（计算机应用技术专业论文）基于ucon的通用权限控制服务平台设计与应用.pdf

摘要 u c o n 被誉为下一代权限控制模型，这种模型由主体、客体、授 权、义务、授权条件和证书等部分组成。u c o n 不仅包含传统的访问 权限控制技术，也包含了数字版权管理技术，是一套能满足绝大部分 权限控制需求的权限控制模型，也是近年来计算机信息安全领域的研 究热点。 论文首先介绍了国内外主流的访问控制模型和数字版权管理模 型，阐述了权限控制服务平台的概念，研究了权限控制服务平台中的 关键技术。并以u c o n 为基础，设计了权限控制服务平台的功能模型， 实现了权限控服务平台的主要功能模块，并给出了权限控制服务平台 在科技奖励平台和媒资超市中的具体应用。最后对权限控制服务平台 的效率和安全进行分析并得出结论。 权限控制服务平台的主要功能是为所有网络服务平台提供权限 控制服务。通过权限控制服务平台所提供的服务，各网络服务平台的 设计者在设计过程中不再需要详细考虑系统的权限控制问题，只需在 权限控制服务平台提供的图形管理界面中编辑好权限控制信息，运用 权限控制服务平台提供的相关控件就可以高效安全地完成整个平台 的权限控制。 本文目标是将权限控制模块从网络服务平台中独立出来，形成一 种专业的权限控制服务软件。 关键词r b a c ，u c o n ，访问控制，权限控制服务，数字版权管理 a b s t r a c t t h eu s a g ec o n t r 0 1m o d e l i sc o n s i d e r e da sar i g h tc o n t r o lm o d e lf o r t h en e x t g e n e r a t i o n i t i n c l u d e s s u b j e c t ，o b j e c t ，a u t h o r i z a t i o n ， c e r t i f i c a t i o n ，o b l i g a t i o na n dc o n d i t i o ne t c t h eu c o n c o n t a i n sn o to n l y t h et r a d i t i o n a la c c e s sc o n t r o lt e c h n o l o g y , b u ta l s ot h ed i d m lr i g h t s m a n a g e m e n tt e c h n o l o g y t h i ss e to fr i g h tc o n t r o lm o d e l s ，w h i c hc a l l f u l f i l lm o s tr e q u i r e m e n t so fr i g h tc o n t r o l s ，h a sa l s ob e c o m et h ef o c a lo n p o i n ti nt h ef i e l do fc o m p u t e ri n f o r m a t i o na n ds e c u r i t yi nr e c e n ty e a r s t h ep a d e rf i r s ti n t r o d u c e st h em a i n s t r e a mm o d e l so fa c c e s sc o n t r o l a n dd i g i t a lr i g h tm a n a g e m e n t ，a sw e l la st h ec o n c e p to fr i g h tc o n t r o l s e r v i c ep l a t f o f i l l ，f o l l o w e db yt h ed i s c u s s i o no ft h em a i nf u n c t i o no fr i g h t c o n t r o ls e r v i c ep l a t f o r i ba n dt h ed e s i g no fe a c hc o n c r e t ef u n c t i o nm o d u l e t h ea p p l i c a t i o no ft h er i g h tc o n t r o ls e r v i c ep l a t f o r mi n t h em e d i a i n f o r m a t i o ns u p e r m a r k e ta n dt h ep l a t f o r mo fs c i e n c ea n dt e c h n o l o g y r e w a r di sa l s oi n t r o d u c e da f t e r w a r d s f i n a l l y , t h ee m c i e n c ya n ds e c u r i t y o fr i g h tc o n t r o ls e r v i c ep l a t f o r ma r ea n a l y z e da sac o n c l u s i o n t h em a i nf u n c t i o no