（計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)專(zhuān)業(yè)論文）分布式環(huán)境下資源訪(fǎng)問(wèn)控制關(guān)鍵問(wèn)題研究.pdf

摘要 對(duì)于分布式應(yīng)用資源的大量安全攻擊來(lái)說(shuō)，訪(fǎng)問(wèn)控制是重要的防范手段?，F(xiàn)存的中 間件訪(fǎng)問(wèn)控制技術(shù)存在這樣幾個(gè)問(wèn)題：1 ) 不能提供一個(gè)完整的解決方案，應(yīng)用開(kāi)發(fā)者 不得不在應(yīng)用系統(tǒng)中嵌入訪(fǎng)問(wèn)控制功能，這帶來(lái)了大量的問(wèn)題，包括實(shí)施困難、高開(kāi)銷(xiāo)、 高錯(cuò)誤率、資源所有權(quán)的歸靄等；2 ) 就有效性來(lái)說(shuō)，在一些應(yīng)用領(lǐng)域，訪(fǎng)問(wèn)控制還要 更細(xì)致，在鑒權(quán)判定方面對(duì)使用專(zhuān)門(mén)因素的支持，還有廣大組織之間鑒權(quán)的一致性和可 靠性的增強(qiáng)；3 ) 中間件越來(lái)越異構(gòu)化，相互作用方式復(fù)雜。在使用這些中間件時(shí)，要 了解其安全特性，比如，機(jī)密性數(shù)據(jù)不會(huì)在網(wǎng)絡(luò)上泄漏，但是，現(xiàn)在很難證實(shí)這些中間 件有很盤(pán)了的安全特性。 針對(duì)中間件對(duì)訪(fǎng)問(wèn)控制不能提供完整的解決方案以及其有效性問(wèn)題，本文提出了一 個(gè)體系結(jié)構(gòu)方法：基于j 2 e e 的r b a c 支持。首先，通過(guò)詳細(xì)分析了j 2 e e 訪(fǎng)問(wèn)控制機(jī) 誰(shuí)! 的性能，設(shè)計(jì)了能夠正式定義系統(tǒng)狀態(tài)的j 2 e e 保護(hù)系統(tǒng)配置。通過(guò)該定義，本文設(shè) 計(jì)了一個(gè)鑒權(quán)判定算法。其次，本文研究了在進(jìn)行j 2 e e 安全服務(wù)時(shí)，對(duì)基于角色的訪(fǎng) 問(wèn)控甫：模型的支持。利用j 2 e e 保護(hù)系統(tǒng)定義的配置，用j 2 e e 語(yǔ)言定義了r b a c o 和 r b a c l 兩種模型。此外，為了支持r b a c o r b a c 3 模型，本文分析并給出了實(shí)施j 2 e e 安全服務(wù)所需的必要條件。本方法在遵循j 2 e e 安全規(guī)范的前提下實(shí)現(xiàn)了對(duì)r b a c o 的支 持，并實(shí)現(xiàn)了j 2 e e 安全規(guī)范范圍以外的必要功能，來(lái)支持r b a c l 和r b a c 2 。這加強(qiáng) 了j 2 e e 訪(fǎng)問(wèn)控制機(jī)制的性能。 j 2 e e 中間件訪(fǎng)問(wèn)控制機(jī)制與r b a c 模型相結(jié)合的方法比較好的解決了完整性和有 效性這兩個(gè)問(wèn)題，但是對(duì)于復(fù)雜策略，它們還存在靈活性差、粒度粗和擴(kuò)展性較弱等問(wèn) 題。本文設(shè)計(jì)了鑒權(quán)服務(wù)體系結(jié)構(gòu)( j c r a d s ) ，用它來(lái)解決分布式資源的訪(fǎng)問(wèn)控制問(wèn)題。 j c r a d s 抽象了鑒權(quán)服務(wù)中的鑒權(quán)邏輯，該鑒權(quán)服務(wù)位于應(yīng)用程序的外部，獨(dú)立于下層 的安全模型和安全規(guī)則。這種資源訪(fǎng)問(wèn)判定辦法解決了保護(hù)大多數(shù)分布式資源所面：| 缶的 問(wèn)題。對(duì)于鑒權(quán)判定，允許使用多種類(lèi)型的主體安全，服務(wù)結(jié)構(gòu)允許使用從工作流和其 它資源中獲得的信息，這樣它就能支持應(yīng)用領(lǐng)域所特有的規(guī)則。它也能夠使用在訪(fǎng)問(wèn)控 毒q y - r i 定中的特殊信息。鑒權(quán)邏輯包裝為一個(gè)獨(dú)立的服務(wù)，可以很容易地在穿越應(yīng)用邊界 時(shí)保持訪(fǎng)問(wèn)控制策略的致性。此外，這個(gè)結(jié)構(gòu)支持多重鑒權(quán)模型，并且它有助于安全 管理員和應(yīng)用開(kāi)發(fā)者進(jìn)行清晰的責(zé)任分離。 盡管當(dāng)前的設(shè)計(jì)利用了j 2 e e 所遵循的安全機(jī)制，j c r a d s 幾乎獨(dú)立于下層的安全 技術(shù)。j c i l 4 d s 方法能夠應(yīng)用到大多數(shù)分布式環(huán)境中去。這種結(jié)構(gòu)不但簡(jiǎn)化了應(yīng)用程序 和安全系統(tǒng)開(kāi)發(fā)。而且也允許管理部門(mén)一致地管理和實(shí)施其安全策略，很好的解決了分 布式資源訪(fǎng)問(wèn)系統(tǒng)普遍存在的不夠靈活、粒度粗、可擴(kuò)展性差等主要矛盾。 為了在量家科技基礎(chǔ)條件平臺(tái)部署j c r a d s ，本文設(shè)計(jì)并配置了一個(gè)捌試床一基于 j c r a d s 的j a s ，以便給出一個(gè)靈敏的、可擴(kuò)展的，并且輕便的鑒權(quán)服務(wù)體系結(jié)構(gòu)，以 及測(cè)試使用j c r a d s 會(huì)產(chǎn)生什么樣的性能。j a s 附著于j c r a d s 服務(wù)，并且作為對(duì) j c r a d s 方法研究的一個(gè)框架。 針對(duì)不安全中間件的問(wèn)題，本文重點(diǎn)研究了封裝器的方法，它可以讓這些中間件在 安全的環(huán)境下( 封裝器) 執(zhí)行，它可以為中間件之間、中間件和其它系統(tǒng)資源之間提供 細(xì)粒度的控制。