（计算机软件与理论专业论文）cscw环境中访问控制技术的研究与实现.pdf

山东师范大学硕士学位论文 c s c w 环境中访问控制技术的研究与实现 摘要 计算机支持的协同工作( c o m p u t e rs u p p o r t e dc o o p e r a t i v ew b r k ，c s c 、是人 们为了完成共同的；庄务目标，借助计算机和网络，通过资源共享、信息交换、 互操作等方式进行协同工作的信息系统。访问控制是确保系统安全的一个重要 手段，是通过适当的访问权限管理来实现系统的信息和资源保护，防止用户对 系统信息的不恰当和非法访问。随着计算机技术和应用的发展，特别是网络应 用的发展，c s c w 系统中访问控制的研究已成为计算机科学的研究热点之一。 在协同环境卜，访问控制研究面临着更多挑战，个仅要满足系统安全的基 本需求，而且要满足协同工作中细粒度授权、环境感知授权、支持安全策略的 可扩展性与分布式特征等特殊需求。另外，为减轻协同上作中系统的管殚负担， 需要将权限的集中管理分散实施，使权限管理更加灵活方便，提高分布式系统 的伸缩性。但同时由于在分布式环境下委托授权的实施者可以是系统中任意用 户实体，委托操作比较分散，用户数量是动态的，用户本身也可能是未知的， 这就给委托授权带来了安全隐患。因此必须实施有效的措施来解决委托授权中 的安全问题。 本文致力于研究c s c w 环境中访问控制模型的建立及其应用问题，目的是 通过研究新的、适用于计算机支持的协同工作的访问控制机制，为分布式环境 下的设计人员的协作提供一个安全方便的平台。论文的主要工作为： 1 、提出一种支持属性证书的访问控制模型 利用基于角色和基于任务的访问控制技术，将协同设计中的用户、任务、 角色、权限相关联，并引入属性证书进行授权，建立一种新的访问控制模型 n t - r b a c 烈e wt a s k - r o l eb a s e da c c e s sc o n t r 0 1 ) 。通过为任务颁发属性证书，利 用属性证书的有效期以及委托授权机制来灵活地进行授权管理，避免了传统授 权方式不能对权限进行时间上的控制的缺点。同时，缩短了系统对用户授权的 响应时间，增强了授权安全性，并有效提高了访问控制的灵活性。最后，给出 了一个基于该模型的实例，结果令人满意。 2 、提出一个面向信任管理的角色委托授权模型 针对传统委托授权模型的不足，提出面向信任管理的角色委托授权模型 1 m s t r b d m ( 1 1 m s t r 0 1 eb a s c dd e l e g a t i o nm o d e l ) ，利用信任基的思想扩展了基 于角色的访问控制模型。在模型中，用户和信任基建立映射关系，而不是角色。 信任基是建立在一系列的上下文因素基础上的，像用户信誉，用户行为历史， 山东师范大学硕士学位论文 用户评价等。信任基被指派到角色，角色再指派到权限，从而实现用户对共享 资源的许可。t m s t i 也d m 克服了基于角色的访问控制模型和基于信任的访问控 制模型的缺点，依靠可信链的传递，建立了用户之间安全可靠的委托授权机制， 增强了委托授权的安全性。 3 、实现了一个基于信任管理的委托授权模型的访问控制系统 将本文提出的面向信任管理的角色委托授权模型应用于基于h o o p s 的3 d 协同设计系统的访问控制模块。在h o o p s n e t 环境f - 利用v c + + 。n e t2 0 0 3 存w i n d o w sx p 平台上开发完成，结果令人满意。 关键词：c s c w ；r b a c ； t b a c ；属性证节；信任基 分类号：t p 3 0 9 2 山东师范大学硕士学位论文 r e s e a r c ha n di m p l e m e n t a t i o no f a c c e s sc o n t r o lt b c h n 0 1 0 9 yi n c s c we n v i r o n m e n t a b s t r a c t c o m p u t e rs u p p o r t e dc o o p e r a t i v ew o r k ( c s c w ) i sa ni n f o n n a t i o ns y s t e mw i t h w h i c hp e o p l ec a nw o r kc o l l a b o r a t i v e l yi i lo r d e rt oc o m p l e t et h ec o m m o nm i s s i o n d b je c t i v e st h o u 班w a y ss u c h 弧s h 撕n go fr e s o u r c e s ，e x c h a l l g eo fi n f o m a t i o na i l d c o o p e r a t i o nb yu s i n go fc o m p u t e r sa n dn e 俩o r k s a c c e s sc o n 仃o li sa ni m p o r t a n t m e 锄st oe n s u r et h es a