（计算机软件与理论专业论文）数字内容保护系统中访问控制模型的研究与实现.pdf

摘要 随着计算机网络技术的飞速发展以及信息化建设的推进，数字信息在企事业单位 内以及人们的r 常生活中发挥着越来越重要的作用。然而，由于数字信息具有易于复 制、修改和传播的特征，使得带有敏感信息的数字内容容易被窃取和泄漏。因此，如 何有效实现数字内容保护已经成为多媒体领域研究的热点问题。其中，数字版权管理 ( d 1 w ) 技术在保护数字内容方面发挥了重要的作用，但是d r m 系统缺乏有效的访问 控制机制，限制了d r m 技术在企业内部数字内容保护方面的应用和发展。 本文以企业内人员数量多、需要保护的敏感信息众多且分布分散为背景，从保护 数字内容的安全性、提高授权管理的灵活性出发，深入分析了数字版权管理技术和现 有的访问控制模型。研究和探讨了一种新的访问控制模型来适应d r m 在企业环境的 应用。本文主要进行了以下三方面的研究： 首先，介绍了数字版权管理的相关技术及其在保护电子文档方面的应用，分析了 d r _ m 中的访问控制模型的研究现状，以及将其应用到企业时存在的问题。 其次，分析了访问控制模型的研究状况及发展，在基于角色的访问控制模型的基 础上，提出了基于角色资源树的访问控制模型：r r t b a c 模型。该模型以角色为基 础，将客体资源按照属性进行抽象和划分，把客体资源组织成资源树，在角色上对资 源树中的结点进行授权。用户通过角色获得对资源结点的访问权限。该模型通过引入 角色和资源树的概念提高了对用户和客体资源的有效管理，同时也保护了客体资源的 安全性。 最后，将r r t b a c 模型应用于基于d r m 的电子文档保护系统中，详细介绍了 系统中与访问控制有关的管理模块和文档使用控制模块的设计与实现，对系统进行测 试，测试结果表明r r t b a c 达到了保护数字内容的安全性和提高授权管理的灵活性 的目标。 关键词：数字版权管理，访问控制，基于角色的访问控制，基于角色资源树的访问控 制 a bs t r a c t w i t ht h er a p i dd e v e l o p m e n to fn e t w o r kt e c h n o l o g ya n dt h ea d v a n c eo fi n f o r m a t i o n t e c h n o l o g y , d i g i t a li n f o r m a t i o nh a sp l a y e dm o r ea n dm o r ei m p o r t a n tr o l ei ne n t e r p r i s e sa n d i n s t i t u t i o n sa sw e l la sp e o p l e sd a i l yl i f e t h ed i g i t a lc o n t e n ti se a s i l yt h e f ta n dl e a k e dw h i c h h a st h es e n s i t i v ei n f o r m a t i o nb e c a u s ei ti se a s i l yc o p i e d ，m o d i f i e da n ds p r e a d t h e r e f o r e ， h o wt op r o t e c td i g i t a lc o n t e n te f f e c t i v e l yh a sb e c o m eah o t s p o ti nt h ef i e l do fm u l t i m e d i a d i g i t a lr i g h t sm a n a g e m e n t ( d r m ) i sas i g n i f i c a n tt e c h n o l o g yt op r o t e c td i g i t a li n f o r m a t i o n ； h o w e v e r , i ti sl a c ko fe f f e c t i v ea c c e s sc o n t r o lm e c h a n i s ms ot h a ti tc o n s t r a i n st h e a p p l i c a t i o n sa n dd e v e l o p m e n to fd r m i nt h et h e s i s ，o nt h eb a c k g r o u n do fal o to fs t a f fa n ds e n s i t i v ei n f o r m a t i o ni nt h e e n t e r p r i s ec i r c u m s t a n c e s ，i no r d e rt op r o t e c tt h ed i g i t a lc o n t e n ta n di m p r o v et h ef l e x i b i l i t y o fa u t h o r i z e dm a n a g e m e n tw ed e