fr i g h tc o n t r o ls e r v i c ep l a t f o r mi st op r o v i d e s e r v i c e st oa l ln e t w o r ks e r v i c e sp l a t f o r m ，w i t ht h es e r v i c e sp r o v i d e db y r i g h tc o n t r o ls e r v i c ep l a t f o r m ，d e s i g n e r s ，d u r i n gt h ep r o c e s s ，n ol o n g e r n e e dt ot h i n ko fa n yf i g h tc o n t r o lp r o b l e m si nd e t a i l a i lt h e yn e e dt od o i st oe d i tt h er i g h tc o n t r o l i n f o r m a t i o ni nt h eg r a p h i c a li n t e r f a c ea n dt ou s e i t sr e l a t e dc o m p o n e n t sp r o v i d e db yt h ep l a t f o r ms ot h a tt h er i g h tc o n t r o l o f t h ep l a t f o r mc a nb ee s t a b l i s h e de f f i c i e n t l ya n ds e c u r e l y t h eu l t i m a t ep r o p o s eo ft h i sr i g h tc o n t r o l s e r v i c ep l a t f o r mi st o s e p a r a t er i g h tc o n d i t i o nm o d e lf r o mt h eo r i g i n a lp l a t f o r i l ls ot h a ti tc a n b e d e v e l o p e di n t oai n d e p e n d e n tp r o f e s s i o n a ls o f t w a r e k e yw o r d sr b a c ，u c o n ，a c c e s sc o n t r o l ，r i g h tc o n t r o l s e r v i c e ，d i g i t a lr i g h tm a n a g e m e n t 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作所取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在在论文中作了明确的说 明。 作者签名：j 睑平仁日期：耳年上月4 日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位 论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论 文；学校可根据国家或湖南省有关部门规定送交学位论文。 储躲瑚 聊签名蠹赫期：卑也月竺日 硕士学位论文第一章绪论 1 1 课题来源和背景 第一章绪论 由于i n t e r n e t 网络快速传播的特性以及新兴营运模式的发展，人们可以通 过连接到i n t e r n e t 网络的电脑，取得所想要的数字资讯。而随着网络的快速发 展，有越来越多拥有版权的数字资讯产品以文件方式出现在网络上，这类产品在 i n t e r n e t 网络上的广泛传播引发了许多版权纠纷“1 。同时，随着大型电子商务平 台的推广和自动化办公平台的普及，对传统的访闯控制技术提出了越来越严格的 安全要求。现有数字版权管理技术和传统访问控制技术都无法同时满足需求。1 。 与传统资讯产品复制所需的成本相比，数字资讯产品的复制不需要专业的硬 件设备，也不需要专业的软件，所以复制成本很低。同时由于宽带网的普及，人 们获取资讯的方式已经从传统的平面媒体逐渐转移到网络数字媒体上来，数字资 讯产品的取得与制作越来越容易，但与之相随的数字版权管理( d i g i t a lr i g h t m a n a g e m e n t ，d r m ) 技术严重滞后。“”“1 ，直接导致大量侵权事件产生。如m p 3 音 乐压缩格式出现之后严重影响了c d 光碟的销量；d v d 的保护编码系统被破解而 导致大量影视作品被盗版等。 若未对数字资讯产品的著作权加以保护，则著作人的权益将遭受极大的损 失；反之，若保护过度，消费者可能会因为使用不便而对其造成反感。如何就此 情况取得平衡，是目前数字版权管理相当重要的问题之一。事实上，由数字资讯 产品的传播模式所造成的问题，须依赖各方面专家协作，才能找出好的解决方案。 2 0 0 1 年1 月美国麻省理工学院的t e c h n o l o g yr e v i e w 杂志将数字版权管理技术 选为改变未来世界的1 0 大创新技术之一旧。 