（信号与信息处理专业论文）基于netconf的访问控制机制研究.pdf

独创性 或创新性 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果 尽我所知 除了文中特别加以标注和致谢中所罗列的内容以外 论文中不 包含其他人已经发表或撰写过的研究成果 也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料 与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意 申请学位论文与资料若有不实之处 本人承担一切相关责任 本人签名 垂蝰日期 丝丛兰 笸 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定 即 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学 学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘 允许学位论文被查阅和借 阅 学校可以公布学位论文的全部或部分内容 可以允许采用影印 缩印或其它 复制手段保存 汇编学位论文 保密的学位论文在解密后遵守此规定 保密论文注释 本学位论文属于保密在一年解密后适用本授权书 非保密论 文注释s 本学位论文不属于保密范围 适用本授权书 本人签名 量睦 导师签名 日期 盖 耋 堕 日期 丛 墨 户 鼻 土 摘要 随着网络规模的增大 复杂性的增加和异构性的增强 传统的网络管 理协议s n m p 已经不能适应当前复杂网络管理的发展 特别是不能满足配置 管理的需求 为了弥补这些方面的缺陷 基于x m l 可扩展标记语言 的网 络管理应运而生 在这一背景下 i e t f 组织制定了下一代配置管理协议 n e t c o n f 它采用x m l 表示网络管理操作 访问控制是n e t c o n f 网络管理中 一种必不可少的安全机制 因为n e t c o n f 网络管理中不是任何人都能访问 被管设备并读取或修改被管设备数据的 而是指定的人员可以访问被管设 备的指定的数据 本文充分利用华为与本项目组在前期项目合作过程中开 发完成的n e t c o n f 原型系统平台作为试验研究的基础平台 通过文献研究 和理论分析 对现有访问控制机制进行理论研究 选择一种r b a c 机制对其 进行验证试验 然后从访问控制机制的应用部署的简单性 管理方便性 大数据量模型环境下的验证高效性等方面进行总结分析 以期发现r b a c 访 问控制机制的优劣 总结相关设计经验 在此基础上结合n e t c o n f 及网络 管理数据模型的特征 提出集中式访问控制代理服务器模型 关键词n e t c o n f 访问控制x m l 集中式 一 n e t c o n fa c c e s sc o n t r o lm e c h a n i s m d e s i g na n dv e l u f i c 棚o n a b s t r a c t w i t ht h ef a s te x p a n d e n c eo fc o m p u t e rn e t w o r ke s p e c i a l l yt h es c a l eo ft h e n e t w o r k t h ec o m p l e x i t ya n dh e t e r o g e n e i t yo f n e t w o r k s a r e s t r e n t h e n i n g c o n t i n u o u s l y t r a d i t i o n a ln e t w o r km a n a g e m e n tp r o t o c o ls u c ha ss i m p l en e t w o r k m a n a g e m e n tp r o t o c o l s n m p h a sn o ts a t i s f i e d t h e r e q u i r e m e n to fn e t w o r k m a n a g e m e n t e s p e c i a l l yt h ec o n f i g u r a t i o nm a n a g e m e n t i no r d e rt om a k eu pt h e l i m i t a t i o n so fs n m p x m l e x t e n s i b l e m a r k u pl a n g u a g e 一b a s e d n e t w o r k m a n a g e m e n tt e c h n o l o g i e se m e r g e da st h et i m e sr e q u i r e i nt h i sc o n t e x t t h e w o r k i n gg r o u p o fi e t fm a d ea 1 1x m l b a s e dn e t w o r k p r o t o c o l c a l l e d n e t c o n ff o rn e t