本文使用c a l c u l u s 設(shè)計(jì)了四種封裝器：過(guò)濾封裝器、日志封裝器、管道 封裝器、n 元封裝器，并探討了各種封裝器能夠保證的安全性。 關(guān)鍵詞：分布式，訪(fǎng)問(wèn)控制，安全，中間件，封裝器 i i a b s t r a c t r e s e a r c ho nt h ek e yi s s u e so fr e s o u r c ea c c e s sc o n t r o l u n d e rd i s t r i b u t e de n v i r o n m e n t s z h a n gf a n g z h o u r e s o u r c e sa c c e s sc o n t r 0 1f a c li sa ne s s e n t i a ld e f e n s i v em e a s u r ea g a i n s tal a r g en u m b e r o fs e c u r t t ya t c a c k s u n d e rd i s t r i b u t e de n v i r o n m e n t , u s eo fm i d d l e w a r et e c h n o l o g yi so n e c o m m o nm e t h o dt os u p p o r ta c c e s sc o n t r 0 1 b u ti ta l s oi n c u r ss o m ep r o b l e m st ob eo v e r c o m e f o rt h em e t h o dt ob ef u l l ye f f e c t i v e 1 ) i td o e sn o to f f e rac o m p l e t es o l u t i o n 。a sa p p l i c a t i o n d e v e l o p e r so f t e nh a et or e s o r tt oe m b e d d i n ga ci n t oa p p l i c a t i o nc o d ec o m p o n e n t s a sa r e s u l t ，a cf u n c t i o n a l i t yi si n t e r t w i n e dw i t ha p p l i c a t i o nl o g i c ，m a k i n gi m p l e m e n t a t i o nd i f f i c u l t a n di r e f f i c i e n tw i t hh i g he r r o rr a t e sa n du n c l e a ro w n e r s h i p so fr e s o u r c e s 2 ) f o rs e c u r i t y p r o t e c t i o nt ob ee f f e c t i v ei nm a n ya p p l i c a t i o na r e a s ，a cr e q u i r e sf i n eg r a n u l a r i t yo fc o n t r o l ， u s eo fa p p l i c a t i o ns p e c i f i ci n f o r m a t i o ni na u t h e n t i c a t i o na n di ng r a n t i n gr e s o u r c ea c c e s s a n d e n h a n c e m e n to fa a t h e n t i c a t i o n u n i f o r m i t y a n d r e l i a b i l i t ya m o n gm u l t i p l e d i f i e r e n t o r g a n i z a t i o n s 3 1m i d d l e w a r ec o m p o n e n t sa r ei n c r e a s i n g l yh e t e r o g e n e o u si ns t r u c t u r ea n d c o m p l i c a t e df o ri n t e r - c o m p o n e n tc o m m u n i c a t i o n w h e nm i d d l e w a r ec o m p o n e n t sa r eu s e d o n em u s tb ea w a r eo ft h e i rs e c u r i t yc h a r a c t e r i s t i c s f o re x a m p l e o n em u s tk n o wi ft h e r ei s d a n g e ro fd a t ai e a ki nt h en e t w o r k h o w e v e r , i ti sd i 箭c u l tt op r o v ei fm i d d l e w a r ec o m p o n e n t s h a v eg o o ds e c u r i t yf u n c t i o n s i no r d e rt oi m p r o v eo nt h ec o m p l e t e n e s sa n de r i e c t i v e n e s so fm i d d l e w a r ea c c e s sc o n t r 0 1 t h i st h e s i sp r o p o s e san e wa r c h i t e c t u r a lm e t h o d ：j 2 e eb a s e dr b a cs u p p o r t f i r s t w ea n a l y z e i i ld e t a i lt h ew o r k i n g sa n dp e r f o r m a n c eo f j 2 e ea c c e s sc o n t r o lm e c h a