证、授权以及审计方 式，参与系统的总体设计以及系统与被管应用系统之间的接口设计； 根据总体设计和接口设计，完成i a m 系统主程序部分模块的实现和接口部 分的实现；协助各应用系统的开发维护人员对已有系统进行改造，将已有系 统纳入到i a m 系统的管理之下；制定应用系统的开发规范，便于以后新开 发系统的接入。 1 5 本文结构 本文分为六章，组织结构如下： 第一章：主要介绍本文的研究背景及本文要解决的问题； 第二章：主要介绍实现i a m 系统所需要用到的关键技术：基于角色的访问 控制、a a a a 技术以及w 曲s e r v i c e s 技术； 第三章：针对i a m 系统的需求分析，详细介绍i a m 系统的总体设计； 第四章：根据第三章的总体设计，描述i a m 系统每一个功能模块的详细设 计。 第五章：针对第四章的详细设计，介绍了认m 系统的实现以及后期的测试。 第六章：总结。分析系统的不足，提出有待改进的地方和需要进一步研究的 问题。 3 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 第二章关键技术及相关协议介绍 2 1 基于角色访问控制模型介绍 计算机系统的安全可以归纳为两个方面：第一个方面是防止非法用户进入系 统；第二个方面是防止合法用户对系统资源的非法使用。因此，系统就必须能够 控制合法用户对该系统资源可以进行何种类型的访问，这便是访问控制。访问控 制技术作为五项标准安全服务【4 】之一，是实现信息系统安全的一项重要机制。 访问控制( a c c e s sc o n t r 0 1 ) 就是通过某种途径显式地准许或限制访问能力及 范围的一种方法。通过访问控制服务，可以限制对关键资源的访问，防止非法用 户的侵入或者合法用户的不慎操作所造成的破坏。简单的说，就是“明确哪些用 户可以使用哪些资源。【5 】 访问控制系统一般包括以下三个组成部分： 主体( s u b j e c t ) - 发出访问操作要求的实体，通常指用户或用户的某个进程； 客体( o b j e c t ) - 被保护的资源，可以是程序、数据甚至某个设备。 安全访问政策：一套规则，用以确定一个主体是否对客体拥有访问能力。 通过对主体的授权，计算机系统可以在一个合法的范围内被使用，从而保证 客体能够被正确合理的访问，同时也维护了被授权主体的利益。这是访问控制的 目的，同时也是一个安全系统所必须具备的特性。 2 1 1 传统访问控制机制 传统访问控制技术主要包括以下两种类型：自主访问控制和强制访问控制。 2 1 1 1 自主访问控制 自主访问控制( d a c ：d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 模型【6 ，7 】是在确定主体身 份或他们所属组的基础上对访问进行限定的一种方法，其基本思想是：允许某个 主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行 的访问类型。l i n u x 、u n i x 、w i n d o w s 等操作系统都提供自主访问控制的功能。 d a c 一般利用访问控制矩阵( a c m ：a c c e s sc o n t r o lm a t r i x ) 来实现对访问者的 权限控制。a c m 是通过矩阵形式表示访问控制规则和授权用户权限的方法。其 形式如表2 1 所示( 其中用r 表示主体对客体可读，w 表示主体对客体可写，x 4 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 表示主体对客体可执行，o 表示主体为客体的拥有者，具有管理权限) 。 表2 - 1 访问控制矩阵 ；矿吲 o z 0 2 o h s l i - - -r w x 0 r 帅【一 s 2 1 - x -r w x r 吼，) 【o s n x 一1 - _ x -一一x 一 在自主存取控制中，用户对于不同的数据对象有不同的存取权限，不同的用 户对同一对象也有不同的存取权限，而且用户还可以将其拥有的存取权限赋予其 它用户，因此自主访问控制非常灵活。d a c 的自主性对用户提供了灵活易用的 数据访问方式，但同时带来的是安全性较低。d a c 的一个致命弱点是访问权限 的授予是可以传递的。一旦访问权限被传递出去将难以控制，会带来严重的安全 问题；另一方面，d a c 不保护受保护的客体产生的副本，即一个用户不能访问 某一客体，但能够访问该客体的拷贝。 