（计算机应用技术专业论文）基于角色和信任的多域环境访问控制模型研究.pdf

摘要 随着互联网的迅速发展，分布式环境下的跨多自治域访问已经成为 可能。多域间的跨域访问提供了种分布式的资源共享的方式，从而提 高了资源的利用率。同时，多域间的访问引起的安全问题已经成为了研 究的重点问题。访问控制的基本任务是防止一个合法用户对系统资源的 非法访问和使用。基于角色的访问控制可以用来建立多域间的映射关 系，使得多域间的访问更加简单可行。 由于分布式环境的开放、匿名、用户不为自身的行为承担责任等特 点，导致分布式系统的服务质量( q o s ) 严重下降。本文引入信任管理， 对实体的可信度进行评估，有效地抑制了恶意实体的恶意行为。 本论文以多自治域中的访问控制模型为纲，研究多域环境中跨域访 问的可行性及具体解决方案，研究开放环境中自治域的信任管理，及基 于信任的多域访问控制技术。本论文旨在为多域环境下的资源共享提供 必须的理论支持。该研究将为电子政务、电子商务、远程教育等等涉及 到分布式环境下资源共享的应用做一些有益的尝试。 关键词：角色，访问控制，信任管理，约束，多域环境 武汉j 鼙人学硕十学位论文 a b s t r a c t w i t ht h ef a s td e v e l o p m e n to fi n t e r n e t i ti s p o s s i b l ef o rm u l t i d o m a i n a c c e s si nd i s t r i b u t i n ge n v i r o n m e n t a d i s t r i b u t i n gr e s o u r c es h a r e dm a n n e ri s o f f e r e db ym u l t i d o m a i na c c e s s ，a n dt h u st h eu t i l i t yo fr e s o u r c ei sa d v a n c e d g r e a t l y a tt h es a m et i m e ，t h es a f e t ya r o u s e db ym u l t i d o m a i na c c e s sc o m e s t ob et h ek e yp r o b l e mo fr e s e a r c h t h eb a s i ct a s ko fa c c e s sc o n t r 0 1i s p r e v e n t i n gal e g a lc u s t o m e rf r o mi l l e g a la c c e s s i n ga n du s i n gt h es y s t e m r e s o u r c e s t h ea c c e s sc o n t r o lb a s e do nr o l ec a nb eu s e dt ob u i l du pm a p p i n g r e l a t i o n s h i pa c r o s sm u l t i a r e a ，m a k i n ga c c e s sc o n t r o la c r o s sm u l t i a r e ag o s i m p l e ra n de a s i e r b e c a u s eo ft h et r a i t ss u c ha st h eo p e n i n go f d i s t r i b u t i n ge n v i r o n m e n t ，t h e a n o n y m i t ya n dc u s t o m e r sn o tu n d e r t a k i n gr e s p o n s i b i l i t i e sf o rt h eb e h a v i o m o ft h e m s e l v e s ；t h es e r v i c eq u a l i t y ( q o s ) o ft h ed i s t r i b u t i n gs y s t e md e s c e n d s s e r i o u s l y t h i sp a p e rl e a d i n gi n t o t h et r u s t m a n a g e m e n t ，c a r r y i n g o n v a l u a t i o nt ot h ec r e d i b i l i t yo fe n t i t y , r e p r e s s e st h em a l i c eb e h a v i o ro ft h e m a l i c ee n t i t ya v a i l a b l y t h ep o s s i b i l i t ya n dc o n c r e t es o l u t i o no ft h em u l t i - d o m a i na c c e s si n m u l t i - d o m a i ne n v i r o n m e n t ，t