w o r kc o n f i g u r a t i o n a c c e s sc o n t r o li sa n e c e s s a r ys e c u r i t y m e c h a n i s mf o rn e t c o n fn e t w o r km a n a g e m e n t b e c a u s en o ta n y o n eb u t s p e c i f i e d o n ec a na c c e s sm a n a g e dd e v i c e sa n dr e a do rw r i t et h ed a t ao f c o n f i g u r a t i o n i nt h i sd i s s e r g a t i o n w i t ht h en e t c o n fp r o t o t y p es y s t e m d e v e l o p e di nt h ep r o j e c tc o o p e r a t e dw i t hh u a w e ic o m p a n yb e f o r e c h o o s et h e r b a cm e c h a n i s mf o rv e r i f i c a t i o na f t e rt h es t u d yo ft h ee x i s t i n ga c c e s sc o n t r o l m e c h a n i s m st h r o u g hl i t e r a t u r er e s e a r c ha n dt h e o r ya n a l y s i s s u m m a r i z et h e r e l a t i v ed e s i g ne x p e r i e n c ea n dt h ea d v a n t a g e sa n dd i s a d v a n t a g e si nt e r m so f s i m i p l i t y o fa p p l i c a t i o n d e p l o y m e n t c o n v e n i e n c e o fa d m i n i s t r a t i o n h i g h e f f i c i e n c yo fv e r i f i c a t i o nu n d e rt h ec i r c u m s t a n c eo fe n o r m o u sd a t aa n ds oo n f i n a l l y a c c o r d i n gt h ec h a r a c t e r i s t i co fn e t c o n fa n dd a t am o d u l e c o m p o s e t h ea r c h i t e c t u r eo fc e n t r a l i z e da c c e s sc o n t r o lp r o x ys e r v e r k e yw o r d sn e t c o n fa c c e s sc o n t r o lx m lc e n t r a l i z e d 目录 第一章绪论 1 1 1 课题来源及意义 1 1 2 国内外研究现状 2 1 2 1 国外研究现状 2 1 2 2 国内研究动态 2 1 3 本文研究工作介绍 3 1 3 1 研究内容 3 1 3 2 研究方法 3 1 4 论文章节安排 4 第二章卜形t c o n f 协议 5 2 1n e t c o n f 相毛主盎 5 2 2m 玎c o n f 协议和s n m p 协议 6 2 2 1s n m p1 b 议 6 2 2 2 加玎c o n f 协议优势 7 2 3 卜r e t c o n f 原型系统 8 2 3 1n e t c o n f 原型系统结构关系 9 2 3 2r b a c 机制访问控制作用点 1 0 2 4x m l 技术 1 0 2 4 1x m l 简介 1 0 2 4 2x p a t h 1 1 第三章访问控制原理及主要模型的对比分析 1 2 3 1 访问控制概述 1 2 3 2 经典访问控制机制 1 3 3 2 1 自主访问控制 气c 1 3 3 2 2 强制访f 司控制m a c 1 3 3 2 3 基于角色的访问控制模型r b a c 1 5 3 2 4 基于任务的访问控制模型t b a c 1 6 3 2 5 基于对象的访问控制o b a c 1 6 3 2 6 信息流模型 1 7 3 3 面向x m l 访问控制机制 1 7 3 3 1 面向x m l 的基于角色的访问控制机制 1 7 3 3 2 面向x m l 的强制访问控制机制 1 9 3 3 3 访问控制语言 气c m l 2 0 3 4 对比分析 2 2 3 4 1 扩展性对比分析 2 2 3 4 2 运行效率对比分析 2 2 3 4 3 可理解性对比分析 2 3 3 4 4 对比分析小结 2 3 第四章n e t c o n f 协议中r b a c 机制的原理 实现与分析 2 5 4 1 概述 2 5 4 2r b a c 