（通信与信息系统专业论文）分布网络环境下的访问控制系统研究.pdf

摘要 岛问控制始终是贯穿信息安全领域中的一个核心问题分布环境下的访问控制方法 是当前宿息安全领域的一个熟点访问控制的水平在很多场合下是衡量一个系统是否安全 的重要指标。从应用的角度看，访问控制系统在电子商务、操作系统、数据库信息系统和 决策调度系统中部有广泛的需求应用背景。v 7 本论文着重讨论了分布网络环境下访问控制系统的方法和构架，并对访问控制中的 一个关键性环节一分布环境下的用户身份认证从工程实践的角度做出了详细的论述。本文 第一章是引言简要介绍了访问控制系统的历史，需求和发展背景；第二章介绍了两种具 有里程碑意义的访问控制方法。分析了他们的优缺点，并提出了访问控制系统中的披保护 资源同样应该进行分类的改进意见：第三章作者挑选介绍了几个比较有价值的相关发展动 态：第四章介绍了分布环境下的访问控制系统原理基于强认证机制的访问控制系统中常 用的密码技术公钥密码体制p k i 监察系统和审计分析系统原理，并在第五章中结合硕 士阶段的工程实践从工程角度详细讨论了基于强认证的访问控制系统的一个重要组成部 分：证书中心认证系统( c e r t i f i e a t ea u t h o r r y ，c a ) 的设计并描述了一个实际的认证系统 r e a l c e n 的工程设计和实现框架。最后作者在第六章中重新回顾了全文，并展望了访问控 制问题未来的发展趋势和工作。 f 本论文的创新点有两个第一个是作者发现在经典访问控制方法中，由于缺乏监察 机制从而导致了绝大多数访问控制系统的安全风险增加，针对这一问题作者提出了在访问 控制系统中引入分权和监察机制( 镜像监察员) 的系统构架，并对于引入监察机制后访问 控制系统健壮性的提高幅度从概率统计的角度做出了定量分析。第二个是作者发现了分类 思想在访问控制方法的演变中所起的重要指引作用在论文中回顾了访问控制系统的发展 历史先后讨论了两种经典的访问控制方法即访问控制表( a c c e s sc o n t r o ll i s t 。a c l ) 方法 和基于角色的访问控制( r o l eb a s e da c c e s sc o n t r o l ，r b a c ) 方法，包括他们的模型、优点和 缺点。作者发现r b a c 方法实际上是通过对a c l 方法中的用户进行分类归纳并对系统架 构进行延伸而得到一种改进方法，同时也发现了这种改进并不彻底：因为面向日益丰富的 网络资源传统的以文件系统为考虑背景的访问控制方法其局限性已经日益暴露，根据这 些分析，作者提出了在r b a c 访问控制方法中进一步对资源进行分类的改进思路，并由此 进一步提出了改进的系统构架，然后分析了这一构架和原r b a c 相比较的优缺点。7 ， 【关键字】 ， 一 、 。 a c c e s s c o n t r o l ，c l a s s i f i c a t i o n ，a c l ，r b a c ，i n s p e c t i o n ，c a 三堡燮查查兰堡主兰些丝奎 坌查塑垫墅塑! 塑堕塑丝型墨竺里塞 a b s t r a c t d i s t r i b u t e da c c e s sc o n t r o lh a sb e e n p l a y i n ga l li m p o r t a n t r o l ei ni n f o r m a t i o n s e c u r i t y i nm a n yc a s e s ，t h ee f f e c t i v e n e s so fa c c e s sc o n t r o lh a sb e e na ni m p o r t a n t f a c t o rt oe v a l u a t ea s e c u r i t ys y s t e m t 1 1 i st h e s i sa c c e n t u a t ei t sd i s c u s so nt h e t h o u g h t s m e t h o d s a n dt h e i n f r a s t r u c t u r eo ft l l ea c c e s sc o n t r o l s y s t e m i nad i s t r i b u t e de n v i r o n m e n t t h e r e q u i r e m e n t ，h i s t o r ya n dp r o g r e s so f a c c e s sc o n t r o ls y s t e ma r ed i s c u s s e di nc h a p t e r1 t w om i l e s t o n e so fa c c e s sc o n t r o lm e t h o d ，t h ea c l ( a c c c s sc o n t r 0 1l i s t1a n dr b a c ( r o l eb a s e da c c c s sc o n t r 0 1 ) m e t h o da r ed i s c