（计算机系统结构专业论文）基于rbac的统一网管平台权限管理系统的设计与实现.pdf

摘要 摘要 本文通过对网络管理技术、c d m a ( c o d ed i v i s i o nm u l t i p l ea c c e s s ) 统一网管平 台、基于角色的访问控制与权限管理模型的研究，深入地分析了优化网管权限软 件设计的关键技术。在分析对比r b a c ( r o l e b a s e d a c c e s sc o n t r 0 1 ) 基于角色访目控 制模型相对于d a c ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 自主访问控制模型和 m a c o v h n d a t o r y a c c e 篮c o n t r 0 1 ) 强制访问控制模型的优缺点的基础上，对r b a c 基 于角色访问控制模型提出了一些改进，讨论了公司原先c d m a 权限管理系统设计 上的缺陷，并利用r b a c 基于角色访问控制模型建立了一个c d m a 统一网管平台 权限管理系统 本文给出了基于r b a c 钧c d m a 统一网管平台权限管理系统的设计与实现过 程，对其中各个予模块的设计思想和设计方案以及其中一些关键技术进行了详细 阐述最后，本文根据设计实现过程中所进行的思考以及产品商用后反馈的信息， 提出了目前系统还存在的不足之处，以及下一步改进工作的想法。 关键词：，c d m a 移动交换系统r b a c 权限管理统一网管平台 a b s t r a c t b ys t u d y i n g t h en e t w o r km a n a g e m e n tt e c h n o l o g y , c d m au n i f i e dn e t w o r k m a n a g e m e n tp l a t f o r ma n dm o d e l so fa r x ? , e s sc o n t r o la n dp r i v i l e g em a n a g e m e n tb a s e do n r o l e ，t h i sd i s s e r t a t i o nd e e p l ya n a l y z e st h ek e yt e c h n o l o g i e sf o ro p t i m i z i n gt h ed e s i g no f n e t w o r km a n a g e m e n ts o f t w a r e a f t e r c a r e f u l l ya n a l y z i n g t h e a d v a n t a g e s a n d d i s a d v a n t a g e so ft h e r o l eb a s e da c c e s sc o n t r o lm o d e l c o m p a r i n gw i t h t h e d i s c r e t i o n a r ya c c e s sc o n t r o lm o d e la n dt h em a n d a t o r ya c c e s sc o n t r o lm o d e lt h i s d i s s e r t a t i o ng i v e s8 0 i n ea d v i c e sf o rr b a ct oi m p r o v ea n dd i s c u s s e st h el i m i t a t i o n si n t h ed e s i g no ff o r m e rc d m an e t w o r km a n a g e m e n ts y s t e mt h ec o r p o r a t i o nu s e d a f t e r t h a t , i tu s e sr b a cm o d e lt oe s t a b l i s han e w p r i v i l e g em a n a g e m e n ts y s t e mb a s e do n c d m at m i f i e dn e t w o r km a n a g e m e n tp l a t f o r m t h i sd i s s e r t a t i o nd e s c r i b e st h e d e s i g na n dr e a l i z i n gp r o c e s so ft h ep r i v i l e g e m a n a g e m e n ts y s t e mb a s e df i l l c d m au n i f i e dn e t w o r km a n a g e m e n tp l a t f o r mw i t h r b a ct e c h n o l o g i e sa n dd e s c r i b e st h ed e s i g ni d e