管理系统中访问控制策略的应用研究.pdf

西安电子科技大学 硕士学位论文 情报管理系统中访问控制策略的应用研究 姓名 王建丽 申请学位级别 硕士 专业 情报学 指导教师 丁振国 20030101 中文摘要 中文摘要 本文首先介绍了情报管理系统的内容及其安全策略 得出了 企业情报管理系 统需要采用更为有效的访问 控制策略来保证系统安全的结论 接着介绍了 现有主 流访问控制技术的定义 研究内容及相关基础理论 其次 通过对公钥基础设施 c p k i 和基于角色的访问控制 r b a c 技术的研究和分析 提出了组合式数字证 书模型一 c es r b a c 该模型克服了x 5 0 9 数字证书撤销列表庞大 添加角色信息复 杂等缺点 能够实现不同角色和权限的用户对信息资源的分级访问控制 最后主 要解决了c c r b a c 数字证书访问 控制服务在 企业情报管理系统 中的实现问题 包括系统对c c r b a c 证书结构的设计 管理 授权和访问控制服务的实 现细节 本研究课题得到国家 十五 科技攻关项目 中国电子政务试点示范工程 的支 持 本论文是该项目的理论总结和提高 测试和实际使用都证明了本文提出的用 于实现访问控制的c c r b a c 数字证书模型的可行性 正确性 关键词 情报系统 公钥基础设施 基于角色的访问控制 授权 数字证书 ab s t r a c t t h i s p a p e r b e g i n s w i t h c o n t e n t a n d s e c u r i t y p o l i c y o f i n f o r m a t i o n m a n a g e m e n t s y s t e m a n d g a i n t h e c o n c l u s i o n o f t h e e n t e r p r i s e i n f o r m a t i o n m a n a g e m e n t s y s t e m n e e d m o r e s e c u r i t y p o l i c y o f a c c e s s c o n t r o l t h e n t h e p a p e r g i v e n s o m e b a s i c c o n c e p t io n a n d c o n t e n t o f c u r r e n t m a i n l y a c c e s s c o n t r o l w a y s t h r o u g h a n a l y s i s a n d r e s e a r c h o n t h e t e c h n o l o g y o f r b a c a n d p k i i t p r e s e n t a m o d e l o f d i g i t c e rt i f i c a t e w h i c h w a s c o m b i n e d w i t h x 5 4 9 c e rt i f i c a t e a n d r o l e c e rt i fi c a t e c c r b a c c c r b a c m o d e l i m p ro v e th e x 5 0 9 c e rt i f i c a t e i n t h e f e a t u r e o f l i g h t c e rt i f ic a t e r e v o c a t i o n l i s t a n d s i m p l e a s s i g n m e n t o f r o l e s i t c a n p r o v i d e m u l t i l e v e l a c c e s s c o n t r o l f o r t h e in f o r m a t io n r e s o u r c e i n t h e e n d i t i s m a in l y r e a l i z e t h e a b o v e m o d e l i n t h e p ro j e c t i o n o f e n t e r p r i s e in f o r m a t i o n m a n a g e m e n t s y s t e m t h e r e a l i z a t i o n i n c l u d e t h e d e s i g n a t i o n m a n a g e m e n t a n d a u t h o r iz a t i o n o f c c es r b a c c e r ti fi c a t e t h i s r e s e a r c h s u b j e c t i s s u p p o rt e d b y t h e n a t i o n a l p r o j e c t i o n o f e l e c t r o n i c g o v e rnm e n t a r c h i t e c t u r e t h i s p a p e r i s t h e s u m m a ry a