（计算机应用技术专业论文）企业信息集成中电子文档安全管理技术的研究.pdf

孥您电力大学骚士攀经论文擒要 撼要 现代企业利用当前计算机技术、信息技术、网络技术等组成了企业信息集成平 台。京这个绩患集成乎台孛，存放豢大量涉及企鲎经营活动瓣各耱惫含企堑敏感信感 的电予文档，如何能更好的保i 芷这些电子文档的安全蚀、保密性，防嫩熏要资料被非法 扩散，叉蘸被合法入受合理、凝效建後雳，蘧箨金盈鬓待解决豹褥题。零文透过鼹当麓 企业电子文档管理所面临的各种问题进行深入地分析，提出了将企业电子文档分类后以 数据蓐方式送行存储管壤、遥避授权访溺祝翻对电子文档遴行权限管瑷赣及露电子文襁 进行加密、压缩处理后在网络上传输，以实现企业信息集成平台中电子文档动态共享、 查诲方便、安企可靠的茸的。 关键谲：电予文档，安全管理，基于角色的访问控制，数据加密，数据压缩 a b s t r a c t m o d e me n t e r p r i s e sh a v ee x p l o i t e dl a t e s tc o m p u t e rt e c h n o l o g y , i n f o r m a t i o n 钕h n o l o g y , n e t w o r kt e c h n o l o g yt ob u i l du pa ne n t e r p r i s ei n f o r m a t i o ni n t e g r a t e dp l a t f o r m o nt h i s p l a t f o r m ，t h e r ea r ea l ik i n d so fd o c u m e n t st h a tc o n t a i ns e n s i t i v ei n f o r m a t i o n h o wt o g u a r a n t e et h e s ee l e c t r o n i cd o c u m e n t ss e c u r i t ya n ds e c r e c y ，p r e v e n tt h ei m p o r t a n tf i l e sf r o m b e i n gp r o p a g a t e di l l e g a l l y , a n dl e tt h ee l e c t r o n i cd o c u m e n t sb eu s e dr a t i o n a l l ya n de l e c t i v e l y b yl e g a lp e o p l e ，i st h eu r g e n tp r o b l e mo fe v e r ye n t e r p r i s en e e d e dt ob es o l v e d t h i sp a p e r s t u d i e sd e e pi n t ot h ei s s u e so f e l e c t r o n i cd o c u m e n t s m a n a g e m e n t , d e v e l o p san e ws y s t e mt h a t s o r t st h ee l e c t r o n i cd o c u m e n t sb yt h e i ro w n c a t e g o r i e s ，s t o r e sa n dm a n a g e st h e mw i t h i nt h e f r a m e w o r ko fd a t a b a s es y s t e m ，a c c e s s e st h e mt h r o u g h p r i v i l e g eg r a n t i n gm e c h a n i s m ， t r a n s f e r st h e ma f t e re n c r y p t i o na n dc o m p r e s s i o np r o c e s s t h r o u g ht h i sw a yt h eg o a lo f d y n a m i cs h a r e ，c o n v e n i e n te n q u i r y , a n daf o r m i d a b l es e c u r i t yi sa c h i e v e d c h e nx i h a i ( c o m p u t e ra p p l i c a t i o nt e c h n o l o g y ) d i r e c t e db yp r o f m e n gj i a n l i a n g k e yw o r d s ：e l e c t r o n i cd o c u m e n t ，s e c u r em a n a g e n m e n t ，r o l e b a s e da c c e s sc o n t r o l ， d a t ae n c r y p t i o n ，d a t ac o m p r e s s i o n 声明 本人郑重声明：此处所提交的硕士学位论文企业信息集成中电子文档安全管理技 术的研究，是本人在华北电力大学攻读硕士学位期间，在导师指导下进行的研究工作 和取得的研究成果。