e p l ya n a l y z e d d i g i t a lr i g h tm a n a g e m e n ta n de x i s t i n g a c c e s sc o n t r o lm o d e l w e p u tf o r w a r d an e wa c c e s sc o n t r o lm o d e lt os o l v et h ep r o b l e m t h e m a i n j o b sa r ea sf o l l o w s ： f i r s to fa l l ，t h et h e s i si n t r o d u c e dd r mt e c h n o l o g y , a n da n a l y z e dt h es t a t u sq u oo f a c c e s sc o n t r o lm o d e li nd r ma n dt h ep r o b l e mo f e x i s t i n gm o d e l s e c o n d l y , h a v i n ga n a l y z e ds t a t u sq u oa n dd e v e l o p m e n to fa c c e s sc o n t r o l ，w ep r o p o s e d an e wa c c e s sc o n t r o lm o d e lb a s e do nr o l ea n dr e s o u r c et r e e ，w h i c hi sc a l l e dr - r t - b a c m o d e l i nt h i sm o d e l ，t h eo b je c tr e s o u r c e sa r ed i v i d e di n t od i f f e r e n tr e s o u r c es e t sa c c o r d i n g t ot h ed i f f e r e n ta t t r i b u t e sa n do r g a n i z e dt h er e s o u r c et r e e t h r o u g hi n t r o d u c i n gt h ec o n c e p t o fr o l ea n dr e s o u r c e t r e ei n t oa c c e s sc o n t r o l ，n o to n l yt h em a n a g e m e n tf o rs t a f fa n dr e s o u r c e i se f f e c t i v e l yi m p r o v e db u ta l s ot h es a f e t yo fr e s o u r c ei ss t r e n g t h e n e dr e m a r k a b l y f i n a l l y , r - r t b a cm o d e li sa p p l i e dt od r m - b a s e de l e c t r o n i cd o c u m e n tp r o t e c t i o n s y s t e m t h i st h e s i sh a si n t r o d u c e dt h ed e s i g na n di m p l e m e n t a t i o no fm a n a g e m e n tm o d u l e a n dd o c u m e n tu s a g ec o n t r o lm o d u l ea s s o c i a t i n gw i t ha c c e s sc o n t r o li nd e t a i l t h et e s t r e s u l t so ft h es y s t e mc o n f i r m e dt h a tt h es y s t e mc a ne n s u r et h es a f e t yo fd i g i t a lc o n t e n ta n d i m p r o v et h ef l e x i b il i t yo fa u t h o r i z a t i o nm a n a g e m e n t k e yw or d s ：d i g i t a lr i g h tm a n a g e m e n t ，a c c e s sc o n t r o l ，r b a c ，r - r t b a c i i 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版。本人允许 论文被查阅和借阅。本人授权西北大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。同时授权中国科学技术信息研究所等机构将本学位论 文收录到中国学位论文全文数据库或其它相关数据库。 保密论文待解密后适用本声明。 