n d im p ro v e m e n t o f t h i s re s e a r c h i t h a s p r o v e d t h a t m o d e l o f c c es r b a c d i g i t c e rt i f i c a t e i s a v a i l a b l e a n d r i g h t i n t h e a p p l i c a t i o n a n d t e s t i n g k e y w o r d s i n f o r m a t i o n s y s t e m r o l e b a s e d a c c e s s c o n t r o l p u b l i c k e y i n f r a s t r u c t u r e a u t h o r i z a t i o n d i g i t a l c e rt i f i c a t e 声明 5 1 5 改 4 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果 尽我所知 除了文中 特别加以 标注和致谢中所罗列的内 容以 外 论文中不 包含其他人己 经发表或撰写过的 研究成果 也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料 与我一同工作的同志对本研究所做 的任何贡献均己在论文中做了明确的说明并表示了谢意 申 请学位论文与资料若有不实之处 本人承担一切相关责任 本 人 签 名 王井pi 日期 2 o 0 1 v 关于论文使用授权的说明 本人完全了 解西安电子科技大学有关保留和使用学位论文的规定 即 研究生 在校攻读学位期间论文工作的知识产权单位属西安电子科技大学 本人保证毕业 离校后 发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学 学 校有权保留送交论文的复印 件 允许查阅和借阅论文 学校可以公布论文的全部 或部分内容 可以允许采用影印 缩印或其它复制手段保存论文 保密的论文在 解密后遵守此规定 本 人 签 名 王 建 i fq日期 师 签 乞 尹滇 日期 第一章绪论 第一章绪论 1 1 引言 近年来 随着全球信息化的热潮 信息技术正日 益广泛而深入的被应用到社 会各个领域中 并深刻的改变着整个社会的行为和面貌 与此同时 信息安全却 成为困扰和阻挠信息化进一步普及和应用的绊脚石 安全问题不解决 势必影响 行业及整个社会信息化的进程 尤其在当今社会 信息已日 渐成为国家 企业财富和实力的源泉和象征 围 绕 信息的 开发 控制和 利用己 成为当 今国 家 企业间利 益争夺的 又一重要战 场 i 企业对利益的争夺更多的表现在对情报信息的竞争上 所谓情报 广义上指的就 是存储 传递和转换对象的知识 它的产生或识别一定需要人的加工或鉴别 使 之产生符合人的需要的价值 可见情报是具有一定使用价值的信息 情报根据所 属的不同的领域可以分为金融情报 企业情报 军事情报等 情报信息通常放在 数据库中由情报管理系统进行管理 情报管理系统是对情报信息的收集 整理以 及利用的行为 在情报管理系统中 能否保证情报具有足够的安全性是关系国家 企业切身利益的 第一位的问 题 然而 目 前情报管理系统的安全并不容乐观 很多企业或个人为了谋取利益不 择手段 通过各种各样的方式攻击其他的情报管理系统 窃取他人的情报 从而 获得商业上的利益 譬如 据美国f b i 统计 美国每年因信息安全问题所造成的 经济损失高达7 5 亿美元 为了保护情报信息的安全 人们研究出了诸如防火墙和代理服务器等安全产品 进行被动防护 这些防护虽然在一定程度上保护了情报管理系统的安全 然而这 种防护是有缺陷的 譬如无法完成来自企业内部的攻击 因此 人们提出了 访问 控制技术来主动实现情报管理系统的安全 同 时 公 钥 基 础 设 施p k i p u b l ic k e y i n fr a s t r u c tu re 逐 渐成为 保 障 信息 安 全 的基础平台之一 它采用一套基于数字证书的认证来保障进入系统的是合法的用 户 采用公钥加密技术来实现情报信息的安全传输 所以 考虑到 p k i 在信息安 全方面优势 本文引 入了 k 1 技术来实现情报管理系统的访问控制问 题 保障情 报信息的安全 1 2 论文研究的内容 根据情报归属的不同领域 情报管理系统可以分为金融情报管理系统 企业 第一章绪论 三个子系统 显然 从 采集 分析 到 应用服务 再到新的 采集 正 是一个信息从低级到高级 从繁杂 没有价值到精炼 具有价值并可以加以运用 的信息循环流动过程 这也是企业情报管理系统运作的主要过程 1 1 2 情报管理系统中存在的安全隐患和解决方法 从上一节对情报管理系统的分析可以看出 企业情报管理系统自 身存在着一 些固有的脆弱性 如信息资源的分布性 流动性大 系统所存储与处理的数据高 度富集 具有可访问性 信息技术专业性强 隐蔽程度高 系统内部人员的可控 性低 等等 这些弱点在企业情报管理系统的实际运行中易诱发各种风险 对其 安全性构成了潜在的威胁 针对企业情报管理系统本身固有的脆弱性和常见的风险 企业情报管理系统 的基本安全需求包括 1 用户身份验证 