传统访问控制管理的基本目标是为了防止非法用户进入平台和合法用户对 平台资源的非法使用”1 。为了达到这个目的，访问控制通常以用户的身份认证为 前提，在此基础上运用各种访问控制策略来控制和规范合法用户在平台中的行 为。随着网络服务平台如电子商务交易平台、自动化办公平台的发展普及，平台 中用户越来越多，功能越来越复杂，访问控制管理需求的实现也越来越困难。各 网络服务平台设计者不得不经常为平台的权限控制管理设计实现而绞尽脑汁。如 果给这类用户提供一种权限控制服务，将网络服务平台设计者从繁琐的权限控制 管理设计工作中解放出来，专心于网络服务平台的其它主要功能模块设计，就能 大大减少网络服务平台设计者完成平台设计所需的工作量，并加快平台的开发进 程。 论文研究的是一种能为各种网络服务平台提供权限控制管理服务的权限控 硕士学位论文第一章绪论 制服务平台，该平台提供了一整套权限控制管理问题的解决方案，能同时提供数 字版权管理和访问控制管理两种权限控制管理服务。数字版权管理是以数字证 书、虚拟机和加密技术来具体实现。访问控制管理则是采用一种以角色为基础的 存取控制模型( r o l eb a s e da c c e s sc o n t r o l ，r b a c ) ，并在模型中引入了状态的 概念，可以实现基于任务和角色的权限控制，能完整的实现基于工作流的访问控 制管理。它将权限控制管理延伸到了数字资讯产品的整个生命周期，可以很好的 为各类网络服务平台提供权限控制管理服务。 1 2 研究内容和目的 权限控制是信息安全的一个重要组成部分，是现代企业和政府职能部门保障 其信息管理平台安全不可或缺的部分。网络技术的发展为权限控制技术提供了更 为广阔的发展空间，也使得权限控制技术的研究更加重要。随着各种网络服务平 台的发展，权限控制也更为繁复，要求每一个网络服务平台的设计者都能全面掌 握最新最有效的权限控制技术也难度较大，由此导致权限控制管理漏洞也越来越 多。权限控制服务平台的出现为各种网络服务平台权限控制管理问题的简单解决 提供了条件。 各种网络服务平台可以通过权限控制服务平台所提供的权限控制服务来完 成平台的权限控制，这样大大减轻了网络服务平台设计者的工作量，缩短了平台 的开发周期。同时，将权限控制管理从网络服务平台中最大限度的独立出来，形 成一个专门的权限控制服务平台，也更有利权限控制技术的发展。 1 2 1 数字版权管理 数字版权是版权( c o p y r i g h t ) 以数字化的形式出现，数字版权管理是针对 数字资讯产品网络使用权的控制与管理。随着数字资讯产品在i n t e r n e t 上的广 泛传播，针对数字资讯产品的版权管理技术一直发展缓慢，主要原因是当初为方 便数字资讯产品使用而设计数字资讯产品格式在版权管理控制方面考虑不足。在 这种情况下，各种数字资讯产品阅读器设计者通过加强安全性方面的考虑，利用 对数字资讯产品加密的方式来避免数字资讯产品在未经授权的情况下被它人非 法复制和利用，陆续形成了第一代数字版权管理产品。此类产品包括a d o b e 公司 的a c r o b a t 、超星公司的超星阅览器( s s r e a d e r ) 。第二代数字版权管理的范围 不再局限于数字资讯产品使用权限的管理，还包括了对有形产品和无形产品的描 述、定义、交易、保护、监控以及权限拥有者的管理。目前对它的研究还停留在 理论阶段，市面上还没有出现成熟的产品。 硕士学位论文第一章绪论 在企业间交流的数字资讯产品，由于受文件格式限制，它的版权保护都是依 赖合同和协议，目前还没有成熟的数字版权管理产品。市面上的数字版权管理产 品都是针对企业和员工之间交易的数字资讯产品。论文中设计了专门针对企业间 流行的m p e g 一2 格式文件进行数字版权管理控制的方案，作为对企业问数字资讯 产品版权管理实现的一种尝试。论文还完善统一了现有的其它几种格式文件的数 字版权管理机制，实现了对这类文件在企业与用户之间进行交易时的数字版权控 制管理。 1 2 2 传统的访问控制 传统的访问控制是伴随着信息安全产生而产生的，在有信息安全控制的地 方，就有访问控制4 3 。目前企业最常见的权限控制方法是利用访问控制列表技术 和基于角色的权限控制管理模型嘲。随着网络服务平台的发展，简单的访问控制 列表技术或基于角色的权限控制模型都已经不能完全满足需求。故论文采用了一 种改进型的基于角色的访问控制模型，在此模型中加入了状态，能实现基于任务 和角色的访问控制；还加入了用户权限表，能直接实现的访问控制列表技术。论 文研究了目前主流的访问控制模型，在权限控制服务平台中能实现了这些访问控 制模型及其改进型。 1 2 3 权限控制服务平台 权限控制服务包括数字版权管理和访问控制管理服务两个部分，论文以使用 控制模型( u s a g ec o n t r o lm o d e lu c o n ) 理论为基础，结合现有的版权管理和传统 的访问控制，设计一套权限控制管理解决方案，并据此方案实现了一个通用权限 控制服务平台。平台可以全面负责网络服务平台的权限控制管理部分，包括传统 的访问控制和数字版权管理。在所有网络服务平台中，权限控制都是不可或缺的 部分。一直以来，这一部分与平台的其它功能模块一样都是由平台的设计者设计。 但是随着权限控制这一部分需求的不断发展，平台设计者在这一方面所花费的精 力越来越多，严重影响了平台的设计开发进度。