（计算机软件与理论专业论文）多信任域的分布式访问控制模型研究.pdf

多信任域的分布式访问控制模型研究 摘要 随着信息化建设的不断深入，各政府部门、企事业单位都根据各自的业务需求建 立各自的信任域( 在同一安全策略管理范围内的域) 并开发各自的应用系统。而信息化 的发展使得这些单域之间实现信息共享和互操作的需求越来越迫切。在目前高度动 态、异构化、分布式的现代信息系统中，跨越单个域的限制，在多个信任域之间实现 资源共享和进行安全互操作是非常必要的。 本文研究了多信任域认证授权系统的两种模型：网关模式基本模型和分布式基本 模型。并分析了i r b a c ( i n t e r o p e r a b i l i t yr o l eb a s e da c c e s sc o n t r 0 1 ) 2 0 0 0 模型的基本思 想、域间动态角色映射策略以及其存在的问题。其不足主要表现在：( 1 ) 多信任域间 角色映射中违背职责分离原则：( 2 ) 没有考虑某一角色加入或退出时，与之关联角色 的处理问题；( 3 ) 在角色进行域穿梭时，存在角色的渗透和隐提升问题。 针对以上不足，本文提出了m t d i g r b a c ( m u l t i p l et r u s td o m a i n - i n t e r o p e r a b i l i t y g r a n u l a rr o l eb a s e d a c c e s sc o n t r 0 1 ) 模型，并对m t d i g r b a c 模型中各元素间的关系 以及访问控制策略进行了描述。将该模型应用到金华市电力负荷预测系统的安全子系 统中，简化了系统的多信任域授权管理，实际应用表明该模型能有效、灵活地实现了 多信任域间的安全访问控制。 本文的主要研究工作包括： ( 1 ) 提出了g r b a c 模型，该模型对角色和权限进行粒化，在权限粒和角色粒 上引入时间和上下文因素，很好地解决了最小权限原则和职责分离原则。 ( 2 ) 引入信任度的计算模型，解决了在开放环境中的安全访问控制的匿名授权问 题，并提高了访问控制中授权管理的灵活性。 ( 3 ) 提出了m t d i g r b a c 模型，该模型基于g r b a c 模型和信任度计算模型。 信任度计算和粒逻辑推理的引入，实现了m t d i g r b a c 模型的动态授权，很好地解 解决了角色变换( 如角色的加入或退出) 时与之相关联角色的处理和域穿梭时的角色 渗透和隐提升问题，使多信任域间能够进行安全、灵活的协作。 i 关键词：m t d i g r b a c ；访问控制；p m i p k i ；多信任域；角色粒权限粒； 信任度 i i d i s t r i b u t e da c c e s sc o n t r o lm o d e lo v e r m u l t i t r u s td 0 l a i n a b s t r a c t w i t ht h ed e v e l o p m e n to fi n f o r m a t i o nc o n s t r u c t i o n , g o v e r n m e n td e p a r t m e n t sa n d e n t e r p r i s e sh a v ee s t a b l i s h e dt h e i rs i n g l e - t r u s t - d o m a i n s ( t h ed o m a i nu n d e rt h es a m es e c u r i t y p o l i c y ) a n dd e v e l o p e dt h e i ro w l la p p l i c a t i o n ss y s t e m s ，a c c o r d i n gt o t h e i rb u s i n e s s r e q u i r e m e n t s i nt h em e a n t i m e ，i n f o r m a t i o nt e c h n o l o g ya p p l i c a t i o n sm a k et h ed e m a n do f i n t e r o p e r a t i o n a n di n f o r m a t i o n s h a r i n ga m o n gt h e s es i n g l e - t r u s t - d o m a i n s i n c r e a s i n g l y p r e s s i n g i nt h ec u r r e n ti n f o r m a t i o ns y s t e m sw h i c hi sh i g h l yd y n a m i c ，h e t e r o g e n e o u sa n d d i s t r i b u t e d ，i ti sn e c e s s a r yt or e a l i z i n gi n f o r m a t i o n - s h a r i n ga n di