系统要识别进入者的身份并确认是否为合法用户 在网 络环境下识别用户身份比单机复杂得多 大量黑客随时随地都可能尝试截获合法 用户的口令向系统渗透 如果口令不加密传送 或是每次密钥相同 则极易被破 译 因此 每次远程输入用户联机口 令都必须加密 而且必须每次都变更密钥以 防被人截获后下次重发来冒名顶替 t 2 存取访问控制 系统要确定合法用户对哪些资源享有何种授权 可进行 什么类型的访问 操作 在网络环境下不但要有独立计算机系统上本地用户对本地 资源的访问控制 而且还涉及到哪些用户可访问哪些本地资源以 及哪些本地用户 可访问哪些网络资源的问题 3 信息交换的有效性和合法性 信息交换的双方应能证实所收到的信息内 容和顺序都是正确的 应能检测出所收到的信息是否是过时的或重复的 信息交 换的双方要对对方的身份进行鉴别以保证所收到的信息是由确认的一方发送来 的 不能抵赖 否认收到或发过信息 也不能对所收到的信息进行随意删改或伪 造 4 软件和数据的完整性 信息系统的软件和数据不可非法复制 修改或破 坏 并且要保证其真实性和有效性 为此 要尽量减少误操作 硬件故障 软件 错误 掉电 强电磁干扰等意外以防止毁坏运行中的程序和数据 要具备有效的 完整性检验手段以检测错误程序 不正确输入等潜在性错误 对存贮介质要定期 检查以防止由于物理损伤而破坏数据的完整性 t 5 加密 利用密码技术对传输和存贮的信息都要进行加密处理以防泄露 仅采取物理安全措施 如机房进出制度 是挡不住有技术 有经验的入侵者的 因此加密是提高信息安全性的根本措施 加密的基本要求是 所采用的密码体制 要有足够的保密强度 要有有效的密钥管理 包括密钥的产生 存贮 分配 更 情报管理系统中 访问控制策略的应用研究 换 保管 使用乃至销毁的全过程 综上所述 影响企业情报管理系统的安全问题主要表现在两个方面 一个是 企业商业秘密的安全保护问 题 另一个是企业情报系统本身的访问控制问 题 针 对第一个问题 提出在p k i 上构建情报管理系统的方案 因为在 p k i 上 所有的 情报信息都是通过加密的方式传递的 别人即使截获传递的情报信息 也无法解 开其中的内 容 从而可以 保护企业商业秘密的安全 具体内 容参见参考文献 l 5 第二个问题 是本论文讨论的主要问题 即通过在情报管理系统的应用层采用基 于角色的访问控制方法 如图 i i 所示 来保证情报系统本身的安全 其中心思 想是通过对用户进行数字证书的授权 查验等工作 来决定是否准许某用户完成 访问 控制的工作 具体细节参见第四章 并将对系统的非法访问拦截在系统之外 此外 除了上述解决方案 企业也要加强安全防范措施 从行政手段上保护自己 的信息资产和商业秘密不受侵害 1 3 目前研究的现状 目前国际上的研究一般集中于访问控制在网络层和应用层的实现 并都己经 取得了一些成果 例如 美国南加州大学从8 0 年代后半期以来 一直在研究不同 组织网 络互 连的 访问 控制问 题 i n t e r o r g a n i z a t i o n n e t w o r k a c c e s s c o n t r o l 设 计并 实现了位于网 络层的 集访问 控制和身份认证于一体的v i s a协议 当用户a需 要跨网访问时 首先获得本网的出境签证 e x i t v i s a 网关检查其出境签证是否 合法而予以拒绝或放行 到达目的地后经认证网关检查认为合法后 发入境签证 e n t e r v i s a z 1 不 过 v i s a协议 实 现的是 网 络 层的网 间 访问 控 制 难以 为 灵 活多变的应用层服务提供有效的访问控制 开放软件基金会 o s f于 1 9 9 1 年推出分布式计算环境 d c e 安全服务是其中 重要的组成部分 提供了包括访问控制 身份认证 数据加密和数据完整性等安 全措施 1 9 9 5 年 o s f 提出d c e w e b 尝试将分布式系统的安全性和可管理性与 i n t e r n e t 的应用结合起来 为解决i n t r a n e t 的安全问 题提供方案 d c e we b 利用分 布式系统偶合程度高 各单机系统在逻辑上构成统一的整体的特点 能够对系统 资源进行统一的 细致的访问管理和控制 d c e we b 借助分布式系统的安全机制 实现了 访问控制的高强度与细粒度 但应用b c e w e b 需要安装价格不菲的分布式 系统 这可能也成为d c e w e b 能得以广泛应用的一个障碍 从9 0 年代初起 为适应i n t r a n e t s 的发展 更有效的表达并实现各企业的安全 政 策 减 轻 安 全 管 理的 负 担 美国n a t i o n a l i n s t it u t e o f s t a n d a r d s a n d t e c h n o l o g y同 m a ry la n d 大学 g e o r g e m a s o n 大 学 s e t a 公司 等 合 作 着 手 组 织对 基于 角 色的 访 问 控制r o le b a s e d a c c e s s c o n t r o l 以 下简称 r b a c 的研究 并于1 9 9 2 年发表 第一章绪论 了关于 r b a c的一套比较完整的理论 目 前 已实现了用于 