（计算机软件与理论专业论文）基于rbac策略的pmi系统的分析和实现.pdf

中文摘要 摘要 在现代的开放跨络环境下，大量分布在不同阿络中的信患往往需要被一个多 变的、动态的人群使用和管理。这些信息按照某种级别加以标志并且常常加以了 定访问限制为了在应用中有效使用这些信息需要制定一定的安全策略，在访 问信息时必须遵循这些安全策略，进而要求访问信息的用户身份和访问特权必须 以一种受信任的方式臂理。为了解决这一闯题，人们提出了两个全新的技术，它 们可以相互协作以提供对信息的保护。我们称之为公钥基础设施( p k i ) 技术和特 权管理基础设施0 m d 技术。 一般来讲，人们需要了解一个信任状的拥有者的具体身份以及他是否是一个 可信任的用户，同时所有的信任状都应该祓有效地加以管理。为此，p k i 技术逐 渐成型并且提供了对公钥证书的操作、存储、由信任的第三方提供认可以及撤销 证书的能力。p k i 是个非对称密钥对的使用框架并且提供了数字签名和管理对 称算法密钥的基础。现在，p k i 已经在银行、安全、电子商务等领域得到了广泛 的使用，并衍生出了大量基于p k i 的应用 p m i 系统同时提供身份认证和访问控制服务。身份认证可以采用现有的p k i 来完成。访问控制需要根据采用的访问控制策略和访问控制模型，实现对系统资 源和用户安全属性的统一管理，并在此基础之上提供用户到资源的访问控制决策 功能。 现在越来越多的企业在应用中采用基于角色的访问控制( r o l e - b a s e da c c e s s c o n t r o l ，简称p a 3 a c ) 策略作为访问控制实现的基础。实现k b a c 系统，首先要 确定r b a c 的应用模型，然后在r b a c 模型基础上提供基予r b a c 的访问控制 函数接口，这些接口可以用来实现r b a c 系统的授权管理。也可以为p m i 系统 挺供下层i g 访离控制支持。 关键词：安全咖p k ii 曝a c 英文摘要 i n f o r m a t i o ni nt o d a y so p e n i n gn e t w o r ke n v i r o n m e n ti so f t e nm a n a g e da n du s e db ya d i v e r s o , o f t e nd y n a m i c , p o p u l a t i o no f u s e r s , w i t hn 塔o u 玎翳d i s t r i b u t e da c r o s sm a n y s e p a r a t en e t t v o r k s n 心i n f o r m a t i o nm a yb ec l a s s i f i e da td i f f e r e n tl e v e l sa n dm a ya l s o b es u b j e c tt oc a v e a tr e s t r i e t i o n s , 曰地鼬缸i st ou s em ei n f o r m a t i o nt os u p p o 疗 o p e r a t i o n se f f e c t i v e l y w m l e l c o m p l y i n g w i t h e s t a b l i s h e ds e c u r i t y , p o l i c i e s ：e n f o r c i n g s e c u r i t yp o l i t i e sd e m a n 懿t h a t j | t h ei d e n t i t i e s 姐da c c e 锚l 试v i l e g e so fu s e r sa n d s , a d m i n i s t r a t o r sa r em a n a g e d i nau u s t e d 由枷e “t w oi n n o v a t i v et c e h l 帕1 0 画e s - h a v e r e c e n t l ye v o h t e dt h a t , w h e n - u s e 痊c o f l a b o r a t i v e l y , p r o v i d 8p r o t e c t i o nf o r i n f o r m a t i o n t h e ya r ep u b f i ck e yi n f r a s t r u c t u r e ( p k i ) - t e c h n o l o g y , a n dp r i v i l e g em a n a g e m e n t , i n f r a s t r u c t u r e ( p m dt e c h n o l o g y i ng e n e r a l ，p e o p l ew a n tt oc o n f i r mw h oi st h eo w n e ro fas p e c i f i cc r e d e n t