（计算机应用技术专业论文）hwpmis系统中认证与访问控制机制的设计与实现.pdf

信息工程大学硕士学位论文 摘要 本文从身份认证、访问控制等方面对信息安全的相关技术进行了分析和研究。根据 高速公路工程信息管理系统的安全需求，文中提出了一套可行的认证及访问控制方案， 并给出了其在高速公路信息管理系统中的具体实现。 深入分析了目前国内外流行的单点登录模型及l 确惋m s 认证协议，探讨了对称密钥 下k e 而c r o s 协议的局限性，然后结合公钥技术，对k 曲e r o s 认证协议进行改进。设计并 实现了基于代理的单点登录子系统，使用二次票据方法保证了单点登录系统的安全性。 该方案在可实施性、运行可靠性以及管理等方面都有较好的性能。 由于典型的基于角色访问控制模型不能构建复杂、灵活的访问控制策略，通过对用 户组、客体资源、访问模式及管理角色的进一步抽象，对r b a c 参考模型进行扩展，使 其更具通用性与更强的现实世界表达能力。给出了扩展的i m a c 模型一e r b a c 模型， 并给出了其形式化描述。 最后，在认证子系统中对代理服务器、票据、过滤器等的实现方法进行了说明，在 访问控制子系统中对用户组的定义、数据库结构、监视器的设置也做了详细的介绍。 关键字：安全技术，单点登录，访问控制 第1 页 信息工程大学硕士学位论文 a b s t r a c t 1 1 圮t 1 忙s i sr c a r c h e so nt h ei d e n t i 锣a u t h e n t i c a t i o n 柚da c c e s sc o n 仃o li ni n f o m l a t i o n c u r i t yt e c l l i l o l o g ”a c c o r d i l l gt 0t h e c 嘶哆r e q l l i r e m e n t so f m el l i 曲m a yp r o j c c ti i l f 0 姗a t i m 锄g 眦e n ts y s t e m ，af c s s i b l ea u t h e 埘c a t i o na i l da c c e s sc o m r o l h e m ei sp 1 o p o s o di l lt h e t h e s i s ，a i l dt l l ei m p l 黜就岫岫o ni nt l l el l i g h w a yp r o j e c ti n f o 咖删o nm a n a g 锄c n ts y s 咖li s g i v e n 1 1 l i st i ”s i s s e a r c h e so nc x i s t i n gp o p u l 盯s i n g l es i 驴一o nm o d d 柚dk e r b e r o s a u t h e 埘c a t i o np m t o c o l ，a 1 1 dd i 啪s 鼯t h e1 i m i t so fk c r b e r o sp r o t o c o li n s y m m c 仃i ck e y t c c l l n o l o g y ，i m p r o v e sk c r b e r o sp r o t o c o lw i t ht h ep u b i i ck e yt e c h n o l o g y t h e n “d e s i 掣坞趾l d r e a l i z e st l l ea 眇b a ds i n 班es i g n s y 鼬眦，a n db yt h e c o n dt i c k e tm e t h c d ，e r 塔u m st h e s a f b 哆o ft l l es s 0s y s t 咖m e a n w l l i l e ，t h ep g m mh 鹄b 嫩c rp e r f o 咖a n c ei l li m p l 锄e n t a t i o n ， o p 删i n ga n dm a n a g e m a l t t h ct y p i c a lm l e - b 船c da c c e s sc 伽俩lm o d e lc 觚tc o 埘眦tc o m p l e x 锄dn e x i b l ea c c e s s c o n t r o lp o l i c i e s ，t l l m u g hf b r t l l e ra _ b s t m c tt 0u s e rg r o u p s ，r e s o u r c e s ，m a n a g 锄c n tr o l e s 锄d a c c e s sm o d e l s ，t h et l l e s i se x p a n d st h el 汪i a cm o d e l 孤dm a k ei th a ss 仃o n g e r 柚dm o r e u n i v 盯s a la b i l 时o f e x p r e s s i i l g 廿l er c a lw o d d a n d ，地e x p a i l d e dr b a cm o