据本人所知，除了文中特另t j j n 以标注和致谢之处外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得华北电力大学或其他教育机构的 学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示了谢意。 学位论文作者签名：碰：叟起日期：啦日 关于学位论文使用授权的说明 本人完全了解华北电力大学有关保留、使用学位论文的规定，即：学校有权保管、 并向有关部门送交学位论文的原件与复印件；学校可以采用影印、缩印或其它复制手 段复制并保存学位论文；学校可允许学位论文被查阅或借阅；学校可以学术交流为 目的，复制赠送和交换学位论文：同意学校可以用不同方式在不同媒体上发表、传播学 位论文的全部或部分内容。 ( 涉密的学位论文在解密后遵守此规定) 作者签名：辎 日期：即 导师签名： 日期： 斑豇 华北电力大学硕士学位论文 第一章引言 随着我国社会信息化进程发展，计算机网络及信息管理系统在政府机构、企事 业单位以及社会团体的运作中发挥着越来越重要的作用。信息化水平的提高在带来 巨大发展机遇的同时也带来了严峻的挑战。由于信息系统本身的脆弱性和日益呈现 的复杂性，信息安全问题不断暴露。信息安全既关系着个人的隐私，也关系着国计 民生、甚至整个国家的安全与利益。信息安全问题已经倍受政府和社会的广泛关注 和重视”“。 企业在生产、管理等各个环节中，会产生大量的各种电子文档，例如产品设计 文档、财务分析报告、考核文档、会议记录、定购合同等。尽可能科学有效地将这 些电子文档组织起来，统一保存，以供整个企业共享，将成为提高企业竞争力的源 泉m 3 。 当前企业缺乏对电子文档的科学、规范管理，难以实现文档的有效共享，难以 有效控制文档和信息的访问过程，难以保证电子文档的安全性。针对当前企业电子 文档管理所面临的各种问题，本文提出了将企业电子文档分类后以数据库方式进行 存储管理、通过授权访问机制对电子文档进行权限管理以及对电子文档进行加密、 压缩处理后在网络上传输，以实现企业信息集成平台中电子文档动态共享、查询方 便、安全可靠的目的。 1 1 选题背景及意义 企业信息化建设积累了大量的数据信息，这些数据信息以不同的形式存储在不 同的应用系统中，随着应用需求的不断增加，越来越多的用户希望能够透明地获取和处 理来自这些海量信息源中的有用数据。企业信息集成利用了通信技术、数据库技术、p d m 技术，在共享信息模型支持下，实现不同应用系统之间的信息共享，实现“在正确的时 候将正确的信息以正确的方式传递给正确的人或机器”，从而做出正确的决策。 当前，企业比以往更依赖于能极大提高管理水平和工作效率，增强企业市场敏捷 性的分布式、网络化信息集成平台。在这个信息集成平台中，存放着大量涉及企业经营 活动的各种电子文档，包括文本、图形、声音等，这些电子文档中通常包含企业敏感信 息。如何能更好的保证企业电子文档的安全性、保密性，防止重要资料被非法扩散，又 能被合法人员合理的高效的使用，是各企业比较关注和亟待的问题。如果能科学有效地 将这些电子文档组织起来，统一保存，以供整个企业共享，不仅有助于领导及时了解、 查询企业的运行情况，而且有助于企业各部门规范管理自己的文件，更将积累成为企业 的一笔巨大的信息财富，成为提高企业竞争力的源泉。 华北电力大学硕士学位论文 当前企业内部信息交流十分方便，却不可避免地造成各种信息安全的问题。这些问 题可能是由于外部非法攻击所致，更多的可能是由于各企业员工对信息安全认识不足， 普遍计算机使用水平低下以及企业内部对电子文档管理的混乱等造成的安全问题。因 此，承载于企业电子文档中的敏感信息面临着极大的安全隐患。针对目前企业信息集成 平台中电子文档安全管理技术方面研究还不成熟，电子文档安全管理和各种访问机制及 其它信息技术尚未很好结合的现状，本课题应运而生。 1 2 电子文档管理中存在的安全问题 电子文档的安全管理是指确保存储在计算机系统中各类电子文档的信息、数据不会 由于意外或者恶意的原因而遭到破坏、更改和泄露，即保证电子文档的保密性、完整性、 可用性和真实性。由于使用电子文档的最终目的是实现信息的充分利用，因此在保证电 子文档安全性的同时，还要确保不影响电子文档的可控性。为了保证正确地使用电子文 档，应该在研究安全存储技术的同时考虑到电子文档的创建和存储、对电子文档修改和 删除行为的确认、保护电子文档信息安全、避免泄露或受到攻击、防止电子文档丢失带 来的信息丢失和防止非法入侵者通过网络监听和破坏电子文档信息。电子文档的安全 性主要表现在以下几个方面。“： ( 1 ) 冒充冒充行为是指非法入侵者冒以合法身份对系统内的电子文档和信息进行 操作的行为。如果不能监视和避免冒充行为，将对系统造成很大的破坏，严重情况下将 导致整个系统混乱以至瘫痪； ( 2 ) 否认否认行为实际与冒充行为存在密切联系，在对电子文档作了有意或无意 的攻击行为后，一方面需要确认攻击方的身份，另一方面需要提供证实手段以使攻击方 不能抵赖其行为； ( 3 ) 信息泄露非法人员通过各种手段侵入系统，从前窃取得到信息将导致信息的 泄露。