f - e t yo fs y s t e mt h r o u 曲a p p r o 埘a t ea c c e s sm a n a g e m e n ts y s t e m t oa c h i e v em ep r o t e c t i o no fi n 旬咖a t i o na n dr e s o u r c e ss ot h a tp r e v e i l tt h es ) ，s t i n f o m a t i o n矗o mi n a p p r o p r i a t ea n du n a u t h o r i z e da c c e s s o fu s e r s w i t ht h e d e v e l o p m e n to fc o m p u t e rt e c h n 0 1 0 9 ya n da p p l i c a t i o n s ，i np a r t i c u l a rt h ed e v e l o p m e n t o fn e t w o r ka p p l i c a t i o n s ，t h es t u d yo fc s c ws y s t e ma c c e s sc o n t r o lh a sb e c o m eo n e o ft h eh o ts p o t so fr e s e a r c hi nc o m p u t e rs c i e n c e i nc s c we n v i r o n m e n t ，a c c e s sc o n t r o lf a c e sm o r ec h a l l e n g e s no to n l ys h o u l di t m e e tm eb a s i cn e e d so fs y s t e ms e c u r i 坝b u ta l s om e e tt h es p e c i a ln e e d ss u c ha s f i n e g r a i n e da u t h o z a t i o n ，e n v i r o i 姗肌t a lp e r c 印t i o na u t h o r i z a t i o n ，t h es c a l a b i l i t y s u p p o r t i n gs e c 耐t ys t r a t e g ya n dt h ed i s t 舶u t e df e 呶l r e s e t c i na d d i t i o n ，i no m e rt o a l l e v i a t em ea d m i n i s t r a t i v eb u r d e no fc o o p e r a t i v ew o r ks y s t e m ，i ti sn e c e s s a r yt o m a k em ec e n t r a la d m i n i s t r a t i v eb ei m p l 锄e n t e dd e c e n t r a l i z e d ，m a l ( et h ea u t h o d t y a d m i n i s t r a t i v em o r en e x i b l ea 1 1 di m p r o v et h es c a l a b i l i t yo fd i s t r i b u t e ds y s t 锄s h o w e v e r ，f o rt h ee x e c u t o ro fd e l e g a t i o nb e i n ga na 而i t r a r yu s e re n t i t yu n d e rt h e d i s t r 【b u t e de n v i r o n m e n t ；c 伪n m i s s i o n e do p e r a t i o ni ss c a t t e r e d ；t h en u i i 】曲e ro fu s e r si s d y n 锄i c 觚du s e r sm a ya l s ob e 蛐o w n ，w h i c hb 订n g sap o t e n t i a ls a f e t yp r o b l e mt o d e l e g a t e da u t h o r i t y s ot h a ti t i sn e c e s s a 巧t oa d a p te 虢c t i v em e a s u r e st os o l v et h e d e l e g a t e da u t h o r i t yi ns e c u r i t yi s s u e s m u c ha t t e n t i o nh a sb e e np a i dt om ec o n s t m c t i o na n da p p l i c a t i o no fa c c e s s c o n t r o lm o d e li nt h i sp 印既s ot h a