n i s m w jt h e np r o v i d ea d e s i g no nt h ej 2 e ep r o t e c t i o ns y s t e mc o n f i g u r a t i o nt h a ta l l o w sf o r m a ld e f i n i t i o no fs y s t e m s t a t e s t h et h e s i sp r o p o s e sad e s i g no fa na u t h e n t i c a t i o na l g o r i t h mi nt e r m so fs u c hd e f i n i t i o n s e c o n d ，t h i st h e s i ss t u d i e sh o wt os u p p o r tr o l eb a s e da c c e s sc o n 仃o lm o d e lw h e np r o v i d i n g j 2 e es e c u r i t ys e r v i c e u s i n gj 2 e ep r o t e c t i o ns y s t e mc o n f i g u r a t i o n ，w eg i v ead e f i n i t i o no f r b a c 0 和r b a c ti nj 2 e el a n g u a g e w ca l s og i v ead e s c r i p t i o na n da n a l y s i so fn e c e s s a r y c o n d i t i o n sf o ri m p l e m e n t i n gj 2 e es e c u r i t ys e r v i c et os u p p o r tr b a c o r b a c 3 sm o d e l s o u r p r o p o s e d m e t h o d s p r o v i d er b a c os u p p o r t w h i l e c o n f o r m i n g t ot h ej 2 e e s e c u r i t y r e q u i r e m e n t s ，a n da d d i t i o n a lf u n c t i o n a l i t yb e y o n dj 2 e es e c u r i t yr e q u i r e m e n t s i no r d e rt o s u p p o r tr b a c i 和r b a c 2 a l lo fo u rw o r kg r e a t l ye n h a n c e sp e r f o r m a n c eo fj 2 e ea c c e s s c o n t r o im e c h a n i s m s t h ec o m b i n a t i o no fr b a cm o d e la n dj 2 e em i d d l e w a r ea c c e s sc o n 仃o lm e c h a n i s m w o r k sw e l lt os o l v et h ep r o b l e mo fi n c o m p l e t e n e s sa n di d e f f e c t i v e n e s s h o w e v e r i nt h ec a s e o f c o m p l i c a t e ds e c u r i t ys t r a t e g i e s ，t h ec o m b i n a t i o ns t i l lh a sp r o b l e m so fl o wf l e x i b i l i t y , c o a r s e g r a n u l a r i t y , p o o rs c a l a b i l i t y , e t c t h i st h e s i sw o r ki n c l u d e sad e s i g no fa na u t h e n t i c a t i o n s e r v i c es y s t e ms t r u c t u r e ( j c r a d s ) ，t os o l v ev a r i o u sa c c e s sc o n t r o li s s u e sf o rd i s t r i b u t e d r e s o u r c e s j c r a d se x t r a c t e dt h e l o g i c o fa u t h e n t i c a t i o ns e r v i c e a n d p l a c e st h e n i a u t h e n t i c a t i o ns e r v i c eo u t s i d eo fa p p l i c a t i o nc o d e ，t h u sm a k i n gi ti n d e p e n d e n to fs e c u r i t y m o d e la n dr u l e si nt h el o w e r1 a y e r so fa na p p l i c a t i o ns y s t e m t h i sr e s o u r c ea c c e s sc o n t r o l m e t h o ds o l v e sm a n yi s s u e si n c u r r e di np r o t e c t i n gd i s t r i b u t e dr e s o u r c e s ，i ta l l o w sm u l n p l e t y p e so fs e c u r i t ys t r a t e g i e sf o ra u t h e n t i c a n o n ，a n di t ss e r v i c es t r u c t u r ea l l o w su s eo f i n f o r m a t i o no b t