同时，随着权限控制技术的发展， 平台设计者要全面掌握最新最有效的权限控制技术也越来越困难，导致平台的安 全漏洞越来越多。这样就迫切需要把平台设计者从平台的权限控制管理设计中解 放出来，更专注于平台其它主要功能模块的实现，将平台权限控制管理工作交给 专业的权限控制管理研究设计人员。基于这样一种思想，提出了权限控制服务的 概念，并设计了权限控制服务平台。 硕士学位论文第一章绪论 1 3 论文的组织结构 论文首先介绍了设计权限控制服务平台的背景以及课题来源，分析了国内外 在权限控制领域的研究现状，指出了权限控制领域目前存在的主要问题，分析了 可以用来解决这些问题的权限控制服务平台的设计原理及优势。 第二章详细介绍了目前的主流权限控制模型及其存在的问题。 第三章系统研究介绍了权限控制服务平台的三项关键技术。 第四章详细论述了权限控制服务平台跟传统访问控制、数字版权管理的关 系，给出了权限控制服务平台的功能模型和各功能模块的具体设计实现。 第五章分析了权限控制服务平台在科技奖励平台和媒资超市中的具体应 用，展示了权限控制服务平台广阔的市场前景。 第六章将权限控制服务平台分别与传统访问控制模型和数字版权管理的工 作效率和安全性进行对比分析，得出权限控制服务平台的优势所在。 第七章对整个论文进行了总结并展望了今后研究内容与工作目标。 4 硕士学位论文第二章现有权限控制模型综述 第二章现有权限控制模型综述 本章介绍了传统访问控制模型的基本理论和存在问题，数字版权管理理论及 其与传统访问控制模型的对比分析，数字版权管理关键技术之一的数字证书。最 后叙述了下一代权限控制模型u c o n 模型的基本理论。 2 1 传统的访问控制模型 传统的访问控制模型是随着访问控制需求的不断发展而发展的，从最初的自 主访问控制模型、强制访问控制模型一直发展目前基于任务和角色的访问控制模 型( t a s kt or o l et ob a s e da c c e s sc o n t r o l ，t - r b a c ) “”。本节主要介绍访问控 制模型发展过程出现过的主流访问控制模型及其优缺点。 2 1 1d a c 和m a c 简介 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 是在确认主体身份 以及它们所属组的基础上对访问进行限制的一种方法“”“。自主访问的含义是指 访问许可的主体能够向其他主体转让访问权。在基于d a c 的体系中，主体的拥有 者负责设置访问权限。实现方法一般是建立系统访问控制矩阵，矩阵的行对应系 统的主体，列对应系统的客体，元素表示主体对客体的访问权限。为了提高系统 性能，在实际应用中常常是建立基于行( 主体) 或列( 客体) 的访问控制方法。 自主访问控制的一个最大的问题是主体的权限太大，无意间就可能泄露信息，而 且不能防备特洛伊木马的攻击。访问控制表( a c c e s sc o n t r o ll i s t ，a c l ) 是d a c 中常用的一种安全机制，系统安全管理员通过维护a c l 来控制用户访问有关数 据。a c l 的优点在于它的表述直观、易于理解，而且比较容易查出对某一特定资 源拥有访问权限的所有用户，有效地实施授权管理。但当用户数量多、管理数据 量大时，a c l 就会异常庞大。当组织内的人员、工作职能发生变化时，a c l 的维 护就会变得非常困难。另外，对于分布式网络系统，d a c 不利于实现统一的全局 访问控制。 强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 是一种强加给访问主体 ( 即系统强制主体服从访问控制策略) 的一种访问方式，主要用于多层次安全级别 的军事系统中，并经常与d a c 结合使用。m a c 利用上读下写来保证数据的完整 性，利用下读上写来保证数据的保密性。它通过梯度安全标签实现信息的单向 流通，可以有效阻止特洛伊木马的泄露，但如果用户恶意泄露信息，则无能为力。 由于m a c 增加了不能回避的访问限制，因此影响了系统的灵活性，且不能实施完 硕士学位论文第二章现有权限控制模型综述 整性控制，而网上信息更需要保证其完整性，所以影响了姒c 在网络上的应用。 而且它还具有实现工作量大、管理不便、不够灵活等缺陷。由于它过于强调保密 性，对系统连续工作能力、授权的可管理性方面也考虑不足。 2 1 2r b a c 简介 为了克服标准矩阵模型中将访问权直接分配给主体，引起管理困难的缺陷， 在访问控制中引进了聚合体( a g g r e g a t i o n ) 的概念，如组、角色等。在r b a c 模型中，就引进了“角色”概念“”。所谓角色，就是一个或一群用户在组织内可 执行操作的集合。角色意味着用户在组织内的责任和职能。 在r b a c 模型中，权限并不直接分配给用户，而是先分配给角色，然后用户 分配给那些角色，从而获得角色的权限“”“”“”“”。r b a c 系统定义了各种角色， 每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角 色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。 在r b a c 中，可以预先定义角色权限之间的关系，将预先定义的角色赋予用户， 明确责任和授权，从而加强安全策略。