（计算机应用技术专业论文）基于dis的分布式委托授权与访问控制研究.pdf

西南交通大学硕士学位论文第1 页 摘要 近年来，随着网络的飞速发展，分布式环境中的访问控制和授权管理作 为信息安全领域的一个重要部分得到了快速发展。公钥基础设施p k i 有效地 解决了身份认证、数据保密和数据完整性等问题，从信息安全角度很好的回 答了“我是谁”，但是对于。我能干什么”这个问题，需要进一步的技术来 解决。引入授权管理基础设施p m i 能弥补p 的不足p m i 和基于角色的访问 控制技术r b a c 相结合，利用属性证书做为用户访问凭证的载体，在分布式 环境中的访问控制和授权管理上起到了十分重要的作用。 本文综合分析了p m i 、属性证书和访问控制技术，研究了p e r m i sp m i 项目的委托授权发布服务( d e l e g a t i o ni s s u i n gs e r v i c e ，d i s ) 组件，然后分析了 现有分布式环境中委托授权技术的优缺点在此基础上，扩展d i s 组件功能， 提出了基于d i s 的分布式委托授权与访问控制方案，从委托授权和访问控制 两个方面分析了该方案的业务处理流程，总结了该方案在分布式环境中实现 分布式协作的优点。 最后，从应用角度分析了两个图书馆之间的基于d i s 的委托授权原型模 型，结合现有的基于x m l 的授权策略，设计了适合分布式环境中跨域访问的 授权管理茇略，发布了策略属性证书和基于r b a c 的用户角色属性证书两类 属性证书，通过a p a c h e 服务器实现用户与d i s 通信的三层模型，实现了a a 委 托d i s 发布属性证书，分析了p e r m i sp m ia p i 实现访问控制的流程和一些关 键类和函数。 关键词：p m i ：r b a c ：访问控制；委托授权；属性证书 西南交通大学硕士学位论文第1 i 页 a b s tr a c t w i t ht h er e c e n td e v e l o p m e n to ft h et e c h n o l o g i e so fn e t w o r k s ，a so n eo ft h e m o s ti m p o r t a n ta r e ao fi n f o r m a t i o n s e c u r i t y , a c c e s s c o n t r o la n dp r i v i l e g e m a n a g e m e n ti nt h ed i s t r i b u t e de n v i r o n m e n th a v eg o tr a p i dd e v e l o p m e n t p u b l i c k e yi n f r a s t r u c t u r e ( p k i ) h a sp r o v e di d e n t i t ya u t h e n t i c a t i o n ，d a t ac o n f i d e n t i a l i t y a n dd a t ai n t e g r i t y i tc a na n s w e rt h eq u e s t i o nw h i c hi s “w h oa mi ”，b u tc a nn o t a n s w e rt h i s q u e s t i o n w h i c hi s w h a tc a nid o ”t h e r e f o r e ，a na d v a n c e d t e c h n o l o g ys h o u l db ei n t r o d u c e d p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ( p m i ) ，a s an e w t e c h n o l o g y a n da g o o dc o m p l e m e n t o fp k i ，c a n p r o v i d es t r o n g a u t h o r i z a t i o n i th a sb e e ni n t r o d u c e dt os u p p o r ta c c e s sc o n t r o la n dp r i v i l e g e m a n a g e m e n t ，t o g e t h e rw i t hr o l eb a s e da c c e s sc o n t r o l ( r b a c ) a n da t t r i b u t e c e r t i f i c a t e ( a c ) t h e yc anw o r kv e r yw e l l t h i sp a p e ra n a l y s e sp m i ，a ca n da c c e s sc o n t r o lt e c h n o l o g i e s ，a n ds t u d y s d i s ( d e l e g a t i o ni s s u i n