a i n e df r o mw o r kf l o w sa n do t h e rr e s o u r c e s a ss u c h t h ea u t h e n t i c a t i o n s e r v i c es y s t e mc a l ls u p p o r ts p e c i a lr u l e si nd i f f e r e n ts p e c i f i ca p p l i c a t i o na r e a s ，a sw e l la s u t i l i z a t i o no fs p e c i f i ci n f o r m a t i o nf o ra u t h e n t i c a t i o n v v y a p p e du pa sa ni n d e p e n d e n ts e r v i c e t h ea u t h e n t i c a t i o nl o g i cc a ne a s i l ym a i n t a i na c c e s sc o n t r o ls t r a t e g yc o n s i s t e n c yw h e ni tw o r k s a c r o s sd i f f e r e n t a p p l i c a t i o n b o u n d a r i e s i na d d i t i o n ，t h i ss t r u c t u r ea l l o w s m u l t i p l e a u t h e n t i c a t i o nm o d e l sa n dc a na s s i s ts e c u r i t ya d m i n i s t r a t o r sa n da p p l i c a t i o nd e v e l o p e r si n c l e a r l ys e p a r a t i n gt h e i rr e s p o n s i b i l i t i e s a l t h o u g ho u rd e s i g nm a k e su s eo fs e c u r i t ym e c h a n i s m su s e db yj 2 e e j c r a d si s a l m o s ti n d e p e n d e n to fl o w e rl e v e ls e c u r i t yt e c h n i q u e s j c r a d sc a nb e u s e di nm a n y d i f f b r e n td i s t r i b u t e de n v i r o n m e n t s t h es t r u c t u r en o to n l ys i m p l i f i e sa p p l i c a t i o na n ds e c u r i t y s y s t e md e v e l o p m e n t b u ta l s oe n a b l e sa na d m i n i s t r a t i o ns t a 行t oc o n s i s t e n t l ym a n a g ea n d e l l f o r c ei t ss c o u r i t ys t r a t e g i e s ，t h e r e f o r es o l v i n gp r o b l e m so fi o wf l e x i b i l i t y , c o a r s eg r a n u l a r i t y a n dp o o rs c a l a b i l i t yt h a to f t e ne x i s ti nd i s t r i b u t e dr e s o u r c ea c c e s sc o n t r o is y s t e m s f o rd e p l o y i n gj c r a d so nt h en a t i o n a l i t ys c i e n c ea n dt e c h n o l o g yb a s i cp l a t f o 舢( 舀家 科技基礎(chǔ)條件平臺(tái)) ，t h et h e s i sw o r ki n c l u d e sa ni m p l e m e n t a t i o no f at e s t - b e db a s e do nj a s o f j c r a d s 1 1 1 i si m p l e m e n t a t i o nh a st h ep r o p e r t i e so f a g i l e f l e x i b l e 。e x t e n s i b l ea n dp o r t a b l e a u t h e n t i c a t i o ns e r v i c es t r u c t u r e a n dp l a y st h er o l eo fat e s tb e df o rj c r a d sp e r f o r m a n c ei n a c t u a ls y s t e m s w i mj a sa 笳l(shuí) i a t e dt oj c r a d ss e r v i c e t h ei m p l e m e n t a t i o np r o v i d e sa f r a m e w o r kt os t u d yt h ej c r a d sm e 也o d o n eo ft h em a j o rw o r k so ft h i st h e s i si st os t u d yw r a p p e rm e t h o df o ru n s e c u r e d m i d d l e w a r ec o m p o n e n t s t h i sw r a p p e rm e t h o da l l o w sm i d d l e w a r ec o m p o n e n t st ob e e x e c u t e di nas e c u r e de n v i r o n m e n t 。