a sa n dd e s i g ns c h e m e so fe a c h s u b m o d u l ea n ds e i n ek e yt e c h n o l o g i e su s e di nd e t a i l a tl a s t , a c c o r d i n gt oo u rt h i n k i n g 砒t h ep r o c e s so fd e s i g n i n ga n d a l i 匠n ga n dt h ef e e d b a c ki n f o r m a t i o na f t e rb u s i n e s s u s a g e ，i tr a i s e st h es h o r t c o m i n g so ft h es y s t e ma n dt h et h o u g h tf o rf u t u r ei m p r o v i n g w o r k k e y w o r d s - c d m a m o b i l e s w i t c hs y s t e mr b a c p r i v i l e g em a n a g e m e n t 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢中所列的内容外，论文中不包 含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其 它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：遮童! 鱼 关于论文使用授权说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，既：研究 生在校攻读学位期间论文工作的知识产权属西安电子科技大学。本人保证毕业离 校后，发表论文或使用论文工作成果时署名仍然为西安电子科技大学。学校有权 保留送交论文的复印件，允许查阅和借阅论文：学校可以公布论文的全部或部分 内容，可以允许采取影印、缩印或其他手段保存论文。( 保密的论文在解密后遵守 此规定) 本学位论文属于保密，在年解密后适用本授权书。 本人签名：主董至! j 望日期：兰竺笪! ! ! 兰 导师签名： 第一章绪论 第一章绪论 1 1 课题的背景 随着近年我国电信行业的迅速发展，各大电信运营商在全国范围内建立了庞 大的电信网络，与之相对应的网络管理系统变得越来越重要，而且系统对于权限管 理模块的要求也越来越高。这就使得传统的网管系统权限管理模块在商用的过程 中暴露出很多问题，经过分析，这些问题大多源于权限管理模块的设计。 权限管理和访问控制是信息安全保障机制的核心内容，它是实现数据保密性 和完整性机制的主要手段，它决定了用户及代表一定用户利益的程序能做什么， 以及做到什么程度。传统的权限系统通常仅仅依靠用户名加口令的方式来实现访 闯控制，也就是系统通过验证用户在登录系统时输入的用户名和口令来确定用户 身份，同时系统通过维护一张访问控制表a c u 触耽潞c o n t r o ll i s t y 来确定每个用户 对特定系统对象，例如文件目录和数据库的操作权限。但是对于大型的分布式两 络管理系统来说，其网络结构比较复杂，应用子系统很多，采用这种方式需要管 理员针对不同的用户和不同的资源进行权限的管理和控制，因而很可能出现权限 管理混乱的状况，而且分配权限的工作量很大，比如1 0 0 0 拿主体访问1 0 0 0 0 个客体， 那么最大工作量就需要l o 万次配置如果每次配置需1 秒，每天工作8 小时，那 么就需要1 0 , 0 0 0 , 0 0 0 ( 3 6 0 0 8 ) = 3 4 7 2 天，这显然是不可以接受的。 目前常用的访问控制模型可以分为三大类：自主访问控制模型d a c 、强制访 问控制模型m a c 和基于角色的访问控制模型r b a c 其中d a c 和m a c 实现的 时间比较早，应用比较普遍，r b a c 模型也已经成熟，支持了最新的应用 其中d a c 和m a c 访问控制模型目前还存在一些缺点，比如权限管理形式与 现实世界相差比较大，不适合分工合作的分权制度；资料的处理速度、传输速率、 存储资料容量的大小及分享程度不适合信息化的发展要求；当用户、资源的数量 非常大时，用户的权限和访问控制策略难于管理等等 为了解决了这些问题，s a n d h u 等学者提出一套基于角色的访问控制模型其 原理是定义一些组织内的角色，再根据授权策略给这些角色分配相应的权限，然 后针对不同的用户分配不同的角色通过用户所拥有的角色与系统所制定的访问 控制策略对用户的访问作出鉴权基于角色的访问控制模型具有如下优点【1 1 ： 授权管理 基于角色的策略将原先单独针对特定用户的授权拆分成了两个动作：给用 户赋予角色和给予角色控制资源的权限。这样可以极大地简化安全管理 2 基于r b a c 的统一网管平台权限管理系统的设计与实现 举例来讲，当一个人的职位发生变动，比如升迁，那么这个人可以退出原 有的角色，让新用户加入其中，新用户可以获得同样的权限。