h et r u s tm a n a g e m e n to ft h ea u t o n o m ya r e ai n o p e n i n ge n v i r o n m e n ta n dt h et e c h n i q u eo fm u l t i d o m a i na c c e s sc o n t r o l b a s e do nt r u s ta r er e s e a r c h e di nt h i sp a p e rw i t ha c c e s sc o n t r o lm o d e l so f m u l t i - d o m a i n t h i st h e s i sa i m st op r o v i d et h e o r i e s s u p p o r tf o rr e s o u r c e s s h a r e di nm u l t i d o m a i ne n v i r o n m e n t t h i sr e s e a r c hw i l ld os o m eb e n e f i c i a l a t t e m p t s f o rt h e a p p l i c a t i o n ss u c ha s e l e c t r o n i c sg o v e r n m e n t a l a f f a i r s ， e l e c t r o n i cc o m m e r c ea n dr e m o t ee d u c a t i o nw h i c hr e l a t e dt ot h ea p p l i c a t i o n s i nd i s t r i b u t i n ge n v i r o n m e n t s h a r i n gr e s o u r c e s k e yw o r d s ：r o l e ，a c c e s sc o n t r o l ，t r u s tm a n a g e m e n t ，c o n s t r a i n t ，m u l t i d o m a i n e n v i r o n m e n t 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除文中已经标明引用的内容外， 本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对 本文的研究做出贡献的个人和集体，均己在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：弗媾来 埘年z 月4 ，日 学位论文版权使用授权书 本学位论文作者完全了解我校有关保留、使用学位论文的规定， 即：我校有权保留并向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅。本人授权武汉工程大学研究生处可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或扫描等复制手段保存和汇编本学位论文。 保密0 ，在年解密后适用本授权书。 本论文属于 不保密。 ( 请在以上方框内打“4 ”) 学位论文作者签名：弗游爪 沙刁年# 月口曰 j 指导教师签名：黍珠 砷年多月手日 第1 章绪论 1 1 课题背景 第1 章绪论 随着计算机网络技术的发展与i n t e r n e t 应用的普及，计算机系统 的安全问题，尤其在分布式环境下的信息安全问题，日益为人们所重视。 访问控制技术作为国际化标准组织定义的五项标准安全服务之一，使得 访问控制成为为重要的计算机信息安全技术重要组成部分。美国国防部 的可信计算机系统评估标准把访问控制作为评价系统安全的主要指标 之一，其设计对提高系统安全的重要性是不言而喻的。访问控制技术的 应用非常广泛，操作系统、数据库系统、防火墙以及应用程序等，都需 要通过访问控制技术实现对资源的合理利用和合法访问。访问控制的基 本任务是防止一个合法用户对系统资源的非法访问和使用。它约束一个 用户在系统中的可进行的活动，如规定用户可以执行哪些程序，并通过 效验用户的访问权限来决定对资源的访问，从而阻止那些威胁系统安全 的行为。 随着相关技术的发展，分布式环境下的跨多自治域访问已经成为可 能。多域间的跨域访问提供了一种分布式的资源共享的方式，从而提高 了资源的利用率。如在分布式数据库环境中，用户可以通过互操作访问 其他域的数据。多自治域中的跨域访问为现代企业概念中的虚拟企业 ( v i r t u a le n t e r p r i s e ) 、复杂企业( c o m p l e xe n t e r p r i s e ) 等奠定了基础。 更确切的说，多域访问在多个领域发挥着重大的作用，如银行、医疗、 政府、军事等等应用领域。它能够为政府之间、企业之间、政府与企业 之间提供一种互联、互通的交互方式。 但是多自治域间的跨域访问却会给各个自治域带来各种安全隐患。 第一，各自治域的访问控制策略的异构性增加了建立域间关系的困难程 度。