（计算机软件与理论专业论文）bs系统中应用公钥证书的技术研究.pdf

山东大学硕士学位论文 摘要 伴随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化 发展的大趋势。企业内部网是企业信息化的重要组成部分，其安全性也受到越来 越多的重视。p k i 即公钥基础设施，定义了公钥证书，可以从技术上解决网上身份 认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。但公 钥证书只提供身份证明，对持有证书的用户的权限管理只提供了有限的功能。p m i 即权限管理基础设施，定义了属性证书，提供了一种解决授权、基于角色的控制 以及授权代理等应用需求的有效途径，可以用来实现权限和属性证书的产生、管 理、存储、分发和撤销等功能。p k i 和p m i 的结合，提供了身份认证、通信安全( 信 息加密，信息完整性，抗抵赖性等) 、权限管理的完整解决方案，对于行业或大型 组织的应用具有良好的支持。 使用公钥证书认证身份的应用越来越广，在中小型组织基于b s 的应用中， 如果同时布署p k i 和p m i ，代价太大。由于此类应用的权限管理并不复杂，可以 直接将授权信息放在公钥证书的扩展项中而省略p m i 。同样可以做到对用户进行 身份认证，及取得用户的授权信息，配以访问控制机制，控制对资源的合理访问。 主要包括以下方面： 使用p k i 体系认证用户身份。用户使用公钥证书证明身份，c a 向用户颁发扩 展选项中含有角色定义的证书，以角色表达用户的权限。 策略中心。对需要控制的资源制定合理的访问控制策略。策略表达式以x m l 节点形式存储。资源，角色和方法组成的三元组为x m l 文件的一个节点。r b a c 中的角色概念充当了用户和访问权限之间的桥梁，通过对角色的授权来控制用户 对系统资源的访问权限。 集中的访问控制机制。访问控制中间件获取用户对受控资源的每个请求，并 根据用户身份信息及角色和访问控制策略表达式，判断对请求资源有无访问权。 任何一个访问资源的请求都要经过该访问控制机制。 p k i 安全支撑平台可以在组织内部部署，也可以在外部实现，由多个组织共用 一个根c a 是可行的。两种部署方式下，或者根据各组织不同的实际需要，p k i 体系所包含的模块功能有所不同。 本方案对小型应用中的身份认证和权限管理普遍适用，并提出了一个通用的 模型，依据该模型实现了基fb s 的具体应用。 。 关键词公钥证书：公钥基础设施；身份认证；访问控制 山东大学硕士学位论文 a b s t r a c t i nt o d a y se n t e r p r i s ei n f o r m a t i o ns y s t e m ，a l lc o m p u t e r sa r ec o n n e c t e dw i t he a c h o t h e r p u b l i ck e yi n f r a s t r u c t u r e ( p z d ) ，d e f i n e sp u b t i ck e yc e r t i f i c a t et h r o u 【曲w h i c ht h e s e c u r i t yp r o b l e m so fa u t h e n t i c a t i o n , c o n f i d e n t i a l i t y , i n t e g r i t ya n dn o n - r e p u d i a t i o nc a n b es o l v e d ，t h u sn e t w o r ka p p l i c a t i o n sc a na c h i e v es e c u r i t ya s s u r a n c e h o w e v e r , p u b l i c k e yc e r t i f i c a t e c a nn o tf u n c t i o ns om u c ha sw h a tp e o p l eh o p e p m i ( p r i v i l e g e m a n a g e m e n ti n f r a s t r u c t u r e ) w h i c hd e f i n e sa t t r i b u t ec e g i f i c a t ep r o v i d e sas o l u t i o nt o s p e c i f i ca p p l i c a t i o n sa s s o c i a t i n gw i mp r i v i l e g ea u t h o r i z a t i o n ，r o l eb a s e da c c e s sc o n t r o l ， a n dp r i v i l e g ed e l e g a t i o na n de t c i nt h ef r a m e w o r ko fp m i ，p r i v i l e g ei n c l u d e di n a t t r i b u t ec e r t i