（计算机应用技术专业论文）基于划分和规则访问控制系统的研究与实现.pdf

摘要 随着电子商务、电子政务的日渐兴盛以及现代军事向电子化、信息化发 展的需要，信息的访问控制技术显得越来越重要。人们需要在网络中提供和 鉴别身份和权限信息，以保证网络交互的安全。据统计，每年全球因对网络 信息的非正常访问而造成的经济损失达数千亿美元，网络安全已成为国家与 国防安全的重要组成部分，同时也是国家网络经济发展的关键。对信息访问 的检测与控制及整个信息基础设施的安全已经成为刻不容缓的重要课题。 曾经广泛应用的传统的使用用户和用户组为标识的访问控制方式，现在 看来在显得既简单又呆板，当组织内人员新增或有人离开时，或者某个用户 的职能发生变化时，需要进行大量授权更改工作。现在国内外对访问控制的 研究大量集中于基于角色的访问控制( r b a c ) 9 , 1 0 , 1 5 2 0 或者对p r b a c 应用 模型的研究 1 2 , 1 3 ，而对p r b a c 的应用开发也仅局限于p k i 授权方式的实现 【h 。相对于传统的访问控制方式，r b a c 的最大优势在于它只需要对角色进 行授权管理从而大大简化了授权管理的难度。但是在电子政务和军事系统等 应用中通常会对信息进行更加细致的划分，如对信息进行分级，分为“秘密”， “机密”，“绝密”等安全级别，在形成文档资料时，这些标签会标在每页的 页首或页脚。这样才能对信息进行更加严格更加灵活的控制。 美国国防部提出了一种基于划分和规则的访问控制技术：p r b a c ( p a r t i t i o nr u l eb a s e da c c e s sc o n t r 0 1 ) 。p r b a c 用安全策略信息文档s p i f ( s e c u r i t yp o l i c yi n f o r m a t i o nf i l e ) 描述安全策略和规则，用x 5 0 9 公钥证书 携带用户的授权信息，用安全标签( s e c u r i t y l a b e l ) 表示目标对象的敏感度， 通过标准的访问控制决定功能，根据定义的安全策略来比较用户的授权和目 标对象的安全标签以决定是否给予访问权限。可以看出p r b a c 对目标对象分 级控制的特点非常适用于电子政务和军事等系统中的访问控制需求。 但是一个仅使用x 5 0 9 公钥证书和p k i 授权方式的p r b a c 会有很多限制 和缺陷，例如x 5 0 9 v 4 标准中提出的属性证书的有效期都比较短，采用属性 证书就可以避免x 5 0 9 公钥证书在处理c r l 时的问题，而仅有p k i 授权方式 i 也限制了和其它用户身份认证方式( 如s s o ) 的结合。 本文将介绍一种新的访问控制系统，该系统在p r b a c 的原理基础之上突 破了以上种种限制实现了支持多种授权方式的访问控制。 关键词：网络安全，访问控制，公钥基础设施， 基于划分和规则，安全策略 信息文档 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n t e r n e t ，n e t w o r ka p p l i c a t i o nse s p e c i a l l y e b u s i n e s sa n de - g o v e r n m e n tb e c o m e v e r yp o p u l a r i ni n t e r n e t b e c a u s eo fi t s i m p o r t a n c e i nt h en e t w o r k a p p l i c a t i o n ，n e t w o r k s e c u r i t yi n c r e a s i n g l yb e c o m e sa s e r i o u sp r o b l e mw ec a n n o ti g n o r e t o g u a r a n t e et h es e c u r i t yo f n e t w o r ka c t i o n s ，w es h o u l dp r o v i d eas e v e r e a c c e s sc o n t r 0 1 n o w ，t h et r a d i t i o n a lm e t h o do fa c c e s sc o n t r o ls e e m st o os i m p l et o w o r ke f f i c i e n t l y t o d a y ，t h er e s e a r c ho fa c c e s sc o n t r o lf o c u so nr o l eb a s e d a c c e s sc o n t r o la p p l i c a t i o nm o d e lo fp a r t i t i o nr u l eb a s e da c c e s sc o n t r o l m o s t l y , af e wi m p l e m e n t a t i o no fp r