第二，分布式环境下，各个自治域动态地加入或者离开合作环境， 域问的资源访问关系应该能够适应这种动态性。第三，在开放式环境下， 用户的身份不可知，如何在保护自治域安全的条件下最大程度地共享资 武汉工程大学硕士学位论文 源同样是一个不可回避的问题。 基于角色和信任的多自治域访问控制模型是建立跨域访问关系的 两种相互补充但又不相互重叠的方法。其目的是通过基于角色的访问模 型建立域间关系，管理跨域访问行为，并通过信任控制和调节开放环境 下自治域的资源共享模式。 网络技术的成熟和信息技术发展，世界已经成为一个互联的网络。 单一的资源已经难以满足人们日益增长的信息方面的需求。同时，各个 应用系统的所拥有的资源迅猛增长。而且，在当今这个多元的世界，各 种信息的重要性都在提升，从国际国内的新闻到小商小贩的日常言行都 有访问的需求。显然，在单一的应用系统中无法满足如此广阔的需求， 只有发挥“众人拾柴火焰高”的力量，这个问题才有可能解决。 1 2 国内外概况 网络安全标准定义了五个层次的安全服务，即身份认证服务、访问 控制服务、数据保密服务、数据完整性服务、不可否认服务。访问控制 是网络安全的一个重要组成部分。所谓访问控制，是指对用户访问系统 资源的权力进行控制。访问控制保证主体对可以的所有直接访问都是经 过授权的，同时防止合法用户对系统资源的非法使用。 传统的访问控制类型主要有两类：自主访问控制 d a c ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 和强制访问控制m a c ( m a n d a t o r y a c c e s sc o n t r 0 1 ) 。这两种访问控制应用十分广泛，但是由于它们内在 的缺陷，使它们在实际应用中存在许多不足，如无法实现动态的和复杂 的安全政策、系统连续工作能力等问题。基于角色的访问控制是美国 n i s t 于2 0 世纪9 0 年代初提出的一种新的访问控制技术。该技术主要研 究如何给用户授予与其所在组织结构相符的角色，减少授权管理的复杂 性，降低管理开销和为管理员提供一个比较好的实现复杂安全政策的环 境。基于角色访问控制引入与现实联系紧密的角色概念，用角色标志用 户具有的职责和权限，用角色的概念作为用户和权限之间的连接桥梁， 把现实和计算机访问控制策略更好的结合起来，并且易于实现复杂、动 第1 章绪论 态的安全访问控制策略。 随着单自治域内访问控制技术的成熟，多自治域中的访问控制技术 成为近年来的一个研究重点。为适应跨域访问的需求，国内外学者从不 同方面对单自治域中的访问控制模型进行了扩展，并取得了不少有益的 结论。然而，由于分布式多自治域环境的复杂性，目前的这些扩展也还 只是停留在初步阶段，不能完全支持多自治域间的访问控制。 1 2 1 基于角色的访问控制发展和现状 基于角色的访问控制方法( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 于 1 9 9 2 年由d a v i df f e r r a i o l o 和d r i c h a r dk u h n 在第1 5 届n i s t n s a 美国国家计算机安全会议上提出。r b a c 发展到现在已经较为成熟并且已 经在许多大型系统中得到实现。在学术界，基于角色的访问控制也是一 个研究的热点。其中以美国g e o r g em a s o n 大学的s a n d h u 等人提出的基 于角色的访问控制模型( r b a c 9 6 ，a r b a c 9 7 ，a r b a c 9 9 等) 影响较大。2 0 0 1 年8 月n i s t 发表了r b a c 建议标准。此建议标准综合了该领域众多研究 者的研究成果。n i s t 综合众多学者的观点并参考了许多厂商的产品提出 这个建议标准，旨在提供一个权威的、广泛接受的、可用的r b a c 参考 规范，为进一步研究指明方向，也是广大厂商和用户在具体工程中有益 的借鉴。这一建议标准只描述了r b a c 系统最基本的特征，因此在实际 应用中我们需要在此基础上扩展其它更强的访问控制功能。人们在对如 何在w e b 上实现基于角色的访问控制进行了大量的研究工作，并设计出 多种实现方式( 基于c o o k i e ，基于l d a p ，基于证书等) 。r b a c 支持最小 特权原则、职能分离原则和数据抽象原则等众所周知的安全原则。使用 r b a c 可以方便的实现d a c 和m a c 。r b a c 可以极大的减化安全管理的复杂 度，提高了安全管理的灵活性，同时也减少了安全管理的成本。在大型 的应用系统中具有广泛的应用前景。 1 2 2 信任管理发展和现状 随着网络技术的发展，网络应用模型由封闭网络发展为开放网络。 武汉工程大学硕士学位论文 由于在开放网络中，分布式应用参与者间信任的外部保障已不复存在。 开放的、动态的i n t e r n e t 服务与集中式应用有保护内容、委托、授权 信息的存储等不同特性。由于i n t e r n e t 服务所具有的新属性，基于a c l 的授权机制不再满足要求。如何在对等参与者间建立并维护信任关系以 保证分布式应用的安全运转就成为了一个基础性的问题。因而，信任管 理作为实现开放网络信息安全的重要前提与基础，正日益成为研究的焦 点。 