u s s e di nc h a p t e r2 ，a n db o 血o ft h e i r a d v a n t a g e sa n dd i s a d v a n t a g e sa r ea n a l y z e d s o m ev a l u a b l er e s e a r c hp r o g r e s s e so f a c c e s sc o n t r o la r ei n t r o d u c e di nc h a p t e r3a n dt h ei n f r a s t r u c t u r eo fan e wa c c e s s c o n t r 0 1s y s t e mi sr e p r e s e n t e di nc h a p t e r4 t h ed i s c u s s i o ni nc h a p t e r5d e t a i l e di na n i m p o r t a n tp a r t o ft h ea c c e s sc o n t r o l s y s t e m ：也e a u t h e n t i c a t i o n s y s t e m i na n e n g i n e e r i n gp e r s p e c t i v e t h e n c o n c l u s i o n sa r er e a c h e di nc h a p t e r6 t h ei n n o v a t i o n so ft h i st h e s i sa r es u m m a r i z e di n t ot w op o i n t s f i r s t l y t h e a u t h o rf o u n dt h a tt h ec l a s s i ca c c e s sc o n t r o ls y s t e m sl a c kt h em e c h a n i s mo f i n s p e c t i o n a s1 e a dt ot h er i s eo f r i s k si ns y s t e m s e c u r i t y e s p e c i a l l yi na c l m e t h o d s ot h ea u t h o r s u g g e s t e dan e w a c c e s sc o n t r o lm o d e l i nw h i c h 也em e c h a n i s mo ft h ei n s p e c t i o ni s i n t e g r a t e d t h e nt h ei m p r o v e m e n to fs y s t e mr o b u s t n e s si sp r o v e dw i t hp o s s i b i l i t y p e r s p e c t i v e s e c o n d l y ，t l l ea u t h o rr e v i e w e dt h ep r o g r e s si na c c e s sc o n t r 0 1 i n c l u d i n g t w oi m p o r t a n tm i l e s t o n e s ：t h ea c lm e t h o da n dt l l ei 出a cm e t h o d f o rb o t ho f t h e m t h e i r a d v a n t a g e s a n dd e f e c t sa r e a n a l y z e da n dd i s c u s s e d t h ea u t h o r f o u n dt h e i m p l e m e n t a t i o no f c l a s s i f i c a t i o nm e t h o di nt h ep r o g r e s si na c c e s sc o n t r 0 1 h ef o u n d t h a tt h er b a cm e t h o di sa i m p r o v e m e n to na c l m e t h o db y c l a s s i f y i n gt h eu s e r sa n d i n d u c et h e mi n t or o l e s h ea l s of o u n dt h a tt h i si m p r o v e m e n ti sn o tc o m p l e t e d b e c a u s e i nr b a c m e t h o d ，t h er e s o u r c c sa r en o tc l a s s i f i e d ，w h i l et h e ya r eg e t t i n gm o r ea n d m o r ec o m p l e xi nt h eh u g ei n t e r