w w w服务的 r b a c t we b 可适用于u n 仪 及w i n d o w s n t环境 并开发了相应的管理工具 r b a c技术目 前的研究逐渐深化 应用在很多环境中 我国对信息 安全的研究虽然起步较晚 但在近年来的发展中 也取得了一定 的 成果 清华大学同国 外合作开发的w e b s t系列产品 集成了访问控制 身份认 证 安全通讯 安全管理等机制 目 前已在一些企事业单位应用 we b s t也是建 立在分布式计算环境d e c之上的 因此应用上也存在与d e c w e b 类似的问题 国内的其他大学也纷纷投入了网络安全的研究 并首先在各自 的校园网内实现安 全机制 如复旦大学的安全防御系统 其中的应用网关提供了访问控制服务及用 户身份认证 代理 近两年 国内 在公钥基础设施p u b l i c k e y i r tfi a s t r u c t u r e 以 下简称 p k i 的 研究和建设方面有了较大的发展 p k i 完全可以帮助政府和企业建立一个安全可靠 的网络环境 并将逐渐成为信息社会的基石 它通过一个基于认证的框架来实现 所有的数字签名和数据加密的服务 并在该框架上利用 x 5 0 9证书实现并完成身 份的自 动鉴别 认证 访问控制 授权等功能 从而实现网上信息的安全传输等 功 能 131 目 前 国内 己 经 有很多公司 致 力于p k i 上 安全产品的 研究和开发工 作 并 有很多成熟的基于p k i 的信息安全的产品和解决方案 1 4 论文研究的意义和所做的工作 本课题使用的核心技术 即访问控制策略的研究 是由国家 十五 科技攻 关项目 中国电子政务试点示范工程 支持的 该课题用于政府或企业的情报管 理系统中 涉及的文档信息量大 信息的密级分类细 要求的保密级别高 如何 安全 高效 可靠的 管理这些信息和文档 便于调阅是情报管理系统面临的一个 问 题 而 即 采 取怎 样 的 访问 控 制 策 略 保 证系 统 资 源的 合 法 访问 的问 题 16 1 则 是本 论文讨论的重点 它需要系统能够正确有效的控制来访用户的访问操作 保证合 法用户的正常访问 禁止非法用户的访问操作 本课题研究的内 容是如何采用访问控制策略来保证整个情报信息系统的安全 访问 并针对 情报管理系统中的一个案例 企业情报管理系统中的访问 控制进 行应用研究 从整个项目的实际安全需求出 发 研究当前相关技术领域中的基本 理论和关键技术 并以此为基础 提出系统的访问控制方面的解决方案 来满足 情报管理系统中对信息安全的需要 本文首先介绍了情报管理系统的内容及其安 全策略 得出了情报管理系统需要采用更为有效的访问控制策略来保证系统安全 的结论 接下来介绍了访问 控制的定义 研究内容以 及相关的理论基础 比较和 分析了现有的主流访问控制技术 并指出了基于角色的访问控制 r b a c 的特点 情报管 理系 统中 访问 控制策略的 应用研究 和 优势 其次 提出了 一 种基于p r i的 用于实 现访问 控制的 组合式数字证书模型 c c se r b a c 最后 论 述了 在 情报管理系统中 如何 利用 c c即a c证书实 现系统的 访问控制 并对论文工作进行了总结 指出了今后的研究和改进的方向 本论文 的研究内容和创新点总结如下 1 通过对公钥基础设施和基于角色的访问控制技术的研究和分析 提出了 一种用于实现系统访问控制的c c r b a c 证书模型 c c 一 r b a c 证书模型对公钥基础设 施中用于实现访问控制的x 5 0 9 证书模型进行了改进 将x 5 0 9 证书中的用户公 钥信息和角色 权限 信息分开存放 其中 用户公钥信息存放在x 5 0 9 证书中 用户的角色信息和权限信息则存放在属性证书中 该模型克服了x 5 0 9 证书可能 存在的泄漏私钥 庞大角色撤销列表以 及添加角色信息步骤复杂等缺点 能够安 全高效 灵活的实现系统的访问控制机制 2 针对情报管理系统特点 设计了相应的数字证书授权策略 包括资源访 问授权 撤消授权和委托三个方面的描述以及授权证书中用户角色的权限赋予 角色冲突检测以及角色层次的划分等 3 设计并实现了情报管理系统中的统一访问 控制平台与统一认证服务平台 的交互接口 着重讨论了c c r b a c 数字证书的 授权 申 请和导入的过程 以 及随 之带来的对组合证书管理的问 题 给出了c c 一 r b a c 数字证书应用到情报管理系统 中实现访问控制服务的细节 达到使用c c r b a c 数字证书为企业的情报资源提供 了安全有效的多级访问控制的目的 4 论述了 情报管理系统中的访问控制服务如何与其他安全服务相结合 从 而提供更全面的信息安全保障等问题 1 5 论文的组成 本文共分为五章 第一章绪论 由对情报管理系统的内 容及其安全策略入手 分析情报管理 系统的信息流 系统组成以及各部分的关系 从而引出系统需要采用更为有效的 访问控制策略来保证系统安全的结论 第二章首先 简要介绍了 访问 控制的定义及研究内容 最后 介绍当前常 用的访问控制技术和访问控制技术的理论基础 并着重分析基于角色的访问控制 技术和常用的访问控制实现策略 第三章 分析目 前通用的访问 控制的模型 并针对企业情报管理系统访问 控 第一章绪论 制的 实 际 需求 提出r b