而如果对象 和用户是一一对应的话，那撤销和赋予新的权限将是非常耗时耗力的事 情。 一角色层次化 角色在实际应用中也要分层。正是这种层次化的继承，使得授权工作得以 简化。 _ 最少的特权 角色只允许用户对资源拥有最少的特权。被授予超级用户权限的用户，不 一定使用超级权限，除非有特殊的需求，而一般只使用普通角色所拥有的 权力这样可以减少入侵者冒充合法用户对资源造成的破坏 - 责任独立 责任独立是指没有用户可以获得滥用系统资源的特权。比如，具有授予权 限权力的用户本身不能具有被授予权限的权力。 - 对象等级化 基于角色的策略根据用户行为将用户分为不同等级，同样对操作的资源也 分不同的等级。 1 2 课题任务简介及本人工作 本课题任务来自深圳中兴通讯股份有限公司南京研究所研发的c d m a 移动交 换系统下的基于统一网管平台的权限管理系统，权限管理系统属于z x c l 0 - m s s 产 品的一部分，主要用于管理o m c ( o p e r a t i o n m a i n t e n a n c e c c n 搬操作员的操作权限， 可以让用户设置不同的操作员类别，从而使不同的用户拥有不同的操作员身份， 保留不同的权力，以对移动交换系统进行相应的操作和维护此系统用于保证 殛c 1 m m s s 系统的安全性、防止恶意破坏、限制无权接入和错误接入。 基于统一网管平台的权限系统是构建在r b a c 模型之上的，它分为以下几个 组成部分：安全管理控制器、资源锁管理器、服务器端鉴权管理器、权限控制与 分配模块、权限接口动态连接库、登录模块和权限操作日志查看模块我主要负 责权限控制与分配模块、权限接口动态连接库、登录模块和权限操作日志查看模 块的研发工作。 课题中本人深入研究分析了网络管理技术，c d m a 统一网管平台，基于角色 第一章绪论3 的访问控制和权限管理模型。密切配合课题组的其他成员，积极参与了权限系统 的总体设计、概要设计、编码开发和实现，以及单元测试等工作，圆满完成了任 务。 1 3 本论文结构 本论文共分为六章，各章的内容具体安排如下： 第一章绪论。介绍课题的背景和来源，作者所做的工作以及论文的结构 第二章t c d m a 移动交换系统。简要介绍了c d m a 移动交换系统，分析了 c d m a 移动网络结构，业务类别和组网模型，讨论了c d m a 移动交换系统中的网 管系统 第三章t m n 的统一网管平台简要介绍了统一网管平台的架构和特点，以 及它如何弥补电信管理网规范在分布式管理等方面的不足，重点是分析统一网管 平台中与权限管理系统相关的功能点结构。 如 第四章访问控制技术详细介绍了访问控制的几种主要控制策略，讨论了 它们的优缺点着重分析了基于角色的访问控制模型，探讨了该模型与其它安全 服务机制的交互 第五章权限管理技术详细介绍了权限管理的几个关键概念，并提出权限 管理的模型 第六章权限管理系统的设计与实现。以基于角色访问控制理论和统一网管 平台及其相关技术为基础，分析并实现了一个综合网管系统的子集一权限管理 系统，包括对其设计思想和设计方案以及其中一些关键技术的详细阐述。 结束语总结了本文的研究成果，并根据设计实现过程中所进行的思考以及产 品商用后反馈的信息，提出了目前系统还存在的不足之处，以及下一步改进工作 的想法 4 基于r b a c 的统一网管平台权限管理系统的设计与实现 第二章c d m a 移动交换系统 2 1c d m a 移动交换系统简介 z x c l o m s sc d m a 移动交换系统是中兴通讯开发的适用于c d m a8 0 0 m h z 和p c s1 9 0 0 m h z 的大型数字移动交换系统，z x c l 0 - m s s 严格遵循a n s i ，踟璩 的c d m a 规范和中国8 0 0 m h z c d m a 数字蜂窝移动通信网相关技术规范，采用部 分分离式系统结构，提供无线智能网( w 玳) 中业务交换点( s s p ) 接口，可实现 c d m a2 0 0 0l x 全部业务，并能方便平滑地过渡到第三代移动通信系统，为电信运 营商提供灵活经济的弹性网络解决方案。 z x c l 0 - m s s 包括移动交换中心( m s c ) 、拜访位置寄存器( v l 玉) 、归属位置 寄存器( h l r ) 及操作维护中心( o m c ) 等功能实体。 2 1 1m s c 7 l r m s a r ( 移动交换中心拜访位置寄存器) 是c d m a 移动网络中最主要的 功能实体，其中移动交换中心m s c 主要负责与b s ( 基站系统) ，其它m s c ，以 及其它网络( 如p s l ：n ) 问的话路交换接续，与v l r 、h e r 一起完成用户的移动 性管理。 拜访位置寄存器v l r 是m s c 作为检索信息用的位置登记工具，负责存储和 更新漫游到该v l r 服务区域的移动台终端用户数据，v l r 可以与m s c 合设，也 可以分设 z x c l 0 - m s s 按照部分分离式的设计，m s c 与v l r 组成一个单独的物理实体， 有利于大容量移动网的控制和管理。m s c 与v l r 作为系统中不同的模块，它们之 间的通信需要通过模块间消息交换机制实现。