（计算机软件与理论专业论文）web中基于角色访问控制的静态授权研究.pdf

华中科技大学硕士学位论文 摘要 目前，w e b 服务器为控制发布信息的访问所采用的访问控制技术主要是访问控 制链表。系统管理员需为每个用户对每项资源的访问设置权限表。当w e b 服务器上 的用户和资源数目很大时，这是件繁琐艰巨的任务，往往会导致设置出错。 通过分析现有的访问控制技术，作者发现可以利用基于角色的访问控制技术来弥 补访问控制链表的不足。基于角色的访问控制是一种巾陛策略，它可以配置成自主访 问控制或强制访问控制。另外基于角色的访问控制支持最小特权原则和职责分离原则， 管理开销小，更易实现符合各种安全要求的安全策略。将基于角色的访问控制应用到 w e b 服务器，可以显著地增强它的访问控制能力。 w e b 中基于角色的访f a 控制的实现可分为静态授权和授权控制两部分，其中静 态授权包括管理工具和数据库。管理工具参照l q 认9 7 模型的标准实现，具有多个管 理员角色，每个管理员角色具有不同的管理权限，分级进行安全管理。为方便管理员 角色进行管理活动，设计了角色等级结构生成算法、动态约束判断算法、静态约束判 断算法，具有一定的独创性。角色等级结构生成算法依据角色继承关系生成角色层次 树，直观显示角色的继承关系。动态约束判断算法判断任意两个角色间是否有动态约 束关系。静态约束判断算法判断任意两个角色间是否有静态约束关系。数据库着重于 维护数据的一致性、数据的备份和恢复以及多人同时访问的控制。挨个系统组成一个 独立的不依赖服务器的模块，可以方便地推广和无缝地与其它安全技术( 如身份认证、 通信加密等) 组合。厂 ， 、 【关键字 网络安全；w e b 安全；访问控制：基手角色的访问控制 华中科技大学硕士学位论文 a b s t r a c t n o w a d a y st h ea c c e s sc o n t r o lm e c h a n i s mo f m o s tw e bs e r v e ri sa c c e s sc o n t r o ll i s t u s i n gt h i s t h es y s t e ma d m i n i s t r a t o r n e e dt os e ta na c c e 豁c o n t r o ll i s tf o re a c hu s e rt oe a c h p r o t e c t e dr e s o u r c e w h e nt h ea m o u n t o fu s e ra n dp m t e c t e dr e s 0 1 - c ea r ev e r yl a r g e ，i ti sa a - i v i a la n d d i 正c u l t t a s k f o r t h es y s t e m a d m i n i s t r a t o r t o s e t a c l f o r e a c h u s e r t o e a c h r e s o u r c e ， c a u s i n g e r r o r n o r m a l l y a l t e r a n a l y s i n ge x i s l i n g a c c e s sc o n l r o lt e c h n o l o g y , t h ea u t h o rf i n dam e t h o dt og e to v e r t h es h o r t a g eo fa c l u s i n gr o l e - b a s e da c c e s sc o n l r o l ( r b a c ) r b a ci san e u t r a lp o k e y w h i c hc a r l s u p p o r td i s c m t i o m r y a c c e s sc o n n d la n d m a n d a t o r y a c c e s sc o n l r o lw h e n c o n f i g u r e d o nt h eo t h e rh a n d , t h er b a c m o d e ls u p p o r t sm a n y s e c u n t yp r i n c i p l e s , s u c h a s l e a s tp r i v i l e g e ，s e p a 枷o no f d u t i e sa n dd a t aa b s t r a c t i o n , w h i c hc a nr e a l i z et h ev a r i o u sd e s i r e d s e c u r i t y w e bs e r v e rw i l lb e c o m em o r e s c c u t cw h e n u s m g r b a c t h el _ e d i z a t i o no fr b a cf o rw e bc a nb ed e v i d e di n t ot w o