a c 技术 基 础上的 组 合数 字 证书 以 下 简称 c c 一 r b a c 模型 该 模型建立在p k i 平台 上 克服了x 5 0 9 数字证书撤销列表庞大 添加角 色信息复杂等缺点 用以实现系统统一的访问控制和身份认证功能 第四 章 详细 论述了c c es r b a c访问 控制技术 在企业情报管 理系统中的 设计 和实 现 本章首 先提出 了c c es r b a c的 应用背景 包括企业 情报管理系统的 体系 结构和总体框架 接着讨论了访问控制系统和企业情报管理系统的授权机制 最 后讨论了 整个 c c se r b a c证书的申 请 导入以 及工作流程 描述了系统的运行机 制 第五章对本论文的工作进行了总结 并提出了 今后的改进方向 第二章 访问 控制 第二章 访问控制 2 1 信息安全系统中的访问控制 访问 控制在整个信息安全体系中不是孤立的一部分 因此 在具体介绍访问 控制的技术之前 有必要对信息安全系统有一个整体的认识 2 1 1 信息安全系统的安全体系结构 在i s 0 7 4 9 8 2 标准中 i s o提出了层次型的安全体系结构 安全o s i 或o q p 开放分布式处理 系统 安全应用程序 安全服务 安全机制 图2 安全体系结构 模型的最低层是一些由网络的硬件 如路由器 智能h u b等 和软件所提供 的安全机制 这些安全机制组合成某种安全服务 而最高层的安全应用程序则是 通过调用这些安全服务来保证其使用的安全性的 i s 0 7 4 9 8 2 规定了 五大安全服务功能 身份认证 服务 访问 控制服务 数据 保密服务 数据完 整性服务 不可否 认服务 v l 这些 服务互相依托 共同 构成完整 的安全系统 其中 访问 控制的有效实施就离不开身份认证服务 身份认证是访 问控制的前提和基础 因为访问控制通过判别访问者的标识信息或权限来决定其 是否能 访问某项资源 相应的 如果身份认证失败 访问控制就必然出现错误 同样 如果没有数据保密服务 非法的用户依然可以 通过网络窃听得到本不应被 泄漏的信息 访问控制为系统提供的安全服务的有效性因此而打了折扣 2 1 2 信息安全系统的要求 根据国际标准化组织对计算机信息安全定义的建议和各国多年来的理论探讨 和实践经验 将信息安全的基本要求定义如下 1 用户身份认证 和鉴别 用户在使用系统之前先向系统证明自己的身份 这需要身份认证服务的支持 以便系统确认用户的真实身份 c 2 访问 控制 用户进入系统后 要访问资源时 系统应该针对用户的权限 控制用户的存取 需要访问 控制服务的支持 情报管理系统中 访问控制策略的应用研究 3 保障完整性 保障系统的 数据不被非法修改 和删除 需要数据保密服务 数据完整性服务 访问控制服务等措施的共同支持 4 安全审 计 系统能记录用户所要求进行的操作及相关的数据 操作的结 果 判断有些事件是否发生 以记录备查 在身份认证以及访问控制的实施过程 中 都应进行安全审计 5 容错 当计算机发生故障 或系统设置发生故障时 应有措施使系统能 继续工作或迅速恢复 一般通过软件容错和硬件容错来实现 上述五条基本要求 对不同用途的计算机系统有不同的侧重点 譬如 对于 交通 民 航部门 计算机系统侧重容错能力 金融系统侧重容错和审计 而情报管 理信息系统更侧重于访问控制不同级别的权限 2 1 3 信息安全技术标准对访问控制的定义 美国 国 防 部 在1 4 8 3 年 公 布的 计 算 机 系统安 全性 的 标 准d e p a rt m e n t o f d e f e n s e t r u s t e d c o m p u t e r s y s t e m e v a l u a t io n c r i t e r i a 以 下简称 d o d t c s e c 中 对多用 户计算机系统安全等级的划分进行了 规定 这就是 可信计算机系统评级准则 它的基本思想是 计算机信息安全是指计算机系统有能力控制给定的主体对客体 的存取 根据不同的安全应用需求确定相应强度的控制水平 即不同的安全等级 该标准开始主要是针对操作系统评级 后来陆续宣布了这一评级准则如何扩展到 数据 库和计算 机网 络 4 1 1 7 1 d o d t c s e c 将计算机系统的 安 全程 度从高 到 底划分为 a l b 3 b 2 b 1 c 2 c 1 d等七个等级 每一等级对访问 控制都提出了不同 的要求 安全级别 实施的 访问控制机制 d级 几乎没有安全保护措施 c 1 级 至少具有自 主型的访问控制 允 许用户保护他自己的项目 或私有信息 防止它的数据被其他用户非法读取或破坏 c 2 级 实施比 c 1 更精细的自 主型的 访问 控制 通过注册 安全 事件隔离 资源隔离等方式使用户的行为具有个体可查性 b i 级 不但有自 主型的访问控制 而且增加了强制性的访问 控制 由 组织统一千预每个用户的访问 权限 b2 将强制访问 控制扩展到计算机的 全部 主体和全部客体 b 3 级 根据最小权限原则 取消特权无限大的 特权用户 将系统 管理员 系统操作员 安全管理员的职能分离 各自 完成 职能的 最小 访问 权限 a1 级 安全性能与 b 3级相同 但需 对系统的安全性设计进行形 式化的 验证 表2 1 各个安全级别对访问 控制的要求 第二章 