（计算机软件与理论专业论文）一种支持网上设备安全访问控制的方法及其应用.pdf

声明 我声明本论文是我本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，本论文中不包含其 他人已经发表或撰写过的研究成果。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意 作者签名：力，司j f ：争一日期：2 ，。辱日d 日 论文版权使用授权书 本人授权中国科学院研究生院可以保留并向国家有关部门或机构送交 本论文的复印件和电子文档，允许本论文被查阅和借阅，可以将本论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制 手段保存、汇编本论文。 ( 保密论文在解密后适用本授权书。) 作者签名：西司埠导师签名：锄驾日期：2 。饵厶j ，o 国 基金资助 论文工作得到了科教部“国家科教基础条件平台”项目的资助项目编 号为：2 0 0 3 d e a s g 0 4 0 一种支持同上设备安全访控制的方法及其应用 摘要 随着互联网技术的迅速发展，许多工作被移植到互联网上，极大提高了工作效率，促 进了生产和科研的进步。网上协同工作的目的就是利用互联网的优势条件，促进组织为 了共同的目的进行高效的合作远程设备访问和共享是网上协同的一个重要的方面，特 别是网上协同研究的重要基础它面临的最主要挑战在于，如何有效对设备资源进行访 问控制，以及如何构建对设备异构性适用能力较强的设备访问模式。当前国内外的研究 主要局限于针对特定仪器进行远程共享的方法和理论，存在部署复杂和推广困难的缺点 远程设备访问具有实时性的特点，在网上合作研究中还需要能够实现有效的设备管理 支持注册，编辑和删除等服务据此，我们将设备资源分为受计算机程序控制和不受计 算机程序控制的两类。基于当前研究状况和基于成熟的计算机技术的考虑，我们将研究 对象限定于受计算机程序控制设备内，此类设备同时具有程序和设备的特性。通过对程 序和控制设备时程序表现出的特征研究发现，本文研究对象具有时间依赖性，权限差异 性，访问容量和资源内部逻辑性的特征。为适应这几个特征，在参照传统访问控制模型 基础上，本文构造了一种远程设备访问控制模型- r d a c ，以实现符合最小权限原则和 职责分离原则的设备资源描述和控制。在r d a c 模型基础上，进一步构建灵活和易扩展 的安全远程设备访问框架，框架支持内嵌安全技术的灵活替换和扩展，设备资源和用户 的动态添加，安全子网络的集中管理，提供统一信息出口和入口 本文主要贡献在于：首先创建了针对设备资源特点的访问控制模型。通过对设备资源 的分类，归纳了设备资源的特性，通过引入动态执行者，计算机程序单元等要素实现了 对设备资源特性描述和访问控制模型。其次，创建了具有通用性的实时远程设备控制界 面。将设备表示为对应的驱动计算机程序的形式，通过图像和控制信息的实时交互传输 实现对设备的控制这种方式兼容性好、应用范围广，并为设备集中管理打下了基础。文 中还介绍了一个基于r d a c 模型构建的安全远程设备访问控制框架。给出了远程设备访问 系统的参考实现，展示和验证了框架的安全性、灵活性和扩展性 关键字： 协同研究，远程设备访问控制，访问控制，设备共享，访问控制模型 2 一种支持同上设备安全访蜘控制的方法及其应用 a b s t r a c t a st h ed e v e l o p m e n to f i n t e m e tt e c h n o l o g yp u s h e sm a n yt a s k sa n dr o u t i n e so n l i n e , w o r k i n g e f f i e i e n e yh a sb e e na c c e l e r a t e dg r e a t l y , a n dr e s e a r c hw o r ka r eg r e a t l yi m p r o v e dt h r o u g h a d o p t i n gn e wt e c h n o l o g yi nu m d i t i o n a lf i l e d o n l i n ec o l l a b o r a t i o ni sar i s i n gr e s e a r c ht o p i c , w h i c h a i m st of u l l ye x e r t t h ea d v a n t a g eo f t h ei n t e r a c t , a n dt oe r e a t eav i r t u a ln e t w o r ke n v i r o n m e n tf o r o r g a n i z a t i o n st oc o l l a b o r a t em o r ee f f i c i e n t l y r e m o t ed e v i c ec o n t r o li s o n co ft h em o s t i m p o r t a n ts u b j - i si no n l i n ec o l