n e t s ot h ea u t h o rr a i s e sh i si m p r o v e m e n to n r b a cm e t h o d b yc l a s s i f y i n gt h er e s o u r c e sa n dt h ei d e ao f c o n u t l o nr e s o u r c ea c c e s s i n t e r f a c e ( c r a i ) i sr e p r e s e n t e d ，t h e n an e wf r a l n e w o r k o fa c c e s sc o n t r o li s r e p r e s e n t e d a sa n i m p o r t a n tr e s e a r c ht o p i ci nt h en e x tg e n e r a t i o no f a c c e s sc o n t r o ls y s t e m ， ab r o w s eo ft h ea u d i tr e c o r d sd a t am i n i n ga n dt h em e c h a n i s mo f i n s p e c t i o na r ea l s o d i s c u s s e d 【k e yw o r d s a c c e s sc o n t r o l ，c l a s s i f i c a t i o n ，a c l ，r b a c ，c a 3 第1 章绪论 j不懂褥分类的猴子至今还是猴子 懂得分类的猴子却b 经变或7 j 一华罗嶷 i ti sn o lt h es t r o n g e s t o f s p e c i e st h a ts u r v i v e n o rt h em o s ti n t e l l i g e n t , b u t t h eo n em o s t a d a p t a b l et oc h a n g e s 3 。 一c h a r l e sd n r w i n ! 璺! 燮苎查堂堡主堂堡丝兰 坌塑璺竺墅墨! 壁堕鲤丝型墨竺竺塞 1 1 为什么从分类和适应性思想开始 在网络信息技术高度发展的今天，网络信息安全技术已经渗透到数字生活的各个层 面- 影响着人们实际的社会生活。信息安全成为人们关注的焦点问题。访问控制始终是网 络信息安全的一个核心问题。它的历史可以追溯到很久以前。在一个社会组织中，哪些人 在哪些情况下可以访问哪些资源很早就已经进入了社会生活管理者的视野。如今人们正在 试图在网络的数字空间里建立和实际社会相一致的映射以便使网络更好地服务于人们的 生活，随着这种依赖性的日益增强，网络空间里的访问控制问题对于现实生活具有重要意 义。 强健的访问控制对于构建安全的操作系统、数据库信息系统、电子商务系统，规划 安全的网络体系结构等诸多领域具有具有广泛和深厚的应用背景。可以说从第一台计算机 问世咀来访问控制就已经成为系统设计人员所关心的一个重要问题，而且访问控制不仅吸 引了技术人员的目光也吸引了计算机系统的使用者、维护者甚至是入侵者的注意力这 场角逐的焦点在于系统操作的权限空间的划分。 柏拉图对于正义曾经下过个定义他说让所有入都能够各得其所就是正义。那么 我想一个好的访问控制系统也应该是一个“正义”的访问控制系统它能够保证所有系统 的使用者都各得其所。 从根本上说访问控制要解决的问鼯很单纯就是要解决什么人能够对什么样的资 源进行什么样的操作的问题。但是当我们在一个复杂的社会组织背景和一个复杂的分布网 络环境下来考虑这个问题的时候，发现问题的答案变得非常复杂。 例如，一个跨国i t 公司的信息网络系统，它网络信息的可能访问者包括了公司的 董事，行政执行官，产品行销人员，研发人员，客户服务人员，还有各种层次的广泛的顾 客。在一个全球化的企业行销系统的需求下，为了使信息网络更好地对公司业务进行支 持，作为系统设计人员我们需要考虑的因素涉及到了相当广泛的内容，包括网络系统的拓 扑结构和实际睦能指标相关的支持性硬件和软件平台，信息系统中需要包含的数据内 容以及这些数据如何分布和存储，更重要的是，作为企业管理人员出于企业战略安全的 考虑，他必须考虑这个信息系统的使用者的管理，即访问控制。我们不难看出这个系统从 设计到明确描述到程序实现过程中的复杂度。 当前，随着庞大的i n t e r n e t 阿络的不断地进步和延伸，越来越多的人能够接触 网络，使用网络，依赖于网络，与此同时，网络信息系统的使用者的分布和身份也越来越 复杂和难于预测。具体到访问控制系统中而言，一方面它面临着日益复杂的社会和行业需 求背景，另一方面计算机技术尤其实分部网络技术( i n t e r l q e t ) 的发展在不断满足技术 方案解决可能性的同时也在不断地推动访问控制系统的需求从而进一步加剧了访问控制 系统分析和管理的复杂度，这些都给访问控制问题提出了新的挑战。 2 中国科学技术大学硕士学位论文 分布网络环境下的访问控制系统研究 为什么本文引用了华罗庚和达尔文的两句话作为开篇? 