p a r t sc o n s i s t i n go f s t a t i c a u t h o r i z a t i o na n da u t h o r i z a t i o nc o n t r 0 1 t h ea u t h o rr e a l i z et h ep a r to fs t a t i ca t a h o r i z a f i o n , w h i c hc o n s i s t so fa d r n i nt o o l s ，d a t a b a s e a d m i nt o o l si sr e a l i z e da c 加r d i n gt h es t a n d a r do f u r a 9 7 ，w h i c h h a v em a n ya d m i nm l e sw h oh a v ed i f f e r e n tp e n n i s s i o n sf o r r n a n a g e m e r i t i n o r d e rt ob e n e f i ta d m i nr o l e s , t h ea l 血o rd e s i g n sr o l eh i e r a r c h i eg e n e r a t i o na r i t h m e t i c , s t a t i c s e p a r a t eo f d u t y j u d g ea r i t h m e t i c , d y n a m i cs e p a r z d t i o no f d u t y j u d g ea r i t h m e t i c r o e lh i e m r , h i e g e n e r a t i o na r i t h m e t i cg e n e r a t e sr o l eh i e r a r c h i cg e ea c c o r d i n gt ot h er e l a t i o no f r o l e si no r d e r t od i s p l a yt h er e l a t i o no f r o l e si n t u i t i o n i s t i c s t a t i cs 印a f f a f i o no f d i m y j u d g ea r i t h m e t i cl o o k s u p a l lr o l e sh a v i n gs t a t i cs e p a r a t i o no f d u t yc o n t m i n ta c c o r d i n gs t a t i cs e p a 蒯o n o f d u t y c o n w a i n t r e l a t i o n d y n a m i cs 删d l i o no fd u t yc o n t r a i n tj u d g ea r i t h m e t i cl o o k su pa l lr o l e sh a v i n g d y n a m i cs e p a r a t i o no f d u t yc o n n a i n ta c c o r d i n gd y n a m i cs e p a r a t i o no f d u t yc o n t m i n tr e l a t i o n i i 华中科技大学硕士学位论文 t h e k e y s t o n e o f d a t a b a s ei st h ec o m i s t e n c yo f d a t a , d a t ab a c k u p m a dr e s t o r ea n dt h ec o n t r o lo f m a n yp e o p l ea c c , e s ss e l v c ra tt h es a m e l i m e t h ew h o l es y s t e mi sam o d e li n a e s e n a 肌to f s e r v e r , s o i tc a ns p r e a da n dc o m b i n ew i t ho t h e rs e c u r i t yt e c h n o l o g ye a s i l y , s u c h a s a u t h e m i 咖o md a t ac r y p t o l o g y k e yw o r d s l n e t w o r ks e c u r i t y ；w e bs e c u r i t y ；a c c e s sc o n t r o l ；r o l e - b a s e da c c e s sc o n t r o l 华中科技大学硕士学位论文 1 绪论 1 9 9 4 年以来，互联网在全球迅速发展，为人们提供了极大地方便、自由和无限 的财富，国家的政治、军事、经济、科技、教育、文化等方面越来越网络化，人们的 生活、娱乐、交流方式也受其影响。