m s c v l r 主要完成c d m a 核心网 络m s c 和v i r 功能，同时综合g m s c ，s s p ，t m s c 2 和l s t p 的功能，并具有 设计模块化、性能先进、系统可靠性强、信令接口标准化等优点。z x c l 0 - m s a r 的设计继承了z x j l 0 交换机设计思想的诸多优点，例如全分散控制、模块式设计、 组网灵活等。 归属位置寄存器是一个中心数据库，用来存储相关用户的信息。它主 要存储两类信息：一类是有关用户的参数，如基本用户信息、补充业务信息和短 第二章c d m a 移动交换系统 5 消息等；另一类是有关用户目前所处位置的信息，以便建立至移动台的呼叫路由， 例如m s c 、v i _ r 地址等。h l r 为移动网络提供了用户信息的存储和管理功能，包 括移动用户的开户，注销、业务的授权和撤消等，同时协助完成用户的呼叫和业 务操作。一个c d m a 网络根据用户数量、设备容量及网络组织方式可以设置一个 或多个h l r ，多h l r 采用虚拟的方式实现。h l r 可以与m s c 合设，也可以分设。 随着业务的发展和用户需求的改变，h l r 能调整相应的存储内容 鉴权中心a u c ( a u t h e n t i c a t i o n c e n t e r ) 是一个管理移动台相关鉴权信息的功 能实体，它是为了防止非法用户接入c d m a , 系统而设置的安全措施主要实现对 移动用户的鉴权，存储移动用户的鉴权参数，并能向m s ( ：，基传送相关参数 a u c 中的用户鉴权信息可以采用加密的方式存放 h l r 和a u c 虽然在逻辑上相对独立，但两者在用户数据方面相互对应，具有 很大的相似性同时a u c 与其他网络实体的通信都要通过h l r 来实现，所以a u c 一般与h i r 合设在一起参照移动通信标准建议及其他厂商的产品，z x c l 0 - m s s 采用h l r 与a u c 集成于同一物理实体的方案，其间通过内部接口进行交互，采 用标准的接口与其它功能实体连接。 2 1 3 组网模型 z x c l 0 - m s s 产品的简单组网模型如下图所示【1 1 l ； 图2 1z x c l 0 - m s s 产品组网模型 6 基于r b a c 的统一网管平台权限管理系统的设计与实现 2 2 网管系统简介 网管系统是c d m a 移动交换系统的重要组成部分，具有完善的操作维护功能。 提供远、近端多种接入系统的方式，既可以进行本地操作维护，也可以通过网络 系统进行远程操作维护；既可以对整个系统进行维护，也可以对特定的实体进行 操作维护。 2 2 1 概述 网管系统是一个复杂的系统，涉及电信技术和计算机技术等各个领域的内容， 今天网络管理已经成为计算机网络和电信网研究中最重要的内容之一网络中采 用的先进技术越多，规模越大，网络的维护和管理工作也就越复杂与所有其他 事务一样，网管系统从无到有，从简单到复杂，经历了一个长时间的发展过程。 目前用于网络管理的技术很多，新的网络管理技术也不断出现。常用的网络管理 技术有：基于t m n 面向电信网的网络管理技术，基于c 0 l 国a 面向网管系统互联 的网络管理技术，基于s n m p 面向数据网和计算机网的网络管理技术，基于w e b 的网络管理技术等等 随着电信网络的不断扩大，需要综合化的电信网络管理，目标是要最大限度 地利用电信网络的资源，提高电信网络的运行质量和效率，为用户提供良好的通 信服务电信管理网t m n 为电信网络管理目标的实现提供了一套整体解决方案， 它能简化多厂商混合网络环境下电信运营企业的管理模式，降低电信运营的管理 成本。 网管系统应用t m n 的概念，提供开放的接口，遵循c d m a 系列规范而设计 的z x c l 0 - o m c ，向上提供标准的接口，向下提供开放的操作维护接口。它采用多 级权限保护，提供多种操作维护手段，包括性能统计功能，告警功能等，并能根 据网络实际运行状况和运营商的需求，增加相应的功能。运营商可以在网管中心 实现对省一级移动通信网络的统一管理。 2 2 2 系统结构 c d m a 各个产品实体，如m s c v l r 、i - i i 剐a u c 都有一个操作维护模块 o m m ( o p e r a t i o nm a i n t e m a n c , m o d u l e ) ，负责完成本地近端的网管部分操作维护功 能。操作维护中心o m c 作为操作维护的远程终端，主要实现人机接口，其功能主 要分布在m s c v l r 、h l r a u c 等实体中，由各实体中相关的操作维护模块o m m 第二章c d m a 移动交换系统 7 完成。o m c 与各实体o m m 部件间通过t c p i p 或x 2 5 进行通信网管系统基本 框架结构如下图所示1 1 1 l 。 图2 2 网管系统结构 操作维护模块o m m 可分成“前台”和“后台”两个部分。前台”操作维 护程序分别嵌入在不同的维护实体中，具体来说，就是运行在交换机m p 或h l r 业务处理机或s c ( 短消息中心) 业务处理机中。