这是因为笔者从人们围绕着 访问控制这个日益复杂的问题提出的种种解决办法中发现了分类思想穿针引线的启迪。当 我们面对一个繁复复杂的环境时应该怎么办? 我想首先应该想到的是把复杂的情况进行分 类，因为分类意味着问题的简化。那么为什么要分类呢? 就本论文即将讨论的问题即访问 控制而言分类的目的是为了使访问控制系统能够适应于复杂的应用环境，只有这样的系 统才能够在当前风云变幻的信息技术浪潮中具备强大的生命力，适应于需求和技术的变 迁。 本文的讨论将沿着这一思路逐层展开。 1 2 本文的主要工作和创新点 本论文的讨论将从访问控制方法中的两大里程碑开始，即访问控制表( a c c e s s c o n t r o ll i s t ，a c l ) 方法和基于角色的访问控制( r o l eb a s e da c c e s sc o n t r o l ，r b a c ) 方法。通 过分析我们将看到r b a c 方法实际上是分类思想作用于a c l 方法的- - $ q 改进同时我们 将会发现这个改进并不彻底，因此，笔者在r b a c 方法的基础上又提出了一个新的改进思 路，并在后续章节中将这一思路细化为了一个比较完整的系统构架。 笔者的硕士阶段学习在工程方面的一个重要实践是作为项目小组长参与了解决访问 控制系统中“什么人”即认证问题的工程工作( 证书中心c a 系统的设计和实现) ，因 此，本文在证书中心系统r e a l c e r t 的设计和实现方面着重了相当的笔墨并做出了细节化的 讨论。 本文的篇章组织如下： 第一章前言着重突出了分类方法和适应性指导思想对于本论文的启示作用。 第二章访问控制方法着重讨论了a c l 和r b a c 访问控制方法和模型，同时提出 了改进的思路： 第三章最新相关研究动态着重介绍了笔者认为比较有价值的几个研究机构在访问 控制方向上的研究进展： 第四章分布环境访问控制系统与原理，着重从系统构架和原理的角度对于访问控制 系统做出了描述，论文在这章中提出了监察机制在访问控制系统中的模型和原理，并从概 率角度证明了引入监察机制后系统鲁棒性的提高。在这章中提出的访问控制系统构架同时 综合了在第二章中提出的改进思路不仅对于系统模型的改进具有一定的创新意义，而且 对于访问控制系统的工程实现也具有一定的参考价值。此外作为对于访问控制系统的扩 展和改进论文中还讨论了在访问控制系统中引入审计数据挖掘分析机制的情况。其中关 于访问控制系统中的监察机制已经作为论文于2 0 0 1 年5 月发表于国家核心刊物计算机科 学上( 第一作者) 。 中犀科学技术大学硕士学位论文 分布网络环境下的访问控制系统研究 第五章介绍了认证中心的原理并结合作者在硕士学习阶段的实际工程工作从工程视 角对于访问控制系统的一个核心环节一用户的认证( r e a l c e n i 正书中心系统) 的设计和实 现作出了细致的讨论。 第六章回顾全文，综台了各种访问控制方法和它们的优缺点，并对未来研究的主要 问题进行了展望性的归纳和总结。 本论文的创新点有两个，第一个是作者发现在经典访问控制方法中，由于缺乏监察 机制从而导致了绝大多数访问控制系统的安全风险增加，针对这一问题作者提出了在访问 控制系统中引入分权和监察机制( 镜像监察员) 的系统构架，并对于引入监察机制后访问 控制系统健壮性的提高幅度从概率统计的角度做出了定量分析。第二个是作者发现了分类 思想在访问控制方法的演变中所起的重要指引作用，在论文中回顾了访问控制系统的发展 历史，先后讨论了两种经典的访问控制方法即访问控制表( a c c e s sc o n t r o ll is t a c l ) 方法和基于角色的访问控制( r o l eb a s e da c c e s sc o n t r o l ，r b a c ) 方法，包括他们的模型、优 点和缺点。作者发现r b a c 方法实际上是通过对a c l 方法中的用户进行分类归纳并对系 统架构进行延伸而得到一种改进方法，同时也发现了这种改进并不彻底：因为面向日益丰 富的网络资源，传统的以文件系统为考虑背景的访问控制方法其局限性已经日益暴露，根 据这些分析，作者提出了在r b a c 访问控制方法中进一步对资源进行分类的改进思路，并 由此进一步提出了改进的系统构架，然后分析了这一构架和原r b a c 构架相比较的优缺 点。 4 中国科学技术大学硕士学位论文分布网络环境下的啸问控制系统研究 第2 章访问控制方法 访问控制的核心问题是要解决访问主体集合u ( 什么人) 对操作客体集合r ( 什么 资源) 的操作映射关系o ( 采取什么样的操作) 。操作主体u 操作客体r 和操作关系。 是访问控制的三要素。 访问控制的发展历程经历了两个重要的历程碑第一个是基于访问控制表( a c l a c c e s sc o n t r o ll i s t ) 方法的访问控制和基于角色模型方法( r b a c ，r o l eb a s e da c c e s s c o n t r 0 1 ) 的访问控制方法。 f i g2 - 1 原始的访问控制要素示意图 在复杂的i n t e r _ n e t 网络环境下上述原始访问控制模型有一个问题始终没有得 到很好的解决：访问控制的边界如何界定。 