机制的原理 2 5 4 2 1r b a c 机制定义操作权限类型 2 5 4 2 2r b a c 中的对象类型 2 6 4 2 3u s e r r o l e 配置 2 7 4 2 4 权限继承和权限冲突 2 7 4 3r b a c 机制的实现 2 9 4 3 1r b a c 的用户授权 2 9 4 3 2r b a c 的具体操作验证 3 0 4 3 3r b a c 的权限配置 3 3 4 4 分析总结 3 5 第五章集中式访问控制代理服务器模型 3 6 5 1 背景技术 3 6 5 1 1 分布式访问控制模型 3 6 5 1 2r a d i u s 服务器 3 7 5 2 基本原理 3 8 5 3 建立连接 4 0 5 4 访问请求处理 4 2 5 4 1 解析r p c 请求过程 4 4 5 4 2 集中授权过程 4 5 5 5 实例说明 4 8 5 6 本章小结 4 9 第六章总结和进一步思考 5 1 6 1 论文主要工作总结 5 1 6 2 进一步思考 5 1 参考文献 5 3 i i f f 录 5 5 致谢 5 7 h 作者攻读学位期间发表的学术论文目录 5 8 h l 广 北京邮电大学硕士研究生学位论文 1 1 课题来源及意义 第一章绪论 之前在和华为公司合作的过程中完成基于n e t c o n f 协议的网管原型系统 由于缺 少保证系统资源安全和非法访问系统机制而提出本课题 传统的互联网技术的主要特点是具有很强的健壮性 是非赢利的网络 理念是自我 管理和无为而治 管控性较差 而现代商用化的互联网络必须具备必要的管理和控制能 力 要实现网络业务的管理和控制 需要依靠应用层和网络层的协同配合 网络层管理 和控制的难点是配置管理 资源管理 业务开通和准人控制 技术瓶颈是管理协议和管 理对象的标准化模型 目前网络管理协议主要是简单网络管理协议 s n m p 和网络配 置协议 帆o n f s n m p 采用u d p 传送 实现简单 技术成熟 但是在安全可靠 性 管理操作效率 交互操作和复杂操作实现上还不能满足管理需求 n e t c o n f 协议 采用x m l 作为配置数据和协议消息内容的数据编码方式 采用基于t c p 的s s h v 2 进 行传送 以简单的远程过程调用 r p c 方式实现操作和控制 x m l 语言可以表达复 杂的 具有内在逻辑关系的 模型化的管理对象 如端口 协议 业务以及它们之间的 关系等 大大提高了操作效率和对象标准化 同时采用s s h v 2 传送方式 可靠性 安 全性 交互性较好 国际标准化组织在其网络安全体系的设计标准o s o7 4 9 8 2 中定义了五个安全服务 功能 身份认证服务 访问控制服务 数据保密服务 数据完整性服务 不可否认服务 而工作流安全考虑白皮书w f m c t c 1 0 1 9 指出工作流系统下所需提供的六个安全服务 队身份验i i e a u t h e n t i c a t i o n 系统授权 a u t h o r i z a t i o n 访问控f l l j a c c e s sc o n t r 0 1 数 据私有 d a t ap r i v a c y 数据完整 d a t ai n t e g x i t y 不可复锖l j n o nr e p u d i a t i o n 访问控制 总是作为关键技术出现在这些标准 规范或体系结构中 由此可见访问控制技术在信息 安全领域是十分重要的 访问控制是一项确保系统中的信息在恰当的时刻被恰当的人员 以恰当的方式使用的技术 访问控制是n e t c o n f 网络管理中一种必不可少的安全机制 因为 巳t c o n f 网络 管理中不是任何人都能访问被管设备并读取或修改被管设备数据的 而是指定的人员可 以访问被管设备的指定的数据 同时 n e t c o n f 网络管理中存在少量的网络管理站和 大量的被管设备 为了在n e t c o n f 网络管理中有效地实现访问控制机制 本文提出了 基于n e t c o n f 网络管理的访问控制机制 1 2 2国内研究动态 面向x m l 文档的访问控制模型包括细粒度m a c 模型和x o r b a c 模型 细粒度 m a c 模型在b l p 模型的基础上为x m l 模式文件及其元素定义标签 然后利用x m l 文档层次性的结构特性指定了一系列规则 对访问控制的操作进行建模 其客体不仅包 2 北京邮电大学硕士研究生学位论文 括整个x m l 文档 还包括x m l 文档的各级内部元素和元素属性 x o r b a c 模型即面 向x m l 文档的r b a c 模型 以r b a c 9 6 标准模型为基础 针对x m l 文档的细粒度访 问控制的需求 融入对x m l 特殊性的支持 2 0 0 2 年 王德强在其博士论文 x m l 文档的信息安全保护研究 1 1 6 中将安全标记 引入到x m l 文档的安全保护中 提出细粒度 多级x m l 文档安全保护的方法 并利 用强制访问控制对信息流动控制的思想对自主访问控制进行增强 2 0 0 4 年李斓在其博士论文 面向x m l 文档的细粒度强制访问控制模型 1 7 1 和 面 向x m l 文档的访问控制研究 1 1 8 j 中提出给予x m ls c h e m a 的x