d e l e r b a cm o d e i a n dt h ef o 珊a id e s c r i p t i o na 阳g i v f i 舱l l y ，t l l et l l e s i sd e r i b e st l l ei n l p l 锄e n 诅t i o no fa g e n ts e r v e r ，t i c k e ta n dn l t e r si n 如b s y s t e i i lo fa u t h e 鲥c a t i o n ，强di n 舡o d t i c c st h ed e 觚t i o no fm eu s c r 掣d u p s ，t l l e 曲m c t i l o f 出也i b a 锄dt l l e t t i i l gm 砌t o ri ns u b s y s 咖o f a c c e s sc o m r 0 1 k e yw o r d s ：s e c l l r i t yt e c l l i l o l o g y ，s s o ，a c c e s sc o n 仃o l 第1 i 页 原创性说明 本人声明所提交的学位论文是本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表 和撰写过的研究成果，也不包含为获得信息工程大学或其他教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并标示谢意。 学位论文题目：丛盥丛! 墨丕统生丛适生迈间控剑扭制的遮让皇塞班 学位论文作者签名： 作者指导教师签名： 日期：动印年么月矽日 b 期吁每只山日 学位论文版权使用授权书 本人完全了解信息工程大学有关保留、使用学位论文的规定。本人授权信息工程大 学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允许论文被查阅和 借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：螋迪墨丕统生认适生边回控剑担剑趁遮让皇塞现 学位论文作者签名； 作者指导教师签名： 信息工程大学硕士学位论文 1 1 课题背景 第一章绪论 本课题来源于河南省公路局项目一高速公路工程信息管理系统( h i 曲w a yp r o j e c t h l 蛐i m 如a g 髓啪ts y s 6 锄，简称h w p m i s ) 。本论文从系统安全需求出发，主要研 究单点登陆认证机制及访问控制机制。 高速公路项目具有周期长、投资大、技术复杂、项目本身和项目的参与方在地域上 分布分散等特点，这些特点对项目各个参与方之间的信息交流与协同工作提出了很高的 要求。针对这一特点，需要在网络环境下为项目的各个参与方提供“网络上的协同工作 环境”，使系统不仅具有集成性、开放性，还应根据用户的要求进行个性化定制，同时能 够将相关软件进行集成，为项目管理提供良好的环境。h w p m 【s 就是在这样一个环境下 应运而生的。 本系统包括多个应用子系统，用户众多，人员结构复杂，这就给运行在网络环境下 的系统提出了较高安全性要求。虽然信息安全已经成为信息化建设的基本要求与重要组 成部分，我国也相应提出了信息化建设安全保障的相关要求，但现有的安全机制在实际 应用中仍然存在不足之处。对于集多个应用系统为一体的信息管理系统，单点登录成为 必然的安全服务，现有的单点登录系统多基于酝曲e r o s 协议实现。繇曲e s 采用对称密 钥技术给协议的应用带来一定局限性。现有的粗粒度的访问控制也已经不能满足信息管 理系统日益增长的安全需求，基于角色的细粒度访问控制已经成为胂跚i s 系统的必然需 求。 综上所述，需要结合各种安全机制，设计实用的安全方案，以提高应用系统的安全 性。建立统一安全身份认证、应用授权、访问控制为一体的h w p m i s 的安全系统是本文 的研究目标。 1 2 研究现状 单点登录( s i n g l es i 印- o n 简称s s o ) f o ，指用户只需在网络中主动地进行一次身份 认证，便可以访问其被授权的所有网络资源，而不需要再主动参与其它身份认证过程。 目前存在着多种单点登录系统，这些系统的实现方法主要归为两种：一种是建立在p l ( i 、 l 沁r b e d d s 或者用户名口令存储的基础上：一种是建立在c 0 0 岫e 的基础上，如i b m w 曲s p h e r e ，b e aw 曲l o g i c 【0 2 1 。这两种方式各有不足，前者需要安装专门的客户端，因 而面向的用户对象是有限的；后者授权方式只能支持本产品系列的应用，对第三方的认 证和授权系统不能很好的集成。 在单点登陆系统的研究中，m i c i 0 s o r 公司开发的p 舔s p o r t 和s m 公司领导的自由联 盟计划( l i b e 啊灿l i a n c e 州e c t ) 是实现单点登录系统的主要代表。 第l 页 信息工程大学硕士学位论文 p 船s p o n 单点登录身份认证系统是作为m i c r o s o f t n e t 的一个重要组成部分出现的。 该系统仅对用户进行单点身份鉴定，但是否允许用户访问某个特定的w 曲服务则由内容 授权程序来确定。