（计算机软件与理论专业论文）基于组织机构的应用区域边界访问控制模型.pdf

独创性声明 y 8 7 9 s 5 0 本人声明，所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽本人所知，除了文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得北京交通大学或其他教学机构的别种学位或证书而大量 使用过的材料。与我一起工作的同志对本研究所做的任何贡献已在论 文中作了明确的说明并表示了谢意。 本人签名：盈础 日期：盟年三月生日 关于论文使用授权的说明 本人完全了解北京交通大学有关保留、使用学位论文的规定， 即：学校有权保留送交论文的复印件，允许论文被查阅和借阅：学校 可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手 段保存论文。论文中所有创新和成果归北京交通大学计算机与信息技 术学院所有。未经许可，任何单位和个人不得拷贝。版权所有，违者 必究。 本人签名：塑破 日期：三竺生年二月二日 摘要 摘要 随着信息化科学的不断发展，计算机网络在企事业单位中的应用 已经越来越j 1 泛。越来越多的单位在自己的日常办公环境中采用了办 公自动化系统，计算机网络技术在信息获取、存储、传递、处理等诸 多方面的优势大大提高了人们的办公效率，给人们带来了便利，人们 对计算机网络的依赖程度也比过去大大增加。同时，黑客、病毒等攻 击现象对企事业单位的信息安全造成了重大威胁。因此，如何保障组 织机构的信息受到有效保护成为人们重点关注的问题。 现有的网络防护方法主要采用防火墙、杀毒软件以及入侵检测系 统，这些措旎在网络防护方面起到了重要作用，但是随着安全问题越 来越复杂，安全要求越来越高，传统的方法越做越复杂，不但占用了 大量系统资源，而且配置管理比较复杂，安全服务机制互相重叠。我 们提出对应用区域信息环境保护的最佳位置应该在应用区域边界，对 经过应用区域边界的访问请求进行细粒度的强制访问控制可以有效 的保障内部环境的安全。 本文介绍了应用区域边界访问控制的特点和基于组织机构的访 问控制模型在应用区域边界的应用。基于组织机构的访问控制模型是 一种面向企事业单位实际结构提出的访问控制模型，根据企事业单位 的逻辑结构，将系统划分为多个有相互隶属关系的安全域，通过定义 各安全域之内的安全策略及安全域之间的信任关系，保证了系统内部 信息流动的安全性和访问控制的易行性。 本文给出了基于组织机构的应用区域边界访问控制的形式化模 型并介绍了该模型的实现方法。 关键字：应用区域边界访问控制组织机构角色 北京交通大学硕i ：学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to fj n f o 咖a t i o nt e c h n o l o g y t h ec o m p u t e r n e t w o r ki sw i d e l yu s e db yt h eg o v e m m e n ta i l de n t e 删s e s m o r e 卸d m o r eo r g a n i z a t i o na d 叩t st h ew o r kf l o ws y s t e mi nt h e r cw o r k i n g e n v i r o n m e n t t h e m p u t e rn e t w o r kt e c h n o l o g yb r i n g st op e 叩l em o 陀 c o n v e n i e n c e 卸dh i g he 珩c i e n c yl j f ew j t ht l l ea d v a n t a g ci ng c t t i n g ，s t o f i n 岛 t r a n s f e r r i n ga n dp r o c e s s i n g0 fi n f o r i l l a t i 加t h ed e p e n d e n c yo fn e t w o r ki s a l s oj n c r e s s e d 糟p i d l yi nr e c c n ty e a r s m e a l l t i m e ，t h ei n f 咖a t j o nc r i m e s u c ha sh a c k e ra n dv i r i i sh i g l l l yl b r e a t e n sp c 叩l e s s oh o wt oa s s u r et h e i n f o m l a t i o ns a f c l yi sv e r yj m p o n a n t p e o p l e 曲e u s es o m ec o m m o nt e c h n o l o 西e ss u c h a se r e w a l l ， a n t j _ v i t o u ss o f 协a r ea n di m n l s i o nd e t e c t i o ns y s t e mt o p t o t e c tt h e i n f o 珊a t