（計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)論文）基于rbac的java通用權(quán)限控制框架研究與設(shè)計(jì).pdf

- _ _ _ _ - _ _ _ _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ _ 。_ _ - 迂：。工c 三 f r 0 ， 少 獨(dú)創(chuàng)性聲明 哪i f f lfli r f l l f f lllrflll r l l l l f l l ll llfll 、i18 0 2 5 8 9 本人聲明所呈交的學(xué)位論文是本人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工 作及取得的研究成果。據(jù)我所知，除了文中特別加以標(biāo)注和致謝的地 方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含 為獲得電子科技大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書而使用過的材料。 與我一同工作的同志對(duì)本研究所做的任何貢獻(xiàn)均己在論文中作了明 確的說明并表示謝意。 簽名： 翌埤 日期：弘，口年f 月療日 論文使用授權(quán) 本學(xué)位論文作者完全了解電子科技大學(xué)有關(guān)保留、使用學(xué)位論文 的規(guī)定，有權(quán)保留并向國(guó)家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和磁 盤，允許論文被查閱和借閱。本人授權(quán)電子科技大學(xué)可以將學(xué)位論文 的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或 掃描等復(fù)制手段保存、匯編學(xué)位論文。 ( 保密的學(xué)位論文在解密后應(yīng)遵守此規(guī)定) 簽名：里塑 導(dǎo)師簽名：絲! 皇 日期：加。年f 月艿曰 p 戶 摘要 摘要 隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，信息安全問題日益突出。權(quán)限控制是信息安全保 障機(jī)制的核心內(nèi)容，它是實(shí)現(xiàn)系統(tǒng)安全的必要手段。在權(quán)限控制系統(tǒng)的設(shè)計(jì)過程 中，經(jīng)常會(huì)遇到相同的需求，有必要以框架的形式減少重復(fù)勞動(dòng)，方便開發(fā)與維 護(hù)。 本文針對(duì)當(dāng)前j a v a 開發(fā)領(lǐng)域中，使用的權(quán)限控制框架存在的缺乏通用性這一 問題，提出了一種基于r b a c 模型的通用權(quán)限控制框架，它提供了多認(rèn)證模塊間 的切換，并采用了大量的信息安全相關(guān)技術(shù)。主要解決了現(xiàn)有的權(quán)限控制框架中 存在的如下缺陷：基于特定的應(yīng)用框架或應(yīng)用服務(wù)器，利用它們開發(fā)的權(quán)限控制 系統(tǒng)無法實(shí)現(xiàn)代碼遷移；基于特定的應(yīng)用開發(fā)模型；權(quán)限管理系統(tǒng)間的集成存在問 題，難以實(shí)現(xiàn)單點(diǎn)登錄：權(quán)限控制的粒度不夠；授權(quán)模型和實(shí)際工程脫鉤；配置復(fù) 雜或者應(yīng)用接口復(fù)雜等。 論文的研究?jī)?nèi)容有：現(xiàn)有的三種權(quán)限控制策略的優(yōu)劣；r b a c 模型的優(yōu)勢(shì)及 框架采用這一模型的原因；p a m 可插拔認(rèn)證模型的概述；權(quán)限控制框架相關(guān)的密 碼算法和安全協(xié)議總述；對(duì)現(xiàn)有的j a a s ，s p r i n gs e c u r i t y ，j b o s ss x 框架的認(rèn)證授 權(quán)過程的分析，闡述其設(shè)計(jì)上的優(yōu)點(diǎn)并予以采納。同時(shí)，也分析了這些框架存在 的不足，并致力于改進(jìn)。在理論準(zhǔn)備的基礎(chǔ)上，進(jìn)行框架的總體設(shè)計(jì)和詳細(xì)實(shí)現(xiàn)。 框架的總體設(shè)計(jì)采取了先編寫接口，再詳細(xì)實(shí)現(xiàn)的方式。主要遵循：不依賴 特定應(yīng)用框架或服務(wù)器以支持代碼遷移；使用簡(jiǎn)單j a v a 類以支持異構(gòu)系統(tǒng)訪問； 使用統(tǒng)一的會(huì)話接口以支持單點(diǎn)登錄；提供可控制的授權(quán)粒度；采用多種密碼算 法及協(xié)議保證安全；設(shè)計(jì)簡(jiǎn)單；盡量避免框架的侵入性等原則。框架擬定了多個(gè) 接口以支持r b a c 模型和p a m 模型。對(duì)每一核心接口，論文都進(jìn)行了詳細(xì)的闡述。 在總體設(shè)計(jì)的基礎(chǔ)上，進(jìn)行了通用權(quán)限控制框架關(guān)鍵部分的實(shí)現(xiàn)。論文闡述了詳 細(xì)的實(shí)現(xiàn)過程。為了方便應(yīng)用開發(fā)人員使用，也討論了相關(guān)的w e b 支持，面向切 面等應(yīng)用編程接口。 論文最后，給出了使用通用權(quán)限控制框架的代碼示例，分析其執(zhí)行流程，通 過實(shí)驗(yàn)證明通用權(quán)限控制框架的設(shè)計(jì)是正確可行的，具備實(shí)際的工程價(jià)值。 關(guān)鍵字：r b a c ，p a m ，權(quán)限控制框架，j a v a 。 - a b s t r a c t a bs t r a c t w i t ht h er a p i dd e v e l o p m e n to fn e t w o r kt e c h n o l o g y , i n f o r m a t i o ns e c u r i t yi s s u e s b e c o m em o r ea n dm o r ep r o m i n e n t a c c e s sc o n t r o li st h ec o r ep r i n c i p a lo fi n f o r m a t i o n s e c u r i t ym e c h a n i s m s ；i ti san e c e s s a r ym e a n s t op r o t e c ts y s t e mf r o mi n v a l i du s e i nt h e d e s i g np r o c e s so fa c c e s sc o n t r o lm o d u l e ，d e v e l o p e r so f t e ne x p e r i e n c e t h es a m ed e m a n d ， i ti sn e c e s s a r yt oc o n s t r u c taf r a m e w o r kt or e d u c ed u p l i c a t i o no fe f f o r t ，f a c i l i t a t et h e d e v e l o p m e n ta n dm a i n t e n a n c e i nt h ej a v ad e v e l o p m e n ta r e a s ，a l la c c e s sc o n t r o lf r a m e w o r k se x i s t e da l w a y sl a c k o fg e n e r a la v a i l i b i t y , t h a t sag r e a tp r o b l e m t h i sm a s t e rd i s s e r t a t i o np r o p o s e da g e n e r a l p u r p o s ec c e s sc o n t r o lf r a m e w o r k w h i c hb a s e do nr b a c m o d e l t h ef r a m e w o r k p r o v i d e ss w i t c ha b i l i t yb e t w e e na n u m b e ro fa u t h e n t i c a t i o nm o d u l ea n du s e sl o t so f t e c h n o l o g i e sr e l a t e dt oi n f o r m a t i o ns e c u r i t y t h ef r a m e w o r kd o e si t se f f o r tt os o l v e f o l l o w i n gd e f i c i e n c i e sw h i c he x i s t si nt h ee x i s t i n ga c c e s sc o n t r o lf r a m e w o r k ：b a s e do n t h es p e c i f i ca p p l i c a t i o nf r a m e w o r ko ra p p l i c a t i o ns e r v e r , a c c e s sc o n t r o ls y s t e mw h i c h d e v e l o p e df r o mt h e m i su n a b l et oa c h i e v et h ec o d em i g r a t i o n ；b a s e do ns p e c i f i c a p p l i c a t i o nd e v e l o p m e n tm o d e l ；p r o b l e m so c c u r r e dw h e nt r y i n gt oi n t e g r a t et h e s ef i g h t s m a n a g e m e n ts y s t e m ，i ti sd i f f i c u l tt oa c h i e v es i n g l es i g n o n ；a c c e s sc o n t r o lg r a n u l a r i t y i sn o te n o u g h ；m o d e la n dt h ea c t u a lp r o je c td e c o u p l i n g ；a p p l i c a t i o ni n t e r f a c ef o r c o n f i g u r a t i o ni st o oc o m p l e xo rc o m p l i c a t e d c o n t e n t so ft h i sr e s e a r c hp a p e ri n c l u d e ：t h ea d v a n t a g e sa n dd i s a d v a n t a g e so ft h r e e t y p e so f a c c e s sc o n t r o lp o l i c i e s ；s t r o n gp o i n t so ft h er b a cm o d e la n dw h yf r a m e w o r k a d o p ti t ；p a mp l u g g a b l ea u t h e n t i c a t i o nm o d e lo v e r v i e w ；c r y p t o g r a p h i