访问控制技术研究及应用.docx
- 文档编号:25546951
- 上传时间:2023-06-09
- 格式:DOCX
- 页数:64
- 大小:419.99KB
访问控制技术研究及应用.docx
《访问控制技术研究及应用.docx》由会员分享,可在线阅读,更多相关《访问控制技术研究及应用.docx(64页珍藏版)》请在冰豆网上搜索。
访问控制技术研究及应用
湖南大学
硕士学位论文
访问控制技术研究及应用
姓名:
尹绍锋
申请学位级别:
硕士
专业:
软件工程
指导教师:
杨贯中;杨志新
20081001
摘要
访问控制技术是构成信息安全体系不可缺少的重要组成部分。
随着信息化进程的深化,尤其是网络应用的迅速増加,信息系统的用户规模在不断膨胀。
传统的访问控制技术采用人工方式实现对访问控制体系运行期的维护。
当访问控制体系变得庞大时,这种维护方式错误率会增高、维护变得困难、运行成本也随着增长起来。
本文希望构建ー种能够适用于大用户数信息系统的访问控制体系,使之运行期的维护工作变得简化。
本文一方面对现有访问控制技术,尤其对基于角色访问控制技术,进行了学习、研究。
熟悉掌握了该领域中的各种概念,对比了各种技术在用户管理上的实现模式,分析这些模式对大用户量管理的支持。
同时,对访问控制体系的维护管理,尤其是运行期的用户管理与用户授权管理这两项工作进行了研究。
从多个角度分析运行期期的维护逻辑与业务逻辑之间的关系,发现在多数.管理信息系统中,用户的权限与业务体系中的信息有着一定的依存关系,提出可以依靠业务系统的信息来驱动访问控制体系的权限分配的思想。
基于此,作者提出了一种自适应的访问控制技术,在ー些应用范围内,该技术能够自动适应业务部分的变化,完成用户授权的控制,从而简化访问控制机制运行期的维护管理。
通过对基于角色访问控制模型的开放性及可扩展性的分析,以基于角色访问控制模型为基础,构建出自适应访问控制模型。
并从技术实现与开发成本等角度分析讨论了该访问控制技术的可行性。
最后,将自适应的访问控制技术在ー个高校人事管理系统中进行了应用。
该应用以人事业务为基础,对自适应模块进行了实现,使该系统具备了对用户及其权限进行自维护的能力,解决了人工管理可能存在的问题。
通过实际应用,一方面,通过实例验证了自适应访问控制技术实现的可行性,同时也明确了访问控制体系下ー步的研究方向。
关键词:
信息安全;访问控制;维护;自适应
Abstract
Accesscontroltechnologytakesavitalpartinthesafetyofinformationsystem.Withthepopularizationoftheinformationsystemandespeciallytherapidincreaseorinternetapplication,thesizeofusersmaccesscontrolsystemneededtobesupervisedisincreasingfast.Sotoadministratethelargenumberofusersbythetraditionalpureman-managedwayismoreandmoredifficult.Andthisresearchisintendedtofindanaccesscontrolsystemwhichcanbeusedbytheinformationsystemwithlargenumberofusers.
Theauthorfirstmadeacarefulanddeeplystudyoftheexistingaccesscontrolsystems.Duringtheprocess,somecertainkindsofrepresentativeaccesscontroltechnologieswereconsultedbytheauthortoanalyzetheprinciplesofachievingaccesscontroltechnology.Theauthormasteredtheorientationandeffectofthesedefinitionsinaccesscontrolsystem.Theauthorbelievedthattheruleofauthorityhadlottodowithitsapplyingsituation,andthisrulecouldbeexistedtheapplyingsituationofaccesscontrol,fheauthorfoundthattherewasarelationshipofleadingandconcludingbetweentheauthorityofusersandstatisticinformationintheoperationsystem.Sotheauthorcameupwiththeintellectualizedaccesscontroltechnologybasedontheseresearches,whichaimedtoconstructanintellectualizedcontrolmodelbyintroducinganintellectualizedmodelintherole-basedaccesscontrolsystem.AndthisAuto-adaptAccessControltechnologyanditspossibilitywerediscussedfroetheangleoftechnologyachievementandcost.