i a la n dh ei s a nh o n e s tu s e r a n da l lc r e d e n t i a l ss h o u l db ee f f i c i e n t l ym a n a g e d t os o l v et h e s e p r o b l e m s , p i gh a da p p e a r e da n d i th a st h ea b i l i t yt oo p e r a t ep u b l i ck e yc e r t i f i c a t e ， r e p o s i t o r yf o rm a n a g i n gc e r t i f i c a t e s , t r u s t e d t h i r dp a r t y sa p p r o v a la n d ：m a n a g e m e n to f r e v o k c d e f r t i f i c a t e s p i g i s 莲f r a m e w o r k 船u s i n g p u b l i c p r i v a t e k e y s a n d i t p r o v i d e s ： t h eb a s i sf o rd i g i t a ls i g n a t u r e sa n dm a n a g e m e n to fs y m m e t r i cc r y n t o g r a l i h i ck c y s f i n a l l y , p i gi sc u r r e n t l ya p p l i e da l m o s te v e r y w h e r e ，s u c ha st h eb a n k i n g , t h e s e c u r i t i e s ，e - c o m m e r c e , , e t c ，a n dan m b c ro f a p p l i c a t i o n sb a s e d 彻p i gh a v e b e e n d e v e l o p e d p m ip r o v i d ea u t h e n t i c a t i o ns e r v i c ea n da c c e 鹳c o n t r o ls e r v i c es i m u l t a n e o u s l y a e x i s t i n gp i gs y s t e mc a np r o v i d et h ea u t h e n t i c a t i o ns e r v i c e t h ea c c e s sc o n t r o ls e r v i c e n e e di m p l e m e n ta d m i n i s t r a t i v ef u n c t i o na c c o r d i n gt os e l e c t e da c c e s sc o n t r o lp o l i c y a n dm o d e l ，f u r t h e rs t e pi st op r o v i d ea c c e s sd e r i s i o nf u n c t i o nu p o ns u c h a d m i n i s t r a t i v ef u n o t i o n n o w a d a y sm o r ea n dm o r eo r g a n i z a t i o nt a k er e l eb a s e d c s sc o n t r o lp o l i c yi nt h e i r a p p l i c a t i o n t oi m p l e m e n ta 砌j a cs y s t e r n 。n e e dt oc h o o s ear b a cm o d e lt h e nw o r k o u tt h er b a ca c c e s sc o n t r o la _ p lt h c a p ic a na c t t h ea d m i n i s t r a t i v et a l ct o a s s e r t i n gt h a tas u b e c ts h o u l db eg r a n t e das e to fp r i v i l e g ea t t r i b u t e sa n da c t 也e o p e r a t i o n a lr o l et oa l l o was u b j e f tt oa c c e s sar e s o u r c ea f t e rd e t e r m i n i n gt h a th e ，s h e ， o ri th a sb e e ng r a n t e dt h er e q u i r e ds e to fp r i v i l e g ea t t r i b u t e si nap m is y s t e ma l s o k e y w o r d s ：s e c u r i t y p m ip i gr b a c i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：童煎鱼日期：9 0 0 f 年上月上f 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：堕邋名：缈 日期：c 2 。