ca l g o r i t h m sa n d s e c u r i t yp r o t o c o l sr e l a t e dt oa c c e s sc o n t r o lf r a m e w o r ko v e r v i e w ；a u t h e n t i c a t i o na n d a u t h o r i z a t i o np r o c e s sa n a l y s i so f t h ej a a s ，s p r i n gs e c u r i t y , j b o s ss xf r a m e w o r kt o e x p l a i nt h ea d v a n t a g e so ft h e i rd e s i g n a tt h es a m et i m e ，i ta n a l y z e st h es h o r t c o m i n g so f t h e s ef r a m e w o r k s ，a n dt r i e st oi m p r o v e o nt h eb a s i so ft h et h e o r e t i c a lp r e p a r a t i o n ，t h e o v e r a l ld e s i g na n dd e t a i l e di m p l e m e n t a t i o no ft h ef r a m e w o r kc o n t i n u e s t h eo v e r a l ld e s i g no ft h ef r a m e w o r ka d o p t so n em e t h o d o l o g yw h i c hp r e p a r e st h e i n t e r f a c ef i r s t l y , a n dt h e nd e t a i l e dt ob ea c h i e v e d i tm a i n l yf o l l o w st h e s ep r i n c i p a l s ：d o a b s t r a c t 一 n o tr e l yo nas p e c i f i ca p p l i c a t i o nf r a m e w o r ko rs e r v e rt os u p p o r tc o d e m i g r a t i o n ；u s i n g as i m p l ej a v ac l a s st os u p p o r ta c c e s st oh e t e r o g e n e o u ss y s t e m s ；t h eu s eo f au n i f i e d s e s s i o ni no r d e rt os u p p o r t s i n g l es i g n - o n ：t op r o v i d et h ea u t h o r i t yt oc o n t r o lp a r t i c l e m z e ；u s i n gav a r i e t yo fc r y p t o g r a p h i ca l g o r i t h m sa n da g r e e m e n t st oe n s u r es a f e t y ； d e s i g n e dt ob es i m p l e ；t r yt oa v o i dt h ei n v a s i v en a t u r eo ft h ep r i n c i p l e so ft h e f r a m e w o r k f r a m e w o r kd e v e l o p e dan u m b e ro fi n t e r f a c e st os u p p o r tt h er b a c m o d e l a n dt h ep a mm o d e l f o re a c hc o r ei n t e r f a c e ，p a p e r sh a v e c a r r i e do u ti nd e t m l a f t e rt h e o v e r a l ld e s i g n ，k e yp a r t so fa c c e s sc o n t r o lf r a m e w o r k i m p l e m e n t a t i o na r ed e s c r i b e d t h ep a p e rd e s c r i b e di nd e t a i lt h ei m p l e m e n t a t i o n p r o c e s s t of a c i l i t a t et h ea p p l i c a t i o n d e v e l o p e r st ou s e ，a l s od i s c u s s e dt h er e l a t e dw e bs u p p o r ta p p l i c a t i o n sa n d a s p e c t o r i e n t e dp r o g r a m m i n gt e c h n o l o g y f i n a l l y , d i s s e r t a i o ns i m p l e l yi n t r o d u c e st h eu s eo f g e n e r a l p u r p o s ea c c e s sc o n t r o l f r a m e w o r k ，ac o d es a m p l ei sg i v e n ，a n a l y z ei t si m p l e m e n t a t i o n p r o c e s s ，a n dt h r o u g ht h e e x p e r i m e n t s ，d e s i g