m l 文档自主访问控制 策略 讨论了基于r b a c 实现的综合策略访问控制模型 引入多级角色和内部角色的概 念 1 3 本文研究工作介绍 本文充分利用华为与本项目组在前期项目合作过程中开发完成的n e t c o n f 原型 系统平台作为试验研究的基础平台 通过文献研究和理论分析 对现有访问控制机制进 行理论研究 选择一种r b a c 机制对其进行验证试验 然后从访问控制机制的应用部署 的简单性 管理方便性 大数据量模型环境下的验证高效性等方面进行总结分析 以期 发现r b a c 访问控制机制的优劣 总结相关设计经验 在此基础上结合n e t c o n f 及 网络管理数据模型的特征 对已有机制提出改进方法 或设计全新的机制 1 3 1研究内容 从总体上说 大致可以分为三个研究内容 l 研究和分析现有的访问控制机制 选定3 个现有机制进行理论比较分析 鉴于 n e t c o n f 数据模型文档采用x m l 方式编码 重点研究x m l 文档的访问控制机制 2 选择三个机制中的一种机制 r b a c 在n e t c o n f 原型系统上进行验证试验 以期发现其优缺点 3 结合n e t c o n f 及网络管理数据模型的特征以及上述访问控制机制的不足 提 出改进或全新设计的访问控制机制 在上述优劣对比分析和设计经验的基础上 充分分 析和总结n e t c o n f 网络管理及其数据模型的特征 例如 分布式系统 x m l 表示数 据结构等 提出改进的或全新设计的访问控制机制 1 3 2研究方法 本课题拟采取的研究方法 调查和分析现有访问控制机制 调查和分析n e t c o n f 协议及其数据模型在访问控制方面的技术特征 利用n e t c o n f 原型平台对r b a c 访 3 北京邮电大学硕士研究生学位论文 问控制机制进行验证试验 以发现其不足 结合n e t c o n f 协议及其数据模型在访问控 制方面的技术特征 提出访问控制机制的改进或全新方案 1 4 论文章节安排 本文的内容共分六章 各章内容简单地概括如下 第一章首先介绍本文的研究背景与意义 结合相关技术的特性 分析当前国内外相 关研究工作 取得的进展和仍然存在的问题 相关明确了论文的研究内容和主要贡献 并给出了论文的组织结构 第二章介绍了n e t c o n f 协议的特点以及其在网络管理中的优势 并简要介绍 n e t c o n f 协议原型平台的系统结构 n e t c o n f 协议规定所有的数据模型以及访问请 求都是以x m l 格式编码 最后说明了x m l 以及x p a t h 相关查询技术 第三章指出访问控制技术在安全体系结构中的重要作用 通过其在发展过程中的6 个经典机制分析 以及在此基础上发展的三个面向x m l 的访问控制机制的性能比较 以期发现这三个机制的优缺点 为提出新的访问控制机制做好铺垫 第四章主要对r b a c 机制的实现原理进行集中讨论 从其对象 操作权限类型的基 本表达开始 提出配置角色用户以及解决权限继承和权限冲突的方法 并就访问控制中 的授权 验证和权限配置进行流程化解释 最后总结r b a c 机制实现过程中的优势和不 足 第五章提出了可以满足部署简单性 管理方便性和验证高效性的集中式访问控制代 理服务器模型 通过对当前运用较多的访问控制技术进行分析总结其不足阐述提出该模 型的目的 接着介绍模型的整体框架及工作原理 并对框架中的核心技术建立连接和访 问请求处理作进一步研究 为了更清楚的说明该模型的用途 本章通过在n e t c o n f 系 统中的实际运用来说明 最后总结该模型能够带来的收益 第六章主要总结与进一步思考 总结本文的研究成果 指出有待于进一步深入研究 的工作方向 4 北京邮电大学硕士研究生学位论文 2 1n e t c o n f 概述 第二章n e t c o n f 协议 n e t c o n f 协议1 1 j 是一种解决网络配置管理问题较为有效的方法 是i e t f 工程任 务组 网络配置工作组提出的基于x m l 的网络配置协议 是一种提供网络数据设备配 置管理的协议 n e t c o n f 协议提供了安装 操作和删除网络设备配置的机制 它采用 基于数据编码的可扩展标记语言 x m l 配置数据以及协议信息 在自动化网络配置系 统中n e t c o n f 起着关键性的作用 n e t c o n f 协议使用远程过程调用r p c r e m o t ep r o c e d u r ec a l l 的方式进行数据交 互 类似的w e bs e r v i c e s o a p x m l r p c 也是这种方式 一个客户端以x m l 对p r c 进行编码 然后通过安全 面向连接的会话发送至服务器 服务器端以x m l 编码方式 回复响应 请求和响应的内容在x m ld t d 或者x m l 方案中充分描述 或者以上两者 中都充分进行描述 并允许双方识别强加于交换中的语法限制 n e t c o n f 协议从代理那里获取配置信息 以此为基础通过一个结构化的x m l 消 息运用r p c 机制修改配置管理信息 配置信息的状态分为三个阶段 候选 c a n d i d a t e 运行 r u n n i n g 和开始 s t a n u p r u