b a cl i m i tt op k ia u t h o r i z a t i o n c o m p a r e dw i t ht h e t r a d i t i o n a la c c e s sc o n t r o l ，t h ep r i m ea d v a n t a g eo fr b a ci st h a ti ti s o n l y r e q u i r e dt om a n a g ep r i v i l e g ef o rr o l ei n s t e a do f u s e r b u ti ne g o v e r n m e n ta n d m i l i t a r y a f f a i r sw es h o u l d p a r t i t i o n t h ei n f o r m a t i o nm u c hm o r e s t r i c t l y f o r e x a m p l e ，w ec a np a r t i t i o n t h ei n f o r m a t i o ni n t os e v e r a lc l a s s i f i c a t i o n ss u c ha s s e c r e t ，t o ps e c r e ta n d s oo n t h ed o do fu s a p u t f o r w a r dan e wa c c e s sc o n t r o lt e c h n o l o g yn a m e d p a r t i t i o nr u l eb a s e da c c e s sc o n t r o l ( p r b a c ) p r b a cu s e st h es p i f ( s e c u r i t y p o l i c yi n f o r m a t i o nf i l e ) t o d e s c r i b et h e s e c u r i t yp o l i c ya n dr u l e ，a n d u s e st h e x 5 0 9p u b l i ck e yc e r t i f i c a t et ot a k et h ea u t h o r i z a t i o ni n f o r m a t i o no fu s e r s ，a n d u s e st h es e c u r i t yl a b e lt od e n o t et h es e n s i t i v i t yo fo b j e c t i td e t e r m i n e sf u n c t i o n s a c c o r d i n gt ot h ea c c e s sc o n t r o lo fs t a n d a r d ，a n dd e c i d e sw h e t h e rt og i v ea c c e s s p r i v i l e g eb yc o m p a r i n gt h ea u t h o r i z a t i o no f u s e r sa n ds e c u r i t yl a b e lo fo b j e c t s a c c o r d i n g t ot h es e c u r i t yp o l i c yw h i c hi sd e f i n e di ns p i f i tc a nc o n t r o lt h eo b j e c t s a c c o r d i n gt o t h ec l a s s i f i c a t i o n t h i sc h a r a c t e r i s t i cf i tt h er e q u i r e m e n to fa c c e s s c o n t r o lo r e g o v e r n m e n ta n dm i l i t a r ya f f a i r sv e r ym u c h h o w e v e r , a p r b a c o n l yu s i n gx 5 0 9p u b l i ck e yc e r t i f i c a t ea n dt h em e t h o d o fp k ia u t h o r i z a t i o n ，m a yh a v em a n yr e s t r i c t i o n sa n db u g s f o re x a m p l e ，i nt h e s t a n d a r do fx 5 0 9 v 4 ，t h ep e r i o do fv a l i d i t yo ft h ea t t r i b u t ec e r t i f i c a t ei ss h o r t ，i t c a na v o i dt h ep r o b l e mo fm a n a g i n gc r l a n do n l yh a