访问控制 d o d t c s e c中 明 确的 提出了 访问 控制在计 算机信息 安全 系统中具 有的 重要 作用 该标准提出的可信计 算机理论将安全保护归结为访问 控制 在可信计算机 模型中 一切主体欲对某一客体进行存取都毫无例外的接收访间权限控制 其模 型如图2 2 所示 主体 图2 2 可信计算机系统模型 上述标准在此后的十几年里 成为各国计算机信息安全标准的主要参照 但 是该标准的局限性在于它偏重保密性 而对系统应当具有的容错能力缺乏认识 因此 欧洲几个国家共同提出了信息技术安全评估标准 t h e i n f o r m a t i o n t e c h n o l o g y s e c u ri ty e v a l u a t i o n c ri t e ri a 以 下简 称 i t s e c 这一 标准从 三个 方面 衡 量 信息 的 安 全 保 密 性 c o n f i d e n t i a li ty 完整 性 i n t e g ri t y 可 用性 a v a i la b il i ty 保密性是指系统能防止非法泄漏信息 完整性是指系统能防止非法修改或删除计 算机内的信息 可用性是指系统能防止非法独占资源和数据 2 2 访问控制研究的定义 内容和范围 访问 控制是一项十分重要的计算机信息安全技术 一般来说 它包括了 三个 元素 主体 客体以 及访问权限 2 2 1 访问 控制的定 义和任务 如前 所述 访问 控制 a c c e s s c o n t r o l 就是通过某种 途径 显式的准许 或禁 止访问能力的一种方法 访问控制的基本任务是防止用户对系统资源的非法使用 约束了用户在系统 中 可进行的活动 如规定用户可执行那些程序 并通过校验用户的访问权限来决 定用户对资源的访问 从而阻止那些威胁系统安全的行为 访问控制系统主要包含元素解释如下 l 主体 s u b j e c t 发出 访问 操作 存取要求的主动方 通常指用户或用户 的某个进程 2 客体 o b j e c t 被调用的程序和预存取的数据 3 安全访问 政策 一套规则 用以 确定一个主体是否对客体拥有访问能力 其中 受安全访问策略保护的资源 包括主体和客体 包括 i 网络的使用者 包括网 络中所有的活动元素 如程序 进程 情报管 理系 统中 访问 控制策略的 应用 研究 2 数据 信息 包括软件 网 络数据库的数据以 及在网 络的使用和操作中 产生的数据信息 3 各种网 络服务和功能 尤其是通信和处理数据的服务 4 网 络设备 设施 资源的访问 控制包含以下几个方面的内 容 1 保密性控制 d a t a c o n fi d e n t i a l i ty 保证数据资 源不被非法读出 2 完整性控制 d a t a i n t e g r i t y 保证数据资源不被非法改写 3 有效 性控制 d a t a a v a i l a b i l i t y 保 证数据资 源不被非 法用户破坏 保证 任何情况下使系统处于工作状态 4 可维护性 必需有相应的集中管理机制及安全管理工具 管理操作应当 简单有效 以 何种方式来保护网络资源 并有效地实现安全政策 始终是访问控 制研究的主题 2 2 2 访问控制实施的步骤 在情报管理系统中 访问控制是采取如下的步骤来实施访问的 1 根据现有的需要保护的资源 制定有力的安全政策 2 根据安全政策 通过授权机制给用户进行授权 a u t h o r i z a t i o n 3 访问 控制系统根据访问控制列表及访问 控制策略 实施用户资源的访问 控制 2 3 访问控制策略 访问 控 制 策 略 通 常分 为自 主 型 访问 控 制 策略d is c r e t io n a ry a c c e s s c o n t r o l 以 下简称 d a c 强 制访问 控 制策略m a n d a t o ry a c c e s s c o n t ro l以 下简称 m a c 基于角色的访问控制策略 d a c和ma c产生最早 发展的也最成熟 在d o d t c s e c中规定 安全的操 作系统应实施这两种访问控制策略 并将这两种访问控制策略称为传统的访问控 制策略 在近几年商业系统和政府部门对安全要求越来越高的情况下 基于角色的访 问控制策略近几年发展较快 因为许多安全需求是d a c和ma c所无法满足的 所以提出了基于角色的访问控制策略 其中心思想是根据用户所属的角色来决定 用户是否有权在系统中进行某种访问控制 2 3 自 主式访问控制策略 在d o d t c s e c中 给出了自 主式访问控制策略 第二章 访问控制 访问 控制实施机制应该使用户能够指定并控制该对象被指定的单个用户和 用户组 或者两者共享 井提供控制来限制对访问权的传播 自主访问 控制机制 必须通过明确的用户操作 或者系统缺省动作来保证对象不会被未授权的访问 这些访问 控制应该能为每一个指定的对象指定一个用户和指定用户组的列表 他 们没有任何访问权限 只有经过授权的用户能够将对某一对象的访问权赋给一个 尚不具备对该对象的访问 权的用户 该策略明确规定对访问控制强度的粒度要强到单个用户 称为自 主性的是因 为在d a c中 一个拥有一定访问权限的主体有权直接或间接地将访问权限 传给其 他主体 