l a b o r a t i o n , e s p e c i a l l yi tp l a y saf o u n d a t i o nr o l ei nt h eo n l i n e c o l l a b o r a t i o nr e s e a r c h t h e r ea 旭t w om o s tc h a l l e n g eq u e s t i o n si nt h i st o p i c f i r s t , h o wt of i n d a ne f f e c t i v ea c c e s sc o n t r o lm e t h o df o rd e v i c e , s oi t 啪b u i l das t e a d yf o u n d a t i o nf o rd e v i c e m a n a g e m e n t s e c o n d , i no r d e rt os a t i s f yt h ed e v i c e sh e t e r o g e n e o u sf e a t u r e , h o wt of i n daw j d e u s a b l em o d e lf o rd e v i c ea c c e s s i n g r e s e a r c ho nt h i st o p i cb o t hi nc h i n aa n do t h e re o t m t r i e ss t i l l c o n f i n et ot h em e t h o da n dt h e o r y0 1 1h o wt oc r e a t es p e c i a l i z e da c c e s s i n ga n ds h a r i n gm e t h o df o r d i f f e r e n td e v i c e s r e a lt i m ec o n t r o li sab a s i cf e a m r eo fr e m o t ed e v i c ea c c e s s , w h e ni n v o l v e di no n l i n e c o l l a b o r a t i o nr 蛊豫锄r c i lf o re f f e c t i v em a n a g e m e n to fd e v i c e , o t h e rs e r v i c e ss u c ha sd e v i c e r e g i s t r a t i o n , e d i t i n ga n dd e l e t i n gs h o u l da l s ob es u p p o r t e d b a s e do nt h i s , w ca s s o r t e dd e v i c e s i n t ot w ok i n d s ：d e v i c e sc a n n o tb ec o n t r o l l e db yc o m p u t e rp r o g r a m sa n d 啪b ec o n t r o l l e db y c o m p u t e rp r o g r a m s i nr e f e rt ot h ep r e s e n tr e s e a r c ha n df o rt h ec o n v e n i e n to f a d o p t i n gm a t u r e i n f o r m a t i o nt e c h n o l o g y , o u rr e s e a r c ho 嗡e c ti ss e tt ot h es e c o n do n e d u r i n gt h er e s e a r c ho n c o m p u t e r p r o g r a m a n d i t s f e n t u r e w h e n o p e r a t i n g a d e v i c e , w c f i n d i t h a s t h e f o l l o w i n g f e a t u r e s ： t i m ed e p e n d e n t , p r i v i l e g ed i f f e r e n c e , a c c e s sc a p a c i t ya n dp r o c e s sd e p e n d e n t t os a t i s f yt h o s e f e a t u r e s , t h i sp a p e rp r e s e n tal 髑n o t ed e v i c ea c c e s sc o n t r o lm o d e i - - r d a cw h i c hc a nf u l l y d e s c r i b ea n db r i n gi n t oe f f e c ta c c e s sc o n t r o lf o rd e v i c