Atlast,asetofAuto-adaptAccessControlsystemwasappliedinthepersonnelmanagementinanuniversity.Thiswasbasedonthepersonneloperation,andachievedtheAuto-adaptmodel,tomakethesystemcancorrectlyassignthemanagementoftheusersandtheirauthority.Anditsolvedthecountlessproblemswhichwerecausedbyman-managedadministration.Bytheapplicationofthissystem,thepossibility,meritsanddemeritsoftheintellectualizedaccesscontrolsystemhasbeenprovedpreliminarilyononehand,anditestablishedthebasisforthefurtherresearchontheotherhand.
Keywords:
InformationSecurity;AccessControl;Maintenance;Auto-adapt
插图索引
图1.1RB-RBAC图4
图2.1访问控制矩阵图:
7
图2.2RBAC96模型四个子模型之间的关系图9
图2.3RBAC96模型中RBAC3模型图10
图2.4RBAC97模型图11
图3.1自适应访问控制模型图16
图3.2用户自适应管理模块图16
图3.3授权自适应管理模块图17
图3.4岗位与系统身份图18
图3.5访问控制体系维护示意图19
图3.6维护成本时间关系图21
图3.7自适应访问控制系统框架图22
图3.8基于人事业务的自适应访问控制管理流程示意图23
图3.9用户行为管理图23
图4.1人事管理信息系统业务功能模块简图26
图4.2系统用户继承关系图26
图4.3自适应访问控制子系統体系结构图29
图4.4人事管理信息系统体系结构图29
图4.5角色、许可管理类图32
图4.6用户管理类图34
图4.7用户角色与菜单示意图38
图4.8输入界面生成序列图38
图4.9用户登录序列图39
图4.10访问控制许可管理界面图40
图4.11身份管理界面图40
图4.12粒度管理界面图41
ill
附表索引
表4.1许可表31
表4.2#色表32
表4.3用户表33
表4.4职员基本信息表33
表4.5身份描ki表35
表4.6粒度描述表37
湖南大学
学位论文原创性声明
本人郑重声明:
所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。
除了文中特別加以标注引用的内容外,本论文不包含任何其它个人或集体已经发表或撰写的成果作品。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律后果由本人承担。
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的規定,同意学校保留井向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权湖南大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
本学位论文属于
1、保密□,在_年解密后适用本授权书。
2、不保密口。
(请在以上相应方框内打“十’)
円期:
:
^8:
年/ム月/n
円期:
ルパ/Wi,日
第1章绪论
1.1研究背景
信息化不仅在科技、经济、社会等各个领域中强有力的支持者现代化建设进程,而且在人类物质文明和精神文件的整体上引导着世界发展m。
在信息化建设飞速发展的同时,信息化安全中的访问控制技术,随着信息系统规模的快速增长,也面临着严峻的考验,这些问题主要体现在人工维护存在处理速度慢、管理成本高、风险高,以及相关的信息管理人员缺乏。
现在的计算机系統得用户量随着网络应用推广在迅速增长[2],其规模已经轻易突破千计,而且十万、百万用户量的系统也变得普遍起来,在这种用户量情况下,单靠人工来管理,完成用户的注册、维护以及用户的授权管理,简直是不可能的事情。