f i c a t ec a nb ec r e a t e d , d i s t r i b u t e d , s t o r e d ，m a n a g e d ，a n dr e v o k e d t h e c o m b i n a t i o no fp k ia n dp m ip r o v i d e sap e r f e c ts o l u t i o nt oa u t h e n t i c a t i o n , c o m m u n i c a t i o ns e c u r i t y ( s u c ha si n f o r m a t i o nc o n f i d e n t i a l i t y , i n f o r m a t i o ni n t e g r i t y , n o n - r e p u d i a t i o n ) a n dp r i v i l e g em a n a g e m e n t i ti sab e s ts u p p o r tt oi n d u s t r ya p p l i c a t i o n s o r l a r g eo r g a n i z a t i o n s a p p l i c a t i o n s c o n s i d e r i n gr u n n i n g c o s t sa n ds e c u r i t y r e q u i r e m e n t s ，t h ed e p l o y m e n to f p k ia n dp m ii sw o r t h i t b e c a u s eo f p u b l i ck e yc e r t i f i c a t ep r o v i d i n gs t r o n gp r o o f o f au s e fi sw h oh ec l a i m s t ob e i tb e c o m e sat r e n do fa u t h e n t i c a t i o n b u ti ns m a l lo r g a n i z a t i o n sb sb a s e d a p p l i c a t i o n s ，i ti sn o ts u i t a b l ef o rd e p l o y i n gp k ia n dp m ia c c o r d i n gt oi t sl a r g ec o s t s s i n c et h ep r i v i l e g em a n a g e m e n ti ns u c ha p p l i c a t i o n si sn o tc o m p l i c a t e d ，p m ic a nb e s u b s t i t u t e db yp u t t i n gh o l d e r sp r i v i l e g ea t t r i b u t ei n t ot h ee x t e n s i o n so fp u b l i ck e y c e r t i f i c a t e b yu s i n gs u c hac e r t i f i c a t ei n c l u d i n gp r i v i l e g ee x t e n s i o n s ，w ec a no b m i n a u t h e n t i c a t i o n , i n f o r m a t i o ne n c r y p t i o n ，a n dg e tt h eh o l d e r sp a r t i c u l a rp r i v i l e g eu s i n g w h i c h , a c c o r d i n gt ot h ea c c e s sc o n t r o lm e c h a n i s m ，t oa c h i e v er e a s o n a b l ea c c e s so v e r r e s o u r c e s am o d e lo fu s i n gs u c hm e c h a n i s mi ns u c ha p p l i c a t i o n si sp r o v i d e dw h i c h c o n t a i n sa u t h e n t i c a t i o n ，p o l i c yc e n t e ra n da c c e s sc o n t r o lm e c h a n i s m u s e r sa r ei d e n t i f i e db yp u b l i ck e yc e r t i f i c a t e p o l i c yc e n t e rs e t sd o w np r a c t i c a b l e a c c e s sc o n t r o lp o l i c i e so fr e s o u r c e sw h i c hm u s tb