j o n t h j sm e t h o dm a yo c c u p ym 柚ys y s t c mr e s o u r c e sa n dt h e n f j g u 珀t i o na n dm a n a g c m e n ti sv e r yc 响p l c x w es u g g e s tt l l a tt h e 6 t t e s tl o c a t i o nt op f o t e dt l l ei n f o n i l a t i o no fi 栅e re n v i r o n m e n ti s a p p l i c a t i o c n c l a v eb o u n d 甜y t h ec o m p u l t i o na c c e s sc o n t r o lo ff i n e 掣a n u l a r j t yi sa d o p t e db yu st oe n s u r et h es e c u r i t yo fi 曲e re n v j r o n m e n t t h ec h 盯a c t o 幅o fa c c c s sc o n t r o li na p p l i c a t i o ne n c l a v eb o u n d a r y s y s t e m 锄dt l l ea c c e s sc o n 仃o lm o d e lb 髂e d 彻o r g a n i z a t i o ni si n 仃0 d u c e d b yt l l i st h e s i s ，t h i sm o d e li s 柚a c c c s so o n t m lm o d e lb a s e do nt h e c h a a c t e ro fo r g a n i z a t i 加o fe n t e r p f i s 皿ew h o l es y s t e mi sd i v i d e d i n t om 锄ys c c l l r i t y 盯e a sw i n lj n h e r i tr e l a t j o n s h i p sa c c o r d i n gt ot h el o g i c a l s t n l c t u r eo fc n t 盯p r i s e s 1 1 l es e c u r j t yo ft l l ei n f b n n a t i 伽n o w 如dm e s i m p l ea n dc o i i v e n i e n c eo fa c c c s sc o n t i d la f g u a f a n t e e db yd e f i n j n gt l l e 2 塑垩 一 _一 s e c u f j t yp o l i c yi ne a c bs e c u r j t y a r e a sa n de s t a b l j s h j n gt h ec o n n d e n t r e l a t i o n s h i p sb e t w e e ns e c u r j t ya r c a s af o 珊a lo r g a n i z a t j 伽- b a s e da c c e s sc o n t r o lm o d e lo fa p p l i c a t i o n e n c l a v eb o u n d a r ys y s t e mw a sp u tf b 刑a r d n ei m p l e m e n t a t i 佃o ft l l i s m o d e li sa l s o 舀v e ni nt h j si h e s j s k e y w o r d s ： a p p l i c a t i o n e n c 】a v eb o u n d a 啊a c c e s s 彻l 仃o l ，o r g a n i z a i i o n s l n l c t u f e ，t o l o 3 北京空通 学碰i ：学位沧殳 第一章绪论 1 1 研究背景 1 1 1 信息安全的定义 美国国防部在1 9 8 3 年公布的著名橘皮书t c s e c ，即可信训算 机系统评估标准中，对信息安全的定义是：“计算机系统有能力控 制给定的土体对给定的客体的存取访问，根据不同的安全应用需求， 确定相应强度的控制水平，即不同的安全等级”n 这是在单机环境 中，从操作系统安全的角度给出的定义。其后随着网络环境的普及， 国际标准化组织给出了信息安全的新定义：“为计算机系统、数据处 理系统的建市而采取的技术卜和管理r 的安全保护，使得系统的硬 件、软件和数据不被偶然或故意地泄露、更改和破坏”。目前，对于 信息安全的普遍定义是：信息机密性、有效性、真实性、完整性和町 用性的结合。信息安全包括信息状态安全和信息状态转移安全。对于 单独的计算机系统，主要指状态安全；对于计算机组成的分布式网络 化环境则同时包含状态安全和状态转移安全两层含义。 