访问控制的边界指上述三大要素集合的界定： 夺操作主体集台u ； 令操作客体集合r ； 夺操作规则集合o ： 其原因有两个，一个是因为分布式的、庞大的i n t e r n e t 的用户情况非常复杂 每个被发布到网上的资源都有可能被远在异国他乡的网络使用者访问甚至网络使用者的 中国科学技术大学硕士学位论文 分布同络环境下的访问控制系统研究 上网地点都在经常性的变化中，其直接的结果是对于大量的网络甩户，他们的身份很难确 认；另一方面，随着语音、图象等多媒体应用的大量普及和高速宽带网络的发展网络的 资源和其操作方法也正在变得日益复杂。可以看到，在一个用户无法预知、资源种类复杂 的i n t e r n e t 环境下界定出以上三个集合并进而完成严密的访问控制已经变得非常困难。 则。 这个问题的解决思路遵循了本论文开篇所提到的两大法刚：分类法则和可适应性法 通过对网络资源的使用者的预期分类1 9 9 2 年由d a v i df f e r r a i o l o 和d r i c h a r d k u h n 引入了基于角色的访问控制方法概念，即r b a c 。该方法中，可能的系统用户被进行 分类和归纳抽象为角色，被保护的资源被置于访问控制系统的核心，通过和预定义的假设 使用者一角色发生关系，系统定义了每个角色对于给定资源的操作权限，同时每个访问者 在真正对被保护的资源进行操作之前都必须通过某种方式被归类为某个角色，其操作权限 的范围也被界定在该角色被预先赋予的权限范围之内，从而有效地使原有模型能够很好地 适应于在复杂用户环境下的资源保护，得到了广泛的承认和支持。 其思想可以用下图予以说明 f i g2 - 2 基于角色的访问控制模型示意 6 ! 坐堡堕竺型王壁羔坠! i ! 垡堕苎 坌查竖垫! 塑! 塑堕塑丝型墨堑堕塞 2 1a c l 2 1 1a c l 综述 a c l 全称a c c e s sc o n t r o ll i s t ，它是访问控制的一神经典方法。在访问控制方法的 发展历程中它对应于上述历程中的第一个阶段。 一个a c l 表由一组预先定义的唯一表示名和每项唯一标识名所对应的访问权限所 组成t 每个访问主体的在对于访问对象实旆访问之前，系统都根据a c l 表项核查该次操作 的合法性，对于合法操作予以通过对于越权操作予以否决。 a c l 方法是目前应用最为广泛的访问控制方法。在目前的很多主流操作系统中都 使用了a c l 座位访问控制的基本手段，例如u n i x 系列操作系统( s o l ”i s ，l i n u x ，a i x 等) 和w i n d o w s 系列操作系统( w i n d o w s9 8 ，w i n d o w sn t ，w i n d o 、v s2 0 0 0 ) 。此外基于 a c l 的访问控制方法还在数据库系统、w e b 系统和专用文件系统中得到广泛应用。 2 1 2a c l 的方法和模型 a c l 表是访问控制中三大要素操作主体集合u ，操作客体集合r ，操作规则集合o 的直接和简单体现。与这三大要素相对应，每个a c l 表也至少包含三项内容： 夺 该a c l 所保护的资源对象； 夺用户( 操作主体) 列表： 夺操作的权限； a c l 模型可以由下图简单示意 f i 窖2 - 3a c l 模型示意 对于文件系统而言，a c l 表中的权限一般包含如下内容 7 中国科学技术大学硕士学位论文 分布网络环境下的访问控制系统研究 查找 该权限能够列出某个目录下的所有文件列表，但仅有查找权限的用户不能 够对该文件进行读、写等其他操作。 夺添加 拥有该权限的用户能够在某个目录下添加瓤的文件 夺删除 拥有该权限的用户能够删除某个目录下的文件 夺获得所有权 拥有该权限的用户能够改变该目录或者文件资源的a c l 表内容 夺读 夺写 夺锁 拥有该权限的用户能够读出该目录下的文件的内容； 拥有该权限的用户能够对目录下的文件进行写操作 拥有该权限的用户能够对被锁资源的操作进行限制这种权限在防止并发 重复写或修改操作的情况下非常有用。 依据上述所列的各种权限，u n i x 和w i n d o w s 系列操作系统的文件管理水平达到 了一个在操作系统发展史上前所未有的高度。其中w i n d o w s 2 0 0 0 操作系统的文件权限控 制性能非常优异。由于全面采用了面向对象技术，文件目录的子目录可以方便对其父目录 的访问控制属性进行继承和扩展，从而在很大程度上简化了文件系统管理员对于文件权限 管理的工作复杂度和难度。 2 1 3a c l 方法的缺点和局限 虽然a c l 访问控制方法在很大程度上得到了广泛的应用并取得了相当大的成功。 但随着网络规模的急剧膨胀和资源数量的海量增长。它的局限和缺点正在日益变得突出。 经过调研和分析笔者发现a c l 访问控制方法在以下两个方面存在严重欣陷 奇a c l 方法对于访问控制边界的描述清晰度过于敏感： 夺a c l 属于自主访问控制方法。