（通信与信息系统专业论文）j2ee平台下基于角色的访问控制系统的分析与实现.pdf

摘要 摘要 随着网络的迅速普及和应用深入社会生活的各个方面，网络安全问题日益成 为一个突出的问题。而访问控制是网络安全体系结构中一个重要的组成部分，本 文研究了目前得到广泛应用的j 2 e e 平台下的基于角色( r b a c ) 的访问控制技术。 基于角色的访问控制系统，是将用户划分为与其职能和职位相符合的角色，根据 角色赋予相应的操作权限，以减少授权管理的复杂性，降低管理开销并且提供一 个较好的实现复杂安全策略的环境。论文首先从网络安全体系结构开始，介绍了 实现一个访问控制系统所需的两个模块：身份认证模块和访问控制模块。然后分 析了r b a c 模型的基本结构和j 2 e e 平台的特点，在此基础上提出了一种通用化 的利用关系数据库表述用户、角色，用户角色分配关系，同时采用j 2 e e 平台中 s e r v l e t 组件的过滤器技术来实现基于r b a c 在三层w 曲架构上的访问控制方案， 并且利用讧l 文件来实现安全策略的部署。访问控制模块必须结合身份认证模 块来实现，本方案中的身份认证模块采用s h a 一1 信息摘要散列算法，实现用户登 陆口令的有随机数加强的加密传输以防窃听，系统的完成了访问控制，传输加密 的整合。方案采用j s p s e f v l e w a v a s c i p 什t o m c a f + m s s q l 等技术设计丁r b a c 的 宴现架构，结合j 2 e e 平台安全模型声明性和编程性两者的优点，具有表述易懂， 标准化程度高，便于扩展和变通。易于实现复杂安全拄制，与操作平台无关等特 性，对现有的其他脚 a c 实现方法是很好的完善和补充。最后指出了实现进一步 安全通信需要研究的方向。 关键词：访问控制r 珏 c 模型j 2 e es e 州e t 过滤器 a b s t r a c t a b s t r a c t w i mt h em p i dd c v d o p m e n to fn e 咐o r ka 1 1 di n 如h n a t i o nt ec ：h n o l o g y ，i tg e t sm a i l y i r n p o r t a n tp m b i 锄s i nm a l l a g e m e n ta 1 1 di 1 1 f o 肌a t i o ns e c u 打t y t h i st h e s i sp r e s e n t ss o m e r e s e a r c hr e s u l t si nt h ei m p l e m e n t a t i o no fm l e _ b a s e da c c e s sc o n 打0 1 ( r b a c ) w i t hj 2 e e p l a t f b m r o l e _ b a s e da c c e s sc o n t m lc a nr e d u c et 1 1 e c o m p l e x i t y a i l dc o s to f a u t h o r i z a t i o nm a n a g e m e n t sc o m p a r e d 嘶mt r a d i t i o n a la c c c s sc o n t r o lm e t h o d ，a n dm e r 0 1 e sc a nb ec o i l s i s t e n tw i mm ep e r s o l l n e ls t r l l c t l l r ei nao r g 眦i z a t i o no rc o r p o r a t i o n f i r s t l yw i 血m eb 踮i ck n o w l e d g eo fn c t w o r ks e c u r i t ) ra r c h i t e c t i l r e ，a a c c e s sc o n t r o l s y s t e ms h o u l db ec o m p o s e d0 ft w dm o d u l e s ：a u t h e i l t i c a t i o nm o d u l ea i l da c c e s sc o n t r o l m o d u l e t h e nt h er b a cm o d e l 卸dm ec h a r a c t 融s d c so fj 2 e ep l a t f o m li s 矗l m l e r a i l a l y z e d ，a 1 1 dn l ep a p e rp r o v i d e sa o n a i l ds t a i l 洲i z e dm e l o dt 0 印p l yr b a c a c c e s sp 0 1 i c yi 芏1t h em e t l l o d ，u s er e l a t i o n a ld a t a b a s et od e s c r i b em ei n f o m a t i o no f u s c r s ，m l e