“后台”对于不同的维护实体采 用合一羽软件设计，采甩c l i e n t s o o r 结梅方式，由服务器( s e r v e ) 和后台操作 维护终端( c 苴1 ) 组成，c l i e n t 端不需要直接与前台通信收发消息，而是通过g e l - v e t 端中转，这样服务器可以获得动态信息保存，再现重要历史信息，各个终端可以 由s 6 i v c i r 集中控制，可以方便地扩展操作终端 前台与后台的服务器( s e r v e r ) 、操作维护台( c l i e n t ) 等都是通过以太网相互 连接在一起的，并使用t 网管接入 网管接入模块负责与操作维护中心o m c 进行交互，为o m c 提供所需数据 o m c 与各实体o m m 部件间通过t c p i p 或x 2 5 进行通信。 2 3 本章小节 本章简要地介绍了c d m a 移动交换系统，分析了c d m a 移动网络结构，业 务类别和组网模型，重点讨论了c d m a 移动交换系统中的网管系统，为第六章盼 具体设计作了背景铺垫 1 0 基于r b a c 的统一网管平台权限管理系统的设计与实现 第三章基于t m n 的统一网管平台 3 1t m n 网管系统解决方案 目前网络管理系统作为保障网络稳定高效运营的基础正面临巨大的挑战。通 信服务提供商对电信网管系统提出了一系列苛刻的要求。主要包括：可扩展性要 求高；支持多种网管技术、多厂商设备；域管理技术；良好的二次开发能力；降 低风险，保障投资。因此电信网管开发平台必须不断发展，及时利用最新的软件 技术和网络技术来适应网管系统的要求。 针对这一现状，众多的通信设备提供商纷纷推出了自己的网管系统平台，提 供一种可扩展的、分布式的集成问题管理解决方案，并为不同的应用开发提供很 好的二次开发环境如职公司的基于o p e n v i e w 网元管理框架的o p e n v i e ws e r v i c e a s s u r a n c e ( o v c _ s a ) 网管平台；u t 斯达康的n e t m a n 2 0 2 0 等。这些网管平台基本都 遵循i t u - tm 3 0 1 0 标准规范，并采用目前的最新技术和最新标准。 中兴通讯作为国内较大的通信设备制造商，也同样面临专业网管系统的研发 阿题。在经过一定时间的技术积累之后，中兴通讯公司充分吸收新技术和新标准， 推出了遵循t m n 规范的统一网管平台 2 1 1 m l 2 0 3 2 统一网管平台架构 统一网管平台提供一个高分布性，高扩展性的架构来保证应用的开发者可以 用不回的方法来布置他们的网元管理系统。网元管理系统的开发者只要使用统一 网管平台提供e 噍口就可以部署它们的具体的应用，从而加快了网管应用系统的 开发流程，提高了开发效率，统一网管平台架梅可以用图3 1 表示。 圈3 1 统一网管平台桨构图 从上面的架构图可知，统一网管平台架构是一个多层次的软件架构，经过对 各种功能进行归类，其功能体系结构如图3 2 所示。 第三章基于t m n 的统一网管平台1 l 图3 2 统一同管平台功能结构图 由图3 2 可见，统一网管平台架构主要依据删的功能体系结构，在管理功 能上也以t m n 的标准管理功能为基础本章下一节将深入研究统两管平台的几 个核心功能子系统，主要有例： 平台支撑功能( p l a t f o r ms u p l p o r tf u n c t i o n s ；髂f ) 工作站功髓( 与1 m n 的w s f 一致) 公共服务功能( c o m m o as e t v i o cf u n c t i o e s , c s f ) 网元中介功能( e l e m e n tm e d i a t o rf u n c t i o n s , e m f ) 公共应用功能( c o m m o aa p p l i c a t i o n l i d 璐，c 删 3 3 功能子系统概述 3 3 13 - 作站功能 w s f 是位于客户工作站上的应用，提供了t m n 所规定的f g 接口功能，使 信息以正确、一致的形式呈现给用户平台w s f 提供的功能支持有： 公共界面：为各应用提供一个公共界面，并以该公共界面提供登录服务， 启动各功能进程，监视和服务器的连接，在主界面退出时退出各应用： 基于r b a c 的统一网管平台权限管理系统的设计与实现 人机命令接口：为应用提供向服务器发送人机命令的接口，并能标注发送 该命令的窗口，以便返回响应； 人机命令语法检查：检查各应用向服务器发出的人机命令，校验其参数个 数、类型、取值范围的正确性； 接收广播及分发功能：接收服务器发来的广播式的上报消息，向窗口分发 消息； 大事务接口：允许应用发起一个包含多个操作的事务，只有在这些操作全 部成功后，其数据更改才生效。主要支持离线配置、初始配置等功能； 提供组件库：平台向二次开发者提供统一界面风格的组件库，包括菜单、 按钮、文本框、下拉框等操作和编辑控件，仿照机架、单板、端口实物的 图形控件，x m l 解析控件，做数据分析的多样化报表模板 图3 3 描述了w s f 的模块结构图。