v et h em e t h o do fp k i m a u t h o r i z a t i o nm a ya l s or e s t r i c tt h ei n t e g r a t i o nw i t ho t h e ri d e n t i t ya u t h e n t i c a t i o n s y s t e m t h i sp a p e rw i l ld e s c r i b ean e wa c c e s sc o n t r o ls y s t e m ，w h i c hs u p p o r tm u l t i p l e a u t h o r i z a t i o n s ，b a s e do nt h et h e o r yo f p r b a c k e y w o r d s ：s e c u r i t y ，a c c e s sc o n t r o l ，p k i ，p r b a c ，s p i f i v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明 确的说明并表示谢意。 签名：! 灿日期：。婢f 月心日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：2 - 商堕导师签名： f i 强：z 。o ；年只l ；日 基于划分和规则访问控制系统的研究与实现 1 1 课题背景 第一章引言 信息安全伴随人类社会的发展而不断发展。在我国周朝，就已经开始使 用简单的密码技术来传递信息：烽火和狼烟。古代流行的藏头诗，就是典型 的加密传输技术。在几千年人类的进步中，信息的作用越来越大，对信息的 保护措施也因之显得日益重要。信息安全是一个广泛和抽象的概念。长期以 来，人们把与计算机有关的信息系统上的安全笼统的称为信息安全。但是， 信息安全与信息系统安全是有概念上的区别的。般来说，当人们谈及信息 内容安全、计算机通信安全、计算机网络安全和因特网接入安全等问题时， 都会用信息安全来说明其中的部分问题。但信息安全并不代表、也不说明任 何具体的个体或系统与安全有关的问题，因此信息安全更多的是一种概念性 的东西。信息安全的措施涵盖很广，从信息本身的加密，信息载体的加密， 物理防范和隔绝，对接触信息的人和媒介的管制，等等，都属于广义的 信息安全范畴。 正如生产关系随着生产力不断发展一样，信息安全技术也随着人类社会 的不断进步而不断发展。而因为互联网的出现以及越来越多的网络应用，网 络中的安全问题显得日益重要。网络安全是一个巨大的研究领域，包括防病 毒技术、虚拟专用网v p n 技术、防火墙技术、入侵检测技术、p k i 技术、访 问控制技术等等。如今基于网络的服务( w e bs e r v i c e ) 已经深入到了社会生 活的各个领域，继电子商务越来越为人们所接受，网络服务又开始在政务和 军事系统中有了越来越多的应用。而随着这种应用的迅速发展，访问控制的 重要性也开始凸显，对网络信息的访问控制成为网络应用的基础和保障。 在电子政务和军事系统等应用中通常会对信息进行更加细致的划分，如 对信息进行分级，分为“秘密”，“机密”，“绝密”等安全级别，在形成文档 资料时，这些标签会标在每页的页首或页脚。这样一来机关部门就能够控制 管理对这些信息的访问，使关键信息不会被非法访问、修改或破坏，并确保 1 一苎型坌塑塑型堕塑堡型墨竺塑婴塑量窭垄 这些信息在被需要时可用。政府职员只有在获得授权的情况下，才能访问关 键信息。如何解决电子政务或军事系统中对文件访问的这种特殊需求昵? 由美国国防部提出的基于规则和划分的访问控制技术p r b a c ( p a r t i t i o n r u l eb a s e da c c e s sc o n t r 0 1 ) 正是可以满足需要的解决方案。本论文来自于电 子科大一卫士通网络安全联合实验室p r b a c 预研项目。 1 2 作者的主要工作 作者首先介绍了访问控制技术的基本情况，并对时下流行的几种访问控 制技术的根本矛盾进行分析，由此提出p r b a c 的研究意义。对s d n 8 0 1 标 准进行了深入分析，提出了一个具有自身特色的突破了p r b a c 技术部分限制 的p r b a c 系统模型，并在此模型基础上完成了一个p r b a c 原型一一 m y p r b a c 的设计和开发工作。该原型建立了基于划分和规则的权限访问机 制，可以实现安全分级、安全分类、用户授权、安全策略和安全标签的制定 与管理以及访问控制决定等功能。同时系统具有良好的扩展性，可以作为未 来实际产品开发的基础。 p r b a c 提出的时间不长，对它的研究国内还未多见。p r b a c 在标准和一 些关键问题上仍然不够成熟还有广阔的研究空间。作为一个大型系统，它的 相关标准庞杂，涉及多方面的知识和技术。作者在研究p r b a c 的基础理论、 技术框架以及应用与研究现状的基础上，参考了当前较为成功的p r b a c 实现 的技术方案，提出了一个超越了现有p r b a c 技术的固有限制而具有自身特色 的p r b a c 系统的设计方案，并且完成了系统模型的建立。