与把权限赋予用户的工作相比，把角色赋 予用户要容易灵活得多，简化了系统的管理。 2 0 0 1 年，标准r b a c 参考模型n i s tr b a c 被提出“”，n i s tr b a c 参考模型 分成基本r b a c 、等级r b a c 和约束r b a c 三个子模型。1 。基本r b a c 定义了角色的 基本功能，它包括五个基本数据元素：u s e r s ( 用户) 、r o l e s ( 角色) 、s e s s i o n s ( 会 话集) 、o b j e c t s ( 客体) 、o p e r a t i o n s ( 操作) ，以及角色权限分配( p u r v i e w a s s i g n t or o l e ，p r a ) 、用户角色分配( u s e ra s s i g nt or o l e ，u r a ) 。其基本思想是通 过角色建立用户和访问权限之间的多对多关系，用户由此获得访问权限“。 等级r b a c 在基本r b a c 的基础上增加了角色的等级，以对应功能或组织的等 级结构“2 2 ”“”。角色等级又可分为通用角色等级和有限角色等级。在通用角色 等级中，角色之间是一种代数的偏序关系，而有限角色等级是一种树结构。在角 色等级中，高等级的角色继承低等级角色的全部权限，这是一种“全”继承关系。 但这并不完全符合实际企业环境中的最小特权原则，因为企业中有些权限只需部 分继承。 约束r b a c 在基本r b a c 的基础上增加了职责分离( s e p a r a t i o no fd u t ys o d ) 关系“”，职责分离又分为静态职责分离( s t a t i cs e p a r a t i o no fd u t y ，s s d ) 和动 态职责分离( d y n a m i cs e p a r a t i o no fd u t y ，d s d ) ”嘶1 。静态职责分离用于解决 角色系统中潜在的利益冲突，强化了对用户角色分配的限制，使得一个用户不能 分配给两个互斥的角色。动态职责分离用于在用户会话中对可激活的当前角色进 行限制，用户可被赋予多个角色，但它们不能在同一会话中被激活。d s d 实际上 6 硕士学位论文第二章现有权限控制模型综述 是最小权限原则的扩展，它使得每个用户根据其执行的任务可以在不同的环境下 拥有不同的访问权限”1 。 2 1 3 基于任务和工作流的访问控制模型t b a c 简介 上述的d a c 、m a c 和r b a c 都是基于主体对客体( s u b j e c tt oo b j e c t ) 观点的 被动安全模型，它们都是从系统的角度( 控制环境是静态的) 出发保护资源。在被 动安全模型中，授权是静态的，在执行任务之前，主体就拥有权限，没有考虑到 操作的上下文，不适应于工作流系统。并且主体一旦拥有某种权限，在任务执行 过程中或任务执行完后，会继续拥有这种权限，这显然使系统面临极大的安全威 胁。 工作流是为完成某一目标而由多个相关任务构成的业务流程，它的特点是使 处理过程自动化，对人和其他资源进行协调管理，从而完成某项工作。在工作流 环境中，当数据在工作流中流动时，执行操作的用户在改变，用户的权限也在改 变，这与数据处理的上下文环境相关，传统的访问控制技术d a c 和m a c 对此无能 为力。若使用r b a c ，则不仅需频繁更换角色，而且也不适合工作流程的运转。 为了解决此问题，人们提出了基于任务的访问控制模型( t a s k - b a s e da c c e s s c o n t r o l ，t b a c ) 4 “”1 ”1 。 在t b a c 模型中，引进了另一个非常重要的概念任务。“。所谓任务，就 是要进行的一个个操作的统称。任务是一个动态的概念，每项任务包括其内容、 状态( 如静止态、活动态、等待态、完成态等) 、执行结果、生命周期等。任务 与任务之间一般存在相互关联，如相互依赖或相互排斥。如任务a 必须在任务b 之后执行；任务a 与任务b 不能同时执行等。t b a c 模型是一种基于任务、采用 动态授权的主动安全模型。它从应用和企业的角度来解决安全问题。它采用面向 任务的观点，从任务的角度来建立安全模型和实现安全机制，在任务处理的过程 中提供实时的安全管理。其基本思想主要有： ( 1 ) 将访问权限与任务相结合，每个任务的执行都被看作是主体使用相关访 问权限访问客体的过程。在任务执行过程中，权限被消耗，当权限用完时，主体 就不能再访问客体了。 ( 2 ) 系统授予给用户的访问权限，不仅仅与主体、客体有关，还与主体当前 执行的任务、任务的状态有关。客体的访问控制权限并不是静止不变的，而是随 着执行任务的上下文环境的变化而变化。t b a c 的主动、动态等特性，使其广泛 应用于工作流、分布式处理、多点访问控制的信息处理和事务管理系统的决策制 定等方面。 7 硕士学位论文 第二章现有权限控制模型综述 2 1 4 基于任务和角色的访问控制模型 r - r b a c 简介 尽管t b a c 具备许多优点，并已应用于实际中，但当它应用于复杂的企业环 境时，就会暴露出自身的缺陷。