这是一种攻击方的主动行为，如窃取目标是涉及金融股票类的敏感数据信息，将 带来严重的危害： ( 4 ) 信息丢失由于存放敏感信息的介质一般为硬盘或软盘等，因此存储介质的丢 失或被盗，将导致敏感信息的泄露，这是一种被动的泄露方式； ( 5 ) 信息破坏信息破坏是一种严格意义上的攻击行为，即非法人员在窃取信息的 同时，通过修改和删除电子文档等手段破坏信息。对于军用信息，这种攻击手段是相当 常见的； ( 6 ) 窃听随着网络技术的不断升级，黑客可以通过网络非法获取计算机上存储的 敏感信息，其策略一般是借助于网络窃听系统操作，截获数据流并进行分析。窃听得到 用户信息后，可以非常方便地进入用户的主机系统，并以合法身份得到硬盘上存储的电 子文档。 2 华北电力大学硕士学位论文 1 3 电子文档安全管理的国内外现状 目前，国内外保护电子文档及相关信息的安全主要采用以下措施： ( 1 ) 使用防火墙技术与安全扫描工具，建立网络安全屏障。防火墙是一个位于计 算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火 墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计 算机上被执行。 ( 2 ) 设置访问权限，进行授权访问控制。对于不同职能的用户设置不同的访问权限， 当用户需要访问信息资源前对其身份进行合法验证。 ( 3 ) 对信息进行加密。采用加密算法对信息进行加密存储和传输，当信息被非法截 取时，非法用户得到的只是经过加密的信息，难以破译。 ( 4 ) 对信息进行签名。采用摘要算法计算信息的摘要，并使用私钥加密摘要，以保 证信息的完整性，并实现不可否认性。 在安全产品方面，中国同国外至少有5 一l o 年的差距。这主要由于两个方面原因造 成的：一方面源于我国总体上应用技术开发落后，另一方面是我国网络应用的范围和水 平都还比较低。 我国信息安全技术虽然起步比较晚，但发展很迅速，与国际先进国家的差距在逐步 缩小。我国从8 0 年代中期开始研究计算机网络的安全保密系统，并在各种信息系统中 陆续推广应用，其中有些技术已赶上或超过国际同类产品。从9 0 年代中期开始，我国 进入互联网发展时期，其发展势头十分迅猛，孕育着信息安全技术的新跃进。 在电子文档的安全存储和访问方面，文献 0 7 从企业管理层面介绍了电子文档的安 全管理问题。文献 0 8 从防灾措施、安全网络体系、信息加密，口令安全管理等方面进 行了有关电子文档的安全访问问题的讨论。文献 0 9 深入分析电子文档保护的关键技 术，提出了基于d r m 的通用的电子文档安全保护系统模型。文献 1 0 从建立目录镜像和 文件镜像角度来保证电子文档的存储安全。文献 1 1 提出了应用加密和数据库存储方 式，对电子文档加密后在网络上传输、存储，并综合应用职能卡和证书中心等安全方式 核安全机制进行身份认证和分级授权，实现网络电子文档的安全管理。 1 4 电子文档安全管理的关键技术 对企业电子文档的安全管理应该在三个层面上进行： ( 1 ) 存储管理 ( 2 ) 授权管理 ( 3 ) 网络传输安全管理 要在这三个层面上达到良好的效果就必须运用到数据库技术、访问控制技术与数据 加密与压缩技术。 华北电力大学硕士学位论文 1 4 1 数据库技术 目前，数据库技术尤其是关系型数据库技术已经相当的成熟，关系型数据库的应用 范围最广，占据了数据库主流地位。电子文档，如文本、图像、声音等，这类信息无法 用数字或统一的结构表示，称之为非结构化数据。尽管目前关系型数据库对非结构化数 据的管理水平还需要进一步的加强，但大多数流行的关系型数据库如o r a c l e ， m i c r o s o f ts o ls e r v e r 等都支持对大的二进制对象的存储，就电子文档的存储管理而 言关系型数据库完全具备这样的能力，因此将电子文档用数据库方式来管理在技术上是 切实可行的。 1 4 2 访问控制技术 访问控制技术是保证企业电子文档安全管理的关键所在，是网络安全防范和保护的 主要策略，是保证网络安全最重要的核心策略之一。它的主要任务是保证网络资源不被 非法使用和访问。访问控制一般分为三种： ( 1 ) 自主访问控制( d a c )， ( 2 ) 强制访问控制( m a c ) ( 3 ) 基于角色的访问控制( r b a c ) 三种访问控制方式各有其特点，其中r b a c 是当前研究得热点。 1 4 3 加密压缩技术 加密技术是保护信息安全的主要手段之一，是一种主动的安全防御策略，是大多数 现代安全协议的基础。在企业信息集成平台中，电子文档作为一种共享资源在网络上进 行传输，必然存在被截获的危险，因此要保证电子文档的安全传输，必须对其进行加密 处理。 压缩技术有两种，一种是无损压缩，一种是有损压缩。对于电子文档数据，首先应 该关注它的可靠性、完整性。因此对电子文档的压缩处理统一采用无损压缩。目前，无 损压缩算法有很多，当前比较成熟、高效的无损压缩算法多数是基于l z 系列的无损压 缩算法。 1 5 本文的主要工作及组织结构 对当前企业电子文档管理的现状进行了深入地分析，明确当前企业电子文档管理中 面临的各种问题。通过对各种访问控制机制的研究，提出一种适合企业运作的访问控制 机制，同时对企业电子文档的权限进行管理。