w r a p p e r sa r eu s e dt op r o v i d ef i n eg r a n u l a r i t yc o n t r o l b e t w e e nm i d d l e w a r ec o m p o n e n t sa n db e t w e e ns u c hc o m p o n e n t sa n ds y s t e mr e s o u r c e s s e v e r a lw r a p p e r sa r ei m p l e m e n t e da n dd e s c r i b e db yu s i n gb o x - c a l c u l u s ：f i l t e r , * r a p p e r ， l o g g i n gw r a p p e r , p i p e l i n ew r a p p e ra n dn - e l e m e n tw r a p p e r t h et h e s i sp r o v i d e sa d i s c u s s i o n o nh o ws e c u r i t yc a nb ee n s u r e db yt h eu s eo fs u c hw r a p p e r so fv a r i o u st y p e s k e y w o r d s ：d i s t r i b u t i n g ，a c c e s sc o n t r o l ，s e c u r i t y , m i d d l e w a r e ，w r a p p e r l v ! ! ! 蘭! 蘭i 蘭圭堂堡蘭= 二竺羔壟堡塑! 竺墨苧些! ! ! ：! 莖竺蘭墨竺塞 圖2 1 圖2 2 圖2 3 圖2 4 圖2 5 圖2 6 圖2 7 圖2 8 圖2 9 圖2 1 0 圖2 1 l 圖2 1 2 圖2 1 3 圖2 1 4 圖3 1 圖3 2 圖3 3 圖3 4 圖3 5 圖3 6 圖3 7 圖3 8 圖3 9 圖4 1 圖4 2 圖4 3 圖4 4 圖4 5 圖4 6 圖4 7 圖4 8 圖5 1 圖5 2 圖5 3 圖5 4 圖5 5 圖5 6 圖5 7 圖5 8 圖目錄 計(jì)算機(jī)安全的主要概念5 參考監(jiān)視器6 中間件和應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制的關(guān)系7 j a a sp o l i c y 詞條的例子1 3 鑒權(quán)處理和在基于d c e 應(yīng)用系統(tǒng)管理中的a c l 管理1 5 d c o m 中間件( 摘自 、t i c r o s o f t1 9 9 8 ) 1 6 d c o m 鑒權(quán)策略的等級(jí)和它們的范圍1 7 s e s p n e 組件1 8 c o p d 3 a 安全性中的策略實(shí)施1 9 g , 4 aa p i 模型中事件的l 眨序2 0 筑略代理2 l 代理和攔截器2 3 鑒權(quán)服務(wù)器2 3 鑒權(quán)相關(guān)的交互2 6 執(zhí)行上下文的創(chuàng)建3 3 j 2 e e 安全中的域和策略3 4 j 2 e e 訪(fǎng)問(wèn)控制饑制中關(guān)鍵元素問(wèn)的關(guān)系3 4 角色層次的例子( s a n d h u1 9 9 8 b ) 4 3 e n g i n e e r i n g p r o j e c t 接口4 4 e m p l o y e e 接口4 4 e n g i n e e r i n g p r o j e c t 接口層次4 5 多域解決方案中域的層次4 8 接口實(shí)例域成員5 0 客戶(hù)，應(yīng)用系統(tǒng)和j c p u d s 服務(wù)之間的交互瀧程5 4 j c r a d s 構(gòu)件之間的交互5 6 一個(gè)交互流程的例子5 6 主要元素及其附件5 7 管理元素及其附件5 8 j c t ( a d s 體系結(jié)構(gòu)的計(jì)算部分5 8 角色層次( 角色、層次間的關(guān)系，r h ) 6 4 j c r a d s 的基于角色策略的配置。6 5 j a s 主要組成部分7 0 j a s 結(jié)構(gòu)體系7 l j 2 e e 對(duì)象的實(shí)現(xiàn)7 l 用策略方式實(shí)現(xiàn)服務(wù)囂7 2 模板的應(yīng)用7 3 j a s 組件的通用結(jié)構(gòu)7 3 參數(shù)配置7 4 j a s 配置7 4 v 匪目錄 圖5 9 圖5 1 0 圖5 1 i 圖6 i 圖6 2 圖6 3 圖6 4 圖7 1 d c 的設(shè)計(jì) p e 的設(shè)計(jì) j a s 體系結(jié)構(gòu) 刪量性能時(shí)間 信息穿過(guò)的界線(xiàn) 相天模型和j a s 配置 各種j a s 配置的響應(yīng)時(shí)間增長(zhǎng) 三元中間件封裝器 佰兩”踟叭褐8 g ； 表3 1 表3 2 表3 3 表3 4 袁3 5 表3 6 表3 7 表3 8 表3 9 表3 1 0 表3 兒 表3 1 2 表4 1 表4 2 表4 3 表4 4 表5 1 表6 1 表目錄 認(rèn)證后的主題所具有的安全屬性 需求權(quán)限矩陣 授予權(quán)限矩陣 每個(gè)主題授予的權(quán)限 每個(gè)主題允許的操作 訪(fǎng)問(wèn)矩陣： r b a c 與j 2 e e 概念對(duì)照表 單域解決方案的需求權(quán)限矩陣 單域解決方案授予權(quán)限的矩陣 多訪(fǎng)問(wèn)策略域解決方案需求權(quán)限矩陣 多訪(fǎng)問(wèn)策略域解決方案接口實(shí)例域成員矩陣 多訪(fǎng)問(wèn)策略域解決方案授權(quán)矩陣 訪(fǎng)問(wèn)控制規(guī)則 資源記錄條目 用戶(hù)一角色的分配關(guān)系( u a ) 許可一角色的分配關(guān)系 j a s 和j c r a d s 擴(kuò)展的i d l 間的關(guān)系 應(yīng)用請(qǐng)求與j a s 推薦配置的關(guān)系 x 孫踮i。