s ，u s 小r 0 1 ea s s i 印m e n tr e l a t i o na n ds oo n m e a n w h j l e “m a k e su s eo fm c f i l t e rc o m p o n e i l tt 0r e a l i z e 也ef i l n c t i o no fa c c e s sc o n 仃0 1 t h et e c h n o l o g yo fx m li s u s 洫g 嬲s e 谢t ys 仃a t e g yd o 咖e n t 1 1 1a d d i t i o n ，埘l i z es h a - 1m e s s a g ed i g e s t 州t l l l n e t i ct or e a l 主z em e1 0 9 i np a s s w o r de n c r y p t i o n ，e n f o r c et 1 1 e 撕m m e t i cb y 血t r o d l l c i n gar a r l d o 吼n 咖b e r i no r d c rt op m t c c tp 够s w o r df b mp a c k e ts n i 插既u s e j s p s e 1 e 们a v a s 面p t + t o m c a t + m s s q lt 0d e s i 印t h e 砌i t c c t i 】r e ；也ec h a r a c t e r i s t i c s o fj 2 e es e c 叫t ym 0 d e l sm a ti sd e c l a r a t i v e 锄dp r 0 f a m m a t i ca r ei n t e 铲a t e dt o g e t l l e l t h ea d v a n t a g eo f m i ss c h e m ai s ：e 船yt 0u n d e r s t 趾d ，h i 曲l ys t 趾d a r d i z e d ，n e x i b l e ，e a s y a n dr c a d yt oe x t e n d ，t a s kl l i l i f o m i 劬i 1 1 d 印e n d e n c e 盘d mo sp l a t f o m i ti sav a l u a b l e r e f e r e l l c eo fi m p m v i n go m e ri m p l 咖e i l 矗n gm e t l l o d so fr b a c a tt h ee i l ds o m en e w r e s e a r c 舡d i r e c t i o n sa r e 口o i i l t e do 叽t k e y w o r d ： a c c e s sc o n t r o l舳a cj 2 e ep l a t f b ms e r v l e tf n t e r 声明 独创性( 或创新性) 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我 所知，除了文中特另加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或 撰写过的研究成果；也不包含为获得两安电子科技大学或其它教育机构的学位或证书而使闩j 过舟勺材料。与我一同1 二作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表 示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名 菇啪坂 日期 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位沦文的规定，即：研究生在校攻读 学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后，发表论文或 使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件， 允许查阅和借阅论文；学校可以公布论文的垒部或部分内容，可咀允许采用影印、缩印或其 它复制于段保存论文。( 保密的论文在解襁后遵守此规定) 本学位论文属于保密，在一年解密后适用本授权书。 本人签名 撇签名：趣 日期 日期 第一章绪论 第一章绪论 1 1研究背景 随着i n t c m c t 的广泛应用，安全问题越来越引起人们的关注。信息安全概念 的提出与被关注是因为i n t e m e t 建立时的总体构想和设计中没有考虑安全因素， 而且t c p 佃协议的设计也是在以网络环境为可信环境的前提下为网络互联专门 设计的。因此，由于i n t e r n e t 本身以及t c p i p 协议均缺乏安全措施的考虑，从而 使得黑客的攻击易如反掌，再加上病毒的干扰，使得网络存在了很多不安全因素。 口令猜测、地址欺骗、利用w 曲破坏数据库等手段是黑客利用网络的不安全因素 对网络进行攻击的常用手段，邮件炸弹、病毒携带等则是利用网络的不安全因素 对网络进行破坏的方法之一，所以网络安全己经成为了网络研发的重点和热点。 