1 9 9 6 年，m b l a z e 在文献中首先提出了“信任管理方法”，该方法 直接授权行为，统一表示安全政策、委托书( 以下称证书) 以及信任关系， 形式证明请求与本地政策的一致性，具有灵活、通用、可靠的特点，全 面解决开放分布式应用的授权问题。信任管理的意义在于提供了一个适 合w e b 应用系统开放、分布和动态特性的安全决策框架。a a d u l - r a h m a n 等学者则从信任的概念出发，对信任内容和信任程度进行划分，并从信 任的主观性入手给出信任的数学模型用于信任评估雎1 。 当前，信任管理研究实际上涉及到两种相互关联的信任关系：一种 是对客体的信任，本文称之为( 对客体的) 相信关系。在此，客体是指 排除了人的主观因素的对象或实体( 如设备、标识、证书等) 。由于客体 及客体间的关系可以通过提供恰当的证据来加以充分验证，因而相信关 系是基于证据的，可以精确地描述、推理和验证。相信关系的基本研究 方法是基于假设的推理证明。例如在b a n 逻辑等安全协议分析模型中所 涉及到的信任关系实质上都可归入相信关系的范畴。另一种信任则是主 体之间的主观信任。在此，主体指的是由人或代理人的客体( 如a g e n t ) 所构成的个体或群体。主观信任( 或简称信任) 是一种人类的认知现象。 是对主体的特定特征或行为的特定级别的主观判断，而这种判断是独立 于对主体特征和行为的监控的。从某种非形式化的角度来看，主体a 信 任主体b 意味着a 相信b 在某种特定的环境下必会执行某个动作呻1 。 信任关系本质上是基于信念的，具有主观性、不确定性和模糊性， 无法精确地加以描述和验证。近年来，已经有一些研究者对主观信任的 形式化推理进行了研究，提出了基于不同概率模型的信任推理方法。 第1 章绪论 1 3 课题主要研究工作 本课题结合基于角色的访问控制和信任等技术研究分布式环境下 多自治域访问控制的若干关键技术，主要包括基于角色一信任的多自治 域访问控制模型和框架：开放环境下多自治域中的信任评估方法以及开 放环境下多自治域访问控制中的角色的映射。具体来说有以下几个方 面： ( 1 ) 研究基于角色一信任的多自治域访问控制模型。研究建立基于 角色一信任的多自治域域间互访关系的模型，使该模型能够能够适应多 自治域环境的动态性特点，并能够保证域的自治性和安全性订1 3 。然而， 建立域间关系的过程涉及到自治域的访问控制策略管理，因此需要研究 怎样管理更能适合多域访问。其次，域间关系应该不损害相关域的安全 性。具体来说，即不违反域中的各种约束。因此需要研究自治域在允许 多域访问的条件下的安全性。 ( 2 ) 开放环境下多自治域中的信任评估方法。开放环境中具有更 多复杂的、不确定的因素。对于开放环境下的多自治域的访问控制，有 必要先分析这些因素。因此，研究开放环境下的多自治域的信任评估方 法。 ( 3 ) 开放环境下基于角色一信任的多自治域访问控制的角色映射研 究。在多自治域环境下，一个域中的角色可以映射为另一个域中的某个 角色，职责分离原则是基于角色访问控制的三大原则之一，所以在进行 角色映射时应避免违背职责分离原则。 武汉工程大学硕士学位论文 第2 章信任管理系统理论分析 2 1 信任管理发展的背景 随着i n t e r n e t 的快速发展，基于i n t e r n e t 的分布式计算也迅速发 展，出现许多新的大规模、开放的分布式系统，如移动a g e n t 、多a g e n t 系统以及网格等。信息系统也从原来的集中式系统发展到目前基于 i n t e r n e t 的分布式系统。在这些系统中存在许多实体，一个实体从小的 方面说可以是人或进程，从大的方面说可以是一个管理域或一个组织。 在这样的系统中实现资源共享，传统的授权机制将不再适合。 分布式系统的授权机制需要新的思想和方法。信任管理系统蕴育而 生，它直接完成特定任务的权限与公钥绑定，不要求知道公钥的持有者 是谁，只判定该公钥与资源提供方是否存在与策略一致的信任关系。从 而在很大程度上解决了传统a c l 固有的一致性和扩展性问题。 m b l a z e 等人为解决i n t e r n e t 网络服务的安全问题首次使用了“信 任管理( t r u s tm a n a g e m e n t ) ”的概念，其基本思想是承认开放系统中安 全信息的不完整性，系统的安全决策需要依靠可信任第三方提供附加的 安全信息。信任管理的意义在于提供了一个适合w e b 应用系统开放、分 布和动态特性的安全决策框架。与此同时，a a d u l r a h m a n 等学者则从 信任的概念出发，对信任内容和信任程度进行划分，并从信任的主观性 入手给出信任的数学模型用于信任评估。 信任管理将传统安全研究中，尤其是安全授权机制研究中隐含的信 任概念抽取出来，并以此为中心加以研究，为解决w e b 环境中新的应用 形式的安全问题提供了新的思路。信任管理研究可用于安全协议分析， 并可结合加密技术等研究成果，指导新的应用系统安全机制的建立。 2 2 两种主要的信任模型 在基于公钥证书的分布式安全解决方法中，需要有一个信任模型解 决如何获取和相信一个实体的公钥，这样才能保证加密的信息被真正的 第2 章信任管理系统理论分析 实体解密，或验证真正实体的数字签名。