2 1 1 2 强制访问控制 强制访问控制( m a c ：m a n d a t o r y a c c e s sc o n t r 0 1 ) 模型【6 ，7 】是一种多级访问控 制策略，是根据客体的敏感级和主体的许可级来限制主体对客体的访问。它的主 要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和 受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受 控对象的安全级别进行比较，再决定访问主体能否访问该受控对象。m a c 对访 问主体和受访对象标识两个安全标记：一个是具有偏序关系的安全等级标记；另 一个是非等级分类标记。例如，当主体s 的安全类别为t s ( 绝密级) ，而客体o 的安全类别为s ( 密级) 时，用偏序关系可以表述为s c ( s ) s c ( o ) 。考虑到 偏序关系，主体对客体的访问主要有四种方式： 向下读( r d ，r e a dd o w n ) ：主体安全级别高于客体安全级别时允许的读操作； 向上读( m ，r e a du p ) ：主体安全级别低于客体安全级别时允许的读操作； 向下写( w d ，w r i t ed o w n ) ：主体安全级别高于客体安全级别时允许的写操作； 向上写( w u ，w r i t eu p ) - 主体安全级别低于客体安全级别时允许的写操作。 m a c 一般利用访问控制标签列表来实现主体和客体的安全级别控制。其形 式如表2 2 所示。 表2 - 2 访问控制标签列表 主体安全级别客体安全级别 s lt s o l c 5 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 s 2 s 0 2 t s s n c o n s 由于m a c 通过分级的安全标签实现了信息的单向流通，因此它一直被军方 采用，其中最著名的是b e l l l a p a d u l a 模型【8 】和b i b a 模型：b e l l l a p a d u l a 模型具 有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露；b i b a 模型则具有只允许向下写、向上读的特点，可以有效地保护数据的完整性。强制 访问控制的优点是管理集中，根据事先定义好的安全级别实现严格的权限管理， 因此适宜于对安全性要求较高的应用环境。同时，它对数据本身进行了安全级标 记，无论数据如何复制，标记与数据是一个不可分的整体，只有符合安全级要求 的用户才可以操作数据，从而提供了比d a c 机制更高级别的安全性。但这种强 制访问控制太严格，实现工作量太大，管理不便，不适用于主体或客体经常更新 的应用环境，另一方面，主体访问级别和客体安全级别的划分与现实要求无法一 致，访问级别的划分不够细致，在同级别间缺乏控制机制，另外，在控制粒度上 不满足最小权限原则，因为具有一定安全属性的主体可以访问与其安全属性相匹 配的所有客体。这些缺点都限制了m a c 的广泛应用。 2 1 2 基于角色的访问控制 随着网络的迅速发展，尤其是i n t r a n e t 的兴起，对访问控制服务的质量也提 出了更高的要求，以上两种访问控制方法已很难满足这些要求。二十世纪九十年 代以来，随着对在线的多用户、多系统的研究不断深入，角色的概念逐渐形成， n i s t 提出的一种新的访问控制技术一基于角色的访问控制技术r b a c t l 】被认为 是有效地克服了传统的访问控制技术中的不足，d a c 和m a c 作为传统的访问 控制类型正在逐步被r b a c 所替代【9 】。 2 1 2 1r b a c 的发展 1 9 9 2 年，n i s t 的d a v i df e r r a i o l o 和r i c kk u h n 在综合了大量的实验研究之 后，率先提出基于角色的访问控制模型框架，并给出了r b a c 模型的一种形式 化定义。该模型第一次引入了角色的概念并给出基本语义，指出r b a c 模型实 现了最小权限原则( 1 e a s tp r i v i l e g e ) 和职责分离原则s e p a r a t i o no f d u t y ) 。1 9 9 4 年， 他们以一种更直观的方式对该模型进行了描述【l0 1 。m a t u n d an y a n c h a m a 和s y l v i a o s b o m 在1 9 9 4 年仔细研究了r b a c 模型中角色继承关系和角色权限指派关系， 形式化的提出了角色管理的一系列算法。