（计算机应用技术专业论文）安全信息服务模型的研究与实现.pdf

安全信息服务模型的研究与实现： 摘要 摘要 本文在通用安全模型的基础上，提出并实现了安全信息服务模型，该模型综合了身 份认证、授权和访问控制、审计等安全技术，实现了根据用户的需求安全可靠的获取特 定信息，在满足安全性要求的同时有效的保护了用户隐私，真正实现了人性化的信息服 务。 引用监控机是j p a n d e r s o n 在1 9 7 2 年提出的针对操作系统的安全模型的理论基础。 作者将其扩展到网络信息服务领域，设计出的安全信息服务模型在提供安全服务的同 时，并没有以丧失服务性能为代价。在充分考虑用户需求的基础上提出了模型所要实现 的功能，并结合不同的应用场景充分论述了所面临的技术难点和实现方案。该模型具有 以下特点： 分布式环境下信任机制的建立( 认证和访问控制) 部分信任环境一互相的监督和协作关系下操作可信性的审核( 审核) 安全监控与隐私保护兼而有之( 监控手段和访问策略的保护) 两种非常有效的扩展 _ 信息推送模型：实现更强的信息过滤和监控 一信息获取模型：更多的考虑实时性能 在充分论述了模型的性能和特点之后，作者结合已实现的黑盒系统的运行状况和性 能指标提出了进一步的改善和扩充计划，为今后的工作打下了良好的基础。 关键词：信息安全，信息服务 安全信息服务模型的研究与实现：a b s h a c ! r e s e a r c ho ns e c u r ei n f o r m a f i o ns e r v i c em o d e la n di m p l e m e n t a t i o n d i n gj i e ( a p p l i e dc o m p u t e rs c i e n c e & t e c h n o l o g y ) d i r e c t e db y c h e n gx u e - q i t h i st h e s i sp r o p o s e sa n di m p l e m e n t sas e c u r ei n f o r m a t i o ns e r v i c em o d e l ，b a s e do nt h e g e n e r a l s e c u r i t y m o d e l t h i sm o d e l i n t e g r a t e s af e ws e c u r i t y t e c h n o l o g i e s ，s u c h a s a u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，a c c e s sc o n t r o l ，a n da u d i te r e i t sa b l et os e c u r e l ya n dr e l i a b l y o b t a i nc u s t o m i z i n gi n f o r m a t i o ni nt e r m so ft h eu s e r sr e q u i r e m e n t t h i sm o d e le f f i c i e n t l y p r o t e c t st h eh s c f sp r i v a c ya sw e l la ss a t i s f i e s i t ss e c u r i t yp e r f o r m a n c e sr e q u i r e m e n t ，t h u s f u l f i l l i n gt h ep u r p o s eo fi n t e l l i g e n ti n f o r m a t i o n s e r v i c e r e f e r e n c e m o n i t o r ( r m ) ，p r o p o s e db y j p a n d e r s o ni n19 7 2 ，i st h et h e o r e t i c a l f o u n d a t i o no fs e c u r i t ym o d e lf o ro p e r a t i n gs y s t e m t h ea u t h o re x p e n d si ti n t ot h ef i e l do f n e t w o r ki n f o r m a t i o ns e r v i c e ，t h u sd e s i g n st h es e c u r i t yi n f o r m a t i o ns e r v i c em o d e l 。