n t e r o p e r a t i o na m o n g m u l t i - t r u s td o m a i n ss e c u r e l yb ya c r o s s i n gs i n g l e - d o m a i n sr e s t r i c t i o n t h i st h e s i si n v e s t i g a t e st w ok i n d so fm o d e l so fm u l t i - d o m a i na u t h e n t i c a t i o na n d a u t h o r i z a t i o ns y s t e m ：b a s e dm o d e lo fg a t e w a ym o d ea n db a s e dm o d e lo fd i s t r i b u t e dm o d e w ea n a l y s et h eb a s i ci d e ao ft h ei r b a c ( i n t e r o p e r a b i l i t yr o l eb a s e da c c e s sc o n t r 0 1 ) 2 0 0 0 m o d e l ，a n dm a p p i n gs t r a t e g i e so fd y n a m i cr o l e sa m o n gd o m a i n s ，t h e np o i n t so u ts e v e r a l e x i s t i n gp r o b l e m si nt h e m ，w h i c ha r es h o w e d 硒f o l l o w s ：( 1 ) i tv i o l a t e st h ep r i n c i p l eo f d u t ys e p a r a t e n e s sd u r i n gr o l em a p p i n ga m o n gm u l t i - t r u s td o m a i n ；( 2 ) i td o s en o tc o n s i d e r h o wt op r o c e s st h er e l a t e dr o l ew h e nr o l e se n t e ro re x i t ；( 3 ) i th a st h ep r o b l e m so fr o l e i n f i l t r a t i o na n dc o v e dp r o m o t i o nw h e nr o l e ss h u t t l e sa m o n gd o m a i n s t os o l v et h ea b o v ep r o b l e m s ，t h i st h e s i sp r o p o s e sam t d - i g r b a c ( m u l t i - t r u s t d o m a i n i n t e r o p e r a b i l i t yg r a n u l a rr o l eb a s e da c c e s sc o n t r 0 1 ) m o d e l ，a n dd e s c r i b e s r e l a t i o n s h i po fe v e r ye l e m e n t sa n da c c e s sc o n t r o ls t r a t e g yo ft h em o d e l w ei n t r o d u c et h e m t d i g r b a cm o d e lt os e c u r i t ys u b s y s t e mo fe l e c t r i cp o w e rl o a df o r e c a s t i n gs y s t e mi n j i n h u a , w h i c hs i m p l i f i e sm u l t i - t r u s td o m a i na u t h o r i z a t i o nm a n a g e m e n t t h ea p p l i c a t i o n s h o w st h a tt h ep r o p o s e dm o d e lc a l lr e a l i z es e c u r i t ya c c e s sc o n t r o la m o n gm u l t i - t r u s t i i i d o m a i n s t h em a i nc o n t r i b u t i o n sa r ea sf o l l o w s ： ( 1 ) ag - r b a cm o d e li sp r o p o s e d ，w h i c hg r a n u l a t e sp e r m i s s i o n sa n dr o l e s ，a n d i n t r o d u c e st h et i m ea