主要包括主视图、各应用分视图、其它网 管系统的用户界面、会话管理模块、命令解析模块和窗口管理模块等 3 3 2 公共服务功能 图3 3w s f 模块组成 c s f 与网管相关，但与具体的设备类型无关c s f 包括的功能模块有f 口管 理、权限管理、日志管理、系统管理、策略管理、报表管理和拓扑管理等。 其中f 口管理主要实现t m n 中f 接口，是w s f 和c s f 之间的接口，f 接口 管理部分的主要功能是在服务器和客户端之间传递操作请求、操作结果，以及从 服务器向客户端发送事件通知。f 接口管理还负责管理用户的登录退出、维护用户 的会话。 通过f 接口管理，对接入系统的终端和用户进行控制和限制，减小终端操作 和系统业务功能实现的耦合度，并且有利于进行负荷分担和流量控制。f 口管理完 成的主要功能有：会话管理、会话交互、消息上报和接口转换。 第二章基于t m n 的统一网管平台 3 3 3 网元中介功能 由于网元所能完成的管理功能及其对外接口形式多样，网管系统对网元的管 理操作需要通过内部接口适配，来自网管系统的管理操作信息需要通过网元适配 功能转化为网元能够识别的管理操作信息，网元所上报的状态变化等信息也需要 通过网元适配功能转化为网管系统能够处理的事件上报信息 e m f 模块包含事件分发，协议转换及网元上报事件的预处理其对外接口向 上与m a f 模块相接，向下与网元相接。这些网元可以不属同一类设备，采用网元 相关协议若采用的协议差异较大，需要在接入m a f 前进行协议转换，以便能在 m a f 中做统一处理 e m f 黪 逑鞠缸艇 黪 黪 i 管理斑尉 。 熟h ，港基上麓 h 毒瓤m ：盎 章龄 兀 近 l 具俸灶婵i 疆 蕊 粘 鞯鄹9 黪 黪 蠹蠹 f ”w 一”8 ；攀 霪 3 3 4 公共应用功能 图3 4 同元中介功能结构图 在统一网管平台设计中，c a f 主要完成各种不同网元管理系统应用中存在的 共用部份，主要指t m n 管理功能中的故障管理，配置管理，性能管理和安全管理 等 c a l f 是基于以上各种功能，针对单独的管理功能所做的二次开发。c a f 是在 抽取各产品相同或相似业务功能模块共同点的基础上形成的，提供了一些通用的 业务流程。在各产品功能开发时，这些通用的功能可以直接复用由于c a f 包括 的内容很有限，而随着业务的扩展，会有新的需求不断产生，因此c a f 提供了可 以扩展的接口，以便把新功能加入到原有的框架体系中。 综合运用以上各种功能，基于统一网管平台技术开发的后台网管系统可以简 单地以图3 5 表示 1 4基于r b a c 的统一网管平台权限管理系统的设计与实现 图3 5 基于统一管理平台技术的后台软件架构 3 4 本章小节 本章简要介绍了统一网管平台的架构和特点，以及它如何弥补电信管理网规 范在分布式管理等方面的不足，主要包括p s f 、w s f 、c s f 、e m f 和c a f 几个核 心功能子系统的介绍重点分析了统一网管平台中与权限管理系统相关的功能点 结构。为下文作了统一网管知识的铺垫。 第四章访问控制技术 型。 第四章访问控制技术 本章介绍访问控制模型，提出访问控制框架和控制模型，着重介绍了附l a c 模 4 1 访问控制技术概述 计算机网络由于覆盖的地域广，网络用户多，资源共享程度高，因此所面临 的威胁和攻击是错综复杂的，网络入侵者不但会想办法窃取、纂改瞬络中的机密 信息，还可能会对网络中的设备进行攻击，使网络设备瘫痪。为了保护网络信息 的机密性，维护信息的完整性、减少病毒感染、保护网络设备，就必须控制对网 络资源的访问 9 1 1 1 4 1 1 1 6 1 1 1 7 1 网络中常见的不安全因素有以下几个方面： 网络操作和控制系统的复杂性妨碍了对网络安全的确认l 网络必须面对众多甩户的访问； 网络具有未知的边界，网络服务器可能与些未知的用户存在潜在的连接； 可能存在多点攻击和攻击手段豹多样性； 用户对网络服务器的访问可能存在多条路径，而未知路径会存在安全隐患。 因此为保证网络的安全性，常采用三方面的安全机制： 1 安全防范和保护机制； 2 安全检测机制； 3 安全恢复机制。 访问控制机制是安全防范和保护的主要内容。它的主要任务是保证网络资源 不被非法使用和非法访闷。访婚控制是维护网络系统安全、保护罔络资源的重要 手段。各种安全机制必须相互配合才能真正起到保护作用，其中安全访闯控制是 保证网络安全的核心 访问控制的基本目标是防止对任何资源( 如计算资源，通信资源或信息资源) 进行未授权的访问，从而使系统在合法范围内使用，决定用户能做什么，也决定 代表一定用户利益的程序能做什么这里未授权的访问指未经授权的使用、泄露， 修改、销毁信息以及颁发指令等。它包括非法用户进入系统和合法用户对系统资 源的非法使用 由此可知，访问控制对机密性、完整性起直接的作用。对于可用性，访问控 制通过对以下信息的有效控制来实现： 谁可以颁发影响网络可用性的网络管理指令； 谁能够滥用资源以达到占用资源的耳的； 1 6 基于r b a c 的统一网管平台权限管理系统的设计与实现 谁能够获得可以用于拒绝服务攻击的信息。 4 1 1 访问控制的相关概念 下面是有关访问控制的一些基本概念。 