用户一次登录后就能通过所有p 嬲s p o r t 合作站点的身份认证，而不需 要对每个站点的应用系统进行多次重复登录。p 嬲s p o n 单点登录系统的主要特点是集中 式认证、分布式授权，整个过程对用户透明，目前的主流浏览器不需要做任何修改就能 实现，全网通行。 作为p 鹤s p o r t 的对立方，自由联盟计划于2 0 0 1 年9 月成立。与p 鹊s p o n 不同，l i b e 啊 规范没有定义一个中心位置的认证系统，也没有要求将合作站点的用户迁移到中心认证 系统，合作站点之间可以建立一对多或多对多的联盟关系，认证系统之间也可以建立联 盟关系。l i b e 啊规范通过采用多层账号映射的方法建立认证链，在理论上可以实现联盟 站点几乎无限的扩展。 国内的单点登陆技术正处于发展阶段，但基于单点登陆技术的应用却较为广泛。其 中清华大学与北京大学分别于2 0 0 3 年在校园统一身份认证系统中实现了基于票据和基 于l d a p 服务器的单点登陆系统1 0 3 】。中国电信也于2 0 0 3 年在“互联星空”中实现了“一 点登陆，全网通行”的单点登陆系统蝉l 。此外在税务、金融、工商等领域也有相关的应 用。 目前主流的访问控制技术有四种：自主访问控制( d a c ) 、强制访问控制( m a c ) 、 基于角色的访问控制( r b a c ) 、基于任务的访问控制( t b a c ) 。在这几种技术中，基于 角色的访问控制作为访问控制的新模式，已经逐渐受到人们的认可和重视。基于角色的访 问控制是以角色为基础显式地准许或者限制访问能力和范围的一种控制方法【0 5 】。 自主访问控制( d i r e t i o f ya c c e s sc 伽仃0 1 ) 兴起于2 0 世纪7 0 年代，随着分时系 统的出现而产生。这种访问策略通过访问控制列表判断用户或用户组的身份，并决定是否 允许其使用资源。系统中的主体( 用户或用户进程) 可以自主地将其拥有的对客体的访问 权限( 全部或部分地) 授予其他主体【嘶】。 强制访问控制模型( m a l l d a _ t o 叮a c c e s sc o 曲0 1 ) 源自美国政府和军方，其本质基于 非循环单项信息流政策【0 6 1 ，系统中的每个主体都被授予一个安全证书，是一种多级访问 控制策略。 基于角色的访问控制( r o l e - b a a c c e s sc o n 昀1 ) 将访问控制中的主体对象和对应权 限解耦，根据主体的权限特点抽象出角色的概念。r b a c 中的基本元素包括：用户、角色 和权刚0 7 】。基本思想是用户通过角色获得所需的操作权限。每一个角色可以看成是一个 职务，代表与该职务相关的一系列责任、义务及由此确定的相应权限。应该赋予一个角色 何种权限必须对系统的运转有一个深刻全面的了解。 基于任务的访问控制( t a s k - b a a c c e s sc 伽n d l ) 是从应用和企业层的角度来解决安 全问题。它以面向任务的观点，从任务( 活动) 的角度来建立安全模型并实现安全机制， 第2 页 信息工程大学硕士学位论文 在任务处理的过程中提供动态实时的安全管理。 这四种访问控制策略适用范围不同，在各自领域内都得到广泛的应用和发展。 1 3 论文主要研究内容和组织结构 本文主要研究内容是认证及访问控制安全机制。通过对统一身份认证单点登录技术 及基于角色的访问控制的进一步研究，设计并实现h 1 】p m i s 系统的安全功能和安全策略。 因此，本文的主要内容包括如下三点： ( 1 ) 深入研究了管理信息系统中认证机制及访问控制机制。 ( 2 ) 分析了h w p m i s 中面临的安全风险，在此基础上提出了一种单点登录认证方 案。通过对k 曲e r o s 协议的分析及改进实现跨应用程序的单点登录。研究了基于角色的访 问控制扩展模型一一e i m a c 模型，根据认证用户的真实身份来确定对其信息资源的访问 权限。 ( 3 ) 在详细的系统需求分析的基础上，通过系统分析、建模、算法等完成h w p 【s 中安全机制的设计与开发。 论文共分为七章： 第一章介绍课题的相关背景、研究现状以及论文研究的主要内容及意义。 第二章从认证与访问控制机制对管理信息系统中相关安全技术进行研究。 第三章从h w p m i s 功能描述对系统的安全需求进行详细的分析。 第四章根据系统对认证机制的需求，设计s s o 认证子系统。结合公钥技术对 k e r b e r o s 安全协议改进，并对其结构进行描述，建立了会话密钥，设计单点登录模型。 第五章根据系统对访问控制机制的需求，给出了扩展的基于角色的访问控制模 型一一e r b a c 模型，该模型更适合在大规模多层分布式对象系统中应用。 第六章针对前两章的设计进行工程实现。 第七章结束语。总结相关工作，并指出今后的研究方向。 第3 页 信息工程大学硕士学位论文 第二章认证及访问控制机制 2 1 信息安全技术概述 当前，互联网飞速发展，信息科技进入了日新月异的时代，在开放的网络平台上部 署企业各种业务系统得到了广泛的应用。但是网络在为企业提供“技术共享、信息共享” 的便利的同时，随之而来的安全问题也更加突出，如信息被篡改、被泄漏、被伪冒等。 