甲年月冲日 第一章信息安全服务 1 信息安全服务 1 1 网络和信息系统的安全 在信息技术飞速发展的今天，计算机和计算机网络迅速进入社会生活的各个 方面，在许多重要的领域发挥着不可替代的作用，电子商务的迅猛发展就是一个 例子。但是在现在的i n t e r n e t 上，由于通信信道是公开的、共享的，商业数据 随时都有可能被非法用户窃听和篡改，因此，要真正发挥网络的重要作用，必须 采用诸如：加密解密、数字签名校验等安全技术来保证信息的安全。但是仅仅 这样并不能完全保证信息安全，因为内部的敏感信息既可能被外部的非法用户恶 意破坏也可能被低级别的合法用户越级访问甚至泄漏，而往往w e b 应用中出现安 全隐患的原因就是因为没有访问控制或者访问控制出现漏洞造成的a 因此，要真 正发挥网络的重要作用，最大化的地保障电子商务的在线运行，往往需要为开放 系统提供包括鉴定和身份认证、授权访问、信息完整性、信息机密性、不可否认 性几个方面的综合安全服务。 1 2 信息安全服务 1 9 8 7 年美国计算机安全法案中，为“敏感信息”作了如下定义：“敏感信息 指被损害、误用或非法使用时会危及公众利益、违反国家法律、侵犯个人或法人 隐私的任何信息( 基于国家外交、安全利益或相应法规特别列明的信息除9 b ) ”。 虽然这只是美国法律的定义，但该定义对其他国家地区甚至具体公司、个人而言 均有一定的参考意义。 对于安全服务的定义，可以参考国际标准组织f i n t e r n a t i o n a ls t a n d a r d o r g a n i z a t i o n ，简称i s o ) 与国际电子工程委员会( t h ei n t e r n a t i o n a le l e c t r o t e c h n i c a l c o m m i s s s i o n ，简称i e c ) 于1 9 9 6 年为开发式系统环境下信息安全理论模式所制 定的标准i s o i e c l 叭8 3 以及i s o 定义的i s 0 7 4 9 8 安全标准，i s o i e c l 0 1 8 3 是一 个跨各类软硬件及网络平台、涵盖多种安全服务、安全机制、对象及管理方法的 安全模型。在i s o i e c l 0 1 8 3 中，计算机安全服务可以归为以下六类： 1 用户身份确认和认证服务 2 数掘保密性服务 3 数据完整性服务 4 用户访问控制服务 5 不可否认性服务 6 安全审计服务 第一章信息安全服务 1 2 1 用户身份确认和认证服务 用户身份认证是其他安全功能如用户访问控制或审计功能的基础，因而一般 是安全服务中第一步进行的内容。关于用户身份认证有广义和狭义的定义，一般 来讲判断某个用户是否具有合法的身份广义地称为认证，这种情况类似于检查学 校为学生发的校徽。而从狭义来说确定某个用户的确是他所声称的主体的过程就 称为鉴定，这种情况就象检查我们每个人所拥有的身份证。这两种情况在应用中 都可能碰到，而且认证服务也可采用单方认证( 单一用户登录系统) 、交互认证( 分 布式系统的交叉认证) 或三方认证( 用于分布式环境处理的本地认证服务器) 等不 同的形式进行，因此一般需要根据应用的具体需要决定采用那一种方案。 现有的用户身份认证一般采用下面的方式进行： 1 将密码作为身份验证的基本形式或将密码用作更复杂验证机制的基础 ( 如解密n o t e s 的i d 文件) 。 2 使用智能令牌为其拥有者向安全系统证明用户身份。一个智能令牌可以 是任何普通的物品：信用卡、证书甚至是一个戒指( 就跟s u n 的j a v a r i n g 一样) 。上述物品的共有特性在于它们都为其拥有者保存了某些秘密的信 息，并会在需要的时候替其拥有者提供这些信息。 3 使用智能卡承载用户的身份信息。智能卡是大小等同于常见的信用卡的 小型电子设备，它的功能有点像电信局发行的储值电话卡，内置小巧的 存储器电路和用于数据处理的小型集成电路0 c ) 。这类设备的主要用途 是存储用户的网络】d 和个人密钥( 与智能令牌的作用非常类似) 。 1 2 2 数据保密性服务 数据保密性服务一般来讲就是对敏感信息进行加密操作，把明文信息m 通过 变换e 得到密文c ，即c = e ( m ，k ) 。其中参数k 称为密钥。而从密文e 恢复明文i l l 的过程称为解密。解密运算是加密运算的逆运算，也需要密钥k 。根据解密密钥 和加密密钥是否相同，加密算法可以分为对称加密算法和非对称加密算法两类。 非对称加密算法也称为公钥加密算法。 