信息安全的要旨是在信息的存储、传送过程中，向台法的服务对 象提供准确、及时、可靠的信息服务，而对其它任何人员和组织包括 内部、外部乃至于敌对方，都要保持最大限度的信息的不透明性、不 可获取性、不可接触性、不可干扰性、不可破坏性。因此信息安全工 作的目标是保障数据的安全保密性、完整性、可靠性和可用性。即： 安全保密性：确保信息不暴露给未授权的实体或进程，即防 止非授权访问。这也是信息安全最重要的要求。 完整性：信息在存储或传输过程中保持不被修改、不被破坏 完整性：信息在存储或传输过程中保持不被修改、不被破坏 和不丢失。保证信息的完整性是信息安全的基本要求，而破 坏信息的完整性则是对信息安全发动攻击的目的之一。 可靠性：指对信息完整性的信赖程度，也是对信息系统安全 的信赖程度。 可用性：得到授权的实体在需要时可访问数据，即攻击者不 能占用所有的资源而阻碍授权者的工作。 1 1 2 信息安全的主要威胁 在网络环境下，我们更多的考虑在网络上的信息的安全，因此我 们假定信息存储在一个安全的主机上，所以信息安全问题更多的体现 在信息的传输安全和对用户进行身份认证上，主要包括： 对网络上信息的监听。由于现阶段数据的传输大多以明文的 方式在网上传输，攻击者只需在网络的传输链路上通过物理 或逻辑手段，就能对数据进行非法截取与监听，进而得到用 户或服务方的敏感信息。 对用户身份的仿冒。用户身份仿冒是最常见的一种网络攻击 方式，传统的对策是依靠用户的登录密码来对用户身份进行 认证，但用户密码在登录时也是以明文方式在网络上进行传 输的，很容易就能被攻击者在网络上截获，进而可以对用户 的身份进行仿冒，身份认证机制被攻破。 对网络上信息的篡改。攻击者可能射网络上的信息进行截 获，并且篡改其内容( 增加、删除或修改) ，使用户无法获得 准确、有用的信息，或者落入攻击者的陷阱。 对发出信息予以否认。某些用户可能对自己发出的信息进行 恶意的否认。 北京交通火学硕卜学位论文 对信息进行重发。攻击者截获网络上的密文信息后并不破 译，而是把这些数据包再次向有关服务器发送，实现恶意的 目的。 1 1 3 信息安全的研究现状 信息安全的概念经历了一个漫长的历史阶段，9 0 年代以来得到 了进一步的深化。国际上信息安全研究起步早、力度大、积累多、应 用广。8 0 年代美国国防部基于军事计算机系统的保密需要，在对年代 的基础理论研究成果计算机保密模型( b e l t & l a p a d u l a 模型) 的基础 上，制订了“可信计算机系统安全评价准则”f r c s e c ) ，其后又制订 了关于网络系统、数据库等方面的系列安全解释，形成了安全信息系 统体系结构的最早原则，将计算机安全产品按从低到高的顺序分为四 等八级：d ，a ，c 2 ，b l ，b 2 ，b 3 ，a l ，超a l 。9 0 年代初，美、法、德、 荷四国联合提出了包括保密性、完整性、可用性概念的“信息技术安 全评价准则”( s e ) 。近年来六国七方( 美国国家安全局和国家技术 标准研究所、加、英、法、德、荷) 共同提出了“信息技术安全评价 通用准则，”( c c d r i t s e c ) ，并于1 9 9 9 年5 月正式颁布为i s 0 的国 际标准。 我国信息安全研究经历了通信保密、计算机数据保护两个发展阶 段，正在进入网络信息安全的研究阶段。在安全体系的构建和评估方 面，通过学习、吸收、消化i s e c 的准则，进行了安全操作系统、 多级安全数据库的研制，但由于系统安全内核受控于人，以及国外产 品的不断更新升级，对于具体产品的增强安全功能的成果，难以保证 没有漏洞，难以得到推广应用。在学习借鉴国外技术的基础上，国内 一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入 8 绪论 侵检测、系统脆弱性扫描软件等。国家还成立了有关信息安全评测认 证机构，已有1 0 0 多个产品进行了评测检验。但是，这些安全产品的 完善性、规范性、实用性还存在许多不足，特别是在多平台的兼容性、 多协议的适应性、多接口的满足性方面存在较大距离，产业化程度更 不够。 总的来说，我国的信息安全研究起步晚，产业化投入少，力量 分散，与技术先进国家有差距，自主的信息安全设备不能满足国家信 息化的需求，国外高安全等级的安全产品对我国进行封销禁售、然而 我国的网络信息安全研究毕竟已具备了一定的基础和条件，尤其是作 为信息安全的核心技术密码学研究方面积累较多，基础较好。随着国 家对信息安全的重视程度提高，加大投入，恰当组织，可以取得实质 性进展。目前已有不少研究单位和企业纷纷涉足信息安全技术研究和 产品开发，形势喜人。尤其是1 9 9 9 年1 0 月朱总理签发了国务院2 7 3 号令( 商用密码管理条例) ，由国家密码管理机构负责对全国商用密 码的管理工作，支持并引导商用密码产品的发展。目前在国家密码管 理机构立项的以密码技术为主体的信息安全项目已达1 4 0 项，承担单 位近8 0 个，通过技术鉴定的有3 8 项，为信息产业发展奠定了一定的 基础。 为满足网络信息安全的需求，当前计算机领域所采用的基本方法 主要有以下几种： 数据传输加密技术：对传输中的数据流进行加密，用来 防止通信线路上的窃听、泄漏、篡改和破坏。 身份鉴别技术：对网络中的主体进行验证的过程，防止 对主体的冒充。 