可以说，信息时代已经到来，计算机已经渗透到 社会的各个方面。利用计算机对信息进行收集、加工、存储、分析以及交换等各种处 理，越来越成为必不可少的手段。同时，人们利用网络通信可以方便地实现数据传送 和资源共享。许多计算机的处理涉及国家军政、经济、工商业情报以及些私人涉及 等敏感信息，成为敌对国家或组织或不法分子攻击的主要目标，而f 电 门也正是借助网 络来达到其目的的。怎样防止计算机犯罪、实现系统安全就成了急待解决的问题。 据报道，近年来利用计算机网络进行的各类违法行为在中国以每年3 0 的速度递 增”】。以上事实表明，在网上如何保证合法用户对资源的合法访问以及如何防止网络 黑客攻击，成为网络安全的重要内容。 1 1 网络安全概述 1 1 1 计算机安全 。 国际标准化组织对计算机安全的定义为：采用技术或管理来对数据处理系统进行 安全保护，使计算机硬件、软件和数据不会因为偶然或恶意的原因而遭到破坏、更改 和泄漏。这一概念偏重于静态信息的保护。我国公安部对计算机安全的定义为：保护 计算机的硬件、软件和数据，使f 电1 门不因偶然或恶意的原因而遭到破坏、更改和泄漏， 使整个计算机系统能够正常的运行。这一概念强调了对信息的动态保护。 由上述定义知，计算机系统的安全包括硬件安全、软件安全和数据安全。 1 硬件安全 华中科技大学硕士学位论文 计算机系统的硬件设备可能面临水灾、火灾、线路上的短路或者断路、碰撞等风 险。一些是人们无意造成的，还有一些是破坏分子蓄意破坏造成的。所以计算耄兀歪更件 设备必须做到防火、防水、防盗和防止认为破坏。由上所知对计算机硬件系统进行物 理保护和安全保卫是必不可少的。目前，敌对分子可能利用计算机系统硬件设备的电 子辐射了解系统内部信息。所以必须对计算机系统进行屏蔽，做到防电子辐射。 2 软件安全 计算机系统的硬件破坏可以造成器件的明显损坏，容易检查和修复，而软件破坏 则没有明显痕迹，检查和修复都比较困难。软件有软件删除、软件修改和软件盗窃三 、 钟形式。软件删除是指存心不良的人有意删除有用文件或者把有用软件覆盖从而造成 有用软件的丢失、毁坏和代替。为避免此类问题发生，可以增加系统初始化管理和权 限控制。软件修改是指病毒陛破坏、秘密陷门和信息泄漏。计算机软件在执行件任 务的同时还在执行另外一件不易为人觉察的破坏任务，从而达到破坏系统的目的，这 种形式称为病毒性破坏国际。秘密陷门攻击是指软件内有秘密陷阱，平时运行时不会 出现问题，而在接受到秘密指令后摧毁计算机系统。程序在执行工作软件时将用户的 关键信息传送到第三者或者其他程序称为信息泄漏攻击。软件盗窃攻击主要是指合法 软件的授权和软件的防拷贝技术。当前软件的防拷贝技术虽然取得了一些发展，但是 还没有达到满意的地步。 3 数据安全 计算机系统中的数据对于攻击者是很有吸引力的。一个软件中的几条程序语句对 于攻击者来说不是很重要，但是程序的执行结果却可能很重要。所以对计算机系统中 的数据进行有效保护是计算机系统安全的最重要的一个方面。计算机系统中数据进行 + 保护的时间期限准则是直到保护的数据失去价值为止。针对计算机系统中数据所面临 的攻击，对其保护主要分为如下三个方面： ( 1 ) 保密性：数据不泄露给非授权用户、实体或过程，数据只能被合法的授权用 户访问。 ( 2 ) 完整性：数据不被非拶姗j 户修改和破坏。即信息在存储和传输过程中保持 不被修改、不被破坏和丢失的特性。 华中科技大学硕士学位论文 ( 3 ) 可用性：有权访问信息的合法用户可以随时对信息进行访问，即当需要时信 息能被存取。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属 于对可用性的攻击。 破坏了这三条性质中的任何一条就是破坏了系统的安全。概括而言对计算机系统 安全的威聃有四种类型：中断，窃取，更改和伪造，其中中断就是信息被破坏、丢失， 变得不可用；窃取就意味着信息被不合法地访问了；更改就是指信息被不合法地访问 并且被修改：伪造信息就是信息来自于不合法用户。 ， 计算机安全的目标就是要建立并维护信息保密性、完整性和可用性的控制机制， 防止系统遭到以上四种威胁。 112 网络安全需求 计算机网络有效地实现资源共享，但资源共享和信息安全是一对矛盾体。随着资 源共享的进一步加强，随之而来的信息安全问题也日益突出。在网络上如何保证合法 用户的合法访问以及如何防止网络黑客的攻击，成为网络安全的主要内容。 网络的安全性涉及到系统安全和数据安全，其中系统安全主要是操作系统安全、 网络服务安全”1 。通常的系统攻击使系统不能正常工作，但不一定导致数据泄密。而 数据安全则直接关系到泄密。 1 网络层安全 在一个有严格保密要求的网络上，网络层必须提供透明的加密信道以保证数据传 输的安全通过配置路由器和拨号服务器能够实现i p 层的加密信道。多数路由器设备都 具备这样的功能，但是，加密信道存在如下问题：一是加密算法依赖原厂商：二是不 同设备厂商采用的标准不一致，彼此之间没有互操作性，如果采用的网络设备不一致， 就很难建立统一的加密信道：三是信道加密会使网络设备的性能大幅度下降。以c i s c o 7 5 0 0 系列路由器为例，这种背板交换能力高达2 g 的路由器，若打开4 0 位的d e s 加密 特陛，则整个路由器的吞吐量下降到2 m ，这是因为加密占用了大量的c p u 时间。