学位论文作者签名：霉盏查刍指导教师签名： 2 咖年8 日2 咖年办伊 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，本 论文不包含其他人已经发表或撰写过的研究成果，也不包含为获得西北大 学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对 本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：五乳也通 2 0 0 9 年6 月f 8 日 西北大学坝 ：学位论文 1 1 课题研究背景及意义 第一章前言 随着计算机网络技术的飞速发展以及信息化建设的推进，数字信息在企事业单位 内以及人们的r 常生活中发挥着重要的作用。在企业的日常工作中主要涉及到的数字 信息是以电子文档形式存在的，如生产计划书、产品设计图纸等，由于它们具有易用、 易管理、通信快的优点而受到企业、军队和政府部门的推崇。 但是，电子文档容易被拷贝、修改和传播，而使得带有敏感信息的电子文档在传 播过程中容易被窃取和泄漏。中国几千年文明所遗留下来的“景泰蓝”制瓷技术、宣 纸技术等被非法人员窃取，给企业和国家带来巨大的经济损失和文化损失；在f o r t u n e 杂志排名前1 0 0 0 位的公司每年因电子文件泄漏造成的损失平均为5 0 万美元；美国联 邦调查局( f b i ) 和美国计算机安全协会( c s i ) 的一项联合调查显示：在计算机的各 种安全事件中3 0 多是由电子文档的泄漏造成，来自企业局域网内部的安全威胁超过 8 5 【1 捌。由此可见，数字技术就像一柄“双刃剑”，在给人类带来巨大便利的同时， 也给社会造成了重大的经济损失。 为了利用数字信息带来巨大便利的同时又保证数字信息的安全性和完整性，业界 引入了数字版权管理( d r m ) 技术。d r m 采用一系列硬件和软件技术，在数字化内 容的整个生命周期内，对数字内容进行保护，保证数字内容的合理使用和传播【3 , 4 】。 d r m 能够保证授权用户在一定的权限范围内使用数字内容，即未授权用户无法获得 数字内容的使用权限，授权用户在所授予的权限范围之外无法使用数字内容。因此， d r m 技术对保护企业内数字内容提供了一个很好的解决方案。 国内外许多公司和研究机构都纷纷推出了自己的d r m 系统，对这些d r m 系统 进行研究发现：d r m 技术虽然在某些方面已经取得了进一步的研究和发展，但是在 d r m 的应用中缺乏有效的访问控制机制，成为制约企业信息安全系统的重要环节。 企业环境的自身特点如下【5 】： 用户特点：企业内部工作人员数量较多，用户的调入、调出以及工作岗位变动频 繁； 数据特点：随着时间的推移和企业规模的扩大，不断产生大量电子文档且包含敏 感信息，为确保电子文档的安全性要求不同用户具有不同的访问权限； 第一章前言 组织特点：企业内具有稳定的组织结构，用户分工明确，用户对数字内容的操作 权限与企业的组织结构有一定的联系。 传统的授权方法采取单独授权模式，即用户与权限直接联系，权限直接与单个资 源联系。在进行权限分配时需要为用户对使用的文档一一授权；当用户在企业内的组 织关系发生变动时，又需重新为该用户授权；在创建新的数字资源时，又要进行重复 的授权工作。由此可见，采用单独授权模式使得权限分配的工作量加大。因此，在企 业内采用何种有效的访问控制机制，不仅可以实现数字内容的保护也可以提高授权管 理的灵活性，是我们目前面临的问题。 1 2 研究现状及存在的问题 访问控制技术是为了满足对共享数据的授权访问而产生的【6 1 。但随着计算机应用 和网络技术的飞速发展，对访问控制的需求也开始迅速增加，使得国内外许多学者纷 纷对访问控制理论进行研究，并在较短的时间内将其应用到实际系统。在4 0 多年的发 展历程中，曾先后出现过许多重要的访问控制技术，其基本目标是不变的，都是为了 防止未授权用户使用系统和授权用户对客体资源的不合法使用。为了达到这个基本目 标，访问控制技术以身份验证为自订提条件，执行各种安全的策略信息来控制授权用户 在系统中的合法行为。目前，主要是围绕以下三种访问控制模型进行研究：自主访问 控制( d a c ) 、强制访问控制( m a c ) 和研究成熟的基于角色的访问控制( r o l e b a s e d a c c e s sc o n t r o l ，r b a c ) 【7 1 。 d a c 最早出现在上个世纪7 0 年代的分时系统中，主体可以全权管理有其拥有的 客体，可将客体的访问权限赋予其他的主体。m a c 产生于对信息强安全性的要求以 及防止特洛伊木马之类的攻击，系统中的主体和客体都被分配一个固定的不可以改变 的安全属性，利用比较主体和客体的安全属性来决定主体是否可以访问客体。 在应用d a c 和m a c 的系统中访问权限直接与用户关联，然而，系统中的用户数 量众多且频繁变动，这样加重了授权管理的负担。因此，在上个世纪9 0 年代由美国国 际标准化和技术委员会( n a t i o n a li n s t i t u t eo f s t a n d a r dt e c h n o l o g y ，n i s t ) 的研究人员提 出了r b a c 。