no fg e n e r a l p u r p o s ea c c e s sc o n t r o lf r a m e w o r ki sp r o v e dt ob e c o r r e c ta n df e a s i b l e ，w i t ht h ea c t u a lv a l u ei nt h ea p p l i c a t o n d e v e l o p m e n t k e yw o r d s ：r b a c ，p a m ，a c c e s sc o n t r o l ，f r a m e w o r k ，j a v a i l l 目錄 目錄 第一章引言：1 1 1 研究背景1 1 2 國(guó)內(nèi)外研究現(xiàn)狀1 1 3 研究?jī)?nèi)容及意義2 1 4 論文組織3 1 5 本章小結(jié)3 第二章訪問控制理論模型與安全相關(guān)技術(shù)4 2 1r b a c 理論模型簡(jiǎn)介一4 2 1 1 訪問控制策略4 2 1 2 基于角色的訪問控制概述6 2 1 3 基于角色的訪問控制特點(diǎn)6 2 1 4 基于角色的訪問控制模型7 2 2 插件式認(rèn)證模型8 2 2 1p a m 框架結(jié)構(gòu)9 2 2 2p a ma p i 9 2 2 3p a m 配置管理1o 2 2 4 口令映射1 1 2 3 身份認(rèn)證技術(shù)11 2 3 1 基于口令的認(rèn)證機(jī)制1 1 2 3 2 基于挑戰(zhàn)應(yīng)答的認(rèn)證機(jī)制1 1 2 3 1 3 基于k e r b e r o s 的身份認(rèn)證機(jī)制1 2 2 3 4 基于x 5 0 9 證書的身份認(rèn)證機(jī)制12 2 3 5 基于智能卡的身份認(rèn)證機(jī)制1 2 2 3 6 基于生物特征識(shí)別的身份認(rèn)證機(jī)制13 2 4 數(shù)據(jù)加密技術(shù)簡(jiǎn)介1 3 2 4 1 消息摘要13 2 4 2 消息驗(yàn)證碼1 3 2 4 3 數(shù)字簽名l5 i v 目錄 2 4 4 對(duì)稱加密15 2 4 5 非對(duì)稱加密15 2 4 6 密鑰存儲(chǔ)1 6 2 5 安全套接字層s s l t l s 簡(jiǎn)介一18 2 5 1s s l 記錄協(xié)議18 2 5 2s s l 握手協(xié)議19 2 6h t t p s 19 2 7 本章小結(jié)1 9 第三章現(xiàn)有權(quán)限控制框架的分析2 1 3 1j a v a 自身的安全性2 1 3 2j a v a 認(rèn)證與授權(quán)服務(wù)2 2 3 2 1j a a s 認(rèn)證2 2 3 2 2j a a s 授權(quán)2 3 3 2 3j a a s 優(yōu)缺點(diǎn)2 4 ：；：；s p r i n gs e c u r i t y 2 5 3 3 1s p i n gs e c u r i t y 權(quán)限控制過程2 5 3 3 2s p r i n gs e c u r i t y 的缺陷2 6 ：；4j b o s s s x 2 7 3 4 1j b o s ss x 框架權(quán)限控制原理2 7 3 4 2j b o s ss x 缺陷2 8 3 5 本章小結(jié)2 8 第四章通用權(quán)限控制框架總體設(shè)計(jì)2 9 4 1 訪問權(quán)限控制規(guī)則設(shè)計(jì)_ 2 9 4 2 通用權(quán)限控制框架設(shè)計(jì)目標(biāo)3 0 4 3 通用權(quán)限控制框架核心架構(gòu)3 2 4 4 核心接口3 4 4 4 1 安全管理器s e c u r i t y m a n a g e r 設(shè)計(jì)3 4 4 4 2 安全域接口d o m a i n 設(shè)計(jì)3 8 4 2 3 用戶接口a c c o u n t 設(shè)計(jì)4 1 4 2 4 角色接口r o l e 設(shè)計(jì)4 2 4 2 5 權(quán)限接口p e r m i s s i o n 設(shè)計(jì)4 3 4 2 6 特征接i = 1p r i n c i p a l c o l l e c t i o n 設(shè)計(jì)4 4 v 目錄 4 2 7 憑據(jù)匹配接口c r e d e n t i a l s m a t c h c h e c k 設(shè)計(jì)4 5 4 2 8 會(huì)話接口s e s s i o n 設(shè)計(jì)4 6 4 5 輔助接口4 8 4 5 1 加密接口4 8 4 5 2 消息摘要4 9 4 5 3 提供w e b 支持5 0 4 5 4 對(duì)面向切面的支持5 0 4 6 應(yīng)用接口5 2 4 6 1 用戶接1 2 1s u b j e c t 設(shè)計(jì)5 2 4 6 2 安全上下文助手類s e c u r i t y r c o n t e x t 設(shè)計(jì)5 5 4 7 本章小結(jié)5 5 第五章通用權(quán)限控制框架詳細(xì)設(shè)計(jì)與實(shí)現(xiàn)5 6 5 1 核心類5 6 5 1 1 安全管理器s e c u r i t y m a n a g e r 實(shí)現(xiàn)5 6 5 1 2 安全域接口d o m a i n 的實(shí)現(xiàn)5 8 5 1 3 用戶接口a c c o u n t 實(shí)現(xiàn)6 1 5 1 4 角色接口r o l e 實(shí)現(xiàn)6 2 5 1 5 權(quán)限接口p e r m i s s i o n 實(shí)現(xiàn)6 2 5 1 6 特征接口p d n c i p a l c o l l e