具体的工作包括系 统的需求分析、设计和部分模块实现。 1 3 本文的章节安排 第一章，引言。主要介绍课题的来源和背景，作者的主要工作，文章的章 节安排等。 第二章，访问控制技术概述。首先介绍了有关访问控制的定义，然后介绍 了目前主要的几类访问控制技术，以及访问控制技术的发展。最后对基于角 2 基于划分和规则访问控制系统的研究与实现 色的访问控制r b a c 技术进行了简要介绍，并分析了r b a c 相对传统的访问 控制技术的优势以及仍然存在的问题，并由此引出对基于规则和划分的访问 控制p r b a c 技术进行研究的必要性。 第三章，p r b a c 研究概述。首先介绍了相关的基础知识，主要是公钥基 础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 和有关x 5 0 9 数字证书的介绍以及 p r b a c 中的一些基本概念的介绍。然后对p r b a c 的工作原理和工作流程进 行了必要的阐述，最后分析了现有p r b a c 系统存在的缺陷和限制，为后面的 设计和实现奠定了理论基础。 第四章，m y p r b a c 的设计。首先介绍了m y p r b a c 系统的开发目标，然 后提出了系统的需求分析，接着根据系统需求提出了总体的设计思路和体系 结构并按照此总体设计对各个主要模块进行了详细的设计分析。 第五章，m y p r b a c 的实现。在设计方案的基础上，按照分期分阶段原则， 实现了m y p r b a c 核心功能模块。首先说明了系统的实现平台和环境，然后 分别介绍了两种授权方式下的系统流程，最后对各个模块所实现的功能和主 要接口函数进行了详细说明。 第六章，今后的工作。本章中作者首先简单总结了现有工作，接着重点阐 述了系统存在的不足以及作者对于系统的改进思路和以后还需完善的功能。 本章小结 本章介绍课题的研究背景，作者在课题中所做的主要工作，以及全文的章 节安排。下一章将对访问控制技术的概念体系、技术框架以及发展现状做一 个综述。 3 基于划分和规则访问控制系统的研究与实现 第二章访问控制技术概述 互联网已经成为人类社会的重要组成部分。在i n t e r n e t 之上，一个虚拟的 社会正在成熟壮大。网络技术和设施的日益完善，为这个虚拟社会提供了技 术和硬件支撑。 现实社会中，已经存在一套完善的信用体系。社会机构中，有专门从事身 份证明和信用证明的机构，如公安部门、公证机关、银行等等，向合法人群 提供身份证、驾照、信用卡、授权书、支票等等，而人们在从事社会活 动时可能会有审查机构要求检查他们的身份和权限，这时人们就可以用以上 证明来证明他们身份，并体现他们的权限。同样，随着i n t e r n e t 的飞速发展现 而形成的网络虚拟社会中，个人或者机构也可能会被要求检查他们的身份和 权限，他们也需要证明自己的身份和权限，所以现在在网络上也出现类似于 现实社会中的权利机关和审查机关的机构，访问控制就是为了实现以上功能 而出现的一种新兴技术。 2 1 访问控制技术概述 2 1 1 访问控制的定义 访问：是使信息在主体和对象问流动的一种交互方式。 主体：是指主动的实体，该实体造成了信息的流动和系统状态的改变，主 体通常包括人、进程和设备。 对象：是指包含或接受信息的被动实体。对对象的访问意味着对其中所包 含信息的访问。对象通常包括记录、块、页、段、文件、目录、目录树和 程序以及位、字节、字、字段、处理器、显示器、键盘、时钟、打印机和 网络节点。 访问控制：决定了谁能够访问系统，能访问系统的何种资源以及如何使用 这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数 4 基于划分和规则访问控制系统的研究与实现 据。访问控制的手段包括用户识别代码、口令、登录控制、用户授权、资 源授权( 例如用户配置文件、资源配置文件和控制列表) 、授权核查、同 志和审计。 2 1 2 访问控制的分类 2 1 2 1 任意访问控制 任意访问控制( d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 是一种允许主体对访问控制 施加特定限制的访问控制类型。在很多机构中，用户在没有系统管理员介入 的情况下，需要具有设定其他用户访问其所控制资源的能力。这使得控制具 有任意性。在这种环境下，用户对信息的访问能力是动态的，在短期内会有 快速的变化。任意访问控制经常通过访问控制列表实现，访问控制列表难于 集中进行访问控制和访问权力的管理。任意访问控制包括身份型 ( i d e n t i t y - b a s e d ) 访问控制和用户指定型( u s e r - d i r e c t e d ) 访问控制。 2 1 2 2 非任意访问控制 非任意访问控制( n o n d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 是为满足安全策略和目 标而采用的一系列集中管理的控制手段。访问控制是由访问者在机构中的角 色决定的。角色包括职务特征、任务、责任、义务和资格。访问者在系统中 的角色由管理者赋予或吊销。