目前有两个主要的信任模型： p g p 信任模型和x 5 0 9 信任模型。分析如下： ( 1 ) p g p 信任模型 p g p 信任模型是“w e bo ft r u s t ”。在p g p 系统中，一个用户生成一 个( 公钥，私钥) 对，并与唯一的i d 相连。i d 的形式为( n a m e 。 e m a i l a d d r e s s ) 。公钥和私钥分别存放在公钥环和私钥环上。每个用户 存储和管理这一对密钥环。 如果用户a 相信一个公钥确实是用户b 的，则a 对这个公钥签名， 并传给用户c 。a 作为介绍者将b 介绍给c 。每个用户必须在p g p 系统中 设置他信任哪些人作为介绍者，并设定对每个介绍者的信任程度，有： 不知道，不信任，部分信任和完全信任4 个信任级别。 在p g p 中信任是不可传递的，a 完全信任b 作为介绍者，b 完全信 任c ，不能推导出a 对c 的信任程度。 在p g p 中，每个用户负责获取他所需的公钥证书，并指定对介绍者 的信任程度。同时，每个用户必须创建他自己的密钥对，分发他的公钥。 这种“w e bo ft r u s t ”信任模型不存在官方的证书权威机构，对公钥进 行签名的用户对使用这些公钥的用户来说是“可信的服务方”。 ( 2 ) x 5 0 9 信任模型 x 5 0 9 信任模型是有严格层次的信任模型。x 5 0 9 认证框架试着解 决p g p 介绍者机制尝试解决的信任关系问题，即获取某个实体可信的公 钥。像p g p 一样，x 5 0 9 证书的基本目的也是仅仅将用户与密钥绑定。 x 5 0 9 框架假设每个人都从官方证书机构( c a ) 获得证书。x 5 0 9 信 任模型假设所有c a s 组织成全球化的树状结构。在这个结构中所有c a 有一个共同的祖先，即根c a 。但所有组织和国家信任单一的根c a 在现 实中是不可能的，只能在局部实现。 在x 5 0 9 信任模型中信任是可传递的，a 完全信任c a ，c a 完全信任 b ，则a 完全信任b 。 武汉r 1 = 程大学硕十学位论文 2 3 信任管理系统的模型 m b l a z e 等人将信任管理定义为采用一种统一的方法描述和解释安 全策略( s e c u r i t yp o l i c y ) 、安全凭证( s e c u r i t yc r e d e n t i a l ) 以及用于 直接授权关键性安全操作的信任关系( t r u s tr e l a t i o n s h i p ) 呻1 。基于该 定义，信任管理的内容包括：制定安全策略、获取安全凭证、判断安全 凭证集是否满足相关的安全策略等。信任管理要回答的问题可以表述为 “安全凭证集c 是否能够证明请求r 满足本地策略集p ”。在一个典型 的w e b 服务访问授权中，服务方的安全策略形成了本地权威的根源，服 务方既可使用安全策略对特定的服务请求进行直接授权，也可将这种授 权委托给可信任第三方。可信任第三方则根据其具有的领域专业知识或 与潜在的服务请求者之间的关系判断委托请求，并以签发安全凭证的形 式返回委托请求方。最后，服务方判断收集的安全凭证是否满足本地安 全策略，并作出相应的安全决策。为了使信任管理能够独立于特定的应 用，m b l a z e 等人还提出了一个基于信任管理引擎( t r u s tm a n a g e m e n t e n g i n e ，简称t m e ) 的信任管理模型，如图2 1 所示。t m e 是整个信任管 理模型的核心，体现了通用的、应用独立的一致性证明验证算法，根据 输入的三元组( r ，c ，p ) ，输出策略是否被满足的判断结果。几个典型 信任管理系统“”“1 均以该模型为基础进行设计并加以实现。 凭证动作请求 _ - 一j 图2 - 1 信任管理模型 第2 章信任管理系统理论分析 d p o v e y 在m b l a z e 定义的基础上，结合a a d u l r a h m a n 等人提 出的主观信任模型思想，给出了一个更具一般性的信任管理定义，即信 任管理是信任意向( t r u s t i n gi n t e n t i o n ) 的获取、评估和实施“”。授权 委托和安全凭证实际上是一种信任意向的具体表现，而主观信任模型则 主要从信任的定义出发，使用数学的方法来描述信任意向的获取和评 估。主观信任模型认为，信任是主体对客体特定行为的主观可能性预期， 取决于经验并随着客体行为的结果变化而不断修正“。在主观信任模型 中，实体之间的信任关系分为直接信任关系和推荐信任关系，分别用于 描述主体与客体、主体与客体经验推荐者之间的信任关系。也就是说， 主体对客体的经验既可以直接获得，又可以通过推荐者获得，而推荐者 提供的经验同样可以通过其他推荐者获得，直接信任关系和推荐信任关 系形成了一条从主体到客体的信任链，而主体对客体行为的主观预期则 取决于这些直接的和间接的经验。信任模型所关注的内容主要有信任表 述、信任度量和信任度评估。信任度评估是整个信任模型的核心，因此 信任模型也称信任度评估模型。信任度评估与安全策略的实施相结合同 样可以构成一个一般意义上的信任管理系统。