ti tc a l lp r o v i d eas a f e t ya n dc o n v e n i e n tp l a t f i o 肌 f o rd i s t r i b u t e dd e s i g n e r sb ys t u d y i n gan e wa c c e s sc o n t r o lm e c h a l l i s mw h i c hi sf i t t e d t oc s c w ：t 1 1 em a i nw o r ki sa sf o l l o w s ： 1 、p r o p o s ea na c c e s sc o n 仃o lm o d e ls u p p o r t i n ga 嘶b u t ec 耐i 矗c a t e a c c o r d i n gt ot h et e c h l l o l o g yo fa c c e s sc o n t r 0 1b a s e do nr 0 1 ea n dt a s k ，an e w a c c e s sc o n t r o lm o d e ln t r b a cw a sc o n s t l l j c t e d ，w h i c ha s s o c i a t e du s e r sw i t ht a s k s ， r o l e sa n dp 锄n i s s i o n si nc o l l a b o r a t i v ed e s i 萨c o 姗m i s s i o ni sm a n a g e dn e x i b l yb y t h ev a l i d i t vo fa t t r i b u t ec e r t i f i c a t ew h i c hi si n t r o d u c e dt ot a s ka i l dm em e c h a n i s mo f d e l e g a t i o n ，w r h i c ha v o i d st 1 1 es h o n c o m i n go f p e n n i s s i o n s c o n t r o li nt i m e m e a n w h i l e ， t l l et i m es y s t e mr e s p o n s et ou s e r s a u t h o r i z a t i o ni ss h o n e n e d ，t h e 趴眦l o r i z e ds e c u r i 够 山东师范大学硕士学位论文 i si n c r e a s e da n dt h ea c c e s sc o n t r o lf l e x i b i l i t yi si m p r o v e d f i n a l l y a ni n s t a n c eb a s e d o nt h i sm o d e lw a sp r o v i d e dw 1 1 i c hs h o w e dt h a tm em o d e lc a i lw e l ls a t i s 母t h e r e q u i r 钮l e n to fa c c e s sc o n t r o li nc s c w ： 2 、p r o p o s ea nt n j s to r i e n t e dd e l e g a t i o nm o d e l a c c o r d i n gt ot h ed e f e c to ft r a d i t i o n a ld e l e g a t i o nm o d e l ，1 m s t r b a m ( t m s t r o l eb a s e dd e l e g a t i o nm o d e l ) w a sc o n s t n l c t e d t 】m s tb a s ew a su s e dt oe x t e n d t h er 0 1 e b a s e da c c e s sm o d e l t h em a p p i n gr e 】a t i o nw a se s t a b l i s h e db e t w e e nu s e r s a n d 缸1 l s t b a s e ，n o tr 0 1 e t u s t - b a s ei sb a s e do nas e r i e so fc o n t e x t s ，s u c ha su s e r s c r e d i b i l i 饥m eh i s t o r yo fu s e r sa 1 1 du s e re v a l u a t i o n t r u s t - b 2 l s ei s2 l s s i 盟e dt or o l e s a n dr o l e sa s s 虹班e dt op 踟m i s s i o n ss ot h a ta d l i e v cu s 蚜sp 跚m i s s i o nt ot h es h 卸e d s o u