（通信与信息系统专业论文）基于xml的访问控制和信任协商的研究.pdf

摘要 摘要 论文从说明目前网络存在的不安全因素入手，引出访问控制和信任协商的课 题研究。论文首先介绍了x m l 的基础知识并在此基础上讨论了x m l 访问控制语 言，用它来实现对x m l 文档的访问控制。然后，描述了几种具有代表性的基于角 色的访问控制模型，并对这几种访问控制模型进行了分析比较。接下来，表述了 w a r b a c 模型的应用框架及w a r b a c 策略的实现。最后，介绍了信任协商的基 本概念，分析了一种基于x m l 的信任协商的综合解决方案信任一z 模型，对信 任_ 模型的各个方面进行了全面描述。为解决信任度评估模型中推荐信任传递问 题，提出了信任向量的定义，在此基础上提出了一种基于信任向量的新型信任度 评估模型。 本文得到的主要成果如下： 描述了几种基于角色访问控制模型：a 耻 a c 9 7 a r b a c 0 2 模型、s a r b a c 模型、w a r b a c 模型，并对以上各模型做了分析比较，指出了a r b a c 0 2 模型和s a r b a c 模型解决的问题和存在的问题，以及这些问题在w a r b a c 模型中是如何解决的。 对w a r b a c 模型的应用框架体系结构进行了表述，并用x m l 来实现 w a r b a c 策略： 对信任进行了全面探讨，包括：删l 信任协商语言、信任的协商过 程、信任x 合成资源的协商； 通过引入信任强度定义了信任向量，将信任度的单一合成改进为对信任向 量的合成，从而使这种新型信任度评估模型有效地消除了恶意推荐。 关键词：x m l访问控制信任协商信任度评估信任向量 a b s t r a c t a bs t r a c t d u et os o m ef a c t o r so f i n s e c u r i t ye x i s t e di nn o w a d a y si n t e r n e t ，t h ei s s u eo na c c e s s c o n t r o la n dt r u s tn e g o t i a t i o ni si n t r o d u c e d f i r s t ，t h ep a p e r p r e s e n t st h eb a s i ck n o w l e d g e o fx m la n dx m la c c e s sc o n t r o ll a n g u a g eu s e dt oa c c e s sc o n t r o lt ox m l d o c u m e n t t h e n ，t h ep a p e rd e s c r i b e ss e v e r a lt y p i c a lr o l eb a s e da c c e s sc o n t r o lm o d e l s ，a tt h e s a m et i m ea n a l y z e sa n dc o m p a r e st h e m n e x t ，t h ep a p e rd e s c r i b e st h e a p p l i c a t i o n f r a m e w o r ko nw a r b a cm o d e la n di m p l e m e n t ss t r a t e g yo fw a r b a c f i n a l l y , t h e p a p e r ，b e s i d e si n t r o d u c i n g t h eb a s i c c o n c e p t s ，a n a l y s e st r u s t _ z ，ac o m p r e h e n s i v e x m l - b a s e ds o l u t i o nf o rt r u s tn e g o t i a t i o n s ，t a k i n gi n t oa c c o u n ta l la s p e c t sr e l a t e dt o t r u s tn e g o t i a t i o n t or e s o l v et h ep r o p a g a t i o no fr e c o m m e n d e dt r u s ti nt r u s t w o r t h i n e s s v a l u a t i o nm o d e l s ，ad e f i n i t i o no ft r u s tv e c t o ri sp r e s e n t e d ，a n db a s e do nt h ed e f i n i t i o n ，a n e wt r u s t w o r t h i n e s sv a l u a t i o nm o d e li sp r o p o s e d i 。