第一章信息安全服务 1 2 2 1 对称加密算法 明文1 1 1 k 图1 1 对称加密算法 k 明文m 对称加密算法指加密密钥和解密密钥相同的加密算法。如图卜1 ，加密密钥 和解密密钥是相同的。目前常用的对称加密算法有d e s 、i d e a 、r c 5 等。 1 2 2 2 1 i i e 对称算法 明文m 圈1 2 非对称加密算法 明文m 在非对称算法的加密和解密运算中，需要两个密钥。其中一个是密钥拥有者 私有的，称为私钥d ，另一个密钥是公开的，任何用户都可以得到，称为公钥e 。 d 和e 构成个密钥对。用e 加密的数据只有用d 才能解密，同样，用d 加密的 数据也只有用e 才能解密。通常用一个用户的公钥对数据加密，然后发送给他。 这个用户用自己的私钥解密，就可以得到明文。采用这种算法就解决了对称算法 不可避免的密钥分配问题。目前常用的非对称加密算法有r s a 、d h 、d s a 等。 1 2 3 数据完整性服务 任何应用都需要允许合法的用户或计算机应用使用数据；与此同时，各种数 据也需要在不被非法用户修改的情况下进行远程传输和处理。在上述场合中，数 据完整性措施可以用于确认数据是否被修改。 数据可能在以下两种情况下被修改：硬件传送错误或人为攻击。 第一章信息安全服务 多年以来，业界往往依靠在磁盘、磁带存储系统及网络协议中使用校验码技 术( c h e c k s u 咀) 来防止硬件传送错误。现在安全服务中使用最广泛的 h m a c k r a w c z y k l 9 9 7 也是校验码技术的一种，h m a c 算法采用下面的方式进行： h m a c ( k ，m ) 5h ( k oo p a d l l h ( koi p a d l l m ) ) ) 其中h 是我们使用的摘要算法，k 是对通信双方使用的密钥( 也可是单独的 h m a c 密钥) ，o p a d 是由o x 5 c 组成的字串，i p a d 是由字节0 x 3 6 组成的字串，m 是源数据。发送方计算出h m a c 后附在源数据后一起加密然后发送给接收方，接 收方把收到的数据解密分别得到源数据和h m a c 值再对源数据进行次h a m c 与收到的h m a c 比较以确保数据是否与源数据一致。 1 2 4 用户访问控制服务 进行访问控制的目的在于：无论信息资源是位于中央主机、分布式系统或是 与文件、程序等一起散布于移动计算环境，其安全性均可以得到保障。 图1 3 访问控制实施步骤 如图1 3 所示，用户访问控制服务允许通过限制合法的、经认证的用户数据 访问权限来保护某些敏感的系统资源。根据资源所处环境的不同，用户访问权限 可以由该资源的拥有者分配，也可以由系统根据预设的安全标签自动进行分配。 资源的拥有者可以指定访问自己信息的用户名、访问的方式、访问的时间和访问 的条件( 如执行某些特定的应用、程序或交易时) 。 由图1 3 也可看出，用户访问控制服务一般来讲是用户身份认证的后续服务， 在一些特权管理基础设施的定义之中也同时包括了用户身份认证和特权管理。从 具体的功能来看，用户访问控制服务解决的是“w h oc a l l d o w h a t ”的问题，而“w h o a y ey o u ”的问题就需要由用户身份认证服务先行解决。因此，在很多用户访问控 制系统中往往带有用户身份认证服务。 实现一个访问控制系统，首先要确定采用的访问控制策略，由这个策略提供 4 第一章信息安全服务 访问控制实施的依据，在此基础之上实现具体的访问控制系统，最常用的访问控 制策略有： 1 强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，简称m a c ) ：由管理员设景系 统资源的访问规则和安全级别( 安全标签) ，根据用户拥有的级别以及访 问规则来决定是否可以访问资源，m a c 使用了上读一下写方式确保信息 的完整性，下读一上写方式确保信息的机密性，这样就可以较为容易地 实现信息的单向流动并实现集中式管理，但是因为这种方式根本不同应 用以及用户交互，灵活性很低，因此应用得比较少，一般仅使用在一些 军用操作系统当中，在f r e e b s d 的较新版本也可选地提供了这种访问控 制策略。 2 任意( 自主) 访问控$ 1 ( d i s c r e t i o n a r y a c c e s s c o n t r o l ，简称d a c ) ：根据用户 的身份来决定是否可以访问系统资源。系统中每一个资源都有一个拥有 者，同时系统资源拥有者也可设置其他用户对自己资源的访问方式( 访问 控制矩阵或访问控制列表) ，然后根据访问控制矩阵( 或列表) 的设置来进 行限制性用户访问。这种策略比起m a c 来说具有很大的灵活性，但是 这种灵活性往往会使得系统的安全性降低，而且这种访问控制策略在用 户和资源很多的情况( 特别是分布式商业环境) 下实施时，效率往往会变 得极低。现在应用的最多的访问控制策略就是d a c ，现有的多用户操作 系统中基本都使用d a c 。 3 基于角色的访问控f 6 1 ( r o l eb a s e d a c c e s sc o n t r o l ，简称r b a c ) ：r b a c 不 同于d a c 和m a c 之处在于采用了一种间接的授权方式：角色。