特别是在多用户计算机系统环境下，随着互联和分布式系统发展，研究网络安全 则交得更加有意义了。 1 2访问控制技术简介 1 2 1 访问控制技术的基本概念 访问控制就是通过某种途径显式地准许或限制访问能力及范围的一种方法。 经过几十年的发展，先后出现了多种重要的访问控制技术，它们的基本目标都是 防止非法用户进入系统和合法用户对系统资源的非法使用。为了达到这个目标， 访问控制常以用户身份认证为前提，在此基础上实施访问控制策略来控制和规范 合法用户在系统中的行为。 1 2 2 传统访问控制类型 传统的访问控制类型主要两类：自主性访问控制d a c ( d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 和强制性访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 。用d a c 实现存取控制，可以在每一项资源对象上直接设置用户或者用户组的各项权限。 它的缺点是一旦组织内的人员发生离职，升迁，换岗等人事变动或者职能发生变 化，都要管理员对每一项资源重新设置用户许可的诸多细节。当资源对象数目庞 大，组织结构复杂变动频繁时，访问控制的授权管理需要花费很多的人力，容易 出错，也无法实现动态的和复杂的安全政策。在强制存取控制中，每个数据对象 被标以一定的密级，每个用户也被授予某一个级别的许可证。预先定义用户的可 ： ! ! 坚笪! 苎主塑璺塑堕塑笙型墨堑! ! 至皇壅翌 信任级别及信息的敏感程度安全级别，当用户提出访问请求日寸，系统对两者进存 比较以确定访问是否合法。其缺点在于主体访问级别和客体安全级别的划分和现 实要求无法一致，在同级别间缺乏控制机制。另外妣c 由于过于偏重保密性，对 其他方面如系统连续工作能力、授权的客观理性等考虑不足。 1 2 ，3 基于角色的访问控制模型 基于角色的访问控制( r a b c ) 是美茸m s t ( n a t i o n a li n s t i t u t eo r s t a n d a r d sa n dt o c h n 0 1 0 9 y ) 于2 0 世纪9 0 年代初提出的一种新的访问控制技术。 该技术面世以米迅速成为访问控制技术发展的新热点，各种理论化研究成果和实 际应用手段不断提出，很快形成瑚c 的两个研究核心：r b a c 模型的建立和实现 方法。该技术主要研究将用户划分成与其在组织机构体系中相致的角色，以减 少授权管理的复杂性，降低管理开销和为管理员提供一个比较好的实现复杂安全 政策的环境而著称。基于角色访问控制引入与现实联系紧密的角色概念，用角色 标志用户具有的职责和权限，崩角色的概念作为用户和权限之间的连接桥梁，把 现实和计算机访问控制策略更好的结合起来，并且易于实现复杂、动态的安全控 制策略。 r b a c 基于角色访问控制是安全服务结构体系的一个组成部分。安全服务结构 体系包括身份认t l e 、授权控制、数据加密、审核等，r b a c 只有结合身份认证和 数据加密才有实际应用的意义。 1 3j 2 e e 平台技术简介 随着互联网的普及和发展越来越多的企业和组织开始采用互联网作为企业 内外部的信息发布、交换以发管理和交易的平台。j 2 旺平台则提供了一种基于组 件的方法，来设计、开发、装配及部署企业应用程序。j 2 e e 平台提供了多层分布 式模型，组件重用，基于xm 【j 的数据交换，统一的安全模型以及灵活的事务控制 等拄术和方法。 j 2 e e ( j a 、，at m2p l a t f b r n le n t e r p r i s ee d i d o n ) 是由s u n 公司定义的规范而不 是一种产品，作为使用j a v a 构建企业系统的标准平台和环境，其其体实现由各厂 商来完成。j 2 e e 规范定义了一个基于组件的多层企业应用系统开发平台，其逻辑 结构是一个基于组件一容器模型的系统平台其核心概念是容器。容器是指为特定 组件提供服务的一个标准化的运行时环境，j a v a 虚拟机就是一个典型的容器。组 件是一个可以部署的程序单元，它以某种方式运行在容器中，容器封装了j 2 e e 底层的a p i ，为组件提供事务处理、数据访问、安全性、持久性等服务。在j 2 e e 第一。章绪论 中组件和组件之间并不直接访问，而足通过容器提供的协议和方法来相互调用。 组件和容器间的关系通过“协议”来定义，容器晌底层是j 2 e e 服务器，它为容器提 供j 2 e e 中定义的各种服务和a p i 。一个j 2 e e 服务器( 也叫j 2 e 丑应用服务器) 可以支持一种或多种容器。每个容器的服务包括两部分：j 2 s e ( j a v a2p 】a t f o r n l s l a n d 捌e 出t i o n ) 和一组扩展的服务。迷是圉为j 2 e e 是以j a v a 标准版为基础酌， 各窑器在j 2 s e 之上再根据需要提供一屿扩展的服务，如目录服务、事务管理、 数据访问、消息机制、安全性等。基于j 2 e e 平台的应用程序能够以平台独立的 方式进行构建。它的目标是为在服务器端部署的j a v a 程序提供一种与平台无关、 可移植、安全和标准化的企业级平台。