r c e t 如s t r b d mo v e r c o m es h o r t c o m i n g so fr o l e b a s e da c c c s sc o n t r 0 1m o d 嗣 a n dt m s t - b a s e da c c e s sc o n t r o lm o d e la n de s t a b l i s hs e c u r e d e l e g a t e da u t h o d t y m e c h a l l i s m 锄o n gu s e r sr e l 如n go nt r 孤s m i s s i o no fc r e d i b l ec h a i n a sar e s u l t ，t h e s e c u r i t yo fd e l e g a t e da u t h o r i t vw a se l t h a n c e d 3 、i m p l 铡 1 e 1 1 ta na c c e s sc o n t l o ls y s t e mb a s e do nt m s to r i e n t e dd e l e g a t i o nm o d e l n l et h s t r b d mw a sa p p l i e dt o3 dc o o p e r a t i v ed e s i 辨b a s e do nh o o p s t h e p r o 铲a m m i n ge n v i r o n m e n ti sv c + + n e t2 0 0 3 t h ea n a l y s i so fi n s t a n c e ss h o w st h a t m er e s u l t sa r eq u i t es a t i s 句i n g k e y w o r d s ：c s c w ；r b a c ；t b a c ；a t t r i b u t ec e n i f i c a t e ；1 m s tb a s e c l a s s i n c a t i o n ：t p 3 0 9 2 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究t 作及取得 的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得 ( 注：如没有其他需要特别声明的，本栏可空) 或其他教育机构的学位或证书 使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示谢意。 躲臀硅翩擀副荔 学位论文版权使用授权书 本学位论文作者完全了解堂撞有关保留、使用学位论文的规定，有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。 本人授权堂撞可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。( 保密的学位论文 在解密后适用本授权书) 学位论文作者躲观 签字日期：2 。9 年j 月弓口日 导师签字； 签字同期：2 0 0 9 。卜 年j 月? 1 日 山东师范大学硕士学位论文 1 1 引言 第一章绪论 随着信息化进程的深入，通信技术与计算机及其网络技术相融合，人类对1 作的群体件、分布性、交瓦性和协同性的客觋要求也越来越强。为尽屠大可能的 提高人类的工作效率和工作质量，一个新的研究领域计算机支持的协同工作 ( c s c w ：c o m p u t e rs u p p o r t e dc 0 0 p e r a t i v ew 6 r k ) 应运而生。 计算机支持的协同工作是人们为了完成共同的任务目标，借助计算机和网络， 通过资源共享、信息交换、互操作等方式进行协同工作的信息系统。协同工作需 要对共享环境中的数据进行访问，并且需要进行信息的交互。而协同过程中的数 据信息都是通过网络传输的，不可避免的会遭受非法攻击。因此如何确保在 c s c w 系统中流动信息的真实性，涉及到了c s c w 系统中的信息安全问题。一国际 标准化组织i s o 在网络安全标准i s 0 7 4 9 8 2 中，定义了五大安全服务功斛2 】：身份 认证( a u m e i l t i c a t i o n ) 服务、访问控制( a c c e s sc o n t r 0 1 ) 服务、数据保密( c o n f i d e n t i a l i t y ) 服务、数据完整性( i n t e 曲t y ) 服务和不可否认( n o n 一- e p u d i a t i o n ) 服务。其中，访问控 制就是以某种途径显式地准许系统用户的访问能力及访问范围，是c s c w 系统的 关键技术之一。在协同设计过程中，设计者依据不同的身份地位、专业特长、任 务分工对共享环境中的数据进行访问。同时，不同的数据具有不同的共享范围、 协同感知需求和安全性需求【3 】。因此，需要制定访问控制策略来限制对系统资源的 访问，防止由非法用户的侵入以及合法用户的不慎误操作而造成的危害。 