e , i ti sa l s oa c c o r dw i t ht h el e a s tp r i v i l e g e a n dt h es e p a r a t i o nb e t w e e np r i v i l e g ea n dr e s p o n s i b i l i t yp r i n c i p l e b a s e do nt h i sm o d e l , w cb u i l d as e c u r i t yr e m o t ed e v i c ea c c e s s i n ga n ds h a r i n gf r a m e w o r kw h i c hs u p p o r te a s i l yr e p l a c ea n d e x t e n do fe m b e d蹴u r i t yt e c h n o l o g y , 由唰cd e v i c ef e s o i cm a n a g e m e n t , c e n t r a l i z e m a n a g e m e n to f s e c u r i t ys u bn e t w o r ka n dp r o v i d e dau n i f yi n f o r m a t i o nc h a n n e l s t h i sp a p e rc o n t r i b u t e st h ef o l l o w i n gp o i n t s f i r s t l y , p r e s e n tar e m o t ed e v i c ea e o e s sc o n t r o l 3 一种- 支持网j ：设备安全访蜘控制的方法及其应用 m o d e ls p e c i a l i z e df o rd e v i c er e s o u i v , e b ya s s o r t i n gl h ed e v i c e 心s o u r o e s u m m a r i z i n gt h e f e a t u r eo fd e v i c ea n dp u t t i n gf o r w a r dd y n a m i c8 9 t o ra n dc o m p u t e rp r o g r a mu n j t - t h ep a p e r m a d et h ed e s c r i p t i o na n da c c e s sc o n t r o lo f d e v i c e s e c o n d l y , c r e a t eau n i v e r s a lg r a p h i ci n 证刑6 h w a yo f a c c e s sr e m o t ed e v i c e w i t h i nt h i sw a y , d e v i c ei sd e n o t e da sas e r i e so fd r i v ec o m p u t e r p r o g r a m st h a tc a nc o n n e c tt oa n dc o n t r o ld e v i c e , c o m m u n i c a t i o nb e t w e e nc l i e n ta n ds e r v e ri s d o n eb yt r a n s p o r tc h a n g e dg r a p h i ca n dc o n t r o li n f o r m a t i o n t h i sw a ya l s om a d eaf o u n d a t i o n f o rc e n t r a l i z e dd e v i c em a n a g e m e n t t h ea r c h i t e c t u r ea n di t sr e f e r e n c ei m p l e m e n t a t i o no fa s e c u r i t yf i a m e w o r kb u i l db a s e do i lr d a ci sa l s oi n t r o d u c e d , t h es e c u r i t y , f l e x i b l ea n d e x t e n s i b l ef e a t u r e so f t h i sf r a m e w o r ka r es h o w nb yt w oa p p l i c a t i o n si nd i f f o r e n tp r o j e c t s k e yw o r d s ：c o l l a b o r a t i o n 联爆e a r c 札r e m o t ed e v i c ea c c e s s , a o s sc o n t r o l , d e v i c es h a r i n g , a c c e s sc o n f f o lm o d e l r e m o t ed e v i c ea c c e s sc o n t r o i 4 一种支持同上设备安全访问控制的方 杰及其应用 第一章概述 随着近代科学的发展，大量新的、交叉学科不断出现，这些学科的研究通常情况下要 求研究人员具有多门学科的背景，并且要求很多其他不同学科的科学家的配合，来共同 完成因此，科学研究中的合作现象非常普遍，通过合作研究可以充分调动不同学科科 学家的知识，利用不同科研机构的设备来进行科学研究，进而促进科学的迅猛发展。 