ei nc o n t r 0 1 a c c e s sc o n t r o l m e c h a n i s mo b t a i n su s e r sr e q u e s t ，a n dd e c i d e sw h e t h e rt h er e q u i r e dr e s o u r c ec a l lb e a c c e s s e do rn o tb yt h eu s e ra c c o r d i n gt ot h ep r i v i l e g ec o n t a i n e di np u b l i c ，k e yc e r t i f i c a t e a n da c c e s sc o n t r o lp o l i c i e s 1 1 1 i sm o d e la n di t si m p l e m e n t e dm e c h a n i s ma r eu n i v e r s a la p p l i c a b l e a n dh a sg r e a t s i g n i f i c a n c ei na p p l i c a t i o n so fs u c he n v i r o n m e n tr e q u i r i n ga u t h e n t i c a t i o na n ds i m p l e i v 山东大学硕士学位论文 p r i v i l e g em a n a g e m e n t k e y w o r d sp u b h ck e yc e r t i f i c a t e ；p u b h ck e y i n f r a s t r u c t u r e ；a u t h e n t i c a t i o n ；a c c e s s c o n t r o l v 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人 承担。 论文作者签名：塞 建日期： b 帅石厶 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保 留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本 学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名： 建：遭导师签名： 日期：竺竺：垒 山东大学硕士学位论文 1 1 课题背景 第一章绪论 近年来，互联网的迅猛发展已经深刻影响到国家的政治、经济、军事、文化 等各个领域，与此同时，互联网的丌放性和安全漏洞所带来的安全风险也给其健 康发展带来了不可忽视的影响，信息化发展与信息安全保障成为一对矛盾。目前， 我国网民数和宽带上网人数均仅次子美国，位居世界第二【i 】在我国信息化战略部 署全面推进的同时，互联网的安全问题日益突出。网络与信息安全的需求引起了 极大的关注，相关技术的研究和推广应用变得尤为迫切。 企业内部网是企业信息化的重要组成部分，其安全性也越来越受到企业和研 究人员的重视。f b i 和c s i 对4 8 4 家公司调查发现：有超过8 5 的安全威胁来自 企业内部：有1 6 来自内部未授权的存取；有1 4 专利信息被窃取；有1 2 内部 人员的财务欺骗；只有5 是来自黑客的攻击【2 】上述数据中，我们可以看出面对 来自公司内部的安全威胁，必要的安全措施对企业的生存和发展都至关重要。 目前，企业内部网的应用系统广泛采用两种模式，c s 模式和b s 模式。b s 模式即b r o w s e r s e r v e r 模式，以i n t e m e t 技术为特征，以t c p i p 协议为基础，以 w e b 为核心应用，构成统一便利的信息交换平台用户通过w w w 的工具能方便 的浏览企业内部甚至i n t e m e t 上丰富的信息资源，并可将电子邮件、电子新闻、电 子表格和各种数据库应用系统集成到浏览器界面中，较好地做到了与传统应用的 结合 b s 模式的企业内部网与传统的企业管理系统相比有很多优点，它方便了企业 内部信息的交流，减少了通信联络费用，提高了工作效率和管理质量该模式的 企业内部网成为企业信息化的一个趋势，得到了快速发展。 本文试图对这种环境下的应用系统进行分析，探讨其中存在的安全威胁及不 安全因素，提出实现某些安全机制的有针对性的解决方案，并依据方案丌发出实 用的软件产品，在实际应用中检验该方案及产品的优劣之处。 1 2 信息安全的研究现状 从网络攻击的类型来看，般分为以下两类”： 系统型攻击类：从比例上来讲占到了整个攻击的3 0 ，造成损失的比例也占 山东大学硕士学位论文 到了3 0 。系统哩攻击的特点如下：它是在网络层进行的；破坏系统的可甩性， 使系统不能正常的工作：留下明显的攻击痕迹。它所对应的安全是系统安全，指 系统设备及相关设施受到物理保护，免于破坏、丢失等，主要包括硬件网络的可 靠性与生存性与信息系统的可靠性和可用性。 数据型攻击类：这种攻击占攻击总数的7 0 ，造成的损失也占7 0 。