针对文件系统方式下，企业电子文档存储 4 华北电力大学硕士学位论文 技术的不足，研究以数据库方式对电子文档的分类存储，并采用加密和压缩等技术使得 电子文档的存储和在网络上的传输更加安全和高效。设计一种对企业电子文档进行安 全，高效管理的方案，该方案主要完成对企业电子文档的分类存储、授权、网络传输的 综合管理。其主要工作如下： ( 1 ) 对当前各企业电子文档的管理现状进行深入地分析，明确在当前企业信息平台 中电子文档所面i 临的各种问题，并针对这些问题设计企业电子文档的管理方案。 ( 2 ) 对各种访问控制机制和授权关系进行深入地研究，并根据当前企业电子文档管 理的需要建立一种适合于企业电子文档自身特点的访问控制机制。 ( 3 ) 对各种数据加密技术和数据压缩技术进行研究，并根据企业电子文档安全管理 系统的需要对现有的技术进行分析，将最有效的数据加密技术和数据压缩技术应用于所 实现的原型系统中。 ( 4 ) 实现企业电子文档安全管理的原型系统。 本文深入分析了当前企业信息平台中电子文档的安全管理问题，并介绍了解决这些 问题的几项关键技术、国内外研究现状以及本文的主要工作，详见第一章；对作为安全 管理电子文档的关键技术之一的访问控制技术进行了深入研究，提出了采用基于岗位角 色的访问控制机制对电子文档进行权限管理，详见第二章；对作为电子文档在网络上传 输的安全保障以及效率保障的加密与压缩技术进行了细致的研究，采用了当前较为成熟 的技术对电子文档进行处理，保证电子文档的安全，详见第三章；设计了解决企业信息 平台中电子文档安全管理的综合方案，详见第四章；根据设计方案，给出了电子文档管 理系统的具体实现，详见第五章；给出了全文的结论，详见第六章。 华北电力大学硕士学位论文 第二章访问控制技术的原理与应用 随着i n t e r n e t 规模的日益扩大，网络中存储的关键和敏感数据也越来越多， 如何保护这些数据不被非法访问这个问题显得越来越重要。企业信息集成平台是共 享资源和关键敏感数据集中存放的地方，因此必须采取有效的手段来保证信息的安 全性。访问控制技术就是通过不同的手段和安全策略实现网络上的访问控制，其目 的是保证网络资源不被非法使用和访问，加强共享信息的保护能力”“。 2 1 访问控制原理 计算机通信网络中，主要的安全保护措施被称作安全服务。根据i s 0 7 4 9 8 2 ，安全 服务包括： ( 1 ) 鉴别( a u t h e n t i c a t i o n ) ( 2 ) 访问控制( a c c e s sc o n t r 0 1 ) ( 3 ) 数据机密性( d a t ac o n f i d e n t i a l i t y ) “) 数据完整性( d a t ai n t e g r i t y ) ( 5 ) 抗抵赖( n o r e p u d i a t i o n ) 访问控制作为安全服务的一个重要方面，其基本任务是防止非法用户即未授权用户 进入系统和合法用户即授权用户对系统资源的非法使用。访问控制规定主体( s u b j e c t ) 对客体( o b j e c t ) 的授权( a u t h o r i z a t i o n ) 。客体是指需要保护的资源，又称作目标 ( t a r g e t ) ；主体或称为发起者( i n i t i a t o r ) ，是一个主动的实体，它是指访问客体的 用户或代表用户执行的应用程序；授权规定对资源可进行的操作( 例如读、写、执行或 拒绝访问) 汹3 。目前，访问控制技术已经开始成为网络信息系统的重要安全保障之一， 采用先进的安全访问控制技术是构造网络安全防范和保护系统的主要策略之一。 访问控制的原理如图2 1 所示： 图2 - 1 访问控制原理图 6 华北电力大学硕士学位论文 在发起者( 主体) 和目标( 客体) 之间插入一层访问控制实施功能模块，当发起者 向目标提交访问请求时，拦截这一请求，并将其转送到访问控制决策功能模块，对该请 求进行决策判断。访问控制实施模块收到决策模块回送的决策之后，实施该决策，放弃 请求或者通过请求“”。 2 2 传统的访问控制模型 2 2 1 自主访问控制( d a c ) 自主访问控制最早出现在六十年代末期的分时系统中，它是在确认主体身份及 所属组的基础上，对访问进行限定的一种控制策略。其基本思想是：允许某个主体显 式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型“”。 其实现理论基础是访问控制矩阵( a c c e s sc o n t r o lm a t r i x ) 。它将系统的安全状态 描述为一个矩阵，矩阵的行表示系统的客体，列表示系统的主体，中间每个元素为 对应主体对对应客体所拥有的访问权限“”。存取矩阵模型的授权状态用一个三元组 ( s ，0 ，a ) 来描述，其中： s - - 主体的集合 ( f - - - - - 客体的集合 a - - 访问权限的集合 对于任意一个s 。s ，0 j 0 ，那么相应地存在一个a 。j a ，表示了s 。对o j 可进 行的访问操作权限。每次用户提出访问的请求时，需要对存取控制矩阵进行一次扫 描。