gs e r v i c e ) w h i c hi s ac o m p o n e n to ft h ep e r m i sp m i p r o j e c t t h e n t h e a d v a n t a g e a n d d i s a d v a n t a g e o ft h e e x i s t i n gd e l e g a t i o n t e c h n o l o g i e sa r ea n a l y z e di nt h ed i s t r i b u t e de n v i r o n m e n t d i si se x p a n d e dt ob e u s e di nt h ed i s t r i b u t e de n v i r o n m e n t ，a n dt h ed i s t r i b u t e dd e l e g a t i o nf r a m e w o r k b a s e do nt h ed i si si n v e n t e d i nt h i sf r a m e w o r k o p e r a t i o nf l o w sc o n t a i n i n g d i s t r i b u t e dd e l e g a t i o na n da c c e s sc o n t r o la r ea n a l y z e d ，a n dt h ea d v a n t a g eo f d e l e g a t i o nb a s e do nt h ed i si sc o n c l u d e di nt h ed i s t r i b u t e de n v i r o n m e n t f i n a l l y , ad e l e g a t i o nm o d e lb a s e do nt h ed i si sd e s i g n e db e t w e e n ap r o v i n c e l i b r a r ya n dau n i v e r s i t yl i b r a r y t h i sp a p e ra n a l y s e st h ee x i s t i n gp o l i c yw h i c hi s d e s c r i b e db yx m l ，a n dt h e nd e s i g n st h ea c c e s sc o n t r o lp o l i c y t h ep o l i c yi s s u i t a b l ef o ru s ei nt h ed i s t r i b u t e de n v i r o n m e n t t w os t y l e so fa c sa r ei s s u e d t h e ya r et h ep o l i c ya c sa n dt h er o l ea c s t h ec o m m u n i c a t i o ni si m p l e m e n t e d b e t w e e nt h eu s e ra n dd i sa sat h r e et i e r e dm o d e lv i aa na p a c h ew e bs e r v e r t h e d i sc a ni s s u ea c so nb e h a l fo fo t h e ra h s f o ri m p l e m e n t i n ga c c e s sc o n t r o l ， s o m e m a i nc l a s s e sa n df u n c t i o n sw i t h i nt h ep e r m i s p m ia p ia r ea n a l y z e d k e yw o r d s ：p m i ；r b a c ；a c c e s sc o n t r o l ；d e l e g a t i o n ；a c 西南交通大学硕士学位论文第1 页 第1 章绪论 本章简要介绍授权管理和访问控制研究的背景与现有的技术规范以及本 文的研究思路和主要工作。 1 1 研究背景 计算机网络给世界经济以及人们的生活带来了巨大的变革，人们可以通 过网络有效地实现资源共享，但资源共享和信息安全是一对矛盾体。如今， 网络服务已经从封闭式的简单文件共享转向开放式网络环境下的多种应用共 享。随着资源共享的加强、复杂的网络结构以及广泛的应用服务对信息安全 发出了全新挑战，提出了更高的安全要求，信息安全问题也日益突出。授权 管理和访问控制是信息安全的两个重要内容，是当前信息安全领域中的研究 热点，同时它也是一个难点。 在大中型机构中，网络结构相对比较复杂，应用系统和用户都是分散的， 因此对用户的访问控制和授权管理就显得非常的复杂和零乱。而不同的应用 系统通常采用不同的安全策略，应用系统交得越来越复杂，甚至难以控制。 当不同机构的应用系统需要相互协作时，情况会交得更加复杂。