数据型 攻击的特点如下：在网络的应用层进行；面向信息，主要的目的是篡改和窃取信 息；数据型攻击有时不会留下明显的痕迹，原因是攻击者需要多次的篡改和窃取 数据；这种攻击很多是来源于内部。因为数据放在什么地方，有什么样的价值， 被篡改和窃取之后能够起到什么作用，通常情况下只有内部人知道。它所对应的 安全称为数据安全，也称为信息安全，通常是指信息在采集、加工、传递、存储 和应用等过程中的完整性、机密性、可用性、可控性和不可否认性，主要研究加 密和认证等算法。 国际上信息安全的发展经历了通信保密( c o m s e c ) 、信息安全( n n - f o s e c ) 、信 息保障( i a ) 等几个阶段。 i a t f f 4 i 是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系 的框架，它提出了信息保障时代信息基础设施的全套安全需求。i a t f 创造性的地 方在于，它首次提出了信息保障依赖于人，技术和操作来共同实现组织职能业务 运作的思想，对技术信息基础设旋的管理也离不开这三个要素。i a t f 认为，稳健 的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基 础设施的所有层面上都能得以实施。 国内学者提出w p d r r c 模型，即预警、保护、检测、反应、恢复、反击【5 1 w p d r r c 的六个环节和人、政策( 包括法律、法规、制度、管理) 和技术三大要素 来构成宏观的信息网络安全保障体系结构的框架。它可以反映六大能力，分别是： 预警能力、保护能力、检测能力、反应能力、恢复能力、反击能力。该模型如图 1 - 1 所示： 山东大学硕士学位论文 图1 - 1w p d r r c 安全模型 在国内外的安全产品方面，除了传统的防火墙和杀毒软件之外，比较成熟的 信息安全解决方案是p k i ( p u b l i ck e yl u f i a s t r u c t i l r e 卜公钥基础设施，有效地保证 了电子商务的交易安全。目i i c a 公司又推出了新的3 a 系统，将企业网络安全的 各个方面视为一个整体来保护。3 a 指管理( a d m i n i s t r a t i o n ) 、授权( a u t h o r i z a t i o n ) 和 认证( a u t h e n t i c a t i o n ) 。它超越传统的“堵漏洞”方式来帮助企业实现整体的、基于 角色的安全管理【6 】 1 3 本文研究的内容及目的 网络安全的具体含义涉及到社会生活的方方面面，从使用防火墙、防病毒、 信息加密、身份确认与授权等技术，到企业的规章制度，网络安全教育和国家的 法律政策，直至采用必要的实时监控手段、应用检查安全漏洞的仿真系统和制定 灵活有效的安全策略应变措施，加强网络安全的审计与管理等 我国行业标准【”给出了信息系统安全层面模型，企业可以结合w p d r r c 能力 模型，从人员，技术，政策几方面考虑信息安全资源管理的实施。 企业内部网作为网络应用中的主要组成部分，安全性也受到越来越多的重视。 据不完全统计，国外企业在建设内网时，投资额的1 5 是用于加强内网的网络安 全l s i 。仔细观察一下不难发现，我们的企业长期以柬都是处于“兵来将挡，水柬土 掩”的被动防御局面。究其原因，是因为国内企业看重的只是传统的基j 二网络层 面的防护系统，而忽视了对整体安全的考虑。 从技术七讲，计算机网络安全技术主要有主机安伞技术，身份认证技术，访 问控制技术，密码技术、防火墙技术、安全审计技术、入侵检测技术、安全管理 技术等。由于各个企业管理制度，人员状况，组织机构等的各小桕蚓。本文只侧 山东大学硕士学位论文 重于将身份认证、访问控制和密码等技术应用到系统中，从而提高系统的安全性。 w i n d o w s 操作系统由于其图形化设计，界面十分友好，得到广泛的应用。操 作系统自带w e b 发布程序i l s ，为企业内部网建设提供了方便实用的平台。因此， 本文就考虑w i n d o w s 环境下身份认证和访问控制的实施，以增强企业对内部信息 尤其是敏感信息的掌控能力，确保信息能被正确使用，并减少外泄的可能。 1 4 论文的组织和创新之处 本论文共分五章，其中第一章为绪论，主要介绍当前企业信息化过程中面临 的问题，国内国际上在信息安全领域研究及产品歼发的现状，并阐述了本文研究 的内容。第二章讨论了企业内部网中存在的安全威胁，并介绍了在安全方面重要 的两种服务，身份认证和访问控制。简要说明了中间件技术和x s l 技术的概况， 为下文将这些技术应用在身份认证和访问控制方案中作了准备。第三章结合前两 章讨论的内容提出了企业内部网中的信息安全解决方案，并将其具体化，给出了 设计模型及模型每一部分的详细说明。第四章根据设计模型实现了具体的产品， 并将其部署在实际应用中，给出了产品中关键部分的编程实现。第五章为总结， 对方案及产品实施中的有关情况进行了详细讨论，提出了某些方面的改进建议。 针对当前此类系统中比较薄弱的身份认证方式和分散的访问控制方法，依据 p k i 和x m l 技术，结合当前研究比较活跃的中间件思想，提出了解决此类系统中安 全隐患的方案，给出了设计模型和具体的实现，这是本文的主要创新之处。