通过角 色继承机制可以很容易的建立起类似与企业结构层次的角色模型，而且 通过使用角色，资源和具体用户不再直接联系，这样就可将访问控制策 略从平台和应用中独立出来，同时基于角色的授权机制把实体和角色绑 定，具体的特权和相应的角色绑定，这两种绑定实现分别属于不同的特 权管理域，这样可以很明显地提高访问控制管理的灵活性，因而r b a c 越来越受到重视。 上面介绍的访问控制技术都有着各自的优缺点，分别适用于不同的应用环境， 并不存在哪一种技术完全占据绝对优势的情况，但是对于现在越来越复杂的企业 w e b 应用所需的特权管理来说，r b a c 由于有着与企业组织架构相似的层次模 型，并且r b a c 能通过对用户的抽象极大地改善大型应用的访问控制管理复杂 度，因而渐渐地被大多数安全服务提供商所采纳。 1 2 5 不可否认性服务 不可否认服务的目标是提供某种校验手段，让用户几乎可以1 0 0 确定某条 信息与某个主体相关，就像政府公文上盖的公章一样。从不可否认服务的目标就 可看出，不可否认服务也是用户身份认证服务的一种扩展。它可以避免发生发送 者拒绝承认曾发送过信息的情况，从而保护信息接收者的权益。同样，本服务也 可以避免发生接收者拒绝承认接收过信息的情况，保护了信息发送者的权益。 通常，不可否认服务用于处理数据电子化传送中的问题，如股票交易的买入 第一章信息安全服务 卖出、医生开出的处方或企业的银行转帐业务等。 现在实现不可否认服务采用最多的是数字签名技术。数字签名技术利用了非 对称算法的特性，用户用自己的私钥对要发送的数据加密作为数字签名，然后把 明文和签名一起发送。接收者收到后，用发送者的公钥对签名数据解密，在和明 文对比，如果相同，说明数据没有被修改，否则说明数据在传输过程中被篡改了。 同时，通过数字签名，可以确定数据的来源，并可以防止发送者否认发送过的数 据，这样就同时实现了身份认证和不可否认功能。 1 2 6 安全审计服务 安全审计是记录系统活动并可以跟踪到对这些活动应负责任人员的能力。审 计跟踪( a u d i tt l a i l ) 是系统活动的流水记录。该记录按事件从始至终的途径，顺序 检查、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任 人员的活动证据以支持职能的实现。审计跟踪记录系统活动和用户活动。系统活 动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用 程序中的活动。通过借助适当的工具和规程，审计跟踪可以发现违反安全策略的 活动、影响运行效率的问题以及程序中的错误。 安全审计可以作为对正常系统操作的一种支持，也可以做为一种保证策略或 前两者兼而有之。在用作保证策略时，所维护的审计跟踪只在需要时使用，比如 系统中断。在用作对操作的支持时，审计跟踪用于帮助系统管理员确保系统及其 资源免遭黑客、内部使用者或技术故障的伤害。 审计跟踪提供了实现多种安全相关目标的一种方法，这些目标包括个人职 能、事件重建、入侵探测和故障分析： 1 个人职能( i n d i v i d u a la c c o u n t a b i l i t y ) ：安全审计是管理人员用来维护个人职 能的技术手段。通过告知用户应该为自己的行为负责，通过审计跟踪记 录用户的活动，管理人员可以改善用户的行为方式。如果用户知道他们 的行为被记录在审计日志中，他们就不太会违反安全策略和绕过安全控 制措施。例如在访问控制中，审计跟踪可以用于鉴别对数据的不恰当修 改( 如在数据库中引入一条错误记录) 和提供与之相关的信息。审计跟踪 可以记录改动前和改动后的记录，以确定所作的实际改动。这可以帮助 管理层确定错误到底是由用户、操作系统、应用软件还是由其它因素造 成的。 2 事件重建( r e c o n s t r u c t i o no f e v e n t s ) ：在故障发生后，审计跟踪可以用于重 建事件。通过审查系统活动的审计跟踪可以比较容易地评估故障损失， 确定故障发生的时间、原因和过程。通过对审计跟踪的分析通常可以辨 别故障是操作引起的还是系统引起的。例如，当系统失败或文件的完整 性受到质疑时，通过对审计跟踪的分析就可以重建系统、用户或应用程 序的完整的操作步骤。在对诸如系统崩溃这样的故障的发生条件有清晰 认识的前提下，就能够避免未来发生此类系统中断的情况。而且，在发 生技术故障( 如数据文件损坏) 时，审计跟踪可以协助进行恢复( 通过更改 记录可以重建文件) 。 第一章信息安全服务 3 入侵探i 贝u ( i n t m s i o nd e t e c t i o n ) ：如果用审计跟踪记录适当的信息，也可以 用来协助入侵探测工作。如果在审计记录产生时就进行检查( 通过使用某 种警告标志或提示) ，就可以进行实时的入侵探测，不过事后检查( 定时 检查审计记录1 也是可行的。实时入侵探测主要用于探测外部对系统的非 法访问。也可以用于探测系统性能指标的变化以发现病毒或蠕虫攻击。 但是实时审计可能会降低系统性能。事后鉴别可以标示出非法访问的企 图( 或事实) 。