r b a c 引入角色的概念，将用户与权限隔离，用户分配一定的角色后， 就可以使用角色拥有的权限，当用户变动时只需要进行角色的撤销和重新分配。1 9 9 2 年d a v i df e r r a i o l o 和r i c h a r dk u h n 首次对r b a c 框架模型进行了形式化定义【8 1 。r a v i s a n d h u 和他领导的g e o r g em a s o n 大学的信息安全技术实验室于1 9 9 6 年提出了著名 2 两北大学硕上学位论文 的r b a c 9 6 模型【8 】。2 0 0 1 年由n i s t 发表了r b a c 建议标准，其完整地定义了r b a c 的基本模型和应用功能【1 0 l 。总体来说，r b a c 理论慢慢趋于成熟，但由于应用环境的 差异，使得r b a c 在应用于具体环境时出现了许多不适应性，因此需要进行大量的研 究工作将r b a c 的各种理论模型以及在r b a c 的基础上开发新的模型来应用于实际系 统中。 在国外，n i s t 主要致力于r b a c 及其相关模型标准化的制定，而l i s t 实验室则 侧重于对r b a c 及其扩展模型的建立、形式化定义】。在国内，对r b a c 的研究主 要集中在中国科学院和华中科技大学这两所高校，他们主要致力于r b a c 扩展模型和 扩展模型应用方面的研究f l o 】。 数字版权管理技术自产生以来就受到国内外业界的高度重视，在2 0 0 1 年，d r m 技术被m a s s a c h u s e r si n s t i t u t eo f t e c h n o l o g y 的( ( t e c h n o l o g yr e v i e w ) ) 杂志评为影响未 来世界的十大创新技术之一【1 2 1 。许多公司和研究机构也对d r m 系统内访问控制展开 了应用与研究。微软r w s 对o f f i c e 2 0 0 3 的保护采用基于角色的访问控制，结合活动 目录技术对用户组分配权限。深圳大成天下的铁卷电子文档安全系统f 】3 】和北京中科网 航的睿索电子文档安全管理系统【1 4 】，授权管理不是由管理员负责，而是由文档的创建 者来执行。在研究领域，文献 5 ，1 5 ，1 6 在d r m 系统中引入角色的概念来实现用户与访 问权限的逻辑隔离，避免了管理员的单独授权，大大地减少了授权管理丌销。文献 1 7 】 针对企业内客体资源众多，安全性要求高的需求，提出了基于任务角色资源集的访问 控制模型，根据资源属性的不同将资源划分和抽象，在授权规则中将权限赋予满足一 定属性的资源，达到了管理员对资源集合的授权，该模型在保证数字内容安全访问的 同时，不仅实现了用户与使用权限的逻辑隔离，而且实现了权限与具体资源的逻辑隔 离，简化了授权操作。 以上是对访问控制模型和d r m 中访问控制机制的研究现状进行的分析，基于角 色的访问控制模型可以解决1 1 节提出的企业自身特点中的用户特点和组织特点，根 据用户的职责和岗位将用户划分为不同的角色，直接对角色赋权，减少了授权的繁琐 性。文献 1 7 提出的访问控制模型虽然提高了授权的灵活性，但在资源的抽象和划分 以及资源组织管理方面有些欠缺。本文在基于角色的访问控制模型的基础上提出一种 新的访问控制模型，以资源的安全性和管理的灵活性为目标，来实现企业内客体资源 众多、分布分散、保护资源的需求。 第一章前言 1 3 课题研究内容 本文主要研究适合企业内数字内容保护系统的访问控制机制，深入分析了r b a c 模型的基本概念、形式化定义和授权方式，根据企业内客体资源众多、分布分散、授 权繁琐的特点以及对数字内容的安全访问有了特殊的需求，提出了基于角色资源树的 访问控制模型r r t b a c ，将客体资源抽象、划分组织成资源树的形式，再对资源树 上结点进行授权，将授权与资源管理分离，提高了授权管理的灵活性和简便性。并将 该模型应用于d r m 实现的数字内容保护系统中，该系统有效保证了电子文档的完整 性，防范了非授权用户获取电子文档，确保了授权用户在权限范围内细粒度的访问和 操作电子文档。 以下是本文研究的主要内容： 1 分析d r m 背景、功能和相关技术，重点分析d r m 应用在电子文档保护方面 的发展、以及系统的基本框架。 2 分析r b a c 的技术原理以及四个概念模型的基本概念和形式化定义，以及 r b a c 的不足之处，在r b a c 的基础上提出了基于角色资源树的访问控制模型 r r t b a c 。 3 将r r t b a c 模型应用于基于d r m 的电子文档保护系统，为保护企业内的电 子文档的安全，防止敏感信息被窃取和泄漏。详细介绍了该系统的设计和实现。 1 4 论文章节安排 本文的主要内容包括： 第一章：简单介绍了本文的研究背景及意义，介绍了访问控制和d r m 的研究现 状及存在的问题。 第二章：介绍了数字内容版权管理发展功能及在电子文档保护系统中的应用，以 及分析了d r m 中访问控制机制的研究现状。 第三章：介绍了几种访问控制技术，以及分析了面对具体应用时其存在的问题。 重点分析了基于角色的访问控制模型。 