譬如说有些网站论坛,拥有上百万的用户量,而且为了改善用户体验,会根据用户的发帖情况,动态的为用户改变在论坛的权限,如有的用户能够发起投票,有的用户能够下载资源。
要实现这些个性的用户体验,那么就要対数百万的用户发帖的情况进行统计,按照各种规则进行积分计算,根据用户的ー些行为设定用户的状态,假设处理ー个用户需要一分钟时间,那么ー个管理员需要不间断的处理差不多两年。
因此,人工的处理速度是限制信息系统拓展的一个瓶颈,要管理更加大量的用户,访问控制体系在用户维护和授权管理上,应该以计算机为主,人工管理为辅,将大量的工作交由计算机完成。
管理信息系统是现实业务体系的ー个虚拟再现,在这个虚拟体系中,用户可以通过扮演系统设定的角色,行使一定的权力。
如人事管理信息系统中,有的用户可以进行职エ的新增、エ资的变动。
可以想象,一旦人员授权出了问题,那么有可能职エ的エ资信息会被随意的篡改,単位的人员数据会发生混乱,这些会直接影响单位的运作。
就目前的实际人事管理情况来看,大的单位会设置ー个髙层的人事管理机构,如人力资源部,对应的,每个ニ级单位会设置人事干事岗位,人力资源处负责宏观的人事管理,人事干事负责具体的人事实施。
这种分级的管理模式,正是因为人工存在的管理能力和掌握信息能力的限制而必须采取的ー种办法,因为ー个人能够处理的事情是有限的,能够掌握的信息也是有限的,当人的管理达到极限了,就只能进行工作的分解,将ー项工作分解个不同的入来完成。
如果信息系统也按照上述方式来实现管理的话,势必存在安全风险增加、运行成本提高的问题。
首先,这种做法需要设置更多的信息安全员,那么发生错误的几率会随着人员的增加而增加,导致潜在的风险上升;而且信息安全员的培养与管理是需要成本的[3],一下要新增几十个信息安全员,对于一些传统的事业单位
来说,是ー个很难解决的问题。
国家信息中心副主任、中国信息协会常务副会长胡小明在其《三大障碍制约我国信息化进程》一文中指出:
我国信息化建设还面临专业人才严重不足的问题⑷。
据调查显示,从2005年至今,中国IT支出以18.5%的年复合增长率高速增长,中国IT市场将迎來又ー个“黄金年代”,在信息化发展势头带动下,我国信息化管理人才缺乏已经成为制约信息化发展“最短的那块木板”,而企业对信息化的需求持续快速增长,也刺激了IT管理咨询业的发展。
业内人士认为,现在越来越多的企业开始寻找IT管理人才,在网上企业需求中,这ー职位也是居高不下。
目前企业面临的竞争円益激烈,要求有更快的反应速度和应对变化调整的快速协调能力,而企业IT信息管理系统在公司生存和发展整个过程中相当于公司的大脑和神经中枢,它们的作用自然不可忽略。
在一次企业信息化的问卷调查中,80%的企业都将“缺乏人才”列为信息化的主要困难[5]。
全国有2600万家企业,假设需要实施信息化系統的企业有600万家,我们可以看出IT管理人才是ー个很大的需求。
访问控制管理是信息系统中的ー个重要组成部分,是管理信息系统必不可少的组成部分。
同时,信息化技术的不断普及,管理信息系统设计的业务领域R益广泛,这就需要更加多的人来參与使用,于是,管理信息系统的用户群体也越来越大,ー个普通的系统可能就有几千用户,而ー些大型的公共应用,用户量更是以百万计。
相对于管理信息系统中的其他与业务相关的功能,访问控制的管理更加抽象,更加难以被非专业人士理解、使用。
在信息化的建设过程中,培养、建设ー支专业的信息管理队伍固然是ー个根本性的解决方案。
但培养人才周期长,投入大,而信息化建设又不能因为人员的不到位而延误。
因此,在进行信息化建设的过程中,尽量降低系统的使用门槛,増加系统的自动化程度,降低对使用人员的专业技术要求,也是加速信息化建设的一个有效方案。
1.2国内外研究现状
1.2.1访问控制技术研究状况
访问控制概念是20世纪70年代提出的,该技术用于有效地防止非法用户访问系统资源和合法用户非法使用资源[6]。
美国国防部在1983年公布的计算机系统安全性的标准DepartmentofDefenseTrustedComputerSystemEvaluationCriteria(“橘皮书’’)中[7],明确提出了访问控制在计算机安全系统中的重要作用[8】。
在商业、金融和国防等领域的网络应用中,能否保证网络具有足够的安全性是第一位的问题。