根据c 3l e a r n 组织给出的概念，合作研究可以概括为：来自不同或相同科研领域的 人员形成的研究组，按照一定的协议和规程，通过分工协作、交流探讨，资源共享等手 段，围绕共同的主题或问题，进行研究和探索的活动，进而创造新知识的过程 传统的合作研究主要围绕着上述的几个方面进行，例如，为了进行某个重大课题的研 究，科学家们有机的组织起来，进行合理的分工，并通过各种手段利用现有的资源，并 在科研的过程中针对某些问题进行交流、讨论，确保整体目标的顺利实现。而网上合作 研究是伴随着信息技术的进步和合作科学研究的需求而出现的一个新的研究课题。它的 目的是：利用现有发达的互联网技术，将传统的合作研究方式移植到互联网上，充分整 合科研活动参与者的各种资源，包括：数据，知识，机器设备，人力资源。使科学家摆 脱时间、空间的限制，高效的实现合作研究活动【1 】。 为实现e 述目的，通常参与合作研究的人员共同构成一个合作研究的组织，这个组 织包括进行合作研究所需要的各种角色，如：项目领导、数据收集者、数据分析者、实 验操作者、组织协调者、文档管理者等。这些角色的形成应该是允许灵活、自由地形成 2 】。 网上合作研究即采用网络技术来支持合作研究的主要工作方式【3 】。它是现实中合作 研究活动的网络表现形式，合作研究中的不同人员，角色应当通过网络表现出来，网上 研究的工作方式也应是现实活动中工作方式的网络表现。 如图i 1 所示，网上合作研究通常包括三个主要载体，分别是；协同交流工具，知识 库，计算机可控设备【4 】。 6 一种支持网上设器安全访问控制的方法及其应用 图1 1网上协同研究示意图 协同交流工具，包括诸如：通讯软件，讨论版，新闻组，白版，视频会议系统等软件 模块，主要用于为位于不同地理位置的工作人员提供交流和研讨的媒介；电子知识库的 具体表现形式包括数据仓库，文档库，资料库等形式，是网上合作研究成果的表现形式。 计算机可控设备，是指可以受计算机控制的设备，在协同研究的过程中，各种仪器设备 是科研人员进行科研活动的主要平台，科研人员除了使用自己拥有的实验器材，还会经 常共享其它科研人员的设备。科研人员通过各种协同交流工具进行交流，通过知识库贡 献自己的科研成果，并获取其它科研人员提供的科研成果和数据，通过各种方式使用实 验设备，进行科学研究，获取新的实验成果。 实验设备是科研活动的重要组成部分，本文主要研究的内容是如何通过互联网技术为 科研人员提供一种安全的远程使用和共享实验设备的方法。本章首先将对本文的研究背 景一网上合作研究和网上使用设备的研究现状进行简单介绍，然后详细介绍本文的研 究内容，以及本文的组织结构。 1 1 网上使用设备的研究现状 网上合作研究的一个重要方向是如何解决设备的共享，提高设备的利用率的问题。 当前的科研环境下，科研人员使用和共享设备的模式主要按照如下方式： 1 ，科研人员如果需要使用设备需亲临设备所在地( 除较少数提供远程访问功能的专 用设备外) 。 2 ，科研人员如果需要使用其它科研机构的设备，需要亲自到其科研单位，在设备管 理人员的协助下使用设备。 上述设备使用方式使设备使用人员受到时间和空间的限制，可能导致这样情况的出 现： l ，科研人员在最需要使用实验设备的时候，却因为时间，空间因素的限制无法访问 7 一种支持同上设备安全访问控制的方法及其应用 设备。 2 ，某些科研机构需要使用某种设备，但是由于经费紧张，无法获得这样的资源；同 时，还有些科研机构购买了某些设备，却由于使用效率不高，使设备长期处于闲置的状态。 极大的浪费了科研资源。 3 ，为了到现场使用设备，科研人员需要耗费大量的时间和金钱。 基于这种现状，如果能够借助互联网技术，为科研人员提供一种远程访问和共享设 备的方法，就可以使科研人员随时，随地访问其有权限访问的各种设备，提高工作效率 和设备使用率 5 。 设备控制室。任意地点随意改变设备所有者单位，任意地点，不可改变 图1 2 三种典型的设备使用方式 远程设备使用实际上就是充分利用发达的网络条件，构建一种全新的设备使用模式，。 图i 2 就是科学实验中，设备使用的三种典型模式 4 ，实验设备位于a 地，这是固定的 地点，无法随意改变设备的具体位置，c 地是设各拥有单位，其地理位置可以任意选定，审 但是选定后就不可随意改变，b 是设备控制室，它可以位于任意地点，并可以随意更换控 制室的位置。实验人员可以在a ，b ，c 三个地点使用设备，但是，a ，c 两地使用设备面 临时间，空间的限制，只有在b 模式下，实验人员就可以不受地理位置的限制，无论在 什么地方都可以访问实验设备，进行实验，从而打破了科学家必须在实验设备现场进行 实验的传统工作模式 此外，设备网上共享对研究下一代强大的科学仪器设备十分重要。