依据 模型开发的系统在实际应用中取得了良好的效果，具有一定的技术创新性。 4 山东大学硕士学位论文 第二章企业内部网中的安全问题 局域网的安全问题，在某种意义上柬说反映了几乎所有的网络安全问题f9 1 。 从技术角度看，计算机网络的不安全因素，主要存在两个方面：一方面，因 为它的所有资源可以为所有用户共享，不可避免的漏洞给不法分子以可乘之机； 另一方面，因为它的技术是开放和标准的，研制者开始并没有刻意去提高它的安 全性能。因此，计算机技术，包括网络技术，虽然已经从过去的研究阶段进入了 商品实用阶段，但是它的技术基础却是不安全的，有其脆弱的一面，这是我们不 可否认的客观事实。 2 1 企业内部网信息安全需求 在计算机网络中，主要的安全防护措施被称作安全服务。有以下五种通用的 安全服务1 0 】： 1 认证服务 认证服务提供了关于某个实体的身份的保证。这意味着当某个实体声称具有 一个特定的身份时，认证服务使用某种方法来证实这一声明是正确的。 2 访问控制服务 访问控制的目标是防止对任何资源进行未授权的访问。所谓未授权访问包括 未经授权的使用、泄露以及销毁等。访问控制直接支持机密性、完整性、可用性 以及合法使用等基本安全目标。 3 数据的机密性 数据的保密性是指数据不泄露给非授权用户，实体或过程，或供其利用的特 性。由于系统无法确认是否有未经授权的用户截取网络上的数据，这就需要使用 一种手段对数据进行加密处理。数据加密就是用来实现这一目标的，使得数据能 够保证在传输、使用和转换过程中不被第三方非法获取。 4 数据的完整性 数据的完整性是指数据未经授权不能进行改变的特性，即只有得到允许的人 才能修改数据，并且能够判别出数据是否已被 法篡改。经过网络传输的数掘， 必须和它传输前的内容完全样。其目的就是保证信息系统l 的数掘处于一种完 整和未受损的状态，数据不会因为存储和传输的过程，而被有意或无意的改变、 破坏或丢失。 山东大学硕士学位论文 5 非否认服务 非否认服务的主要目的是保护通信用户免遭来自系统中其它合法用户的威 胁，而不是来自未知攻击者的威胁。“否认”最早被定义成一种服务，它是指参与 某次通信交换的一方事后不诚实地否认曾经发生过本次交换。这种服务能够提供 无可辩驳的证据，以推翻一方对于“否认”的声明。这些证据中一般包含了某一 特定事件发生的时间，通信双方的身份，与事件相关的一些信息等。 国际标准化组织i s o 在文献 2 9 】中定义了五个层次的安全服务，即：鉴别、访 问控制、数据机密性、数据完整性、抗抵赖，身份认证和访问控制是两个重要的 组成部分。 2 2 身份认证技术 信息时代的到来给人类社会带来了极大的变革，一大特征就是身份的数字化 和隐性化，如何准确地鉴定一个人的身份、保护信息安全是当今信息化社会必须 要解决的关键问题。身份认证技术的发展方向是将多种技术相结合，取长补短， 提高安全性，并且认证终端会朝着方便实用，小型化方向迈进【i i 】。 2 2 1 身份认证方式 实体间的身份认证主要是基于某种形式的证据，一般来说，这种能用来证明 实体身份的证据有以下几种形式： 1 实体知道的东西，如口令、密钥等 一 基于口令的认证是最简单、最易实现的一种认证技术，也是目前应用最广泛 的认证方法。其优势在于实现的简单性，但安全性较差。另一个不安全因素来源 于网络传输，许多系统的口令是以未加密的明文形式在网上传输的，窃听者通过 分析截获的信息包，可以轻而易举地获得用户的帐号和口令1 1 2 】。 2 实体所拥有的东西，如智能卡、智能钥匙等 智能卡【1 3 i 具有硬件加密功能，有较高的安全性。基于智能卡的认证方式是一 种双因素的认证方式( p i n 码+ 智能# ) ，但需要读卡设备。增加了成本。 3 实体所具有的某种特征，如人的指纹、声音等特征 人类任何一种生理或行为特征，只要具有广泛性、唯一性、稳定性和可采集 性，都可以被用作为，上物特征1 1 4 i 。目静主要利用指纹、声纹、虹膜、视网膜、脸 部、掌纹这几个方面i 特征进行识别。生物特征可以结合其他因素产生双因素或多 6 山东大学硕士学位论文 因素认汪。目前最新的安全认证方式赴：把q ：物特缸r 和此小地的智能设备如智 能忙结合起柬，以此释放二级的可撤销凭汁，比如i l l n 等f j | 4 基。甾则的认证 其基本原理足：基于声称者知道某一秘密密钥这一事实，密钥的持有旨通过 密钥这个秘密向验证方证明自己身份的真实性。常用的基于对称密码技术的认证 系统是k e r b e r o s 系统，它是可信第三方认证鉴别协议【1 6 1 。基于公钥密码技术的方 法是类似的。其实现需要p k i 体系的支持。p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) n 公钥基 础设施，定义了公钥证书，可以从技术上解决网上身份认证、信息完整性、信息 保密性和抗抵赖等问题，为网络应用提供可靠的安全保障。 2 2 2p k i 密码技术是保护信息安全的关键技术【盯1 。现代密码理论认为，算法是可以公 开的，“一切秘密寄寓于密钥之中”。最彻底实现这一理论的体制就是p k i 认证体 制【1 8 1 。p k i 是基于公钥密码技术的。 因为对称密码系统存在难以克服的缺点，如：密钥数量指数增长和密钥分发 困难等。