这些问题的存在也就迫使信息系统不得不重点考虑如何有效的保护内部的信息资源，最 大限度的减少或避免因信息泄漏、破坏等安全问题造成的巨大经济损失和不良影响。 网络安全也就是要保证网络上所传输的信息的安全。在开放的网络环境下，每天都 有大量的信息在网络上传输、交换、存储和处理，而这些都要依赖网络和计算机系统来 完成。一些黑客利用网络开放性和互联性的特点对网络资源任意破坏，给网络的正常运 行带来了巨大的威胁，甚至造成网络瘫痪。 对信息安全人们已经取得了如下共识：信息安全应该包括信息的保密性 ( c o n 剐e 觚a i 耐) 、完整性( i n t e g r i _ t y ) 、可用性( a v a i l a b i i 时) 、可控性( c o n n o l l a b i l 时) 。 对于一个信息系统来说，威胁【0 8 0 9 1 主要来自于： 应用层包括由于应用系统对权限定义的不完善而造成的信息机密性的破坏。 系统层包括由于操作系统或数据库管理系统的安全防线被攻破而带来的破 坏。 内部人员由于内部管理人员违反规定而带来的破坏，这是目前利用计算机作 案的一种常见形式。 针对信息系统受到的威胁，其安全保证主要包括以下几个方面的内容： 用户认证即确保访问系统的每个用户被正确地识别和授权。 访问控制即限制用户职能访问被授权的信息，并且使得不同的用户具有不同 的访问权限。 完整性控制包括物理信息和逻辑信息的完整性，确保信息都是准确、真实的。 数据加密即对信息系统中的敏感数据进行加密存放及传输，从而防止非法用 户直接从操作系统存取敏感数据。 审计即责任问题，使系统能够在事后追踪到谁访问过( 或修改过) 信息系统 中的信息。 为了保护信息尤其是敏感信息的安全，人们做了大量的研究，主要可分三个层次来 实现信息安全，如图2 1 所示： 第4 页 信息工程大学硕士学位论文 系统层 口争验证 持卡验证 生物识别 随意控制 强制控制 图2 1 信息安全实现层次 l 、应用层 该层主要的安全控制手段是身份验证与识别，这是保证信息安全的首要环节。文献 1 0 ，1 1 介绍了身份认证与识别角度几种方法，主要有：口令验证法、持卡验证法、生 物辨别验证法等。 2 、系统层 该层主要的安全控制手段是存取控制。文献 1 2 ，1 3 ，1 4 ，1 5 ，1 6 ，1 7 ，1 8 从对信 息的存取控制角度陈述了相关方法。因为单就身份验证与识别并不足以防范非法的使用， 在用户通过身份验证与识别后进入系统存取资源的同时，必须防范蓄意破坏或泄漏信息 的行为，所以安全的信息系统均以提供存取控制( a c c e s sc o r l 仃0 1 ) 的安全方法将用户依 不同的身份做合理的授权。 3 、数据层 该层主要的安全手段是密码保护技术。密码技术的基本思想是将明文数据经过加密 处理，转换为密文数据存储在数据库中，从而保护数据存储的安全。即使攻击者攻破了 前两层安全机制的防护，还需要破解数据的密文才能够看到数据明文。而目前广泛使用 的加密技术都具有较高的安全性，想要破解密文十分困难。所以加密是保护信息尤其是 敏感信息的有效途径。 2 2 身份认证 认证( a u t h e n t i c a t i o n ) 又称鉴别，是指对用户身份的确定，它是防止非法人员对系 统进行主动攻击的重要技术【1 9 1 。 身份认证技术能够密切结合企业的业务流程，阻止对重要资源的非法访问。该技术 可以解决访问者的物理身份和数字身份的一致性问题，给其它安全技术提供权限管理的 依据。身份认证是实现整个信息系统安全的基础。 2 2 1 用户名口令认证 用户名口令是最简单也最常用的身份认证方法，它基于“w l l a ty ”的验证 第5 页 雾 信息工程大学硕士学位论文 手段。每个用户的密码是由用户自己设定的，只有用户自己才知道。只要能够输入正确 的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码， 经常采用诸如生日、电话号码等容易被猜测到的字符串作为密码，或者把密码抄在纸上 放在一个自认为安全的地方，这样很容易造成密码泄漏。即使能保证用户密码不被泄漏， 由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证 使用的验证信息都是相同的，也很容易被驻留在计算机内存中的木马程序或网络中的监 听设备截获。因此，从安全性上讲，用户名密码方式一种是极不安全的身份认证方式刚。 2 2 2 智能卡认证 智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据。智能卡由 专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登 录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。智能卡认证 是基于“w l 哦y o u h a v c ”的手段，通过智能卡硬件不可复制来保证用户身份不会被仿冒。 然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很 容易截取到用户的身份验证信息，因此还是存在安全隐患刚。 