n n i n g 表示完整的配置 目前在网络设备上正活跃 c a n d i d a t e 表示候选的配置 以不影响设备当前配置的方式操纵 s t a r t u p 表示当运行的配 置可靠时 从r u n n i n g 状态复制的配置 仅从一种传输 数据和操作模式是很难表达管 理操作的 设备信息传输的环境 管理数据和管理操作是不同的 因此 传输消息被划 分为以下四层用于满足不同环境的需要 内容层 c o n t e n t 操作层 o p e r a t i o n s r p c 层和传输层 如图2 1 l 辨r 一 毫 l c o n t e n t l 一一一 一 一 l 一一一一一一一一一一 f 3 lo p a r a t t o n s 一 l 4 一一 1 2 l r p c l 一 一 4 l 一一一一一 一一 f t l t r a n s p o r t i l p r o t o c o l l e x a m p l e 一一 c o n f l g u r a t l o nd a t a 一一一一一一 一 一 一一一 l 一一一 4 4 1 一一一一一一一一一 一一一一 l i 一 一 一一一 一一一一 一 l 一一一一一一一一一一一一一一一一 一 一一一一一一一一一 b e e p g s 强 g g l c o n s o l e l 图2 1肌o n f 协议层次划分 5 g e t 和s e t 这两个简单的操作不能实现网络配置管理的很多高层功能 例如d o w n l o a d r o l l b a c k r e s t o r a t i o n 等 2 管理信息结构存在缺陷 数据类型和数据结构单一 不能很好的表示复杂数据 如大型的结构化 层次化数据 由于s m i s i m p l em a n a g e m e n ti n f 0 咖a t i o n 的数据表示能 力有限 s n m p 中使用s m i 进行数据建模 不能清晰的描述具有层次性的数据 而很多 6 北京邮电大学硕士研究生学位论文 网络配置数据 例如接口设置和路由表 都要求层次性信息模型的支持 所以s n m ps m i 不能有效地表示网络配置数据 3 传统的s n m p 管理信息库中被管对象状态数据和配置数据未分开 这是造成 s n m p 批量配置操作的瓶颈的根源 4 利用符合a s n 1 标准的b e r 编码来完成协议报文的编码 不具有通用性和扩 展性 对异构的被管网元兼容性差 5 网络管理的实时性不强 网络管理效率低 容易在管理端形成通信瓶颈 很难 胜任大型 异构网络的管理 6 传统s n m p 网络管理针对故障处理过于简单 用户获得的信息量很少 故障管 理急需改善 7 传统s n m p 网络管理适用基于u d p 协议的s o c k e t 通信 容易丢失信息包 安全 性差 而且对w e b 服务不能很好的支持 使用u d p 协议进行数据传输 不仅对报文大 小有很大的限制 而且报文的重传需要在应用层中实现 此外 操作的原子性使得读取 大量数据需要通过多个操作完成 增加了网络的负担 总的来讲 传统s n m p 协议在协议操作 数据模型 通信方式和故障管理方面存在 不足 而新的n e t c o n f 网络管理协议的在这些方面正好形成对比 具有很强的优越性 提供强大的网络配置管理功能 提供批量配置管理必须的操作原语 如e d i t c o n f i g c o p y c o n f i g 等 还可以方便的通过能力添加新的操作 这些基本操作和拓展操作在操作 类型 选项方面更加丰富 不仅使系统配置管理容易 更具有很强的可扩展性 2 2 2n e t c o n f 协议优势 1 强大的数据建模能力 包括三个方面 方便的表示层次嵌套的数据 支持更加 丰富的数据类型 管理信息的管理方便 可以借助一些工具 例如c v s 对以文本格式存储 的管理信息进行管理 便于管理设备和管理信息的同步 便于计算机处理 使用x m l 文法将管理信息组织成为计算机可以理解的数据库 可以方便的进行管理信息的分析和 处理 2 基于n e t c o n f 的网络管理协议的数据模型使用s c h e m a 定义 将状态数据和配 置数据分开 方便了批量配置操作 3 存在大量已有成熟技术支持 便于实现数据的处理功能 特别是支持基于w e b 的网络管理 目前可以用于处理x m l 数据的成熟技术包括 x m l 文法 h t y p d o m a p i s x p a t h x s l w s d l 和s o a p 等 4 高效的数据传输能力 使用x m l 文档用来描述被管理对象和通讯消息 对消息 大小没有限制 从而可以更高效的传输数据并能保证数据的完整性 此外 可以方便的 使用像h t r p s o a p 这些支持x m l 文档的高层传输协议 还可以保证传输的安全性 7 8 北京邮电大学硕士研究生学位论文 2 3 1n e t c o n f 原型系统结构关系 图2 3n e t c o n f 原型系统的结构关系图 如图2 3n e t c o n f 原型系统的结构关系图所示 a g e n t 端由若干功能模块组成 s e r v e r 层可组合传入n e t c o n f 消息 并发送准备好的消息 