与一般的共享系统所制定的访问控制策略不同，c s c w 系统对访问控制提出 了一些有别于其他系统的新的需求【4 】： ( 1 ) 访问控制必须在分布式平台上应用并执行。由于在协同环境中共享操作 的数量比传统单用户系统要多，协同访问控制从操作的数量上要比传统的单用户 模式需要更大的可扩展性。 ( 2 ) 访问控制模型应该是通用的，能够通过一种灵活的方式在不限制协作 的前提下，配置访问权限来满足广泛的协同任务和企业模型；能够为被授权用户 提供方便透明的访问，强烈排斥未经授权的用户，并允许对各个对象及其属性进 行细粒度的访问控制。 ( 3 ) 动态授权机制。协同设计中的1 个用户可以有多个角色，而1 个角色也 可以分配给多个用户。随着协同设计的逐步深人，协同任务不断变化，系统中将 出现用户的增减和调度，用户角色的变化，被保护数据安全级的改变等动态事件。 山东师范大学硕士学位论文 访问控制要求能适应这些变化。 ( 4 ) 随着网络用户的增多和网络规模的扩大，单一的安全策略很难保证协同 环境的真正安全；需要灵活易扩展的、支持多种安全策略的访问控制技术的研究。 因此访问控制技术与其他安全技术需要进一步结合。 目前c s c w 环境中的访问控制的研究主要集中在基于角色的访问控制r b a c 【5 】 ( r o l e b a s e da c c e s sc o n t r 0 1 ) 和基于任务的授权控制t b a c 嘲( 1 b k b a s e d a u t h o r i z a t i o nc o n t r 0 1 ) 。 1 2c s c w 访问控制研究现状 访问控制的研究历史可以追溯到2 0 世纪6 0 年代术。在随后的3 0 多年发展历 程中，应用的需求推动着访问控制的研究，使其取得了快速的进展。访问控制的7 最初需求是为了保护大型计算机系统中共享数据的安全，l 锄ps o n 首次对访问控 制作了形式化的数学描述【7 】，引入了主体和客体的概念，并将其表示成访问矩阵中 的行列值，主体对客体拥有的访问权限对应于矩阵元素。随后w a r e 等人提出了以 机密性为主的多级安全访问控制模型 8 】，它根据主体的信用度和客体的敏感度将主 体和客体划分为不同的安全级别，并依照简单安全属性和星级属性定义了访问控 制规则。 ，7 0 年代初，随着分时系统的出现，自主访问控制( d i s c r e t i o n a r ya c c e s sc o n 缸d 1 ， d a c ) 逐渐兴起，此后针对d a c 的缺陷又提出了适用于军事领域的强制访问控制 ( m a n d a t o 珂a c c e s sc o n t r o l ，m a c ) 技术。d a c 模型允许由客体的创建者或拥有者来 分配权限，可以自主传递给其它主体。m a c 模型规定所有访问权限均由系统仲裁 集中管理，这样就限制了用户的动作和对访问权限的转让，从而保证系统在安全 状态下运行。 随着网络技术的发展，为了更好地支持网络环境下的应用，为用户和应用系 统提供透明的访问控制能力，f e 盯a i o l o 和k u h 等人提出了基于角色的访问控制通 用模型【9 1o 】，用简单的形式化方式定义了角色、角色层次、主体角色关系、主体 客体仲裁等元素，以及施加在这些元素之上的约束，同时给出了角色用户指派、 角色授权和事务授权三个基本规则。此后美国g e o r g om a s o nu n i v e r s i t y 的r a v i s 绷d h u 给出了完整的r b a c 9 6 模型 u 4 ；标志着r b a c 理论的基本成熟，并成为普 遍引用的模型。许多研究工作在此基础上展开，例如b e n i n o 等人提出的t r b a c 模型( t c m p o r a lr b a c ，t r b a c ) 【1 2 】，在授权管理方面增加了时间约束，通过“使 能”和“激活”两种状态实现了权限的动态管理。国内的黄益民【l3 】等人也对基于 角色的访问控制模型进行了一系列的扩展。与传统模型相比，i m a c 克服了d a c 和m a c 模型在信息的机密性和完整性方面的欠缺【1 4 】，在管理上更为高效，成为公 认的标准。 2 山东师范大学硕士学位论文 c s c w 自1 9 8 4 年被m i t 的i r a l e ( 越e f 和d e c 公司的p a u lc a s h m a n 【1 5 】正式提 出以来，经过国内外专家不懈的努力，取得了一系列丰硕的研究成果：在军事、 工业、商业、教育科研和个人信息等方面都发挥着重要的作用，促进了生产效率 和协作创新能力的提高【1 6 ，1 7 1 。而应用于c s c w 环境下的访问控制技术的研究是 c s c w 安全的一项重要内容。1 9 9 2 年的c s c w 会议上，h - h s h e n 和一d e w 一8 l 提出了协作环境下访问控制的新特点和新需求，并以一个协同编辑框架s u i t e 为背 景设计了一个访问控制模型。该模型从主体、受体、访问操作这3 个角度去规定 访问权限，其中从主体的角度对访问权限按角色进行说明和继承。r b s m i t h 等人 在文献【1 9 】中介绍了一个共享空问应用系统设计环境k a l l s a s ，认为用户的角色关系。 