h em a r ec o n t e n t sa r e ： s e v e r a l t y p i c a lr o l eb a s e d a c c e s sc o n t r o lm o d e l s ，i n c l u d i n ga r b a c 9 7 a r b a c 0 2 ，s a r b a c ，w a r b a c ，i sd e s c r i b e d ，a n a l y z e da n dc o m p a r e d ， t h ep r o b l e m r e s o l v i n ga n de x i s t i n gi na r b a c 0 2 a n ds a r b a ci sc o n c l u d e d ， a n dh o wt or e s o l v et h e mi nw a r b a ci sp r e s e n t e d t h o r o u g h l y t h ea p p l i c a t i o nf r a m e w o r ka r c h i t e c t u r e o i lw a r b a ci s p r e s e n t e d ，a n d i m p l e m e n t a t i o no fs t r a t e g yo fw a r b a c i nx m li sd e s c r i b e d t r u s t 上i sc o m p l e t e l yd i s c u s s e d ，i n c l u d i n g 删l t r u s tn e g o t i a t i o nl a n g u a g e ， t r u s t _ zn e g o t i m i o np r o c e s sa n dn e g o t i a t i o no fc o m p o s i t er e s o u r c e s t r u s tv e c t o ri sd e f i n e db y i n t r o d u c i n g t r u s ti n t e n s i t y , a n dt h es i n g l e n e s s c o m b i n a t i o no f t r u s t w o r t h i n e s si sd e v e l o p e di n t ot h ec o m b i n a t i o no f t r u s t v e c t o r ，e f f e c t i v e l ya v o i d i n gt h ev i c i o u sr e c o m m e n d a t i o ni nt h en e w t r u s t w o r t h i n e s sv a l u a t i o nm o d e 】 k e y w o r d s ：x m l a c c e s sc o n t r o l n m s t w o r t h i n e s sv a l u a t i o n t r u s t n e g o t i a t i o n t r u s tv e c t o r 声明 y 6 9 5 2 8 0 独创性( 或创新性) 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 含有其他人已经发表或撰写的研究成果；也不包含为获得西安电子科技大学或其 它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：重蠡起 日期如篮口l 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的只是产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论 文在解密后遵守此规定) 本学位论文属于保密，在年解密后使用本授权书。 本人签名： 导师签名： 镳匙 日期 2 d d 口上 日期 第一章绪论 第一章绪论 1 1 研究背景 随着i n t e m e t 的广泛应用，安全问题越来越引起人们的关注。信息安全概念的 提出与被关注是因为i n t e m e t 建立时的总体构想和设计中没有考虑安全因素，而且 t c p 弹协议的设计也是在以网络环境为可信环境的前提下为网络互联专门设计 的。因此，由于i n t e m e t 本身以及t c p i p 协议均缺乏安全措施的考虑，从而使得 黑客的攻击易如反掌，再加上病毒的干扰，使得网络存在了很多不安全因素。口 令猜测、地址欺骗、利用w e b 破坏数据库等手段是黑客利用网络的不安全因素对 网络进行攻击的常用手段，邮件炸弹、病毒携带等则是利用网络的不安全因素对 网络进行破坏的方法之一，所以网络安全己经成为了网络研发的重点和热点。特 别是在多用户计算机系统环境下，随着互联和分布式系统发展，研究网络安全则 变得更加有意义了。 1 2 访问控制的研究意义 访问控制技术作为国际标准组织定义的五项标准安全服务之一，是实现信息 系统安全的一项重要机制。美国国防部的可信计算机系统评估标准把访问控制作 为评价系统安全的主要指标之一，其设计对提高系统安全的重要性是不言而喻的。 访问控制技术的应用非常广泛，操作系统、数据库系统、防火墙以及应用程序等， 都需要通过访问控制技术实现对资源的合理利用和合法访问。 计算机信息系统访问控制技术最早产生于六十年代，随后出现了两种重要的 访问控制技术：自主型访l h 控$ t j ( d a c ) 1 】【4 】【5 】和强制型访问控制( m a c ) 【3 1 1 4 1 1 5 1 。