客体( o b j e c t ) ：规定需要保护的资源，又称作目标( t a r g e t ) 。 主体( s u b j e c t ) ：或称为发起者( i n i t i a t o r ) ，是一个主动的实体，规定可以访问 该资源的实体( 通常指用户或代表用户利益的程序 一个主体为了完成任务，可 以创建另外的主体，这些子主体可以在网络中不同的计算机上运行，并由父主体 控制它们。 主体与客体的关系是相对的。 授权( a u t h o r i z a t i o n ) ：规定可对该资源所能执行的动作( 例如读、写、执行或 拒绝访问) 在后面的讨论中将用到以上的概念。 4 1 2 访问控制模型 无论哪一种访问控制授权方案都可以表示成如下图所示的访问控制模型功 能示意图。 图4 1 访问控制模型功能示意图 访问控制就是要在访问者和目标之间介入一个安全机制，验证访问者的权限、 控制受保护的目标。访问者提出对目标的访问请求，被访问控制执行单元( a e f ， a c c e s sc o n t r o le n f o r c e m e n tf u n c t i o n ，实际是实现访问控制的一段代码或者监听程 序) 截获，执行单元将请求信息和目标信息以决策请求的方式提交给访问控制决策 单元d f ，a c c e s sc o n t r o ld e c i s i o nf u n c t i o n ，是一个判断逻辑，如访问控制代码中 的判断函数) ，决策单元根据相关信息返回决策结果，执行单元根据决策结果决定 是否执行访问。其中执行单元和决策单元不必是分开的模块。 第四章访问控制技术 1 7 决策单元中包含保留信息，主要是一些决策单元内部的控制因素。最重要的 决策因素是访问控制策略规则，因为相对于其它决策因素来说，对于不同的应用 系统，这些因素的变化相对比较小，但是不同应用系统的访问控制策略是完全不 同的。因此，访问控制策略规则是访问控制框架中随着应用的变化而变化的部分， 访问控制框架的灵活性和适应应用的能力，取决于访问控制策略的描述能力和控 制能力。 4 2 访问控制的实现 访问控制的实现依赖于访问控制策略c a c c e m c o m dp o a c y ) 的实现j 而访阔 控制机制( a c c e s s c o a t m im e c h a n i s m s ) 可以看作是访问控制策略的具体实现访问 控制机制与策略独立，可允许安全机制的重用。 安全策略之问没有哪个更好的说法。只是一种可以比另一种提供更多的保护 应根据应用环境灵活使用。权限管理、访问控制框架和策略规则共同构成了权限 管理和访问控制实施的系统平台。 4 2 1 传统访问控制的实现 4 2 1 1 访问控制实现概述 由上可知，访问控制的策略规则是随着应用变化的，而权限不必依赖于具体 的应用进彳亍管理。比如说，一个注册会计师，他拥有国内会计师注册机构颁发的 会计师资格，但在不同的企业内，他能够接触的资料范围是完全不同慨或者说， 他的权限是根据不同情况变化的。导致变化的原因是每个企业对会计师能够访闯 的范围根据自已的情况进行了具体的定义，也就是使用了不同的策略。 如果没有这样一种策略对应用进行支持，那么p m i ( p r i v i l e g em a n a g e m e n t t n f r a s m z m r e ) 无法真正发挥在访问控制应用方面的灵活性，适应性和降低管理成本 的优势对于相似的一类应用。策略应该可以根据具体的应用而定制，访问控制 框架是相对固定的，而策略是随着应用变化的。 在一个机构的p m i 应用中，授权羡略应当包括一个机构如何将它的人员和数据 进行分类组织。而这种组织方式必须考虑到具体应用的实际运行环境，如数据的 敏感性，人员权限的明确划分，以及必须和相应人员层次相匹配的管理层次等因 素。所以，策略的制定是需要根据具体的应用量身定做的 具体地说，策略包含着应用系统中的所有用户和资源信息以及用户和信息的 组织管理方式；用户和资源之间的权限关系；保证安全的管理授权约束；保证系 基于妞a c 的统一网管平台权限管理系统的设计与实现 统安全的其他约束。因此，策略主要包含的基本因素如下： 访问者：应用中支持哪些用户，定义了用户的范围。 目标：策略要保护的是哪些目标，定义了受保护的资源的范围。 动作：应用中限定的访问者可以对目标所实施的操作。 权限信任源：应用信任什么机构发布的权限信息。 访问规则：访问者具有什么权限才能能够访问目标。 目前，我们使用访问控制的主要实现方法，有以下几种： d a c ：针对不同的用户给出他所能访问资源的权限，如该用户能够访问哪 些资源。 - m a c ：该模型在军事和安全部门中应用较多，目标具有一个包含等级的 安全标签( 如：不保密、限制、秘密、机密、绝密) ，访f 习者拥有包含等级 列表的许可，其中定义了可以访问哪个级别的目标。 a c l 访问控制列表方式，是目前应用得最多的方式，它是目标资源所拥 有的访问权限列表，内容包括该资源允许哪些用户访问等等。 r b a c ：定义了一些组织内的角色，再根据授权策略给这些角色分配相应 的权限。 在p m i 中访问控制的实现主要以基于角色的访问控制r b a c 为框架。 