因此主体有权授予另外的访问主体访问权限 这导致的超级用户权限风险将在后文得到分析： 夺a c l 方法中缺少权限的监督机制； 例如，如果使用a c l 方法，每一项被注册保护的资源都需要维护一张单独的访问 控制权限说明表，更进一步，这张表还必须明确预先知道该资源的可能使用者，在u n i x 8 中国科学技术大学硕士学位论文 分布网络环境下的访问控制系统研究 和w i n d o w s 2 0 0 0 操作系统中这些可能使用者名单都来自于系统人员表。而对于一个 w e b 系统或是一个网络服务系统而言，这样的要求是很苛刻的。 此外，由于a c l 方法中必须存在获取所有权这样的超级权限，因此安全风险比较 高一旦某个用户通过某种非法方式取得了这一权限他将可以任意处置所控制的资源而 难以被发现。 可以看到，由于在大规模分布计算环境中，很多情况下访问控制的防卫边界是很难 界定的，因此第一个缺陷严重限制了a c l 方法在此类环境( 例如i n t e r n e t ) 下的使 用； 而由于a c l 方法是一种自主型访问控制方法。它的特点是一个已有权限的用户能 够转让和授权他的权限，这个特点在强化了系统功能的可操作性的同时也是安全管理变得 相当混乱，例如当一个入侵者获取超级管理员的权限时，他变可以给其他伪装帐号授权， 这一点缺陷则导致了使用a c l 方法的安全风险的大幅度增加，因此作为一种派生性的缺 陷，笔者认为a c l 方法中缺少权限的监督机制。 2 2r b a c 2 2 ir b a c 的概念 r b a c 全称r o l e b a s e da c c e s sc o n l w o i ，即基于角色的访问控制方法。它在1 9 9 2 年 由d a v i df f e r r a i o l o 和d r i c h a r d k u l m 在第1 5 届n i s t - n s a 美国国家计算机安全会议上被 提出。它是分类思想在a c l 方法上具体应用并获得了广泛的认同。在访问控制的发展历程 中它属于第二个图示所对应的阶段。 在r b a c 系统中，访问控制的决策是根据一个用户在系统中所扮演的角色来决 定。在一个具体的用户访问某一系统资源之前，他必须首先通过认证并被赋予一个预定的 角色。他在系统所能够行使得职权范围完全由该角色的预定权限来决定。同一个用户在被 赋予不同的角色时他在系统中便会有不同的权限规定。 可l 三i 看到，和a c l 方法相比，r b a c 方法的一个显著进步就是对系统资源的使用 者进行了分类。通过分类和归纳得出了系统的使用者类别，即角色n 用户不是直接而是通 过角色和系统资源发生关系通过角色层的加入，该方法巧妙地设置了角色这个“用户变 量”，通过。用户变量”简便有效划定了访问控制边界，从而解决了a c l 方法不能解决的 边界问题； 同时角色这个“用户变量的引入，也使得系统不必预先确切知道每个可能的系 统使用者的详细列表这一特性使r b a c 的访问控制的可适应性得到了极大的扩展 9 - r 1 1 里型堂茎查查堂堡主堂堡堡塞 坌塑堕垒! 塑! 塑堕塑塑型墨竺! 塞 回顾u n i x 操作系统和w i n d o w s 系列操作系统，其实系统用户的分组就已经包 含了r b a c 的一个模糊的雏形只是这一雏形直到1 9 9 2 年才被明确地在学术论文中得到 阐述。 n g 2 - 4r b a c 基于角色的访问控制模型示意图 2 2 2r b a c 模型 2 2 2 1 模型，用户( u s e r ) 和角色( r o l e ) 和其他访问控制方法相比，r b a c 提供了一种简单、直观的授权信息管理办法。 f i g2 - 5r b a c 模型示意 在r b a c 模型中角色是其核心概念。角色定义了一个该角色的授权用户所能够 进行的行为集合。它可以被假想成一个组织或者机构中的某个职位它将涵盖该职位的权 限范围。角色的定义是由对组织的构架分析得到的一个角色是否被引入系统视线主要取 决于系统设计者对于该组织的目标、行为模式和安全需求强度的理解。 1 0 中国科学技术大学硕士学位论文 分布网络环境下的访问控制系统研究 在本论文中笔者认为角色是一种用户变量。它在组织中的职责和权限是被预定 的，它并不需要具体到某一个实际的系统者，而是在该使用者需要和系统发生联系的时候 被赋予合适的角色，以保证他拥有足够的权限完成既定的目标，同时使他的行为规范在安 全策略所允许的范畴之内。 另外一方面，角色也可以被理解为具有相同权限的用户的归类代号。 通过引入角色概念，我们首先看到的是访问控制系统对环境的可适应性得到了极大 的扩展，从而在很大程度上使得采用这一模型的系统具有优越的生命力。 没有用户角色就永远是一个空着的抽屉。角色只有在某个具体的用户充当了其主 体之后才能对系统发生作用。因此本论文要引出的结论是对于一个基于角色的访问控制 系统，它应该同时具备一个用户信息支持库( c u s t o mi n f o r m a t i o nb a s e ，简称c i b ) ，他们 之间可以根据用户( u s e r ) 的唯一表示建立键的关系。 在r b a c 构架下，用户根据他们在组织中的依赖关系和职责被赋予具体的角色， 用户所能够行使得权限由他所充当地角色来决定。根据系统目标，角色可以被灵活的设 置，当新的系统行为被定义的时候，角色关系需要进行相应的增删，反之，当系统既定行 为被取消的时候，同样会发生类似的过程。 