管理机构必 须要能够控制有“谁”能够访问系统的信息，访问的是“什么信息”，即某用 户被授予什么样的“权限”。当应用系统确定了权限管理策略，在访问控制时 就可以根据策略来控制用户的访问，从而保护应用系统。 过去，应用系统通常是通过用户名和口令的方式来实现访问控制和授权 管理，其管理方式单一、灵活性差、安全性也不能得到保障。传统的权限管 理比较滞后，每个应用系统针对所保护的资源都有一套自己的管理方案，没 有统一的、成熟实用的权限管理方案，这导致了许多问题，同时也促进了权 限管理的发展。 2 0 世纪8 0 年代美国学者提出了公钥基础设施p k i ( p u b l i ck e y i n f r a s t r u c t u r e ) ，它是基于公开密钥技术和数字证书建立起来的安全体系，为 用户提供在线身份认证，并为加密和数字签名等密码服务提供密钥和证书管 理等l l 】。p k i 技术基本成熟，并在大规模的应用后，身份认证得到了很好的 西南交通大学硕士学位论文第2 页 解决。但人们逐步认识到身份认证并不是信息安全的全部，它不能满足网络 信息安全中不同人对特定应用资源的特定操作要求。 如何在利用p k i 技术的同时能有效地结合访问控制机制进行授权服务， 如何在身份相对固定但权限随环境不断变化的情况下提供授权服务和权限管 理是当前网络信息安全研究所面临的一个挑战。为此，人们考虑扩展身份认 证技术，增加公钥证书的扩展项，使其能够支持授权。然而，不同系统有各 自不同的扩展策略，不同应用系统之间的互操作非常困难；另外，用户的权 限非常易变，当用户数目很大时，大量的管理工作、频繁的更新和撤消所带 来的沉重负担使系统难以正常运行。维护授权信息相对于维护身份信息的代 价要高的多 人们已经认识到需要超越当前p k i 提供的身份验证和机密性，步入授权 领域，进一步加强用户对信息资源的访问控制。以提供强度更高、粒度更细 的信息安全控制策略，确保网络信息资源的安全性。为此，p m i ( p r i v i l e g e m a n a g e m e n ti n f r a s t r u c t u r e ) 实际提出了一个新的信息保护基础设旄，能够系统 地建立起对认可用户的授权。建立在p k i 基础上的p m i ，对权限管理进行了 系统的定义和描述，已经将权限管理研究推到了应用前沿，且p m i 系统的权 限管理和访问控制已经有了很多标准，其中比较有代表性的有： 1 9 9 5 年发布了访问控制标准框架【8 】1 9 ( i s o i e c l 0 1 8 1 3 1 n u - t r c c x 8 1 2 ) ，主要定义了访问控制的基本概念、通用的访问控制服务机制、 访问控制服务和机制的协议功能需求和访问控制的管理需求，阐明了访问控 制服务和机制与其他安全服务和机制的相互作用关系。 1 9 9 7 年，x 5 0 9 ( v 3 ) 2 】中定义了基本的属性证书语法( 属性证书第1 版) 。 鉴于以x 5 0 9 ( v 3 ) 为基础的p k i 系统中身份的持久性与用户权限的短暂性之 间的矛盾日益显著，在2 0 0 0 年发布的x 5 0 9 ( v 4 ) t 3 l ，【4 】中定义了p m i 的框架结 构，其中定义了扩展属性证书的语法( 属性证书第2 版) ，提出授权管理基础 设施p m i 的概念，规定了委托路径处理，定义了标准p m i 扩展集，并增加 了目录服务对象定义。p m l 分离了x 5 0 9 ( v 3 ) 标准中p k i 的权限管理功能， 提供更为严格、方便和高效的访问控制机制，是一种在p k i 系统基础上实现 访问权限管理的体系另外，将r b a c 访问控制模型应用于p m i ，可以解决 用户身份长期性与角色易变性之间的矛盾，可以为权限生命周期管理，权限 表达和管理提供高效的管理方案嘲。 2 0 0 0 年o p e n g r o u p 提出了授权a r i ( a z n a f 0 1 6 i ，定义了标准应用编程接 西南交通大学硕士学位论文第3 页 口，用来实现访问控制体系结构符合i $ o i e c1 0 1 8 1 3 i i t u - tr e c x 8 1 2 规定 的系统 2 0 0 0 年n i s t ( n a t i o n a l i n s t i t u t e o f s t a n d a r d s a n d t e c h n o l o g y ) 发布了基于角 色的访闯控制建议标准，定义了r b a c ( r o l e - - b a s e d a c c e s sc o n t r 0 1 ) 的参考模 型川 目前，i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 关于p m i 的标准正在制定当 中，r s a 组织己经提出班t f 草案a ni n t e r n e ta t t r i b u t ec e r t i f i c a t ep r o f i l ef o r a u t h o r i z a t i o n 。 