c暑髂們們鷂的印硒衙髓 聲明 本人聲明所呈交的論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得 ： 的研究成果。就我所知，除了文中特別加以標(biāo)注和致謝的地方外，論文中 不包含其他人已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果。與我一同工作的同志對(duì)本研 究所做的任何貢獻(xiàn)均已在論文中作了明確的說(shuō)明并表示了謝意。 作者躲強(qiáng)孤晚y 緲弘 關(guān)于論文使用授權(quán)的說(shuō)明 中國(guó)科學(xué)院計(jì)算技術(shù)研究所有權(quán)處理、保留送交論文的復(fù)印件，允許 論文被查閱和借閱；并可以公布論文的全部或部分內(nèi)客，可以采用影印、 縮印或其它復(fù)制手段保存該論文。 作者簽名：搏孤導(dǎo)師簽名：密皎日期沙” 。 第一蕈引言 第一章引言 由fi n t e r n e t 的高速發(fā)展和普及，軟件系統(tǒng)目前日益綜合和互相連接。這樣大范圍 內(nèi)的綜合，由自治的、異構(gòu)的并且分布式的系統(tǒng)組成，稱(chēng)為分布式軟件系統(tǒng)。每個(gè)組織 內(nèi)的應(yīng)用系統(tǒng)可能是獨(dú)立開(kāi)發(fā)的，基于不同的設(shè)計(jì)和技術(shù)。國(guó)家安全、工業(yè)、商業(yè)、科 技等國(guó)家重大項(xiàng)目越來(lái)越依賴(lài)這些系統(tǒng)的功能。 由j 二i n t e m e l i n t r a n e t 上分布式系統(tǒng)和信息資源互聯(lián)的越來(lái)越龐大，越來(lái)越復(fù)雜，設(shè) 計(jì)保護(hù)這些系統(tǒng)和資源的安全機(jī)制也變得越來(lái)越復(fù)雜和難以實(shí)現(xiàn)，這也成為每一個(gè)系統(tǒng) 最核心的東西。 安全信息組織的問(wèn)題一直集中在從行業(yè)來(lái)的巨大努力，因此，幾個(gè)著名的用于網(wǎng)絡(luò)、 操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和中間件系統(tǒng)的安全系統(tǒng)體系結(jié)構(gòu)和模型被開(kāi)發(fā)出來(lái)用于配 置分布式環(huán)境的可升級(jí)和靈活的安全，這表現(xiàn)了重大的進(jìn)步，然而它只是達(dá)到目標(biāo)的第 一步。余下的問(wèn)題還有：復(fù)雜的、更細(xì)粒度的安全策略的處理；不僅支持應(yīng)用系統(tǒng)以及 它們底層平臺(tái)內(nèi)的變化，而且支持在業(yè)務(wù)流程和安全策略的變化，還要支持用戶(hù)群體和 他們的角色的變化：支持企業(yè)應(yīng)用的動(dòng)態(tài)配置，而不影響安全的完整性；達(dá)到需要的性 能。 本文考慮一個(gè)特殊的安全功能訪(fǎng)問(wèn)控制( s a n d h u1 9 9 4 ) ，對(duì)于針對(duì)信息組織資 源的鋪天蓋地的安全攻擊來(lái)說(shuō)，它是一個(gè)必要的防范手段。然而，對(duì)應(yīng)用資源的訪(fǎng)問(wèn)控 制越來(lái)越需要更細(xì)的粒度和在鑒權(quán)判定中支持使用針對(duì)應(yīng)用的一些因素。而且它還必須 一致地、可靠地在企業(yè)應(yīng)用間執(zhí)行范組織的鑒權(quán)策略。 當(dāng)前已有的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和中間件技術(shù)對(duì)于完成這樣的控制是 小適合的，并且以后也永遠(yuǎn)不會(huì)，這是因?yàn)樗鼈兪菫橐话隳康牡挠猛径O(shè)計(jì)的，它們的 控制太糨糙，且只涉及到某些資源 c i s t - n r c l 9 9 9 。因此，應(yīng)用開(kāi)發(fā)者借助在應(yīng)用系統(tǒng) 嵌入訪(fǎng)問(wèn)控毒j 功能的手段來(lái)支持復(fù)雜的、細(xì)粒度的、上下文依賴(lài)的鑒權(quán)策略。 訪(fǎng)門(mén)控制功能和應(yīng)用邏輯的耦合帶來(lái)了大量的問(wèn)題。系統(tǒng)安全管理員需要逐個(gè)應(yīng)用 的配置訪(fǎng)問(wèn)控制邏輯，疲于奔命 b e z n o s o v1 9 9 8 a 。這個(gè)基于應(yīng)用的多點(diǎn)訪(fǎng)問(wèn)控制使得 系統(tǒng)安全管理變得非常可怕，代價(jià)昂貴且錯(cuò)誤百出【b e z n o $ o v1 9 9 7 ，w i l s o n1 9 9 7 1 ，這樣 很雉改變安全策珞和控帶：機(jī)制，很難開(kāi)發(fā)、改變和動(dòng)態(tài)重配置應(yīng)用軟件 b e z n o s o v1 9 9 9 b ， g r i m m1 9 9 9 ，h a l e1 9 9 9 。 為了解決保護(hù)應(yīng)用資源的問(wèn)題，構(gòu)建應(yīng)用系統(tǒng)的方法需要改變，而且，在分布式計(jì) 算環(huán)境中，能以有效的方法對(duì)系統(tǒng)進(jìn)行開(kāi)發(fā)、整合和管理。 1 1 研究目標(biāo) 本文提出了一個(gè)體系結(jié)構(gòu)上的方法來(lái)提高和正規(guī)化訪(fǎng)問(wèn)控宅：饑?yán)希旱哪芰?，用?lái)定位 對(duì)資源的訪(fǎng)問(wèn)控制問(wèn)題。這個(gè)方法是雙重的。一方面，使月j 2 e e 安全機(jī)帛! 