所以j 2 e e 解决方案是平台独立和基于组 件的、不会被束缚在任何厂商的产品和a p i 上。 从盥用的角度来看，j 2 e e 为企业应用系统的开发提供了一种多层分布式企业 应用模型。在j 2 e e 中，应用逻辑按功能不同可以划分为不同类型的组件，各组 件根据它们所在的层分布在不同的机器上，共同组成一个基于组件的分布式系统。 j 2 e e 定义了一个典型的四层结构，分别是客户层、w 曲层、商业逻辑层和企业信 息系统层。其中客户层组件可以是浏览器或者a p p l e t 小程序、j a v a 应用程序： w 曲层组件可以是j s p 或者s e “1 c t ：商业逻辑层组件为e j b 或者j a v a b e a l l 。 在应用开发时，j 2 e e 定义的四层模型可根据实际情况灵活运用。由于除了 a p p l e t 外其他的组件都可以访问数据库、e j b 组件和企业信息系统，所以通过不 问层的取舍及组合，可以衍生出许多应用软件丌发模型，如基于w 如的四层模型、 基于桌面应用的三层模型( 不包括w 曲层) 、b 2 丑模型( 不包括客户层) 等。如 果应用系统比较简单，一般不用e j b 作为逻辑层，而直接用w 曲组件来实现商业 逻辑和数据访问，毕竟e 珀的开发和部署费用还相当高。本文在w e b 开发中使 用s t m t s 框架实现m v c ( m o d e l j v i e w * c o 曲向) 模式，使得表现逻辑和业务逻辑分 离，利于整个系统的开发和维护。 l ，4论文所做的主要工作及章节安排 本论文首先从网络安全体系结构开始。介绍了实现一个访问控制系统所需的 两个模块：身份认证模块和访问控制模块。然后分析了r b a c 模型的基本结构 和j 2 e e 平台的特点，在此基础上提出了一种通用化的利用关系数据库表述用户、 角色，用户角色分配若系，同时采用j 2 b e 平台组件技术来实现基于r b a c 在 三层w 曲架构上的访问控制系统虬及丰h 应的身份认证方案，文章共分为五章， 主要内容安排如下： 笔一章首先说明了论文的背景和相关技术的当前的状况，以及研究访何摔制 的必要性。 4 j 2 e e 平台下基于角色的访问控制系统分析与实现 第二章介绍丁网络安全服务体系结构以及涉及到基本技术。 第三章主要介绍了目前广为使用的基于j 2 e e 的多层w e b 框架技术。 第四章描述了本文主要研究的访问控制理论基础以及主要的几种基于角色的 访问控制模型：传统的访问控制类型d a c 以及m a c ，基于角色的访问控制 r b a c ，r b a c 9 6 模型。 第五章提出了j 2 e e 平台下基于角色的访问控制( r b a c 愿铀) 的实现方案。 采用j 2 e e 组件s e “l e t 中的过滤器技术作为实现的理论基础，然后说明如何使用 x m l 文件实现r b a c m 铈策略。同时给出了与访问控制相结合身份认证方案的 宴现。 篁三翌旦垫塞垒塑塑差塑丝苎型 ! 第二章网络安全和相关理论基础 2 i网络安全面临的威胁 近年来，随着全球网络化热潮的发展，网络技术正在越来越广泛和深入的渗 入到社会生活的各个方面，并且还在不断扩展着他对人们未来工作和生活方式的 影响。网络化、电子化以其高效、灵活、迅捷、便于管理统计的显著特征，正在 进入各种行业。网络通信技术的发展存在下面三种主要趋势，使人们对成本的考 虑已放至次要的地位，而将网络安全方面的考虑提高到越来越重要的位黄上。 系统互联与网络互联数量的日益增长，使任何系统都潜在地存在着已知或未 知用户对网络进行非法访问的可能性。 人们越来越多使用计算机网络来传递安全敏感信息。例如人们用计算机网络 来进行电子资金传递( e f t ) 、商业数据交换、政府秘密信息传递以及产权信息的 交流等。 对于攻击耆来说，可以得到的技术越来越先进，并且这些技术的成本在不断 地下降。从而使密码丹析技术的工程实现变得越来越窖岛。 2 1 1 网络安全潜在威胁 计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是 对网络中设备的威胁。目前，归结起来网络安全所面临的主要潜在威胁有咀下几 个方面： 1 信息泄密。主要表现为网络上的信息被窃听，这种仅窃听肺一i 破坏网络中 传输信息的网络侵犯者被称为消极侵犯者。 z 信息被篡改。这就是纯粹韵信息破坏，这样的网络侵犯者被称为紧急侵犯 者。积极侵犯着截取网上的信息包，并对之进行更改使之失效，或者故意添加些 有利于自己的信息起到信息误导的作用。积极侵犯者的破坏作用最大。 3 传输非法信息流。用户可能允许自己同其他用户进行某些类型的通信，但 禁止其他类型的通信。如允许电子冉口件传输而禁止文件传输。 4 非法使用网络资源。非法用户登录进入系统使用网络资源，遣成资源的消 耗，损害合法用户的利益。 j 计算机病毒。计算机病毒已成为威胁网络安全的最大威胁。 2 1 _ 2 网络攻击嘲【3 1 立一一! ! ! ! 兰鱼：! 苎塑垦竺望塑叁型墨堑坌堑皇塞堡 网络攻击的种娄繁多，总数最已经有几千种。网络攻击的手段大致可分为以 下几类： 1 利用主机e 的服务器的不1 e 确配置和漏洞进行攻击。 2 利用主机操作系统的某些漏洞进行攻击。 