n dc o n t e x tf a c t o r st ot h ep e r m i s s i o ng r a n u l a r i t ya n dr o l eg r a n u l a r i t y i t c a ns o l v et h ep r o b l e m so fm i n i m u ma u t h o r i z a t i o na n dr e a l i z ed u t ys e p a r a t e n e s sp r i n c i p l e p r o p e r l y ( 2 ) at r u s t - l e v e lc o m p u t i n gm o d e li si n t r o d u c e d ，w h i c hs o l v e st h ep r o b l e mo f a n o n y m o u sa u t h o r i z a t i o ni nt h ea c c e s sc o n t r o lf o ro p e ne n v i r o n m e n t ，a n de n h a n c e st h e f l e x i b i l i t yo fa u t h o r i z a t i o nm a n a g e m e n ti na c c e s sc o n t r 0 1 ( 3 ) t h em t d - i g r b a cm o d e li sp r o p o s e d ，w h i c hi sb a s e do ng - r b a cm o d e la n d t r u s t - l e v e lc o m p u t i n gm o d e l w i t ht h ei n t r o d u c t i o no ft h et r u s t l e v e lc o m p u t i n ga n d g r a n u l a rl o g i c a lr e a s o n i n g ，t h ed y n a m i ca u t h o r i z a t i o no ft h em t d - i g r b a cm o d e li s r e a l i z e d ，a n dt h ep r o b l e m so fb o t ht h er e l a t e dr o l ep r o c e s s i n gw h i l er o l ec h a n g e s ( r o l ee n t e r o re x i t ) ，a n dt h er o l ei n f i l t r a t i o na n di m p l i c i tp r o m o t i o nw h i l et h er o l es h u t t l e st h eo t h e r d o m a i n sa r ep r o p e r l yr e s o l v e d t h e nt h es a f ea n df l e x i b l ec o l l a b o r a t i o no fm u l t i - t r u s t d o m a i n si sm a k e np o s s i b l e k e yw o r d s ：m t d i g r b a c ；a c c e s sc o n t r o l ；f m i p k i ；m u l t i t r u s td o m a i n ； r o l eg r a n u l a r p e r m i s s i o ng r a n u l a r ；t r u s t l e v e l i v 浙江师范大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。论文中除了特别加以标注和致谢的地方外，不包含其他人或其他机 构已经发表或撰写过的研究成果。其他同志对本研究的启发和所做的贡献均已在 论文中作了明确的声明并表示了谢意。本人完全意识到本声明的法律结果由本人 承担。 名：编，稍嗍1 年i 月) 日 学位论文使用授权声明 本人完全了解浙江师范大学有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关机关或机构送交论文的复印件和电子文档，允许论文被查阅和借阅，可 以采用影印、缩印或扫描等手段保存、汇编学位论文。同意浙江师范大学可以用不同 方式在不同媒体上发表、传播论文的全部或部分内容。 保密的学位论文在解密后遵守此协议。 作者签名： 办懒导师签名： 5 8 建乃日期：炒丫年占月夕日 浙江师范大学学位论文诚信承诺书 我承诺自觉遵守浙江师范大学研究生学术道德规范管理条 j e l l ) 。我的学位论文中凡引用他人已经发表或未发表的成果、数据、 观点等，均已明确注明并详细列出有关文献的名称、作者、年份、 刊物名称和出版文献的出版机构、出版地和版次等内容。论文中未 注明的内容为本人的研究成果。 如有违反，本人接受处罚并承担一切责任。 