从总体上看，p m i 理论日益成熟，其目标是向用户和应用系统提供授权 管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式 相对应的、与具体应用系统开发和管理无关的授权管理和访问控制机制，简 化具体应用系统的开发与维护，并减少管理成本和复杂性。 1 2 本文研究思路与主要工作 本文研究思路如下：第一章绪论；第二章简单介绍与授权管理密切相关 的访问控制技术；第三章介绍基于p k i 技术发展起来的授权管理基础设旅 p m i 的相关技术，包括p m i 体系结构、p m i 模型和属性证书等；第四章介绍 分析委托授权发布服务d i s 的模型、d i s 的优点以及d i s 定义的证书扩展项 和证书链的验证等；第五章提出了基于d i s 的分布式授权模型，分析了委托 授权发布以及访问控制的实现流程；第六章在第五章的基础之上，设计了两 个图书馆之间的资源共享原型系统，实现了基于d i s 的委托授权证书发布以 及实施访问控制；第七章是本文研究工作的结论与展望，对论文所做的工作 做了总结，并指出了进一步研究工作的展望与设想。 本文反映了作者在跨域授权管理方面取得的一点成果。结合委托授权发 布服务d i s ，在分析研究现有授权管理技术和d i s 的基础之上，提出了基于 d i s 的跨域授权管理模型。 论文主要工作有： 综合分析访问控制技术，指明传统访问控制方法的不足以及基于角色 访问控制的优势。对p m i 技术进行分析，指明将身份认证和授权管 理进行分离的必要性，同时指出属性证书为在分布式系统中的访问控 制提供了有力的支持。 西南交通大学硕士学位论文第4 蕴 分析了委托授权发布服务d i s 的工作原理，研究了基于d i s 的三个 扩展模型和证书扩展项。针对不同扩展模型，讨论了证书发布原理以 及证书验证路径，总结了d i s 委托授权发布服务的优点。 提出了基于d i s 的分布式授权方案，从委托授权和访问控制两个方面 讨论了委托授权模型以及访问控制模型两个子模块。 利用两个图书馆之问的跨域资源共享原型系统模型来验证基于d i s 的分布式委托授权和访闯控制，并进一步研究设计了授权策略和属性 证书，实现了d i s 代替从发布属性证书以及使用p e r m i s p m l a p i 时序图来讨论访问控制的业务流程。 西南交通大学硕士学位论文第5 页 第2 章访问控制技术 网络安全体系包括五大安全服务功能：身份认证服务、访问控制服务、 数据保密服务、数据完整性服务、不可否认性服务。其中，访阋控制服务在 网络安全体系结构中具有举足轻重的作用，它可以限制对资源的访问，防止 非法用户入侵或者合法用户越权操作。 访问控制( a c c e s sc o n t r 0 1 ) 是信息安全保障机制的核心内容，它是实现数 据保密性和完整性机制的主要手段。访问控制体系一般都包括主体( 发出访问 请求的主动方) 、客体( 系统中可控制的资源，即被访问的对象) 和访问控制 策略( 一套规则，以确定主体对客体所具有的访问权限) 。访问控制通过访问 控制策略限制访问主体对访问客体的访问权限，从而使资源在合法范围内被 使用。访问控制机制决定用户及代表特定用户利益的程序能做什么以及做到 什么程度p j 在i s 0 1 0 1 8 1 3 访问控制模型9 】中定义了四个主要的访问控制功能元件， 即发起主体0 n i t i a t o r ) 、访问目标( t a r g e 0 ，访问控制执行单元( a c c e s sc o n t r o l e n f o r c e m e n tf u n c t i o n s ，a e f ) 和访问控制决策单元；( a c c e s sc o n t r o ld e c i s i o n f u n c t i o n s , a d f ) ，如图2 1 所示： 图2 1 访问控制模型 访问控制模型的四个主要的访问控制功能元件： 发起主体：指资源使用者或可执行程序等系统实体的主动部分； 访问控制执行单元a e f ：负责建立访问者与访问目标之间的通讯，其 操作必须按照a d f 的决策结果来实施： 访问控制决策单元a d f ：是访闯控制系统的核心部分，根据a e f 传 西南交通大学硕士学位论文第6 页 送的操作要求及相关的访问控制决策信息( a c c e s sc o n t r o l d e c i s i o n i n f o r m a t i o n ，a d n ，做出正确的访问控制决策结果并交给a e f 做进 一步的操作； 访问目标：指网络资源、数据库资源、w e b s e r v e r 资源、系统文件等 属于系统实体的被动部分。 当前，访问控制技术已经十分成熟，在研究和应用中已经取得了很多成 果，提出了我们目前主要使用的自主访问控制d a c ( d i s c r e t i o n a r ya c c e s s c o n t r 0 1 ) 、强制访问控制m a c ( m a n d a t o r y a c c e s sc o n t r 0 1 ) 和基于角色的访问控 制r b a c ( r o l eb a s e da c c e s sc o n t r 0 1 ) - - - 种访问控制模型【1 0 】。 