当员工离开机构时，其在系统中的所有角色都 应该吊销。大的公司通常会有频繁的人员流动，基于角色的安全策略是唯一 合理的选择。基于角色的访问控制r b a c 就属于这类访问控制方式。 2 1 2 3 强制访问控制 强制访问控制( m a n d a t o r y a c c e s sc o n t r 0 1 ) 是一种不允许主体干涉的访问控 制类型，它是基于安全标识和信息分级等信息敏感性的访问控制。在强制访 问控制中每个用户和文件都被赋予一定的安全级别，用户不能改变自身或任 何客体的安全级别，即不允许单个用户确定访问权限，只有系统管理员可以 确定用户和组的访问权限。系统通过比较用户和要访问的文件的安全级别来 决定用户是否可以访问该文件。强制访问控制包括规则型( r u l e - b a s e d ) 访问 控制和管理指定型( a d m i n i s t r a t i v e l y ，b a s e d ) 访问控制。基于划分和规则的访 5 基于划分和规则访问控制系统的研究与实现 问控制p r b a c 就属于这类访问控制方式。 2 1 3 访问控制技术的发展 在i n t e r n e t 发展之初，当时的网络使用者通常是在一个局部的环境，如部 门内的局域网访问网络资源。他们只需要为某个局部环境中的用户建立对应 的用户( 或用户组) 和密码并为其设置相应的访问权限，通过比较用户和密 码是否匹配来确认身份从而确认其访问权限。这种曾经被广泛应用的传统的 访问控制方式，现在看来在显得既简单又呆板，当组织内人员新增或有人离 开时，或者某个用户或组的职能发生变化时，需要进行大量授权更改工作。 9 0 年代以来出现的一种基于角色的访问控制r b a c ( r o l e b a s e da c c e s s c o n t r 0 1 ) 技术有效地克服了传统访问控制技术中存在的不足之处，可以减少授 权管理的复杂性，降低管理开销，而且还能为管理员提供一个比较好的实现 安全政策的环境。 在r b a c 中，引入了角色这一重要概念。所谓“角色”，就是一个或一群 用户在组织内可执行的操作的集合。r b a c 的基本思想是：授权给用户的访 问权限，通常由用户在一个组织中担当的角色来确定。例如，一个银行包含的 角色可以有出纳员、会计师和贷款员等。由于他们的职能不同，所拥有的访 问权限显然也各不相同。r b a c 根据用户在组织内所处的角色进行访问授权 与控制。也就是说，传统的访问控制直接将访问主体( 发出访问操作、存取要 求的主动方) 和客体( 被调用的程序或欲存取的数据) 相联系，而r b a c 在中间 加入了角色，通过角色沟通主体与客体。真正决定访问权限的是用户对应的 角色。r b a c 对访问权限的授权由管理员统一管理，而且授权规定是强加给 用户的，用户只能被动接受，不能自主地决定。用户也不能自主地将访问权 限传给他人。这是一种非自主型访问控制。 我们首先简要介绍r b a c 技术，由此引出p r b a c 的研究介绍。 2 2 基于角色的访问控制r b a c 基于角色的访问控制r b a c 通过角色沟通主体与客体，真正决定访i ；7 权 限的是用户对应的角色。r b a c 对访i ；q 权限的授权由管理员统一管理，而且 6 基于划分和规则访问控制系统的研究与实现 授权规定是强加给用户的，用户只能被动接受，不能自主地决定，用户也不 能自主地将访问权限传给他人。这是一种非任意访问控制。 2 2 1 r b a c 的特点 1 以角色作为访问控制的主体 用户以什么样的角色对资源进行访问，决定了用户拥有的权限以及可执 行何种操作。所以在r b a c 中，访问的主体变成了角色。 2 角色继承 为了提高效率，避免相同权限的重复设置，r b a c 采用了“角色继承”的 概念，定义了这样的一些角色，它们有自己的属性，但可能还继承其他角色 的属性和权限。角色继承把角色组织起来，能够很自然地反映组织内部人员 之间的职权、责任关系。 3 最小权限原则 所谓最小权限原则是指：用户所拥有的权力不能超过他执行工作时所需 的权限。实现最小权限原则，需分清用户的工作内容，确定执行该项工作的 最小权限一集，然后将用户限制在这些权限范围之内。在r b a c 中，可以根 据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只有角色需 要执行的操作才授权给角色。当一个主体预访问某资源时，如果该操作不在 主体当前活跃角色的授权操作之内，该访问将被拒绝。 4 职责分离 对于某些特定的操作集，某一个角色或用户不可能同时独立地完成所有这 些操作。“职责分离”可以有静态和动态两种实现方式。 静态职责分离：只有当一个角色与用户所属的其他角色彼此不互斥时，这 个角色才能授权给该用户。 动态职责分离：只有当一个角色与一主体的任何一个当前活跃角色都不互 斥时，该角色才能成为该主体的另一个活跃角色。 5 角色容量( 基数) 在创建新的角色时，要指定角色的容量。在一个特定的时间段内，有一些 角色只能由一定人数的用户占用。 7 基于划分和规则访问控制系统的研究与实现 2 2 2r b a c 的优势 r b a c 的最大优势在于它对授权管理的支持。