所以 网络层v p n 很难直接在路由器上实现。这种方法在广域网上使用较多，在局域网上使 华中科技大学硕士学位论文 用的很少。广域飚通常在专网上，在公网上很难实现。 在网络层建立的i p 通道上，必须采用安全机席嶙缈 应用层的可靠相互访问。如 果没有这个机制，只有加密i p 信道，则应用层的安全仍然得不到保障。因为i p 加密 信道只能保证数据传输时不被人在线路上窃听，它不能控制信道的合法使用，也无法 保证双方的合法身份，不能实现集中的访问控制。 在互联网络的边界上，通常使用防火墙。防火墙采用i p 过滤祀应用代理方式来 实现安全连接，一种简单有效的方法是在路由器上采用i p 过滤技术，由硬件实现，效 率相当高。防火墙建立在边界安全的基础上，对来自内网攻击的防护能力很弱，因而 全面的安全防护措施必须支持面向用户和应用的安全控制，以提供立体的防护措旖。 2 应用层安全 目前采用的数据安全控制措施是在应用层实现的，因为数据通常由这些应用生 成、存储和传输的。在应用层必须采用安全措施来保证数据的安全。 应用层安全包括下列几项基本安全需求： ( 1 ) 数据保密：由于无法确认是否有未经授权的用户截取网络上的数据，需要一 种手段来对数据进行保密。数据加密就是用来实现这一目标的。 ( 2 ) 数据完整眭：需要一种方法确认送到网络上的数据在传输过程中没有被篡改。 数据加密和校验被用来实现这一目标。 ( 3 ) 身份认证：需要到网络上的用户进行验证，以确认对方的身份。握手协议和 数据加密为通信双方提供了验证身份的手段。目前常用的公钥认证方法和) c ( 密钥发布中心) 方式的认证方法。 ( 4 ) 授权：需要控制谁能够访问网络上的信息以及可对信息进行何种操作( 读取、 修改等) 。访问控制是用来实现这一目标的。 ( 5 ) 审计记录：所有网络活动应该有记录，这种记录主要针对用户来进行，可以 实现统计、计费等功能。 ( 6 ) 防止抵赖与公证：确保用户不能抵赖自己所做的行为，同时提供公证的手段 来解决可能出现的争议。 应用层必须有安全措施，用户访问时要经过严格的身份认证。信息系统可能分布 4 _ 华中科技大学硕士学位论文 在网络上的任意位置，所以身份认证必须采用针对用户的认证方式，而不能采用针对 地址或会话。为了便于管理，需要采用集中式管理的访问控制手段。 3 网络安全检测 构架网络安全系统时的一个重要的环节是对网络安全漏洞的检测和监控。通过安 全检测和监控手段，可以及时发现网络存在的安全漏洞或恶意的攻击。更为重要的是， 安全检测工具可以为安全网络提供对网络和系统攻击的敏感性，从而实现动态和实时 的安全控制。 安全管理是网管的重要内容。在安全漏洞检测软件的支持下，通过网管软件或人 工配置的方式，可以完备系统配置，消除不少人为的系统管理安全漏洞( 如必须禁止 超级用户的远程登录、不能使用早期版本的s e n d 姒i l 等) 。 安全检测软件能够动态监测路由器、防火墙、主机、w e b 服务器等系统资源，模 仿黑客的攻击方法，不断测试安全漏洞，并将测出的安全漏洞按照危害程度列表。在 一个没有任何防护措施的典型网络中，安全漏洞的数字通常超过1 0 0 0 个。1 。 安全检测软件提供的系统漏洞建议，使系统管理员在明确的指导下及时采用措施 修补系统存在的漏洞，防患于未然。 安全检测软件的另一个功能是实时监控网络攻击或恶意访问，并根据设置及时通 报系统管理员记录攻击隋况。当攻击发生的时候，能够及时阻断攻击。 1 1 3 网络攻击分析 网络威胁可以分成以下若干类型：黑客入侵、内部攻击、不良信息传播、秘密信 息泄漏、修改网络配置、造成网络瘫痪等。 计算机网络受到的安全威胁主要有： 1 身份窃取( i n d e n t i t yi n t e r c e p t i o n ) 2 假冒( m a s q u e r a d i n g ) 3 数据窃取( d a t ai n t e w e p t i o n ) 4 否认( r e p u d i a t i o n ) 华中科技大学硕士学位论文 5 错误路由( m i s r o u l i n g ) 6 拒绝服务( d e n i a l o f s e r v i c e ) 7 数据流分析( t r a 伍ca n a l y s i s ) 8 非授权接入( u n a u t h o r i z e d a c c e s s ) 一个实际的网络中通常存在一些安全缺陷，如路由器配置错误、存在匿名f t p 、 t e l n e t 开放、口令文 牛e t c p a s s w d 缺乏安全保护等。 目前已知的黑客攻击方法就有上千种。网络系统所依赖的t c p i p 协议，本身在设 计上就很不安全。 11 4 网络安全防护的一般措施 网络是一个层次结构，需要在不同的层次上采取保护措施。 网络安全机制的基本要素包括： 1 身份认证( a u t h e n t i c a t i o n ) ：开始通信前证明对方的身份与其声明的致。 2 访问控制授权( a u t h o r i z a t i o n ) ：对不同的用户设置不同的存取权限，把证 实后的实体与存取控制机制匹配，保证只允许访问授权资源。 