未来的设备在研制 时就需要考虑到远程操作和共享的问题，每个实验仪器设备不应再是一个一个“孤岛”， 而应是整个网络环境中的一个重要组成部分。 冲o r t 6 项且是一个典型的对远程设备进行访问的研究项目，由美国能源部下一代因 特网n g i 实验床计划资助，其设定目标是用让远程使用科学仪器达到前所未有的方便程 度。x p o r t 中科学仪器是几个高亮度x 射线结晶学设备。如图i 3 所示，晶体在x 射线的 照射下产生衍射，其图像可以用来确定晶体的结晶单元的尺寸和原子的位置。这个项目 一种支持网上设备安令访问控制的方法及其应用 的实验设备中包括x 射线发射设备，图像采集和分析设备。平台基于n g i 和g l o b u s ，能 提供远程仪器使用规划、仪器操作，数据获取、筛选和分析等功能，它简化巨型分子晶 体结构的设计和实施。在没有 ( p o r t 之前，这些设旌使用非常不方便。一个科研人员要 想用上这种设备，需要预约，然后千里迢迢赶过去，接着采集数据，分析数据。在x p o r t 中，科研人员们就可以远程提交任务，交互式控制任务的执行，接收和分析初步的运行 结果以确定任务的正确性，存贮和管理产生的数据。 它一方面它大大缩短了研究时间，提高了设备的利用率，使普通的科研人员能够用上 先进设备；另一方面它使研究能够以团队的方式开展，为交叉学科研究创造了条件。利 用 ( p o r t 进行远程设备使用的实验的流程包括： 1 用户把实验晶体样品用快递邮包发给仪器管理人员 2 通过远程可视会议或电话会议，用户指导仪器管理人员在a l s 设备上放置样品 3 用户指定初始的扫描参数 4 初步的扫描图像帧传回给用户 5 用户检查样品的正确性、放置的正确性以及样品是否形成了孪晶 6 如是，用户重新指定扫描参数、让技术人员重新放置样品或终止扫描过程 7 与异地研究人员协同处理采集到的大量数据 图1 3 利用x p o r t 平台进行的远程实验原理图 从上述流程可以发现，利用x p o r t 平台，科学家通过远程控制实验设备，节省了大量 的时间、费用。 此外，美国能源部支持的远程设备访问研究项目中 7 ，也已经取得了初步的成果， 并有了初步的应用，目前已经有4 个超级电子显微镜对公众授权开放了。公众可以通过 网络使用这些昂贵的设备。 网格体系结构中也涉及了很多对网上设备使用的研究 8 。但网格中对于远程设备的 使用的研究主要集中在如何更有效的共享远程计算机提供的富余的资源。以g l o b u s 9 9 一种支持网上设备安全访问控制的方法及其应用 为例，g l o b u s 将所有可用于共享的主体都视为资源，包括高性能计算机、大容量存储设 施、专用软件和允许连接到网络的设备等。共享设备的主体为任务，用户或应用程序通 过向网格提交任务请求，然后通过网格系统获得远程所共享的计算资源 8 。这种形式的 设备共享方式可以很有效的实现对设备计算能力的共享，但是无法满足科学实验中设备 操作人员需要可视化的对特定设备进行参数调整、观察以及实验这种要求。 尽管目前的研究实现了对一些设备的远程访问支持，提高了科研效率和工作效率，但 是其采用远程设备访问技术往往局限于特殊的几类设备，如果需要远程访问其它学科的 设备，那么还需要根据新设备的具体用途，特点，重新构建远程访问的系统，远没有达 到添加新设备不需做程序的修改，只需进行简单配置即可 1 2 论文的研究内容 尽管远程设备访问可以极大提高工作效率和设备使用率，为科研人员提供了极大的方 便，但是通过互联网使用仪器设备面临着极大的风险，长期暴露于互联网下的设备非常 容易受到来自外部的各种攻击【3 5 】，除此之外，用户在远程访问设备时还有可能受到恶意 的监听和篡改，这都将给用户造成巨大的损失。如果还需要将设备共享给某个特定范围 内的人使用，那么这种设备使用方式还面临着复杂的人员管理问题，设备调度，权限分 配等问题【l o 】 除了将设备接入互联网这个方面需要采取必要的措施，应对来自互联网和远程设备访 问过程中各个结点存在的各种安全威胁，另一个方面，为了将设备共享给其它用户，还 涉及到如何注册设备，授权设备使用，设备调度和设备使用历史信息记录的问题。对于 受保护的对象设备而言，它与传统的信息系统所保护的对象既有相同之处，也有其 特殊性由于用户对设备的访问涉及到对设备的实时操作，这种操作的时间限制，容量 限制，权限限制等因素都与具体的设备特性紧密相关 基于设备资源在远程访问过程种所处的环境一互联网。本文将详细分析远程设备访 问过程中各个结点所面临的安全威胁，设计适合的网络拓扑结构，组合传统的安全技术， 降低系统的风险。确保系统的安全然后，本文将对设备进行分类，限定文章的研究对 象，然后对远程设备访问中的设备进行详细的分析，比较设备资源与其它资源的异同之 处。在此基础上从访问控制的角度对设备资源进行分析，对传统的几种访问控制模型对 于设备进行访问控制方面描述和控制能力的不足之处进行比较分析，然后提出适用于网 1 0 一种支持同e 设备安全访问控制的方 杰及其应用 上设备使用的安全模型。 最后，本文将基于针对网上使用设备的访问控制模型和对整个系统各个系统结点所面 i | 缶的威胁，构建灵活，可扩展的远程设备使用安全框架，在这个框架中将采用传统的各 种安全技术和针对设备的访问控制模型来实现对远程使用和共享设备的支持。 