提供的訪(fǎng)問(wèn) 控制機(jī)制開(kāi)發(fā)了一個(gè)實(shí)現(xiàn)基于角色的訪(fǎng)問(wèn)控豐j ( r ot eb a s e da c c e s sc o n t r o i ，r b a c ) 模 型的框架，對(duì)于那些j 2 e e 控制粒度和r b a c 摸型的能足夠表達(dá)的應(yīng)用鍰域，這個(gè)瞧架 解決了上述的問(wèn)題。另一方面，本文開(kāi)發(fā)了一個(gè)鑒權(quán)服務(wù)的體系機(jī)掏，它解決了對(duì)分布 式資源訪(fǎng)問(wèn)的控韋；j 問(wèn)題：當(dāng)中間件訪(fǎng)問(wèn)控制機(jī)制中的粒度和對(duì)復(fù)雜策路的支持不適合， 應(yīng)用開(kāi)發(fā)者在他們的系統(tǒng)中嵌入附加的訪(fǎng)問(wèn)控制功能。 中問(wèn)件越來(lái)越異構(gòu)化，它們以復(fù)雜的方式相互作用。這些中間件中，有一些是從網(wǎng) 絡(luò)上下載的，不是十分的可信。用戶(hù)想妃道一些中間件擁有的安全特性，比如，機(jī)密數(shù) 據(jù)不會(huì)在網(wǎng)絡(luò)上泄漏，但是，現(xiàn)在很難證實(shí)這些中間件有很好的特性。取而代之的足， 可以讓這些中間件在安全的環(huán)境下執(zhí)行，這個(gè)環(huán)境，稱(chēng)之為封裝器，它可以為中問(wèn)件之 間、中間件和其它系統(tǒng)資源之間提供細(xì)粒度的控隹j 。本文重點(diǎn)研究了封裝器的表示方法， 通過(guò)這種方法來(lái)闡述及嚴(yán)格證明其安全性。本文使用c a l c u l u s 描述了幾種封裝器：過(guò)濾 封裝器、目志封裝器、管道封裝器、n 元封裝器，探討了各種封裝器能夠保證的安全性。 1 2 主要研究成果 為了保護(hù)分布式應(yīng)用及其資源，中間件技術(shù)提供的安全性非常重要和必不可少，囚 此，為了充分的利用它們，使用中間件訪(fǎng)問(wèn)控老j 機(jī)制來(lái)模型化鑒權(quán)策硌的方法非常委耍。 本文定義了一個(gè)j 2 e e 保護(hù)系統(tǒng)狀態(tài)的配置，使用這個(gè)語(yǔ)言，本文設(shè)計(jì)了一個(gè)j 2 e e 的鑒 權(quán)判定算法。這個(gè)配置和鑒權(quán)判定算法一起在數(shù)學(xué)上定義了j 2 e e 安全簽權(quán)系統(tǒng)的狀態(tài) 和行為。 利用先前定義的j 2 e e 保護(hù)系統(tǒng)的配置，給出了j 2 e e 安全服務(wù)如何支持r b a c 模 型。在j 2 e e 安全語(yǔ)言中提供了r b a c o 和r b a c l 的實(shí)現(xiàn)，而且，研究和分析了實(shí)現(xiàn)j 2 e e 安全服務(wù)支持r b a c o - - r b a c s 模型的需求。為了支持r b a c 模型實(shí)現(xiàn)，本文設(shè)計(jì)了兼 容j 2 e e 安全規(guī)范的方法。這個(gè)工作通過(guò)最大化j 2 e e 訪(fǎng)問(wèn)控毒j 機(jī)剖的效用來(lái)更好的腱現(xiàn) 它的能力，這一點(diǎn)對(duì)于使用中間件來(lái)保護(hù)系統(tǒng)資源是至關(guān)重要的。 第二個(gè)主要貢獻(xiàn)足提出了基于j 2 e e 的資源訪(fǎng)問(wèn)判定服務(wù)( j 2 e e c o r b ab a s e d r e s o u r c e a c c e s sd e c i s i o ns e r v i c e ，j c r a d s ) ，一個(gè)新鬏的配置鑒權(quán)機(jī)帛j 的體系結(jié)f ：| 方法， 這個(gè)鑒權(quán)機(jī)制在功能上適合在鑒權(quán)判定中使用針對(duì)應(yīng)月的信息來(lái)保護(hù)更細(xì)粒度的應(yīng)用 資源，它允許應(yīng)用與鑒權(quán)邏輯的分離，這樣就便得應(yīng)用開(kāi)發(fā)、部署和管理更加有效。向 且它能保證多個(gè)應(yīng)用問(wèn)策略的一致性。本文通過(guò)模型化鑒權(quán)策略的手段展示它的功能和 性能，這些鑒權(quán)策略需要使用這樣的針對(duì)的應(yīng)用的信息作為用戶(hù)和資源擁有者之問(wèn)約聯(lián) 系。 第一蕈引言 通過(guò)實(shí)現(xiàn)基于j 2 e e 資源訪(fǎng)問(wèn)判定服務(wù)的原型系統(tǒng)( j 2 e e b a s e da n t e t y p es y s t e m ， j a s ) ，本文獲得了一些有關(guān)基于j c r a d s 的鑒權(quán)服務(wù)設(shè)計(jì)的心得。另外，本文展示了 j c r a d s 體系結(jié)卡句的主要特征，比如靈活性、可配置能力和可擴(kuò)展能力，是如何使用j 2 e e 中1 日j 件來(lái)實(shí)例化的。開(kāi)發(fā)j a s 的經(jīng)驗(yàn)為基于j c r a d s 服務(wù)的設(shè)計(jì)提供了指導(dǎo)性的方針。 使用j a s 作為副試床，本文獲得了j a s 構(gòu)件的不同組件性能的定量評(píng)估。并發(fā)現(xiàn)， 使用執(zhí) j 日寸問(wèn)和鑒權(quán)清求的數(shù)量以及性能約束，j a s 配置可以提供需要的性能。 本文研究了封裝器的衷示方法。通過(guò)這種方法來(lái)闡述及嚴(yán)格證明其安全性。本文使 用c a l c u l u s 設(shè)計(jì)和描述了幾種封裝器：過(guò)濾封裝器、日志封裝器、管道封裝器，并且以 這三個(gè)封裝器為基礎(chǔ)，描述了n 元封裝器，探討了各種封裝器能夠保證的安全性。 