2 0 世纪7 0 年代，d i m e 和h e l l m a n 提出了公钥密码体制【1 9 1 。这一体制中， 加密和解密使用不同的密钥，这两个密钥之间存在着相互依存关系：即用其中任 一个密钥加密的信息只能用另一个密钥进行解密。一个密钥公开，称为公钥，一 个密钥保密，称为私钥。这使得通信双方无需事先交换密钥就可进行保密通信。 公钥密码体制有两种基本模型，加密模型和认证模型。加密模型如图2 - 1 所示： 明密 圈2 - 1 公钥密码体制加密模犁 公钥密码体制的认证模型如图2 - 2 所示： 明 密文 明义 叫文 7 山东大学硕士学位论文 圈2 2 公钥密码体；刚认址梭7 p 当前最著名、应用最广泛的公钥系统r s a 体制1 2 0 i 足一个摹于数论的非对称密 码体制，属于分组密码。它既能用于数掘加密也能用于数字签名，其安全性基于 大整数素因子分解的困难性。大多数使用公钥密码进行加密和数字签名的产品和 标准使用的都是r s a 算法。 利用r s a 公钥体制实现信息的真实性、完整性、保密性和不可否认性，是p k i 所依赖的核心思想。其关键是如何确认某个用户真j 下拥有公钥( 及对应的私钥) 。在 p k i 中，为了确保用户的身份及所持有密钥的j 下确匹配，需要一个值得信赖而且 独立的第三方机构充当认证中一t j , ( c e r t i f i c a t i o na u t h o r i t y ，c a ) ，来确认公钥拥有人 的真正身份。认证中心利用本身的私钥为数字证书加上数字签名，确保证书的不 可伪造性。 典型的p k i 系统的体系结构如图2 - 3 所示： 图2 - 3p k i 体系结构 认证中心c a ，是数字证书的签发机构，也是p k i 应用中权威的、可信的、公 正的第三方机构，承担公钥体系中公钥合法性检验的责任。 注册机构r a ( r e g i s t r a t i o na u t h o r i t y ) 是c a 的证书发放、管理的延伸。负责证 书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应 的管理功能。 认证机构c a 通过签发证眵将用户的身份和公钥证忙绑定，但因种种原因，还 必须存在一种机制束撤销这种绑定，将现行证书撤销2 。发白证书撤销的方法有 很多种，常f j 的足圳册陀的发和证f 5 注销列表c r l ( c e r t i f i c a t e r e v o c a t i o n l i s t s ) 1 2 2 1 ， 川“t 以p 绒陔列表查看哪蝗证书已不再受信任。另一种方法是在线查询机制， 山东大学硕士学位论文 如o c s p ( o n l i n ec e r t i f i c a t es t a t u sp r o t o c 0 1 ) 1 2 孔。 目录服务提供用户对证书的获取方法，也是存储证书的证书库。构造证书库 的最佳方法是采用l d a p ( l i g h t w e i g h t d i r e c t o r y a c c e s s p r o t o c o l ，轻量级目录访问协 议) 协议的目录系统【2 4 1 。用户或相关的应用通过l d a p 协议来访问证书库。系统必 须确保证书库的完整性，防止伪造和篡改f 2 卯。 完整的p k i 体系还包括认证政策的制定( 包括遵循的技术标准、各c a 之间 的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等) 、认 证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现1 2 6 1 。 2 3 访问控制技术 2 3 1 访问控制概述 访阿控制机制可以限制对关键资源的访问防止非法用户进入系统及合法用 户对系统资源的非法使用刚。为了达到这个目标，访问控制常以用户身份认证为 前提，在此基础上实施访问控制策略来控制和规范合法用户在系统中的行为 3 1 1 。 访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提 出资源访问的请求加以控制它是对信息系统资源进行保护的重要措施。 目前主流的访问控制技术有：自主访问控制( d a c ) ，强制访问控制( m a c ) 、基 于角色的访问控制( r b a o 自主访问控制d a c o d i s c r e t i o n a r ya c c e s sc o n t r 0 0 是在确认主体身份及所属组 的基础上，根据访问者的身份和授权来决定访问模式，对访问进行限定的一种控 制策略其自主性为用户提供了极大的灵活性d a c 最大的缺陷是，它建立在用 户本身能够保证客体的可信性的假设基础上的，而这个假设通常不能成立 3 3 1 。 强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 通过比较主体与客体的安全属 性来决定是否允许主体访问客体，安全属性是由系统自动或由安全管理员分配给 每个实体( 主体和客体) 的。它不能被任意更改l 圳。