9 北京交通大学硕一l 学位论文 数据完整性技术：包括报文鉴别技术，校验和技术和消 息、完整性编码技术，用来防止对信息包内部内容的攻 击。 防抵赖技术：包括对源和目的地双方的证明，常用方法 是数字签名技术。现在许多机构运用p ( 即“公开密 钥体系”) 技术实施构建完整的加密名体系，通过运用对 称和非对称密码体制等密码技术建立起一套严密的身份 认证系统，从而有效地解决上述难题，在充分利用互联 网实现资源共享的前提下，从真正意义上确保了网络信 息传递的安全。 1 1 4 应用区域边界的信息安全 按照计算机网络的拓扑结构，网络信息安全可以划分为三个层面 的安全：( 1 ) 内部用户应用环境安全。( 2 ) 应用区域边界安全。( 3 ) 网络传输安全。其中应用区域边界作为连接内部环境和外部环境的纽 带，其安全性非常重要。应用区域边界信息安全保障的主要内容就是 对出入边界的访问请求进行判断，区分合法请求和非法请求，以做出 对该访问请求进行转发或拒绝的决定。 在l s o ( 国际标准化组织) 的网络安全标准i s 0 呵4 9 8 2 中，将层次 型安全服务分为5 类：身份认证服务、访问控制服务、数据保密服务、 数据完整性服务、不可否认服务。其中访问控制作为其中的一个重要 组成部分，可以有效防止非法用户的入侵或者合法用户的违规操作造 成的损害【”。所谓访问控制，就是通过某种途径显式地准许或限制访 问能力及范围，从而限制对关键资源的访问。 根据对组织机构的信息安全现状的研究，我们提出信息安全保 1 0 绪论 障的要点是在应用区域边界进行访问控制。 现有的主要访问控制方法有自主访问控制( d a c ) 、强制访问控 制( m a c ) 、基于角色的访问控制( r b a c ) 、基于任务的访问控制 ( t b a c ) 等。这些访问控制模型都在一定程度上保障了组织机构内 部的信息安全，但是在实际应用中也暴露出一些问题，比如授权配置 复杂、安全性不足、系统资源占用过高等等( 关于这些模型的具体分 析在第二章中介绍) 。针对这些情况，我们提出了基于组织机构的应 用区域边界访问控制模型。 1 2 论文研究内容与选题的意义 1 2 1 论文的研究内容 论文的研究内容是：对应用区域边界访问控制的特点和构成进行 系统的研究。针对组织机构运作的特点，提出一个基于缎织机构的应 用区域边界访问控制模型，并给出原型系统的实现。研究的主要内容 包括： 应用区域边界访问控制的组成及特点 基于组织机构的应用区域边界访问控制模型的构成及特点 多级组织机构的应用区域边界访问控制的研究 基于组织机构的应用区域边界访问控制模型的实现 1 2 2 论文选题的意义 应用区域边界作为连接内部环境与外部环境的枢纽，其安全性非 常重要，传统访问控制模型虽然能够达到一定的访问控制目的，但在 当今组织机构大型化、多层次化的趋势下，它们的管理策略配嚣起来 非常的复杂，不能满足大型分布式系统的需求，管理成本太高。特别 北京交通大学瑚k 学位论文 是对于存在地域性分布差异、多任务、多行为、管理分布、用户分布 的大型分布式系统来说，如何管理好这些分布式资源是一个非常关键 的问题。 本文提出并部分实现了基于组织机构的应用区域边界细粒度访 问控制模型。该模型的主体管理引入了r b a c 模型中角色的概念，并 对其在多级组织机构环境下的角色继承等方面进行了改进，在授权上 引入了t b a c 模型基于任务的管理方法，使管理员的配置操作变得简 便清晰，大大提高了组织机构访问控制策略配置的效率。 1 3 论文的结构 论文共分为六章： 第一章为绪论。简单介绍课题的背景、论文研究的内容和论文的 结构。 第二章为应用区域边界访问控制的构成。主要介绍了应用区域边 界的定义、特点，同时分析了当前其他访问控制模型的特点及不足。 第三章为应用区域边界的安全访问控制规则，主要介绍了应用区 域边界的安全规则、粒度划分和评估标准。 第四章为基于组织机构的应用区域边界访问控制。主要介绍了组 织机构的特点，基于组织机构的应用区域边界访问控制模型的组成， 并介绍了在多级组织机构环境下，应用区域边界的访问控制。 第五章为访问控制模型的实现。主要介绍了该系统的架构以及各 个模块的设计，以及系统运行的部分实验测试结果。 第六章为结束语：对论文工作做出总结并对下一步的研究工作进 行展望。 廊用区域边界访问控制的构成 第二章应用区域边界访问控制的构成 2 1 应用环境的定义 应用环境主要指企事业内部的各种信息资源，包括服务器、客户 机及其所安装的应用等等。这些应用提供各种不同的服务，包括：调 度或时间管理、打印服务、字处理、目录服务等【1 6 1 。在计算环境中， 用户需要为已有的应用提供信息保障，计算环境的安全强调服务器和 客户及其所安装的应用程序、操作系统、基于主机的监控等功能。即 在一个逻辑上相对独立的网络范围内，提供对该网络的管理、脆弱性 扫描、入侵检测、病毒防护、应用和信息的安全管理等等，实现对该 网络的内部的信息保障。 2 2 应用区域边界的定义 在组织机构的信息系统中，“区域”是指通过局域网相互连接、 采用统一的安全策略且不考虑物理位置的本地计算设备的集合。 应用区域边界是指在不同应用区域之间的不同程度的隔离和连 接功能，即信息离开( 到达) 网络传输所必须经过的地方，若各应用 环境间是以o s 腿m 或t c 即p 网络互连协议进行相联，则应用区域 边界就是应用环境互联协议的应用边界。