2 1 自主访问控制( d a c ) 自主访问控制( d a c ) 【8 1 ，【l o 】是基于访问者的身份或其所属的工作组进行访 问控制。在基于d a c 的系统中，主体的拥有者负责设置访问权限。另外， 一个或多个特权用户也可以改变主体的控制权限。通常d a c 通过授权列表 ( 或访问控制列表) 来限定哪些主体对哪些客体可以执行什么操作。因此，d a c 可以非常灵活地对策略进行调整。 自主访问控制中，用户可以针对被保护对象制定自己的保护策略。 每个主体拥有一个用户名并属于一个组或具有一个角色； 每个客体都拥有一个限定主体对其访问权限的访问控制列表( a c l ) ； 每次访问发生时都会基于访问控制列表检查用户标志以实现对其访 问权限的控制。 自主访问控制一个最大缺点是主体的权限过大，无意闻就可能泄露信息， 而且不能防备特洛伊木马的攻击。 2 2 强制访问控制( m a c ) 强制访问控制( m a c ) 嘲，【1 0 】就是系统给每个客体和主体分配了不同的安 全属性，而且不易被修改。系统通过比较主体和客体的安全属性决定主体对 客体操作的可示性。 强制访问控制用来保护系统确定的对象，用户不能更改该对象。即系统 西南交通大学硕士学位论文第7 页 独立于用户行为，强制执行访问控制，用户不能改变他们的安全级别或对象 的安全属性。在强制访问控制系统中，所有主体和客体都被分配了安全标签， 安全标签标识一个安全等级。 主体被分配一个安全等级； 客体也被分配一个安全等级； 访问控制执行时对主体和客体的安全级别进行比较。 强制访问控制在自主访问控制的基础上，增加了对主体和客体的安全属 性划分，规定不同属性的访问权限，并引入了安全管理员机制，增加了安全 保护层，可防止用户无意或有意使用自主访问的权利。强制访问控制的安全 性比自主访问控制的安全性有了提高，但灵活性有所下降。 2 3 基于角色的访问控制r b a c 基于角色的访问控制技术( r b a c ) 1 8 】【1 2 】出现于9 0 年代，“角色”概念的出 现有效地克服了自主访问控制d a c 和强制访问控制m a c 的缺陷，降低了授 权管理豹复杂性，更加有利于安全策略的实箍。 r b a c 对访问权限的授权由管理员统一管理，将授权规定强加给用户， 用户被动接受，不能自主地决定。用户也不能自主地将访问权限传给他人， 是一种非自主访问控制。用户以什么角色访问资源，决定了用户拥有的权限 以及可执行的操作。所以在r b a c 中，访问的主体变成了角色。为了提高效 率，避免相同权限的重复设置，r b a c 采用了“角色继承”的概念，定义了 这样的一些角色，它们有自己的属性，但可能还继承其他角色的属性和权限。 角色继承把角色组织起来，能够很自然地反映组织内部人员之间的职权、责 任关系。 r b a c 描述了一些访问控制规则： 如果一个主体不具有任何角色，那么该主体无权执行任何事务，这一 规则保证任何主体只有通过角色才能完成其功能，而不能绕过角色直 接访问客体； 一 主体的活动角色必须经过授权，即确保用户只能扮演经过授权的角 色； 如果某个主体要执行某个事务，那么事务必须授权给该用户的当前角 色。 西南交通大学硕士学位论文第8 页 r b a c 还采用了最小特权原则的思想【8 】。所谓最小特权原则是指：用户 所拥有的特权不能超过他执行工作所需的权限实现最小特权原则，需要分 清用户的工作职责，确定执行该项工作的最小权限集合，只有角色需要执行 的操作才授权给角色，然后将用户限制在这些权限范围之内在r b a c 中， 可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只有 角色需要执行的操作才授权给角色当一个主体访问目标资源时，如果该操 作不在主体当前活跃角色的授权操作之内，访问将被拒绝。 n i s t 制定的标准r b a c 模型包括四个部分：核心r b a c ，等级r b a c 以及约束r b a c 中的静态职责分离和动态职责分离。 2 3 。1 核心r b a c 模型 核心r b a c 定义了能构成一个r b a c 控制系统的最小的元素集合。定 义了一个r b a c 模型的五个基本要素：使用者、角色、资源对象、操作、权 限： 访问对象( o b j e c t s ) 是指包含或接收信息的对象，是访问控制系统保护 的资源。 操作( o p e r a t i o n s ) 是指对一个或多个访问对象执行的指令。操作的类型 与访问对象有关，例如访问对象是一个文件，操作就应包括读文件、 写文件；如果对象是数据库，操作就包括插入记录、删除记录、添加 记录和更新记录。 使用者( u s e r s ) 是指使用访问控制系统试图操作访问对象的人( 有时也 可以是机器，网络，智能设备等1 。 。 权限( p e r m i s s i o n s ) 是指对一个或多个访问对象的操作的许可。如允许 读一个指定的文件。 角色( r o l e s ) 是指一个组织或任务中的工作或位置，它代表了一种资 格、权利和责任。 会话( s e s s i o n s ) 对应于一个用户以及一组激活的角色。用户每次必须 通过建立会话来激活角色，得到相应的访问权限。 