t h i s m o d e lc a np r o v i d es e e n r es e r v i c ew i t h o u ta n yc o s to fl o s i n gp e r f o r m a n c e t h ca u t h o ra l s o a d d r e s s e ss o m ef u n c t i o n ss h o u l db ea c c o m p l i s h e db yt h em o d e la f t e rc o n s i d e r i n gn s e r s r e q u i r e m e n te n t i r e l y a n dt h e n ，t h ea u t h o r d i s c u s s e st h et e c h n o l o g i e sw h e r et h es h o ep i n c h e s p o i n t sa r ea n d t h ei m p l e m e n t a t i o nm e t h o d si nd i f f e r e n ta p p l i e de n v i r o n m e n t t h i sm o d e lh a s t h ef o l l o w i n gc h a r a c t e r i s t i c s ： n l ee s t a b l i s h m e n to ft r u s t e dm e c h a n i s mi nd i s t r i b u t e d c o m p u t i n ge n v i r o n m e n t ( a u t h e n t i c a t i o n a n da c c e s s c o n t r 0 1 ) t h ea u d i to fo p e r a t i o n s c r e d i t a b i l i t y i n p a r t l y t r u s t e de n v i r o n m e n t m u t u a l i n t e n d a n c ea n d c o o p e r a t i o n ( a u d i t ) s e c u r ec o n t r o la n dp r o t e c t i o no fp r i v a c y ( c o n t r o lm e t h o da n dp r o t e c t i o no fa c c e s s p o l i c y ) t w o w a y s o f e f f e c t i v ee x t e n s i o n _ i n f o r m a t i o np u s h m o d e l ：s t r o n g e ri n f o r m a t i o nf i l t r a t i o na n d m o n i t o r i n f o r m a t i o np u l lm o d e l ：m o r e c o n s i d e r i n g r e a l - t i m ep e r f o r m a n c e t h i st h e s i sd i s s e r t a t e st h ep e r f o r m a n c ea n dc h a r a c t e r i s t i c so fs e c u r i t yi n f o r m a t i o n s e r v i c em o d e la d e q u a t e l y a s s o c i a t i n gw i t i lt h er u n n i n gs t a t ea n dp e r f o r m a n c eo fb l a c k b o x s y s t e mh a v i n g b e e nr e a l i z e db a s eo nt h e m o d e l ，t h ea u t h o rb r i n g s f o r w a r dt h ef u r t h e r i m p r o v i n gp l a na n dl a y sa s o l i df o u n d a t i o nf o rf u t u r ew o r k k e y w o r d s ：i n f o r m a t i o ns e c u r i t y , i n f o r m a t i o ns e r v i c e h 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。 就我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰 写过豹研究成果。与我一同工作的同志对本研究所傲的任何贡献均已在论文中作了明确 的说明并表示了谢意。 作者签名：缎日期：跏印了7 歹 关于论文使用授权的说明 中国科学院计算技术研究所有权处理、 借阅；并可以公布论文的全部或部分内容， 论文。 作者签名： 保留送交论文的复印件，允许论文被查阅和 可以采用影印、缩印或其它复制手段保存该 导师签名：承学寺安日期：耖。3 7 ，3 l 第一章引占 1 1 应用背景 第一章引言 i n t e r n e t 的发展已成燎原之势，它的应用也从原来的军事、科技、文化和商业渗 透到当前社会的各个领域。