通常的访问控制实现方法， 将用户与访问权限直接相联系，当组织内人员新增或有人离开时，或者某个 用户的职能发生变化时，需要进行大量授权更改工作。而在1 2 3 3 a c 中，角色 作为一个桥梁，沟通于用户和资源之间。对用户的访问授权转变为对角色的 授权，然后再将用户与特定的角色联系起来。一旦一个r b a c 系统建立起来 以后，主要的管理工作即为授权或取消用户的角色。p 3 3 a c 的另一优势在于： 系统管理员在一种比较抽象且与企业通常的业务管理相类似的层次上。 2 2 3r b a c 存在的问题 在电子政务和军事系统等应用中通常会对信息进行更加细致的划分，如对 信息进行分级，分为“秘密”，“机密”，“绝密”等安全级别，在形成文档资 料时，这些标签会标在每页的页首或页脚。这样一来机关部门就能够控制管 理对这些信息的访问，使关键信息不会被非法访问、修改或破坏，并确保这 些信息在被需要时可用。政府职员只有在获得授权的情况下，才能访问关键 信息。一般说来，是按照职务和或职责来确定对某一级信息的访问权。通过 这种方式能对信息进行更加严格更加灵活的控制，而这些需求都是p 3 3 a c 无法 解决的。 美国国防部于1 9 9 9 年提出了一种基于规则和划分的访问控制技术： p r b a c ( p a r t i t i o nr u l eb a s e da c c e s sc o n t r 0 1 ) 。p r b a c 用安全策略信息文档 s p i f ( s e c u r i t y p o l i c y i n f o r m a t i o n f i l e ) 描述安全策略和规则，用x 5 0 9 证书携 带用户的授权信息，用安全标签表示目标对象的敏感度，通过标准的访问控 制决定功能，根据定义的安全策略来比较用户的授权和目标对象的安全标签 以决定是否给予访问权限。p r b a c 对目标对象分级控制的特点非常适用于电 子政务和军事等系统中的访问控制需求，目前已成功应用于美国国防部消息 系统、加拿大国防部军用消息处理系统和b c a d e m o n s t r a t i o n p h a s e i i 等的访问 控制需求。 8 基于划分和规则访问控制系统的研究与实现 本章小结 本章首先介绍了有关访问控制的定义，然后介绍了目前主要的几类访问控 制技术，以及访问控制技术的发展。最后对基于角色的访问控制( r b a c ) 技 术进行了简要介绍，并分析了r b a c 相对传统的访问控制技术的优势以及仍 然存在的问题，并由此引出对基于规则和划分的访问控制( p r b a c ) 技术进 行研究的必要性。 9 基于划分和规则访问控制系统的研究与实现 第三章p r b a c 研究概述 p r b a c 是一个比较新的研究课题，1 9 9 9 年由美国国防部制定并发布了有 关p r b a c 的标准s d n 8 0 1 。目前一般关于p r b a c 的研究、产品和应用都基 于该标准。 本章将对和p r b a c 相关的知识做一个基本介绍，然后基于s d n 8 0 1 对 p r b a c 的工作原理进行分析和阐述并指出该技术现有的部分缺陷和限制。对 这些基本概念和原理的研究和分析是m y p r b a c 的设计和开发工作的基础。 3 1 基本概念介绍 3 1 1 相关基础知识介绍 p k i ( p u b l i c k e yi n f r a s t r u c t u r e ) 即公钥基础设施，p k i 技术就是利用公钥理论和技术建立的提供信息安全 服务的基础设施。p k i 采用数字证书进行公钥管理，通过第三方的可信任机构 ( 认证中心，即c a ) ，把用户的公钥和用户的其他标识信息捆绑在一起，其 中包括用户名和电子邮件地址等信息，以在i n t e m e t 网上验证用户的身份。p k i 把公钥密码和对称密码结合起来，在i n t e m e t 网上实现密钥的自动管理，保证 网上数据的安全传输。 因此，从大的方面来说，所有提供公钥加密和数字签名服务的系统，都可 归结为p k i 系统的一部分，p k i 的主要目的是通过自动管理密钥和证书，为 用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的 使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。 数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的完整性 是指数据在传输过程中不能被非法篡改：数据的有效性是指数据不能被否认。 一个有效的p k i 系统必须是安全的和透明的，用户在获得加密和数字签名服 务时，不需要详细地了解p k i 的内部运作机制。在一个典型、完整和有效的 1 0 基于划分和规则访问控制系统的研究与实现 p k l 系统中，包括了证书的创建、发布、更新和撤销，一个可用的p k i 产品 还必须提供相应的密钥管理服务，包括密钥的备份、恢复和更新等。没有一 个好的密钥管理系统，将极大影响一个p k i 系统的规模、可伸缩性和在协同 网络中的运行成本。