其中，在外部区域和i n t e m e t 之间的边界定义为外部边界，在外部区域和内部计算区域之间的边界 定义为内部边界。外部区域对外连接的是一个高度开放和复杂的网 络，可能会经受各种各样的攻击，因此外部边界的访问控制需求非常 高。内部边界主要起到隔离内部应用区域安全的作用，防止来自系统 内部的越权访问。因此，应用区域边界不仅要实现内部网络和外部网 络之间的隔离，还要实现内部区域之间、内部区域和外部区域之间的 1 3 北京交通人学颀 学位论立 隔离，同时这个边界还要保证数据交换的安全( 如图2 1 所示) 。 图2 1 应用区域边界示意图 内 部 网 络 2 3 应用区域边界安全体系的构成 根据开放信息系统的信息安全公理可知。如果信息系统中每一 个使用者都是经过认证和授权的，其操作都是符合规定的，且每个用 户不能否认其操作行为，那么就不会产生攻击性的事故，就能保证整 个信息系统的安全。由此公理可知：应用区域边界的安全体系包括五 大方面：身份认证、访问控制、数据保密性、数据完整性和不可否认 性【1 1 】。 2 3 1 身份认证 身份认证是应用区域边界安全体系中最基本的安全策略，即主体 对客体的识别认证和客体对主体的检验认证。在一次访问过程中，当 前实体如果作为访问的发起者，即为主体，反之即为客体。一次访问 请求只有在认证检验合格的情况下才可以通过应用区域边界。 身份认证的方法最常见的就是通过账户及口令认证，但由于该 方法的局限性，当计算机出现漏洞及口令泄漏时，攻击者可能会利用 外 部 网 络 应用区域边界访问控制的构成 这种情况冒充合法用户的身份发起非法访问请求，因此，身份认证方 商最重要的工作就是确保用户身份的唯一性、高机密性、和不可仿制 性。要达到这一目的，主要通过采用细粒度的用户身份认证方式，使 身份的伪造变得非常困难。 2 3 2 访问控制 访问控制通过定义一系列的安全策略，使系统可以更加准确地判 断当前访问请求是否合法。访问控制最重要的就是主体管理、客体管 理和授权三部分。 主体管理 所谓主体，就是访问请求的发起者，主体可以是用户、角色、或 者是设备。主体管理主要包括用户管理和角色管理，定义系统中的用 户、角色、角色的基数限制、角色的最低认证方法、角色之间的继承 或互斥关系，以及为用户授予或撤销角色等。 客体管理 客体是指在一次访问活动中访问请求的承受者，客体也叫做操作 对象，可以是设备，也可以是目录或者文件。客体管理主要定义客体 之间的层次关系、客体的密级等等。 授权 所谓授权，即合理设定授权规则集合，定义主体对客体的访问权 限。通过对授权规则的分析，可以辨别什么样的访问请求是合法请求， 什么样的访问请求是非法请求。在制定授权规则时。既要保证授权策 略的完各性，又要便于应用策略的易行性，避免策略定义过于复杂。 通常而言访问控制就是通过对主体授权，定义主体可以在客体 上执行的操作，如图2 2 所示： 北京交通人学顾l + 学位论文 图2 2 访问控制示意图 2 3 3 数据保密性 对于组织机构来说，关键数据的安全性非常重要，加强数据的安 全性是每个信息系统都需要考虑的。主要包括数据的加密方式、加密 算法、以及日常的保密工作。目前，在数据的传输及通信中常用的算 法有s s l 2 0 加密算法，在数据的存储方面常用m d 5 算法。 2 3 4 数据完整性 数据完整性是指保证数据不受到篡改，数据完整性保护常使用信 息完整性编码，即使用单向散列函数计算信息的“摘要”，将它连同 信息一起发送给接收方。接收方重新计算“摘要”，并与收到的“摘 要”进行比较，以验证信息在传输过程中的完整性。 这种散列函数的特点是任何两个不同的输入不可能产生相同的 输出，因此如果文件在传输过程中被篡改，则在对“摘要”进行比较 时就可以发现完整性遭到了破坏。 2 3 5 不可否认性 根据中华人民共和国公共安全行业标准的计算机信息系统安 全产品部件的规范，在信息传送过程中需要验证发送方信息发送和接 收方信息接收的不可否认性：在不可否认性鉴别过程中，通常用公钥 1 6 应川区域边界访问控制的构成 密钥的方式来存储信息发布方和接收方的不可否认性鉴别的信息；对 双方的不可否认性鉴别信息需进行同志和审计跟踪。信息发送者的不 t 叮甭认性鉴别信息必须是不可伪造的；信息接收者的不可否认性鉴别 信息也必须是不可伪造的。 ”不可否认性”可以证实消息发送方是唯一可能的发送者，发送者 不能否认发送过消息。”不可否认性”是采用公钥技术的一个特征，当 使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送， 接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才 唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字 签名通过验证，发送者就不能否认曾发送过该消息。但”不可否认性” 不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技 术中，发送方和接收方掌握相同的密钥。 闩志审计主要分为日志记录、现场重现和入侵检测等。审计是对 应用控制策略的必要补充。审计会对主体何时使用何种信息资源进行 监控，这对于发现问题时进行事件重现和事后的责任追查非常有效。 