3 利用t c p 兀，协议上的某些不安全因素进行攻击。 4 利用病毒进行攻击。 5 其他网络攻击方式。 利用以上手段所实现的攻击方法也层出不穷f 面将对几种常见的攻击方法 做h 简介，其中对本文中r b a c 重点防范的集中攻击类型作重点介绍。 试探( p r o b e ) ：事实上这不算是一种攻击，而是对攻击所作竹一种信息收集 准备。通过向目标主机发送包以刺探其体系结构，通过检查该机器的响应，攻击 者能够确定目标机器上运行的操作系统，用户情况甚至内部网络结构。 扫描( s c a n ) ：和试探一样，扫描也是对攻击的信息收集准备工作。扫描是 扫描器对目标主机，目标主机所提供服务，开放端f 以及安全弱点进行的测探。 扫插器的主要功能是； ( 1 ) 在指定网段搜索具有特定j f 放端口( 提供某向网络服务) 的主机。 ( 2 ) 对特定主机找出该机器正在运行的服务( 开放端口) 。 ( 3 ) 测试具有鞲洞的那些服务，以及弱口令账号。 对扫描器的使用是否非法有很多争议，在我国，随意使用扫描器是违反相关 规定的。 获得超级用户权限( r o o tc o m p r o m i s e ) ：u n i x l i n u x 操作系统中r o o t 帐 户拥有最高权限，可以进行最多的操作而不受限制，所以获得r 0 0 t 账号是攻 克一个系统的标志。w i n d 。w s 操作系统对应的账号是 d i n i s t r a t o r 及 a d m i n i s t r a t o r s 用户组账号。多数获得超级用户权限的方法是利用系统漏洞 或者某项服务的漏洞，还有些漏洞是由于系统管理员配置错误引起的。 拒绝服务( d e n i a lo fs e r v i c e ) ：用大最的无用的服务请求，无用信息报使 服务器超载而无法对正常服务请求做出响应。 利用信任关系：在攻破某节点之后，相信人次节点的其他节点扩展供给战 果。信任节点之间往往没有严格的验证和传输加密。 恶意代码：特洛伊木马、病毒、蠕虫、恶意脚本代码等。通过伪装成有用 的工具或者游戏，或通过电子邮件，系统漏洞等进入主计，在主机运行时自 动运行，窃取账号，安置后门，获得高级权限。 攻击t n t e r n e t 基础设施( 如d n s 系统和网络路由器) 获得用户帐号( a c c o u n tc o m p r o i i j l s e ) ：获得用户帐号有三种方法：一足通 过网络虢听( s n i f f e r ) 非法获得用户口令，这类方法有一定的局限性，但危 第二章网络安生和相关理论基础 害性极大，监听者往往能够获得其所在网段的所有用户帐号和口令，对局域 惘安全威胁巨大；二是在知道用户的账号后，利用一些专门的软件反复试探， 强行暴力破解用户口令，这种方法不受阿段限制，但需要相当高的网络速度 条件和运气，而攻击者要有足够的耐心和时间。往往攻击者在攻克一个节点 后会利用这个节点的运算能力和网络能力暴力破解其他节点账号口令；三是 在获得。个腋务器上的用户口令文件后，用暴力破解程序破解用户口令。该 方法的使用前提是攻击者获得口令文件。此方法在所有方法中危害最大，因 为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地反 复把猜测的口令加密后与口令文件的相应的密文字段相比较就能相对容易地 破获用户密码，尤其对那些弱口夸账号更是可以在报短时间内破解。针对这 三中获得用户账号和口令的前两种方法，本论文中都有相对的方法，如数据 加密传输。 数据包窃听( p a c k e ts n i f f e r ) ：以太网中，所有数据通信都是采用广播方 式，通常工作状态下，一块网卡对以太网中的广推进行侦听，只接受传送给 自己的，即数据包目的地址于自己的物理姒c 码相符的数据包。网络监听是 主机的一种工作模式，在这种模式下，网卡工作在混杂模式( 口f 绷i s c u o u s ) ， 在这种模式下工作的网卡能够接收到一切通过它的数据，而币管实际上的数 据目的地址是不是它，而不管实际上数据的目的地址是不是它，不管这些信 息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密， 只要使用某些网络监听工具，例如n e “r 奸f o rw i 州泖s9 5 9 8 巾t ，s n i f 如r f o rl in u z s o l a r i e s 等就可咀轻而易举地截取包括口令和账号在内的信息资 料。虽然网络监听获得用户账号和口夸具有一定的局限性，但监听者往往能 够获得其所在网段的所有用户账号及口令。对付s n if f e r 的最有效方法是数 据传输加密。用户帐号和口令不是用明文传送，而是经过加密后再传送。这 样即使在局域网中的广播方式，或者点对点通讯中间路由器被攻破而是数据 包被窃听，窃听者看到的也只是一团没有意义的字符。 2 2网络安全体系结构f 4 l 为了适应网络技术的发展，1 9 8 9 年2 月， i s 07 4 9 8 2 标准颁布，确立 了基于0 i 参考模型的七层协议之上的信息安全体系结构。