p h e r r m a n n 等人提出了 一个“信任适应的安全策略实施( t r u s t a d a p t e de n f o r c e m e n to f s e c u r i t yp o l i c y ) ”的概念，并在这方面做了一些初步的研究“。 2 4 信任管理系统的实例 从信任管理模型可以看出，信任管理引擎是信任管理系统的核心。 而设计信任管理引擎需要涉及以下几个主要问题：( 1 ) 描述和表达安全 策略和安全凭证；( 2 ) 设计策略一致性证明验证算法；( 3 ) 划分信任管 理引擎和应用系统之间的职能。当前几个典型的信任管理系统 p o l i c y m a k e r ，k e y n o t e 和r e f e r e e 在设计和实现信任管理引擎时采用了 不同的方法来处理上述问题。 ( 1 ) p o l i c y m a k e r p o l i c y m a k e r 是m b l a z e 等人依据他们所提出的信任管理思想较早 实现的信任管理系统。p o l i c y m a k e r 为网络服务安全授权提供了一个完 武汉工程大学硕士学位论文 整而直接的解决方法，取代了传统的认证和访问控制相结合的做法，并 且给出了一个独立于特定应用的一致性证明验证算法，用于服务请求、 安全凭证和安全策略的匹配。 p o l i c y m a k e r 采用一种完全可编程的机制来描述安全策略和安全凭 证，所有的安全策略和安全凭证均可归结为断言。每个断言可表达为一 个( f ，s ) 对，其中s 表示权威源( s o u r c eo fa u t h o r i t y ) ，f 则是一段用 于描述实际授权内容或委托授权内容的程序。在一个安全策略断言中， s 被赋予关键字p o l i c y 。策略断言是信任管理引擎必不可少的输入参数， 描述了应用系统判断请求是否可接受的最终权威根源。而在一个安全凭 证断言中，s 则被赋予该安全凭证签发者的公钥。在采纳某个安全凭证 时，公钥用于验证该安全凭证的可靠性。p o l i c y m a k e r 没有对书写断言 内容f 的程序语言作特别的要求，其原则是只要能被本地应用环境解释 的编程语言均可用于书写断言。在其早期的试验性工作中，m b l a z e 等 人专门开发了一种名为a w k 的程序语言用于描述断言内容，该语言的模 式匹配结构较适合描述授权信息。 由于p o l i c y m a k e r 没有指明特定的断言描述语言，因此其策略一致 性证明验证算法必须独立于特定的断言描述语言。p o l i c y m a k e r 进行一 致性证明验证的一般步骤描述如下：首先建立一个仅包含请求字符串r 的黑板。随后，调用断言。同一断言可以根据需要调用多次。另外，断 言由本地运行环境解释。当断言( f i ，s i ) 运行时，先读取黑板中的内 容并根据内容加入一条或多条接受记录( i ，s i ，r i j ) ，但不能够删除其 他断言已写入黑板的接受记录。其中r i j 表示一个被权威源s i 所证明 的特定应用操作，可以是一个输入请求r ，也可以是一些用于断言间交 互的操作。算法本身不需要理解和处理r i j ，面向特定应用的断言程序 f i 处理r i j 。最终，当所有断言调用完毕后，若黑板中存在一条能证明 请求r 的接受记录，则一致性证明验证成功。但实际的验证算法还需要 解决诸如断言的调用顺序、断言的调用次数和丢弃产生冲突的断言等一 系列问题。为此，m b l a z e 等人用数学的方法精确地描述了一致性验证 ( p r o o fo fc o m p l i a n c e ，简称p o c ) 问题“，并证明一般意义下的p o c 问 题是不可判定的，但一些限定的p o c 问题存在多项式时间算法。 第2 章信任管理系统理论分析 p o l i c y m a k e r 实现了一个解决l b m ap o c 问题的一致性验证证明算法。该 算法只能处理满足单调性的策略断言，限制了一些策略的使用，如否定 安全凭证( n e g a t i v ec r e d e n t i a l ) 等。另外，该算法还要求断言程序f 的时间复杂性不能大于0 ( n k ) 。 p o l i c y m a k e r 是一个实验性质的信任管理系统，其功能相对简单， 不提供安全凭证的收集和验证的功能。应用系统必须负责收集并保证足 够的安全凭证用于验证相关的操作请求，还需根据安全凭证的公钥信息 验证其可靠性，而p o l i c y m a k e r 仅根据应用系统输入的操作请求、安全 策略集和安全凭证集来完成最后的一致性证明验证工作。这种信任管理 引擎与应用系统的功能划分加重了应用系统的负担，而且可能会因为安 全凭证收集不充分而导致一致性证明验证的失败。但应用系统负责安全 凭证的可靠性验证，使其在选择签名算法时具有一定的灵活性。 ( 2 ) k e y n o t e k e y n o t e 是m b l a z e 等人实现的第2 个信任管理系统。不同于 p o li c y m a k e r ，k e y n o t e 在设计之初就希望能够促进信任管理系统的标准 化并使其易于集成到应用系统中。