到系统的输出和用户的输入。国内南京大学的李成揩等人也提出过基于角色的 c s c w 系统访问控制模型【5 1 。c s c w 访问控制主要研究如何将传统的访问控制技 术应用到c s c w 环境中。当前的研究热点集中在研究如何将数字证书技术、p k i 等引入到c s c w 应用中，另外就是协作中基于角色的委托授权机制。 文献【2 0 2 1 】分别采用属性和证书的方式对分布式r b a c 系统中的用户进行管理 并通过相关实体的属性和证书签名的有效件实施访问控制。张大汀【2 2 】等人剃孺番 x 5 0 9 证书和属性证书在p k i 和目录服务的基础上实现r b a c 模型。 、 基于角色的委托授权机制在c s c w 系统中具有广泛的应用。基于角色的委托 授权模型允许某个活跃用户将自己的角色授权给其他用户，使接受授权的用户代 理发出授权的用户执行某些任务，为在分布式系统中实现r b a c 提供了一种有效 的手段【2 3 1 。同时，权限的集中管理分散实施，使得权限管理更加灵活方便一提高 了分布式系统的伸缩性【2 4 】。最初，基于角色的委托授权模型主要有r b d m o 【蓼2 6 】 和) m 2 0 0 0 【2 7 】，但是它们都不支持委托约束规则，仅支持完全角色授权，缺乏授 权灵活性，也不符合最小权限授权原则。孙波【2 8 】等人引入时限和授权宽度，将 r d m 2 0 0 0 模型迸行了扩展。文献【2 9 】对委托授权机制中的约束机制进行了详细的研 究。 随后m b 1 a z e 等人提出了信任管理的概念f 3 0 】，其思想就是借助可信第三方提 供的附加安全信息来判断软件实体问的信任关系，进行系统的安全决策。由此， 可信模型也受到更多人的关注，可信值的评估方法也在文献【3 1 ，3 2 】中有所介绍，这些 可信模型和可信评估的方法都将为访问控制提供参考，并成为访问控制研究的一 个重要内容。文献【3 3 。5 】在信任管理的基础上对细粒度授权进行了研究。林闯r 3 6 1 等 入针对不同网络环境像网格，p 2 p 网络，以及无线网络下的访问控制技术进行了探 索，并提出了些未来访问控制的研究思路。文献【3 7 】为动态协同网提出了一个分 布式基于可信的访问控制系统，该系统是一种以节点为中心的基于可信的访问控 制，结合了信誉和风险，具有动态性，能够激励节点之间的相互协作和资源共享，适 用于移动a dh o c 协同环境系统。 3 山东师范大学硕士学位论文 1 3c s c w 访问控制技术研究中存在的问题 随着网络用户规模的扩大，网络资源数量的增多以及分布式计算系统的普及， 计算机支持的协同工作的群体性、分布性和协作性越来越大规模、复杂化的发展， 传统单一的访问控制策略已经不能满足实际安全需求，访问控制技术进入了复合 策略与动态策略时期，其典型特点就是感知环境、多种安全策略、支持异构系统 之问的安全互操作等。协同设计系统中的访问控制技术也越来越凸显出不足。目“ 自西访问控制的研究主要集中在基于角色的访问控制r b a c 和基于任务的授权控制 t b a c 。本文主要从四个方面分析协同设计系统中访问控制存在的问题： ( 1 ) 动态授权问题。c s c w 系统中层次化和分布化的信息处理决定了相应的授 权控制应该具有动态性。对于c s c w 系统中某些动态的数据对象，若采用i a c 的静态授权，则系统难以及时准确地授予、撤消主体和角色的权限，往往出现权 限提前授予、。主体拥有权限的周期长，在执行完任务后继续拥有权限的现象，这 是造成系统不安全的重要因素之一。 ( 2 ) 授权粒度问题。最小权限约束粒度不能满足c s c w 系统的要求。传统的 i 国a c 模型中，权限是直接与角色相关的，这就决定了权限的粒度最多只能细化 到角色一级。最小权限约束只是角色的最小权限约束。而在c s c w 系统最小的工 作单元是任务，因此r b a c 模型对权限粒度的划分，不能满足c s c w 系统的要求。 ( 3 ) 可扩展性问题：出于在坍同环境中共享操作的数量传统译用户系统要多， 协同访问控制从操作的数量上比传统的单用户模式需要更大的可扩展性。 ( 4 ) 委托授权安全性问题。在协同环境下，系统的管理工作异常繁重，完全 依赖系统管理者参与系统中的所有授权行为，严重加剧了系统的管理负担，此时 需要建立一种伸缩式的分散管理委托机制，以适应大规模协同设计中的管理要求； 但同时由于在分布式环境下委托授权的实施者可以是系统中任意用户实体，委托 操作比较分散，用户数量是动态的，用户本身也可能是未知的，这就给委托授权 带来了安全隐患。因此必须实施有效的措旌来解决委托授权中的安全问题。 1 4 本文的主要工作 本文针对大型的协同设计系统中，用户和角色的数量众多、关系复杂的特点， 以及用户在协同设计过程中，对于委托机制的需求，结合基于角色的访问控制模 型和基于任务的授权控制模型的优点，进行了研究与改进。论文主要工作为： 首先，提出一种支持属性证书的访问控制模型。 