所以般来讲在一个典型的p k i 系统中包括下几个子 系统： a 1 认证中心c a ( c e r t i f i c a t ea u t h o r i t y ) ，负责签发证书和证书撤消列表， 是证书和密钥生存周期管理过程中的核心功能部件，也是整个p k i 系 统的核心部件。 b ) 注册机关r a ( r e g i s t r a t i o n a u t h o r i t y ) ，负责在c a 为实体发放证书以 前验证实体身份，收集实体身份信息并代表实体向c a 提出证书申请。 ( r a 是一个可选组件，假如没有r a ，c a 则必须承担r a 的功能。) c ) 密钥管理中心k m c ( k e ym a n a g e m e n tc e n t e r ) 是为了避免丢失解密 数据的密钥而造成数据丢失，而提供密钥备份与恢复机制的机构。密 钥的备份与恢复应该由c a 来发起和完成，必须强调的是，密钥备份 与恢复只能针对解密密钥，而签名密钥不能做备份，因为数字签名是 用于支持不可否认性服务的。 d ) 公共资料库公共资料库存储c a 签发的证书和证书撤消列表，便 于用户方便的取得证书和证书撤消列表信息，般采用l d a p 服务器 作为公共资料库。 x 5 0 9 公钥证书 x 5 0 9 是由国际电信联盟( i t u t ) 制定的数字证书标准。在x 5 0 0 确保 用户名称惟一性的基础上，x 5 0 9 为x 5 0 0 用户名称提供了通信实体的鉴别机 制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口。 x 5 0 9 的最初版本公布于1 9 8 8 年。x 5 0 9 证书由用户公共密钥和用户标识 符组成。此外还包括版本号、证书序列号、c a 标识符、签名算法标识、签发 者名称、证书有效期等信息。目前投入使用的p k i 系统一般都使用这一标准 的v 3 版本，它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩 展信息字段，用来提供更多的灵活性及特殊应用环境下所需的信息传送。 下图是v 1 一v 3 版本的x 5 0 9 证书结构图。 1 1 基于划分和规则访问控制系统的研究与实现 版本 证书序列号 算法 参数一一一一 发行者名称 起始时间 一黼n - 一一 主体名称 算法 一一嘲一一一 一一嘲一一一 发行者唯一标识符 主体唯一标识符 扩展 签名 图3 - 1x 5 0 9 各版本内容比较 版 本 1 版 本 2 + 所有版本 + 版 本 3 x 5 0 9 的c l e a r a n c e 扩展 c l e a r a n c e 属性是用于体现用户的授权信息一组结构，而x 5 0 9v 3 证书提 供了一个扩展信息字段，这种证书扩展项可以保存任何类型的附加数据，利 用这一特性可以把体现用户授权信息的c l e a r a n c e 属性加入x 5 0 9 v 3 公钥证书 的扩展段。 x 5 0 9 属性证书 为了使附加的用户属性信息能够保存在证书中，x 5 0 9v 3 中引入了公钥 证书扩展项，这种证书扩展项可以保存任何类型的附加数据。随后，各个证 书系统纷纷引入自己的专有证书扩展项，以满足各自应用的需求。然而，扩 展项的引入在证书的互操作性、发放证书的权限，以及证书的撤销等方面带 来了许多问题。 因此，引入授权证书的合理性是简单而引人注目的。既然不同的部门具有 不同的发放证书权限，而且在证书中最容易改变的信息是属性信息，那么为 什么不把x 5 0 9v 3 证书分拆成两个不同的证书：一个是存放身份信息的公钥 证书；另一个是存放属性信息的授权证书，这样就可以极大地简化发放证书 控 基于划分和规则访问控制系统的研究与实现 的流程，并且在一定程度上解决了证书撤销的问题。因为如果授权证书使用 短有效期，那么它们就不需要被撤销，而仅仅是过期作废罢了1 2 0 0 0 年i t u t 发布了x 5 0 9 v 4 版本。在x 5 0 9 v 4 版中，提出了将信任和 授权服务分离的思路，并建立了授权服务的框架。这种思路，与日益发展和 细化的市场需求是分不开的。现有系统中存在着两个主要矛盾：用户的身份 信息和权限信息的生命周期并不一致，都由公钥证书p k c ( p u b l i ck e y c e r t i f i c a t e ) 作为载体会大大缩短p k c 的生命期，增加工作量；授权机构和认 证机构也不同一，认证机构在给用户生成p k c 时不得不先向授权者请求要授 予的特权。身份确认和特权管理之间的差异决定了对信任和授权服务应该区 别对待。信任和授权分离不仅有利于系统开发和重用，也有利于进行安全方 面的管理。 p m l ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ) 权限管理基础设施，是在p k i 的基础上建立了一个新的信息保护基础设 施，它能够与p k i 和目录服务紧密的集成，在鉴别用户身份之后p m i 可以利 用属性证书提供授权功能，因此p m i 可以建立在已有的p k i 之上，并对p k i 是有益的补充。