r p c 层负责检查 消 息 可随意对消息进行压缩 解压缩或加密 解密 o p e r a t i o n 层可实现提取嵌入 节点 中的n e t c o n f 操作 然后调用相关的方法 g e t c o n f i g e d i t c o n f i g 等 2 3 1 1s e r v e r 层与r p c 层接口流程 第一步 解析配置文件 进行s s h 验证后 第二步 m a n a g e r 端与n e t c o n f s e r v i c e 进行交换能力 接收r e q u e s t 并解析x m l 消息 第三步 将解析过的r e q u e s t 消息的主 节点及其他参数传递至r p c 类 第四步 r p c 层与o p e a r t i o n 层之间互动 2 3 1 2r p c 层与o p e r a t i o n 层接口流程 第一步 由r p c 层向o p e r a t i o n 层传递参数 第二步 查询并生成o p e r a t i o n 第三 步 通过与m o d u l e 层互动 调用公共类和用s u b t r e e 或x p a t h 进行过滤 执行o p e r a t i o n 第四步 返回x m l 形式的结果 2 3 1 3o p e r a t i o n 层与m o d u l e 层接口流程 第一步 根据传递来的参数动态生成相应的m o d u l e 第二步 通过系统调用来实 现相应的m o d u l e 的功能 不同的m o d u l e 的实现方法不尽相同 在此 不同的m o d u l e 都实现的相同的接口 具有相同的生命周期 9 b j 嗡 圄囵 些标记 既可以选择国际通用的标记语言 比如h t m l 也可以使用象x m l 这样由相 关人士自由决定的标记语言 这就是语言的可扩展性 x m l 是从s g m l 中简化修改出 来的 它主要用到的有x m l x s l 和x p a t h 等 x m l 应用面主要分为两种类型 文档型和数据型 下面介绍一下几种常见的x m l 应用 自定义x m l x s l t m m l 最常见的文档型应用之一 x m l 存放整个文档的 x m l 数据 然后x s l t 将x m l 转换 解析 结合x s l t 中的h t m l 标签 最终成为 h t m l 显示在浏览器上 典型的例子就是c s d n 上的帖子 x m l 作为微型数据库 这是最常见的数据型应用之一 我们利用相关的x m la p i m s x m l d o m j a v a d o m 等 对x m l 进行存取和查询 留言板的实现中 就经常 可以看到用x m l 作为数据库 同时 这里要告诉一些新人 数据库和数据库系统 这 两个概念是不同的 这里顺便提一下x m l 对数据库系统的影响 在新版本的传统数据 1 0 北京邮电大学硕士研究生学位论文 库系统中 x m l 成为了一种数据类型 和 传统 相对的就是一种新形态的数据库 完全以x m l 相关技术为基础的数据库系统 作为信息传递的载体 为什么说是载体呢 因为这些应用虽然还是以x m l 为基本 形态 但是都已经发展出具有特定意义的格式形态 最典型的就是w e bs e r v i c e 将 数据包装成x m l 来传递 但是这里的x m l 已经有了特定的规格 即s o a p 不过这里 还不得不说a j a x a j a x 的应用中 相信也有一部分的应用是以自定义x m l 为数据 不过没有成为工业标准 这里不做详述 2 4 2 x p a t h 对于查询语言来说 x m l 文档可以看作树型结构 这棵树由标签建立 树的节点 是元素 属性和属性组 而某个元素的子元素和属性构成了某个节点的子节点 x p a t h 2 2 l 的引入 目的就是为了在匹配x m l 文档结构树时能够准确地找到某一个节点元素 x p a t h 可以被看成文件管理路径 通过文件管理路径 可以按照一定的规则查找到所需 要的文件 同样 依据x p a t h 所制定的规则 也可以很方便地找到x m l 结构文档树中 的任何一个节点 其使用示例如图2 4x p a t h 使用实例 r o o t 州 卜 一a d d r e s s l f 畸脚l 一a d d r e s s b o o k a d d r e s s 霉 b 0 0 9 o r i o e a d d r e s s g o o o k a d d r e s s b o o k p r i c e t t e x t r 图2 4 x p a t h 使用实例 束 访问控制的实现首先要考虑对合法用户进行验证 然后是对控制策略的选用与管 理 最后要对没有非法用户或是越权操作进行管理 所以 访问控制包含认证 控制策 略实现和审计三方面的内容 1 认证 主体对客体的识别认证和客体对主体检验认证 主体和客体的认证关系 是相互的 当一个主体受到另外一个客体的访问时 这个主体也就变成了客体 一个实 体可以在某一时刻是主体 而在另一时刻是客体 这取决于当前实体的功能是动作的执 行者还是动作的被执行者 2 控制策略的具体实现 如何设定规则集合从而确保正常用户对信息资源的合法 使用 既要防止非法用户 