2 2 3 基于挑战一应答的认证机制 挑战一应答式身份认证机制( c h a l l g e r e s p o n s e ) 的基本观点是：每次认证时验证者 提出问题( 通常是一些随机数，称作口令) ，由被验证者回答，然后由验证者验证其真实性。 通过这种方式能大大提高协议抗重放攻击的能力，但缺点是需要较大的通讯量1 2 l j 。挑战一 应答式认证协议分为两类：一类是基于对称密码技术的，在这类协议中，验证者知道被验 证者的秘密；另一类是基于公钥密码技术的，在这类协议中，验证者不知道被验证者的秘 密。后者的应用更为广泛。著名的r a d i m 认证机制就是采用这种方式。它的设计思路是 在客户和服务器之问采用u d p 进行交互，使之轻型化。采用挑战一应答方式进行认证，避 免口令在网络上传输。认证不定期的进行，并且每次认证的报文不同，以防止他人的重放 攻击。图2 2 给出了这种认证方式的认证过程瞄】。 认证请求 讶 用 询问r 证 户 应答( u s e r ， 服 h ( u s 盯，r ) 一 端务 认证结果器 图2 2 挑战一应答方式认证过程 1 用户向认证服务器端提出认证请求，并提供自己账号和口令。 2 服务器端验证用户的账号和口令信息。服务器端内部产生一个随机数r ，作 第6 页 信息工程大学硕士学位论文 为“挑战”发给客户端。 3 用户端将收到的随机数和自己口令合并，并使用安全h 硒h 函数进行处理，生成一 个字符串作为对服务器端“挑战”的“应答”。 4 服务器端收到“应答”后，将存储的随机数和用户口令合并，使用相同的h a s h 函 数进行处理，并将结果与用户端的“应答”比较，若相同，则一次认证结束，返回认证 结果。 2 2 4 基于数字证书的认证 数字证书是一个经证书授权中心( 也叫认证中心，简称c a ) 数字签名的包含公开密 钥拥有者信息及公开密钥的文件瞄】。最简单的证书包含一个公开密钥、名称以及证书授 权中心的数字签名。一般情况下证书中还包括密钥的有效时间、发证机关( 证书授权中 心) 的名称和该证书的序列号等信息，证书的格式遵循m ) ( 5 0 9 国际标准。 一个标准的x 5 0 9 数字证书包含以下一些内容： ( 1 ) 证书的版本信息； ( 2 ) 证书的序列号，每个证书都有一个唯一的证书序列号； ( 3 ) 证书所使用的签名算法； ( 4 ) 证书的发行机构名称，命名规则一般采用x 5 0 0 格式； ( 5 ) 证书的有效期，现在通用的证书一般采用u 1 时间格式，它的计时范围 为1 9 5 0 一2 0 4 9 ； ( 6 ) 证书所有人的名称，命名规则一般采用x 5 0 0 格式； ( 7 ) 证书所有人的公开密钥； ( 8 ) 证书发行者对证书的签名。 当用户向某一服务器提出访问请求时，服务器要求用户提交数字证书。收到用户的 证书后，服务器利用c a 的公开密钥对c a 的签名进行解密，获得信息的散列码。然后 服务器用与c a 相同的散列算法对证书的信息部分进行处理，得到一个散列码，将此散 列码与对签名解密所得到的散列码进行比较，若相等则表明此证书确实是c a 签发的， 而且是完整的未被篡改的证书。这样，用户便通过了身份认证。服务器从证书的信息部 分取出用户的公钥后向用户传递数据时，便以此公钥加密，对该信息只有用户可以进行 解密。 基于x 5 0 9 证书的认证技术适用于开放式网络环境下的身份认证，该技术已被广泛 接受，许多网络安全程序都可以适用x 5 0 9 证书( 如：p s e c 、s s l 、s e t 等) 。 由于这种认证技术采用了非对称密码体制，c a 和用户的私钥都不会在网络上传输， 避免了基于口令的认证中传输口令所带来的问题。攻击者即使截获了用户的证书，但是 由于无法获得用户的私钥，也就无法解读服务器传给用户的信息。 基于x 5 0 9 证书的认证实际上是将人与人之间的信任转化为个人对组织机构的信 第7 页 信息工程大学硕士学位论文 息，因此这种认证系统需要有c a 的支持。 c a 在确信用户的身份后才为用户签发证书，而c a 对用户身份的确认则遵循c a 自 己定义的称为c p s ( c 叭i f i c a t i o np m c t i c cs t a t e m e n t ) 的规则，c a 通过这些规则来判定用 户是否存在和有效。证书将用户的唯一名称与用户的公钥关联起来。但这种关联是否合 法，却不属于x 5 0 9 所涉及的范畴。x 5 0 9 规定：凡是与语义或信任相关的所有问题都 依赖于c a 的证书常规声明c p s ，即关联的合法性取决于c a 自己定义的c p s 规则。显 然，这种做法会导致各个c a 对用户的确认方法和确认的严格程度上的差异。因此建立 全球性的统一的认证体系以及相关的规范就显得非常必要。 全球公钥基础设施( p ) 就是一个全球范围的相互信任的基础设施，它是一种遵 循标准的密钥管理平台。p 的构建主要从认证机构、证书库、密钥备份以及恢复系统、 证书作废处理系统、客户端证书处理系统等基本部分来进行。r f c 2 5 1 0 标准中定义的p 模型如下图2 3 所示： 图2 3 一个标准的p 模型 2 2 5k e r b e m s 认证 k e r b e r o s 是由美国麻省理工学院( m i t ) 的雅典娜项目小组提出的基于可信赖的第 三方的高效认证机制剀。