第四章：提出了基于角色资源树的访问控制模型，给出了该模型的框架、基本概 念以及形式化定义。详细研究了该模型的授权方式和权限冲突避免。最后对该模型的 特点进行了分析。 4 西北人学硕上学位论文 第五章：将模型应用于基于d r m 的电子文档保护系统，给出了系统的总体框架， 详细介绍了与访问控制有关的管理模块和使用控制模块的设计与实现。 最后，总结了本文研究的工作和展望了未来的进一步工作。 第二章数版权管理的研究分析 第二章数字版权管理的研究分析 随着信息技术的发展，数字信息在企业内发挥着越来越重要的作用，采用数字版 权管理技术对数字内容进行保护。因此文章主要从功能、技术和应用方面对d r m 进 行分析，指出了访问控制成为阻碍d r m 在企业应用中的应用。 2 1 数字版权管理概述 信息化的时代，相当多的传统作品如图书、音像制品等都开始以数字化方式加以 保存。随着i n t e m e t 的普及和p 2 p 技术的发展，互联网上传输的数字内容越来越多， 盗版现象日益严重。据国际知识版权协会( i n t e r n a t i o n a li n t e l l e c t u a lp r o p e r t y a l l i a n c e ， i i p a ) 估算，美国电影界和音乐行业每年因盗版原因造成的经济损失很大【1 8 】。 通常，保护数字产品的知识产权主要从两方面着手，一方面是完善相应法规。从 历史上看，1 9 9 6 年世界知识产权组织( t h ew o r l di n t e l l e c t u a lp r o p e r t yo r g a n i z a t i o n ， w d o ) 与美国在知识产权保护方面签署了诸多条规，其作用是巨大的。主要是由于 w i p o 和美国政府的在全球的知识产权业具有显赫的地位，能够对知识产权贸易的产 生了巨大的影响，然而，这种保护模式具有特殊性，在当前国际社会条件下进行推广 面临较多困难。另一方面，可以采用先进的技术实现版权保护的目标，目前的主要手 段是通过数字版权管理( d r m ) 系统对发行者和作者的利益予以保护。 第一代d r m 技术是目前最基本、最广泛的应用形式，它主要以安全和加密为手 段，采用加密数字内容和控制版权分配的形式，来保护数字内容，防止未授权用户的 访问。第二代d r m 系统不仅对拥护知识产权的用户的资产进行全面管理，而且结合 访问控制技术，将d r m 系统覆盖到权利描述、身份认证、交易、内容保护、监控和 追踪内容使用等方面【1 9 】。 在国外，对d r m 的研究与应用十分热烈，许多i t 公司和研究机构纷纷介入d r m 领域。1 9 9 9 年4 月m i c r o s o f t 公司推出了第一版基于p c 的d r m 系统w i n d o w sm e d i a d r m ，它是目前拥有用户数量最多的d r m 技术，并且m i c r o s o f t 的w i n d o w sx p 、o f f i c e x p 等应用软件也使用了d r m 技术2 0 1 。i b m 公司结合c r y p t o l o p e 技术推出了e m m s 系统【2 l 】。a d o b e 以e b x 为基础，推出了c o n n e c ts e r v e r 。其他一些年轻的公司，如 r e a l n e t w o r k s ，r e c i p r o c a l 和i n t e r t r u s t 也推出了各自的d r m 产品。同时，国外的一 些高校，如瑞士g e v e v a 大学、荷兰t w e n t e 大学等也加入这个竞争激烈的市场。 6 两北火学硕士学位论文 在国内，最早涉足该领域的企业和研究机构较少。在e b o o k 应用领域，其中较为 成功的是北大方正a p a b i 电子书系统【2 2 】。2 0 0 1 年1 1 月，北大方正联合国内的出版社、 图书馆、网站以及i t 公司，成立了数字版权管理联盟，共同对数字版权保护技术进行 探索。在流媒体应用领域，目前，国内的一些d r m 技术的集成开发商纷纷在m i c r o s o t t 公司的w i n d o w sm e d i a 技术基础上开发d r m 产品，如，中华在线、九天音乐网等开 发商应用d r m 技术对流媒体进行管理。另外其他一些公司有针对性的推出d r m 解 决方案和产品，例如彩虹公司。 另一方面，社会各界也越来越关注数字产品的知识产权问题。千年数字版权法 令、著作权法和互联网出版管理暂行规定都是为保护数字版权而制定的法令 和规定。美国调查公司i d c 在2 0 0 3 年1 月的一份调查分析报告中指出：数字版权管 理技术是未来最有前途的十大i t 技术之一。 2 2d r m 的功能和相关技术 数字版权保护不是简单地采用密码技术对数字内容进行加密、简单地采用某种方 式来限制对数字内容的使用【2 3 ，2 4 1 ，而是采用一整套的技术或方法来保护数字内容。内辨 容提供者通过采用d r m 技术，保护数字作品的版权不被侵犯，维护自己的合法利益。 为了使数字作品商业化，必须兼顾内容提供者和使用者双方的需求，在他们之间架起 一个可信、安全的环境。