在i s 0 7 4 9 8 2 中 描述了开放系统互连安全的体系结构，提出了涉及安全的信息系统的基础架 构中应该包含：五类安全服务、能够对这五类安全服务提供支持的八类安全 机制和普遍安全机制以及需要进干亍的三种o s i 安全管理方式。其中针对网络 系统受到的威胁，o s l 安全体系结构提出了以下几粪安全服务： j 2 e e 平台下基于角色的访问控制系统分析与实现 身份认证服务( 鉴荆服务) 访问控制服务 数据保密性 数据完整性 不可否认性： o s i 参考模型 ? 一一直罔屡 6 一j 表示屉 圈2 1 i s 07 4 9 8 2 安垒絮构三维陶 2 2 1 身份认证服务( 鉴别服务) 【3 4 】【：i 】 这种服努是在两个开放系统同等层中的实体建立连接和数据传送期间为提 供连接实体身份的鉴别而规定的一种服务。这种服务防止冒充或重传叫前的连接。 这种鉴别服务可以是单向的，也可以是双向的。在指定网段搜索具有特定开放端 口( 提供某向网络服务) 的主机。身份认证服务是其它安全保护机制使用的基础 性安全操作，它为系统提供了唯一区分实体的方法。例如，要确定是否允许访问 某类特定资源，必须先确定实体标志。有几种让实体标志自己和向系统验证自己 的方法，验证方法有可以分为基于主机的验证和基于个体的验证方式。包括以下 验证类型： 基于口令的验证 实体向系统提供正确的主体i d 和口令对，向系统验证自己的身份。这是一 种基于主体的验证方式，是最常见的主体验证方法。 基于物理令牌的验证 用a t m 卡或智能卡等物理项目作为主体标志。功能强大，但由于费用昂贵， 应用不够普及。这也是一种基于主体的验证方式。 第二章网络安全和相关理论基础9 基于证书的验证 证书就是包含主体信息的数据块。证书由权威的，可信赖的，公正的第 三方证书机构签名，以便保证证书的可靠性。证书的信息包括主体的公开密钥， 主体的信息，证书有效截止日期等。用户向认证中心( c a - c e r t i f i c a t ea u t h o r j t v ) 提出证书申请，寄送身份证复印件，单位公章等证明材料。c a 在验证申请者身份 之后，产生公有私有密钥对，把公有密钥通过电子邮件发送，而私有密钥要求用 户连接到c a 的服务器上，以安全方式获得，例如通过安全w e b 连接下载。这个安 全w e b 连接通过证书机构的一次性提供的安全的公开密钥实现。此后这个证书就 成为用户的网上身份证。利用数字证书、p k i 、对称加密算法、数字签名、数字信 封等加密技术，可以建立起安全程度极高的加解密和身份认证系统，从而使信息 除发送方和接收方外，不被其他方知晓；保证传输过程中不被篡改( 完整性和一 致性) ：发送方确信接收方不是假冒的( 身份的真实性和不可伪装性) ；发送方不 能否认自己的发送行为( 不可抵赖性) 。 2 2 2 访问控制服务睁】7 1 访问控制的目标是防止对任何资源( 如计算资源、通信资源或信息资源) 进 行非授权的访问。所谓非授权访问包括未经授权的使用、泄密、修改、销毁以及 颁发指令等。它通过一组机制控制不同级别的主体对目标资源的不同授权访问， 在对主体进行身份认证之后实施网络资源安全管理使用。传统的访问控制有自主 形访问控制d a c ( d i s c r c t i o n a r y a c c e s sc o n 昀1 ) 和强制性访问控制m a c ( m a n d a t o r y a c c c s sc o n t r o l l 。 强制性访问控制( m a c ) ：是指系统强制主体服从事先制订的访问控制政策。它 主要用于多层次安全级别的应用中，预先定义用户的可信任级别及信息的敏感程 度安全级别，当用户提出访问请求时，系统对两者进行比较以确定访问是否合法。 其缺点在于主体访问级别和客体安全级别的划分与现实要求无法一致，在同级别 间缺乏控制机制。 自主访问控制( d a c ) ：是在确定主体身份及所属的组的基础上，对访问进行限 定的一种控制策略。访问控制策略保存在一个矩阵中，行为主体，列为客体。为 了提高效率系统不保存整个矩阵，在具体实现时是基于矩阵的行或列来实现访问 控制策略。目前以基于列客体的访问控制列表a c l 采用的最多。a c l 的优点在于 表述直观、易于理解，而且比较容易查出对一特定资源拥有访问权限的所有用户， 有效地实施授权管理。但应用到网络规模较大、需求复杂的企业的内部网络时， 需要在资源中设定大量的表项，而且，当用户的职位、职责发生变化时，为了反 映这些变化，管理人员需要修改用户对所有资源的访问权限，使得访问控制的授 塑j 2 e e 平台下基于阳色的访问控制系统分析与宴现 权管理需要花费很大的人力，且容易出错，她无法实现动态的和复杂的安全政策。 基于角色的访问控制( r b a c ) ；是美国n i s t ( n a t i o n a li n s t i t u t eo fs t a n d a r d s a n dt e c h n 。l o g y ) 于2 0 世纪9 0 年代初提出的一种新的访问控制技术。该技术主要 研究将用户划分成与其在组织结构体系相一致的角色，以减少授权管理的复杂性， 降低管理开销和为管理员提供一十比较好的实现复杂安全政策的环境。基于角色 访问控制引入与现实联系紧密的角色的概念，用角色标志用户具有的职责和权限， 把现实和计算机访问控制策略更好的结合起柬，并且易于实现复杂、动态的安全 访问控制策略。 