承诺人( 研究生) ：拟份书 指导教师：车多觑 1 1 研究背景 1 绪论 在现代生活中，国际互联网已成为科研、教育、贸易、娱乐、办公等活动中不可 或缺的重要工具和信息来源的渠道。国际互联网给世界经济以及人们的生活带来了巨 大的变革，人们可以通过网络有效地实现信息共享。 但近年来，随着i n t e m e t 和分布式对象技术的飞速发展，分布式系统越来越多的 应用。同时，电子商务也推动了系统间的协同的发展，原本单一的分布式系统就需要 和别的分布式系统进行资源共享和互访，于是出现许多新的大规模、开放的分布式系 统，如移动a g e n t 、多a g e n t 系统，网格和对等计算( p e e r - t o p e e r , p 2 p ) 系统等。信息 系统也经历了传统的集中式系统，自主分布式系统，和多信任域系统。多信任域系统 是一个开放的分布式系统，用于协同工作领域。每一个域被单一的管理权限所管辖。 在这样的复杂的分布式多域系统中，如何保证资源的安全共享与互操作，己日益成为 人们关注的重要问题。 访问控制是实现既定安全策略的系统安全技术，它管理所有资源访问请求，即根 据安全策略的要求，对每一个资源访问请求做出是否许可的判断，能有效的防止合法 用户非法使用资源。美国国防部的可信计算机系统评估标准( t r u s t e dc o m p u t e rs y s t e m e v a l u a t i o nc r i t e r i a ，t e s e c ) 把访问控制作为评价系统安全的主要指标，访问控制对提 高系统安全性的重要性是不言而喻的。因此，要充分而安全地发挥分布式系统作用， 系统间安全地进行协作，访问控制是关键问题之一。 1 2 研究现状 1 2 1 访问控制模型研究及进展 传统的访问控制模型主要有：自主访问控制d a c ( d i s c r e t i o n a r y a c c e s s c o n t r 0 1 ) n 1 、强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 1 1 】和基于角色的访问控制 r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 1 2 1 。其中，r b a c 模型以其管理简单方便得到了广 泛的应用，其基本思想是将访问许可权分配给一定的角色，用户通过分配不同的角色 1绪论 而获得角色所拥有的访问许可权。1 9 9 2 年，f e r r a i o l o 和k u h n 首次提出了r b a c 模型 【i 引，给出了r b a c 的形式化定义，讨论了r b a c 实现最小权限原贝, 1 ( l e a s tp r i v i l e g e ) 和职责分离原贝j j ( s e p a r a t i o no fd u t y ) 的方法。1 9 9 6 年，s a n d h u 等人在【1 8 】的基础上提 出了r b a c 9 6 模型【4 】，将传统的r b a c 模型根据不同需要拆分成四种嵌套的模型， 即核心r b a c ，层次r b a c ，约束r b a c ，层次加约束r b a c ，并给出相应的形式化 定义。2 0 0 1 年，f e r r a i o l o 和s a n d h u 等人联合拟定了r b a c 模型的美国国家标准草 案，即n i s tr b a c t 3 1 ，统一了不同模型中的术语，并对所有r b a c 的基本操作给出 伪码定义；r b a c 能够灵活表达和实现安全策略，并解决了因用户过多而导致的访问 效率低与维护困难等问题。2 0 0 3 年，赵庆松和孙玉芳等人提出了域类型增强( d o m a i n a n dt y p ee n f o r c e m e n t ，d t e ) 1 4 4 j ，体现了d t e 的安全思想，并易于实现d t e 安全策 略。2 0 0 5 年，许峰和赖海光等人提出了面向工作流和服务的基于角色访问控制 ( w o r k f l o w b a s e da n ds e r v i c e o r i e n t e dr o l e b a s e da c c e s sc o n t r o l ，w s r b a c ) 4 5 】。 w s r b a c 引入了服务( s e r v i c e ) 的概念，简化了对访问控制对象的管理；采用了动态 管理，加强了对用户实际行使角色权限的控制能力；采用工作流的控制方法，引入了 授权迁移的概念，以实现“最小特权原则；同时具有安全管理的方便性。2 0 0 7 年， 朱一群和李建华等人提出一种面向w e b 服务的动态分级角色访问控制模型矧，引入 了授权组概念和分级访问控制机制，有效增强了w r e b 服务访问控制的灵活性能、独 立性和扩展性，完善了w - e b 服务权限管理，提高了w 曲服务应用的安全性，为w r e b 服务提供了更为全面的访问控制机制。2 0 0 8 年，道炜和汤庸等人提出了基于时限的 角色访问控制委托模型4 。7 1 ，在r b d m o 和r d m 2 0 0 0 两个基本模型的基础上引入有效 时间和角色激活的概念，描述了与之相对应的带时限的委托模型并给出了相应的委托 判断规则。 