也要考虑敏感资源的泄漏 对于合法用户而言 更不能越权 行使控制策略所赋予其权利以外的功能 3 审计 审计的重要意义在于 比如客体的管理者即管理员有操作赋予权 他有 可能滥用这一权利 这是无法在策略中加以约束的 必须对这些行为进行记录 从而达 到威慑和保证访问控制正常实现的目的 1 2 北京邮电大学硕士研究生学位论文 3 2 经典访问控制机制 由于网络传输的需要 访问控制的研究发展很快 目前已经有许多访问控制模型 建立规范的访问控制模型 是实现严格访问控制策略所必须的 即d a c m a c r b a c 之后 考虑网络安全和传输流 又提出基于对象和基于任务的访问控制 3 2 1自主访问控制d a c 自主访问控制是根据自主访问控制策略建立的一种模型 允许合法用户以用户或用 户组的身份访问客体 同时阻止非授权用户的访问 某些用户还可以自主地把自己所拥 有的客体访问权限授予其它用户 自主访问控制又称为任意访问控制 l i n u x u n i x w i n d o w sn t 或是s e r v e r 版本的操作系统都提供自主访问控制的功能 在实现上 首先要对用户的身份进行鉴别 然后就可以按照访问控制列表所赋予用 户的权限允许和限制用户使用客体的资源 这种访问控制方式很灵活 使得其广泛应用 在商业和工业环境中 由于用户可以任意传递权限 那么 没有访问文件f i l e l 权限的 用户a 就能够从有访问权限的用户b 那里得到访问权限或是直接获得文件f i l e l 因此 d a c 模型提供的安全防护实时相对比较低的 不能给系统提供充分的数据保护 自主访问控制的特点是主体自主负责赋予和回收其他主体对客体资源的访问权限 d a c 模型一般采用访问控制矩阵和访问控制列表来存放不同主体的控制信息 从而达 到对主体访问权限的约束 3 2 2强制访问控制m a c 最开始为了实现比d a c 更为严格的访问控制策略 美国政府和军方开发了各种各 样的控制模型 这些方案或模型都有比较完善和详尽的定义 随后 逐渐形成强制访问 的模型 并得到广泛的商业和应用 m a c 是一种多级访问控制策略 它的主要特点是系统对访问主体和客体实行强制 访问控制 系统事先给访问主体和客体分配不同的安全级别属性 在实施访问控制时 系统先对访问控制主体和客体的安全级别属性进行比较 再决定访问主体能否访问该客 体 m a c 对访问主体和受控对象标识两个安全标记 一个是具有偏序关系的安全等级 标记 另外一个是非等级分类标记 主体和客体在分属不同的安全类别是 都属于一个固定的安全类别s c s c 就构成 个偏序关系 比如t s 表示绝密级 比密集s 要高 当主体s 的安全类别为t s 而 客体o 的安全类别为s 时 用偏序关系可以表述为s c s s c 0 考虑到偏序关系 主 体对客体的访问主要有四种方式 1 3 理可信主体的问题 可信主体可以是管理员或是提供关键服务的进程 像设备驱动程序 和存储管理功能模块 这些可信主体若不违背b l p 模型的规则就不能正常执行它们的 1 4 北京邮电大学硕士研究生学位论文 任务 而b l p 模型对这些可信主体可能引起的泄露危机没有任何处理和避免的方法 3 b i b a 模型 b i b a 模型在研究b l p 模型的特性时发现 b l p 模型只解决了信息的保密问题 其 在完整性定义方面存在一定缺陷 考虑到上述因素 b i b a 模型模仿b l p 模型的信息保 密性级别 定义了信息完整性级别 在信息流向的定义方面不允许从级别低的进程到级 别高的进程 也就是说用户只能向别自己安全级别低的客体写入信息 从而防止非法用 户创建安全级别高的客体信息 避免越权 篡改等行为的产生 b i b a 模型可同时针对有 层次的安全级别和无层次的安全种类 该模型有两个主要特征 禁止向上写 禁止向下读 b i b a 模型是和b l p 模型相对 立的模型 b i b a 模型改正了被b l p 模型所忽略的信息完整性问题 但在一定程度上却 忽略了保密性 3 2 3 基于角色的访问控制模型r b a c r b a c 模型的基本思想是将访问许可权分配给一定的角色 用户通过饰演不同的角 色获得角色所拥有的访问许可权 r b a c 从控制主体的角度出发 根据管理中相对稳定 的职权和责任来划分角色 将访问权限与角色相练习 这点与传统的m a c 和d a c 将 权限直接授予用户的方式不同 通过给用户分配合适的角色 让用户和访问权限相联系 角色成为访问控制中访问主体和受控对象之间的一座桥梁 角色可以看作是一组操作的集合 不同的角色具有不同的操作集 这些操作集由系 统管理员分配给角色 依据角色的不同 每个主体只能执行自己所制定的访问功能 用 户在一定的部门中具有一定的角色 其所执行的操作与其所扮演的角色的只能相匹配 这正是基于角色的访问控 1 j r b a c 的根本特征 即 依据r b a c 策略 系统定义了各 种角色 每种角色可以完成一定的职能 不同的用户根据其职能和责任被赋予相应的角 色 一旦某个用户成为某角色的成员 则此用户可以完成该角色所具有的职能 系统管理员负责授予用户各种角色的成员资格或撤销某用户具有的某个角色 r b a c 提供了一种描述用户和权限之间的多对多关系 角色可以划分成不同的等级 通 过角色等级关系来反映一个组织的职权和责任关系 