r a v is a n d h u 和他领导的位于g e o r g e 6 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 m a s o n 大学的信息安全技术实验室基于角色访问控制的理论与应用研究( u s t ) 于1 9 9 6 年提出了著名的r b a c 9 6 模型【1 1 1 ，极大提高了系统灵活性和可用性。1 9 9 7 年他们更进一步提出了一种分布式r b a c 管理模型a r b a c 9 7 ，实现了在r b a c 模型基础上的分布式管理【1 2 l 。2 0 0 0 年，d a v i df e r r a i o l o 、r a v is a n d h u 等人联合 拟定了一个r b a c 模型的美国国家标准草案【1 3 】，力图统一不同模型中的术语， 并对所有r b a c 的基本操作给出伪码定义。该模型类似于r b a c 9 6 模型，只是 对权限部分做了一定的细化，分成操作( o p e r a t i o n ) 和对象( o b j e c t ) 。2 0 0 4 年该 模型成为美国国家标准。 2 1 2 2r b a c 的基本思想 r b a c 的基本思想是在用户和访问权限之间引入角色的概念，根据组织视图 中不同的职能岗位划分角色，资源访问许可被封装在角色中，用户通过赋予的角 色间接地访问系统资源和对系统资源可进行的操作，通过账号与权限的分离，使 得授权过程方便灵活。其基本思想如图2 1 所示。 u s e r 3 图2 1r b a c 基本思想示意图 如图2 1 所示：角色是访问权限的集合，用户通过赋予不同的角色获得角色 所拥有的访问权限。一个用户可拥有多个角色，一个角色可授权给多个用户；一 个角色可包含多个权限，一个权限可被多个角色包含。用户通过角色享有权限， 它不直接与权限相关联，用户对存取对象的操作许可是通过和角色的关联来实现 的。通过用户账号与角色的指定，角色与权限的配置，使基于角色的访问控制达 7 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 到所需的安全要求。通过分配和取消角色，来完成用户权限的授予和取消。安全 管理人员可以根据需要定义各种角色，并设置合适的访问权限，而用户根据其责 任和岗位再被指派为不同的角色。这样，整个访问控制过程就分成两个部分，即 访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑 分离。 2 1 2 3r b a c 的相关术语定义 主体( s u b j e c t ) ：主体即可以向应用系统发出应用请求的任何实体，包括各 种用户、其它与系统有接口的应用程序、非法入侵者等。 客体( o b j e c t ) ：客体是指系统中各种功能模块、数据、界面元素( 包括菜单、 按钮等各种界面上能控制的控件) 等，它们是主体能访问的各种对象。 角色( r o l e ) ：角色是指一个组织或任务中的工作或位置，它代表了一种资 格、权利和责任。 用户( u s e r ) ：用户就是一个可以独立访问计算机系统中的数据或者用数据 表示的其它资源的主体。 资源( r e s o u r c e ) ：资源是指计算机系统中动作的应用对象，是受保护的信息 资源。 操作( o p e r a t i o n ) ：操作是指计算机系统中的动作，如读、写等，操作可以 分为资源相关操作和资源无关操作，操作可以绑定一种或多种资源类型，表 示该操作的操作对象是这种或这些资源。 权限( p e r m i s s i o n ) ：权限是对计算机系统的数据或者用数据表示的其它资源 进行访问的许可。可用一个二元式( 操作，资源) 来表示。 用户指派( u s e r a s s i g n m e n t ) ：用户指派是u s e r 与r o l e 之间的一个二元关系， 用( 用户，角色) 来表示一个用户u 被指派了一个角色r ，一个用户可以扮 演一个或者多个角色。 权限指派( p e r m i s s i o n a s s i g n m e n t ) ：权限指派是r o l e 与p e r m i s s i o n 之间的一 个二元关系，用( 角色，权限) 来表示角色r 拥有一个权限p 。 访问控制( a c c e s sc o n t r 0 1 ) ：访问控制即根据角色和权限，判断用户是否具 有对操作的执行权限。 角色激活( r o l ea c t i v a t i o n ) ：角色激活是指用户从被授权的角色中选择一组 角色的过程。