它们 在多用户系统中得到了广泛的应用，对计算机信息系统的安全做出了很大的贡献。 然而传统的访问控制技术远远落后于当代系统安全的需求，各国学者开始探索新 型的访问控制技术，基于角色的访问控制技术( r o l eb a s e da c c e s sc o n t r o l ，简称 r b a c ) 2 1 引起了极大的关注，r b a c 在保证系统安全的基础上能够为访问控制规则 提供灵活有效的管理。r b a c 以其显著的优势被认为是自主型访问控制和强制型 访问控制的替代者。目前，美国很多学者和研究机构都在从事这方面的研究，如 n i s t ( n a t i o n a li n s t i t u t e o fs t a n d a r dt e c h n o l o g y ) 和g e o r g em a s o n 大学的l i s t ( l a b o r a t o r yo f i n f o r m a t i o ns e c u r i t yt e c h n o l o g y ) 等。 捧于x m l 的访问控制和信任协商的研究 由于在满足政府、军队、商业等部门的安全需求方面显示了极大优势，r b a c 一直是访问控制领域的研究热点。作为d a c 和m a c 等传统访问控制策略的替代 和补充r _ b a c 引起广泛的关注，并应用于操作系统、数据库管理系统等实际产品 中。 1 3 信任协商的研究意义 从用户的角度看，衡量网络系统安全的依据是该系统中用户之间的某种信任方 式。信任是实体问进行交互的重要组件，必须在本来互不相识的实体问建立信任。 例如在电子商务中，顾客必须信任服务商有能力提供其广告中所描述的服务，而 且不会泄漏顾客的私人信息，服务商的能力和诚信度将会影响顾客在购买时对不 同服务商的选择；而从服务商的角度来说，则必须信任顾客的购买能力或某些对顾 客购买能力的证明。此外，i n t e m e t 服务越来越多地应用于人们的日常生活当中， 人们正在更多地通过电子商务、基于w e b 的信息访问以及电子邮件的形式，而不 是通过声音或面对面的相互交流。在这个过程中，安全主体间的信任关系越来越 成为人们关注的焦点，因此，就基于i n t e m e t 的商业行为和服务而言，要完成与传 统商业行为类似的交易过程，要安全地应用i n t e m e t 服务，信任协商就必须作为应 用的有机部分。信任协商最基本的研究动机是帮助实体在信任关系的判断上做出 更明智的选择。 同时，由于w e b 安全环境的多变性和不确定性，不能采用绝对的方法度量和 评估安全信息。当前几个典型的信任管理系统p o l i c y m a k e r 【6 】，k e y n o t e 【7 】和 r e f e r e e i8 1 采用策略一致性证明验证的方法进行信任度量和决策，该方法过于精 确，不能很好地适应w e b 安全环境的多变性和不确定性。而一些主观信任模型提出 的信任度量和评估，其实质是采用一种相对的方法对安全信息进行度量和评估，能 够较好地反映出w e b 安全环境的多变性和不确定性，并且该方法较适合信任信息 收集、评估的自动化实现。信任度量和评估与实际的安全策略的实施相结合将是 信任协商系统实现的新途径。 1 4 论文组织结构 本论文首先对x m l 及其相关技术进行了介绍。在此基础上，提出了基于x m l 的访问控制和信任协商问题。描述并分析了几种基于角色的访问控制模型： a r b a c 9 7 a r b a c 0 2 模型、s a r b a c 模型、w a r b a c 模型：对w a r b a c 模型 的应用框架及其实现进行了详细讨论；描述了信任上模型以及两个信任度评估模 型：b e t h 信任度评估模型、j o s a n g 信任度评估模型。 第一章绪论 主要内容安排如下： 第一章介绍了论文的研究背景、访问控制和信任协商的研究意义。 第二章主要介绍x m l 及相关知识。首先简要描述了x m l 的背景及其安全技 术研究现状；然后介绍了x m l 基础知识，引入了相关的一些重要技术，如x s l 、 x p a h 、x l i n k 、d o m 和s a x ；最后总结了x m l 的应用分类。 第三章概述了访问控制问题。介绍了访问控制的含义；并描述了三种访问控 制的典型模型；最后讨论了x m l 访问控制语言( x a c l ) ，它提供了面向x m l 文档 的访问控制方法。 第四章描述了几种基于角色的访问控制模型：a r b a c 9 7 a r b a c 0 2 模型、 s a r b a c 模型、w a r b a c 模型；分析了a r b a c 0 2 模型和s a r b a c 模型解决的 问题和存在的问题，以及这些问题在w a r b a c 模型中是如何解决的。 第五章讨论了w a r b a c 模型的应用框架及其实现。首先介绍了w a r b a c 模 型的应用框架体系结构；然后详细说明了如何用x m l 实现w a r b a c 策略。 第六章主要研究基于x m l 的信任协商问题。首先介绍了信任协商的方法，然 后重点描述了信任。