2 4 应用区域边界访问控制的特点 应用区域边界的访问控制有以下特点： 1 ) 主体( 用户) 必须按照系统定义的权限访问相应的客体，在 同一次连接访问过程当中，主体的身份和权限不可改变【l 】。 2 ) 对应用区域边界访问控制系统而言，每一访问请求是无状态 的。即应用区域边界访问控制系统只根据本次访问请求自身携带的信 息( 访问发起主体、受访客体、时间等) 来判断此访问请求是否合法 【l 】o 3 ) 在多级应用区域边界的访问控制策略中，由于集中授权过于 1 7 北京交通人学硕上学位论文 复杂，所以有些访问控制系统采取可信计算的方法来控制访问请求。 在这种系统中，并不明确指定哪些济问请求是合法的，而是根据特定 的策略对每个访问请求进行可信度计算，然后判断是否允许此访问通 过。 2 5 现有访问控制模型的特点及其局限性 2 5 1 自主访问控制模型( d c ) 自主访问控制模型( d a c ) 允许合法用户以用户或用户组的身 份访问策略规定的客体，某些用户可以将其对客体的访问权限任意转 让给其他用户。目前主流的操作系统例如“n u x ，u n i x ，w i n d o w s 等都 提供了自主访问控制的功能。 为实现完备的自主访问控制，由访问控制矩阵提供的信息必须以 某种形式保存在系统中。访问控制矩阵中的每行表示一个主体，每列 则表示一个受保护的客体。矩阵中的元素表示主体可对客体的访问模 式。为了提高效率，通常自主访问控制模型都不会将整个矩阵保存起 来，通常使用的方式是基于矩阵的行或列来存储访问控制信息。 由于d | a c 模型在实际应用方面具有简单灵活的特点，使其得 到广泛的应用。但由于用户可以随意转让对客体的访问权限，安全性 大大降低，应用区域边界访问控制系统不能保证访问请求的合法性。 2 5 2 强制访问控制模型呻蚴 强制访问控制模型( 姒c ) 是一种多级访问控制策略，在这种访问控 制模型中，用户和被访问的客体都被赋予一定的安全级别，安全级别 由系统管理员集中管理。在访问控制执行时，系统会对访问主体和被 访客体的安全级别进行比较，只有主体的安全级别满足客体访问策略 1 8 应用区域边界访问控制的构成 的要求时，访问才可通过。但是在应用区域边界访问控制系统中进行 访问授权时，强制访问控制模型将主体与客体直接相连，在主体客体 发生变化时系统管理人员要花费大量的时间修改访问权限。 2 5 3 基于角色的访问控制模型( r b c ) 基于角色的访问控制( r b a c ) 模型近年来受到广泛的关注，也逐渐 应用到一些主流的访问控制产品当中。其主要特点是根据在单位中的 职能将用户进行角色划分，将访问权限与角色相联系，而不直接将访 问客体的权限授予用户，根据工作的需要给用户分配合适的角色，角 色之间具有继承关系”1 。这样在用户的身份、职责变化时便与相应权 限的分配与撤销。但是在应用区域边界的环境下，角色权限关系、角 色继承关系、角色权限的互斥和约束关系的定义方面比较复杂。如何 在保证访问控制的正确性、完备性的基础上，确保授权操作和策略定 义的简单性、可操作性成为其普及的主要障碍。角色间的继承关系如 图2 3 所示： 图2 3 角色间的继承关系 北京交通大学硕l 学位论文 2 5 4 基于任务的访问控制模型( t 队c ) 随着访问控制策略逐步由理论转向实际应用，人们发现传统的从 系统角度出发去保护资源的做法( 静态控制环境) 已经不能满足需要， 这促使人们将注意力从独立的计算机系统中静态的主体和客体保护， 转移到随着任务的执行而进行动态授权的保护上。任务( 协k ) 是工 作流程中的一个或一组动作的集合，具有明显的可区分性。 基于任务的访问控制模型( 1 r i a c ) 将任务作为权限分配和管理 的基本单位，通过定义任务之间的相互依赖关系对访问请求进行控 制。由于在实际应用中，主体对客体的访问往往有一定的次数限制， 也要遵循一定的先后次序，因此引入任务的概念对访问控制进行管理 可以更好的满足企事业单位同常应用的要求。该模型不仅能够有效的 防止非法用户对客体的访问，也可以有效防止授权用户对访问权的滥 用。 1 1 3 a c 支持最小特权原则和最小泄漏原则。所谓最小特权原则， 即在任务执行时，只给访问主体恰能完成任务的最小权限。最小泄漏 原则即是只能让主体访问到恰能完成任务的最少信息。满足这两种原 则可以更好的提高访问控制模型的安全性。但是，在多级组织机构的 应用环境下，由于任务之间的相互关系定义非常复杂，导致系统中访 问控制规则的数量急剧增加，这样会不可避免的降低系统对访问请求 的检验效率。 2 5 5 基于规则的访问控制模型 基于规则的访问控制模型根据对客体保护目标的不同分为对机 密性为主的b l p 模型和以完整性为主的b i b a 模型。 b l p 模型是典型的信息保密性多级安全模型，主要应用于军事 应刖区域边界访问控制的构成 信息安全系统，在b l p 模型中，信息流只能从安全级别低的对象向 安全级别高的对象流动，有效的防止了信息的非法泄漏。但是其对信 息流完整性的考虑不足，b l p 模型没有采取有效措施防止信息被非法 修改。 b i b a 模型定义了信息的完整性约束，即访问主体只能修改比自 己完整性级别低的客体信息，但是b i b a 模型对信息保密性的约束并 不完善。 