用户访问的时候实际具有的角色只包含激活后的角色，未激活 的角色在访问中不起作用。 会话( s e s s i o n ) ：一次会话是用户的一个活跃进程，它代表用户与系统进行 交互。用户与会话是一对多关系，一个用户可以同时打丌多个会话，在每次 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 会话中可以激活不同的角色，这样用户就具有不同的访问权限。 2 1 3r b a c 9 6 基本模型 从前面介绍的r b a c 的发展过程中可以看到，r b a c 从提出以来就引起 了人们的广泛关注，许多学者也先后提出了r b a c 的多种模型，其中以r a v i s a n d h u 教授等人提出的r b a c 9 6 模型【l l 】最为著名，此模型清晰的描述出了 r b a c 的概念，成为r b a c 的经典模型。此后绝大多数的基于角色的访问控 制研究都是以此模型为基础。鉴于r b a c 9 6 在访问控制研究中如此重要的地 位，本文对r b a c 9 6 模型进行介绍。 r b a c 模型包括四个不同的层次，这四层次模型分别是基本模型 r b a c 0 、角色分级模型r b a c l 、角色约束模型r b a c 2 和复合模型r b a c 3 。 四个概念模型之间的关系如图2 2 所示。r b a c 0 模型处于关系图的最底部， 代表它是支持r b a c 系统的最低要求；r b a c l 模型和r b a c 2 模型都包含 r b a c 0 模型，但分别增加了不同的特性。r b a c l 增加了角色层次的概念， r b a c 2 增加了限制。而r b a c 3 模型是对r b a c l 和r b a c 2 的集成，它不 仅包括角色层次，还包括限制关系。 2 1 3 1 基本模型r b a c 0 图2 - 2r b a c 9 6 模型间关系 r b a c 0 作为r b a c 9 6 的基本模型，是r b a c 模型的核心部分，它包含四个 基本实体：用户( u ) 、角色( r ) 、权限( p ) 和会话( s ) ，另外还包含两个分配 关系u a 和p a 1 4 】。 用户分配( u a ：u s e r a s s i g n m e n t ) 和权限分配( p a ：p e r m i s s i o n a s s i g n m e n t ) 都是多对多的关系( 图2 3 中用双箭头表示) ，即一个用户可被授予多个角色， 一个角色可以被分配给多个用户；同样的，一个角色可以被授予多个权限，一个 9 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 权限也可以被分配给多个角色。 在图2 3 中，从会话到角色的双箭头表示在一次会话中可以同时激活多个角 色。用户的权限就是在一个会话中所有被激活角色所拥有的权限的集合。从会话 到用户的单箭头表示每一个会话只能属于一个用户。用户可以同时打开多个会 话，而每个会话又可以拥有不同的活动角色集合，用户可以只激活完成任务所必 需的角色，这样也就实现了最小权限原则。在r b a c 0 中，用户可以自主决定是 否激活角色，并允许用户在会话过程中动态激活和撤销角色。 图2 - 3r b a c 0 基本模型图 2 1 3 2 角色分级模型r b a c l r b a c l 模型的特征为在r b a c 0 的基础上引入了角色层次( r h ：r o l e i n h e r i t a n c e ) 关系。如图2 4 所示。角色层次关系反映了组织中职权和责任的层 次关系。一个会话拥有的角色除了包含u a 关系里指定的角色以外还包括它们的 父角色，会话拥有的权限包含其拥有的角色在p a 关系里面的权限以及它们的子 角色对应的权限。比如，经理是职员的上级，经理不但拥有职员的所有权限，还 可以拥有其他权限。 1 0 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 角色分缀 图2 - 4r b a c l 基本模型图 2 1 3 3 角色约束模型r b a c 2 r b a c 2 模型是在r b a c 0 模型的基础上增加了约束关系。如图2 5 所示。对 r b a c 0 模型的约束可以应用于不同会话中的映射关系和函数。约束是谓词，作 用于这些关系和函数时，返回值是“可接受 或“不可接受”。s a n d h u 的文章【1 5 】 中介绍了两种主要的限制：角色互斥和角色基数限制。