为此，k e y n o t e 在系统的设计和实现 上与p o l i c y m a k e r 存在着很大的差别。目前，k e y n o t e 已在i p s e c 协议 “”、网上交易的离线支付“刚等方面进行了一些应用研究。 考虑到标准化和易读性，k e y n o t e 采用一种类似于电子邮件信头的 格式来描述安全策略和安全凭证断言，如下例所示： k e y n o t e v e r s i o n ：1 a u t h o r i z e r ：r s a p k c s l 一h e x ：“1 0 2 3 a b c d ” l i c e n s e e s ：d s a - h e x ：“9 8 6 5 1 2 a l ”ir s a - p k c s l h e x ：“1 9 a b c d 0 2 ” c o m m e n t ：a u t h o r i z e rd e l e g a t e sr e a da c c e s st oe d i t o ro ft h e 1i c e n s e e s c o n d i t i o n s ：( $ f i l e 一“e t c p a s s w d ”$ a c c e s s = = “r e a d ”) 一 r e t u r n “o k ”) s i g n a t u r e s ：r s a - m d 5 一p k c s l 一h e x ：“f o o f 5 6 7 3 ” 其中a u t h o r i z e r 字段等同于p o l i c y m a k e r 中的断言权威源s ，以实 体的公钥标识。l i c e n s e e s 字段用于显式地指定被授权或被委以授权的 武汉 程人学硬十学位论文 实体，同样以其公钥标识，并且多个实体公钥之间可以使用逻辑运算符， 合取、析取和阂等进行连接。c o m m e n t 字段用于断言的注释。c o n d i t i o n s 字段描述断言判断程序，用于测试k e y n o t e 应用系统提供的操作环境变 量，其中包含了请求相关和信任判断必须的信息。测试使用的运算操作 主要有字符串匹配、数值运算、数值比较和模式匹配等。k e y n o t e 仅接 受其提供的这种简单的断言描述语言所描述的断言。关于断言及其语法 的详细描述参见文献”。 k e y n o t e 的一致性证明验证算法是一种深度优先算法。其主要思想 是采用递归的方式试图查找到至少一条能够满足请求的策略断言。所谓 满足一个断言，即该断言的c o n d i t i o n 字段和l i c e n s e e s 字段同时得到 满足。k e y n o t e 中断言程序运行时，也能根据断言的满足情况生成类似 于o li c y m a k e r 的接受记录，但该记录仅被k e y n o t e 的验证模块内部使 用，对其他断言程序不可见。最终，当由请求、断言和断言间的证明关 系所形成的图被构造出来时，该请求被证明。相对于p o l i c y m a k e r 而言， k e y n o t e 一致性验证算法对输入的断言要求更严格，因此，k e y n o t e 一 致性验证算法实际上解决的p o c 问题仅是p o l i c y m a k e r 的一个子集。 k e y n o t e 同样不能处理非单调性的断言。 k e y n o t e 提供一种专门的语言以描述安全策略和安全凭证断言，并 且负责安全凭证的可靠性验证。这一方面减轻了应用系统的负担，使 k e y n o t e 更容易与应用系统集成；另一方面则有利于安全策略和安全凭 证描述格式的标准化，使应用系统能够更有效地传播、获取以及使用安 全策略和安全凭证。 ( 3 ) r e f e r e e r e f e r e e 是y - h c h u 等人为解决w e b 浏览安全问题而开发的信任 管理系统。虽然其设计目标比较单一，但该系统可以较完整地实现信任 管理模型所列出的各要素。r e f e r e e 采用了与p o li c y m a k e r 类似的完全 可编程的方式描述安全策略和安全凭证。在r e f e r e e 系统中，安全策略 和安全凭证均被表达为一段程序，但程序必须采用r e f e r e e 约定的格式 来描述，如下例所示： ( i n v o k e“l o a d l a b e l ”s t a t e m e n t l i s tu r l 第2 章信任管理系统理论分析 “h t t p ：w w w m u s a c o r g ”( e m b e d d e d ) ) ( f a ls e - if u n k n o w n ( m a t c h ( ( “l o a d l a b e l ”，i c ) ( 木( ( v e r s i o n “p i c s - 1 1 ”) 木 ( s e r v i c e “h t t p ：呐哪m u s a c o r g ”) 爿c ( r a t i n g s ( r e s t r i c t a u t h o r i z e d _ p e r m i s s i o n s ( r 2 ) a u t h o r i z e dp e r m i s s i o n s ( r 1 ) 第3 章基于角色的访问控制模型概述 a u t h o r i z e d _ u s e r ( r ：r o l e s ) - + u s e r s ，角色r 在用户集上的映射，这 个用户集在当前给出的角色分级中定义。