2 3 2 强制性访问 控制策略 ma c根据系统中实体本身的安全属性来控制系统中的访问活动 系统给所有 要保 护的 主 体 和 对 象 赋 一 个安 全 标 签 19 1 见3 1 2 中 的 详细 描 述 该 标 签 用 来 描 述 该主体或对象的安全级别 并且 为这种安全标签定义一种比较关系 系统进行 访问控制判断时就根据访问 涉及的主体和对象的安全标签之间的比较来进行 这种访问控制策略完全根据系统实体的属性来进行 而实体的属性是受系统 保护的 轻易不能对它进行修改 与d a c不同 它不允许任何用户 随意 修改 访问权限 所以它称为强制性访问控制 d o d t c s e c中给出了 强制性访问控制m a c策略 应给这些主体和对象赋一个安全标签 该标签由一个层次性级别和一个非 层次性的类别构成 这些标签是强制性访问 控制判断的基础 t c b应该能支持两 个或更多的这种安全级别 所有t c b 之外的主体与 所有可能被这些主体直接或间 接访问的对象之间的访问必须满足以下要求 一个主体能读一个对象仅当该主体 的安全标签的级别大于或等于改对象的安全标签的级别 并且该主体的安全标签 中的级别被包 含于该对象的安 全标签的级别 t c b应使用身 份和认证信息来 认证 用户的身份 并保证t c b之外的 可能以单个用户的名义创建并运行的主体的安 全级别和授权信息被该用户的安全可信度和授权所决定 2 3 3 基于角色的访问控制策略 9 0年代初 美国国 家标准和技术研究员着手组织一种新的访问 控制技术 即 基于角色的访问控制 这种技术可以减少授权管理的复杂性 降低管理开销 而 且还能为管理员提供一个比 较好的实现复杂安全政策的环境 r b a c是近几年在 访问 控制领 域新 兴的 研究 热点 也是 本文提出c c se r b a c组 合数字证 书的 技术 基 础 由 于r b a c在满足目 前大量存在的商业和政府部门 系统安全需求方面显示了 极大的优势 因 此 它作为 传统访问 控制的替代和补充而引起了 广泛的关注 情报管 理系统中 访问 控制策略的 应 用研究 r a b c的 基本思想是 授权给用户的访问权限 通常由用户在一个组织中担 当的角色来确定 例如 不同的职能 所拥有的访问权限也各不相同 r a b c根 据用户在组织内 所处的角色进行授权与控制 也就是说 传统的访问控制直接将 访问主体和客体相联系 而r a b c在中间加入了角色 通过角色沟通主体与客体 在r a b c中 用户标识对于身份认证以及审计记录是十分有用的 但真正决定访 问权限的是用户对应的角色标识 r b a c 系 统中的术语 主体 s u b j e c t 客体 o b j e c t 用户 角色 r o l e 一个或一群用户在组织内可执行的 事务处理日 的集合 事务处理 t r a n s a c t i o n 数据以 及对数据执行的操作 如 读一个文件 在 以下的叙述中以 操作 代替 事务处理 以方便叙述和理解 图2 3 r b a c中各元素相互关系示意图 从图2 3 可以看出 一个用户可经授权而拥有多个角色 一个角色可由多个用户 构成 每个角色可执行多种操作 每个操作也可由不同的角色执行 2 4 访问控制的理论基础 下面 讨论的 有关策略和模型 是实现目 前所通用的d a c m a c以 及 r b a c 的理论基础 是当前实现访问 控制的 基本依据 也是实现情报管理系统的理论基 础 2 4 1 访问 控制的 信息流策略 信息流策略主要控制信息在不同的安全级别之间流动 在实际的系统中 信 息其实是从一个对象流向另外一个对象 控制信息流的常用方法是给每个对象赋 一个安全标签 该标签代表一个安全级别 当信息从安全级别x流向安全级别 y 时 实际上是信息从安全 级别x的一个对象流向了 一个y的对象 信息流策 略概念的形式化定义如下 定义2 1 信息流 策略 信息 流 策 略是一个三 元组 其中s c 是一个安全级别的集 合 s c 上的 一 个 二 元关 系 即 e s e x s c 称为c a 一 f l o w s c x s c 4 s c 是s c 的一个二元运算 称为合并运算 峥是 之 上 第二章 访问 控制 信息流策略提供了一种描述安全策略的手段 当 一个信息流安全策略的三个 组成部分都确定了 以 后 该信息流策略就完全描述了 一个 特定的安全策略 有了信息流策略的概念 可以重新来理解计算机信息安全的定义 计算机信 息安全就是要控制系统中信息的流动 或者说在系统中实施一个特定的信息流策 略 该策略规定系统中允许的信息流动模式 访问控制矩阵模型 从数学的角度来看 访问 控制实际上是一个矩阵 行表示用户 列表示资源 行 和 列的 交叉 表 示 用 户 对 某个资 源的 访问 权限 9 1 其中 矩 阵 模型 是 最 简单的 也 最 直 观的访问 控制模型 它由 两部分构成 即存取矩阵和操作原语 1 存取矩阵 存取矩阵是一个二维矩阵 其元素是一个访问权限集 其中的权限包括普通 权限 读 写等 和授权权限 矩阵的每一行分别对应系统中的一个主体 每一 列对应系统中的一个对象 而每一行与每一列的交叉元素 一个访问权限集 其 中列出了一些访问方式 这些访问方式被认为是经过授权的 则是该行所代表的 主体对该列所代表的对象的访问权限 