当两个角色具有不同的职 责而不能让一个用户同时拥有时可以用角色互斥规则进行限制；角色基数限制用 于指定一个角色可被同时授权或者激活的数目。 图2 - 5r b a c 2 基本模型图 r b a c 2 模型的定义为：r b a c 2 模型是在r b a c 0 模型的基础上，增加一些 限制关系，以判断r b a c 0 模型各个组成部分的值是否是可接受的，只有可接受 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 的才被允许。 2 1 3 4 复合模型r b a c 3 r b a c 3 模型是将r b a c l 和r b a c 2 模型的合并，同时提供角色层次关系和 约束关系，如图2 - 6 所示。约束关系除了可以对r b a c 2 中所规定的约束项进行 约束外，还可以对角色层次进行约束。r b a c 3 模型比较完整的定义了r b a c 的 各个部分及其相互关系。 2 1 4r b a c 的应用优势 图2 - 6r b a c 3 基本模型图 基于角色的访问控制有两大优点： ( 1 ) 由于角色权限之间的变化比起用户权限之间的变化相对要小得多，减 少了权限管理的复杂性，降低了管理的开销； ( 2 ) 灵活地支持了企业的安全策略，并对企业的变化有很大的伸缩性。 传统的访问控制方式都是将用户和权限直接关联，当组织内有新增加的人 员、人员职位变动或者离职时，需要进行大量的授权更改工作。r b a c 引入了角 色的概念，用角色表示用户具有的职权和责任，角色作为一个中间桥梁，沟通了 1 2 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 用户和资源。对用户的授权转变为对角色的授权，然后再将用户与角色联系起来。 在人员发生上述变动时只需要做相应的角色授予或者取消即可。同时，在现实生 活中，用户所具有的角色一旦被设定，角色的改变通常并不频繁，而企业中每个 角色所具有的权限却可能时常变化，在角色需要发生变化时，只需要修改角色和 权限的关联关系，而无需对用户进行操作，方便了企业的管理，提高了效率。 由于r b a c 能够根据不同的角色灵活的配置权限，只将用户必须的权限分配 给用户，能够达到最小权限原则的要求。同时，利用角色的互斥性约束，可以达 到职责分离的目的，提高了安全性。 2 2a a a a 技术简介 2 2 1a 虬认基本概念介绍 a a a a 又称4 a ，是统一账号( a c c o u n t ) 管理、统一认证( a u t h e n t i c a t i o n ) 管理、统一授权( a u t h o r i z a t i o n ) 管理和统一审计( a u d i t ) 的缩写。 所谓4 a 统一安全管理平台解决方案，即融合统一账号管理、统一认证管理、 统一授权管理和统一安全审计四要素后的解决方案，将涵盖单点登录( s s o ) 等 安全功能，既能够为客户提供功能完善的、高安全级别的4 a 管理，也能够为用 户提供符合萨班斯法案( s o x ) 要求的内控报表。 2 2 2a a a a 管理的组成部分 2 2 2 1a a a a 框架结构 a a a a 框架结构如图2 7 【1 6 】所示。 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 图2 7 从从框架结构 从图2 7 可以看出，a a a a 管理平台可以实现对网络设备、主机、应用系统 账号的统一管理、统一授权、统一认证和对登录行为的统一审计。 各主机、网络设备和应用系统这些被管设备在纳入a a a a 管理框架之前， 都有自己的一套账号管理、认证、授权以及审计机制，通过自身的模块来完成这 些工作。在纳入a a a a 管理平台后，被管设备的所有这些工作统一交由a a a a 管理平台来完成。它们通过一定的协议或者接口与a a a a 管理平台进行交互。 由于目前尚缺乏面向a a a a 的标准接口，a a a a 系统提供商通常采用针对不同 的被管对象开发不同的适配层的方式解决跨系统、跨平台管理的问题。其中，针 对网络设备，一般采用r a d i u s 协议、t a c a c s 、t a c a c s + 协议或者k c r b e r o s 协议；针对主机操作系统，主要采用p a m ( p l u g g a b l ea u t h e n t i c a t i o nm o d u l e ) 、 自主开发的a g e n t 或者通过t e l n e t 方式远程登录进行设置；应用系统层面，各个 厂家提供相应的a p i 接口。