k e r b e r o s 是一个典型网络安全认证协议，它是应用对称密钥来 对客户机( c l i e m ) 服务器( s e n ，神应用程序作精确鉴定的。 k e r b e m s 采用对称密钥体制对信息进行加密，其基本思想是：能正确对信息进行解 密的用户就是合法用户。当用户进行登录时，融曲e s 对用户进行初始认证，通过认证 的用户可以在整个登录期内得到相应的服务，k e r b e m s 既不依赖用户登录的终端，也不 依赖用户所请求的安全机制，它本身提供了认证服务器来完成用户的认证。而时间戳技 术被用来抵御可能发生的重放攻击( r c p l a ya t t a c k ) 。 k e r b e m s 认证包括一系列的服务。除了客户以外，k e 慨r o s 还包括三个服务器：认 证服务器( a s ) ，用于在登录时验证用户的身份；票据服务器( t g s ) ，发放“身份证明 第8 页 信息工程大学硕士学位论文 许可证”；服务器( s e n 懈) ，客户请求工作的实际执行者。其中，a s 与k d c 类似，它 与每个用户共享一个秘密口令。1 g s 的工作是发放许可证，用来使服务器相信1 g s 许可 证的持有人确实是他们所自称的本人，它与a s 共享一个秘密口令k t g s 。 图2 4k e r b e r o s 工作过程 如图2 4 所示，l 沁r b e r o s 的工作原理可分为三个阶段，六个步梨2 5 】闭； 第一阶段：用户c 得到初始化票据t c ，t g s 。 1 c _ a s ：c ，t 擎 用户提出申请，要求从a s 获取授予接入1 g s 的门票。 2 a s c ： k c ，t g s k c ； t b ，船s k t g s a s 生成一个会话密钥k c ，馆s ，使用k c 对之加密，生成允许用户使用的1 g s 的票 据t c ，t 笋，并用k 1 0 s 进行加密，然后把两个加密消息发给用户。 第二阶段；用户c 从1 g s 得到所请求服务s 的令牌t c ，s 。 3 c 一1 u s ： a c l 沁，t g s ； t c ，t g s ) k t g s 用户c 用自己的密钥解密消息得到会话密钥k c ，t g s ，生成一个认证单a c ，并使用 l 沁，t g s 加密，然后向t g s 发出请求，申请接入应用服务器的门票。 4 t g s 屺： k c ，s ) 趾，t g s ； t c ，s k s t g s 对t c ，t g s 消息解密获得k c ，蟾s ，用k c ，蟾s 对加密的认证单解密获得a c ， 并与t c ，t 缪中的数据进行比较，然后由t g s 产生用户和服务器之间使用的会话密钥k c ， s ，并将k c ，s 加入到用户向该服务器提交的a c 中，生成门票t c ，s ，然后用目标服务 器的密钥k s 将此门票加密。 第三阶段：用户c 利用上一步得到的令牌k c ，s 申请服务s 。 5 c _ s ： a ) k c ，s ， t c ，s k s 用户对消息解密获得k c ，s ，用户制作一个新的认证单a c ，并用k c ，s 加密与 t c ， s ) k s 一起发给目标服务器。 6 s - c ： t h n e s t a m p + l k c ，s 服务器对 t c ，s k s 解密获得k c ，s ，利用k c ，s 对 a c k | c ，s ，解密获得a c ， 同时用k c ，s 加密t i 他s t a m p + 1 发给用户，实现用户对服务器s 的认证。 其中： 第9 页 信息工程大学硕士学位论文 k c ，k s ，k a s 分别为c l i e m ，s e r v 盱和a s 的密钥， k t g s 是1 g s 和a s 共享的密钥， b ，c 是c 和s 共享的会话密钥， k c ，t $ 是c 与1 g s 共享的会话密钥， t c ，t g s = s ，t g s ，a d d r ，劬e s c a m p ，h f e ，趾，t g s k t g s ， a s 为用户签发的访问t g s 的许可证， t c ，s - s ，c ，a d d r ，t i l i l e s 诅m p ，l i 角，b ，c 鼬， t g t 为用户签发的访问s e r v c r 的许可证， a c = c ，矾d r ，缸i e s t a i n p ) 鼬，c 是用户提交的证书。 n m e s 住衄p 表示时间戳。 2 3 访问控制 在基于角色的访问控制模型r b a c 出现之前，自主访问控制d a c 和强制访问控制 m a c 已经提出了二十年并在诸多应用领域取得了巨大的成功。但是随着计算机网络的快 速发展和应用系统规模的不断扩大，这两种传统的访问控制模型已经无法适应新的应用 环境：m a c 模型太强，d a c 模型太弱，二者工作量大，不便于管理。它们都无法提供 一种策略中立的、具有强扩展性的访问控制框架。 r b a c 模型就是在这样的背景下被提出来的。它实际是一种强制访问控制模型，即 用户不能自主授权和权限转移，但是它没有如m a c 那样限制信息的流向，而是引入了 一种抽象的中介元素“角色”来传递授权信息。