因此d r m 必须具备以下安全功能【2 5 】： 1 用户身份鉴别 d r m 使用数字证书技术，来保证用户身份的真实性。 2 数字内容的加密及安全传输 d r m 能够确保数字内容在作者、出版商和最终消费者之间通过网络进行安全的 传输，并且对数字内容进行加密，只有获得密钥的消费者才能解密该数字内容。 3 数字内容的安全分发 数字内容经d r m 打包加密处理后，必须使用解密密钥进行解密，才能获得对数 字内容的访问。消费者即使拥有了密文的数字内容，如果没有解密密钥，也无权访问 数字内容。这样确保了数字内容在分发过程的安全性。 4 内容真实性和完整性鉴别 d r m 用单向散列函数( 哈希算法) 和脆弱数字水印技术来保证内容的真实性。在 打包数字内容的时候，产生数字内容的摘要，并将摘要信息保存起来；也可以先将数 7 第_ 二章数字版权管理的研究分析 字内容分成多个独立的数据块，再对每个数据块的内容加入水印信息。当检测数字内 容的真实性时，可以把的原始摘要和新产生的摘要进行比对，或者提取每个数据块中 嵌入的水印信息来鉴别数字内容的真实性和完整性。 5 盗版检测和侵权检测 盗版和侵权是不可避免，但必须采用一定的技术来降低盗版和侵权的机率。d r m 中可使用数字水印技术，在原始数字内容中嵌入版权信息或发布序列号。当出现盗版 和侵权事件时，版权拥有者从盗版作品或加入水印的数字作品中提取水印，以水印信 息作为依据，用法律的手段维护版权拥有者的合法利益。 6 确保交易的不可否认性 无论在真实的交易市场，还是在虚拟化的电子市场，交易的发生对参与交易的双 方都是不可抵赖的，即双方必须承认交易已经发生。数字签名技术，确保交易的不可 否认。 d r m 具有一套相对完整的技术机制【5 l ，来实现以上的安全功能，如图2 1 是d r m 完整的技术机制： 图2 - 1i ) r m 技术体系的基本构成 1 唯一标识符：是d r m 技术体系中最基本的技术，在网络环境下唯一、持久地 标识数字版权管理中的每个实体，如：m a c 地址就是唯一标识符。 2 信息格式：通过开放格式( m so f f i c e 、x m l 、x s l ，p d f 和a u t oc a d 等) 支 持多种数字信息形态的表示、交换和解析。网络出版商首先需要确定储存数字信息的文 档格式，然后才能对原材料进行加工。如果是方正的a p a b i ，则需用a p a b im a k e r 锘0 作数 据格式文件。 3 元数据：用来对数字权利管理中各实体进行定义和描述，它是定义网络信息资 源的组织、分类等的基础，是描述互联网信息资源的一种数据格式。 4 加密技术：对数字内容进行加密，为内容提供者保护他们的私有数据文件或其 两北人学硕i j 学位论文 他媒体文件免受非法复制和使用提供了一种手段，与密钥管理有关。 6 数字签名：在数据单元上附加一些数据，或是对数据单元作的密码变换。数字 签名是个加密的过程，数字签名验证是个解密的过程，它支持防抵赖。 7 数字水印：信息隐藏技术的一个研究分支，将特定的信息嵌入到公开的数字内 容，它是不可见的，必须通过软件或硬件技术提取水印信息。它可以实现对数字内容 的真实性的鉴别，从而发现信息的泄漏者。 8 权利描述语言：负责对数字内容在使用时涉及的权限信息进行定义、描述，它 是一种复杂的语言知识体系。 9 权利传递机制：权限传递机制，保障了数字信息的提供者、信息服务系统以及 个人的私有权利。 l o 安全封装和安全存储：封装过程可能有压缩和加密处理操作，为了便于传递 将多个数字信息对象及其元数据封装到一个文件或特定物理载体上。安全存储确保数 字内容保护过程中数字信息的安全和可靠存储。 8 安全通信和安全支付：采用加密套接字协议层( s e c u r i t ys o c k e tl a y e r ，s s l ) 和安全电子交易( s e c u r i t ye l e c t r o n i ct r a d e ，s e t ) 等技术来保证数字产品在交易过程 的可靠性和传输过程中的安全性。 9 数字证书和身份认证：通过x 5 0 9 数字证书来认证交易双方的身份：通过公钥 基础设施( p u b l i ck e yi n f r a s t r u c t u r e ，p k i ) 来确保交易或传递的可审计性和不可否认 性。 1 0 使用控制和使用审计报告：在身份验证基础上，用户访问某一资源时，按照 权限进行控制，并记录和统计报告交易和使用的情况。 2 3d r m 技术在电子文档中的应用 电子文档突破了以往用纸质作为载体存储信息的方式，由于其容易使用、传输快、 成本低的优点，给企业事业单位的日常工作带来了便利，提高了工作效率。电子文档 在带来巨大利益的同时，由于其易复制，使得人们担心具有保密信息在电子文档，在 其存储和传输时被非法用户窃取。 在1 1 节中提到f b i 和c s i 的联合调查发现：电子文档的泄漏占3 0 4 0 ，主 要是来自企业内部网的威胁【2 6 1 。这些都是由于企业内部的工作人员有意或无意的违规 行为，造成存放专利信息的文档被泄漏而给企业带来巨大的经济损失。