例如在实际企业环境中，角色是一个非常重要的 概念，但t b a c 中并没有将角色与任务清楚地分离开来，也不支持角色的层次等 级；另外，访问控制并非都是主动的，也有属于被动形式的，但t b a c 并不支持 被动访问控制，需要与r b a c 结合使用。这样，为了能适应复杂企业的特定环境 需求，通过在r b a c 9 6 模型中加入“任务”项，构造了基于企业环境的访问控制 模型“州”“。下面介绍t - r b a c 的基本理论和主要问题。 l 、t - r b a c 模型的出现及基本理论 在t r b a c 模型中，它不像r b a c 没有将任务从角色中分离出来，也不像t b a c 没有明确地突出角色的作用，t r b a c 模型把任务和角色置于同等重要的地位， 它们是两个独立而又相互关联的重要概念。任务是r b a c 和t b a c 结合的基础。不 像r b a c 中将访问权限分配给角色，t r b a c 模型中是先将访问权限分配给任务， 再将任务分配给角色，角色通过任务与权限关联，任务是角色和权限交换信息的 桥梁。 在t r b a c 模型中，任务具有权限，即根据具体的执行任务要求和权限约束， 任务具有相应的权限，不同的任务拥有不同的权限，权限随着任务的执行而变动。 这真正实现了权限的按需和动态分配“，角色只有在执行任务时才具有权限，当 角色不执行任务时不具有权限，权限的分配和回收是动态进行的，任务根据流程 动态到达角色，权限随之赋予角色，当任务完成时，角色的权限也随之收回；角 色在工作流中不需要赋予权限。这样，不仅使角色的操作、维护和任务的管理变 得简单方便，也使得系统变得更为安全。 2 、模型中的两个重要问题 t r b a c 权限控制模型虽然真正实现了权限的按需和动态分配，但是，它产 生的同时还伴随着产生了两个无法回避的问题，下面介绍它们的产生及解决方 案。 1 ) 任务分类问题 企事业环境与需求不同，访问控制的要求也就不同，所要执行的任务也应具 有不同的特点。任务应根据企事业的组织结构和访问控制要求进行分类，从而模 型可根据任务的分类实现不同的访问控制，即实现任务级的访问控制。在企业组 织中，访问控制基于任务的特点是非常重要的，因为访问权限是根据分配的任务 赋给用户的。如可根据组织结构和业务流程、权限继承和主动被动访问特性， 将任务分成了四类( 如表2 一1 ) ：w 、s 、a 、p 从而可实现主动访问控制和被动访问 控制的结合。 硕士学位论文第二章现有权限控制模型综述 表2 - 1 任务分类 权限不可继承权限可继承 被动访问c l a s sp c l a s ss 主动访问c 1 a s sw c 1 a s sa 2 ) 角色继承问题 与像r b a c 模型不同，t - r b a c 模型的角色之间是一种偏序关系，角色的继承 是一种向上的“全”继承关系。在t r b a c 模型中，引进了一种新的角色等级s 2 r h ， 即s u p e r v i s i o nr o l ei n h e r i t a n c e ( 管理角色等级) 。s 2 r h 定义为：如果角色r l 的级别比角色r 2 的级别高，则r 1 只继承r 2 中属于类s 或类a 中的任务权限。 在s 2 r h 中，高等级的角色并不能全部继承低等级角色的权限，这就解决了部分 继承的问题。通过引进新的角色等级s 2 r h ，不仅解决了角色等级中的部分继承 问题，而且还解决了r b a c 模型中“若角色a 和角色b 是互斥的，则它们不能有 相同上层高级角色。”的问题。 2 2 数字版权管理 近年来i n t e r n e t 网络上大量数字资讯产品的任意流通极大的侵犯了产品版 权所有者的权益，数字资讯产品版权所有者与帮助传播版权数字资讯产品的i t 公司官司不断。为了从技术层面帮助数字资讯产品版权所有者对其制作的数字资 讯产品进行版权控制，近年来新起了一种新权限控制模型数字版权管理。下 面对数字版权管理的基本理论和关键技术进行介绍，最后将数字版权管理与访问 控制进行对比分析。 2 2 1 数字版权管理简介 数字版权管理就是结合存取机制，对数字资讯产品在其生命周期内的存取进 行控制。它包含版权使用的描述、识别、交易、监控、对使用在有形和无形资产 上的各种权限的跟踪和对版权所有人的关系管理等内容。因此，d r m 要实现对数 字内容的“永久性”保护”1 。d r m 的核心就是通过各种信息安全技术锁定和限制 数字内容及其分发途径，从而达到防范对数字产品无授权复制和使用、保护知识 产权的基本目标。数字版权管理是实现数字信息产品通过网络销售的前提条件， 采用数字版权保护技术可有效地杜绝通过网络和计算机非法复制、拷贝、传送数 字资讯产品，保护版权所有者的知识产权和经济收益。 数字版权管理实现了一个可扩展的平台用来安全地分发数字产品。使用版权 9 硕士学位论文第二章现有权限控制模型综述 管理，可以安全地在网络上传递音乐、录像、个人隐私信息和其他数字信息产品， 消费者可以非常容易地获得合法的数字内容，并维护版权所有者的权益。它包括 如下几个功能模块： 1 、数字版权管理系统保护数字信息产品不受下列行为的攻击 ( 1 ) 用户未经授权，通过欺骗或解密的方式在线收看或离线播放流媒体内 容。 ( 2 ) 授权用户将数字内容以未经保护的形式保存或分发。 ( 3 ) 用户对数字内容进行许可证限制范围之外的操作。 ( 4 ) 授权用户将自己的许可证提供给他人使用。 ( 5 ) 实现在线版权保护和下载数字版权保护两种方式。 2 、对用户操作的限制 ( 1 ) 使用时间限制( 播放许可证的生效日期和失效刚胡) 。 ( 2 ) 使用次数限制。 ( 3 ) 使用方式限制。 ( 4 ) 许可证与用户使用的硬件环境绑定。 3 、数字版权管理系统包括如下内容 ( 1 ) 内容加密或不允许未控制访问的部分。 ( 2 ) 加密密钥和解密密钥管理。 ( 3 ) 根据灵活的使用规则制定的访问控制或条件访问。 ( 4 ) 计费机制或支付管理。 ( 5 ) 拷贝控制或拷贝防护。 ( 6 ) 数字内容的鉴定和使用情况追踪。 2 2 2 数字证书简介 数字版权管理的目的就是为了对获取数字资讯产品用户身份和权限进行验 证，以判断它是否是合法用户，是否有权使用其获取数字资讯产品。在数字信息 世界里，这两个判断的实现都依赖于数字版权管理的关键技术之一的数字证书技 术。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及 公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数 字签名“删。”。一般情况下证书中还包括密钥的有效时间，发证机关( 证书授权 中心) 的名称，该证书的序列号等信息，证书的格式遵循国际电信联盟标准化部 门( i n t e r n a t i o n a lt e l e c o m m u n i c a t i o nu n i o ns t a n d a r d i z a t i o ns e c t o r ，i t u t ) x 5 0 9 国际标准1 。安全证书体系结构是在国际上比较成熟的保证交易公正性、 1 0 硕士学位论文第二章现有权限控制模型综述 安全性和交易双方身份的真实性的比较成熟的安全解决方案。数字证书提供了一 种在网上安全验证身份的方式1 。 安全证书体制主要采用了公开密钥体制，它包括非对称密钥加密、数字签名、 数字信封等技术。我们可以使用数字证书，通过运用非对称密码体制等密码技术 建立起一套严密的身份认证系统，从而保证信息除发送方和接收方外不被其它人 窃取：信息在传输过程中不被篡改：发送方能够通过数字证书来确认接收方的身 份；发送方对于自己的信息不能抵赖。 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个 用户自己设定一把特定的仅为本人所知的私有密钥( 私钥) ，用它进行解密和签 名；同时设定一把公共密钥( 公钥) 并由本人公开，为一组用户所共享，用于加 密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密， 而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。且 加密过程是一个不可逆过程，即只有用私有密钥才能解密。 在公开密钥密码体制中，常用的一种是r s a 体制。其数学原理是将一个大数 分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密 文和加密密钥( 公开密钥) ，想要推导出解密密钥( 私密密钥) ，在计算上是不可 能的。按现在的计算机技术水平，要破解目前采用的1 0 2 4 位r s a 密钥，需要上 千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户或其它客体拥 有者可以公开其公开密钥，而保留其私有密钥。其它用户可以用人人皆知的公开 密钥对发送的信息进行加密，安全地传送给商家或其它客体拥有者，然后由用户 用自己的私有密钥进行解密。用户也可以采用自己的私钥对信息加以处理，由于 密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。 采用数字签名，能够确认以下两点： ( 1 ) 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。 ( 2 ) 保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文 件。 数字签名具体做法如下： ( 1 ) 将报文按双方约定的h a s h 算法计算得到一个固定位数的报文摘要。在 数学上保证：只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的 值不相符。这样就保证了报文的不可更改性。 ( 2 ) 将该报文摘要值用发送者的私人密钥加密，然后连同原报文一起发送给 接收者，而产生的报文即称数字签名。 ( 3 ) 接收方收到数字签名后，用同样的h a s h 算法对报文计算摘要值，然后 与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确 硕士学位论文第二章现有权限控制模型综述 实来自所称的发送者。 证书由c a ( c e r t i f i c a t ea u t h o r i t y ，证书授权中心) 机构承担公钥体系中公 钥的合法性检验的责任，c a 机构又称为证书授证中心，作为电子商务或自动化 办公平台中受信任的第三方，c a 中心为每个使用公开密钥的用户发放一个数字 证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密 钥。