在此不对这些协议做详细介绍。 2 2 2 2a a a a 管理的主要组成部分 a a a a 管理主要包括账号管理、授权管理、身份认证以及安全审计。各部分 的主要功能【l7 】如下： 账号管理即将自然人与其所拥有的系统账号进行关联，集中进行管理，包括 用户的注册及删除、用户的口令策略以及不同系统间账号的同步等等。 身份认证是信息安全的第一道防线，用以实现应用系统对操作者身份的合法 性检查。对信息系统中的各种服务和应用来说，身份认证是一个基本的安全 1 4 北京邮电大学硕士研究生毕业论文i 朋系统的设计与实现 考虑。 授权是指对用户使用系统资源的具体情况进行合理分配的技术，实现不同用 户对系统不同部分资源的访问。 审计是指收集、记录用户对系统资源的使用情况，以便于统计用户对网络资 源的访问情况，对用户的操作行为进行综合分析，及时发现入侵行为，提高 系统的安全性，在系统出现安全事故时，也可根据资源的使用记录，查找事 故原因和事故的责任人。 a a a a 框架的作用主要体现在企业方面、系统管理员方面、普通用户方面、 系统安全性方面以及系统管理费用等各方面。 企业角度 对于企业来说，由于企业内部账号授权管理的混论，造成私设账号、账号失 效后未及时收回、某些账号的扩散范围难于控制，从而给企业造成的安全损失是 很严重的。在a a a a 框架下，账号授权管理将纳入统一、可控的框架和过程， 账号设置、分配具有详细记录；账号撤销、更改后的同步动作( 包括从a a a a 管理平台向被管设备下发账号以及a a a a 管理平台从被管设备收集账号) 均有 系统自动完成，避免手工同步；在多人共用账号的情况下，也可以精确到实际使 用账号的个人；针对高价值资产、高权限账号，通过灵活支持动态口令、生物认 证等强认证技术，提高信息资产的安全性。 管理员角度 采用a a a a 框架，方便了系统中包括从用户聘用到辞职的整个生命周期的 管理。如账号创建、授权、权限更改、个人信息更改、口令更改、账号删除等， 均可在一个平台上进行管理，使用户与其账号的对应关系符合实际情况，保证用 户拥有的权限是完成其工作所需的最小权限。通过a a a a 框架，系统管理员可 以方便高效地对应用系统进行审计，及时发现未授权的信息资源访问，权限滥用， 入侵企图等等。减少由于用户忘记口令产生的维护成本。这些都使管理员对信息 资源管理的效率大大提高。 普通用户角度 通过a a a a 框架，可以保证用户权限的分配符合安全策略要求，拥有完成 任务所需要的最小权限。用户可以通过a a a a 框架提供的自助管理接口，可以 方便地更改口令和个人基本信息，减轻了系统管理员的工作负担，也提高了用户 的工作效率。通过a a a a 框架提供的单点登录功能，用户一次登录即可方便地 访问被授权的所有系统，省去了记忆多个账号和口令的麻烦，提高了工作效率。 1 5 北京邮电大学硕士研究生毕业论文i a m 系统的设计与实现 系统安全角度 a a a a 框架可以使用户的工作变动情况及时在应用系统中得到体现，通过同 一平台，一个指令，即可以干净、彻底的清除与每个用户相关的所有账号，防止 出现用户已经离职但账号还存在的情况。另外，a a a a 框架为安全策略的强制 执行提供了技术手段。通过方便高效的审计手段，可以及时发现系统中存在的安 全问题和各种入侵企图，为安全管理员采取相应的措施提供及时准确的信息，增 强系统的安全性。 系统管理成本角度 用户自我服务使用户可以维护自己的信息，单点登录减少了用户忘记口令的 情况，这都使得系统的管理成本，尤其是在用户数目巨大的情况下大幅度降低。 2 3w e bs e r v i c e s 技术简介 w e bs e r v i c e s e l 8 , 1 9 是一种可以用于分布式应用程序之间通信的接口技术，基 本思想是把软件当作一种服务。目前对w e bs e r v i c e s 并没有一种严格的定义，m m 认为w e bs e r v i c e s 是能够被描述、发布、定位和通过网络调用的自包含的模块化 的应用；m i c r o s o f t 认为w e bs e r v i c e s 是一个通过标准的协议访问的可编程的应 用逻辑。在w e bs e r v i c e s 体系结构中，所有的应用实体都被抽象成服务。其中包 括三个实体和三种操作，如图2 8 所示。 图2 - 8w e bs e r v i c e s 体系结构图 w e bs e r v i c e s 体系中的三个实体 ( 1 ) 服务提供者 从商务角度看它是指服务的所有者，从体系结构上看它是指提供服务的平 厶 口o 1 6 北京邮