模型，在信任l 模型中提出了) l j n l 信任协商语言；最后在 简要描述了两个信任度评估模型后，提出了一种基于信任向量的新型信任度评估 模型。 第二章x m l 基础及相关知识 第二章x m l 基础及相关知识 2 1x m l 的背景及其安全技术研究现状 w o r l dw i d e w e b 是最近几年i n t e r n e t 上最具生命力的一种应用，由于它操作简 单而且功能强大，不仅能够传输文本数据，而且可以进行声音、图像、媒体等数 据的传输，因而发展迅速。h t m l 为推动w w w 的蓬勃发展、推动信息和知识的 网上交流发挥了不可取代的作用。然而，随着w e b 文件变得越来越复杂，h t m l 自身的特点已无法满足新的大规模的商务出版所需要的扩展性、结构和数据检查 功能，h t m l 成了i n t e m e t 进一步发展的障碍。 为了满足商务w e b 出版的需要和解决w e b 技术在新的分布式计算机环境的应 用需求，w 3 c 开发了一种可扩展的标记语言，即x m l 。x m l 于1 9 9 8 年2 月成为 w 3 c 的正式标准。w 3 c 采取了简化s g m l 的策略，s g m l 中所有非核心的、未 被使用的和含义模糊的部分都被删除，剩下的就成为短小精悍的置标工具m l 。 在i n t e r n e t 中x m l 的用途有两个，一是作为元置标语言，定义各种实例置标 语言标准；二是作为标准交换语言，担负起描述交换数据的作用。 目前，w 3 c 、i e t f 和其他几个团体正积极进行x m l 安全标准的开发工作。 其中主要的相关开发是x m l 加密、x m l 签名、可扩展访问控制语言( x a c l ) 、 安全声明标识语言( s a m l 一以前是互为竞争对手的a u t h m l 和s 2 m l 的结合1 和x m l 密钥管理规范( x k m s ) 。 保护x m l 事务的核心问题是寻求和运用合适的安全工具，许多著名公司都在 积极围绕x m l 安全规范推出自己的实现工具。以提供w e b 服务器功能著称的 a p a c h e ，它的x m l 工具也非常流行，像x a l a n 和x e r c e s 这两个项目都是许多需 要x m l 解析的j a v a 应用程序的x m l 基础。除了在解析器上的成功，a p a c h e 有 一些项目是专门来开发s o a p 、x s l 格式化对象以及现在x m l 安全的。 a p a c h e x m l 。安全一j 项目提供了一个执行w 3 cx m l 安全规范的免费j a v a 工具。 更为著名的i b m 的a l p h a w o r k s 是一个研究前沿软件技术的强大研发团队， a l p h a w o r k s 开发的x m l 安全组件主要提供了以下功能：数字签名( 及检验数字签 名) ，数据加密和w 3 c 的规范实现。x m l s e e 库是另一个为x m l 应用程序提供安 全保障的免费工具组件。同a p a c h e 和i b m 的工具包不一样，x m l s e c 库是为c 程序员准备的，用以支持w 3 cx m l 签名和x m l 加密的规范，还支持规范x m l 和专用规范x m l 。此外，x m l s e c 库支持多种加密算法，包括t r i p l ed e s 和a e s 。 基于x m l 的访问控制和信任协商的研究 x m l s e c 库的w e b 网站上提供工具包下载，该工具包以多种格式供使用，包括源 代码、c v s 、l i n u xr p m 和w i n d o w s 可执行程序。 除了这些免费的工具，有些商业产品也支持x m l 安全特性。b a l t i m o r e 技术 公司的k e y t o o l s 有一个x m l 嵌入组件，支持w 3 c 的x m l 签名规范，并提供一 套完整的基于p k i 的密钥管理系统。w e d g e t a i l 通信公司的j a v ac r y p t o 和安全实现 工具( j c s l ) 使用x m l d s i g 来支持w 3 c 的数字签名规范。x m l d s i g 采用 h m a c s h a l 为x m l 文档提供数字签名。类似x m l s e e 库，x m l d s i g 包括了一 个在线互用形式，用以说明符合这些规范工具的兼容性。 2 2 x m l 基础知识 下面以一个简单的x m l 文档为例对x m l 语法进行说明。 x m l 文档一j 由x m l 元素组成，元素包含开始标签和结束标签。标签之间的 信息称为元素的内容。x m l 文档中的标签表示数据的含义而不是数据的显示形式。 一个x m l 元素可以包含子元素。在图2 1 中， 是 的子元素， ， ， 是 的子元素。每个x m l 文档都包含一个根元素，它是包含了文档所有内容 的最外层元素。 x m l 元素还包含由属性描述的信息。元素的属性内嵌于元素的开始标签里， 由名称和属性值组成。元素 包含属性c a t e g o r y 。 - - - ( f f b o o k b o o kc a t e g o r y = f i c t i o n ” p u b l i s h e d = ”2 0 1 0 1 9 9 9 e v e l y nw a u g h s w o r do f h o n o u r 1 2 ，9 9 图2 1x m l 文档b o o k s x m l 从例子可以看出，一个x m l 文件必须满足以下三项基本规则【9 】 第二章x m l 基础及相关知识 文档以x m l 定义开始。1 0 表示其版本编号： 有一个包含所有其它内容的根元素，如上面例子中的 标记符； 所有元素必须合理地嵌套，不允许交叉嵌套。这在h t m l 中可能不算什么， 因为浏览器已经被设计成可以处理这种问题。但是在x m l 中却是致命的 应用程序将拒绝处理没有组织好的文件。 2 3x l v l l 文档类型定义( d t d ) f f f i 模式( s c h e m a l x m l d t d 起源于s g m l 的d t d ，d t d 规定文档的逻辑结构，它可以定义文档的 语法，而文档的语法反过来能够让x m l 语法分析程序确认某个页面标记使用的合 法性。d t d 定义页面的元素、元素的属性以及元素和属性之间的关系。d t d 可以 作为一个单独的文件，从x m l 主文档中分离出来外部d t d ，或者被包含在 x m l 文档内部内部d t d 。图2 2 表示了图2 1 中x m l 文档的外部d t d 的例子。 在图2 1 中的 声明将x m l 文档和相应的d t d ( b o o k s d t d ) 联系起来。 医磊而一 属 性 宙 明 ! e n t i t y a t t d e c l * “c d a t a # r e q u i r e d ” ! e l e m e n t b o o k s ( b o o k + p ! e l e m e n ta u t h o r停p c d a t a p 一 表示安全标识之间的密级程度关系， 则有t s s c u 。强制访问控制又称为基于格的访问控制。用l 表示安全标识， 主体s 的安全标识可表示为l ( s ) ，客体o 的安全标识可表示为l ( o ) 。 在强制访问控制模型中有几个基本性质： 简单读规贝l j ( r e a d - d o w n ) ：当满足l ( s ) l ( o ) ，主体s 可读客体0 ； 自由写规贝j j ( w r i t eu p ) ：当满足l ( o ) l ( s ) ，主体s 可写客体0 ； 若把读客体看成是信息从客体流向用户，把写客体看成是信息从用户流向客 体，那么简单读规则和自由写规则反映了信息流动的方向是从安全性要求低处向 安全性高处的方向流动。由于安全性要求低的主体可以写安全性要求比他高的客 体，这可能会导致重写己存在的客体，破坏信息的完整性，所以为了完整性要求 规定了限制写规则。 限制写规则：当满足以l ( s ) = l ( o ) ，主体s 可以写对象0 。 在强制访问控制中，主体和客体的安全标识是由系统安全管理员配置的。除 了系统安全管理员外，用户无权改动。因此，强制访问控制模式的安全性管理是 集中管理的。这样防止了用户滥用权限。 强制访问控制( m a c ) 确保了在即使有特洛伊木马的情况下，信息也仅将按照 由安全标识组成的格的方向流动( 即保证信息从低层次的安全标识处流向高层次的 安全标识处) ，从而可抵制特洛伊木马的攻击。 m a c 的不足主要表现在两个方面：应用的领域比较窄，使用不灵活，一般 只用于军方等具有明显的等级观念的行业或领域，在经济领域中，m a c 的应用并 不是很多；整性方面控制不够，它重点强调信息的向高安全级的方向流动，对高 安全级信息的完整性保护强调不够。 3 2 3 基于角色的访问控制 随着计算机信息系统在非军用领域得到更为广泛的应用和网络的普及化发 展，原有的d a c 和m a c 技术己经不能满足现代信息系统安全的需求。在这种情 基于x m l 的访问控制和信任协商的研究 况下，出现了基于角色的访问控带l j ( r o l e b a s e d a c c e s sc o n t r o l ，简称r b a c ) 技术。 基于角色的访问控制的基本思想是通过将权限授予角色而不是直接授予主 体，主体通过角色分派来得到客体操作权限从而实现授权。由于角色在系统中具 有相对于主体的稳定性，并具有更为直观的理解，从而大大减少系统安全管理员 的工作复杂性和工作量。 角色层次r h f会话集s 。 ； i 一一一一一一一一一一+ 一一一一! 图3 2 基于角色的访问控制模型r b a c 9 6 如图3 2 ，s a n d h u 于1 9 9 6 年提出了一个通用r b a c 模型【2 l 【他】。这个模型基于三 个实体集，用户集( u ) ，角色集( r ) ，权限集( p ) 。直观地说，一个用户是一个人或 一个软代理；一个角色是组织中一项工作或者一个职位，通过角色与授权语义相关， 并通过授予用户以角色实现权限的授予：一项权限是对系统中一个或多个敏感对 象进行某种方式访问的一个许可。 在图3 2 中，用户指派( u a ：u s e ra s s i g n m e n t ) 和权限分派( p a ：p e r m i s s i o n a s s i g n m e n t ) 关系都是多对多的关系。一个用户可以指派多个角色而一个角色也可以 被分派多个用户。同样，一个角色可以有多项权限，而同样的权限可以被分派给 多个角