3 完整性检测( i n t e r g r i t y ) ：确保信息在传输过程中不被篡改。 4 防否认机制( n o n - r e p u d i a t i o n ) ：证明一条信息已被发送或接收，保证发送 方和接收方都有能力证明接收和发送操作确实发生了，并能确定发送和接收 者的身份。 5 可靠性保护( c o n f i d e n t i a l i t y ) 通信内容不被他 捕获，不会有敏感信息的 泄密，主要通过数据传输加密实现。 要根据对信息质量的不同要求对e 述机制进行综合运用。信息质量主要指： i 可靠性：确保售息只被授权用户存取。实现这点需要强有力的存取控制机 制、身份认证机制及端到端加密机制。 2 完整性：信息在网络中传输时不会被非授权用户篡改，也不会被授权用户错 改。这要求有认证机制、加密机制及合理的授权机制相配合。 6 华中科技大学硕士学位论文 3 可用性：保证任何情况下使系统处于工作状态，冗余措施是解决这类问题的 传统方案。必须保证服务器和数据是可复制的。 4 可维护性：必须有相应的集中管理机制及安全管理工具，管理操作应当简单 有效。 1 2 国内外访问控制研究现状 国外在七十年代就开始了计算机系统安全的研究，到了八十年代将计算机安全系 统地分成了安全操作系统、网络安全系统、安全数据库系统的研究。而访问控制的研 究在这三个领域都是研究的重点。 早在1 9 7 1 年，l c a n p s o n “就提出了访问矩阵的概念，并结合c o s i n e 的任务驱动 技术，成功地应用在操作系统中。不久g r a h a m 和d e n n i n g 将该概念进行了改逆p ，最 后由h a r r i s o n 、r u z z o 和1 月l m a n 三人将该模型概念完善为一种框架体系结构为系统提 供保护“3 。同时c o n w a y 、m a x w e l l 和m o r g a r 三人在c o m e l lu n i v e r s i t y 的a s a p 项目 中也使用了安全矩阵作为对数据的访问控制依据，将访问矩阵标准化，这就是自主访 问控制( d i s c r e t i o n a r y a c c e s s c o n t r o l ，d a c ) 。 后来d e n n i n g 等人发现给每个用户分配对系统文件的访问属性还不能很有效地控 制系统的信息流向。借鉴了美国安全局在军事中使用的信息流模型，1 9 7 6 年d e n n i n g 提出了格模型( l a t t i c em o d e l ) 理论”，以控制系统信息流向，这就是强制访问控制 ( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 。 由于强制访问控制的这些特点，它非常适合应用在多级安全系统中，在这些系统 中严格控制信息的流向，但它不适合很多商用、民用系统，所以自主访问控制技术和 强制访问控制都是不可替代的。 美国d o d ( d e p a r t m e n to f d e f e n c e ) - - 直致力于制定安全标准、对标准的解释和制定 实现方案。1 9 8 3 年他们制定了套广为人知的标准r c s e c 标准( t r u s t e d c o m p u t e r s y s t e m e v a l u a t i o n c r i t e r i a ) ，这些标准直到九十年代中期还被很多部门用户认为是安全 有效的。该标准中定义了以上两种访问控制技术，其中d a c 被定义作为商用、民用 华中科技大学硕士学位论文 政府系统和单级军事系统中的安全访问控制标准，m a c 被定义作为多级军事系统的 安全访问控制标准。所以这两种技术在很多系统中被采用，直到今天还有很多系统使 用这两种模型实现系统的访问控制。 随着计算机系统网络化，系统面向的应用越来越复杂，安全讨论的重点转移g u t 分布式系统环境，而强制访问控制和自主访问控制越来越不能适应这些变化和发展。 于是在八十年代末，有人提出了角色的概念。“。1 9 9 1 年的a d v a n c e s c p t o l o g 卜_ c r y p t o 会议中m a b a d i 、m b u r i u w s 、b h n p s 吼、g p l o t l d n 等人再次 提到角色的概念，并将角色引入访问控制模型中。这一大胆设想激起了专门研究访问 - 控制专家们的思考，其中g o r g em a s o n 大学的教授r a v i s a n d h u 大胆提出了基于角色 访问控制( r o l eb a s e da c c e s sc o n 【仃 o l ，r b a c ) 的概念模型，对基于角色访问控制模 型的发展作出了重大贡献“+ 。 1 9 9 3 年r a v i s a n d h u 教授提议大家召开a c m - r b a c 大会( 专题为基于角色访问 控制a c m 大会) 对该控制模型进行广泛的探讨。这项提议得到了大会的重视。