角色起着媒介的作用，将用户和权限的 对应关系拆分成用户和角色的对应关系以及角色和权限的对应关系，它们都是多对多的 关系。此外，如果系统有了新的变化或应用需求，也可以通过调整角色所具有的权限来 达到改变多个用户权限的目的，从而提供了足够的灵活性和扩展性。 l 沿a c 模型的发展过程中主要有砌 a c 9 6 模型、a r b a c 9 7 模型以及n i s t 砌 a c 模型。 2 0 0 1 年，n i s t 提出r b a c 参考模型，将r b a c 9 6 ，r b a c 9 7 以及相应的子模型统 一起来，形成统一的r b a c 模型理论框架，作为开发企业应用r b a c 系统的指导模型。 这样，基于角色的访问控制研究逐步从传统的概念形式转变成一个有完整数学模型和系 统理论框架的应用领域。该模型分为四层，每一层提供增加的功能和复杂度。它们分别 是c o r b a c ，h i e r a r c h a l 砌a c ，c o r l s t m 缸r b a c 中的两种职责分离模型。下图2 5 所示为n i s t r b a c 模型图，同时对它的基本内容作了描述【翊。 第l o 页 信息工程大学硕士学位论文 ，、 l = 厂、 ( ”8 “5 卜一一 、。一 l = ，| 乡 图2 5n i s tr b a c 模型图 1 ) 主体( s u b i e c t ) 。主体可以对其它实体实施操作的主动实体。通常是系统用户或代 理用户行为的进程。一般来说，为了叙述方便，常把主体限定为自然的人也就是用户。 2 ) 角色( r o l e ) 。角色可以理解为与特殊工作相关的权利和职责的集合。 3 ) 客体( 0 电i e 曲。客体是接受其它实体动作的被动实体，是系统保护的资源，如文 件，数据库中的表。客体的集合为0 b s 。 4 ) 权限( p c h n i s s i o n ) 。权限指在受系统保护的客体0 b s 上执行操作o p s 的许可。 5 ) 会话( s e s s i o 璐) 。会话指特定环境下一个用户与一组角色的转换，即当用户为完 成某项任务而激活其所属角色集合的一个子集时，建立一个会话，每个会话与单个用户 关联，并且每个用户可以关联一个或多个会话。被激活的角色权限的并集即为该用户当 前有效的访问权限。 6 ) 用户角色指派( u s 盱a s s i 即m e n t ，简称u a ) 。用户角色指派表示将用户指派给角 色，一个用户可指派给多个角色，一个角色可被指派给多个用户，两者之闻是多对多的 关系。 7 ) 权限角色指派( p e i 】 n i s s i o na s s i 印m e m ，简称p a ) 。权限角色指派表示将权限指派 给角色，即建立权限与角色之间的多对多关系，通过角色将用户与权限关联起来，用户 具有其所属角色拥有的权限的总和。 8 ) 角色继承( r o l eh i 蹦眦h y ，简称r h ) 。角色继承是一个严格意义上的偏序关系， 一个角色可以通过继承其他一个或多个角色来定义。当一个角色继承了另一个角色后， 就自动获得了被继承角色的所有被富裕的权限。角色划分等级是r b a c 的一个突出优点， 用于解决复杂组织机构内部的权限关系。 r b a c 模型还有以下几个基本的原则： 1 ) 最小权限原则。用户的拥有的权力不能超过他执行工作时所需的权限。当一个主 体访问某个资源时，如果该操作不在主体当前激活角色的授权范围之内，该访问将被拒 绝。 2 ) 职责分离。对于某些特定的操作集，要求用户不可能同时拥有两个冲突的权限。 “职责分离”可以有静态和动态两种实现方式。 第l i 页 信息工程大学硕士学位论文 静态职责分离s s d ( s 切l i cs e p a r a t i o no f d u t i e s ) ：只有当一个角色与用户所属的其他 角色彼此不互斥时，这个角色才能授权给该用户。 动态职责分离d s d ( d y l l 锄i cs e p a m t i o no f d u t i e s ) ：只有当一个角色与一主体的任 何一个当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色。 3 ) 角色基数约束。在一个特定的时间段内，有一些角色只能由一定人数的用户占用。 在创建新的角色时，要通过指定角色的基数来限定该角色可以拥有的最大授权用户数目。 4 ) 角色继承。为了提高效率，避免相同权限的重复设置，r b a c 采用了“角色继承” 的概念，定义了这样的一些角色，它们有自己的属性，但可能还继承其他角色的属性和 权限。角色继承把角色组织起来，能够很自然的反映组织内部人员之间的职权、责任关 系1 2 m 。如图2 6 所示 图2 6 角色继承 角色2 是角色1 的“父亲”，它包含角色1 的属性与权限。在角色继承关系图中，处于 最上面的角色拥有最大的访问权限，越下端的角色拥有的权限越小。 以上介绍了r b a c 中的一些基本概念，总的来说，这些a c 模型只是规范了r b a c 系统应具有的共性的基本特征，实际的工程应用中还需在此基础上适当扩充其它的安全 机制。 