1 2 2 分布式访问控制模型的研究现状 对分布式访问控制的研究始于2 0 世纪9 0 年代初分布式系统开始大量出现的时 候。当时，主要集中于对分布式授权进行抽象的描述和委托技术的研究。t h o m a s 提 出的一种基于逻辑的思路团l ，主要解决几个问题：分布式授权需要较强的表达力；传 统方法太底层，与应用相关，不易在多信任域环境下互操作。逻辑的方法对授权具有 抽象的描述能力，且具有用逻辑归约的方法将不同域的授权数据进行合并的能力。 m a r v i n 对分布式环境下的委托技术进行了研究 2 4 1 ，并提出了使用访问控制程序( a c p ) 进行委托，使用户可以通过一个不可信的第三方，访问其所需要的服务。这些早期的 研究成果，由于其本身表达能力的有限性以及对问题研究的不足，并未得到广泛的应 用。近年来的研究主要集中于多域间安全互操作的机制，信任管理和证书的分布查找 等方面。 2 l 绪论 1 2 2 1 多域问安全互操作的机制 研究多个域之间的协作问题，就是试图建立一些模型或使用一些具体技术满足这 一类需求。 k a p a d i a 等人提出了一个基于角色转换的域间互操作模型i r b a c 2 0 0 0 t 2 5 1 。首先， 二个域均采用r b a c 模型。然后，通过二个域间相互定义角色转换关系，完成二个 域中角色的直接转换。 d e n k e r 等人研究了使用p k i 进行多信任域访问控制的技术【2 6 l 。系统定义以下二 种证书：用户角色证书( u s e r , r o l e ，p k ，i s s u e r , s i g ) 和角色层次证书( r o l e ，s u b r o l e , n o p k , i s s u e r , s i g ) 。这二种证书由每个域的c a 进行颁发，采用x 5 0 9 公钥证书。 用户角色证书中的r o l e 和角色层次证书中的s u br o l e ( 子角色) 可用公钥证书中的 扩展域来实现。角色层次证书中不定义公钥，没有角色_ 公钥绑定。多个角色层次证 书可构成一种内容链，而不是公钥证书中的那种签名链，用于表达角色层次信息。角 色层次证书直接支持r b a c 中的角色层次概念，外域不需对本域中的每个角色授权。 外域对本域中某角色授权后，本域用户如果拥有相应角色的上级角色，则可通过提供 为此用户分配的角色证书以及此角色到相应角色的角色层次证书( 可能是一个证书 链) 获得对外域的访问。 s h a n d s 等人对分布式应用中的安全结盟问题进行了研究【2 7 】，指出结盟各方建立 的是有限的信任。它们之间甚至可能是竞争的关系，但由于一些共同的目标，需要建 立结盟。同时，结盟是动态的，任何成员随时可退出结盟，或撤销其提供的某些共享 资源。s h a n d s 还提出虚孤立点s v e 的概念，它实际上是一种分布式访问控制引擎， 每个域均有一个s v e 。每个结盟方使用d t e ( d o m a i na n dt y p ee n f o r c e m e n t ) 技术制定 相应的规则，实施访问控制。其中的域派生规则实际上相当于用户角色的分配。结盟 的s v e 间互相信任域派生规则，并交换此规则。用户登录到某个域后，按相应的域 派生规则分配角色。 目前，对于域间安全互操作机制的研究主要集中在讨论二个域之间的协作问题， 在域间通过角色转换或对外域角色直接授权，达到互操作的目的。将这些访问控制方 法直接应用到多域的情况，例如大量的多域间合作，则需要在域间两两定义相关数据。 显然，此时存在难以管理授权数据的问题。因此，需要一些可传递性授权的机制。 1 2 2 2 信任管理 ( 1 ) 基于证书的信任管理研究及进展 3 1 绪论 基于证书的信任管理系统，目前发展比较成熟，1 9 9 6 年m b l a z e 开发了第一个 信任管理系统p o l i c y m a k e r t 4 1 ，并基于此提出了信任管理的概念。1 9 9 7 年，e l l i s i o n 等 发布了s p k i ( s i m p l ep u b l i ck e yi n f r a s t r u c t u r e ) 系统1 6 1 ，l a m p s o n 等人提出了 s d s i ( s i m p l ed i s t r i b u t e ds e c u r i t yi n f r a s t r u c t u r e ) 系统1 7 j ，将信任管理思想应用到公钥基 础设施中去，扩大了信任管理思想的应用范围。1 9 9 7 年，这两个工作小组合并，发 布了s p k i s d s i 系统【2 。1 9 9 7 年，c h u 等人提出了r e f e r e e 系统1 1 0 】，该系统是应 用于网络浏览的信任管理系统。1 9 9 9 年期间，b l a z e 等针对p o l i c y m a k e r 存在的策略 表达能力弱、难以与应用系统集成等问题，开发k e y n o t e 9 1 ，增强的表达能力的同时， 实现了策略和凭证描述的标准化。