其直接的结果是系统管理员不必再面对具体的用户来考虑其权限的管理，他面对的 经过分类的用户种类，即角色从而，系统的管理复杂度得到了空前的降低，系统管理可 以通过操作一个角色的属性来改变一批用户的实际权限，而不是对他们逐一修改。 根据实际经验，在具有明确目标的安全访问控制系统中，其所需设立的角色的实际 数量是很有限的。角色视角的控制方法已经成为解决复杂分布环境的安全控制的有效途 径，得到了广泛的认同。 2 2 2 2 角色和角色等级 角色结构组织设计的一个重要原则是权限最低原则。 换而言之每个角色权限在设置的时候应该遵从其权限集台应该是使该角色刚好能 完成其预定工作的最低限度，尽量避免出现权限冗余。在复杂的访问控制系统中出现权限 的交叉和冗余经常容易导致安全管理的混乱，出现安全漏洞。 在r b a c 构架下，角色的职责和权限可以交叉。代表不同角色的用户有时能够进 行相同的操作。通常会出现这样的情况，即某些通用权限能够披所有角色执行这种情况 下对于每一种角色都赋予一遍这样的权限对于系统管理的工作量而言是件工作量很大的 事情。因此我们引入了角色树的概念。 r 中国科学技术大学硕士学位论文 分布网络环境下的访问控制系统研究 角色树构架下，不同角色之间的权限根据异同被组织成树的逻辑结构其叶节点自 动的拥有了其父节点的权限，这样的组织结构很好地满足了现实中企业和行政单位的组织 结构，通过角色树的引进角色的定义流程得到了进一步的简化。 f i g2 - 6 角色树示意图 可以看到，角色树是一种组织权限、职责和依赖关系的自然表达形式。 2 2 2 3 角色和操作 作方式。 访问控制系统的另一个核心问题是对资源的操作管理，每一项资源都有其预定的操 根据组织关系我们可以得到和每一个角色相对应的操作集合。例如，医院可以规 定，作为一个医生，他只能够对病人和其家属提供关于病人的病情报告，但他不能公开这 些信息。 每一个操作的描述项都对应了一种对于某项给定资源的处理一个角色的权限范围 能够包含哪些操作是由该系统的设计人员在统一的r b a c 构架下作出描述描述的方式一 般有两种： 夺 该角色能够做哪些事情； 夺 该角色不能够做哪些事情； 例如，在c a 认证系统中r a 操作员虽然能够处理用户的带外认证数据他能够 把合法的用户数据代交给c a ，但是他却不能够为该用户签发证书。 一般来说，一个角色所能够行使得操作权限的定义必须考虑以下几个要素： 夺角色在角色树中的位置； 夺该角色进行该项操作的允许时间： 该角色进行该顼才作的允许的地点 夺该角色进行各项操作所允许的顺序 中国科学技术大学硕士学位论文 分布嚼络环境下的访闷控制系统研究 2 2 3r b a c 的优点和特点 本节将在如前所述的基础上对基于r b a c 构架的安全访问控制系统的优点和特枣 作出进一步的分析和阐述。 我们已经看到，r b a c 基于r b a c 构架的安全访问控制系统具有以下的特点： 耷 它咀角色( r o l e ) 作为访问控制中的个核心概念来组织安全控制系统 夺 对于系统中所需要保护的资源都预先分析了其所可能发生的操作： 夺 角色通过其所被赋予的操作权限表和被保护的资源发生了鞋系； 夺 作为一项优化，角色根据它们权限的包含关系被组织成为一棵角色树； 在这一构架下，我们清晰地看到了一个从用户到角色映射，到角色属性定义和组 织，最后到资源的一个完整的构架。回顾信息安全的四项基本要求，即信息的有效性，保 密性，完整性和不可否认性我们看到了这一构架在信息的有效性和保密性的突出作用。 总结起来，r b a c 构架具有如下的优点 夺 系统管理员所管理的直接对象是经过根据权限分类的用户种类即角色，从而使 系统管理的工作在很大程度上得到简化： 夺 r b a c 构架的引入使得系统的可适应性得到了极大的增强： 夺 通过采用面向对象技术，资源管理中的“操作”很容易地和面向对象系统中的 “方法”( m e t h o d ) 对应起来，从而使得资源能够作为一个对象进行包装，使 得复杂的操作能够得意实现；( 例如，资源预留，带宽限制等) f i g2 - 8 采用面向对象技术的r b a c 系统示意 夺 由于引入了角色树的管理概念在分布式系统中能够清晰地划分出管理的层 次划分出集中控制和分布控制的权限边界，从而使系统对于复杂分布环境的 适应能力得到加强； 中国科学技术大学硕士学位论文 分布网络环境下的访问控制系统研究 2 2 4 一个r b a c 的改进思路 从以上分析中我们清晰地看到由于分类思想的引入，基于r b a c 的访问控制方 法有效地对a c l 方法中的用户进行了分类，并从分类的结果中归纳出了角色这一概念，使 得r b a c 方法和a c l 方法相比有了一个本质的进步，主要体现在系统的可扩展性，适应 性和系统管理复杂度这三个方面。 但是这个改进并不彻底，下面本文将提出一个更为彻底的改进模型，这个模型不仅 对用户进行了分类，同时也对资源进行了分类，通过建立一个访问控制总线使得访问控制 系统的性能得到进一步加强。 f i g2 - 9 一个改进的r b a c 模型示意 可以看到在如上的改进系统中，我们不仅对于用户进行了分类同时也对被保护 的资源种类根据其操作类型和权限类型进行了双重分类。 