强制访问控制的实质是根据安全 等级的划分，以某些需要的参量确定系统内所有实体的安全等级，并予以标识。 在访问发生时，系统根据如下判断准则进行判定：只有当主体的密级高于或等于 客体的密级时，访问才是允许的。否则将拒绝。强制性和限制性是m a c 的突出特 点。 自主访问控制和强制访问控制，都是由主体和访问权限直接发生关系，主要 针对用户个人授予权限。大型应用系统的访问用户往往种类繁多、数量巨大、并 9 山东大学硕士学位论文 且动态变化，使得权限管理负担巨大且易出错【3 2 l 。 随着网络的迅速发展，对访问控制服务提出了更高的要求，以上两种访问控 制技术很难满足实际需求 3 5 1 。基于角色的访问控制r b a c ( r o l e - b a s e da c c e s s c o n t r 0 1 ) 3 6 1 引起了学术界和工业界的广泛关注，成为研究热点。r b a c 引入角色这 个中介，将权限和角色相关联，通过给用户分配适当的角色以授予用户权限，实 现了用户和访问权限的逻辑分离，这样的授权管理比起针对个体的授权来说，可 操作性和可管理性都要强得多，非常适合大型多用户管理信息系统的授权管理。 r b a c 的基本思想如图2 - 4 所示： 2 3 2p m i 技术 图2 - 4 船a c 的基本思想 授权管理基础设施p m i ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ) f 3 7 1 的目标是向用 户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与 实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制 ， 机制，简化具体应用系统的开发与维护。 p m i 授权服务体系以高度集中的方式管理用户和为用户授权，并且采用适当 的用户身份信息来实现用户认证，主要是跚体系下的数字证书，也包括动态口 令或者指纹认证技术 基于p m i 技术的授权管理模式主要存在以下三个方面的优势p 8 j ： 1 授权管理的灵活性 基于p m i 技术的授权管理模式可以通过属性证书的有效期以及委托授权机制 来灵活地进行授权管理。 2 授权操作与业务操作相分离 明确了业务管理员和安全管理员之间的职责分工，可以有效地避免由于业务 管理人员参与到授权管理活动中可能带来的一系列问题。 3 多授权模型的灵活支持 基于p m i 技术的授权管理模式与具体的应用系统无关，因此，可以在不影响 原有应用系统正常运行的前提下，实现对多授权模型的支持。 。 、 0 山东大学硕士学位论文 2 3 。3 访问控制中间件 起步于2 0 世纪9 0 年代初期的中问件( m l d d l e w a r e ) ，是一类软件的总称，实现 网络互连、应用之间的互操作，与操作系统和数据库并称为三大基础软件3 引。中 间件典型的是位于平台( 硬件和操作系统) 和应用之i 日j 的通用服务l 删，如图2 - 5 所 示。这些服务具有标准的程序接口和协议。针对不同的操作系统和硬件平台，它 们可以有符合接口和协议规范的多种实现。 应用 应用 ff i。分布妻粱篓服务， ff i硬件 硬件 i 操作系统 操作系统 图2 - 5 中间件技术 一般来说，中间件应具有以下的一些特点：满足大量应用的需要；运行于多 种硬件和o s 平台；支持分布式计算，提供跨网络、硬件和o s 平台的透明性的应 用或服务的交互功能；支持标准的协议；支持标准的接口。 i i s ( i n t e r n e ti n f o r m a t i o ns e r v i c e ) 是当今w i n d o w sn t 操作平台上执行效率最佳 的w e b 务器之一。应用i s a p i ( i n t e m e ts e r v e ra p p l i c a t i o np r o g r a mi n t e r f a c e ) 自g 够创 造极高性能的应用程序 4 2 1 。i s a p i 程序分为两种，扩展和过滤器。 i s a p i 过滤器的运行机制是，每次当一个请求( 指任何请求) 被服务器所接收 时，过滤器可以被通知该请求，这引起过滤器程序的加载。过滤器然后检查这个 请求，在必要时还可改变它。完成任务以后，过滤器返回服务器并蜕明对该通知 的处理方式。其工作过程如图2 - 6 所示： 客户服务 客户端i s a p l服务器 栉序过滤器软件 酗2 - 6 i s a p i 的i f f 过群 山东大学硕士学位论文 i s a p i 在性能和灵活性两个方面表现出强大的功能。i i s 平台卜的访| 口j 控制中 问件实质上就是i s a p i 过滤器。 2 4x m l 技术 垤l ( e x t e n s i b l em a r k u pl a n g u a g e ) 将s g m l ( s t a n d a r dg e n e r a l i z e dm a r k u p l a n g u a g e ) 的丰富功能与h t m l 的易用性结合到w e b 中，以一种丌放的自我描述方 式定义了数掘结构，在描述数据内容的同时能突出对结构的描述，从而体现出数 据之阃的关系，成为描述数据和交换数据的标准格式。