核心r b a c 同时定义这些要素之间的关系： 用户分配( u a ) 是从用户集合到角色集合的多对多映射，表示用户被赋予 的角色。 西南交通大学硕士学位论文第9 页 权限分配( p a ) 是从权限集合到角色集合的多对多映射，表示角色被赋予 的权限。 核心r b a c 模型【1 2 】( 如图2 2 所示) 是最基本的r b a c 模型该模型支持 角色访问控制的最小特权原则，体现了最基本的角色控制思想。该模型中“用 户一角色”和“角色一权限”之间用双箭头相连表示用户角色分配u a 和角 色权限分配p a 关系都可以是多对多的关系。也即，同一个用户可以有多个 角色，一个角色可分配给多个用户同样地，一个角色可以拥有多个权限， 一个权限可被多个角色所拥有。 图2 2 核心r b a c 模型 每个会话是从用户到角色的映射，也就是说用户激活分配给它的角色子 集来建立角色，每个会话与一个用户相关联，而每个用户可以发起一个或多 个会话。会话角色通过建立会话提供一个激活的角色，用户会话把一个用户 与特定的会话相关联。用户可以获得的权限是用户会话中激活的当前角色所 具有的权限。 为了对系统资源进行存取，用户需要建立会话，每个会话将一个用户与 他所对应的角色集中的一部分建立映射关系，这一角色子集称为被会话激活 的角色集。在本次会话中，用户可以执行的操作就是该会话激活的角色集对 应的权限所允许的操作。一个用户可以在工作站上打开多个系统应用窗口， 与系统建立多个会话，每个会话激活的角色集可能不一样，即便是为了完成 某一特定的操作而建立的一系列会话中，也可能包含有不同的角色。 2 3 2 等级r b a c 模型 等级r b a c 模型【3 l 】( 如图2 - 3 所示) 又称为层次r b a c 模型，是指在核心 r b a c 的基础上引入角色层次关系，也就是角色间权限继承关系，高级角色 继承低级角色的权限。数学上是一个偏序关系。角色继承把角色组织起来， 西南交通大学硕士学位论文第1 0 页 能够很自然地反映组织内部人员之间地职权、责任关系。高级角色继承低级 角色的权限。r b a c 模型引入“角色继承”概念可以避免相同权限的重复设 置，提供授权管理的效率。 。 、 角色等级 2 3 3 约束r b a c 模型 图2 - 3 等级r b a c 模型 约束r b a c 模型( 如图2 4 所示) ，是在核心k b a c 模型的基础上定义 了描述复杂安全策略的约束条件( 职责分离) ，包括静态职责分离和动态职责 分离。静态职责分离是指用户不能被授权为多个互斥的角色，亦即只有当一 个角色与用户所属的其他角色彼此不互斥时，这个角色才能授权给该用户 用于用户指派阶段动态职责分离是指用户不能同时扮演多个活跃角色，也 就是说只有当一个角色与主体的任何一个当前活跃角色都不互斥时，这个角 色才能成为该主体的另一个活跃角色。用于角色激活阶段 图2 4 约束r b a c 模型 约束r b a c 也可对角色可分配的最大用户数和对话建立时问进行约束。 西南交通大学硕士学位论文第1 1 页 2 4 访问控制技术的比较 基于角色的访问控制( r b a c ) 是在自主访问控制( d i s c r e t i o n a r ya c c e s s c o n t r 0 1 ) 和强制访问控制( m a n d a t o r ya c c e s sc o n t r 0 1 ) 的基础之上发展起来的一 种策略中立的、具有强扩展性的访问控制框架。r b a c 与访问者的身份认证 密切相关，通过确定合法访问者的身份来确定访问者在系统中对哪类资源有 什么样的访问权限。它实际上是一种强制的访问控制模型，即用户自己不能 进行自主授权和权限转移，但是它没有如m a c 中那样限制信息的流向，而 是引入了一种抽象的中介元素角色来传递授权信息，从而提供了足够的灵活 性和扩展性。因此基于角色的访问控制r b a c 更符合组织中人与人的角色关 系，贴切的描述了集团或者公司的组织结构，非常适合于大型企业集团或者 经济团体的主体访问控制的定义。 同其它的访问控制方式相比，r b a c 具有以下几个好处1 3 1 l ： 简化系统管理，减少新雇员停工期，提高组织生产力； 增加系统安全和完整性； 量化r b a c 的优点。 本文中研究的访问控制是建立在分布式环境下，实现各个不同资源域之 问的互访问。使用r b a c 定义域内的资源访问配置规则，将域内的资源分配 给不同角色的不同的访问权限。实现用户的最小权限原则。对于跨域的访问， 需要在不改变原有安全策略的基础上，实现资源的互访，首先要解决不同域 之间的认证问题，然后不同域的访问控制规则需要对所有客户端的访问主体 加载，包括从非本地域发出的访问请求本文试图通过使用跨域角色分配的 方法，实现分布式环境下的跨域安全访问控制。 2 5 本章小结 本章主要介绍了三类常用的访问控制技术：自主访问控制技术、强制访 问控制技术及目前较为流彳亍的基于角色的访问控制技术。并重点介绍了基于 角色的访问控制技术，详细叙述了核心r b a c 模型、等级r b a c 模型和约束 r b a c 模型三种基于角色的访问控制模型。总结了三种访问控制模型的优缺 点，提出了本文将使用的访问控制技术。 