越来越多的网络连入i n t e m c t ，越来越多的信息进入了 i n t e m e t 。i n t e r n e t 从1 9 9 3 年开始用于商业应用之后，进入快速发展阶段。到目前为止， 互联网已经覆盖了全球大部分的国家和地区，用户数量数以亿计。 随着计算机网络的普及，计算机网络的应用向深度和广度不断发展，企业上网、政 府上网、网上学校、网上购物一个网络化社会的雏形已经展现在我们面前。在网络 给人们带来巨大便利的同时，也带来了一些不容忽视的问题，网络信息的安全问题就是 其中之一。 一方面随着电子商务、电子政务的迅猛发展，大量的电子交易和电子审核在网络上 进行，对信息安全的考虑和要求变得日益突出；另一方面，人们在面对丰富的网络信息 的同时也面临着隐私保护和信息选择的问题：怎样才能获取自己所真正需要的信息以及 如何保护自己的信息也是一个日益收到重视的课题；再者随着网络的日渐普及，大量的 垃圾信息和有害信息也充斥着网络空间，出于国家安全和信息保护的目的，迫切需要可 以实现第三方监控的有效手段。 出于以上三点的考虑，我们在j a m e sea n d e r s o n 于1 9 7 2 年提出的引用监控机石文 昌，2 0 0 1 】( r e f e r e n c em o n i t o r ) 【a n d e r s o n ，1 9 7 2 】的基础上，提出了安全信息服务模型。 该模型是对安全内核的一个概念上的有效扩展，将操作系统级别的安全扩展到网络信息 领域，不仅是信息提供者和信息消费者之间连接的桥梁，也提供了安全有效的阻隔手段， 还是信息监控的利器，必将成为网络信息服务的一种新形式。更重要的是消费者可以根 据需要定制访问策略，通过自动机的形式筛选出自己所真正需要的，可以大幅度提高效 率和信息的有效利用率。 1 2 信息安全理论 计算机安全有许多特性，在这里我们仅局限于信息安全这个领域。信息安全 ( i n f o r m a t i o ns e c u r i t y ) 最早是在欧共体的一篇文档【i t s e1 9 9 1 】中提出的，该文档定 义的信息安全包含如下内容： 保密性( c o n f i d e n t i a l i t y ) ：防止信息的非授权获取； 完整性( i n t e g r i t y ) ：防止信息的非授权修改； 可用性( a v a i l a b i l i t y ) ：防止信息或资源的非授权占有，保障授权者的访问。 安全信息服务模型的研究与实现 综合起来说就是要保障电子信息的有效性。保密性就是对抗对手的被动攻击，保 证信息不泄漏给未经授权的主体：完整性就是对抗对手主动攻击，防止信息被未经授权 的篡改：可用性就是保证信息及信息系统确实为授权使用者所用。 安全的目的是要保护一个系统不会受到未经授权的访问以及系统正常工作不会被非 法干预，具体说应该满足以下的特征和条件： 1 保密性( c o n f i d e n t i a l i t y ) 保密性是指计算机系统的资源应该仅能由授权团体读取，这里的“读取”包括读、 执行、打印或仅只知道该资源实体的存在。对信息服务系统来说，它意味着所提供的服 务应满足： 用户会话信息不会被其它人截获及读取，没有人能够通过拦截或者监听会话数据 获得确定的用户信息以及数据： 如果可能，应确保用户的匿名性，使会话不会被追踪，任何人无法利用“发生会 话”这样一个事实本身来达到其他目的。 实现保密性的最主要的手段之一是数据加密，包括数据本身的加密和传输加密。 2 完整性( i n t e g r i t y ) 完整性指资源只能由授权实体修改，这里“修改”包括写、改变、删除等。一方面 是指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等，另一方面是指信息处 理的方法的正确性。不正当的操作，如误删除文件，有可能造成重要文件的丢失。完整 性包括数据的完整性和系统的完整性两个部分。 系统的完整性要求提供的服务应满足： 消息完整性，指通信过程中接收到的消息确实是实际发送的消息，不可能在传输 过程中被篡改，也不可能是一条被伪造的消息； 保证完整性的关键技术是数字签名和身份认证技术。身份认证( a u t h e n t i c a t i o n ) ：通信 的双方应能确定对方的身份，知道对方确实是他所自称的那一位。在这里，确定的意思 并不完全意味着确实知道对方的身份，因为有时由于交易匿名性的需要，不能确知对方 的准确身份，但应能做到知道自己是在与一个可靠的对象通信，不用担心交易会使自己 蒙受损失。 3 可用性( a v a i l a b i l i t y ) 可用性是指信息及相关的信息资产在授权人需要的时候，可以立即获得。一旦用户 得到访问某一资源的权限，该资源就应该能够随时为他使用，而不应该将其保护起来使 用户的合法权益受到损害。如通信线路中断故障会造成信息在一段时间内不可用，影响 正常的运作，这就是信息可用性的破坏。 不同类型的信息及相应资产的信息安全在保密性、完整性及可用性方面关注点不同， 如专有技术、市场营销计划等商业秘密对组织来讲保守机密尤其重要；而对于工业自动 2 第一章引言 控制系统，控制信息的完整性相对其保密性要重要的多。 