和原有的r b a c 模型相比，这个新构架的改进在于把访问控制系统进一步从最初 的用户一资源模式中分离出来，这样做的好处是使得系统可以对很多类似的实际资源进行 抽象，从而提高系统对于资源复杂资源包容能力，从而提高系统的适应性和灵活性。 例如我们可以定义流资源，在流资源这个概念下，可咀涵盖普通的文件系统网 络定向数据流，磁带，软盘等一大类资源；再如，如果引入i d 类型的资源，它则可以涵盖 i p 地址、名字空间等一类资源。而这些同类资源的操作方法都是非常相似的。 1 4 j 型兰塾! ! i 壁婴圭兰堡丝壅 坌塑堕堡! 墨! 塑堕塑丝塑墨釜竺壅 可以看到，资源的概念涵盖了个相当宽广的领域。文件，带宽，c p u 的处理时 间片，优先级，流i p 地址和域名，名字标识空间等都可以归入资源的范畴。不同的资 源，它们的存在方式，操作办法，需要的保护机制都存在着极大的差别同时我们也可以 看到，传统的a c l 方法对于很多资源的防卫能力是相当有限的。例如带宽。 总结起来，在访问控制系统中对于资源容器的具体需求包括 资源存器的歼救性 开放性好的资源容器能够方便地集成很多常见资源类型，从而使系统在资源管 理方面具有更好的适应性和可扩展性； 奇 资源容器应该为访门控裁韵核心系统提供统一一致妈操作接b 这样在访问控制系统的实现中有利于系统的层次划分有利于建立清晰的系统 结构，同时可以简化系统的a p i 接口； 销户视角 构资涛概念清晰 资源概念清晰的资源容器有利于方便地建立系统的e r 关系图，有利于和角色 建立清晰的联系关系，从而简化系统的复杂度和可操作性： 笔者认为面向对象技术是访问控制系统中资源的分类和封装的主导技术方向。面向 对象系统通过对对象、属性和方法进行组合能够很好地满足我们提出的上述需求。 面向对象技术和上述系统构架的充分结台使得这一改进的r b a c 模型从技术实现 角度具备了投入实施的厚实的基础。系统由一下关键性环节组成： 肆j 户归粪动角琶类的截分 面向的用户群是访问控制系统必须考虑的重要问题，用户和其角色类的划分既 是系统防卫边界划分的重要依据，也是角色类划分的重要依据； 抽象角色类的定义 通过引入面向对象技术系统设计人员可以为注册的用户分配预先封装好的主体 对象中，通过对象的方法( m e t h o d ) 的定义能够有效地从软件架构层面上就有效地 对用户操作进行规定和限制即可以有效地封装什么角色能够做什么的问题。 访趣控裁管理系统纳设计 访问控制管理系统是联系角色与资源操作的核心性环节比较而言这是系统中 的个动态部分它不仅要对每一个系统角色能做什么，不能做什么作出规定，而 中国科学技术大学硕士学位论文 分布网络环境下的访问控制系统研究 且还应该通过审计系统、监察系统的支持提高整个访问控制系统的健壮形、有效性 和智能性。 例如在系统的设计中可以考虑标签技术，即当一个用户登录访问控制系统时系 统根据他所扮演的角色给她颁发一个标签，这样该用户在系统中的所有行为都是顶 着标签进行的，在他操作过的地方都会留下指纹和足迹，这些信息将和系统用户信 息库中的用户信息建立关联，从而进一步实现系统用户的行为评测与监控。 资游妇类和面向对象的封装 资源的归类和封装是一个和用户的分类和角色封装相类似的过程，这是作者从 分类思想中对于在d a v i df f e r r a i o l o 和d r i c h a r dk u h n 所提出的r b a c 模型的一个 改进。 系统策略 所谓安全策略就是描述一组安全策略规则集合的被命名的对象，是安全需 求的高层规范与提供服务的底层配置之间的种连接。分布计算环境下，策略方 法通过较少的策略协商完成了策略辖域内诸多部件的协同，在分布网络应用中具 有重要意义。 策略方法的基本推理逻辑是：因为安全主体能够证明他满足安全策略所定 义的先决条件集合c ，所以，根据安全策略规则集合r ，该安全主体的行为可以 限制在某一行为集合t 之内，此外还可以定义协同策略以维护各个安全子系统策 略的一致性。策略方法不仅可咀使用规则集合描述复杂的情况，而且允许在规则 间建立复杂的逻辑关系。和a c l 方法相比，基于安全策略管理的解决办法能够 更好地描述复杂的安全应用需求能够更有效地在分布环境中进行协同，具有更 优越地可伸缩性和灵活性。就目前的研究进展来看，策略控制同样是解决协同问 题的有效方法。 从技术角度看，分布环境下策略方法的实现有两种方式：基于c o r b a ， c o m ，r p c 等对象容器和原过程调用的解决方案和基于a g e n t 的解决方案。就 访问控制系统的要求而言，它们之间的性能比较如下表所示： 比较方面 c o r b aa g e n t 策略协同要求需要协同不需要协同 策略相应时间较快较慢 自我防卫机制 c o r b as e c 加密和认证 策略变更实现机制类r p c 过程自主传递更新 、 中国科学技术大学硕士学位论文分布舟络环境下的访问控制系统研究 第3 章最新相关研究动态 3 1r b a c 的最新研究进展 r b a c 访问控制方法在1 9 9 2 年由d a v i df f e r r a i o l o 和d r i c h a r dk u h n 在第1 5 届 n i s t - n s a 美国