1 3 论文的组织结构 本文以以下方式组织的： 第一章：简要介绍本文的研究背景，网上合作研究的发展情况和远程设备访问和共享 在网上合作研究中所处的重要位置，然后对当前网上设备使用的研究状况进行一个总结， 提出本文的研究内容，并对文章的组织结构进行说明。 第二章：主要分析网上设备使用中存在的基本问题，其中包括网上合作系统中各个结 点面临威胁的分析和针对设备特殊资源进行访问控制的分析，最后对三类访问控制模型 在网上使用设备中的不足之处进行了分析。 第三章：针对网上使用设备的特殊需求和设备资源的特殊性，提出了远程设备访问控 制模型，并对模型的特点进行了说明。 第四章：详细说明了基于远程访问控制模型构建的远程设备访问控制框架，并对框架 中的各个模块和具体的应用流程进行了详细说明。 第五章：详细介绍远程设备访问控制框架的具体实现方法，采用的安全技术，部署方 案，最后以两个实际应用案例的部署和应用效果展示框架。 1 4 小结 本章首先对网上设备使用的研究背景一一网上合作研究的发展做了简单的介绍，指出 网上设备使用是网上合作研究不可或缺的重要组成部分。然后，本章对设备共享的几种 具体模式进行了分析、说明，并对网上设备使用的当前研究、取得的成果以及面临的问 题进行了描述，并在此基础上提出了本文的研究内容和设定的研究目标。最后，介绍了 本篇论文的全文组织结构。 一种支持网上设备安全访问控制的方法及其应用 第二章远程设备访问控制中的基本问题 远程访问和共享设备的目标是使用户通过网络在任意地点访问自己的设备，或者访问 被授权的其它机构的设备。为了达到这个目的，其前提条件就是用户可以通过网络确定 设备的地址，并向设备发出访问请求，这就需要将设备接入互联网，因此，远程设备使 用的各个节点都面临着来自互联网的各种安全威胁。当共享设备的时候，还涉及到对设 备资源的调度，权限限制等控制操作，因此如何有效的对设备资源进行访问控制也是一 个确保整个远程访问过程安全性的重要手段。 上一章对远程设备使用的研究背景，当前的研究状况和本文所要研究的内容进行了说 明，在这一章，将从两个方面来分析网上设备访问中面临的问题：首先从网上设备共享 的具体环境出发，分析通常所使用的远程使用设备模型中各个节点所面临的各种威胁，。 ， 然后，从访问控制服务的角度，对设备资源进行分析，并针对设备资源的特性分析目前 存在的三类访问控制模型在对设备资源进行访问控制时的局限性。 摹 2 1 网上使用设备的主要安全威胁 网络是相对于单个独立的计算机系统而言的，互联网是覆盖全球的最大的网络，其应， 用已经渗透到生活、工作的方方面面，通过互联网，用户可以获得大量的资源，用户也 可以共享其拥有的资源，然而互连网是一个开放的环境，人们可以随时访问、退出互联 网，对于互连网的使用通常具有匿名性、自动性、远程性、透明性和路由相异性，这导 致了互联网实际上是一个在安全性方面非常脆弱的系统，这具体表现在【9 ，l l 】： 匿名性：攻击者可以远隔千里实施攻击，无需与被攻击的系统进行任何直接接 触，攻击者可以隐藏在电子屏障之后。 攻击多点：攻击多点即指攻击的目标可以是多点，也包含发动攻击的地点也可 以是多点。在互连网上访问远程网络主机上的一个文件时，这些数据或者文件本 身经过了很多主机的传递，才到达用户手中，因此这一系列传递文件的主机都与 文件的安全强相关，因此在网络中，容易受到攻击的点是很多的。 共享性：网络允许共享资源和分担负载，所以潜在的访问互联网系统的用户数 量众多，因此，用于单机系统的访问控制策略对网络而言是远远不够的。 1 2 一种支持罔上设备安全访问控制的方法及其应用 复杂性：互联网是一个非常复杂的系统，其每个结点的结构，所装的软件和采 取的安全策略各不相同，这使整个互联网成为一个非常复杂的系统，从而使确保 其安全性变得非常困难。 未知边界：互联网的扩展性也意味着其边界的不确定性，一台主机可能同时属 于互联网内多个不同的子网，因此这台主机上的资源可以被不同子网内的机器通 过不同的方式访问。 未知路径：在互联网上，从一台主机到另一台主机存在多条路径，互联网上的 用户很难控制其发送消息的传递路由。 上述特征明显的增加了互联网面临的安全危险，在图2 i 所示的日前普遍采用的远程 设备使用模式中，编号1 为长期接入互联网的设备，为了能够随时随地提供给用户访问， 并保持同定的地址，被远程访问的设备必须一直与互联网相连。编号2 为用户访问远程 设备的客户机，通常安装有针对设备1 的特定客户端软件，3 为互联网。具体的访问方 式为：2 接入互联网，通过3 向l 发出请求，远程控制l 。这种访问方式的每个结点和传 输通道面临着表中所列出的威胁。 互 2 玉血e r 3 图2 1 远程设备使用模式 表2 1图2 1 各个结点面临的安全威胁及目前常见的解决方案 节点存在的安全威胁解决方案 所运行的程序漏洞导致的威胁程序结构优化，代码 重构 一种支持网上设螯安全访问控制的方法及其应用 假冒导致的威胁，攻击者假冒合法的用户或进 程，获取访问l 的权限 欺骗，通过猜测或者获取一个实体的网络鉴别 证书后，攻击者以该实体身份与l 通信 端口扫描 拒绝服务攻击，分布式拒绝服务。