在1 9 9 3 和1 9 9 4 的a c m 大会上，来自世界各地的计算机专家们讨论了r b a c 模型的理论基 础性和实用性，最后决定在1 9 9 5 年1 1 月召开第一次基于角色访问控制技术a c m 研 讨大会，在这次大会中到会的所有专家致认为基于角色的访问控制模型和技术非常 实用，应该继续深入探讨。 1 9 9 7 年1 1 月召开了a c m - r b a c 第二次会议，讨论了r b a c 模型在数据库系统、 操作系统、分布式网络系统和基于角色访问控制系统本身中的应用前景和应用技术。 在这次会议上，还提出了一些别的模型和概念，使r b a c 技术能够更好的为大型复杂 的应用系统服务，大会将这一主题定为下一界大会的讨论主题“。 1 9 9 8 年1 1 月举行的a c m - r b a c 第三次会议主要讨论了更加适合大型复杂系统 的基于角色访问控制模型和实现技术“”，该主题延续到1 9 9 9 年1 1 月举行的 a c m - r b a c 第四次会议和2 0 0 0 年1 1 月举行了第五次a c m - r b a c 会议。 自1 9 9 3 年以来，访问控制学者们还提出了其他一些有创建陛的访问控制模型。 r a v i ，s a n d h u 和他的学生提出了基于任务的访问控制概念，并在随后两年研究发展了该 模型1 。在基于任务的访问控制中，许可与任务相关，且有时效性，它很适合目前 华中科技大学硕士学位论文 i 的工作流系统的安全控制。由于基于任务的访问控韦l j 专用性很强，而普适性不强，因 此研究难度比较大“。 从现在的分布式系统应用和发展前景来看，基于角色的访问控制模型比其他访问 控制模型更实用，更容易扩展，也更适合用来改造以前的强带舫问控制和自主访问控 制系统e ”1 。经过很多专家和各界人士的研究探讨，基于角色访问控制模型的理论基 础得到了加强，而且该技术已经在些系统中实现了。 1 3 本课题研究的目的与意义 现有的w e b 服务器一般采用a c l 机制进行权限腔制。管理员必须为每一项访问资 源设置a c l 。当用户和资源数目达到一定规模时，管理员将不堪重负，容易出错。同 时，使用a c l 不易实现最小特权原则和职责分离原则，难以与组织的安全策略相一致。 本课题的目的在于研究一种用于_ l v e b 服务器的通用的易于管理、安全特性好的访 问控制机制。在考察现有访问控制技术的基础上，笔者发现基于角色的访问控制技术 可以满足要求。将基于角色的访问控制技术应用到w e b 服务器上( r b a c 俩b ) ，是笔者 对基于角色的访问控制扩展应用的一次尝试。本课题的意义在于探讨r b a c 在分布式网 络环境中的实现并将其独立模块化，以便广泛应用到w e b 服务器，强化网络安全管理。 1 4 论文的组织结构 本论文主要论述了基于角色的访问控制技术在w e b 服务器上的实现。论文组织如 下： 第一章绪论部分介绍了网络安全现状，总结了国内外组织和学者对访问控制技术 的研究现状，阐述了本课题研究的目的和意义。 第二章从安全需求出发分析安全模型的研究重点，介绍了访问控制的基本概念和 主要访问控制技术及其访问控制策略。 第三章叙述了r b a c 的理论基础，并对r b a c 模型进行了分析，从两个子模型的角 9 华中科技大学硕士学位论文 度对r b a c 中的各种要素、映射函数进行了形式化描述，然后描述了a r b a c 9 7 模型。 第四章从w e b 安全现状入手提出了r b a c w e b 访问控制技术，给出了r b a c 脚口模 型的组件部分。 第五章详细论述了r b a c 1 】| e b 的总体设计，给出了系统的总体框架，阐述了系统 设计思想和运行机制，并详细介绍静态授权的设计。 第六章介绍了静态授权的设计与实现，着重对实现要点进行了说明。 最后一章是本研究课题的总结，并提出系统进一步改进的方法。 1 0 华中科技大学硕士学位论文 2 1 安全需求和模型 2 模型及控制策略 对系统的安全需求可以从不同级别的抽象的角度来看。l a p a d u l a 和w i l l i a m s 给 出过一个非常有用的分类，安全需求定义为从高到底5 级，每下一级都是上一级的提 炼和精化： l ，可信目标：系统要实现的基本目标。 2 对外界面需求：系统对环境的各种接口( 以安全需求为基本的术语) 。 3 内部需求：指定系统内各组件间需要保证的安全需求。 4 操作规则：这些法则指定了内部需求是如何得到执行的。 5 功能设计：系统组件行为的功能描述。 e 述对系统安全需求的描述方面中，1 、2 两个层次比3 、4 、5 层次更加抽象。高的 层次说明“什么事情需要去做”，低的层次把高的层次详细化成可执行的规范，解决怎 么做的问题。与此对应的各个级别相应的模型“”如图2 1 所示。 需要做什么? ( 面向人) i i ， 怎么做? ( 面向计算机) 1 组织化安全需求 2 计算机安全策略 3 访问控制模型 4 实现化的模型 5 具体实现技术 图2 1 模型分类 上层的模型面向人，因此它们更抽象，主要从需求的角度分析安全问题；下层的 华中科技大学硕士学位论文 模型面向计算机，因此它们更具体，主要从实现的角度讨论安全问题。 