近年来对于信息安全的内容提出了一些有效的扩展，随着信息安全管理指南 i s 0 1 3 3 3 5 标准的制定和逐步完善( 现已有五个部分) ，对于信息安全的理解也越来越清 晰。这个标准的主要目的就是要给出如何有效地实施i t 安全管理的建议和指南，用户 完全可以参照这个完整的标准制订出自己的安全管理计划和实施步骤。在i s 0 1 3 3 3 5 一l 中就定义了i t 安全六个方面的含义 i s o1 3 3 3 5 1 ： 保密性( c o n f i d e n t i a l i t y ) ：确保信息不被非授权的个人、实体或者过程获得和访 问； 完整性( i n t e g r i t y ) ：包含数据完整性的内涵，即保证数据不被非法的改动和销 毁，同样还包含系统完整性的内涵，即保证系统以无害的方式按照预定的功能 运行，不受有意的或者意外的非法操作所破坏； 可用性( a v a i l a b i l i t y ) ：保证授权实体在需要的时候可以正常的访问和使用系统； 可审查性( a c c o u n t a b i l i t y ) ：确保一个实体的访问动作可以被唯一的区别、跟踪 和记录，对系统内所发生的与安全有关的事件均有记录备查： 确实性( a u t h e n t i c i t y ) ：确认和识别一个主体或资源就是其所声称的，被认证的 可以是用户、进程、系统和信息等： 可靠性( r e l i a b i l i t y ) ：保证预期的行为和结果的一致性。 可以看出i s 0 1 3 3 3 5 1 对实际工作有很重要的指导意义，在i s 0 1 3 3 3 5 4 中就针对6 个方面的安全需求分别列出了一系列的防护措施，对安全的6 个要点的阐述是对传统的 3 个要点的更细致的定义。i s 0 1 3 3 3 5 和b s 7 7 9 9 ( i s 0 1 7 7 9 9 ) 比较起来对安全管理的过 程描述得更加细致，而且有多种角度的模型和阐述。i s 0 1 3 3 3 5 有几个方面比较突出： 第一，对安全的概念和模型的描述非常独特，具有很大的借鉴意义。在全面考虑安 全问题，进行安全教育，普及安全理念的时候，完全可以将其中的多种概念和模型结合 起来。 第二，对安全管理过程的描述非常细致，而且完全可操作。作为一个企业的信息安 全主管机关，完全可以参照这个完整的过程规划自己的管理计划和实施步骤。 第三，对安全管理过程中的最关键环节风险分析和管理有非常细致的描述。包括基 线方法、非形式化方法、详细分析方法和综合分析方法等风险分析方法学的阐述，对风 险分析过程细节的描述都很有参考价值。 第四，在标准的第四部分，有比较完整的针对6 种安全需求的防护措施的介绍。将 实际构建一个信息安全管理框架和防护体系的工作变成了一个搭积木的过程。 第五，这个标准是一个正在开发的标准，还在不断的增加和改进中。 所以我们以后的工作大部分将参照这个标准进行。 安全信息服务模型的研究与实现 1 3 论文的安排 本章我们大致介绍了安全信息服务模型提出的背景和相关基础。在第二章我们将会 专门介绍引用监控机模型，第三章将对安全信息服务模型的设计进行详细的说明，第四 章描述已经实现的具体系统黑盒系统，最后第五章将总结并说明今后进一步的工 作。 4 第二章通用安全模型的研究 第二章通用安全模型的研究 使用计算机科学理论的一些技术，我们可以在一个特殊的计算机系统的上下文中定 义保密性和完整性。作为一个结论，我们说保密性和完整性都是可计算的。这个结论是 非常有用的，因为它使得我们可以明确的知道一个特殊的计算机系统是否具有保密性和 完整性【b r i n k l e ya n ds c h e l l ，1 9 9 5 1 。然而，确定一个系统是否具有可用性却是不可计算 的，这是因为确定出影响一个特定计算机系统中的可用性的所有因素是不可能的 【h a r r1 9 7 6 。 因此可以得到如下的结论：我们可以用较高的水准来保证保密性和完整性，但不能 在同一水平上保证一个特定系统的可用性。 要表明计算机系统如何维护保密性和完整性，就需要了解安全模型的基础。如图2 1 所示：在模型的最底层是实体，实体被进步划分为主体和对象。在这个安全模型中， 定义了主体、对象还有主体访问对象的能力。在不同情况下，同一个实体既可以是主体 也可以是对象。如果某个程序正在读文件，那么这个程序就是主体；如果有用户终止该 程序，这时，这个程序就成为了对象。在操作系统中，我们定义的主体对对象的访问类 型只有读和写，其他的所有的访问均可简化成这两种方式。 图2 1 引用监控机 这样，利用该模型，就可以通过主体、对象和访问权限来定义系统的安全性了。 安全信息服务模型的研究与实现 2 1 引用监控机( t h e r e f e r e n c e m o n i t o r ) 1 9 7 2 年，作为承担美国空军的一项计算机安全规划研究任务的研究成果，j a m e sp a n d e r s o n 在一份研究报告中提出了引用监控机( r e f e r e n c em o n i t o r ) 、引用验证机制 ( r e f e r e n c ev a l i d a t i o nm e c h a n i s m ) 、安全内核( s e c u r i t y k e r n e l ) 和安全建模( s e c u r i t y m o d e l i n g ) 等重要思想。