存取控制矩阵可表示如图2 2 ： o b j e c t s s u b j e c t s o i0 2 0 3 s l 咖 s 2 w洲 s 3 r e x e c u t 图2 - 2 访问控制矩阵 自主访问控制的优点是灵活，适用于各种类型的系统和应用，因此已经被广泛 应用于各种商业和工业的环境中。目前常用的操作系统中的文件系统使用的都是自 主访问控制，因为这比较适合操作系统资源的管理特性。但是它有一个明显的缺点 就是这种控制是自主的，它能够控制主体对客体的直接访问，但不能控制主体对客 体的间接访问，不能提供确实的保证来满足对系统的保护要求，虽然每个存取是受 控的，但这种授权定义的存取控制很容易被旁路，信息在移动过程中其访问权限关 华北电力大学硕士学位论文 系会被改变。如用户a 可将其对目标0 的访问权限传递给用户b ，从而使不具备对 0 访问权限的b 可访问0 。所以d a c 提供的安全性还相对较低，不能对信息的传播 加以控制，不能对系统资源提供充分的保护。引起这种情况的原因是自主访问控制 策略中的主体权限太大，对于如何处理主体能得到的信息并没有施加任何限制。为 此，人们认识到必须采取更强的访问控制手段，就是强制访问控制。 2 2 2 强制访问控制( m a c ) 强制访问控制是指系统强制主体服从事先制定的访问控制策略，它最早出现在 七十年代，在八十年代得到普遍应用。主要用于多层次安全级别的军事应用中。系 统预先定义用户的可信任级别及信息的敏感程度( 安全级别) ，当用户提出访问请 求时，系统对两者进行比较以确定访问是否合法。在强制访问控制中，系统给主体 和客体分配了不同的安全属性，这些属性在组织的安全策略没有改变之前是不可能 被轻易改变的。安全属性是强制性的，它是由安全管理员或操作系统根据限定的规 则分配的，用户以及代表用户的程序、进程等都不能以任何方式修改自身或任何客 体的安全属性。如果系统认为具有某一安全属性的用户不适合访问某个资源，那么 任何人( 包括文件的拥有者) 都无法使该用户具有访问资源的能力。显然用户无权 将任何数据资源分配给别的用户使用，因此就不能简单地分配数据的访问权限了。 当用户提出访问请求时，系统通过对主体和客体安全属性匹配的比较来确定是否允 许访问继续进行。 强制访问控制的缺点在于访问级别的划分不够细致，在同级间缺乏控制机制， 主体访问级别和客体访问级别的划分与现实要求无法一致。 随着计算机网络及其应用的发展，自主访问控制和强制访问控制机制对于网络系统 都已不能很好地解决其安全性和灵活性。在当前新兴的各种应用系统中，信息不再属于 系统的某个用户而属于某个机构或部门，访问控制需要基于雇佣关系即用户在系统中的 职能，而自主访问控制和强制访问控制机制都是基于用户的机制，它们不能适应这种要 求，因此需要另外一种访问控制机制来适应这种要求，即基于角色的访问控制策略。 2 3 基于角色的访问控制模型( r b a c ) 随着商业和民用信息系统的发展，安全需求也在发生变化，这些系统对数据的完整 性、安全性有了进一步的要求，而且系统总是处于不断变化之中，例如人员的增减，部 门的增减，应用系统的增加等，这些变化使得一些访问控制需求难以用d a c 或者m a c 来 描述和控制。此外，在很多商业部门中，即使是由终端用户创建的文件信息，他们也没 有这些文件的“所有权”。访问控制应该根据应用系统中用户的职责来确定用户的访问 权限，换句话说，就是访问控制是由用户在系统中所承担的岗位职责( 角色) 来确定的。 华北电力大学硕士学位论文 例如：一个供电局包括局长、调度主任、信息中心主任、微机员等角色，而一个学校有 行政职员、老师、校长等角色，这些角色承担的职责不同，对系统的使用权限也就不同， 所以利用角色的概念来进行访问控制管理是非常有效的。美国国家标准和技术研究院 n i s t ( n a t i n a li n s t i u t eo fs t a n d a r d sa n dt e c h n o l o g y ) 于2 0 世纪9 0 年代初提出了基 于角色的访问控制( r o l e - b a s e da c c e s sc o n t r o l ，简称r b a c ) ，目前得到了广泛的研究 和应用。 2 3 ir b a c 的基本概念n 4 ” 在基于角色的访问控制( r b a c ) 中，角色是实现访问控制策略的基本语义实体。系 统管理员可以根据职能或机构的需求策略来创建角色、给角色分配权限和给用户分配角 色等。基于角色访问控制的核心思想是将权限同角色关联起来，而用户的授权则通过赋 予相应的角色来完成，用户所能访问的权限就由该用户所拥有的所有角色的权限集合的 并集来确定。角色之间可以有继承、限制等逻辑关系，并通过这些关系影响用户和权限 的对应关系。在实际应用中，根据事业机构中不同工作的职能可以创建不同的角色，每 个角色代表一个独立的访问权限实体。然后在此基础上根据用户的职能分配相应的角 色，这样用户的访问权限就通过被授予的角色的权限来体现。在用户机构或权限发生变 化时，可以很灵活地将该用户从一个角色转移到另一个角色来实现权限的协调转换，降 低了管理的复杂度，而且这些操作对用户完全透明。另外，当组织机构发生职能变化时， 应用系统只需要对角色进行重新授权或取消某些权限，就可以使系统重新适应需要。