从当前研究的重点来看，大量的研究集中在中间层，即访问控制模型上，如反映 多级安全的b l p 模型，h r u 模型m ，类型访问矩阵t a m 模型等。而i 、2 层模型的研 究很少有人涉及。 2 2 访问控制及其策略 在商业、金融和国防等领域的网络应用中，能否保证网络具有足够的安全性是第 一位的问题。为此，国际标准化组织i s o 在其网络安全体系中的设计标准( i s d 7 4 9 8 2 ) 定义了五大安全服务功能：身份认证服务、访问控制服务、数据保密服务、数据完整 性服务、不可否认服务。作为五大服务功能之一的访问控制服务，在网络安全体系中 具有不可替代的作用。 2 2 1 基本概念 客体( o b j e c t ) ：被访问的对象。所有系统内的活动都可看作对客体的系列操作。 通常可将客体形象化为一个文件，其实任何存有数据的东西都是客体，包括内存、目 录、队列、进程间报文、网络分组交换i o 设备和物理介质。 主体( s u b j e c t ) ：能访问或使用客体的活动实体称作主体。作进一步抽象的话， 用户就是主体。但在系统内，主体通常被认为是代表用户进行操作的( 作为用户代理) 的进程、作业或任务。按观察者的不同角度，i o 设备既可当作主体，也可当作客体。 在安全系统中，所有主体都必须有唯一的不可伪造的d 。代理用户操作的主体继承了 用户的唯一d 。与主体一样，客体也有唯一的d 。 访问控制：套规则，用以确定一个主体是否对客体拥有访问能力。包括以下三 个任务： ( 1 ) 授权：确定可给予哪些主体存取主体的权力。 ( 2 ) 确定访问权限( 一个诸如读、写、执行、删除、添加等存取方式的组合) 。 华中科技大学硕士学位论文 ( 3 ) 实施存取权限。 在计算机系统中，“访问控制”这一术语仅适用于系统内的主体和客体，而不适 用于外界对系统的存取。控制外界对系统的存取的技术是用户鉴别和标识。网络系统 内的存取控制不仅要考虑外界用户和远程系统，还要考虑系统内的主体1 。 从数学角度来看，访问控制实际是一个矩阵。行表示资源，列表示用户。行和列 的交叉点表示某个用户对某个资源的访问权限。表2 1 给出了一个例子。 表2 1 访问控制举例 文件l文件2文件3 ar wr wr brr wr w 2 2 2 传统访问控制及其策略 在现实世界，安全策略描述的是：人们如何存取文件或别的信息。为在计算机 环境中反映这种策略，需用“主体”或“客体”转移的术语来描述它。计算机安全策略 由一整套严密的规则组成的。这些确定授权的规则是决定访问控制的基础。授权依赖 于用户及信息、唯一i d 或系统当前状态等安全属性。下面讨论传统的两种访问控制策 略。 1 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 自主访问控制出现于2 0 世纪7 0 年代，由l a m p s o n 在他的著名论文“首先提出。 其核心思想是用户拥有他所创建的客体( 文件或其他) ，他可以自主设定谁能访问该客 体以及以何种方式( 读、写等) 访问。自主访问控制是基于所有权的访问权限管理， 其基本属性为： ( 1 ) 客体的创建者拥有该客体。 ( 2 ) 客体的拥有者在系统中是唯一的。 华中科技大学硕士学位论文 ( 3 ) 只有客体的拥有者才能删除该客体。 根据拥有者将客体授权给他人的自由度可分成两类：严格自主访问控制( s t r i c t d a c ) 和自由自主访问控制( l i b e r a l d a c ) “。严格自主访问控带将琶搬定系统中 只有客体的拥有者可以自主的将对客体的访问权限授予给别的用户，客体的拥有者不 能转让客体的所有权。自由自主访问控制允许别的用户代表客体拥有者，自主的将对 该客体的访问权限授予给系统其他用户。根据代理授权的传递层次，自由自主访问控 制可分为一级代理授权和多极代理授权。一级代理授权指被客体拥有者授予代理权限 的用户，只能行使分配客体访问权限的权力，不能将该代理权限授予给别的用户。多 级授权模型允许代理客体拥有者的用户将该代理权限授予给别的用户。 由于多级授权问题涉及到代理权在哪一级才不能再授予下去，而且这些拥有代 理权的用户能不能删除客体，以及代理权的回收问题，所以系统维护很复杂，管理困 难，容易造成系统混乱，而且系统每个客体都有一个拥有者，造成系统中客体权限的 管理非常庞大，所以应该避免使用多级授权模型。 自主访问控制的权限撤销方式可分为： ( 1 ) 与授权者无关的撤销( g r a n t - i n d e p e n d e n tr e v o c a t i o n ) 。 ( 2 ) 依赖授权者的撤销( g r a n t - d e p e n d e n tr e v o c a t i o n ) 。 自主访问控制有一个很大的弱点，易遭受特洛伊木马的攻击嘲。另外，由于用户 程序可以自由更改用户文件的访问控制信息，系统将无法判别更正命令是由合法用户 还是非法入侵者发出的。 2 强制访问控制( m a n d a t o r y a c c e s sc o n t r 0 1 ) 强制访问控制也称为格访问控制，它是一种多级安全策略删。