这样就可以提醒人们对损失进行评估或重新检查受攻击的 控制方式。 4 故障分析( p r o b l e ma n a l y s i s ) ：在线的审计跟踪还可以用于鉴别入侵以外的 故障。这常被称为实时审计或监控。如果操作系统或应用系统对公司的 业务非常重要，可以使用实时审计对这些进程进行监控。 1 3 已有的安全系统框架介绍 对于分布式系统、电子商务以及近来提出的w e b 服务其本身往往注重于应用 部分的开发和完善，并不直接提供保护企业资产所必需的安全性机制，这就要求 为这些在线应用提供一个完善和全面的安全模型。对于这一点，业界已经做了不 少的工作。 1 3 ，1k e r b e r o s 系统 k e r b e r o s 作为一种为网络通信提供可信第三方服务的面向开放系统的认证机 制每当用户( c l i e n t ) 申请得到某服务程序( s e r v e r ) 的服务时，用户和服务程序会首先 向k e r b e r o s 要求认证对方的身份，认证建立在用户( c l i e n t ) 和服务程序( s e r v e r ) 对 k e r b e r o s 的信任的基础上在申请认证时，c l i e n t 和s e r v 都可看成是k e r b e r o s 认 证服务的用户，为了和其它服务的用户区别，k e r b e r o s 用户统称为p r i n c i p l e ， p r i n c i p l e 既可以是用户也可以是某项服务。 ，、 、 图1 - 4k e r b e r o s 系统模型 如图i - 4 所示，当用户登录到工作站时，k e r b e r o s 对用户进行初始认证，通过 认证的用户可以在整个登录时间得到相应的服务k e r b e r o s 既不依赖用户登录的 终端，也不依赖用户所请求的服务的安全机制，它本身提供了认证服务器来完成 第一章信息安全服务 用户的认证工作。时间戳( 代表时间的大数字) 技术被应用于后来的k e r b e r o s 中来 防止重放攻击。k e r b e r o s 保存p r i n c i p l e 及其密钥的数据库，私有密钥( p r i v a t ek e y ) 只被k e r b e r o s 和拥有它的p r i n c i p l e 知道，在用户或服务登记时和k e r b e r o s 协议生 成使用私有密钥k e r b e r o s 可以创建消息使一个p r i n c i p l e 相信另一个p r i n c i p l e 的 真实性，进行认证工作k e r b e r o s 还产生一种i 临时密钥称作会话密钥( s e s s i o nk e y ) 通信双方用在具体的通信中使用会话密钥对通信数据加密。 k e r b e r o s 的基础是对称加密算法( 即加密解密使用同一个密钥) ，因而，它在 具有羽称算法的优点：加密速度快效率高，但同时它也具有了对称认证系统的普 遍缺点：密钥管理复杂，先天上无法支持抗抵赖性。第一个缺点造成其推广的困 难，后一个缺点对于某些商业应用来况，是无法接受的，只有另外通过一些辅助 手段加以弥补。 1 3 2 公钥基础设方瞧 二十世纪八十年代，美国学者在非对称加密算法的基础之上，提出了一种称 为公钥基础设施( p u b l i ck e yi n f r a s t r u c t u r e ，简称p k i ) 的安全模型，该模型中集成 了对称加密算法、非对称加密算法以及摘要算法等等安全技术，为w e b 服务提供 较为完善信息的真实性、完整性、机密性和不可否认性服务，并为在线业务系统 建立了有效的信任管理和严密的责任机制。 p k i 所实现的信息完整性、机密性和不可否认性服务是通过数字签名、数字摘 要、数字证书、数字信封等安全认证技术实现的。安全认证技术是基于加密技术 的新的安全技术。安全认证的基本组件是公钥证书( p u bk e yc e r t i f i c a t e s ，简称 p k c s ) ，数字证书是一个封装了用户身份信息和公开密钥的数据结构，同时也使 用了信任的第三方( c a ) 的私钥对证书签名以保证其不被篡改，其它信任该c a 的 用户通过使用该c a 的公钥验证该证书即可认证其用户身份。数字摘要类似予前 面提到的h m a c 。而把摘要算法和非对称加密算法结合起来，就产生了数字签名： 可以在提供数据完整性的同时，保证数据的真实性。数字签名要求被发送文件用 安全h a s h 编码法，如：m d 5 算法编码加密产生12 8 b i t 的数字摘要，发送方用自 己的私用密钥对摘要再加密，这就形成了数字签名。对方接受到原文和加密的摘 要后，用发送方的公开密钥对摘要解密，同时对收到的文件用m d 5 编码加密产生 又一摘要；将解密后的摘要和接收方重新加密产生的摘要进行对比，若一致，则 说明传送的信息没有被破坏或篡改，保证了原文的真实有效性，还能防止对方抵 赖。数字信封是为对称加密体制提供会话密钥( 采用对称算法的密钥，以提高会 话的效率) 的机制。