这 些都使得基于角色访问控制策略的管理和访问方式具有无可比拟的灵活性和易操作性。 r b a c 是一种非自主的访问控制机制，支持对特定安全策略进行集中管理。其非自主 性表现在用户并不“拥有”所访问的对象，不能任意地将自己拥有的访问权限授予其他 用户。 基于角色的访问控制可以简单表述为图2 3 ： 图2 - 3 基于角色访问控制关系图 角色访问控制是根据用户在系统里表现的活动性质而定的，这种活动性质表明用户 充当了一定的角色。用户访问系统时，系统必须先检查用户的角色，然后取得相应的访 问权限。一个用户可以充当多个角色，一个角色可以由多个用户担任。 9 华北电力大学硕士学位论文 在r b a c 策略中，涉及到的基本概念如下： ( 1 ) 用户u ( u s e r ) ：信息系统的使用者。主要指操作人员，也可以是计算机或网络； ( 2 ) 角色r ( r o l e ) ：一个可以完成一定事务的命名组，不同的角色通过不同的事务来 执行各自的功能； ( 3 ) 客体o b ( o b j e c t ) ：系统中可以访问的对象、资源； ( 4 ) 操作o p ( o p e r a t i o n ) ：对客体可以执行的操作，操作的类别取决于其所在应用系 统，在文件系统中，包括读、写和运行，而在数据库管理系统中，操作还包括插入、删 除、修改和更新等； ( 5 ) 许可p ( p e r m i s s i o n ) ：p e r m i s s i o n s = 2 ”“，表示操作许可的集合，即用户对信 息系统中的对象( o b s ) 进行某种特定模式访问的操作许可； ( 6 ) 会话( s e s s i o n ) ：用户是一个静态的概念，而会话是一个动态的概念。一个会 话是用户的一次活跃进程，它代表用户与系统进行交互。会话是一个用户和多个角色的 映射，一个用户可以同时打开多个会话。 从以上介绍可以看出，r b a c 模型有三个实体集为基础，它们分别是用户集( u ) ，角 色集( r ) ，许可集( p ) 。在r b a c 中，每个角色被赋予若干许可，每项许可也可能同时 授予多个角色，所以角色与许可之间是多对多的关系；每个用户至少被授予一个角色， 同一角色可以被多个用户共享，所以用户与角色也是多对多的关系。用户通过自己扮演 的角色获得许可。r b a c 中的另一个成分是会话集( s ) ，它把一个用户与一个或多个角色 相关联。当一个用户建立一个会话时，就激活了他作为直接或间接成员的角色的子集。 当用户同时激活多个角色时，他获得的许可是这些角色许可的并集。同时r b a c 通过约 束机制来约束角色授权和用户赋予角色，使其满足安全策略的要求。 2 3 2r b a c 的结构模型 从前面的说明我们了解到，为了将人和权限解藕，r b a c 模型引入了角色( r o l e ) 的 概念，整个r b a c 参考模型都是围绕角色来建立的。 根据对不同复杂度权限的需求，r b a c 参考模型定义了三个分组件，分别是： ( 1 ) c o r ec o m p o n e n t s ： - - c o r er b a c ：核心r b a c ( 2 ) c o n s t r a i n i n gc o m p o n e n t s ： 一- h i e r a r c h i c a lr b a c ：层次r b a c 一- g e n e r a l i j m i t e d i o 华北电力大学硕士学位论文 ( 3 ) s e p a r a t i o no fd u t yr e l a t i o n s ：职责隔离 - - s t a t i cs e p a r a t i o no fd u t y ( s s d ) 一d y n a m i cs e p a r a t i o no fd u t y ( d s d ) 职责关系隔离也叫做c o n s t r a i n e dc o m p o n e n t s 。 2 3 2 1 核心r b a c c o r er b a c 定义了r b a c 模型最基本的五个元素：u s e r ，r o l e ，o p e r a t i o n s ，o b j e c t s ， p r i v i l e g e s ( p e r m i s s i o n s ) 1 1 6 o 最基本的r b a c 如图2 4 所示： 图2 - 4c o r er b a c 模型 c o r er b a c 的基本概念是用户通过成为角色的成员来获得相应的权限。但c o r eh b a c 并不显式的禁止用户通过其他的方式获得操作权限。它仅要求用户一角色和角色一权限 关系均为多对多的关系，并可动态添加用户一角色和角色一权限关系，且一个用户可以 通过同时被指定多个角色而同时获得多个角色的多个权限。 2 3 2 2 层次r b a c 在核心r b a c 的基础上增加对角色等级( r o l eh i e r a r c h y ) 的支持。角色等级是一 个严格意义上的偏序关系，上级角色继承下级角色的权限，下级角色获得上级角色的用 户。 角色划分等级是r b a c 的一个突出优点。