并且这种泄密 0 第二章数版权管理的研究分析 事件屡屡发生，仅仅通过制定管理制度和法律法规很难有效地阻止企业内部的不安全 事件发生。因此采取何种技术手段来保护电子文档的安全访问和传播，已经成为企业 网内必须重点解决的安全问题。 为了保护数字产品的安全访问，业界引入了d r m 技术，该技术可提供有效可行 的技术手段，来保护数字产品被非法用户复制和传播。国内外许多公司将d r m 技术 引入电子文档保护领域，如m i c r o s o f t 研发了基于d r m 的r m s 系统，该产品由于部 署成本高，且在早期的版本中存在许多的问题，因此在国内还未普及；方正的a p a b i 安全文档系统相对来说比较成熟，但由于对文档格式进行转换，改变了用户的操作习 惯，给用户的使用了极大的不便，使用户难以接受。 基于d r m 技术的电子文档保护系统由d r m 内容使用端、d r m 内容发布端、内 容服务器、授权规则服务器和许可服务器五个组件组成。d r m 内容使用端，负责收 集用户身份认证的信息和控制电子文档的使用；d r m 内容发布端，负责创建要打包 的电子文档；内容服务器，具有两个功能，一个是对电子文档进行加密，插入数字水 印等处理并将处理结果打包成可以分发的电子文档，另一个是创建电子文档的使用权 限；授权规则服务器，负责对电子文档的使用规则进行授权；许可服务器，当客户端 发送使用请求时，许可服务器负责生成许可证文件和分发许可证文件。如图2 2 所示 是基于d r m 的电子文档保护过程。 图2 - 2 基于d r m 的电子文档保护过程 1 d r m 内容发布端创建电子文档，然后将生成的电子文档发送给内容服务器处 理和存储。 2 授权规则服务器生成授权规则，并将该规则发送给内容服务器，内容服务器将 接受到的授权规则生成对文档的访问授权，并对文档进行打包加密。 3 内容服务器将生成的访问权利和打包加密时的密钥传发送给许可服务器。 l o 两北大学硕十学位论文 4 d r m 内容使用端向内容服务器发送获取打包文档的请求，内容服务器将打包 后的数字内容发送给d r m 内容使用端。 5 d r m 内容使用端向许可服务器发送对文档的访问申请。许可服务器验证内容 使用端的身份，验证通过后发送访问许可。然后内容使用者通过内容使用工具就可以 访问电子文档。 2 4d r m 中访问控制的研究 在2 3 节中对d r m 的套技术进行研究，在文献 1 5 1 7 】中指出目前制约d r m 研 究和应用的主要因素是在d r m 系统中缺乏有效的访问控制机制。在d r m 系统中用 户要访问电子文档时，需要依靠分布式网络中的客户机来控制对电子文档的使用，客 户机来判断用户是否有权限访问电子文档，这些许可信息、文档信息等都是由服务器 进行集中管理，因此，在d r m 中访问控制模型需满足集中管理和分散控制的机制。 在文献 1 5 中提出d r m r b a c 模型，解决了在d r m 系统中的分散的保护控制机 制内实施角色管理策略的问题，通过d r m r b a c 模型的运用可以大大地降低d r m 系统的管理开销，而且便于系统的扩展。但是该模型并未对客体资源进行分类来简化， 授权操作，同时也未对数字内容使用过程的跟踪进行研究。 。 在文献 1 7 中对d r m 系统中的访问控制进行研究，提出了基于角色资源集的访 问控制模型，根据资源属性将资源划分成集合，通过对资源集的授权，使得只有满足 一定条件的资源才能被访问，这样实现具体操作权限与客体的逻辑隔离。但是本文根 据资源属性将资源划分为不同的集合，这些集合之间是孤立，没有联系的。 2 5 本章小结 本章介绍了d r m 的发展和基本概念，分析了d r m 的功能和相关技术，以及在 电子文档保护系统中的应用。分析了d r m 系统中访问控制机制的发展状况，指出d r m 系统中访问控制机制的低效性，成为阻碍其在企业中的应用。 第三章访问控制模型的分析 第三章访问控制模型的分析 上一章对d r m 进行了分析，指出了访问控制技术制约着d r m 的应用和发展， 因此本章介绍了现存的几种访问控制模型，并分析了其优缺点。重点分析目前最为成 熟的基于角色的访问控制模型，为下一章提出一种新的访问控制模型奠定基础。 3 1 访问控制基本原理 访问控制( a c c e s sc o n t r 0 1 ) 【2 7 】是实现既定安全策略的系统安全技术，目标是防止 对任何资源( 如计算机资源、通信资源或信息资源) 进行非授权访问。所谓非授权访 问包括未经授权的使用、泄漏、修改、销毁以及颁发指令等。通过访问控制，可以针 对既定安全策略限定对重要资源的访问，防止未授权用户的侵入或者因合法用户的误 操作而造成资源的破坏。 访问控制系统一般包括以下三个部分： 1 主体：发出访问操作、存取要求的主动方，通常指用户或某个进程； 2 客体：主体试图访问的资源； 3 安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力。 访问控制的基本功能组件，如图3 1 所示： 图3 - 1 访问控制系统示意图 发起者对目标提出执行操作请求时，a e f 会将这个请求信息通知a d f ，并由a d f 做出是否允许访问的判断。