在数字信封中，可以用公钥体制保护会话密钥，也可以用私 钥体制保护会话密码。如：用r s a 公钥体制保护会话密钥时，信息发送方随机产 生会话密钥作为下一步对称加密体制收发双方的密钥信息，然后将此会话密钥用 接受方的公开密钥来加密，这样就形成了数字信封。发送方将数字信封和加密后 的信息一起发送给接受方，接受方先用相应的私有密钥解开数字信封，得到会话 密码，这样收发双方就拥有了相同的密钥( 会话密钥) 。 业界对p k i 从提出至今始终非常重视，并不断进行实践和完善，包括美国、 r 第一章信息安全服务 加拿大等不少的发达国家已经通过立法，确保了p k i 的顺利实施。中国也于2 0 0 1 年9 月将p k i 的关键技术纳入国家8 6 3 计划当中。可以说随着网络应用的不断发 展，p k i 的全面实施已经是大势所趋。但是p k i 本身也有着天然的缺陷，在提供 了完善的认证服务、数据保密性服务、数据完整性服务、不可否认性服务的同时， p k i 在实现访问控制时就总是显得力不从心。这是由于p k i 的基本数据结构公 钥证书本身的结构决定的，是p k i 的硬伤。 1 3 3 特权管理基础设施 为了克服p k i 的局限，人们在p k i 基础以上进行了p m i 的研究。p m i 的目 标是对访问受保护对象和服务的终端实体进行授权管理。p m i 作为对p k i 系统 的补充要求能够系统地建立起对用户的授权管理，支持对系统敏感数据的访问保 护，弥补p k i 的弱点。 虽然很早就有了各种各样的访问控制系统，但是对于建立一个与p k i 系统紧 密结合的特权管理系统，更多的仍然是理论和试验方面的工作，并未形成一个公 认的标准。但是尽管不同的组织对于p m i 有着不同的定义，但是基本上可以将 p m l 分为两部分内容：首先是建立一个对所有用户的授权管理系统，其次是根据 相应的安全策略对授权用户的访问做出适当的访问控制决策。第二部分往往是和 p k i 或者其它认证服务紧密结合在一起的，因此我们所说的把p k i 和p m i 结合 在一起，一般就是指这一部分。 1 , 4 研究目标 本文的设计目标是在分析基于r b a c 模型的应用基础上，为r b a c 系统的 授权管理和访问控制提供一个较为完善的访问控制函数库，并讨论在此函数库的 基础之上如何构架一个与p k i 紧密结合的特权管理基础设施。 第二章访问控制系统的模型和标准 2 访问控制系统的模型和标准 2 1i s o i e c1 0 1 8 3 3 介绍 i s o i e c l 叭8 3 是1 s o 和i e c 为开发式系统环境下信息安全理论模式所制定 的标准，该标准包含了七大部分，分别为： 1 第一部分n 0 1 8 3 、1 ) ：简介； 2 第二部分( 1 0 1 8 3 2 ) ：身份认证理论模式； 3 第三部分( 1 0 1 8 3 3 ) ：访问控制理论模式； 4 ，第四部分( 1 0 1 8 3 4 】：不可否认机制理论模式： 5 第五部分( 1 0 1 8 3 5 ) 机密性理论模式； 6 第六部分( 1 0 1 8 3 6 ) ：完整性理论模式； 7 ，第七部分( 1 0 1 8 3 。7 ) ：安全审计理论模式； 在i s o i e c l 0 1 8 3 3 中不仅提供了关于访问控制模式的完整定义，也为电脑系 统访问控制机制的实现模式提供了一套设计标准，并以具体的方式说明了达成上 述访问控制目标的实际做法。下面将简要地针对i s o i e c l 0 1 8 3 3 进行介绍。 2 1 1 访问控制和授权的定义 在i s o i e c l 0 1 8 3 3 中将访问控制定义为：“为电脑系统所属资源在遭受未经 授权的操作威胁时提供适当的控制以及防护措施，以保护信息的机密和完整性。” 这些未经授权的操作包括了：未经授权的使用( u n a u t h o r i z e du s e ) ，信息的泄漏 ( d i s c l o s u r e ) ，未经允许的修改( m o d i f i c a t i o n ) ，恶意的破坏( d e s t r u c t i o n ) ，拒绝服务 ( d e n i a lo fs e r v i c e ) 等5 部分。 在i s o7 4 9 8 2 中，将访问控制定义为：“防止对系统资源进行未授权的使用， 包括防止以未授权的方式对资源进行使用”。 授权也包含了两部分的内容：确保一个主体获得一个特权属性集的管理行为 以及确认一个主体在拥有了它所宣称的特权属性集后确保该主体能够访问资源 的操作行为。根据这两部分的内容，可以把访问控制的内容分为特权属性的管理 和系统访问控制实现。 j o 第二章访问控制系统的模型和标准 2 1 2 访问控制系统设计的基本功能元件定义 图2 一l i s o1 0 1 8 1 - 3 访问控制功能元件及其通讯 如图2 1 所示。访问控制功能元件包括四个部分： 1 发起端主体单：元( i n i t i a t o r ) ：指电脑系统中操作系统资源和应用资源的使 用者，或是可执行程序等系统实体的主动部分： 2 访问控制的执行功能单元( a c c e s sc o n t r o le n f o r c e m e n tf u n c t i o n ，简称 a e f ) ：负责建立发起端与目的端之间的通讯桥梁，其操作必须按照a d f 的授权审查结果来实施。