c a 机构的数字签名使得攻击者不能伪造和篡改证书“”。它负责产生、分配 并管理所有参与数字版权管理的个体所需的数字证书，因此是安全数字版权管理 的核心环节o 。 2 2 3 访问控制与d r m 的比较 d i n 涉及到对数字内容的访问和拷贝控制的相关技术，它能安全地传送数字 内容，并执行复杂的使用权限检验，它不是简单低层次的访问或拷贝控制。尽管 被保护资源的性质可能不同，但两者的目的都是对资源的访问和使用权限的控 制，d r m 与访问控制有着紧密的联系，但同时，它们在很多方面有较大的区别。 l 、目标有所不同 保护敏感信息一直是传统访问控制的最重要目标，其安全目标主要是保护信 息的机密性和完整性；而d r m 侧重于对数字内容的知识产权保护和个人隐私的保 护，其目标主要是防止资源被未授权的人随意访问、拷贝和传播。 2 、体系结构有所不同 参考监视器是访问控制中实现控制决策的关键元素，它负责收集信息，监控 操作，根据需要作决策等。传统的访问控制只强调服务器端的控制，很少考虑客 户端的控制，其参考监视器位于服务器端。而d r m 要求实现对数字的永久控制， 既强调服务器端对资源的访问控制，又强调客户端对资源的使用控制，两端都要 有类似参考监视器的功能。 3 、授权策略不同 d r m 多采用基于费用的授权策略，只要用户支付了所需的费用，他就被授权， 而关于用户先前的信息可以不知道，因此d r m 常常需要金融支付系统的支持。而 传统的访问控制需要利用身份、证书、签名、密钥等来建立与用户的信任关系， 基于这种信任关系来进行授权决策。很显然，同无形的、无数量的、抽象的“信 任”概念相比，有形的、有数量的、需要时容易提供的“费用”是一种处理起来 更灵活的媒体。通过引进自动的、基于费用的授权，d r m 可减少信任管理的间接 费用。 4 、审计方式不同 在d r m 中，审计是流程固有的一部分，因为执行权限可能对授权有影响。称 1 2 硕士学位论文第二章现有权限控制模型综述 d r m 的审计为“积极审计”。一旦做出了授权决策，被保护资源的使用就被监控： 为作将来的参考，在授权决策点，使用情况被登记。例如，一个用户观看个视 频文件的时间可能会影响他再看它的权限；如果某人的权限过期了，他就不能再 访问被保护的内容。 但在传统的访问控制中，审计过程至少牵涉到一个安全管理员，他负责用户 权限的委托、更新、撤消。访问控制并不能完全解决系统的安全问题，它还必须 与审计结合起来。审计要作为一个独立的过程来完成，以作为一种有效的手段， 分析用户的行为、发现可能进行或已经实施的违法行为，从而确保被授权的用户 不滥用其权限。 2 3u c o n 模型 在数字版权管理技术和访问控制模型的发展过程中，为适应不同的应用场 合，人们提出了许多新的概念，如信任管理、数字版权管理、义务等，为了统一 这些概念，j p a r k 和r s a n d h u 提出了一种新的访问控制模型，称作“使用控制” 模型，也称a b c 模型。u c o n 模型包含三个基本元素：主体、客体、权限和另外三 个与授权有关的元素：授权规则、条件、义务叫n 6 m 2 州4 “。具体如图2 - 1 所示。 圈授权回操作圈 麈 图2 - 1u c o n 模型 主体( s u b j e c t s ) ：主体是具有某些属性和对客体操作权限的实体。主体的属 性包括身份、角色、安全级别、成员资格等。这些属性用于授权过程。 客体( o b j e c t s ) ：客体是主体的操作对象，它也有属性，包括安全级别、所 有者、等级等，这些属性也用于授权过程。 权限( r i g h t s ) ：权限是主体拥有的对客体操作的一些特权。权限由一个主体 对客体进行访问或使用的功能集组成。u c o n 中的权限可分成许多功能类，如审 计类、修改类等。 硕士学位论文第二章现有权限控制模型综述 授权规则( a u t h o r i z a t i o nr u l e s ) ：授权规则是允许主体对客体进行访问或 使用前必须满足的一个需求集。授权规则是用来检查主体是否有资格访问客体的 决策因素。 条件( c o n d i t i o n s ) ：条件是在使用授权规则进行授权过程中，允许主体对客 体进行访问权限前必须检验的一个决策因素集。条件是环境的或面向系统的决策 因素。条件可用来检查存在的限制、使用权限是否有效，哪些限制必须更新等。 义务( o b l i g a t i o n s ) ：义务是一个主体在获得对客体的访问权限后必须履行 的强制需求。分配了权限，就应有执行这些权限的义务责任。 在u c o n 模型中，由图2 一t 可知授权规则、条件、义务与授权过程相关，它 们是决定一个主体是否有某种权限能对客体进行访问的决策因素。基于这些元 素，u c o n 有四种可能的授权过程，并由此可以证明，u c o n 模型中不仅包含了d a c 、 m a c 、r b a c 这些传统的访问控制，而且还包含了数字版权管理( d r m ) 、信任管理 等。u c o n 模型涵盖了现代商务和信息系统需求中的安全和隐私这两个重要的问 题。因此，u c o n 模型被誉为一代权限控制模型。 2 4 本章