攻击者通 过各种方式使用户无法正确的正确访问资源 病毒，操作系统漏洞导致的威胁 认证，访问控制，审 计 认证，访问控制，审 计 防火墙，封闭未使用 端口 攻击检测技术，反弹 技术，路由器端口和 服务配置 杀毒软件，防火 墙，系统补丁 分析远程控制协议的缺陷，利用协议中的漏协议更新 洞，导致的威胁。 2 病毒、木马等窃取用户机密信息软件的威胁 2 3 操作系统漏洞导致的威胁 偷听与窃听 3 消息的完整性的威胁，攻击者对传递的消息或 消息的来源进行篡改 杀毒软件，防火墙， 系统补丁 系统补丁，防火墙 物理链路的安全，加 密技术 数据校验，重发，恢 复 除此之外，互联网还是一个病毒，垃圾信息泛滥的环境，如果没有足够严密的防范措 施，极有可能导致数据的丢失或系统瘫痪，正由于上述威胁的存在，在远程访问控制框 架的设计过程中，必须考虑到这些因素，采用相应的安全技术来降低这些安全威胁的危 险程度由于设备资源本身就拥有巨大的价值，数据的泄漏或恶意的操作更有可能导致 灾难性的后果，因此，对于设备远程使用方面，更需要引起关注 上表列出的是这种单个点对点的服务器一客户端模式下的远程设备访问所面l i 每的 各种安全威胁，这种使用模式还有其结构上的缺陷带来的安全管理上的复杂性它是一 1 4 一种支持网上设备安牟访翔控制的方法及其应用 个结构松散的远程控制模式，它存在下面几个方面的安全方面的缺点：编号为2 的被远 程访问的设备是一个分散的结构，访问它的用户也是一个分散的结构，这也就意味着每 个被访问的设备都要分别管理一套用户体系，每个用户需要分别拥有不同设备给予其的 授权信息，这种授权信息使授权者和被授权者都需要记录大量的验证信息，没有统一的 认证、授权机制来支撑模型的安全运转。在大规模应用环境下，这种形式的权限划分非 常容易带来安全上的漏洞和管理上的混乱。 实际的科学实验环境中对控制实验设备的计算机的安全性要求非常高，如果这些计算 机被恶意入侵，将会造成巨大的损失，因此这种现存的这种工作模式无法满足科学实验 中远程设备使用和设备共享的要求 因此，不但要从其各个结点这种局部的角度采取必要的安全措施来保证远程设备访问 的安全性，而且还要从整个系统整体应用模式的角度来通过结构的重新设计和应用模式 的重新构造来确保其安全。 2 2 远程设各访问的主要安全措施 国际标准化组织( i s o ) 在网络安全标准i s 0 7 4 9 8 - - 2 1 2 q b 定义了5 种层次型安全服 务，即：身份认证服务，访问控制服务，数据保密服务，数据完整性服务和不可否认服 务。因此访问控制是信息安全的一个重要组成部分。在确保远程设备访问的安全性方面， 从身份认证服务，数据保密服务，数据完整性服务和不可否认性服务四个方面来说，对 设备的保护与对其它信息系统资源的保护没有较大的差别，可以采用传统成熟的技术， 并加以组合应用来达到目的。由于在对设备资源的访问控制服务方面，设备资源兼具了 计算机程序和设备两种资源的特性，从而导致了传统的访问控制模型无法非常有效描述 设备资源和提供针对设备特殊资源的访问控制服务。本部分首先对访问控制模型和访问 控制的策略进行介绍，然后对设备特殊资源进行详细的分析，分析目前的访问控制模型 在对设备资源提供访问控制服务时的局限性。 访问控制模型是一种从访问控制的角度出发，描述安全系统，建立安全模型的方法。 访问控制是指主体依据某些控制策略或权限对客体或是其资源进行的不同授权访问【3 9 】。 它包括三个方面的要素，即：主体，客体和控制策略。 主体( s u b j e c t ) ：是指一个提出请求或要求的实体，是动作的发起者，但不一定 是动作的执行者。主体可以是用户或其它任何代理用户的实体( 例如进程、作业 一种支持周七设备安全访问拧制的方j 杰及其应用 和程序) ，通常情况下实体表示i ：t 4 算机资源( 物理设备，数据文件、内存或进程) 或一个合法用户。主体可以对其它实体施加动作的主动实体，记为s 。有时也称 为用户( u s e r ) 或访问者( 被授权使用计算机的人员) ，记为u 。主体的含义是 广泛的，可以是用户所在的组织、用户本身，也可以是用户使用的计算机终端等， 甚至可以是应用服务程序或进程。 客体( o b j e c t ) 接受其它实体访问的被动实体，记为o 。客体的对象非常广泛， 凡是可以被操作的信息、资源、对象都可以认为是客体。 控制策略：是主体对客体的操作行为集和约束条件集，记为k s 。简单讲，控制 策略是主体对客体的访问规则集，这个规则集直接定义了主体可以的作用行为和 客体对主体的条件约束。访问策略体现了一种授权行为，也就是客体对主体的权 限允许，这种允许不得超越规则集。 图2 2 访问控制关系示意图 访问控制系统三个要素之间的行为关系如图2 2 所示，它也表现除了常见的信息 系统中对资源的访问控制方式可以使用3 元组( s ，o ，p ) 来表示，其中s 表示主 体，o 表示客体，p 表示许可。当主体s 提出一系列正常的请求信息1 1 ，l i i ， 通过信息系统的入口到达被控制规则集k s 监视的监视器，并由k s 判断是否允许或 拒绝这次请求，在这种情况下，必须先要确认是合法的主体，而不是假冒的欺骗者， 也就是对主体进行认证。主体通过认证才能访问客体，但是并不保证其有权限可以对 客体进行操作。