针对传统授权方式不能对权限进行时间上的控制、授权操作复杂、系统对用 户授权的响应时间欧、授权安全性差等缺点，将协同设计中的用户、任务、属性 4 山东师范大学硕十学位论文 证书、角色、权限相关联，实现了访问控制；通过为任务颁发属性证书，利用属 性证书的有效期及委托授权机制进行授权管理：能够根据任务的不同状态，动态 关联操作对象和操作权限，实现多用户、多任务问的协作设计。最后给出模型实 例。 其次，提出一个面向信任管理的角色委托授权模型。 针对目前分布式协同环境中常用的基于角色的访问控制模型和基于信任的访 问控制模型的不足，提出了一个面向信任的角色委托授权模型t m s t r b d m 。它利 用信任基的思想扩展了传统的基于角色的访问控制模型。用户和信任基建立映射 关系，丽不足角色。信任基是建立在系列的上下文因素基础上的，像用户信誉， 用户行为历史，用户评价等。信任基被指派到角色，角色再指派到权限，从而实 现用户对共享资源的许可。m s t r b d m 克服了基于角色的访问控制模型和基于信 仟的访问摔制模型的缺点大大增强了委托授权的安全性。 最后，实现了一个基于信任管理的委托授权模型的访问控制系统。 在基于h o o p s 的3 d 协同设计软件开发包中嵌入t m s t r b d m 模型。实验结 果表明，t m s t r b d m 模型是有效的，。能够很好地解决分布式协同设计环境中妨问 控制的安全性问题，细化了授权粒度，简化了授权操作。 1 5 本文的组织结构 本论文的组织结构图如图卜1 所示。 图1 1 论文的组织结构图 后续章节安排如下： 第二章：首先对访问控制模型进行了简要概述，接着对协同设计系统中的访问 控制进行了分析，最后提出要需要解决的问题。 第三章：基于t b a c 和r b a c ，提出了n t r a b c 模型。该模型将协同设计 5 山东师范大学硕士学位论文 中的用户、任务、属性证书、角色、权限相关联，实现了访问控制，并给出实例。 第四章：利用信任基的思想扩展了基于角色的访问控制模型，依靠可信链的传 递，建立了用户之间安全可靠的委托授权机制。并将其应用到基于h 0 0 p s 的3 d 协同设计系统中，能够较好的实现协同设计用户之间灵活、安全、可靠的委托授 权。 第五章：针对本论文的研究工作进行了总结，并对本课题的后续研究和实现工 作进行了展望。 6 山东师范大学硕士学位论文 第二章c s c w 的访问控制技术及相关理论 2 1 访问控制模型概述 自主访问控制d a c ( d i s c r e t i o n a 珂a c c e s sc o n t r 0 1 ) 、强制访问控制 m a c ( m a i l d a t o r ya c c e s sc o n t r 0 1 ) 、慕于角色的访问捧制r b a c ( r 0 1 e b 熊e da c c e s s c o n t r 0 1 ) 和基于任务的授权控制( t b a c ，k b a s e da u t h o d z a t i o nc o n 1 ) 是较常用 的访问控制方法。 自主访问控制d a c ，【3 s ，3 9 】的特点是有访问许可的主体能够直接或者间接的向 其它丰体转让访问权。d a c 是在确认主体身份以及f 或) 他们所属的绢的基础卜 控制主体的活动、实施用户权限管理、访问属性管理等。自主访问控制中的主体 可以按照自己的意愿决定其它主体对该主体所拥有的信息资源是否可以访问以及 是否可以执行的访问类型，即主体有自丰的决定权，一个主体可以有选择的与其 它主体共享他的资源。自主访问控制具有简单、易用的优点，而且在一定程度上 实现了多用户环境下的资源保护。但是，自主访问控制也有难以克服的缺陷：一 方面，由于客体拥有者可以随意更改客体的访问授权，所以客体拥有者可以随意 将客体访问权限授予非法主体，从而产生安全隐患；另一方面，由于系统中的客 体拥有者往往比较分散且难以统一管理，导致自主访问控制资源管理过于分散， 从而使得只应用自主访问控制机制的系统安全难以得到有力保证。但是c s c w 系 统中的终端用户并不是其所访问信息的属主，对信息没有“拥有权”，真正拥有信 息的是系统。同时d a c 将赋予或取消访问权限的一部分权利留给用户，这种级联 授权使得系统安全管理员难以确定哪些用户对哪些数据具有访问权限，不利于实 现统一的全局访问控制，故c s c w 系统的访问控制不应采用d a c 。 m a c 则基于主体一客体的安全级别，要求主体一客体关系具有良好的层次结 构，只允许信息从低安全级别的实体流向高安全级别的实体，一般用于多级安全 军事系统。强制访问控制主要地缺陷在于实现工作量较大、管理不便、不够灵活， 而且它过重强调保密性，对系统连续工作能力，授权的可管理性方面考虑不足。 由于在m a c 中高安全级别的主体可以访问低安全级别的所有实体，故从控制粒度 上讲不满足最小特权原则。除此之外，c s c w 系统中相互协作的用户之间很难用 固定的安全级别进行划分，并且信息的流动除了纵向之外，还经常出现横向的、 循环的、逆向的流动，所以侧重于机密性保护、适合军用系统的m a c 也不适合 c s c w 系统的访问控制【删。 d a c 和m a c 都是将用户和访问权限直接关联，而r b a c 则在用户和访问权 限之间加入角色作为沟通桥梁，实现了用户与访问权限的逻辑分离。