更重要的是，x m l 允许组 织、个人建立适合自己需要的标记集合【4 1 1 。 访问控制策略需要一种合适的方式来描述。在基于b s 的企业内部网中，考 虑使用访问控制列表来描述。根据访问控制三个要素，可以将一条规则定义成三 元组，即需要保护的资源( 对象，o b j e c t ) ，用户的角色( r o l e ) 和访问操作方法( m e t h o d ) 组成的三元组，形式化的描述如下： n o d e = ( o b j e c t ，r o l e ，m e t h o d ) 利用x m l 技术，可以很方便的定义符合特定需要的数据格式。将三元组以 x m l 节点形式存储，增强了系统的灵活性和可操作性，同时还方便了开发人员的 编程。节点以如下格式描述： s h o w e m p l o y e e a s p x m a n a g e r p o s t ，g e t 3 5 本章小结 调查数掘表明，对信息安全的最大威胁来自企业内部。本章分析了企业内部 常见的几种安全威胁，i 芊细介绍圈际杯准化组织定义了五个层次的安全服务中的 两个，即身份认证和访问控制。身份认证方呕i ，主要介绍几种常见的身份认证方 式皮比较成熟完潞的以公钥i f f 5 讪：明身份并提供安全服务的p k i 基础设施，并认 为身份认证会伽荇多技术融合的力向发艘。访问拧制方f f | j 简要晚明了几种蔓流的 访问摔制技术，j f 结合l i i fl l 较热点的中f 1 j 件技术，讨论了i i s 平台l ：的访问拧 s i n , m 件l s i i 过滤器。肖命绍了，访f u j 控制策略的描述衷迭式一一x l 。 山东大学硕士学位论文 第三章企业内部网信息安全解决方案 3 1 方案设计原则 在设计一个信息系统的时候，必须考虑以下几个方面的原则【1 0 1 ： 1 安全性原则 从实际出发，根据相对性原则，对系统确定适当的安全强度要求，要确保选 购产品自身的安全可信，选用产品要正规，符合国家的法律法规和相关的标准。 2 整体性全面性原则 统一管理，把分散的安全机制连接成完整的系统，系统设计要满足“木桶原 理”，即安全功能相对一致，不留薄弱环节。 3 投资保护原则 在已有信息系统上作安全系统设计时，需要考虑已有投资的保护和利用，要 满足其兼容性。 4 实用性原则 包含透明性安全的设置与运行对用户透明；友善性安全、简洁、方 便；有效性系统中新增部分的系统开销少，但要能达到安全要求。 5 可适应性原则 功能可扩充，安全性能提高，以适应不断增强的安全性要求。 6 技术与管理相结合原则 良好的管理才能发挥出技术的特性，制定完备的规章制度和切实可行的操作 规程，并切实加以执行。 和i n t e r a c t 相比较，企业内部网本身是个相对独立的网络空间，具有自己的 边界。因为它属于一个企业或一个单位，具有中央管理的特点，管理的核心内容 就是安全。从企业网受攻击的类型分析，一个完整的网络安全解决方案不仅要能 防止系统型攻击也要能防止数据型攻击：既要解决系统安全，又要解次数据安 全两方面的问题，特别是要解决来自内部的非授权访问和通信保密。 3 2 方案基本思想 身份认证和访问控制是解决资源共事和信息安全保密矛盾的两个重要内容。 p k 和p m i 的结合，提供了身份认证、通信安全、权限管理的完整解决方案，较 山东大学硕士学位论文 好的支持了行业或大型组织应用系统的安全需求。 随着使用公钥证书认证身份的广泛应用，在中小型组织基于b s 的系统中， 如果同时部署p k i 和p m i ，付出的代价未免太大。由于此类系统的权限管理通常 并不复杂，可以考虑直接将授权信息( 以角色形式表示) 作为公钥证书的一项扩展域 存储，从而使公钥证书既支持身份认证又支持对用户角色的表述。x m l 作为一种 新兴的标识语占，凭借其独特的优点，在w e b 上得到越来越广泛的应用，可以利 用其作为访问控制的策略表达式。这样，仅采用p k i 和x m l 技术，也可以做到对 用户进行身份认证，并取得用户的授权信息，配合访问控制中间件，控制对资源 的合理访问。 3 2 1 企业内部网简介 基于b s 的企业内部网并不是一项新的技术，它只是利用了i n t e r n e t 的技术， 所有在i n t e r a c t 中的不安全因素，在企业内部网中或多或少都会存在。在计算机技 术日益普及的今天，任何人都可以轻松地得到“黑客软件”，在内部网中进行有意或 无意的尝试，从而给网络安全带来巨大的威胁。在资源共享的同时，人们也必须 防范由此带来的风险。 基于b s 的企业内部网由于具有一系列的技术优势，使得它的应用越来越广 泛。 1 它的协议和标准是公开的，不局限于任何硬件平台和操作系统，用h t m l 、 j a v a s c r i p t 等开发的应用可以简单地移植到任何平台上。跨平台成为其最吸 引开发人员的特点，因此这类应用系统也比较多，开发技术也比较成熟。 2 支持多媒体信息。声音、数据、图形图像等信息，通过标准浏览器显示出 来，界面统一友好，而且简单易用，能够为企业减少培训费用，节约成本。 3 信息传递快速准确，资源共享方便。h t