这些思想是在研究系统资源受控共享( c o n t r o l l e ds h a r i n g ) 问 题的背景下产生的【石文昌，2 0 0 2 1 。 将授权机制和能够对程序的运行加以控制的系统环境结合在一起，就可以对受控共 享提供支持，授权机制负责确定用户( 程序) 对系统资源( 数据、程序、设备等) 的引 用许可权，程序运行控制负责把用户程序对资源的引用控制在授权的范围之内。这一思 想可以形象地表示为图2 2 的形式。 图2 2 系统资源的受控共享 引用监控机思想是为了解决用户程序运行中的控制问题而引入的，其耳的是在用户 ( 程序) 与系统资源之间实施一种授权的访问关系。j p a n d e r s o n 把引用监控机的职能 定义为：以主体( 用户等) 所获得的引用权限为基准，验证程序运行中( 对程序、数据、 设备等) 的所有引用。对应到图2 - 2 ，引用监控机是在“程序运行控制”的位置上发挥 作用的。 引用监控机是一个抽象的概念，提出引用监控机的目的就是控制由主体发出的访问 对象的请求。 它有两个主要的功能： 首先，它提供引用功能。这个功能用来评价由主体发出的请求。每一次主体的 访问都要由引用监控机来计算和评价。引用监控机使用授权数据库来决定是否 接受或拒绝收到的请求。 其次，引用监控机的第二个功能是授权功能，用来控制对授权数据库的改变。 引用监控机应满足三个条件： 首先，它必须是独立的，它应该能防干扰： 6 第二章通用安全模型的研究 其次，主体对对象的访问，引用监控机都必须完全响应： 最后，要有方法来验证引用监控机。 引用监控机所表述的是一种思想。j p a n d e r s o n 把引用监控机的具体实现称为引用 验证机制，它是实现引用监控机思想的硬件和软件的组合。引用验证机制需要同时满足 以下三个原则： 必须具有自我保护能力： 必须总是处于活跃状态； 必须设计得足够小，以利于分析和测试。从而能够证明它的实现是正确的， 第一个原则保证引用验证机制即使受到攻击也能保持自身的完整性；第二个原则保 证程序对资源的所有引用都得到引用验证机制的仲裁；第三个原则保证引用验证机制的 实现是正确的和符合要求的。 在受控共享和引用监控机思想的基础上，j pa n d e r s o n 定义了安全内核的概念。安 全内核是操作系统中与安全性的实现有关的部分，包括引用验证机制、访问控制机制、 授权( a u t h o r i z a t i o n ) 机制和授权的管理机制等部分。 j p a n d e r s o n 指出，要开发安全系统，首先必须建立系统的安全模型。安全模型给 出安全系统的形式化定义，正确地综合影响系统的各类因素。这些因素包括：系统的使 用方式、使用环境类型、授权的定义、共享的客体( 系统资源) 、共享的类型和受控共 享思想等。这些因素应构成安全系统的形式化抽象描述，使得系统可以被证明是完整的、 反映真实环境的、逻辑上能够实现程序的受控执行的。完成安全系统的建模之后，再进 行安全内核的设计与实现。 引用监控机实现被称为安全内核。在安全内核的基础上，还需要有识别主体和对象 身份的方法以及一个授权数据库来控制对对象的访问。要知道引用监控机是否正常工 作，还需要审记数据来跟踪引用监控机的活动。 这样，安全模型除了引用监控机以外，还加上了三个增强部件：身份识别和认证、 授权和访问控制、审计，带有这三个部件的安全模型就可以定义适应完整的安全策略了。 下面对这三个部件进行说明： 2 2 标识和认证( i d e n t i f i c a s o na n da u t h e n t i c a t i o n ) 我们简单的定义标识b r i n l d e y a n d s c h e l l ，1 9 9 5 1 ： 一个安全的计算机系统应该将主体和单个用户的标识结合起来，并能根据这个标识 来给该用户授权和记录相应的日恚。 有了这个标记，我们就能够知道知道在安全事件发生的时候，是哪个用户同该事件 有关。现在，我们关心的是“如何来保证这个标识是真实的呢? ”，其实，这正是认证 所要做的事情。 安全信息服务模型的研究与实现 在讨论认证的时候，我们关心的是如何给系统提供一个标准去判断用户的身份。例 如，认证通常是通过密码体系来实现的。认证通常基于你知道的东西，你有的东西和你 本人。 你知道的东西( s o m e t h i n gy o uk n o w ) ：典型的例子是口令，它是能写或说出来 的值。有许多办法可以获得这个值，它可以是分配给你的，也可以是用户自己 找到的。如果忘记了这个值，就不能访问该系统。 你有的东西( s o m e t h i n g y o u h a v e ) ：典型的例子包括钥匙、智能卡或是其他的一 些设备。它的特点是难于复制，并要求与系统同步( 这里的系统不一定是要访 问的系统，如第三方的认证体系等) 。 你自己( s o m e t h i n gy o ua r e ) ：典型的例子是指纹、声音等。