在这种安全系统中， 主体、客体都按照各自的作用、所处的范围和等级等特征分配不同的安全属性，这种 属性是不能改变的，不能象自主访问控制中可以直接或间接的修改。系统通过比较客 体和主体的安全属性来决定主体能否访问客体。代表用户的应用程序不能改变自身或 任何客体的安全属性，包括不能改变属于用户的客体的安全属性。而且，应用程序也 不能通过授予其它用户文件存取权而简单地分配文件。强制访问控制可以防止一个迸 程生成共享文件，使它不能通过这个文件把信息传送到另一个进程中去。 华中科技大学硕士学位论文 多级安全策略的第一个数学模型是b e l l - l ap a d u l a 模型，它所定义的一系列术语 和概念今天己为大多数多级安全模型所接受。在b e l l - l a 吣l a 模型中，有两条基本的 性质： ( 1 ) 简单安全：一个主体只能在其存取类支配的存取类中读出一个客体。换言之， 主体只能向下读，不能向上度。 ( 2 ) 制约性质( 一性质) ：一个主体只能从支配其存取类的存取类中写入一个客 体。即主体只能向上写，不能向下写。 ， 在假定不存在隐通道“的情况下，m a c ( 强帛l 舫问控制) 可以保证信息沿安全 的方向流动，即从低安全级流向高安全级。它的弱点在于缺乏灵活性，不适合在商业 领域的应用。 223 基于角色的访问控制 2 2 3 1 研究r b a c 的动机 随着网络的迅速发展，尤其是i n t e m e t 的兴起，为企业特别是国际企业提供了极 大的便利，客户和企业的员工可在世界各地随时与企业交流。但是，在带来这种便利 同时也带来了一个困难的问题如何有效地管理企业的数据昵? 目前。授权管理开 销大且易出错。用传统的自主访问控制d a c 已很难满足。首先，d a c 将赋予或取消 访问权限的一部分权力留给用户个人，管理员难以确定哪些用户对哪些资源有访问权 限，不利于实现统一的全局访问控制。其次，d a c 访问控制管理比较复杂，特另4 当用 户很多时，实施正确的访问控制变得异常复杂，容易出错。当前d a c 中般采用访 问控制链表( a c c e s sc o n t r o ll i s t ，a c l ) 实现，安全管理员需为每一个用户或用户组 针对每一项资源设定访问权限，当用户数或资源非常多时，这将成为个沉重的负担。 再次，在许多工业和政府部门的单位中，用户对他所能访问的资源并不具有所有权 。5 ，组织本身才是系统中资源的真正所有者，因此，用户可对所访问资源进行自主 权限控制的策略是不合适的。而且，各组织一般希望访问控制与授权机制的实现结果 华中科技大学硕士学位论文 能与组织内部的规章制度相一致，并且由管理部门统一实施访问控制，不允许用户自 主地处理。 这些因素促使人们研究新的控制策略。新的控制策略必须满足：能方删行授 权管理；根据用户的资格和能力进行权限控制，即基于主体( s u b j e c t b a s e d ) 的权限控 制，满足最小特权原则。 9 0 年代，美国国家标准和技术研究院( n a t i o n a l i n s t i t u t eo fs t a n d a r d sa n d t e c h n o l o g y ，n i s t ) 着手组织对一种新的访问控制技术崔于角色的访问控制( r o l e b a s e da c c e s sc o n t r 0 1 ) 进行研究”1 。 2 232 r b a c 的特点和优势 n i s t 所作的调查表明，r b a c 满足许多商业和政府部门的权限控制的需要。研 究发现，许多组织依据成员在组织中担当的角色来分配成员的工作权限；同时，每个 组织都愿意集中地进行权限控制和维护，并与组织的保护策略相一致。这些要求通过 r b a c 可以容易地实现。同时，研究发现，与组织员工的变更相比较，角色是相对稳定 的。因此，r b a c 可以极大地减少分配用户许可的开销、复杂性和出错率。 其次，r b a c 在标准舞台上吸引了强烈的兴趣。角色正在考虑作为新出现的s q l 3 的一部分，s o l 3 是为在o r a c l e7 0 种实现角色的基础上的数据库管理系统提出的。 另外，角色已和“共同准则”草案中的商业安全部分结合。r b a c 也在和主流技术、商 业发展相协调。许多软件产品直接支持r b a c 的某种形式，另外有些产品支持类似角色 的概念，例如用户组，就可通过用户组角色可以实现。许多商业上取得成功的访问控 制系统都利用角色实现安全管理。在这些系统中一般包含如下特征：操作员角色能访 问所有资源但不能改变自己的访问权限，安全官角色能改变操作员角色访问资源的权 限但自己不能访问资源，审计员角色只能访问审计文件。现在网络操作系统，例如 n e t w e ll sn e t w a r e 、m i c r o s o f tw i n d o w sn t ，也用角色进行访问控制管理。 l 华中科技大学硕士学位论文 2 23 3 r b a c 基本控制策略 基于角色访问控制模型的基本控制策略是让许可与角色相映射，在系统中根据工 作应用的需要创建相应的角色，并且为用户分派相应的角色或角色集。它以角色作为 中间量将用户与许可联系起来，而不是像传统访问控制技术中那样将访问许可直接分 配给用户。角色与许可是多