西南交通大学硕士学位论文第1 2 页 第3 章p m i 基本原理 随着公钥基础设施p k i 的曰趋完善，各种基于p k i 的应用广泛开展。随 着应用的深入，在许多应用领域中出现处理个人的权限或者属性信息的需求， 某些情况下，这种需求的重要性己经超越身份认证人们开始意识到，当需 求超越当前p k i 所能提供的身份认证和机密性，步入授权验证领域时，迫切 需要将身份和权限分开认证，提供授权管理成为一个新的目标。 p m i 使用属性证书作为权限信息的载体，通过管理证书的生命周期实现 对权限生命周期的管理，向用户和应用系统提供授权管理服务。而且，使用 属性证书进行授权管理的方式使得权限的管理不必依赖某个具体的应用，有 利于权限的分布式应用。 3 1 p m i 体系结构 图3 - 1p m i 体系结构 p m i 是授权源s o a ( s o u r c eo fa u t h o r i t y l 、属性权威a a ( a t t r i b u t e a u t h o r i t y ) 、属佳证书a t ( a t t r i b u t ec e r t i f i c a t e ) 、属性注册权威a r a ( a t t r i b u t e 西南交通大学硕士学位论文第1 3 页 r e g i s t r a t i o n a u t h o r i t y ) 以及证书目录服务器等部件的集合体，用来实现权限和 属性证书的产生、管理、存储、分发和撤销等功能 授权源s o a 是特权的最终签发者，所有特权均从s o a 开始进行授权， s o a 是属性证书授权链的终结节点。 属性权威a a 是用来生成并签发属性证书的机构，它负责管理属性证书 的整个生命周期。 属性证书a c 是绑定实体和其权限的一个经过数字签名的数据结构，由 属性权威签发并管理，它包括一系列特别的证书扩展机制。为了与属性证书 a c 相区别，下面我们称身份证书为公钥证书p k c ( p u b l i ck e yc e r t i f i c a t e ) 结合i s 0 1 0 1 8 1 3 访问控制模型，可以用图3 - 1 来描述p m i 体系结构【矧。 该模型通过访问控制执行模块和访问控制决策模块来实现权限验证服务。 3 1 。1 授权源s o a 授权源s o a 是整个授权管理体系的根节点，也是整个授权管理体系的最 终权限信任源和最高管理机构，相当于p k i 系统中的根c a 。授权源s o a 的 职责主要包括授权策略的管理，属性权威的申请审核、设立以及管理，还包 括授权管理的业务规范或相关制度等。 3 1 2 属性权威从 属性权威a a 是p m i 的核心服务节点，是对应于具体应用系统的授权管 理子系统，负责对终端实体或者其他授权管理机构进行授权，是签发属性证 书的实体。在授予一种权限前，从必须已经拥有该权限。这意味着a a 必 须己经被授予这项权限或者是这项权限之源。 a a 完成属性证书的签发和管理( 包括更新、注销、归档等) ，a a 代理点 的审核、设立和管理，设置访问权限，同时定期签发属性证书注销列表a c r l ( a t t r i b u t ec e r t i f i c a t e r e v o c a t i o nl i s 0 和属性权威机构注销列表a a r l ( a t t r i b u t e a u t h o r i t yr e v o c a t i o nl i s 0 。a c r l 是存放终端用户无效的属性证书 序列号的列表，a a 认为这些证书不再有效；a a r l 只能由可以签发a a 证 书的属性权威机构签发，表示某些其管理的属性权威机构已失效，不能再签 发属性证书了。 a a 可分为两类：一类相当于s o a ，可以签发a a 证书；另一类则只签 西南交通大学硕士学位论文第1 4 页 发终端用户属性证书，不能签发a a 证书。 另外，a a 需要为其所签发的所有属性证书维持一个历史记录，并对系 统的日志进行记录，以便对系统的操作历史和现状进行及时监查和审计。 3 1 3 属性注册权威a r a ，属性注册权威a r a 是用户与从的接口，它所验证的用户信息的准确 性是a a 签发属性证书的基础。 注册是用户向a r a 自我介绍的过程，a r a 核实用户信息。这里的用户， 是指将要向a a 申请属性证书的实体，它可以是个人，也可以是集团、企业 等机构。对应一个属性权威机构可能有多个a r a ，a r a 也可以是远程的， 可以根据需要并报从批准设立a r a 。 一般情况下，属性注册权威a r a 是一个独立的机构，负责管理用户信 息，属性证书的申请、注销、更新请求等。对于一个规模较小的p m i 系统来 说，可以把a r a 并入a a ，不设立独立运行的a r a 3 1 4 属性证书a c 属性证书是一种轻量级的数字证书，这种数字证书不包含公钥信息，只 包含证书所有入i d 、发行证书i d 、签名算法、有效期、属性等信息。这种 证书利用属性来定义每个证书持有者的权限、角色等信息，从而可以弥补p k i 不支持授权服务的不足，对信任进行一定程度的管理。 