这些是独无二的 能标识你自己的东西。 标识和认证并不仅限于用户登陆事件中。当两个计算机要通过网络进行通讯时，特 定的认证过程就发生了，有时仅是用它们来简单的交换它们的网址。t c p i p 在大多数应 用程序中就采用了这种基于地址的授权方式。采用这种方式是很不安全的，有许多的黑 客程序就是利用这点来欺骗计算机。现在，利用密码学的机制可以加强这种认证的安全 性，如s s h 就利用公钥和密钥体系来达到安全认证的目的。 在同一计算机或不同的计算机上运行的相互独立的程序经常需要识别和认证。在分 布式计算环境( d i s t r i b u t e c i c o m p u t i n ge n v i r o n m e n t ，d c e ) 中，就使用了基于密码学的 认证技术，每个程序都可以访问一个密钥，这个密钥可以用来区别其它程序而唯一验证 此程序。 某些认证模型需要一个可信第三方的参与。在这种情况下，两个实体不需要彼此信 任，而应当同时相信某个普通的第三方，这个第三方用来验证这两方中的每一方。在 c a 的验证程序中就使用了这样的技术。 安全系统中的识别和认证是很重要的。每个实体必须能够被唯一的标识出来。也就 是说，识别和认证系统的软件和硬件的整体性得到了保证。用来管理识别和认证信息的 任何机制必须满足引用监控机的要求。换句话说，识别和认证体系的软件和硬件都必须 是完整的、可验证的和独立的。为什么需要这样昵? 原因很简单，如果识别和认证过程 被破坏或欺骗，那么引用监控机就不能保证整个系统的安全性。 2 3 访问控制( a c c e s sc o n t r 0 1 ) 如上所述，安全模型包括主体、对象、识别和认证的子系统和控制实体问访问的引 用监控机，并为确定主体发出的访问请求引入了引用监控机使用的授权数据库。在这部 分中，我们向安全模型中的其它部件加入了访问机制。访问控制机制被进一步分为自主 访问控制和强制访问控制【b d n k l e y a n d s c h e l l ，1 9 9 5 ： 第二章通用安全模型的研究 1 自主访问控制( d i s c r e t i o n a r y a c c e s sc o n t r o l ，d a c ) 自主访问控制是最常见的类型，某个主体显式地指定其他主体对该主体所拥有的信 息资源是否可以访问以及是否可以执行。在基于d a c 的系统中如u n i x ，对象的拥有 者负责设置访问权限。伴随着许多操作系统的副作用就是一个或多个特权用户可以改变 主体的控制权限。 2 强制访问控制( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) 强制访问控制使用系统本身来规定访问权限、强加给访问主体，即系统强制主体服 从访问控制政策，而不是根据主体的拥有者来控制访问权限。对象的拥有者甚至在系统 中没有对其它主体进行分配的能力，系统是根据主体和对象的分类来控制访问权限的。 3 基于角色的访问控制( r o l e b a s e d a c c e s sc o n t r o l ，砌j a c ) 在d a c 和m a c 的基础之上，随后提出了基于角色的访问控制的概念，在此模型中， “角色”是指一个或者一群用户在组织内可执行的操作的集合，系统通过角色来沟通主 体和对象。对于前两种类型，虽然能够达到访问控制的目的，但是对它们的管理非常困 难。基于角色的访问控制由于用角色来连接主体和对象，简化了对象本身的管理复杂性。 但同时基于角色的传统访问控制模型还存在以下缺陷： 把用户认证和权限检查分开处理，容易形成效率低下的数据访问： 隐含了无条件有权，忽略了运行时语境对权力的制约； 安全管理通常应包括授权、验证、监控和审计，传统模型着重于角色授权，能 够较好地处理授权和验证。然而，对于监控和审计这些基于会话期的活动，传 统模型没有提出好的解决方案： 没有考虑到分布式环境下在运行期间用户权限的动态变化，给安全管理带来了 困难。 访问控制是安全策略中重要的部件之一。当为了知道访问控制是否运用得当，你还 需要监视和审记对系统的有关安全的操作。 2 4 审记( a u d i t ) 安全审计是安全策略中另外一个重要的部件。审计是一个被信任的机制，是一种维 护过程，详细记录谁对谁做了什么，以便于当侵犯发生时确定侵犯是如何完成的、什么 信息遭到了破坏。一个好的审计系统不仅能记录尽可能详细的信息，也应该提供工具帮 助用户浏览审计信息。安全审计的另一个重要的方面就是配置审计。在大多数计算机系 统中，通常都有系统配置文件控制系统操作，甚至控制系统的安全。一个配置审计系统 将检查所有这些文件以确保当前的配置是安全的，并且与预定的配置一致( 配置文件应 妥善存放，使入侵者不可能修改) 。 引用监控机也使用审计将它的活动记录下来。引用监控机记录的信息包括主体和对 9 安争信息服务模型的研究与实现 象的标识、访问权限请求、日期和时间、引用请求的结果( 成功或失败) 。审计记录应 以一种可信的方式存储。 大多数的操作系统都提供至少能记录被用户访问的每个文件的审计子系统。操作系 统会记录在它之上的各个主体和对象之间发生的访问记录和结果，如：运行程序，增加 用户，远程登陆等等。 