一般有： a u t h o r i z e d u s e r s ( r ) = u u s e r s r r ，( u ，r ) u a ) a u t h o r i z e d p e r m i s s i o n s ( r ：r o l e s ) 一2 p r m s ，角色r 在权限集上的映 射，这个权限集在当前角色分级中给出。一般有： a u t h o r i z e d a ) e r m i s s i o n s ( r ) = p p r m sfr r ，( p ，r ) p aj 一般角色分级支持多继承。多继承提出了两个重要的继承属性口“。 第一个是一个角色可以由多个子角色构成，因此具有多个组织机构和商 业机构独有的关系。第二，多继承使用户角色分配和角色继承形成一致。 用户可以包含在角色级内，用相同的关系 来表示用户角色分配，也可 以表示从一个角色到其用户间的权限继承。 2 ) 受限角色层 在a 的基础上增加一个限制： v r ，r 1 ，r 2 r o l e s ，r r 1 八r r 2 = r l = r 2 r b a c i 引入角色间的继承关系，角色间的继承关系可分为一般继承 关系和受限继承关系。一般继承关系仅要求角色继承关系是个绝对偏 序关系，允许角色间的多继承。而受限继承关系则进一步要求角色继承 关系是一个树结构。 3 r b a c 2 模型 为了减少和消除冲突，r b a c 2 模型中添加了责任分离关系。r b a c 2 模型建立了两种约束模式口”，一种是静态约束，这种模式主要在用户角 色分配上添加约束，包括角色间的约束、角色继承关系的约束，这些约 束也可以用来检测角色在继承关系上的冲突；另一种是动态约束，它 是程序级上的约束，是针对用户和角色集建立的一个会话，当角色集中 的角色处在激活状态时，可以动态添加对用户的权限约束，在操作上也 是将约束加在用户角色分配上。这种约束是随着会话的变化而变化，体 现这种约束的动态特征。这样可以从两个方面减少冲突的发生。 4 r b a c 3 模型 随着r b a c 模型的发展，产生了一个r b a c 模型族，这样，我们可 以将其分为三个层次：r b a c o 、r b a c l r b a c 2 、r b a c 3 。其中，r b a c l r b a c 2 武汉l + 程大学硕士学位论文 处于同一层次的不同交叉。 r b a c 0 其实是基于角色的访问控制模型的最基本的核心，它只包涵 了支持r b a c 系统的最小支持，纯粹只引入了角色作为中间元素的概念。 而r b a c i 和r b a c 2 都包涵了r b a c 0 ，但是他们都分别加入了一些特征以 丰富基本模型。r b a c i 增加了角色层次的概念，允许角色之间的继承， 提出了角色的层次数与相应的一些算法，这样更加符合实际中的情况。 r b a c 2 增加了强制约束的概念。而r b a c 3 是最高层次的模型，它包涵了 r b a c 0 、r b a c i 与r b a c 2 。 采用r b a c 模型有以下的优点： 容易理解与管理 用户的权限已经融入角色之中，管理者针对单一用户不必考虑要给 予哪些权限，而是指派哪些角色给他。角色的设定不会因为员工离职、 调职而有所变更，仅需重新分配该员工所属角色即可，在管理上是相当 方便的。而且角色概念的引入使得访问控制更接近企业组织结构的自然 层面，也就更容易为人们所理解。 容易扩展 在一个系统之中，角色的数量一定是小于所有用户的数量。以电子 商务为例，角色可能仅包含买家、卖家、管理人员，但是实际的使用者 数量可能是超过几千、几万人。与传统的存取控制比起来，r b a c 在应用 于拥有大量用户的环境时，具有更强的扩展性。 符合最小权限、权责区分、权限继承 综合以上对r b a c 的介绍，在r b a c 用于资源访问控制时，最小权限 原则，可通过授予使用者完成任务所需的最小权限达到；避免利益冲突 的原则，可以通过设定角色之间的关系为静态强互斥，或是动态弱互斥； 在角色层次的设定上，具有继承权限的观念，减少重复指派权限的管理 工作，而在继承权限时，也可以指定继承部分的权限，提供一个可以代 理角色的机制。 实现良好的安全策略 r b a c 可以通过培植在决策支持系统中实现以下安全政策： 根据用户能力指派特殊的决策、监督任务。 第3 章基于角色的访问控制模型概述 员工的访问控制权限基于其工作职位和所作机构而设定。 不论是哪一级别的管理者，皆可强制达到最小权限原则。 避免用户义务与其本身利益相冲突的情形发生，达到责任划分。 3 2 2r b a c 模型中的职责分离约束 职责分离约束是计算机安全的一个基本原则。职责分离阐述了授予 为完成某项任务所需要的全部权限的用户的个数的下限。相应地，r b a c