在2 0 0 2 年，l i 等人提出了基于角色的信任管理体 系i 玎( ar o l e b a s e dt r u s t m a n a g e m e n tf r a m e w o r k ) 儿珀j ，增加了策略的表达能力，同 时方便了管理。2 0 0 2 年，f r e u d e n t h a l 等人提出了一个动态结盟环境下的分布式r b a c 模型d r b a c 3 2 】，它使用基于角色的委托和证明监控，达到动态结盟的目的。2 0 0 6 年， 翟征德针对现有r b a c 委托模型在支持细致委托粒度和权限传播的可控性上存在的 不足，提出了量化角色的概念 4 8 】，实现了一种细粒度的委托约束机制，给出了一个形 式化的基于量化角色的可控委托模型q b c d m ( q u a n t i f i e dr o l eb a s e dc o n t r o l l a b l e d e l e g a t i o nm o d e l ) 。该模型提供了灵活的委托粒度，支持对角色任意部分权限的委托， 避免了引入较高的管理代价；支持强制委托约束和细粒度的自主委托约束，保证了多 步委托过程中委托能力的收敛性，显著增强了委托过程的可控性。 ( 2 ) 基于信任度模型的信任管理研究及进展 基于证书的信任管理系统本质上都是使用一种精确的、理性的方式来描述和处理 复杂的信任关系。a a d u l r a h m a n 等人认为信任是非理性的，是一种经验的体现，不 仅要有具体的内容，还应有程度的划分，并提出了一些基于此观点的信任度评估模型 0 3 1 o 信任度模型的研究比基于证书的信任模型早，1 9 9 2 年，a b d u l r a h m a n 等人提出 的分布式信任模型【1 3 】【1 4 】，过分强调信任度的有条件传递性，也没有给出具体的信任 度计算模型。1 9 9 4 年，b e t h 等人提出了基于经验和概率统计的信任评估模型【”】，但 对直接信任定义过于严格，难以客观反映推荐行为的经验。1 9 9 6 年，j o 。口一g 等人在 基于主观逻辑的信任中引入了事实空间( e v i d e n c es p a c e ) 和观念空间( o p i n i o ns p a c e ) 的 概念来描述和度量信任关系【1 6 】。2 0 0 3 年，唐文等人提出用模糊集合理论来描述信任， 提出了运用概念树来描述和定义信任类型的方法1 1 7 j 。2 0 0 6 年，s u d i pc h a k r a b o r t y 等 人用信任等级的概念来扩展了传统的r b a c 模型，提出了t r u s t b a c ( i n t e g r a t i n gt r u s t r e l a t i o n s h i p si n t ot h er b a cm o d e lf o ra c c e s sc o n t r o li no p e ns y s t e m s ) 模型i j 。 ( 3 ) 动态信任研究现状 4 1 绪论 动态信任关系建模及管理技术的研究是近几年新兴的研究领域，比基于证书的信 任模型的研究和基于信任度模型的研究要晚。在2 0 0 4 年，由a l m e n a r e zf 等人提出 p t m ( p e r v a s i v et r u s tm a n a g e m e n tm o d e lb a s e do nd st h e o r y ) 1 2 8 1 ，p t m 是欧洲i s tf p 6 支持的u b i s e c ( 安全的普适计算) 研究子项目。它定义了基于普适环境的域间的动 态信任模型，主要采用改进的证据理论( d st h e o r y ) 的方法进行建模，信任度的评估采 用概率加权平均的方法。在2 0 0 5 年，c l a u d i u 等人提出了一种p 2 p 环境下基于机器学 习中强化学习方法的动态信任模型1 2 圳。信任度的取值范围也是采用集合 0 ，1 】。同样 2 0 0 5 年，s o n g 等人提出了一种网格环境下的实体之间基于模糊逻辑的动态信任模型 ( f u z z y t r u s tm o d e l ) 3 0 】，模型包括3 个组成部分：信任的描述部分、信任关系的评估( 模 糊推理) 部分和信任的进化( 更新) 部分。在2 0 0 6 年，g e o r g e 等人提出了一种基于 半环( s e m i r i n g ) 代数理论的信任模型g e o r g e sm o d e l ( t r u s tm o d e lb a s e do ns e m i r i n g ) 3 1 1 。 将信任问题定义为一个有向图g 代e ) 的路径问题，用节点代表实体，有向边代表信任 关系，然后使用半环代数理论计算两个节点之间的信任值并进行信任评估。 1 3 研究内容 传统的访问控制模型，如自主访问控制( d a c ) 模型【l l 、强制访问控$ u ( m a c ) 模型 【l 】以及近来提出的基于角色的访问控制( i 狙a c ) 模型【2 1 ，主要适用于集中式访问控制情 境，不适合于分布式安全访问控制系统。