只有通过积极的审计系统，才可能知道设置的安全策略是否正确开始并被使用。如 果通过对审计记录的分析从而得到当前系统的安全状况，这样就进一步的增强了审计的 作用。 2 5 总结 本章描述了一个经典的安全模型，它包括如下几个部分： 主体和对象 描述主体如何访问对象的一个授权数据库 约束主体对对象访问尝试的引用监控机 识别和验证主体和对象的认证子系统 审计引用监控机活动的信任子系统 对于一个确定的计算机系统，要评判它的安全性，可以根据以上的安全模型来判断 它满足了哪一点。而对于一个网络服务系统来说，严格的按照该模型进行设计可以很好 的提升安全性，但是需要考虑的问题会更多。 o 第三章安全信息服务模型的研究 第三章安全信息服务模型的研究 从上一章的内容可以看出，通用安全模型主要是针对安全o s 的，但是对于网络应 用特别是c s 结构的服务也是适用的。只要把主体和对象的含义扩展一些就可以发现： 这也就是本章将要提出的安全信息服务模型。由于吸取了通用安全模型的优点，特别是 它针对o s 级别的安全策略，可以实现相当高安全级别的网络信息服务体系。另一方面， 我们将主体对对象的访问再次简化为“读取”，要指出的是按照特定策略的读取。完整 的说，就是根据用户制定的策略来获取相应的信息并最终回传给用户。模型逻辑示意图 如下所示： ，一一一策：略 一一l 圈围困 i 一一一一一一j 图3 1 安全信息服务模型逻辑图 3 1 安全信息服务模型提出的背景 对于信息提供者和信息消费者来说，如何做到安全、有效的访问一直是一项非常重 要的课题。对于原有的c s 网络模型来说，虽然可以很好的保证安全性，但是对于用户 的隐私保护则考虑的相对较少，而且一旦服务器方出现任何的问题，如被黑客攻陷或者 内部服务系统崩溃，则立即表现为不能继续有效的为用户服务，并且还可能带来大量用 户信息的泄漏；其后出现的p 2 p 结构虽然在某种程度上考虑了安全与隐私的问题，但是 由于其网络拓扑结构极其复杂，身份认证和授权机制以及访问控制的实现受到很多因素 的制约而不能完全的实现，信任关系很难真正的建立，并且很可能由于某一节点的退出 而导致整个网络被划分成子网状态，使得信息不能有效的发布。还有一点就是这两种服 务体系都没有考虑到垃圾信息过滤或者有效信息筛选的问题，消费者在面对大量资源的 同时也可能淹没在信息选择的过程中，虽然现在的搜索引擎可以起到一定的助益，但是 由于其针对性不强，起到的效果也是有限的。 综合以上的考虑，我们提出了安全信息服务模型的概念。该模型是在通用安全模型 安全信息服务模型的研究与实现 基础之上的一个有效扩展，并且综合了c s 和p 2 p 结构的优点，在信息消费者和信息提 供者之间架起了一座有益的桥梁，很好的起到了一个信息媒介的作用。 由于本模型的使用使得原来的双方关系变成了复杂的三方关系( 在某种情况下可能 成为双方关系) ，相互之间的信任关系成为一个根本的决定因素。随着它的应用场景的 不同需要考虑的安全因素和实现特点也各不相同，这在随后的章节中会做专门的论述。 3 2 安全信息服务模型的设计思想 安全信息服务模型的核心设计思想就是根据用户( 可以是个人、组或者一个部门) 制定的访问策略自动获取相应的信息然后将筛选后的结果回送给用户，并且根据它对信 息实际操作的反馈( 或者评分) 进行相应的策略调整。根据模型逻辑设计图定义其布置 方案如下图所示： ：厂： i 控管服务器l ： 一、策略； 匝 蛾潦咂 匝亚 卜j _ 回 固 一j ! l 圆圈匦i l l j 图3 2 安全信息服务模型的布置方案 结合安全实现角度的考虑，可以发现安全信息服务模型的设计主要针对以下的一些 问题： 为了保证主体之间的相互独立( 数据保密性) ，主体与黑盒逻辑上要一一对应： 身份认证的可信性以及有效性； 授权主要针对两项内容： 一用户制定的访问策略 一信息内容本身 访问控制及授权策略的统一： 审计信息的可信记录及审阅方式 _ 对于审计信息的查询需要特殊的方式来保证安全性( 双方或多方到场) 由于面对很多的用户，为了避免信息的重复采集，需要完善的访问策略集成以 及应用体系，并且为了保证用户之间的相互独立，在可以根据策略迅速确定主 1 2 第三章安全信息服务模型的研究 体的同时要保证策略的保密性； 本模型的实现需要一个较大的本地信息缓存，所以对于缓冲区的调度和管理也 是一个重要的问题。 综上所述，可以将安全信息服务模型的功能模块划分为如下所示： 图3 3 安全信息服务模型逻辑模块构成图 考虑到安全和可靠性的要求，通讯协议的设计和实现需要有完善和自主的通讯规范， 可以基于t c p i p 协议实现自主的加密传输，也可以直接基于o p e n s s l 提供的l i b 库函 数【o p e n s s l 】实现基于s s l 协议( s e c u r i t y s o c k e tl a y e r ) 【s s l 1 9 9 6 】的安全加密传输。 具体的方案要结合具体的环境和需求来制定，因为考虑到s s l 中已经结合了c a 身份认 证，所以在实际应用中可能会有更好的效果。 对于控制和管理模块，更多的是要保证系统的完整性和有效性，进行有效的调度和 管理，还要完整的记录系统运行日志和提供监控界面以随时监控系统运行状态。 