c t i o n 實(shí)現(xiàn)6 2 5 1 7 憑據(jù)匹配接口c r e d e n t i a l m a t c h c h e c k 實(shí)現(xiàn)6 3 5 1 8 會(huì)話接口s e s s i o n 實(shí)現(xiàn)6 5 5 2 輔助類6 6 5 2 1 加密6 6 5 2 2 消息摘要6 6 5 2 3w e b 支持6 7 5 2 4 面向切面6 9 5 2 5 幫助工具7 1 5 3 應(yīng)用接口7 1 5 3 1 用戶接1 3s u b j e c t 實(shí)現(xiàn)7 1 5 3 2 適配器層7 1 5 4 應(yīng)用示例7 1 5 5 本章小結(jié)7 6 v i 目錄 第六章總結(jié)和下一步的工作7 7 致謝7 9 參考文獻(xiàn)8 0 第一章引言 1 1 研究背景 第一章引言 隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，信息安全問題日益突出。電子政務(wù)，電子商務(wù)以 及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)的運(yùn)行過程中不但需要保護(hù)資源免受攻擊，更需要給適當(dāng)?shù)?訪問者提供對(duì)應(yīng)的服務(wù)。為保證這些目標(biāo)，系統(tǒng)必須要能夠控制：哪些用戶能夠訪 問系統(tǒng)的資源信息，訪問者訪問的是“什么信息”，使用者對(duì)欲訪問的數(shù)據(jù)擁有什 么樣的“權(quán)限”。權(quán)限控制涉及到兩方面的內(nèi)容：認(rèn)證與授權(quán)。過去的研究主要集 中在驗(yàn)證用戶身份上，即用戶身份的防偽造。在p k i 得到較大規(guī)模應(yīng)用以后，人 們認(rèn)識(shí)到需要超越當(dāng)前p k i 提供的身份驗(yàn)證和機(jī)密性，步入授權(quán)領(lǐng)域，提供信息 環(huán)境的權(quán)限管理將成為下一個(gè)主要目標(biāo)【l 】。 權(quán)限控制是信息安全保障機(jī)制的核心內(nèi)容，它是實(shí)現(xiàn)系統(tǒng)的主要手段。訪問 控制是為了限制訪問主體( 或稱為發(fā)起者，是一個(gè)主動(dòng)的實(shí)體；如用戶、進(jìn)程、服務(wù) 等) ，對(duì)訪問客體( 需要保護(hù)的資源) 的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi) 使用。權(quán)限控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么，及做到什么 程度【2 】。設(shè)計(jì)強(qiáng)健的權(quán)限管理系統(tǒng)，保證管理信息系統(tǒng)的安全性十分重要。 在設(shè)計(jì)權(quán)限控制系統(tǒng)的過程中，不可避免的會(huì)遇到相同的權(quán)限需求，都需要 進(jìn)行實(shí)體認(rèn)證，訪問授權(quán)，并提供數(shù)據(jù)保密性，數(shù)據(jù)完整性等服務(wù)。權(quán)限控制系 統(tǒng)是重復(fù)開發(fā)率很高的模塊，有必要以框架的形式減少重復(fù)勞動(dòng)，方便開發(fā)及維 護(hù)。 1 2 國(guó)內(nèi)外研究現(xiàn)狀 在j a v a 開發(fā)領(lǐng)域，已經(jīng)存在很多基于r b a c 模型的權(quán)限控制框架。這些權(quán)限 控制框架通過用戶與角色，角色與權(quán)限的映射提高系統(tǒng)的可擴(kuò)展性，方便維護(hù)。 框架均將核一t l , 的認(rèn)證和授權(quán)機(jī)制封裝起來，并提供接口供應(yīng)用開發(fā)人員使用。但 這些框架均只解決了部分問題，它們都存在以下一個(gè)或多個(gè)問題： 1 基于特定的應(yīng)用框架或應(yīng)用服務(wù)器，基于它們開發(fā)的權(quán)限控制系統(tǒng)無法實(shí)現(xiàn) 通用；目前最流行的s p r i n gs e c u r i t y 框架，它大量使用了s p r i n g 框架的依賴注入特 電子科技大學(xué)碩+ 學(xué)位論文 性，如果脫離s p r i n g 環(huán)境，就不能正常運(yùn)行。而s p i n g 框架是一個(gè)標(biāo)準(zhǔn)的j a v ae e 輕量級(jí)框架。使用s p r i n gs e c u r i t y 框架，必然將應(yīng)用系統(tǒng)限制在w e b 環(huán)境中。另一 個(gè)權(quán)限控制框架j b o s ss x ，使用j b o s s 服務(wù)器提供的很多服務(wù)。這樣，j b o s s s x 框 架不能脫離j b o s s 應(yīng)用服務(wù)器，在異構(gòu)的環(huán)境中無法使用。 2 基于特定的應(yīng)用開發(fā)模型；上述的s p r i n gs e c u r i t y 框架基于j a v ae e 輕量級(jí) 環(huán)境，j b o s ss x 的環(huán)境為e j b 應(yīng)用系統(tǒng)開發(fā)，兩者都限制了應(yīng)用開發(fā)模型。對(duì)j a v a s e ，異構(gòu)客戶端的訪問沒有提供支持。 3 權(quán)限管理系統(tǒng)間的集成存在問題，難以實(shí)現(xiàn)單點(diǎn)登錄； 4 均使用了自己特定的術(shù)語，增加開發(fā)人員學(xué)習(xí)負(fù)擔(dān)； 5 配置復(fù)雜或者應(yīng)用接口復(fù)雜；j a v a 自身的認(rèn)證授權(quán)框架j a a s ，其目的在于 限制j a v a 代碼訪問運(yùn)行主機(jī)資源的能力，對(duì)應(yīng)用系統(tǒng)中自定義的權(quán)限沒有提供良 好的支持。