为此,国际标准化组织ISO在其网络安全体系的设计标准(IS07498-2)中,定义了五大安全服务功能[9】:
身份认证服务、访问控制服务、数据保密服务、数据
完整性服务、不可否认服务。
作为五大服务之ー的访问控制服务,在网络安全体系结构中具有不可替代的作用。
它可以限制对关键资源的访问,防止非法用户的侵入或合法用户的不慎操作所造成的破坏。
现在最具代表性的访问控制技术当属20世纪90年代初,由美国国家标准技术研究院NIST(NationalInstituteofStandardsandTechno丨ogy)组织研究的基于角色的访问控制技术(RBAC:
Ro丨e-BaseAccessControl)。
具有代表性的访问控制技术还有自主访问控制技术[12](DAC:
DiscretionaryAccessControl)和强制访问控制技术[丨(MAC:
MandatoryAccessControl)。
我国国家级别的信息安全研究主要集中在安全协议、密码学领域。
如中国科学院信息安全技术工程研究中心主要就是研究安全协议、安全模型形式化分析;信息安全国家重点实验室研究方向主要为密码理论与技术、安全协议理论与技木、信息対抗理论与技术及网络与系统安全。
但是其他学术团体或个人在访问控制领域做了大量的理论研究和应用探索。
华东理工大学顾春华等人提出一种基于委托逻辑的协作环境访问控制模型(DLBAC:
DelegationLogicBasedAC)[13】。
委托逻辑用一种信任管理语言[14】,它基于逻辑语言来表示访问策略、请求和凭证,并在企业间传递访问控制信息,实现协作环境的访问控制。
该模型将凭证、RBAC元素和访问策略转化为统ー的委托逻辑规则。
引入了访问控制单元的概念来表示ー个访问控制系统,并且定义了标准的规则传递接ロ,将跨实体企业的访问控制转换成企业内部传统的访问控制。
这个访问控制模型既能保护企业资源的安全,同时又能实现协作环境内的资源共享。
四级访问控制策略[15]。
西南大学、武汉理工大学郭靖等人在研究了RBAC96模型后,针对其用户-角色-权限的三级访问控制策略的缺陷以及工作流管理系统突出活动的特性,在传统的RBAC96模型中引入活动、上下文和柔性角色解析等概念,提出了ー种工作流管理系统中基于用户-角色-活动-权限的四级访问控制策略,提高了工作流管理系统的动态适应性、安全性和实用性.
山东大学、山东理工大学王进等人在国家863高技术研究发展项目中提出了ー套电子现金系统的RBAC管理方案[|6]。
在这个解决方案中,他们指出在基于电子现金的网络支付方案中,交易过程相关的多个实体有不同类型的权限和访问标准,如果各自进行安全管理,会使得整个系统的维护协调有很大难度。
因此,横跨多个实体的权限管理带來了额外的安全性挑战。
于是他们分析了基于RBAC的电子现金系统的权限管理策略,通过基于常规角色的授权实现了对电子现金系统内多个实体的访问控制,并设置与常规角色互斥的管理角色实现系统的分布式自行管理。
目前对访问控制技术的研究大量集中在将访问控制模型应用在各种具体的业
务场景中,或者针对模型的某些特性进行优化来改善其在特定访问控制方面的需求。
这些都是基于RBAC这个大框架的,所有的研究都是对已有的框架元素的裁剪,这些研究都很好的满足了业务领域的需求,为各种场景下访问控制的实现作出了有益的尝试,积累了丰富的实施经验和參考数据。
1.2.2访问控制体系维护管理现状
当访问控制所应用的系统丌始变得复杂而且庞大的时候,人们丌始关注访问控制体系本身的维护问题了。
通过提供更好的辅助手段来改善人工管理的技术显然都难以满足这种需求,人工方式不可能达到机器的精确程度,尤其在面对大量枯燥并且复杂的操作的时候,人工管理的成本和可靠性状况都随着用户量的迅速扩张而急速的恶化。
寻找ー种方法,使用计算机软件来代替人工操作是改善这种情况最彻底的解决方案。
事实上,很多大型企业在其管理系统中都实现了自维护的访问控制体系,这些系统将绝大部分的访问控制体系的维护工作交给了软件系统完成,这些系统的自动化程度达到了90%〜95%左右。
实事上基于角色的访问控制模型在设计初期就具有了对复杂授权及大规模的用户管理的机制。
但是缺乏了相应的手段来支持对大规模用户管理机制的维护。