2 5 6 基于格的访问控制模型( l 队c ) 基于格的访问控制模型( u l a c ) 给每一个主体和客体的关系提 供了一个可以上下移动的访问能力范围，该模型试图对访问控制中主 体的保密和完整身份级及客体的保密和完整级综合进行考虑。在 u a c 模型中，严格定义了信息的流向，即只有当访问主体的保密身 份级大于客体的保密级且主体完整身份级小于等于客体的完整级时， 主体才可以读该客体；只有当主体的保密身份级小于等于客体的保密 级且主体的完整身份缴大于等于客体的完整级时，主体才可以写客 体。 u l a c 对信息流向的严格定义，使其比较好的保护了信息的完整 性和保密性，但是在实际应用中，过于严格的信息流向要求往往会阻 碍信息的流动，也给授权带来一定的困难。 北京交通人学硕l 二学位论文 第三章应用区域边界的安全访问控制规则 3 1应用区域边界的信息流管理 在应用区域边界的访问控制系统中，对信息流的主要管理有三个方 面： ( 1 ) 保密性检查： 系统对信息流进行保密性检查，系统设置保密性检查部件，根据 保密性策略检查该信息流是否符合预定的保密性策略要求。一般来 说信息只可以从低保密级方向流向高保密级方向。 ( 2 ) 完整性检查： 根据系统内的完整性检查策略，由系统内设的完整性检查部件 对信息流进行完整性检查。一般说来信息只可以从高完整级方向流 向低完整级方向 ( 3 ) 隐蔽信息流检查。虽然对于应用区域边界的访问控制制定了相 应的安全策略，但是在一些特定情况下可能会出现策略定义之外的 隐含信息流( 非授权信息流) 。比如在一个条件判断语句 j f ( c o n d i t j o n1 ) t h e n s t a t e m c n t l ) e l s e s t a t e m e n t2 ) 之中，如果c o n d i t i o n1 中的信息属于高保密级，而s t a t e m e t 1 或 s t a t e m e n t2 中的信息有输出到低保密级的动作，这样低保密级对象 就可以根据整个i f 语句的执行结果判断出c o n d i t i o n l 的信息是否为 真，也就造成了高密级信息的非法泄漏。对这些信息流应该加以发 应用区域边界的安全济问控制规则 现并予以封闭。 3 2 应用区域边界的安全规则 由于系统的授权分为肯定授权与否定授权两种，通常来说应用区 域边界的安全规则可以有两种选择，一种是非明确允许的访问请求即 禁止，这种访问控制策略一般是对于低安全级用户访问安全级别比较 高的操作对象，或者危险性比较高的操作而言。另一种是非明确禁止 即允许的访问策略，这种访问控制策略一般对于安全级别比较高的用 户访问安全级别比较低的操作对象。 在实际应用当中，定义访问控制的安全规则如下： 规则一：区域内部的所有用户都可以进行新建操作。因为新建操 作的威胁性最小，所以内部用户都可以进行新建操作，但是访问控制 策略中有相应的规则定义恶意新建操作，使系统可以分辨例如短时间 内大量新建文件或文件夹的恶性操作。 规则二：只有可信的得到授权的用户才可以进行删除文件或目录 的操作。 规则三：只有可信的得到授权的用户才可以对文件和目录的名 称、属性及内容进行修改。 规则四：只有可信的得到授权的内部用户才可以通过应用区域边 界将外部的信息读入应用区域。 规则五：只有可信的得到授权的外部用户才可以从外部通过应用 区域边界读取内部环境的文件目录列表。 3 3 应用区域边界访问控制的粒度 在安全体系结构中提出了粗粒度控制及细粒度控制的概念，这两 个控制的粒度是相对而言的，实现的层次也不同。采用何种控制方案 北京交通夫学硕士学位论文 是根据安全规则来确定的。在基于组织机构的应用区域边界访问控制 模型中，我们采用了细粒度的访问控制。关于、粗粒度访问控制和细 粒度访问控制介绍如下： 糨粒度控制：该控制的依据条件是会话的发起者f 即连接的 发起主机) 、接收者( 即连接的接收主机) 、会话所访问的服务 ( 即目的服务端口) 等信息，这些信息与特定的应用协议无关， 在会话连接控制层能实现与应用协议相独立的粗粒度访问 控制。粗粒度控制仅工作在网络体系结构的第3 ，4 层，即工 作在与应用协议的无关层。 细粒度控制：该控制的依据条件是会话的内容，即与应用协 议相关的信息，包括：访问的具体目的信息( 如：某个页面、 邮箱、访问的文件或目录、访问的数据库等等) ，对信息进 行的操作( 如：对文件访问时是否能进行修改、对页面的访问 是否有权限等等) 。故细粒度访问控制主要在体系结构的较 高层( 应用协议的相关层) 实施，是与应用协议相关的访问控 制。细粒度控制在粗粒度控制的基础上，可精确地定义对目 的信息的访问权限。如粗粒度控制阶段我们对一般用户给予 了访问某网站的公共信息的权限，而对网站上不同部门的信 息，则采用细粒度访问控制的方式，使授权的用户能访问相 关部门的合法数据，对数据进行合法的操作和处理。 3 4 应用区域边界安全性的评估标准 计算机信息安全一直以来就是世界各国关注的热点问题，各个国 家和组织都制订过一系列的安全标准： ( 1 ) 美国t c s e c ( 橘皮书) ：该标准的正式名称是1 h s t e dc o m p u t e r 应用区域边抖的直牟访问拄制燃则 s y s t e me v a 】u a t i o nc r j t e r j a ( 可信计算机系统评估标准，以下简称 t c s e c l 。 ( 2 ) t c s e c 是美国国防部制定的。它将安全分为4 个方面：安全 政策、可说明性、安全保障和文档。在美国国防部彩虹系列限a i n b o w s e r i e s ) 标准中有详细的描述。该标准将以上4 个方面分为8 个安全级 别，从低到高依次为d ，c 1 ，c 2 ，b 1 ，b 2 ，b 3 、a 1 和超a 1 级。 ( 3 ) 欧洲j t s e c ：与t c s e c 不同，它并不把保密措施直接与计 算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强 功能。另外，c s e c 把保密作为安全的重点，而1 1 r s e c 则把完整性、 可用性与保密性作为同等重要的因素。l t s e c 定义了从e 0 级f 不满足 品质) 到e 6 级( 形式化验证) 的7 个安全等级，对于每个系统，安全功 能可分别定义。l t s e c 预定义了1 0 种功能，其中前5 种与桔皮书中 的c 1 b 3 级非常相似。 ( 4 ) 加拿大c t p e c ：该标准将安全需求分为4 个层次：机密性、 完整性、可靠性和可说明性。 ( 5 ) 美国联邦准则( f c ) ：该标准参照了c r a ) e c 及t c s e c ，其 目的是提供卫c s e c 的升级版本，同时保护己有投资，但f c 有很多 缺陷，是一个过渡标准，后来结合i t s e c 发展为联合公共准则。 ( 6 ) 联合公共准则( c c ) ：cc 的目的是想把已有的安全准则结合 成一个统一的标准。该计划从1 9 9 3 年开始执行，1 9 9 6 年推出第一版， 但目前仍未付诸实施。 c c 结合了f c 及1 1 s e c 的主要特征，它强调将安全的功能与保 障分离，并将功能需求分为9 类6 3 族，将保障分为7 类2 9 族。 ( 7 ) i s o 安全体系结构标准：在安全体系结构方面，i s o 制定了国 北京交通人学硕1 。学位论文 际标准l s 0 7 4 9 8 2 1 9 8 9 信息处理系统开放系统互连基本参考模型第 2 部分安全体系结构。该标准为开放系统互连( o s l ) 描述了基本参考 模型，为协调开发现有的与未来的系统互连标准建立起了一个框架。 其任务是提供安全服务与有关机制的一般描述，确定在参考模型内部 可以提供这些服务与机制的位置。 ( 国内标准： 以前，国内主要是等同采用国际标准，目前，由公安部主持制定、 国家技术标准局发布的中华人民共和国公共安全行业标准计算机信 息系统安全等级保护操作系统技术要求( g a 厂r3 8 8 2 0 0 2 ) 和计算机 信息系统安全等级保护通用技术要求( g 1 39 0 2 0 0 2 ) 己经正式颁 布，并于2 0 0 2 年起实旌。该准则将信息系统安全分为5 个等级，分 别是：自主保护级、系统审计保护级、安全标i 己保护级、结构化保 护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问 控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、 安全标记、可信路径和可信恢复等，这些指标涵盖了不同级别的安全 要求。 基十组织机构的应用区域边界访问拄制 第四章基于组织机构的应用区域边界访问控制 4 1 组织机构的特点 所谓组织机构是指作用不同但却合而为一为完成其所承担的任 务而遵守相同的规则共同发挥作用的有机实体。引入组织机构的概念 是为了使访问控制策略更好的适应企事业单位的实际要求。由于在很 多大型的企事业单位中，各子单位往往分布在不同的地域，所以在组 织机构中会涉及到多级应用区域边界的情况，在每个应用区域边界都 应该加以控制。 我们将每个应用区域边界所保护的应用环境定义为一安全域，则 整个组织机构的各安全域之间构成一树型层次管理关系，如图4 1 所 示： 图4 1 安全域层次结构示意图 安全域( d ) 由用户集( u s e r s ( d ) ) 、角色集( r o l e s ( d ) ) 、辖 域( g ( d ) ) 、任务集( 1 a s k ( d ) ) 、信息资源客体集( o 瑚s ( d ) ) 、访问相 应客体资源的应用协议( p 咖l ( d ) ) 及应用区域边界安全规则 ( a p p e n d s e c ( d ) ) 组成。 北京交通大学顿i 学位论文 基于组织机构的访问控制模型由授权模型、认证模型和审计模型 三部分组成。 4 2 基于组织机构的应用区域边界访问控制模型 4 2 1 授权模型 基于组织机构的访问控制模型引入了r b a c 模型中角色的概念 对访问主体进行管理。模型中的角色分为三种，一是能代表用户发出 访问请求的角色，我们称其为主动角色r o u 三s 。j v e ；二是为方便授权 而引入的虚拟角色r o l e s 。i n 。a i ，虚拟角色只对其分配相应权限而不指 定任何用户。三是能够对有关主动角色和虚拟角色进行一定的管理的 关防系统角色，如相应安全域中的安全管理员、系统管理员和审计管 理员