2 2 3 数据保密性服务8 】 数据保密服务是防止数据未经授权或被截获而泄漏。由于数据传输可采用连 接方式和非连接方式，因此数据保密服务业可提供连接方式和非连接方式两种。 连接保密服务为一次连接上的全部用户数据提供其机密性：非连接保密服务为单 个无连接的服务数据单元中的全邮用户数据保证其机密性。同时根据保密业务需 求可以提供选择字段保密服务以及通信流量保密服务，选择字段保密服务为那些 被选择的字段保证其机密性，这些字段或处于连接的用户数据中，或为单个无连 接的服务数据单元中的宇段；通信流量保密服务使得不可能通过观察通信流量而 推断出其中的机密信息。 2 2 4 数据完整性服务 这种服务用来防止非法实体对用户的主动攻击( 对正在交换数据进行修改、 插入、使数据延时以及丢失数据等) ，以保证数据接收方收到的信息与发送方发送 的信息完全一致。 数据完整性服务一般是结合m d 2 、m d 3 、m d 5 以及s h a 等信息摘要算法 ( m 黯s a 聆a u 出e n t i c a t i o nc o d em a c ) 和加密技术实现。信息摘要是用单向散列 函数对任意长度的输入数据产生唯一的固定长度的输出，即信息的“指纹”，该指 纹与输入数据一一对应。把明文数据产牛的信息摘要与明文一起加密传输，接受 者解密后，对明文部分用相同的信息摘要算法算出摘要值，与解密所得的摘要值 比较，如果一致，说明受到的信息是准确的完整的。 2 2 5 不可否认服务 这种服务有两种形式，第一种丹! ；式是源发证明，即某一层向上一层提供的 服务，它用来确保数据是由合法实体发出的，它为上一层提供对数据源的对等实 第j ：章删络安全利相关理论基础 体进行鉴别，以防假冒。第：二利，形式是交付证明，用柬防止发送数据方法送数据 后舌：认使自己发送过数据，或接受乃。接收数据后否认自己收到过数据。 2 3s s l 协议及s h a - 1 信息摘要算法 2 3 1s s l ( 安全套接层) 协议 s s lj 宣全套接层协议是网景公司设计。的基于w e b 应用的安全协议，它指定了 在应用程序协议( 如h ”p ，r l o l n e t 和p 等) 和t c p i p 协议之间进行数据变换的 安全机制，为t c p i p 连接提供数据加密、服务器认证以及可选的客户机认汪， s s l 协议可吼细分为三层协议： ( 1 ) 握手协议：这个协议负责协商用于客户机和服务器之间会活的加密参数。 当一个s s l 客户机和服务器第一次开始通信时，它们在一一个协议版本卜_ 选成一致， 选择加密算法和认证方式，并使用公钥技术来生成共享密钥。 ( 2 ) 记录协议：这个协议用于交换应用数据。应用程序消息被分割成可管理 的数据块，还可以压缩，并产生一个m a c ( 消息认证代码) ，然后结果被加密并传 输。接受方接受数据并对它解密，校验m a c ，解压并重新组台，把结果提供给应 用程序协议。 ( 3 ) 警告协议：这个协议用于显示在什么时候发生了错误或两个主机之间的 会话在什么时候终止。 s s l 协议通信的撮手步骤如下： 第1 步，s s l 客户机连接至s s l 服务器，并要求服务器验证它自身的身份； 第2 步，服务器通过发送它的数字证书证明其身份。这个交换还可以包括整 个证书链，直到某个根证书颁搜机构( c a ) 。通过检壹有效 = 1 期并确认证书包含可 信任c a 的数字签名来验证证书的有效性。 第3 步，服务器发出个请求，对客户端的证书进行验证，但是由于缺乏公 钥体系结构，当今的大多数服务器不进行客户端认证。 第4 步，协商用于加密的消息加密算法和用于完整性榆查的哈希函数，通常 由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。 第5 步，客户机和服务器通过以下步骤牛成会话密钥： 客户机生成一个随机数，并使用服务器的公钥( 从服务器证书中获取) 对 它加密，以送到服务器上。 服务器用更加随机的数据( 客户机的密钥可用时则使用客户机密钥，否则 以明义方式发送数据) 响应。 使用哈希函数从随机数据中生成密钥。 j 2 e e 平台下基下角色的访问控制系统分析与实现 s s l 目前已经成为w e b 上刘安全连接有较强需求的业务，如电子商务、f 5 | j 上 银行等的最主要的安全通信协议。 2 3 2s h a 1 信息摘要算法9 安全哈希算法s h a ( s e c u r eh 孤ha 1 9 0 r i t h m ) 是由n i s t ( n a t i o n a li n s t i t u t e 。f s t a i l d a r d st e c h n 0 1 0 9 y ，美国国家标准技术局) 开发出来的，于1 9 9 3 作为联邦消息 处理标准( f j p sp u b1 8 0 ) 公布的。在1 9 9 5 年出版了改进版本f i p sp u b1 8 1 ，叫 做s h a 一1 。 具体算法如下： 1 消息填充 填充消息k 使其长度恰好为一个比5 1 2 的倍数仅小6 4 位的数。填充方法 是附一个1 在消息后面，后接所要求的善个0 ，然后在其后附上6 4 位的 消息长度( 填充前) 。