除此之外，在一个完善的特权管理系统中，a e f 一般还要包含对发起端的身份认证，传输信息的封包及机密性检查等功 能： 3 访问控制的决策功能单元( a c c e s sc o n t r o ld e c i s i o nf u n c t i o n ，简称a d f ) ： 是访问控制系统的核心，它根据a e f 传送的操作要求以及相关的访问控 制决策信息( a c c e s sc o n t r o ld e c i s i o ni n f o r m a t i o n ，简称a d i ) ，做出正确的 访问控制决策； 4 目标单元( t a r g e t ) ：系统文件，外设等属于系统实体的被动部分； 2 1 3 访问控制功能元件的通信 在访问控制模型的基本功能元件中，a d f 是访问控制系统运行的核心部分， 当a d f 对发起端所传送的访问要求进行审核验证时，是根据不同来源端所送入 的访问控制决策信息( a d i ) 以及其它附属信息作为审核的依据。从图2 2 可以看 出，a d i 的来源包括了： 1 发起端的访问控制决策信息( i n i t i a t o ra d i ) ，它描述了发起端主体被赋予 的执行权限； 2 目标端的访问控制决策信息( t a r g e t a d i ) ，描述了目的端可被操作的权 限范围； 3 请求执行的操作所附带的访问控制决策信息( a c c e s sr e q u e s ta d i ) ，它是 附带于访问请求的执行权限信息； 4 访问控制策略规则，它是根据a d f 所属的安全管理系统将系统中制定的 第二章访问控制系统的模型和标准 安慰策略转换为具体的，可被系统执行的规则； 5 系统环境信息，注意参考发起端的上下文环境，包括了发起端所在位置 ( i p ) 、指定必须使用的系统、限制其访问资源的时间、规定的通信协议等； 6 a d f 中的保留a d i ，用来将事先获准执行的相关信息加以记录，同时也 可协助系统完成事先审核的工作。 图2 - 2 访问决策函数的输入参数 类似于a d f ，a e f 执行时所需要的信息称为访问控制信息( a c c e s sc o n t r o l i n f o r m a t i o n ，简称a c i ) 。访问控制系统在实施时，首先必须由a e f 对发起端a c i 、 访问请求a c i 、目标端a c i 、访问上下文a c i 进行审核和提炼，生成的访问控 制信息通过转换生成a d f 所需的a d i 。其通信过程如图2 3 所示： l n i t i a t o r p o l i c y 图2 - 3a e f 和a d f 的通信 把a e f 收集的a c i 转换为a d f 的输入a d i 的功能模块称为访问控制a p i 或授权a p i ，访问控制a p i 居于a e f 和a d f 的中间层，主要针对访问控制的工 作内容，可以包含在整个r b a c 函数库中，也可以成为一个单独的部分。 1 2 第二章访问控制系统的模型和标准 2 1 4 安全策略 访问控制安全策略表达了系统所定义的安全域需要达到的安全标准。访问控 制安全策略提供了a d f 实施访问控制所遵循的规则，是a d f 进行访问控制决策 的依据。 可以将一个访问控制系统的安全标准按照粗细粒度来分类，粗粒度表示类别 级，即仅考虑对象的类别( t h et y p eo f o b j e c t ) ，不考虑对象的某个特定实例。比如， 用户管理中，创建、删除，对所有的用户都一视同仁，并不区分操作的具体对象 实例；而细粒度则表示实例级，即需要考虑具体对象的实例( t h ei n s t a n c eo f o b j e c t ) ，当然，细粒度是在考虑粗粒度的对象类别之后才再考虑特定实例。比如， 合同管理中，列表、删除，需要区分该合同实例是否为当前用户所创建。一般讲， 粗粒度注重于权限逻辑并为业务逻辑服务，更具通用性，往往用来实现访问控制 管理架构，而细粒度的权限判断必须要在资源上建模权限分配的支持信息才可能 得以实现，因而常常具有相当大的业务逻辑相关性，对不同的业务逻辑，常常意 味着完全不同的权限判定原则和策略。 在第一章中提到的3 种安全策略中，i s o i e c l 0 1 8 3 3 中定义了其中的两种， 分别为：基于规则( r u l e 。b a s e d ) 的处n 方式和基于个体( i d e n t i t y b a s e d ) 的处理方式。 基于规则的处理方式采用的安全策略是由系统管理员指定访问控制规则并要求 强制性实施，通常称为强制性访问控制( m a c ) 策略。基于个体的处理方式采用 的安全策略，是由系统所属的每一个使用者自由决定并给予任意性的实现，通常 称为任意性访问控制策略( d a c ) 。 对于基于角色( r o l e b a s e d ) 的访问控制策略