同時(shí)，它的配置復(fù)雜，接口眾多。不利于開發(fā)人員使用。 這就迫切需要構(gòu)建一個(gè)通用的、完善的、安全的、易于管理的、有良好的可 移植性和擴(kuò)展性的權(quán)限管理框架。通過使用軟件設(shè)計(jì)模式和面向方面的編程方法， 將通用的權(quán)限管理放在框架內(nèi)實(shí)現(xiàn)，而將特殊易變的權(quán)限管理以面向方面編程， x m l 配置等方法實(shí)現(xiàn)。 1 3 研究?jī)?nèi)容及意義 本研究的目標(biāo)是構(gòu)建一個(gè)通用的、完善的、安全的、易于管理的、有良好的 可移植性和擴(kuò)展性的權(quán)限管理框架。它基于r b a c 模型，應(yīng)用于j a v a 開發(fā)領(lǐng)域。 它不依賴某一特定框架或應(yīng)用服務(wù)器，代碼可以通用。不僅可以使用在b s 開發(fā) 中，也可用與c s 開發(fā)模型及r m i 等開發(fā)模型。支持單點(diǎn)登錄。配置簡(jiǎn)單，且使 用難度低。 論文的研究?jī)?nèi)容有： 1 r b a c 權(quán)限管理模型，p a m 認(rèn)證模型的研究； 2 現(xiàn)代密鑰體系，數(shù)字認(rèn)證等相關(guān)安全技術(shù)的分析和應(yīng)用； 3 j a a s ，s p r i n gs e c u r i t y ，j b o s ss e c u r i t y 等已有框架認(rèn)證授權(quán)機(jī)制的分析； 4 通用權(quán)限設(shè)計(jì)框架的研究與設(shè)計(jì)； 5 使用通用權(quán)限設(shè)計(jì)框架的示例工程； 該框架能提供強(qiáng)有力的可擴(kuò)展性和易維護(hù)性。該通用權(quán)限控制框架基于r b a c 模型，由j a v a 語言編寫，可以應(yīng)用于j a v a 的多個(gè)開發(fā)領(lǐng)域。它不依賴某一特定應(yīng) 2 第一章引言 用框架或應(yīng)用服務(wù)器，只要具備i a v a 運(yùn)行時(shí)環(huán)境，該框架就能運(yùn)行。該框架不僅 可以使用在目前最常見的b s 開發(fā)中，也可應(yīng)用于c s 架構(gòu)程序開發(fā)及r m i 等多 種開發(fā)模型中。該框架原生支持單點(diǎn)登錄。同時(shí)，它的配置簡(jiǎn)單，學(xué)習(xí)及使用難 度低?；谠撏ㄓ每蚣荛_發(fā)的權(quán)限控制系統(tǒng)能更好的完成認(rèn)證授權(quán)服務(wù)，提供數(shù) 據(jù)機(jī)密性，數(shù)據(jù)完整性等方面的保證。同時(shí)，它能解決專用框架帶來的開發(fā)復(fù)雜 費(fèi)用高，權(quán)限管理依賴于特定框架等問題，減輕系統(tǒng)管理員的負(fù)擔(dān)。 1 4 論文組織 全文共分六章，各章內(nèi)容如下： 第一章為引言，介紹了通用權(quán)限控制框架的研究背景，國(guó)內(nèi)外研究現(xiàn)狀，研 究?jī)?nèi)容及意義，對(duì)論文的組織安排也做簡(jiǎn)單說明； 第二章為訪問控制理論模型及安全相關(guān)技術(shù)介紹，首先對(duì)本框架使用的r b a c 模型做概述，相應(yīng)介紹了認(rèn)證中使用的p a m 模型。在框架設(shè)計(jì)中，涉及大量密碼 學(xué)的內(nèi)容，因此在這部分對(duì)相應(yīng)的密碼算法及網(wǎng)絡(luò)安全相關(guān)協(xié)議做了簡(jiǎn)單介紹； 第三章為現(xiàn)有j a v a 權(quán)限控制框架的剖析，對(duì)j a a s ，s p r i n gs e c u r i t y ，j b o s s s x 三個(gè)權(quán)限控制框架的認(rèn)證授權(quán)模型做了細(xì)致分析；比較這些框架在設(shè)計(jì)上的優(yōu)勢(shì) 以及不足； 第四章為通用權(quán)限控制框架模型設(shè)計(jì)，深入分析了通用權(quán)限控制框架的需求。 采取先定義業(yè)務(wù)接口，再完成具體實(shí)現(xiàn)類的思路，在這章對(duì)權(quán)限控制框架中的 核心接口進(jìn)行了詳細(xì)說明； 第五章依照接口設(shè)計(jì)，給出了關(guān)鍵部分的實(shí)現(xiàn)。對(duì)重要的接口均給出了類層 次結(jié)構(gòu)圖，并詳細(xì)說明了每個(gè)實(shí)現(xiàn)類的原理及作用。這章的最后，給出了使用通 用權(quán)限控制框架的簡(jiǎn)單示例，向讀者展示它具體的工作流程，以證明框架設(shè)計(jì)的 j 下確性。 第六章是全文內(nèi)容的總結(jié)，并提出下一步工作。 1 5 本章小結(jié) 本章簡(jiǎn)要介紹了通用權(quán)限控制框架的研究意義，對(duì)現(xiàn)有框架的缺陷進(jìn)行了簡(jiǎn) 述。在此基礎(chǔ)上，提出了課題的研究?jī)?nèi)容和研究方法。下面將分四章分別進(jìn)行描 述。 電子科技大學(xué)碩士學(xué)位論文 第二章訪問控制理論模型與安全相關(guān)技術(shù) 2 1r b a c 理論模型簡(jiǎn)介 2 1 1 訪問控制策略 訪問控制就是通過某種途徑顯式地準(zhǔn)許或限制用戶訪問系統(tǒng)的某個(gè)資源或者 執(zhí)行特定操作。訪問控制的目的是保證系統(tǒng)不被非法使用，維持服務(wù)的健康運(yùn)行。 