p m i 作为一个基础设施能够系统地建立起对认可用户的特定 授权。p m i 通过结合授权管理系统和身份认证系统补充了p k i 的弱点，提供 了将p k i 集成到各种计算环境的应用模型，而不只是将p k i 的应用限制在用 户安全解决方案上。 a s n 1 编码 a s n 1 是一种原始的数据声明语言。它允许用户定义原语对象，然后再把 它们组合为复杂对象。在x 5 0 9 标准中，公钥证书、属性证书和证书撤销列表 c r l 都使用了a s n 1 语法来描述，在具体的实现过程中需要进行相应的编解 码工作。编解码的目的是为了保证不同系统下都能识别和理解证书、c r l 等 数据。所以a s n 1 是描述在网络上传输信息格式的标准方法。它有两部分： 第一部份( i s o8 8 2 4 i t ux 2 0 8 ) 描述信息内的数据、数据类型及序列格式， 也就是数据的语法；第二部分( i s o8 8 2 5 1 i t ux 2 0 9 ) 描述如何将各部分数据 组成消息，也就是数据的基本编码规则。a s n 1 编码规则包括了很多种编码 基于划分和规则访问控制系统的研究与实现 方式，常用的有基本编码规则( b a s i ce n c o d i n gr u l e s ，b e r ) 、唯一编码规则 ( d i s t i n g u i s h e de n c o d i n gr u l e s ，d e r ) 编码等，x 5 0 9 证书常用的编码方式是 d e r 码。 a s n 1 原来是作为x 4 0 9 的一部分而开发的，后来才独立地成为个标准。 这两个协议除了在p k i 体系中被应用外，还被广泛应用于通信和计算机的其 它领域。 在课题现有项目中，我们一般采用了0 p e n s s l 的编码和解码。因为 o p e n s s l 为我们定义了很多的a s n 1 类型，其他未提供的类型我们通过 s n a c c 工具生成。 p k c s l 2 文件 符合个人信息交换语法标准p k c s l 2 ( p u b l i c k e yc r y p t o g r a p h ys t a n d a r d s 撑1 2 ) 的文件格式，文件内容除了用户公钥证书还包括用密码保护的对应私钥， 简称p 1 2 文件。 l d a p ( l i g h td i r e c t o r y a c c e s sp r o t o e a l ) l d a p 的英文全称是l i g h t w e i g h t d i r e c t o r y a c c e s s p r o t o c o l ，即轻量级目录 访问协议，一般都简称为l d a p 。它是基于x 5 0 0 标准的，但是简单多了并且 可以根据需要定制。与x 5 0 0 不同，l d a p 支持t c p i p ，这对访问i n t e r u e t 是必须的。1 9 9 7 年，l d a p 第3 版本成为互联网标准。目前，l d a pv 3 已经 在p k i 体系中被广泛应用于证书信息发布、c r l 信息发布、c a 政策以及与信 息发布相关的各个方面。 l d a p 支持x 5 0 9 公钥证书、属性证书、c l e a r a n c e 证书、s p i f 文件的存 取。现在常见的几种l d a p 服务器包括：开放源码的自由软件o p e n l d a p ， m i c r o s o f t 公司的a c t i v ed i r e c t o r y , s u n 公司的i v l l a n e td i r e c t o r ys e r v e r 。在课 题现有项目中，我们一般采用o p e n l d a p 作为l d a p 服务器。 d n f d i s t i n g u i s h e dn a m e ) l d a p 的信息模型是建立在“条目”( e n t r i e s ) 的基础上。目录条目以一 个层次的树结构来安排。传统上，该结构反映了地理的或者组织结构上的边 1 4 基于划分和规则访问控制系统的研究与实现 界。代表国家的条目，出现在树的顶部，下面是代表州或者地理组织的条目， 它们下面可能是代表组织单元，个人，打印机，文档或者只是任何其他的你 能想到的东西的条目。一个条目具有一个全局唯一的“可区分名称”d n ，该 d n 被用来唯一的引用该条目。每一个d n 是由两个部分组成的：相对d n ( r d n ) 和其祖先条目的名称。 如：一个条目的d n 为：o = u e s t c ，l = c h e n g d u ，s t = s i c h u a n c = c n 则该条目的r d n 是o = u e s t c ，其祖先条目的名称为 l = c h e n g d u ，s t = s i c h u a n ，c = c n 。 3 1 2p r b a c 的基本概念 s p i f ( s e c u r i t yp o l i c yi n f o r m a t i o nf i l e ) 安全策略信息文件，是由可信源( 如策略