因此Sandhu等人开始研究访问控制的自维护技术,他们的重点在于维护工作中エ作量最大的用户角色分配部分,并提出了一种基于属性的用户角色分配模型:
基于规则的RBAC模型[17】(RB-RBAC:
Rule-BaseRBAC),在该模型中,作者提出可以通过定义规则来描述用户与角色之间的关系,即能够利用规则来推理能够分配给用户的角色。
RB-RBAC的主要元素关系如图1.5。
图1.1RB-RBAC图
其中U、R、P的设置都是源自RBAC96模型。
在RB-RBAC模型中,企业领
域的安全规则通过ー组授权规则的形式定义。
每ー个规则都被描述成ー个带属性输入的表达式,通过该表达式可以很好的计算出一个用户在当前情况下应该被分配的一个或者多个角色。
在这个表达式的左边,是ー个基于属性的表达式,而表达式的右边则说明了当表达式满足时,可以被分配的角色集合。
授权规则具有如下形式:
rulek:
aek=>{rl,...,rn},其中aek是一个属性表达式,rl,…,m是可分配角色。
如果用户满足aek,则该用户就会被自动分配角色rl,…,rn。
属性表达式确定了ー个满足具体条件的用户集合。
RB-RBAC模型允许定义否定形式的授权规则,如aek=>ri,表示如果用户满足aek,则禁止该用户获得角色ri。
授权规则定义了满足某个属性表达式的用户集合以及这些用户可以被分配的ー个角
色或者多个角色。
RB-RBAC模型为自动的为系统用户分配角色权限提供了理论支持。
为了更好的将这种机制应用于系统中,甚至定义标准的规则解析模块,我们需要建立ー套应用层面规则、属性表达式的定义语S体系。
基于这种定义语言构建的规则和表达式体系将具有良好的共享性。
1.3本文主要工作
本文主要的研究目的是解决目前具有较大用户量的信息化系統中的访问控制体系的应用问题。
实践证明,在目前的信息系统中,依靠单个信息安全员已经难以维持访问控制体系的运作,通过增加信息安全员又存在运行成本提高、潜在风险加大的问题,而且很多事业化单位还存在信息化管理员匮乏的问题。
人工管理已经难以解决上述问题,作者认为通过设计ー种自适应访问控制体系,将访问控制运行期的维护工作,又系统自动进行,是解决这些问题的途径。
为此开展了如下工作:
1.认真学习研究了现有的几种具有代表性的访问捽制技术。
在这ー环节中,对各种具有代表性的访问控制技术中各种理论、概念进行了充分的学习。
尤其是基于角色访问控制技术进行了分析,掌握了访问控制的实现机理。
并以基于角色的访问控制技术为主要研究対象,分析了访问控制运行期间对用户授权的管理,找出了目前访问控制技术在用户及用户授权管理中存在的问题。
2.认真研究了业务领域中权限策略与业务领域之间的关系,提出了自适应访问控制技术。
在对访问控制体系的授权管理进行了充分的了解后,作者将访问控制体系中的元素与业务领域元素之间的关系进行了多角度的研究,特别是角色的建设与诸如组织机构设置之间的关系,对影响用户权限的各种因素进行了归纳,建立起这些因素在业务系統中的推衍规则,在此规则上提出了自适应访问控制技术的概念,在基于角色访问控制模型上扩展出自适应访问控制模型。
并设计了一套针对访问控制技术的成本模型,按照这个模型对人工和自适应管理模式的运行维护成本进行了対比,为自适应访问控制的优越性做出了定性分析。
3.将自适应访问控制技术在高校人事系统中进行了应用。
通过在该系统的应用,对自适应访问控制技术的可行性进行了验证。
1.4本文的组织结构
本文共分为四个大的章节:
第一章主要对访问控制技术的发展和当前的研究状況作了一个简单的叙述。
第二章主要对主要的几种访问控制技术进行了说明,并且对访问控制技术中
的ー些重要的概念进行分析研究。
第三章主要在对现有的访问控制技术研究的基础上,提出ー个自适应访问控制模型,并对模型的实现以及与现有访问控制优缺点做了対比。
第四章主要通过ー个高校人事管理系统进行应用性测试,按照上述观点进行设计实现,检测使用效果。
最后对本次研究成果进行总结,对不足和待改进的地方进行总计分析,为下ー步的工作确定初步方向。
第2章访问控制技术
在这一章里,首先对几种典型技术进行介绍。
然后对访问控制技术进行了分祈,找出构成访问控制体系的关键概念及行为,以及这些概念和行为在访问控制技
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 访问 控制 技术研究 应用