4 2 1 2n a c 自主访问 在美国计算机安全标；佳t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t c r i a ) 弄0 大多数的应用中，这样定义了d a c ：d a c 是一种访问机制，它允许或者拒绝系统 用户去访问受系统控制的目标它根据主体的身份和授权以及他们所属的组来决 定访问 自主的意思是，信息在移动过程中其访问权限关系会被改变。如用户a 可将其 对目标0 的访问权限传递给用户b ，从而使不具备对。访问权限的b 也可以访问0 。 n a c 帆制允许授予或者废除每个用户访问任意一个目标的权限。同时，允许用户 不用与系统管理员交互就可以授予或者废除他们控铡的目标的访问权。 4 2 1 3m a c 强制访问 f 司样，t c s e c 中定义了m a c m a c 是一种基于目标信息的敏感度( 例如安全 标签) 和用户对访问信息的正式授权来对目标进行限制的方法 m a c 强制访问有如下特点柳： ( i ) 将主体和客体分级，根据主体和客体的级别标记来决定访问模式例如： 第四章访问控制技术 绝密级、机密级、秘密级、无密级。 ( 2 ) 其访问控制关系分为上读下写( 完整性) ，下读上写( 机密性) 。 ( 3 ) 通过安全标签实现单向信息流通模式。 安全标签是限制在目标上的一组安全属性信息项。在访问控制中，一个安全 标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息。 最常见的用途是支持多级访问控制策略。 在处理一个访阿请求时，目标环境对比请求上的标签和目标上的标签，应用 策略规则( 如b d l - l a p a d u l a 规则) 决定是允许还是拒绝访问。 m a i ：通过与主体和客体关系密切韵安全标签来实现访闯控制。酗c 通过对用 户配置允许，拒绝或者二者兼有来实现对目标的访问控制，通常这些用户是目标 豹拥有者。 一般而言，现气c 和m a c 都是各有用途，但作为访问控制的强度来说。自主式 太弱，强制式太强。而且二者的工作量都比较大，不便于管理 而r b a c 可以被视为是访问控制机制中独立的一个部分。是一个m a c 和d a c 恰好共存在一起的访问控制机制。 4 2 2r b a c 基于角色的访问控制实现 m 3 a c 属于访问控制系统中的一种，它豹主要思想就是格授权和角色联系在一 起，而甩户会被分配到合适的角色，它大大简化了授权的管理。砌璩c 暌型在不同 的系统配置下可以显示不同的安全控制功能，可以构造具备自主访问控制类型或 者其它访问控制类型的系统，比较灵活。 在一个系统中，根据业务要求和管理要求在系统中设置若干称之为“角色” 韵客体，角色也就是一般业务系统中的岗位或者职位，系统掌管资源的存取权限， 将不同类别和级别的权限赋予不同的角色，并随时根据业务需求对这些权限进行 管理。在系统中，将特定用户的集合和与业务分工相联系的授权联结在一起，这 种授权管理比个体的授权管理具有更好的可操作性和可管理性。 4 2 2 1r b a c 支持的原则 r b a c 支持3 个安全原则：最小特权、责任分开和数据完整 最小特权原则的非常重要，它要求不能赋予主体多于它进行工作所需的最小 范围特权。确保符合最小特权原则需要识别主体的工作是什么，判断进行该工作 的最小权限集，同时限制了主体只在该权限集范围内工作。根据那些主体的任务 拒绝主体不必要的操作，那些被拒绝的权限就不能用来破坏组织的安全。通过使 基于r b a c 的统一网管平台权限管理系统的设计与实现 用r b a c 配置可以方便地对系统用户实现最小特权原则。 r b a c 支持责任分开。可以通过调用多个互斥的角色来共同完成一个灵活的任 务，例如会计员和会计经理在各自承担独立责任的情况下，一起来参与债券的发 行工作。 r b a c 支持数据的完整性，即数据和操作只能通过鉴权的途径来进行，因此 r b a c 是适合真实系统的比较合理的安全解决方案。通常，那些用来判断数据是否 在己经通过鉴权的途径内被修改的操作都不太复杂。因此，操作的实际方法是确 保操作已通过鉴权和可信的，当然r b a c 并不是完全适合所有的系统 4 2 2 2 砌a c 基本模型 为了方便了解r b a c ，我们定义了四个概念上的模型，它们的关系如下面图所示 r b a c 3 r b a x ， 图4 2r b a c 模型关系图 r b a c 0 是基本的模型，置于菱形的最底下表明它是任何支持r b a c 系统的最 小要求r b a c i 和r b a c 2 , 都包括了砌撇但是有其自身独立的特性。这就相当 于角色层次的概念。而r b a c l 和r b a c 2 彼此又不一样。统一的模型r b a c 3 包括 r b a c l 和r b a c 2 ，同时由传递规则拥有了砌认伪模型的特性 砌狐模型的基本要素是用户、角色、会话和授权可以赋予一个角色多个 授权，一个授权也可以赋予给多个角色，一个用户可以扮演多个角色，一个角色 也可以接纳多个用户当每个用户进入系统得到自己的控制时，就得到一个会话， 一个会话可以激活该