到目前為止，訪問控制的策略主要三種，它們分別是自主訪問控制d a c 【3 j ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 、強(qiáng)制訪問控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 和基于角色的訪問控制r b a c ( r o l e b a s e d a c c e s sc o n t r 0 1 ) 1 4 j 。 在自主訪問控制策略中，通過判斷用戶的身份及相關(guān)權(quán)限來決定其可以訪問 什么操作。自主訪問控制的主要特征是：有訪問權(quán)限的主體可以把自己所擁有的 訪問權(quán)限授予其它主體，同時(shí)，也允許主體從其它主體收回所授予的權(quán)限【4 】。自主 訪問控制通常使用的安全機(jī)制是訪問控制列表，它是一個(gè)表示訪問權(quán)限的矩陣。 系統(tǒng)的管理員通過配置a c l 達(dá)到控制用戶訪問企業(yè)數(shù)據(jù)的目的。對(duì)每一個(gè)受保護(hù) 的資源，訪問控制列表可以規(guī)定每一用戶或組相應(yīng)的訪問模式。訪問控制列表的 靈活性高，在工程界被大量采用。l i n u x2 6 中，a c l 就是標(biāo)準(zhǔn)內(nèi)核的一部分了。然 而，這種靈活性必然帶來龐大的數(shù)據(jù)量，造成系統(tǒng)性能降低。 強(qiáng)制訪問控制的主要原則是：判斷主體和客體安全級(jí)是否匹配，進(jìn)而確定該 次訪問是否被允許。在自主訪問控制的基礎(chǔ)上，強(qiáng)制訪問控制增加了對(duì)資源的安 全屬性劃分，規(guī)定不同屬性下相應(yīng)的訪問權(quán)限。一般地，可以將安全屬性分為四 個(gè)級(jí)別：無密，機(jī)密，秘密，絕密。每一主體和客體都被系統(tǒng)分配特定的安全屬 性，同時(shí)這一屬性一般不能更改。系統(tǒng)判斷某次訪問是否被允許，就是通過比較 主體和客體的安全屬性來完成的。用戶的程序不能改變他自己這個(gè)主體及任何被 訪問客體的安全屬性。強(qiáng)制訪問控制還可以防止通過文件方式進(jìn)行信息泄漏，這 主要是因?yàn)樗茏柚鼓硞€(gè)進(jìn)程共享文件，并且能阻止通過一個(gè)共享文件向其它進(jìn) 程傳遞信息。 強(qiáng)制訪問控制一般規(guī)定了如表2 1 的四種策略，這些策略均保證了信息流的單 向性，并分別提供了數(shù)據(jù)的機(jī)密性，完整性。 4 第二章訪問控制理論模型與安全相關(guān)技術(shù) 表2 1 強(qiáng)制訪問控制策略 策略名主客體關(guān)系操作類理目標(biāo) 下讀用戶級(jí)別大于文件級(jí)別讀信息的機(jī)密性 上寫用戶級(jí)別低于文件級(jí)別寫信息的機(jī)密性 下寫 用戶級(jí)別大于文件級(jí)別 寫 數(shù)據(jù)的完整性 上讀用戶級(jí)別低于文件級(jí)別讀數(shù)據(jù)的完整性 強(qiáng)制訪問控制的優(yōu)點(diǎn)在于它能提供很高的安全性措施，但凡事總有兩面性， 過高的安全措施限制了用戶的普通訪問，同時(shí)安全性規(guī)則過于復(fù)雜，權(quán)限控制系 統(tǒng)也很難實(shí)現(xiàn)。 基于角色的訪問控制基本思想【4 】【5 】是在用戶和待訪問的資源之間，添加一個(gè)角 色概念，用戶具備一個(gè)或多個(gè)角色，角色具備確定的權(quán)限集合。用戶和權(quán)限間的 映射是通過兩步完成的，首先將角色賦予用戶，然后將權(quán)限賦給角色。用戶具備 了某個(gè)角色，就具備了這個(gè)角色擁有的所有權(quán)限。舉個(gè)例子，列車上有列車長(zhǎng)， 駕駛員，列車員等多種角色，每一角色具備的權(quán)限集合都不同。張三能駕駛火車， 并不僅僅因?yàn)樗菑埲?，而是因?yàn)樗毁x予了駕駛員的角色，而駕駛員具備駕駛 火車的權(quán)限。用戶和角色間，角色與客體間均是多對(duì)多的關(guān)系。應(yīng)用系統(tǒng)為完成 各種任務(wù)的需要而設(shè)置了不同的角色，并根據(jù)用戶在系統(tǒng)中的職權(quán)和責(zé)任來設(shè)定 其擁有的角色。由于在應(yīng)用系統(tǒng)中角色的邏輯意義非常明顯和直接，因此基于角 色的訪問控制非常適用于部署在應(yīng)用系統(tǒng)中的安全模型。 基于角色的訪問控制具備如下優(yōu)點(diǎn)： 1 便于授權(quán)管理。其它的訪問控制實(shí)現(xiàn)方法均將用戶與訪問權(quán)限直接聯(lián)系。如 果組織內(nèi)人員變動(dòng)，或者某個(gè)用戶的職能發(fā)生變化時(shí)，勢(shì)必要進(jìn)行大量的授權(quán)更 改操作【6 j 。在基于角色的訪問控制中，用戶和資源之間添加了一個(gè)中間概念角色。 對(duì)用戶的直接授權(quán)轉(zhuǎn)變?yōu)椋合葘?duì)角色授權(quán)，然后再把用戶與角色聯(lián)系起來。r b a c 系統(tǒng)運(yùn)行時(shí)，主要的管理工作即為對(duì)角色授予權(quán)限，對(duì)用戶授予角色。 2 便于目標(biāo)分級(jí)。權(quán)限控制系統(tǒng)比較抽象，同時(shí)與企業(yè)通常的業(yè)務(wù)管理相類似。 這種機(jī)制使管理員從訪問控制底層的具體實(shí)現(xiàn)機(jī)制中擺脫出來，與通常的組織管 理規(guī)則非常接近。 3 便于賦于最小特權(quán)。用戶所擁有的權(quán)力不能超過他執(zhí)行工作時(shí)所必需的權(quán) 限。