在x 5 0 9 ( v 3 ) i 正书规范中引入了属性证书的概念，x 5 0 9 ( v 4 ) 进一步描述 了属性证书与公钥证书的关系以及属性证书的使用模式。属性证书是标志实 体属性信息的一系列数据的集合，它通过一种非常简单的方式支持基于角色 的访问控制( r b a c ) 。通常的过程是：预先颁发一些定义角色的x 5 0 9 属性证 书，它定义角色的权限；然后再为最终用户颁发一个属性证书，该属性证书 里为用户指定一个或多个角色。 基于属性所表征的权限、角色及约束等相关语意，属性证书不但可以安 全地实现权限的分配和验证，而且还可以方便地实现基于角色的访问控制和 代理授权，这使得权限的管理和分配更加高效和灵活。 ( | 一) 属性证书结构 西南交通大学硕士学位论文第1 s 页 属性证书由s o a a a 颁发，采用a s n 1 语法定义。r r u t 在1 9 9 7 年发 布的x 5 0 9 ( v 3 ) 中开始增加了属性证书a c 的概念，2 0 0 0 年发布的x 5 0 9 ( v 4 ) 详细描述了属性证书第二版本r r u tx 5 0 9 ( 2 0 0 1 ) 和i e t fr f c 3 2 8 1 ( 2 0 0 2 ) 是关于x 5 0 9 属性证书的较新的标准，其中对a c 的语法结构和语义有较为 明确的定义。其格式如表3 - 1 所示： 表3 - 1 属性证书格式 v e r s i o n 一 版本号 r “ 。证书持有者， b a s e c e r t i f i c a t e i d ，e n t i t y n a m e ， h o i d e r o b j e c t d i g e s t l n f o 三者中选择一个作为持有者标识 i s s u e r颁发者名字，建议使用g e n e r a l n a m e 标识颁发者名字 颁发者产生的证书所对应的唯一标识符，颁发者与证书 s e r i a ln u m b e r 序列号在a c 中必须是唯一组合 验证a c 签名的算法标识符，是由 s i g n a t u r ea l g o r i t h m p k a i g s 定义的签字算法 a t t r i b u t e属性证书有效期，采用g e n e r a l i z e d t i m e 类型 c e r t i f i c a t en 0 t b e f o ”有效期开始 v a l i d i t yp e r i o dn o ta f t e r有效期结束 a c 持有者的属性信息。与具体应用有关，若a c 用于授 a n r i b u t e权，属性就是特权。每个a c 至少持有一个属性。属性序 列由属性类型和属性值构成 i s s u e r u n i q u e 可选项，用于标识颁发者 。 i d e n t i f i e r 可选项，定义持有者相关附加信息或其他私密信息，可 e x t e n s i o n 以标记为c r i t i c a l 或n o n c r i t i c a l 属性证书是由信任源或属性权威数字签发的，将属性与证书主体捆绑在 一起，通过自由定义属性类型满足应用需求的数据结构。属性证书具有以下 特性： 属性的验证者必须能够验证持有者与证书中的名称是相符的。声明具 有该属性的实体应该提交签名的身份证书，以证明自己是相应公钥的 拥有者。 西南交通大学硕士学位论文第1 6 页 是由颁发者和序列号共同确定的、特定的数字签名证书。属性验证者 必须能够确保属性真实性。 声明者与证书( 指身份证书) 私钥持有者是同一个人。 a c 可以与p k c 联合使用，实现各种访问控制功能。a c 的最主要应用 在于授权管理和访问控制服务。使用属性来说明用户对目标资源的访问权限， 相对于基于身份访问控制机制的优点是可扩展性好和易于维护。传统的基于 身份访问控制机制，当增加用户或是改变权限都需要修改对象的访问控制列 表( a c l ) ，导致a c l 过于庞大或是集中式的列表不易应用于分布式系统。而 使用属性证书的基于角色访问控制机制，可以更好的解决由于用户数量增加 和属性改变所产生的问题。此外，使用a c 的访问控制策略按照主体属性的 类别和有效期作出访问决策，容易理解、易于维护 ( 二) 属性证书扩展 与公钥证书相类似，为了适应各种不同的、复杂的应用环境，属性证书 数据结构中，除了定义基本字段以外还提供大量的属性证书扩展描述，提供 了丰富的功能选项。x 5 0 9 ( v 4 ) 阐述的扩展主要包括以下五个方面：基本权限 管理扩展、权限撤销扩展、权威源点扩展、角色扩展和权限委托扩展。 基本权限管理扩展表达了与权限断言相关的信息，标准基本权限管理 扩展字段及其描述的需求如下所示： 扩展字段所描述的需求 时间规范扩展描述了权限断言时需要对时间的约束关系 目标信息扩展指定属性证书用于一组特定的服务服务器 用户通告扩展用于证书发布者描述权限声称者验证者所需的信息 可接受权限策略扩展描述可用的授权策略证书的约束 权限撤销扩展表达了证书撤销状态相关的信息，标准权限撤销扩展字 段及其描述的需求如下所示： 扩展字段所描述的需求 撤销分布点扩展与公钥证书相似，给出了证书撤销信息发布的地点 无撤销信息扩展指出无撤销信息对证书来说