1 3 論文內(nèi)容 下一章給出了訪(fǎng)問(wèn)控制主題的背景信息，解釋了主要的概念和術(shù)語(yǔ)，并且介紹了分 布式訪(fǎng)問(wèn)控制的范圍。接下來(lái)，詳細(xì)的論述了本文的問(wèn)題定義。然后，定義了一個(gè)評(píng)價(jià) 現(xiàn)存技術(shù)、相犬工作和本文方法的框架。最后，本章提供了一個(gè)觀(guān)點(diǎn)和技術(shù)的分析，可 以石出，對(duì)于保護(hù)分布式系統(tǒng)的資源來(lái)說(shuō)，現(xiàn)有的中間件技術(shù)非常重要和必須，但是， 它們也有自己不充分的地方。本章還回顧了研究領(lǐng)域的一些相關(guān)工作。 第三章提出了j 2 e e 保護(hù)系統(tǒng)的配置，它正規(guī)的定義了系統(tǒng)的狀態(tài)，使用這個(gè)定義， 設(shè)計(jì)了j 2 e e 鑒權(quán)決定的算法，并且給出了使用j 2 e e 安全怎么樣來(lái)支持r b a c 模型。 第四章介紹了j c r a d s 服務(wù)體系結(jié)構(gòu)，并且通過(guò)訪(fǎng)問(wèn)控制策略的例子來(lái)論證 j c r a d s 的功能的有效性。 。 第五章給出了j a s 的設(shè)計(jì)，并且給出了j c r a d s 體系結(jié)構(gòu)是如何使用j 2 e e 來(lái)實(shí)例 化的。 第人章討論了使用j a s 的性能試驗(yàn)，并且從結(jié)果中得出了相關(guān)結(jié)論。 第七章描述了4 個(gè)中間件封裝器，并證明了它們的安全性。 最后第八章討論完成的結(jié)果和進(jìn)一步的工作中應(yīng)該解決的問(wèn)題。 第二蕈背景就相關(guān)甸題移究 第二章背景和相關(guān)問(wèn)題研究 在詳紹的描述本文所定位的問(wèn)題之前，非常有必要給出在計(jì)算機(jī)系統(tǒng)中訪(fǎng)問(wèn)控制有 芙t 題的背景信息，解釋主要的概念和術(shù)語(yǔ)，并且介紹分布式訪(fǎng)問(wèn)控制的領(lǐng)域。 另外，本文定義了一個(gè)標(biāo)準(zhǔn)，用來(lái)評(píng)價(jià)現(xiàn)存技術(shù)、相關(guān)工作和對(duì)本文提出的解決方 案的分析。簡(jiǎn)要的說(shuō)，這個(gè)標(biāo)準(zhǔn)是資源的粒度、針對(duì)策略的應(yīng)用域支持、用于生成鑒權(quán) 判定的可用信息的多樣性、在鑒權(quán)判定中針對(duì)應(yīng)用的信息的使用、多個(gè)應(yīng)用間策珞的一 致性、對(duì)應(yīng)用和環(huán)境機(jī)制變化的支持、性能和管理的可量測(cè)性等。 最后，本章對(duì)已有的和正在進(jìn)行的研究工作進(jìn)行了分析和研究，給出了它們的適用 場(chǎng)景、優(yōu)，塊點(diǎn)等方面的情況。 2 1背景信息和術(shù)語(yǔ) 現(xiàn)代軟件系統(tǒng)的安全傳統(tǒng)上都是通過(guò)保護(hù)和保證來(lái)實(shí)現(xiàn)的，如下圖( 圖2 1 ) 所示。 圖2 1計(jì)算機(jī)安全的主要概念 保護(hù)機(jī)制通常由一些安全子系統(tǒng)機(jī)制來(lái)提供，用來(lái)保護(hù)系統(tǒng)不受特定的或脅，一個(gè) 威脅是發(fā)生在與計(jì)算機(jī)系統(tǒng)相關(guān)的資源上的、任何潛在的、會(huì)帶來(lái)非預(yù)期的效果的事件 【a m o r o s o1 9 9 4 。保護(hù)方式有一個(gè)前提：要能列出計(jì)算機(jī)系統(tǒng)內(nèi)部可能發(fā)生的盡可能多 的威脅，并且能建造一個(gè)能阻止這些威脅的機(jī)帶q b l a k l e y1 9 9 9 。保護(hù)機(jī)制可以分類(lèi)為三 個(gè)組：可說(shuō)明性、有效性和鑒權(quán)，可說(shuō)明性機(jī)制確保用戶(hù)( 或者他們執(zhí)行的程序) 一一 習(xí)慣上稱(chēng)為主題一一能對(duì)他們?cè)L問(wèn)系統(tǒng)資源和服務(wù)的行為負(fù)責(zé)。有效性機(jī)制確保服務(wù)連 續(xù)仕或者服務(wù)和資源中斷后的恢復(fù)能力。鑒權(quán)機(jī)制確保執(zhí)行使用系統(tǒng)資源和服務(wù)的規(guī) 劃。鑒權(quán)機(jī)制更有資格進(jìn)行訪(fǎng)問(wèn)控制或者數(shù)據(jù)保護(hù)。當(dāng)可以實(shí)現(xiàn)這些規(guī)則檢查和執(zhí)行的 時(shí)候，濤問(wèn)控制機(jī)制允詐系統(tǒng)擁有者執(zhí)行這些規(guī)則。術(shù)語(yǔ)“鑒權(quán)”還暗含做出訪(fǎng)問(wèn)控制 判定的過(guò)程。當(dāng)規(guī)則檢查和或執(zhí)行不可能時(shí)，使用數(shù)據(jù)保護(hù)機(jī)制。 傳統(tǒng)訪(fǎng)問(wèn)控制機(jī)制的結(jié)構(gòu)可用參考監(jiān)視器的概念模型來(lái)說(shuō)明，參考監(jiān)視器是安全子 中目杜學(xué)甍博士學(xué)位論文分布式環(huán)埯下資原訪(fǎng)，口j 鄔氣j 芫鍵】一q 雹研究 系統(tǒng)的一部分，負(fù)責(zé)仲裁主題到系統(tǒng)資源( 客體) 的訪(fǎng)問(wèn)，如下圖( 圖2 2 ) 所示。 圖2 2 參考監(jiān)視器 仲裁包括生成鑒權(quán)判定、根據(jù)鑒杈數(shù)據(jù)庫(kù)的鑒權(quán)規(guī)則檢查訪(fǎng)問(wèn)請(qǐng)求、然后執(zhí)行這些 請(qǐng)求。一套規(guī)則有時(shí)被稱(chēng)為策略。通常根據(jù)主題一動(dòng)作一客體體系結(jié)構(gòu)，簽權(quán)規(guī)j = j 洗明 什