i 沿a c 相对 7 山东师范大学硕士学位论文 于d a c 与m a c 将用户和权限直接联系的做法，减少了人事变动对系统产生的影 响，增强了系统稳定性。该模型的关键特征就是所有的访问都是通过角色完成， 角色是权限的集合，用户通过角色来获得相应权限。相对于数量众多、变化迅速 的用户和权限，稳定的角色简化了访问控制的管理和审核。在c s c w 系统环境中 采用i m a c 模型，方便了授权管理，而且协同工作中的一项任务可以由若干个用 户完成，所以还有助于动态负载平衡的实现【4 1 1 。下面我们将就r b a c 模型和t b a c 模型进行详细的分析。+ 2 ，2 基于角色的访问控制( r b a c ) 模型 2 2 1r b a c 模型核心思想 r b a c 的基本思想是让权限与角色相映射，在系统中根据工作应用的需要创 建相应的角色，并且将用户分派到相应的角色集合中，于是利用角色作为中间量 将用户与权限联系了起来，而不是像传统防问控制技术中那样将访问权限直接分 配给用户。这也就是将访问授权分为了两个阶段：第一阶段将涛问授权给角色； 第二阶段将角色分配给用户。r b a c 系统通过这两个阶段完成对用户的访问授权。 与传统的访问控制不同，在r b a c 系统中所有被访问的对象都是属于系统的，而 不是属于某个用户，所以所有的角色指派都是出系统根据用户的具体任务而产生 的。r b a c 系统管理员可以创建角色，赋予角色权限，给系统用户分配角色。系 统管理员是r b a c 系统中的一个特殊角色，系统通过系统管理员这一特殊角色来 完成对系统内其他用户角色指派。它是系统在初始化阶段根据一定规则产生的， 在一个系统中系统管理员具有权威性、必要性、唯一性等特征【4 2 1 。 在i a c 中，权限和角色是相关联的，这在很大程度上简化了授权管理。在 组织内，用户根据他的职务和承担的责任被指派角色；用户也可以很容易的从一 种角色改变为另一种角色，在新的应用系统投入使用后，角色能马上被授予新的 权限；还可以根据应用需要将分配给用户的某些角色撤消，也可以将分配给角色 的某些权限撤消。 2 2 ：2 曲a c 磺型的基本概念 r b a c 标准包括i m a c 模型和r b a c 系统与管理功能规范两部分。其中， r b a c 模型定义了基于角色访问控制的功能范围以及用到的名词术语【1 。 下面就r b a c 参考模型中定义的主要名词术语进行分析。 1 、主体( s u b j e c t ) 8 山东师范大学硕士学位论文 发出访问操作、访问要求的主动方， 智能程序等。一般来说，为了叙述方便， 2 、客体( o b j e c t ) 被调用的程序或要访问的数据。 3 、角色( r 0 1 e s ) 通常指自然人，也被扩展为机器、网络、 常把主体限定为自然的人。 角色的概念源于实际工作中代表处理同常事务权利的职务，角色与组织中的 工作岗位相对应，角色权限反映出角色在组织机构中担任的工作职责。 角色是i 氇a c 模型中的核心概念。其实早在十九世纪的组织学中就提出了角 色的概念，在计算机信息系统中也广泛使用角色的概念，所以有必要区分r b a c 中使用的角色概念与同常生活、戏剧舞台上的角色概念。在r b a c 中角色日j 以看 作是构造访问控制策略时提出的一个语义单位，是将特定权限集合与特定用户集 合暂时相关联的中间部件。与用户与权限相比，角色是一个相对稳定的概念。用 户所拥有的角色可能经常变化，但是角色所拥有的权限是相对稳定的。在基于角 色的访问控制模型中，可以预先定义角色与权限之间的关系，将预先定义的角色， 赋予用户，明确责任和授权，从而加强安伞策略。与把权限赋予用户的工作相比， 把角色赋予用户比较容易。 角色与用户组( g 而u p ) 是不一样的概念，在很多访问控制系统中用户组被作为 一个访问控制单位，但是用户组只是作为将许多用户集合在一起的实现机制，而 角色还与特定的权限集合相关联。 4 、用户( u s e r ) 用户是角色的集合。一般而言，每个用户在系统中至少扮演一个角色。即用 户的角色集合中元素个数大于等于1 。用户是计算机系统中行为的主体。既可以是 使用系统的人，也可以是系统中软件代理进程、终端、主机、网络设备，甚至是 一个网络等等。 5 、权限( p e m i s s i o n s ) 权限是对计算机系统中的一个或多个数据对象进行某种方式访问的许可权。 权限提供了权限拥有者执行某些行为的能力。权限可以运用在单个对象或多个对 象上。 6 、管理员角色 管理员角色是一种特定的角色，用来对角色的访河权限进行设置和管理。在 集中式管理控制模型中，管理员角色由一个系统安全管理员来完成；而在分布式 管理控制模型中，可以采用制定区域管理员来对系统进行分布式管理，每个管理 员可以管理该区域内的角色权限的配置情况。当然区域管理员的创建和权限授予 则统一由顶级的系统安全管理员完成。 7 、会话( s e s s i o n s ) 会话是一个用户对多个角色的映射，当用户激活了部分或全部被他授予的角 9 山东师范大学硕士学位论文 色时，他就建立了一个会话，用户实际上可以执行的权限是在这次会话期间被激 活的角色的权限。用户是静态概念，会话则是一个动态概念：一个会话是用户的一 个活跃进程，它代表用户与系统交互。用户与会话是一对多的