这样使消息长度恰好是5 1 2 位的整数倍，同时确保 不同的消息在填充后不相同。填充后的消息将按5 1 2 位分组进行处理，而 每个分组又划分成1 6 个3 2 位予分组。也就是说最后的消息将由n 个块 k ，l - ，l 咀，组成，其中每个块l i 都是5 1 2 位。l l 包含消息的第 位。而每个块l i 又由1 6 个3 2 位的子块m o ，m j ，m 1 5 组成。 2 算法的函数 在s h a - 1 中，使用了一组逻辑函数岛，f l ，f 7 9 。每个函数联o 亡 牟7 9 ) 都是对3 个3 2 位的字x ，y ，z 进行操作，并生成一个3 2 位的字作为输 出。函数( x ，y z ) 的定义如下： ，( x ，y ，z ) = ( x y ) v ( ( o ) 、z ) ，对于t 卸至1 9 ，( x ，】，z ) = j o y o z ，对于t _ 2 0 至3 9 ，( j ，l z ) = ( 工 y ) v ( j n z ) v ( r z ) ，对于t 叫。至5 9 ，( x ，y ，z ) = 工o ，o z ，对于忙6 0 至7 9 ( o 是异或， 是与，v 是或，是反) 3 常最说明 在s h a - 1 中，使用了一组常量岛，k l ，k 7 9 ，它们的1 6 进制表示如 下： k t _ o 置5 a 8 2 7 9 9 9 ，对于仁0 至1 9 k t = o x 6 e d 9 e b a l ，对于t _ 2 0 至3 9 i 串；o x 8 f l b b c d c ，对于仁4 0 至5 9 k t = o x c a 6 2 c l d 6 ，对于f 6 0 至7 9 4 讨算消息摘要 第三童塑塑壅全型塑茎堡笙茎型旦 消息摘要算法使用填充后的消息。在计算中使用两个缓冲区，每个缓冲区 出5 个3 2 位组成，同时还是甩一个有8 0 个3 2 位组成的队列。第一个缓 冲区的5 个3 2 位分别标记为a ，b ，c ，d 和e ；第二个缓冲区的5 个3 2 位分别标记为h 。，h i ，h 2 ，h 3 ，吼；雨8 0 个3 2 位组成的队列标记为 w 。，w i ，w 7 9 。同时还使用一个单字的缓冲区t e m p 。通过对m l ， m 、，m 。进行运算生成消息摘要。对于每个m i 共处理8 0 步。在 进行块处理前，每个h i 缓冲区用如下的1 6 进制数初始化： h o = o x 6 7 4 5 2 3 0 1 h r = o x e 觚a b 8 9 h 2 = o x 9 8 b a d c f c h 3 = 0 x 1 0 3 2 5 4 7 6 h d = o x c 3 d 2 e 1 内 图2 2 s h a 1 的一次运算 第一步，用下面的算法将1 6 个3 2 位的块m ，分成8 0 个3 2 位的予块( w 。至w 7 9 ) ： 耋詈墓；曼，篙一。) 1 a ( 符号 蜘表示左移n 位) 当仁1 6 至7 9 时，形= ( 彬一3 $ 彬o 彬一b o 。6 j 1 “伺弓、。”1 “”“7 第二步，赋值运算 a ：h o ，b = h 1 ，c = h 2 ，d ；h 3 ，e 5 h 4 第三步，计算t 孙诬值 对于t 卸至7 9 t e m p q a 5 ) + z ( 6 ，c ，d ) + e + w f 斗| k t ， e = d ， d = c c 眷b s c u 。强制访问控制又称为基于格的访问控制。用l 表示安全标识， 主体s 的安全标识可表示为l ( s ) ，客体。的安全标识可表示为l ( o ) 。 在强制访问控制模型中有几个基本性质： 简单读规则( r e a d d o w n ) ：当满足l ( s ) l ( o ) ，主体s 可读客体o ； 自由写规则( w r i t eu p ) ：当满足l ( o ) u s ) ，主体s 可写客体o ； 若把读客体看成是信息从客体流向用户，把写客体看成是信息从用户流向客 体，那么简单读规则和自由写规则反映了信息流动的方向是从安全性要求低处向 安全性高处的方向流动。由于安全性要求低的主体可以写安全性要求比他高的客 体，这可能会导致重写己存在的客体，破坏信息的完整性，所以为了完整性要求 规定了限制写规则。 限制写规则：当满足以h s ) = l ( o ) ，主体s 可以写对象o 。 在强制访问控制中，主体和客体的安全标识是由系统安全管理员配置的。除 了系统安全管理员外，用户无权改动。因此，强制访问控制模式的安全性管理是 集中管理的。这样防止了用户滥用权限。 强制访问控制( m a c ) 确保了在即使有特洛伊木马的情况下，信息也仅将按照 由安全标识组成的格的方向流动r 即保证信息从低层次的安全标识处流向高层次的 安全标识处) ，从而可抵制特洛伊木马的攻击。 m a c 的不足主要表现在两个方面：应用的领域比较窄，使用不灵活，一般只 用于军方等具有明显的等级观念的行业或领域，在经济领域中，m a c 的应用并不 是很多；整性方面控制不够，它重点强调信息的向高安全级的方向流动，对高安 全级信息的完整性保护强调不够。 4 2 3 基于角色的访问控制2 2 】 2 3 】 随着计算机信息系统在非军用领域得到更为广