于是整个存取矩阵就保存了系统中 所有主 体对对象的访间 权限 只有存取矩阵中明确给出 的访问 才是允许的 拥有对某对象的 授权权限的主体可以 修改存取矩阵表 2 2中有关该对象的元 对象 a对象b对象 c 主体area d 认v r i t e 主体 b r e a de x e c 以e 主体 c wn t e 表2 2 一个简单的访问控制矩阵 该图表示主体a拥有对对象a的r e a d 权限 主体b拥有对对象c的e x e c u t e 而主体c对对象b则没有任何权限 限 素权 存取矩阵很直观地标识出系统中的访问权限信息 而且 由于存取矩阵中详 细描述了每一个单个用户对单个对象的访问 权限 所以 很显然 访问控制的粒 度可以达到单个用户 利用存取矩阵 可以很容易地控制每一个用户对某个对象 的访问 权限 而这是c 2 级系统的 基本需求 所以 正确实现了 存取矩阵的系统能 够达到c 2 级安全级 2 操作原语 存取矩阵模型的另一部分是一套用来操纵存取矩阵的原语 这些原语在不同 情报管理系统中访问 控制策略的应用 研究 的系统中称法可能不同 但它们的功能大体是一样的 这些原语主要功能有 添加新的主体 这导致在存取矩阵中加入一行 删除一个主体 这导致在存取矩阵中删除一行 添加一个对象 这导致在存取矩阵中加入一列 删除一个对象 这导致在存取矩阵中删除一列 往一个单元中加入新的权限 从一个单元中删掉一个权限 只有那些拥有授权权限的主体有权执行这些原语 存取矩阵模型是一 个一般性的模型 它本身并不反映任何一种安全策略 但 是 它可以用来描述特定的安全策略 可以通过给存取矩阵赋相应的 值以使它反 映特定的安全策略 由于存取矩阵模型中没有安全级别的概念 所以 要想用存取矩阵模型来实施 信息流策略 就必须对该模型进行扩充 一个简单的扩充办法是在系统中设置安 全级别 将系统中的主体和对象分别映射到相应的安全级别中 而存取矩阵的每 一行不再代表一个单个主体 而是一个主体的安全级别 矩阵的列代表对象的安 全级别 访问方式按照信息流向分类 2 4 3 基于格的访问控制模型 d e n n i n g 在 1 3 中指出 如果有下面的 假定 则信息流策略形成一个有限格 定义2 2 d e n n i n g 公理 1 妥全级别集合s c 一个有限集 s c 上的关系 是一个偏序关系 s c 关 于 有一 个 下 界 4 合并运算由在s c 上完全定义为最小上界运算 下面介绍几种基于格的访问 控制模型 1 b e l l l a p a d u l a 模型 在b e l l l a p a d u la 模型中 定义若干个安全级别 每个主体和对象属于一个特 定的安全级别 为讨论方便 用a x 表示x的安全级别 x 是主体或者对象 在安全级别上定义d o m in a t e 关系 写作之 所有安全级别和d o m i n a t e 关系一起构 第二章访问控制 成一个有限格 模型中主体对对象的访问遵循以下原则 简单安 全原则 主体s 能读对象 当 且仅当双s a o 星一安全原则 主体s 能写对象 当且仅当a o 双s 有些文献中又将简单安全原则称为读下原则 把星一安全原则称为写上原则 读操作意味着信息从对象流向 主体 而写操作意味着信息从主体流向 对象 可见 通过简单安全规则和星安全规则 b e l l l a p a d u l a模型实际上是实施了一个单向信 息流策略 即信息只能在安全级别构成的格中沿一个方向 即向着安全级别高的 方向流动 不难发现 系统中可能出现这样的情况 即一个主体不能读某个对象 但是 却可以 对它写 在不了解一个对象内容的情况下对它进行写操作很容易破坏该对 象的完整性 因此 出于完整性考虑 有的系统对星一安全原则作了修改 改为 下面的严格星一安全原则 严格星一安全原则 主体s 能写对象 当且仅当双习二 狱a 这个原则又叫写等原则 另外 由于信息流策略的三元素是固定的 要实现 这种固定性 系统行为还应遵循一条寂静原则 寂静原则 系统中主体和对象的安全级别不能改变 如果没有寂静原则 就无法真正实施确定的信息流策略 b e l l l a p a d u l a 模型主要用于传统的强制性访问 控制m a c中 而传统m a c主 要是考虑保护数据的机密性的 因此其安全级别用来表示数据的保密级别 安全 级别越高的对象 它所包含的信息的保密性也就越高 信息只能从较低的保密级 别流向较高的保密级别 从而保证机密信息不致泄漏 即实现了数据的机密性 在下面将要介绍的b i b a 模型中 安全级别则用来表示信息的完整性级别 即数据 对完整性的敏感程度 保密级别可以看作是数据对保密性的敏感程度 2 b i b a 模型 b e l t l a p a d u l a 模型中的强制控制主要用来保护数据的机密性 b i b a 模型用类 似的 控制方法来保护数据的完整性 b i b a模型的基本思想是信息不能从低完整性 级别流向高完整性级别 在b i b a 模型中 主体和对象都有一个完整性级别 用i 表示所有包含完整性 级别的 集合 在i 上定义二 元关系d o m i n a t e 写作之 即 e i x i a i d o m i n a t e 形成一个格 为讨论方便 用 x 表示x 的完整性级别 x 可以是主体 也可 以是对象 模型规定 主体