2 4 本章小结 本章主要描述了信息安全的相关技术，重点多认证与访问控制机制进行了分析，从 中可以得出，要保证信息系统安全性，仅仅从一个方面着手是不够的，必须要综合利用 各种安全技术才能更好的保证系统中信息的安全性。 第1 2 页 信息工程大学硕士学位论文 第三章h w 刚is 系统安全性需求分析 3 1 册删i s 系统结构及功能 h w p h s 是全新的高速公路工程信息管理系统，为公路工程建设提供统一的计算机 辅助管理平台，将公路建设管理中涉及到的相关业务及管理功能有机统一。该系统面向 公路工程中项目公司、监理、施工单位等组织，以提高管理效率和管理水平为目的，将 各项管理数据间互为关联、有效统一并在形式上采用图表与报表等多种灵活形式进行项 目管理与控制。 h w p m i s 系统中从业务功能上包含三个子系统：信息管理子系统、人员管理予系统、 工程管理子系统。系统主要功能如图3 1 所示： 图3 1 系统主要功能 信息管理子系统主要包括查询系统、预警系统、审批系统、多媒体监督系统、信息 发布系统。查询功能是指对工程进度、设备投入、工程计划和计量支付等信息的对比关 联查询，通过查询功能，能够及时掌控工程建设的有关内容；信息预警是一个重要的辅 助手段，通过预警功能，系统使用人员能够及时发现工程建设方面的问题，如进度、投 资、变更等。预警内容包括：信息催报、数据错误、进度滞后等；审批系统主要指领导 第1 3 页 信息工程大学硕士学位论文 对上报信息的核实及批复；通过多媒体系统，承包商等单位在提交数据的同时，也将现 场的照片及视频资料上传上来，这样能保证旌工资料的真实性；信息的发布主要是指上 级对其所管理的下级单位或部门发放通知，或者系统管理员发布系统的相关信息。当上 级部门发布信息时，能够指定对某一级别的单位进行信息或通知的发布，而某一个单位 不能向不属于自己管理下的部门发布信息。 人员管理子系统主要负责对各单位人员的统一管理。包括施工单位和监理等部门的基 本信息、人员配备信息等。通过这些信息，上级部门能够详细掌握工程单位的有关信息， 如法人代表、施工历史等，同时通过了解施工单位人员的学历、简历等详细情况，能够清 楚该单位的人员的层次结构，以及施工经验等等。这样，就能够对施工单位有一个全面的 了解。 工程管理子系统又分成五个子系统：工程进度系统、工程变更系统、计量支付系统、 合同管理系统和质量管理系统。工程进度系统是对工程的进度进行全面控制，主要包括 总体计划、计划上报和进度上报三部分；合同管理系统主要是对合同的一些基本信息的 管理，包括建立、修改和删除工程；计量支付系统是对承包人己完成的质量合格的工作， 按合同规定的计量方式和方法，确认其工程量并根据确认的工程量，按合同规定的价格 及支付方法付款给承包人；质量管理的主要作用是对公路施工中的各个工程质量文件进 行统一管理和查询；工程变更是对合同中的工作内容做出修改、追加或取消某一项工作， 能够记录每一次变更所影响的工程量清单，为以后的计量支付提供信息。 3 2 安全需求分析 h w p m i s 系统的特点是业务量大、数据量大、数据传输要求可靠及时，同时还涉及 到大量的资金结算。系统中需要提供多种安全机制来确保只有经过授权的终端用户才能 访问系统。信息系统的安全需求一般包括身份认证、访问控制、安全存储、加密传输等 内容。就h w p m i s 系统而言，用户复杂、信息敏感、应用多样是其主要特点，如何对用 户身份进行确认，防止假冒和非法攻击是维护系统安全性非常重要的环节；如何限制角 色的权限，使它不能越权访问资源，也是安全系统要研究的一个重要方面；鉴于此，本 文主要从身份认证及访问控制两个方面进行描述。 1 身份认证 该系统集成多个应用系统，各应用系统具有独立的授权机制。为了实现对应用系统 所管理资源的访问控制，特别是对一些敏感信息的访问，应用系统通常都会提供登录窗 口，要求用户输入用户名和口令，只有被授权的用户才能访问受控资源。用户访问应用 系统时，首先需要通过认证登录应用系统，如果需要访问处于多个应用系统的资源，用 户就不得不按照各个应用系统的要求分别登录进入相应的系统。这需要管理员针对不同 的应用系统和用户设置登录凭证、维护管理各个系统的用户信息库，不但增加了工作量 第1 4 页 信息工程大学硕士学位论文 同时也存在安全隐患，将导致以下问题： 1 ) 如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并 延缓开发进度； 2 ) 多个身份认证系统会增加整个系统的管理工作成本； 3 ) 用户需要记忆多个帐户和口令，使用极为不便。 4 ) 无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统 内进行设置，因此修改策略的速度可能跟不上策略的变化； 5 ) 无法统一分析用户的应用行为。 因此，对于h w p m i s 系统，需要配置一套统一的身份认证系统，以实现集中统一的 身份认证，并减少整个系统的成本。 2 访问控制 胂p m i s 系统中涉及到大量的人员，实行分级管理机制，主要有四类主体角色，如图 3 2 所示。 图3 2 系统角色 1 ) 省公路局，最高一层的用户，主要负责查看所有上报的数据，并对数据进行统计。 其下辖多个项目公司。 2 ) 项目公司，是由