通常可以根据现实组织结构的模式构造角 色层次关系，使它直接反映一个组织的职责关系，但是等级r b a c 组件除了规定了最基 本的概念以外，并没有做详细描述。因此在具体实现一个r b a c 系统时，还需要进一步 细化，比如增加更多的对继承的限制“”。等级r b a c 的结构如图2 5 所示： 龛 塑驽 华北电力大学硕士学位论文 2 3 2 3 约束r b a c “”1 ( r h ) 角色等级 图2 - 5 层次r b a c 模型结构 核心模型的另一个增强的方向是约束模型。作为一个完整的安全模型，约束机制是 非常重要的性能。对于一个具体的系统而言，无论它是否具有层次角色的特征，约束机 制都是必不可少的。例如：在一个组织内出纳角色和会计角色不能同时授予同一个用户。 当使用了角色约束机制后，公司的领导层就可以不必再考虑具体的实施。这样方便系统 管理员的管理，这对于一个大型的企业系统来说，是非常重要的。实际上，通过约束机 制，r b a c 就可以实现强制安全控制，而且包括对r b a c 本身的管理和控制。对于角色的 约束机制主要以下两种约束：角色静态互斥约束和角色动态互斥约束。 角色静态互斥约束是指通过将用户指派给角色时施加约束来阻止角色冲突的发生。 这意味着如果一个用户指派给一个角色，那么它将被禁止指派给与这一角色存在互斥关 系的任何角色。角色静态互斥约束模型结构如图2 - 6 所示： 图2 6 角色静态互斥约束模型结构 1 2 塑 色 。角一 角 一垫迹髻 华北电力大学硕士学位论文 与角色静态互斥约束类似，角色动态互斥约束也是限制可提供给用户的访问权限， 但是实施的机制不同。角色动态互斥约束在用户会话中对可激活的当前角色进行限制。 在角色静态互斥约束中，有冲突的角色不能被指派给同一用户；在角色动态互斥约束中， 有冲突的角色可以被指派给同一用户，但是它们不能在同一个会话中被激活。角色动态 互斥约束是最小权限原则的扩展，每个用户根据其执行的任务可以在不同的环境下拥有 不同级别的访问权限，确保访问权限不会在时间上超越它们对履行职责的必要性，这种 机制称作信任的适时变更。角色动态互斥约束的模型结构如图2 7 所示： ( r h ) 角色等级 图2 - 7 角色动态互斥约束模型结构 2 3 3 基于角色访问控制机制的优点 传统的访问控制策略直接将访问主体与客体相联系，如图2 8 ： 用户集合 资源集合 图2 - 8 传统的访问控制 墨 触多尹蔷 遄b一 华北电力大学硕七学位论文 基于角色的访问控制模型通过在用户和权限之间引入角色这个中介，为用户授予角 色，为角色授予权限，用户通过角色间接访问系统资源，实现了用户与权限的逻辑分离。 图给出了用户、角色、与权限的职责分离关系。资源分配关系如图2 9 所示： 用户集合角色集合资源集合 用户拥有角色角色拥有资源 图2 - 9 基于角色的访问控制模型资源分配关系 分析以上两类访问控制的模型图可以看出基于角色的访问控制克服了传统访问控 制的诸多不足，主要表现在：1 ) 简化了授权操作，可以有效地对大量用户实现访问控 制。传统的访问控制实现方法，将用户与访问权限直接相联系，当组织内人员新增或离 开，或者某个用户的职能发生变化时，需要进行大量的授权更改工作，修改许多相关的 访问控制权限设置。而在r b a c 中，角色作为沟通用户与资源之间的桥梁。一个组织内， 可根据组织的具体情况，设定若干个与一定权限相联系的角色，不同的角色拥有不同的 访问权限和职责。此时，对用户的访问授权转变为对角色的授权。一旦一个r b a c 系统 建立起来以后，主要的管理工作即为授予或取消用户的角色，而对一个用户所拥有的角 色数量比拥有的资源数量少得多，这样可以大大减少系统管理员的维护量。2 ) 系统管 理员在一种比较抽象的，与企业通常的业务管理相类似的层次上控制访问。这种授权使 管理员从访问控制底层的具体实现机制脱离出来，十分接近日常的组织管理规则。通过 定义及建立不同的角色、角色的继承关系、角色间的联系以及相应的限制，管理员可动 态或静态地规范用户的行为o ”m ，。 1 4 华北电力大学硕士学位论文 2 4 基于岗位角色的访问控制模型( p r b a c ) 2 4 1p r b a c 访问控制模型的提出 r b a c 模型作为一种策略无关的访问控制技术，它不局限于特定的安全策略，几乎可 以描述任何的安全策略，克服了传统访问控制的诸多不足，所以其应用领域极为广泛， 如管理信息系统、数据库系统、计算机操作系统以及网络间的访问控制等。但是r b a c 模型是抽象、普适的模型，距离具体的现实应用有一定的距离。r b a c 模型在角色配置的 工程化、角色动态转换等方面还需要进一步研究，r b a c 比d a c 和m a c 复杂，系统实现难 度相比之下要大。而且r b a c 的策略无关性需要用户自己定义适合本领域的安全策略， 定义众多的角色和访问权限以及它们之间的关系。因此，为了实现电子文档管理系统中 统一资源的访问控制，需要对r b a c 模型进行改进或简化，各企业应该根据企业本身信 息管理的标准，人员职责的要求，分工的需要等方面建立合适的访问控制机制。