在基于角色的訪問控制中，可以根據(jù)系統(tǒng)的不同操作，用戶的分類等設(shè)計(jì)擁 電子科技大學(xué)碩士學(xué)位論文 有不同權(quán)限的角色。當(dāng)用戶欲訪問某資源時(shí)，如果該操作不在用戶當(dāng)前活躍角色 的權(quán)限集合內(nèi)，該訪問將被拒絕。 4 便于職責(zé)分離。對(duì)于特定的操作集，某個(gè)角色或用戶不可能同時(shí)獨(dú)立地完 成所有這些操作。職責(zé)分離可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分離是指 只有當(dāng)某個(gè)角色與用戶所屬的角色彼此不互斥時(shí)，該角色才能授權(quán)給該用戶。動(dòng) 態(tài)職責(zé)分離是指只有當(dāng)一個(gè)角色與當(dāng)前主體的任何一個(gè)活躍角色都不互斥時(shí)，該 角色才能成為該主體的另一個(gè)活躍角色 6 1 。 基于上述比較，通用權(quán)限控制框架在設(shè)計(jì)時(shí)，選用基于角色的訪問控制模型 作為核心架構(gòu)。使用本框架的權(quán)限控制系統(tǒng)，在授權(quán)管理，目標(biāo)分級(jí)，最小特權(quán) 賦值，職責(zé)分離等方面，將具有良好表現(xiàn)。 2 1 2 基于角色的訪問控制概述 基于角色的訪問控帶1 ( r o l e b a s e da c c e s sc o n t r 0 1 ) 的基本思想【4 】【5 】是：根據(jù)用戶 的身份和職權(quán)，分配相應(yīng)的角色，該角色是一系列權(quán)限的集合。用戶持有某個(gè)角 色，就具備了該角色中的所有權(quán)限。在r b a c 模型中，為用戶賦予角色，為角色 賦予權(quán)限是安全控制策略的核心。 r b a c 原理非常接近于現(xiàn)實(shí)情況，因而容易理解。它不同于以往簡(jiǎn)單的 u s e r r e s o u r c e 模型，它增加了r o l e 概念，變成了u s e r r o l e r e s o u r c e 模型( 如圖2 1 ) 【6 j 。r b a c 模型既賦予了安全系統(tǒng)更多的靈活度，也簡(jiǎn)化了系統(tǒng) 的安全管理，因而是目前最流行的權(quán)限控制策略。 圖2 1r b a c 原理 需要特別說明的是，r b a c 中的角色和操作系統(tǒng)中常見的組概念雖然相似， 但卻是有著根本區(qū)別的。主要在于：組是同類用戶的集合；而角色主要是權(quán)限的 集合。在r b a c 模型中，角色充當(dāng)用戶和權(quán)限的中間橋梁【引。 2 1 3 基于角色的訪問控制特點(diǎn) 1 以角色作為訪問控制的主體【9 1 。用戶能訪問到什么樣的資源，取決于用戶具 備什么樣的角色，和這些角色具備什么樣的權(quán)限，而權(quán)限就代表了系統(tǒng)中的某種 6 第二章訪問控制理論模型與安全相關(guān)技術(shù) 資源或?qū)Y源的某種操作。 2 角色繼承。為了避免相同權(quán)限的重復(fù)設(shè)置，r b a c 采納了“角色繼承”的概 念。在進(jìn)行角色定義時(shí)，允許定義這樣的角色，它們有自己獨(dú)有的權(quán)限集合，但 可能還繼承其他角色的權(quán)限集合【l o 】。例如，在大學(xué)里，存在學(xué)生，研究生這樣兩 個(gè)角色，顯然，研究生可以繼承學(xué)生的所有權(quán)限，同時(shí)，研究生也有專用的權(quán)限， 這些權(quán)限不屬于學(xué)生角色。角色繼承以一種自然的方式，反映出應(yīng)用系統(tǒng)中用戶 間的職權(quán)責(zé)任關(guān)系。通過繼承，系統(tǒng)中的各種角色被組織起來，在為角色定義權(quán) 限集合時(shí)，可以避免大量重復(fù)勞動(dòng)。 3 最小權(quán)限原則】。如前所述，r b a c 的這個(gè)特點(diǎn)能保證系統(tǒng)中的權(quán)限不被錯(cuò) 誤分配，能夠避免用戶訪問到本不屬于他的權(quán)限。 4 職責(zé)分離。如前所述，r b a c 的職責(zé)分離特點(diǎn)能保證應(yīng)用系統(tǒng)中，各角色職 責(zé)清晰，通過這種方式，應(yīng)用系統(tǒng)才能穩(wěn)定高效運(yùn)行。 5 角色容量( 基數(shù)) 。在創(chuàng)建新的角色時(shí)，要指定角色的容量。在一個(gè)特定的 時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。 2 1 4 基于角色的訪問控制模型 r b a c 模型一共有4 種：r b a c 0 ，r b a c l ，r b a c 2 ，r b a c 3 。表2 2 列出了 各模型的異同【6 】【1 2 】： 表2 - 2r b a c 模型比較 模型角色層次約束 r b a c 0 無無 r b a c l 有無 r b a c 2 無有 r b a c 3 有有 從表中可以看出，它們不是孤立的，而是存在一定的關(guān)系，其關(guān)系可用圖2 2 來說明。 下面分別對(duì)四種模型做簡(jiǎn)單介紹。 r b a c 0 ：這個(gè)模型支持最少權(quán)限和職責(zé)分離原則，但是沒有提供對(duì)繼承和約 束概念的支持。實(shí)現(xiàn)該模型，首先必需支持用戶到角色間的多對(duì)多映射，同時(shí)必 須支持角色到權(quán)限間的多對(duì)多映射。允許用戶同時(shí)持有多個(gè)角色，并使用多個(gè)角 色的權(quán)限。 7 一 電子科技大學(xué)碩士學(xué)位論文 r b a c l ：這個(gè)模型基于r b a c 0 ，添加了必須支持角色繼承的要求，允許這種 繼承繼承關(guān)系是偏序的。在是否支持任意層級(jí)繼