客体对主体的具体约束由访问控制表来控制实现，对主体的验证一般 会鉴别用户的标识和用户密码。当一个合法用户进入系统时，他必须提供其用户标识， 然后系统执行一个可靠的审查来确信当前用户时对应用户标识的那个用户 由于用户的访问涉及到访问的权限控制规则集合，图2 2 中所示的模型中，敏感 信息和普通的客体资源信息进行了隔离，这种系统称为多级安全信息系统。 b e l l - l a p a d u l a 模型是一个典型的多级安全信息系统安全模型。多级安全系统中，信息 一种支持同l 设备安全访问拧制的方法及其应用 资源被按照安全级别进行了分类，例如，层次级别划分可以分为t s ，s 。c ，r s ，u： 五个级别，它们是绝密级别，秘密级别，机密级别，限制级别和无级别级；另一种是 无层次的安全级别，它不对主体和客体按照安全类别分类，只是给出客体接受访问时 可以使用的规则和管理者。j 访问控制的实现的前提是对合法用户进行验证，然后是对控制策略的选用与管 理，最后是要对非法用户或是越权操作进行审计。所以访问控制与认证、控制策略和 审计三个方面有着密切的关系。 ： 认证：包括主体对客体的识别认证和客体对主体检验认证。主体和客体的认 ： 证关系是相互的，当一个主体受到另外一个客体的访问时，这个主体也就变 成了客体。一个实体可以在某一个时刻是主体，而在另一时刻是客体，这取 决与当前实体的功能是动作的执行者还是动作的被执行者。 控制策略的具体实现：体现在如何设定规则集合，从而确保正常用户对信息 资源的合法使用，既要防止非法用户，也要考虑资源的泄漏，对于合法用户 而言，也不能越权行使控制策略所赋予其权利以外的功能。 审计：审计的重要意义在于事后对系统的各种用户进行复审，找到有可能的 漏洞，或恶意操作。 访问控制安全模型一般包括主体、客体。以及为识别和验证这些实体的子系统和控制 实体问访问的监视器。随着互联网的迅速发展，由于网络传输的需要，访问控制的研究 方法发展很快，提出了很多访问控制模型。建立规范的访问控制模型是实现严格访问控； 制策略所必须的。 2 2 1 访问控制的安全策略 建立安全策略的需要和目的 一个恰当的安全策略总可以帮助安全人员将注意力集中在最高决策层认为最核心的 部分。概括的说，一种安全策略实质上表明：当设计所涉及的那个系统在进行操作时， 必须明确在安全领域范围内，什么操作是明确允许的，什么操作是一般允许的，什么操 作是明确不允许的，什么操作是默认不允许的。通常不要求安全策略做出具体的措施规 定以及确切说明通过何种方式能够达到预期的目的，但应当向安全架构的实际构造者指 出在当前的前提下，什么因素和风险才是最重要的。 ， 安全策略的具体含义和实现 一种支持网上设备安全访问控制的方j 杰及其应用 安全策略的前提是具有一般性和普遍性，如何能够使安全策略的这种普遍性与所针对 问题的特殊性相结合，即，使安全策略与当前的具体应用紧密结合是面临的最主要问题。 控制策略的制定是一个按照安全需求，依照实例不断精细化的求解过程安全策略的制 订者总是试图在安全设计的每个设计阶段分别设计和考虑不同的安全需求和应用细节， 这样可以将一个复杂的问题简单化。但是设计者考虑到实际应用的前瞻性，有时候并不 知道这些具体的需求和细节是什么，但为了能够描述和了解这些细节，就需要在安全策 略的指导下，对安全涉及到的相关领域做细致的考察和研究。 i s 0 7 4 9 8 标准于1 9 8 9 年1 2 月颁布了开放系统互连模型的信息安全体系结构。按照其 中的定义访问控制的安全策略有两种实现方式：基于身份的安全策略和基于规则的安全 策略。目前使用这两种安全策略建立的基础都是授权行为。就形式而言，基于身份的安 全策略等同于d a c 安全策略，基于规则的安全策略等同于m a c 安全策略。 安全策略的实施原则棒 安全策略的制定实施也是围绕着主体、客体和安全控制规则集三者之间的关系展开 的。 最小特权原则：最小特权原则指的是主体执行操作时，按照主体所需权利的最小 化原则来分配给主体权利。最小特权原则的最大有点是最大限度的限制了主体实 施授权行为，可以避免来自突发事件、错误和未授权主体的危险。也就是说为了 达到某个目的，主体必须制定一些操作，但是它只能执行被允许的操作，其它除 外。 最小泄漏原则：最小泄漏原则指的是主体执行任务时，按照主体所需要的知道的 信息最小化的原则分配给主体权力。 多级安全策略：多级安全策略是指主体和客体间的数据流向和权限控制按照安全 级别的绝密( t s ) 、秘密( s ) 、机密c o ) 、限制( c s ) 和无级别( u ) 无级来划 分。多级安全策略的优点是避免敏感信息的扩散，具有安全级别的信息资源，只 有安全级别比他高的主体才能访问。 基于身份的安全策略 基于身份的访问控制策略【1 3 】的目的是过滤对数据和资源的访问，只有通过认证的那 些主体才有可能正常使用客体资源。基于身份的安全策略的实例如表2 2 所示，它是以访 问控制矩阵的形式实现的。基于身份的访问控制策略包括基于个人的访问控制策略和基 于组的访问控制策略。 i t 一种支持同e 设备安全访嗣控制的方法及其应用 基于个人的策略 基于个人的访问控制策略是指以用户为中心建立的一种策略，这种策略由一些列表来 组成，这些列表限定了针对特定的客体，哪些用户可以实现何种操作行为。 基