本文在 继承r b a c 先进控制思想的基础上结合供电企业的特点和企业的要求对r b a c 模型进行扩 展，对r b a c 模型进行扩展主要基于以下几个方面：1 ) 适应供电企业行政管理模式，供 电企业岗位比较固定，而且每个岗位的职责也相对稳定；2 ) 需控制的资源的不断增加， 各种应用软件、电子文档资源的不断增加，维护复杂化；3 ) 便于系统管理员更直观地 授权。 2 4 2p r b a c 访问控制结构模型 经过扩展的r b a c 模型如图2 1 0 所示： 角色等级 回 管理角色等级 图2 - 1 0 扩展的r b a c 模型 华北电力大学硕士学位论文 此模型在r b a c 模型的基础上增加了岗位( p o s t ) 这一集合，模型的主要组成元素 有用户集合( u ) ，岗位集合( p ) ，角色集合( r ) ，信息对象集合( o ) 。这样用户直接和岗 位对应，而岗位拥有一个或多个角色，角色拥有一个或多个资源。这样系统管理员可以 更加直观地给工作人员分配权限。权限分配流程如图2 - 1 l 所示： 回一 将资源分配 给角色 回+ 一将霎等菩配 一回 将角色分配给岗位 一南 图2 1 1 权限分配流程 2 5 基于岗位角色的访问控制模型在本课题中的应用 在企业电子文档的管理中，一个方面要保证敏感信息的安全，另一方面还要保 证信息流动的灵活性，即保证敏感信息安全性的基础上还必须保证信息在必要的部 门间合理地流动以达到使企业高效运作的目的。随着访问资源的增加，以及机构人 员的变动，都会使系统的维护复杂化。因此，在考虑敏感信息安全共享的前提下， 需要设计易于系统管理员维护的、直观的电子文档管理系统。本课题在访问控制方 面采用了前面介绍的基于岗位角色的访问控制模型。模型定义了四个元素集合： ( 1 ) 用户集( u ) ：在本课题中指工作人员； ( 2 ) 岗位集( p ) ：一般由实际的行政岗位来确定； ( 3 ) 角色集( r ) ：可以完成一定事务的命名组，在本课题中，对于角色的命 名比较灵活，系统管理员可依照方便性、易维护性的原则进行命名： ( 4 ) 资源集( 0 ) ：在本课题中指电子文档； 电子文档管理系统中，将资源( 电子文档) 按照等级、性质进行分类，然后根 据实际的需要将操作权限分配给已命名的角色，已分配操作权限的角色按照实际工 作的需要分配给已命名的岗位，然后根据用户的职责分配具体的岗位。这样就完成 对用户的授权。当岗位的职责发生变化时，系统管理员只需要根据岗位的新职责增 加或取消某些角色；而当增加用户，或者用户岗位发生变化时，只需要给该用户授 予新的岗位就能完成授权工作。降低了系统管理员的后期维护工作量。 基于岗位角色的访问控制适应了企业特定的安全策略，能够减轻系统安全管理 的负担，而且可随组织结构和安全需求的变化而变化，具有很好的灵活性。 1 6 华北电力大学硕士学位论文 2 6 本章小结 本章首先介绍了访问控制技术的基本原理，介绍了当前常见的三种访问控制技 术：自主访问控制( d a c ) 、强制访问控制( m a c ) 和基于角色的访问控制( r b a c ) ，并 且分析了它们的优缺点。其中重点介绍了本课题所采用的基于角色的访问控制技术 的原理、模型。最后根据企业实际的需要和企业电子文档访问控制的特殊性，在基 于角色的访问控制模型的基础上提出了基于岗位角色的访问控制模型，并介绍了这 一模型在本课题中的应用。 1 7 华北电力大学硕士学位论文 第三章加密压缩技术的原理与应用 3 1 加密技术的基本原理与应用 数据加密技术是最基本的安全技术，被誉为信息安全的核心，最初主要用于保证数 据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息转换成密 文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程被非授权人员所 获得，也可以保证这些信息不被其认知，从而达到保护信息的目的。该方法的保密性直 接取决于所采用的加密算法和密钥长度m ，。 电子文档在企业内部互联网中采用数据库存储，数据的传输就必然通过网络的传送 才能最终到达数据库服务器，当用户使用电子文档时，也是通过网络把数据传送到客户 机，在数据存储、传输的过程中很有可能出现一些意外的安全问题。为了防止电子文档 信息在网络传输过程中遭到非法截取，使得企业敏感信息泄漏，因此有必要在电子文档 进行网络传输过程中对其进行加密处理，加强对电子文档信息的安全保护。 3 1 1 传统数据加密模型 任何一个加密系统至少包括下面四个组成部分： ( 1 ) 未加密的报文，也称明文； ( 2 ) 加密后的报文，也称密文； ( 3 ) 加密解密设备或算法； ( 4 ) 加密解密的密钥。 发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到 密文后，用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，他只能得到无法 理解的密文，从而对信息起到保密作用。 一般数据加密模型如图3 - 1 ： 图3 - 1 一般数据加密模型 1 8 明文x - 华北电力大学硕士学位论文 上图中，明文x 即要保护的原始数据，明文x 用加密算法e 和加密密钥k 得到密文 y 。加密算法可以看作是一个函数变换，明文x 为函数的输入，加密密钥k e 为函数用到 的