其他模块的技术要求和实现方法将在下面的章节中详细的说明和介绍。 3 3 安全信息服务模型的主要特点 结合已经说明的设计思想、布置方案和模块划分，安全信息服务模型主要具有以下 的一些特点： 分布式环境下信任机制的建立( 认证和访问控制) 部分信任环境一相互的监督和协作关系下操作可信性的审核( 审计) 安全监控与隐私保护兼而有之( 监控手段和访问策略的保护) 两种非常有效的扩展 - 信息推送模型：实现更强的信息过滤和监控 一信息获取模型：更多的考虑实时性能 安全信息服务模型的研究与实现 3 3 安全信息服务模型的典型应用场景 f 是由于安全信息服务模型具有上节所述的多种特点，使得可以在很多的场景下应 用，适应各种复杂的网络环境。 3 3 1 企业内部信息发布平台一信息编报系统 就企业内部信息编报系统而言，可以将本模型和信息提供者作为一个整体考虑。使 用本系统不仅可以实现有效的授权访问和信息的及时发布( 重要信息优先处理) ，而且 可以突出“编报”的特点，将企业内部发布的所有信息综合整理成为一种信息简报的形 式，可以简单的代替秘书的工作( 当然这只是一个应用前景，真正的实现需要考虑更多 人工智能方面的问题) 。而在企业内部，通常采用的是局域网结构，使得信息的发布和 获取很难做到完全的安全和隐私保护( 数据明文传输和服务器的非加密审计记录) 。所 以本模型的使用将有效的避免这个问题。 3 3 2 主动信息采集系统一新闻采集器 随着i n t e m e t 的发展，越来越多的人们已经习惯了每天上网看一些自己感兴趣的新 闻( 时事、体育、科技类等等) ，但是经常面对的一个问题就是由于网站的服务需要面 对众多的用户，所以头版新闻的内容往往非常多。由于现在的网络带宽有限，使得新闻 传输的时间和浏览的时间不成比例，必须要在页面全部传输完成之后才可能知道有没有 真正自己所需要的信息。面对这个需要现在也已经有了成熟的新闻采集系统。由于大部 分的系统没有考虑完善的安全因素，在这一点上，我们的安全信息服务模型具有很大的 优势。并且由于安全信息服务模型具有访问策略的集成和统一处理功能，在面对企业级 用户的时候在网络信息采集上就更加有优势了，因为可以有效的避免重复采集。 i n t e m e t 上的信息资源是非常丰富的，不仅仅是新闻而己，但是目前针对这一广泛应 用还没有可以直接采用的系统，有的只是搜索引擎，简单的根据关键词筛选。而我们提 出的信息服务模型不仅可以实现复杂的信息过滤，还可以有效的实现信息的规范化和根 据特定用户进行访问策略的优化处理，更加有效的发挥作用。 3 3 3 实时信息过滤系统( 和l v s 结合) 一信息网关 l v s ( l i n u x v i r t u a ls e r v e r ) l v s ，2 0 0 0 1 以及集群c a c h e 系统一般是作为大型c a c h e 系统的首选，由于其在单一接入处需要设置负载均衡和实时性的要求使得该系统很难做 到复杂条件的信息过滤和监控。将安全信息服务模型设置为信息网关只需要将用户的访 问策略定义为当时生效的u r l 地址即可，由于黑盒和用户的一一对应关系，所以可以 依靠不同黑盒的处理能力提升信息的扫描以及过滤功能，并且可以方便的实现信息监 控。而我们多点采集和多c a c h e 缓存的管理和调度则可以借鉴其有效经验，起到事半功 倍的效果。 1 4 第三章安全信息服务模型的研究 3 3 4 小型信息监控系统( 强调访问控制和内容过滤) 家庭上网监控系统 网吧监控系统 网络信息的极大丰富也带来了另一个问题，那就是黄色以及暴力、恐怖信息的大量 涌现，虽然很多这种网站都提示对用户年龄进行了限制，但是对于广大的家长来说，还 是不可避免的要担心自己的孩子会受到污染和侵害，所以小型的信息监控系统是必须、 也是必要的。而将安全信息服务模型的总体功能结合在一个小型本地代理系统中就完全 可以胜任这个工作。作为本地小型代理系统，所需要的就是迅捷的处理能力和尽量少于 扰用户的使用，使用本系统可以方便的通过授权来设置访问控制权限，并且可以在用户 访问控制上实现基于内容的信息过滤，由于加密算法的采用，使得用户无法直接在本地 c a c h e 中找到非法内容，而且详尽、可靠的审核记录也做到有据可查。 对网吧监控系统而言，安全信息服务模型豹优势还在于和用户之间的加密数据传输， 这使得网络内部的监听失效，其他的用户将不能根据截获的网络传输数据获得任何有效 的信息，从而避免了用户信息的任何损失。而且审计记录需要多方到场才可以查询的机 制使得网吧管理员单方面的获取用户信息也是不可能的，这些信息的记录还使得国家对 传播、发布非法信息的网吧进行监控成为可能。 3 3 5 证券交易监控系统 在现有的网络证券交易系统中，对如何保护用户权益考虑的已经比较完善了。但是 由于信任关系的不确定性，使得为了保护用户的匿名性和交易信息的保密性，在审计信 息的记录上就需要特别的处理，两安全信息照务模型则正好满足了这个需要。用户之间 的独立性保证交易的不可追踪和用户的匿名；审计信息的加密记录以及双方到场的特殊 查询机制保证了用户交易的确实、可靠，避免了双方医此两可能产生的扯皮和矛盾。 3 3 6 小结 从以上的说明可以看出，正是由于安全信息服务模型的多样性和易扩展性，