那么，在多信任域的分布式访问控制模型中 需要解决一下几个主要的问题： ( 1 ) 传统的r b a c 模型没有考虑到时间和上下文因素，角色之间，权限之间的逻 辑关系比较简单，以致大量用户和角色在面向多信任域的分布式访问控制系统的授权 中，表现出效率低、管理复杂等不足； ( 2 ) 匿名用户问题，多信任域的分布式环境中申请访问系统的用户，往往是系统 不认知的； ( 3 ) 多个信任域间的访问控制问题，多信任域的分布式环境中单域需要高度的自 治，同时域间需要安全的协作和资源共享。 虽然有一些改进的方法，如将p k i 3 5 】与a c l 结合起来使用，但仍然无法从根本 上解决所有的问题。在现今这种规模庞大的、开放的i n t e m e t 中，传统的安全机制明 显不再适用。在一个大规模的、多信任域的分布式系统中，系统的授权者无法直接知 道用户，因此他必须使用由熟知用户的第三方所提供的信息；通常授权者只在某种程 度上相信第三方提供的某类信息。这种信任和委托关系使得分布式授权不同于传统的 访问控制。面向多信任域的分布式访问控制方法正是为了解决上述问题而提出的一种 5 1绪论 分布式访问控制机制。 本课题针对多信任域的分布式访问控制，提出一个多信任域的访问控制模型，灵 活跨越多个信任域，进行授权管理。多信任域的分布式访问控制模型能在整个系统中 保持统一的安全策略，同时还具有很强的表达能力和可扩展性，很好的适应了分布式 系统的需要。与传统授权方式相比，多信任域的分布式访问控制是一种更直接、高效、 完善的分布式授权方式。因此，对多信任域的分布式访问控制模型这一新兴的访问控 制理论做深入的研究，有着明显的理论意义和很高的实际价值。 对分布式系统复杂的访问控制，离不开访问控制服务。只有通过访问控制服务才 能为每个用户定制权限，才能对系统提供粒度更细的控制。分布式访问控制已成为分 布式系统安全性研究的热点之一。 1 4 论文结构 根据本文研究内容和研究目标，文章内容组织如下： 第l 章：绪论 论述了多信任域访问控制模型的背景和意义，分析了多信任域的分布式访问控制 模型研究现状，确定了论文的研究内容和研究目标。 第2 章：相关技术 本章是主要介绍p k i p m i 技术、r b a c 和n i s tr b a c 系统的思想、特点和应用 现状；以及它们在面向多信任域的分布式访问控制模型研究中如何关联和定位。 第3 章：多信任域的访问控制模型研究 分析了多信任域认证授权系统的两种模型：网关模式基本模型和分布式多信任域 认证模型。并着重分析了i r b a c 2 0 0 0 模型的思想、策略、域间授权步聚以及其存在 的安全问题。 第4 章：m t d i g i m a c 模型 首先提出了g r b a c 模型和介绍了信任度计算模型，并把g r b a c 模型和信任 度计算模型引入到多信任域的访问控制模型中，提出了m t d i g r b a c 模型。论述了 m t d i g r b a c 模型的组成、机制及其实现过程。 第5 章：基于m t d i g r b a c 的电力负荷预测访问控制 本章介绍了电力负荷预测管理系统，并详细分析多信任域访问控制的实现过程。 第6 章：总结与展望 对全文的工作进行总结，回顾了本文的主要研究内容，归纳了本文的主要贡献， 指出进一步可以进行研究的内容，作为下阶段研究的重点，并对进一步工作进行展望。 6 2 相关技术分析 基于角色的访问控制模( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 自2 0 世纪9 0 年代初被 提出以来，已经逐渐发展成为一个功能较为完善的访问控制模型。同传统的自主访问 控带i j ( d a c ) 和强制访问控制( m a c ) 相比，r b a c 代表了在灵活性和控制粒度上的一个 重大进步，并正逐渐变取代传统的访问控制模型。本章首先分析了r b a c 9 6 模型、 a r b a c 9 7 模型和n i s tr b a c 模型，并对p m i 及p k i 进行了分析和比较。 2 1 基于角色的访问控制( r b a c ：r o l e b a s e da c c e s sc o n t r 0 1 ) 网络的发展，特别是i n t e r n e t 的广泛应用使网上信息的完整性要求超过了机密性， 而传统的d a c m a c 策略难以提供这方面的支持。9 0 年代以来n i s t ( n a t i o n a li n s t i t u t e o f s t a n d a r d sa n dt e c h n o l o g y ) 提出了r b a c 的概念并广为接受。i m a c 【2 】【4 9 1 的突出优点 是简化了各种环境下的授权管理。在d a c m a c 系统中访问权限直接授予用户，而 系统中的用户数量众多而且经常变动，这就增加了授权管理的复杂性。r b a c 的思想 是将访问权限分配给角色，系统的用户担任一定的角色，与用户相比角色是相对稳定 的。角色实际上是与特定工作岗位相关的一个权限集，当用户改变时只需进行角色的 撤消和重新分配即可。