在信息系统中，a d f 是访问控制的核心，对访问请求进行 判决时，依据的是一套安全访问策略。 3 2 自主访问控制 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 2 7 , 2 8 ，最早出现在2 0 世纪 7 0 年代的分时系统中，对主体访问客体的操作权限实施控制。客体的拥有者全权管理 1 2 两北人学硕f 学位论文 有关该客体的访问权限。 实现自主访问控制最直接的方法是利用访问控制矩阵，访问控制矩阵的每一行表 示一个主体，每一列表示一个受保护的客体，矩阵中的元素表示主体对客体进行的访 问模式( 如读、写、修改、删除等) 。实现访问控制矩阵时，按基于矩阵行或列来表示 访问控制信息。我们熟悉的w i n d o w sn ts e r v e r ，u n i x 系统就是采用了自主访问控制。 d a c 具有简单、灵活、易用的优点。但是它存在的不足主要体现在：资源管理比 较分散；用户问的关系不能在系统中体现出来，不易管理；信息容易泄漏，无法抵御 特洛伊木马的攻击。在自主访问控制下，一旦带有特洛伊木马的应用程序被激活，特 洛伊木马可以任意泄漏和破坏接触到的信息，甚至改变这些信息的访问授权。 针对d a c 的不足，一些学者提出了改进措施。虽然这些改进在一定程度上提高 了d a c 的安全性能，但是由于d a c 的核心是客体的拥有者控制客体的访问授权，使 得它们不能用于具有较高安全要求的系统，因而这些改进几乎没有得到实际应用。 3 3 强韦l j 访问控韦i j 强制访问控制( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) z 7 , 2 8 1 ，系统的主体和客体都分 配一个既定的安全属性，通过比较主体和客体的安全属性来决定主体能否对客体执行 特定的操作，这些安全属性是不能改变的。分配给主体和客体的安全属性是一个安全 级别( 如，绝密级、机密级、秘密级和无密级) ，每个保密级别都控制本级及其以下的 级别。主体对客体的访问只有在其所处的安全级别满足向下读取，向上写入两个原则 时才被允许。m a c 特别适合于多层次安全级别的军事应用，也适用于政府部门和军 事部门。 m a c 具有强安全性，通过信息的单向流动来阻止信息的扩散，抵制特洛伊木马 对系统保密性的攻击。m a c 的不足之处表现在两个方面：一个是由于m a c 的强安全 性，使得它不够灵活，应用领域狭窄，一般只适用于军方等具有明显等级观念的行业 和领域；另一个是m a c 对系统连续工作的能力和授权的可管理性考虑不足。 强制访问控制和自主访问控制是两种不同类型的访问控制，它们常常会结合起来 使用。利用自主访问控制，用户可以有效的保护自己的资源，防止其他未授权用户的 访问；而利用强制访问控制，来防止用户自己通过意外事件和有意识的操作来泄漏资 源信息。 第三章访问控制模型的分析 3 4 基于角色的访问控制 为了满足安全的需求，各国学者对访问控制技术进行了大量的研究，于2 0 世纪 7 0 年代提出了基于角色的访问控制( r b a c ) 这个概念，但是在相当长的一段时间内 没有得到人们的关注。直到1 9 9 2 年，美国国家标准与技术研究所的d a v i d f e r r a i o l o 和 r i c kk u h n 在综合了大量的实际研究之后，率先提出基于角色的访问控制模型框架， 并给出了r b a c 模型的一种形式化定义【7 】。它引入“角色”的概念，将访问权限与角 色相联系，通过给用户分配合适的角色，让用户拥有对资源的访问权限。安全管理人 员根据用户在企业中的职权和责任来定义角色，并对每个角色设置不同的权限。整个 访问控制过程被分成两个部分，即访问权限与角色相关联，角色再与用户关联。这样 用户通过角色获得其对应的权限，实现了用户与访问权限的逻辑分离，从而简化了授 权的过程。r a v is a n d h u 和他领导的位于g e o r g em a s o n 大学的信息安全技术实验室于 1 9 9 6 年提出了著名的r b a c 9 6 模型【8 】，传统的r b a c 模型根据不同需要拆分成四种 嵌套的模型，1 9 9 7 年他们更进一步，提出了一种分布式r b a c 管理模型a r b a c 9 7 ， 实现了在r b a c 模型基础上的分布式管型2 9 1 。这两个模型清晰地表征了r b a c 概念 并且蕴涵了他人的工作，成为r b a c 的经典模型。目前绝大多数对访问控制的研究都 是基于角色的访问控制模型，并对该模型进行扩展，这使得该模型成为最为流行和成 熟的访问控制策略。 2 0 0 1 年n i s t ( t h en a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ，美国国家标准与 技术研究院) 发表了r b a c 建议标准，包括两个部分：r b a c 参考模型( t h er b a c r e f e r e n c em o d e l ) 和功能规范( t h er b a cf u n c t i o n a ls p e c i f i c a t i o n ) r b a c 参考模型定 义了r b a