这种关系具有反身性 传递性和非 对称性特点 通过继承行为形成了一个偏序关系 r b a c 是实施面向企业的安全策略的 一种有效的访问控制方式 其具有灵活性 方便性和安全性的特点 目前在大型数据库 系统的权限管理中得到普遍应用 角色由系统管理员定义 角色成员的增减也只能有系 统管理员来执行 即只有系统管理员有权定义和分配角色 用户不能自主地将访问权限授给别的用户 这是r b a c 与d a c 的根本区别所在 r b a c 与m a c 的区别在于 m a c 是基于多级安全需求的 而r b a c 则不是 d a c 或m a c 模型的主要任务都是对系统中的访问控制主体和受控对象进行一维的 权限管理 当用户数量多 处理的信息数据量巨大时 用户权限的管理任务就变得十分 繁重 并且用户权限难以维护 这就降低了系统的安全性和可靠性 对于海量的数据和 差异较大的数据类型 需要用专门的系统和专门的人员加以处理 要是采用r b a c 模型 的话 安全管理员除了维护用户和角色的关联关系外 还需要将庞大的信息资源访问权 限赋予有限个角色 这样工作量太大 在这种情况下 有必要引入基于受控对象的访问 控制模型 控制策略和控制规则是o b a c 访问控制系统的核心所在 在基于受控对象的访问控 制模型中 将访问控制列表与受控对象或受控对象的属性相关联 并将访问控制选项设 1 6 北京邮电大学硕士研究生学位论文 计成为用户 用户组或角色及其对应权限的集合 同时允许对策略和规则进行重用 继 承和派生操作 这样 不仅可以对受控对象本身进行访问控制 受控对象的属性也可以 进行访问控制 而且派生对象可以继承父对象的访问控制设置 这对于信息量巨大 信 息内容更新变化频繁的管理信息系统非常有益 可以减轻由于信息资源的派生 演化和 重组等带来的分配 设定角色权限等的工作量 3 2 6信息流模型 从安全模型所控制的对象来看 一般有两种不同的方法来建立安全模型 一种是信 息流模型 另一种是访问控制模型 信息流模型主要着眼于对客体之间的信息传输过程 的控制 通过对信息流向的分析可以发现系统中存在的隐蔽通道 并设法予以堵塞 从 而防止对信息的窃取 隐蔽通道就是指系统中非正常使用的 不受强制访问控制正规保 护的通信方式 隐蔽通道的存在显然危机系统敏感信息的保护 信息流模型需要遵循的安全规则是 在系统状态转换时 信息流只能从访问级别低 的状态流向访问级别高的状态 信息流模型实现的关键在于对系统的描述 即对模型进 行彻底的信息流分析 找出所有的信息流 并根据信息流安全规则判断其是否为异常流 信息流模型是一种基于事件活踪迹的模型 其焦点是系统用户可见的行为 现有的信息 流模型无法直接指出哪种内部信息流是被允许的 哪种是不允许的 因此在实际系统中 的实现和验证中没有太多的帮助和指导 3 3 面向x m l 访问控制机制 鉴于n e t c o n f 数据模型文档采用x m l 方式编码 本文主要研究面向x m l 文档 的访问控制机制 3 3 1面向x m l 的基于角色的访问控制机制 在表达那些供分布式用户访问的x m l 文档的访问控制策略时 用角色而不是组来 表示一个主体集合具有比较明显的优势 1 1 角色可以组织成层次结构 而大部分基于组的访问控制把组视为分离的不相关 的用户集合 2 角色允许一个用户的不同会话可以拥有不同的权限 3 权限逻辑上与角色关联 而不再是对象 采用x m l 技术来实现面向x m l 的r b a c 模型 将能方便地将访问控制模型融合 到已有的n e t c o n f 系统中 将r b a c 模型中的角色及角色间的继承 权限以及权限 1 7 北京邮电大学硕士研究生学位论文 之间的关系 用户与角色的关系 权限与角色的关系等安全信息统统用x m l 文档来表 示 不仅可以使用已有的x m l 技术 而且还适用于那些由异构环境组成的分布式系统 作为一类特定的访问控制对象 x m l 文档及文档中的元素和属性有其特殊性 4 有效的x m l 文档关联一个关于格式和内容的验证描述文档 并且遵循验证描述 文档所规定的结构规则是两个主要的验证描述机制 而x m ls c h e m a 具有显著的优越 性 基于s c h e m a 技术 可将访问控制对象分为两类 s c h e m a 对象和x m l 实例对象 5 可以使用x p a t h 技术统一的精确描述x m l 访问控制对象 依据x p a t h 所制定的 规则 可以很方便地找到x m l 文档树中的任何一个节点 6 关于x m l 对象的访问类型只有四种 读 创建 更新和删除 融入访问类型集 合的有限性 和对x m l 对象进行各种类型访问的特点 将大幅提高访问控制模型的有 效性和实用性 7 从s c h e m a 对象到x m l 实例对象存在一对多的映射关系 可以使用此映射关系 将定义在s c h e m a 对象上的权限作为默认的权限推广到所有相关的实例对象上 8 可以采用统一的机制定义和实施关于s c h e m a 对象和x m l 实例对象的权限 9 x m l 文档的树型结构决定了同一个x m l 文档中的x m l 对象之间有很强的关 联关系 将这种关联关系充分体现在访问控制策略中 可以有效促进权限管理的自动 化 如图3 1 面向x m l 的基于角色的访问控制模型所示为x o r