虽然r b a c 已在某些系统中得到应用( 如s q l3 ) ，但r b a c 仍处于发展阶段，r b a c 的应用仍是一个相当复杂的问题。 2 1 1r b a c 的基本概念 ( 1 ) 用户( s u b j e c 0 可以对其它实体实施操作的主动实体。通常是系统用户或代 理用户行为的进程。 ( 2 ) 客体( o b j e c 0 接受其它实体动作的被动实体。通常是可以识别的系统资源， 如文件。一个实体在某一时刻是用户而在另一时刻又成了客体，这取决于该实体是动 作的执行者还是承受者。 ( 3 ) 用户( u s e r ) 企图使用系统的人员。每个用户都有一个唯一的用户标识 ( u i d ) ，当注册进入系统时，用户要提供其u i d ，系统进行用户身份认证以确证用户 身份。 ( 4 ) 角色( r o l e ) 是系统中一组职责和权限的集合。角色的划分涉及组织内部的 7 2 相关技术分析 岗位职责和安全策略的综合考虑。 ( 5 ) 访问权限( p e r m i s s i o n ) 在受系统保护的客体上执行某一操作的许可。在客体 上能够执行的操作常与系统的类型有关。这是r b a c 系统复杂性的一个重要方面。 ( 6 ) 用户角色分配( u s e r - t o - r o l ea s s i g n m e n t ) 为用户分配一定的角色，即建立用 户与角色的多对多关系。 ( 7 ) 角色权限分配( p e r m i s s i o n t o r o l ea s s i g n m e n t ) 为角色分配一组访问权限，即 建立角色与访问权限的多对多关系。这样通过角色将用户与访问权限联系起来，用户 具有其所属诸角色的访问权限的总和。 ( 8 ) 会话( s e s s i o n ) 在特定环境下一个用户与一组角色的映射，即用户为完成某 项任务而激活其所属角色的一个子集，激活角色权限的并集即为该用户的当前有效访 问权限。 2 1 2r b a c 9 6 模型 r b a c 9 6 模型是s a n d h u 等人提出的一个r b a c 模型簇【2 1 ，包括四个模型。s a n d h u 等人认为r b a c 是个内含广泛的概念，难以用一个模型全面地描述。r b a c 0 是基本 模型，描述任何支持r b a c 的系统的最小要求。r b a c 0 包含四个基本要素：用户、 角色、会话和访问权限。用户在一次会话中激活所属角色的一个子集获得一组访问权 限即可对相关客体执行规定的操作，任何非显式授予的权限都是被禁止的。 r h 角色层次 r b a c 3 、 r b a c lr b a c 2 r b a c o ( a ) r b a c 9 6 层次( b ) 模型图 图2 1r b a c 9 6 模型 r b a c l 是对r b a c 0 的扩充，增加了角色层次的概念。实际组织中职权重叠现 象的客观存在为角色层次提供了依据。通过角色层次，上级角色继承下级角色的访问 权限，再被授予自身特有的权限构成该角色的全部权限，这极大地方便了权限管理。 比如销售部经理应具有销售部职员的访问权限，同时还应有普通职员不具备的权限， 如制定和修改销售计划，考核每个销售员的业绩等。 r b a c 2 也是r b a c 0 的扩充，但与r b a c l 不同，r b a c 2 加进了约束的概念。 约束机制久已有之，如在一个组织中会计和出纳不能由同一个人担当( 称为职责分 r 2 相关技术分析 离) 。r b a c 2 中的约束规则主要有： ( 1 ) 最小权限用户被分配的权限不能超过完成其职责所需的最少权限，否则会 导致权力的滥用。 ( 2 ) 互斥角色组织中的有些角色是互斥的，一个用户最多只能属于一组互斥角 色中的某一个，否则会破坏职责分离。如上面提到的会计和出纳。权限分配也有互斥 约束，同一权限只能授予互斥角色中的某一个。 ( 3 ) 基数约束与角色容量分配给一个用户的角色数目以及一个角色拥有的权 限数目都可以作为安全策略加以限制，称作基数约束。一个角色对应的用户数也有限 制，如总经理角色只能由一人担当，这是角色容量。 ( 4 ) 先决条件一个用户要获得某一角色必须具备某些条件，如总会计必须是会 计。同理一个角色必须先拥有某一权限才能获得另一权限，如在文件系统中先有读目 录的权限才能有写文件的权限。 r b a c 3 是r b a c i 和r b a c 2 的结合。将角色层次与约束结合起来就产生了层次 结构上的约束： ( 1 ) 层次间的基数约束给定角色的父角色( 直接上级) 或子角色( 直接下级) 的数量限制。 ( 2 ) 层次间的互斥角色两个给定角色是否可以有共同的上级角色或下级角色。 特别是两个互斥角色是否可以有共同的上级角色，如在一个项目小组中程序员和测试 员是互斥角色，那么项目主管角色如何解释( 它是程序员和测试员的上级) 。 2 1 3 朋 m a c 9 7 模型( a d m i n i s t r a t i o nr b a cm o d e l ) r b a c 9 6 模型假定系统中只有一个安全管理员( s o ) 进行系统安全策略设计和管 理。大型系统中用户和角色数量众多，单靠一个s o 是不现实的，通常的做法是指定 一组s o ，如有首席安全员(