機(jī)電與信息工程學(xué)院畢業(yè)設(shè)計(jì)格式PDF文檔的權(quán)限管理機(jī)制

1、摘 要隨著信息化的發(fā)展，目前許多組織的內(nèi)部信息均以電子文檔的形式保存和分發(fā)。而隨著網(wǎng)絡(luò)的發(fā)展和電子文檔的易獲取性，電子文檔的保護(hù)已成為各個(gè)機(jī)構(gòu)的急需解決的問(wèn)題。隨著各種機(jī)構(gòu)對(duì)這個(gè)問(wèn)題的關(guān)注，各類相關(guān)產(chǎn)品也應(yīng)運(yùn)而生。像國(guó)外的產(chǎn)品adobe content server和國(guó)內(nèi)的產(chǎn)品北大方正apabi等。電子文檔的保護(hù)研究已成為目前的熱點(diǎn)問(wèn)題之一。本文針對(duì)電子文檔的保護(hù)問(wèn)題，著重研究pdf文檔的權(quán)限管理。本課題通過(guò)對(duì)三種流行的訪問(wèn)控制機(jī)制的分析，吸收它們各自的優(yōu)點(diǎn)，設(shè)計(jì)了一種面向數(shù)字版權(quán)管理（digital rights management,drm），適應(yīng)drm特色的訪問(wèn)控制模型，并對(duì)該模型進(jìn)行了

2、分析和實(shí)現(xiàn) 。本文首先介紹了課題的研究背景和國(guó)內(nèi)外現(xiàn)狀，描述了drm的產(chǎn)生及相關(guān)技術(shù)和模型；然后分析了目前的三種訪問(wèn)控制機(jī)制的優(yōu)缺點(diǎn)，根據(jù)pdf文檔權(quán)限管理的實(shí)際需要提出將密級(jí)管理和角色機(jī)制相結(jié)合的訪問(wèn)控制模型drmrbac；最后對(duì)drmrbac模型的實(shí)現(xiàn)方法進(jìn)行了說(shuō)明，給出了相關(guān)的程序代碼。本課題的研究為pdf文檔保護(hù)和訪問(wèn)控制提供了有意義的借鑒作用，并為用戶提供了一個(gè)安全的電子文檔使用環(huán)境。關(guān)鍵詞：電子文檔；訪問(wèn)控制；權(quán)限管理；信息安全rights management mechanism of pdf documentlin ze-binabstractwith the developm

3、ent of information technology, most of internal information of many organizations are stored and distributed by digital documents. but with the development of network and easy acquirement of digital documents, protection of digital documents has been a ardent problem to be solved by many agencies. d

4、ue to the problem concerned by all kinds of agencies, many related products have been produced, such as foreign adobe content server and domestic founder apabi. research of protection of digital documents has become a focus in recent related researches.concerned on the problem of protection of digit

5、al documents, the paper focuses on the research of access control of pdf. by analyzing the advantages and disadvantages of three current mechanisms of access control, an access control model for drm is designed, which adapts the characteristics of drm. and the model is analyzed and implemented.first

6、ly, research background and status of foreign and civil researches are introduced, and the emergence of drm and related technologies and models are described. secondly, by analyzing the advantages and disadvantages of three current mechanisms of access control, the access control model drmrbac is pr

7、esented, which combines multi-level management with role-based access control according to the actual needs of access control of pdf. finally, implementation of drmrbac model is discussed and program codes are presented. the research provides a value reference to protection and access control of pdf

8、, and provides users with a safe environment for the use of electronic documents.key words：electronic documents; access control; rights management; information security目 錄1. 引言11.1 關(guān)于drm（digital rights management）11.1.1 選題背景11.1.2 選題的意義11.2 國(guó)內(nèi)外現(xiàn)狀21.3 研究所包含的內(nèi)容31.3.1 基于角色的訪問(wèn)控制機(jī)制31.3.2 網(wǎng)絡(luò)環(huán)境中系統(tǒng)的兼容性31.3.

9、3 本設(shè)計(jì)的創(chuàng)新點(diǎn)32. drm簡(jiǎn)述42.1 drm的基本模型（功能模型）42.1.1 傳統(tǒng)模型52.1.2 經(jīng)改進(jìn)的模型52.1.3 系統(tǒng)組成62.2 基于drm的安全機(jī)制62.2.1 電子文檔內(nèi)容的保護(hù)機(jī)制72.2.2 電子文檔的版權(quán)管理機(jī)制73. pdf文檔與drm的綜合運(yùn)用83.1 pdf文檔標(biāo)準(zhǔn)及特點(diǎn)83.2 pdf文檔在網(wǎng)絡(luò)中的傳輸方式93.3 基于pdf的drm模型簡(jiǎn)述94. 基于角色的訪問(wèn)控制機(jī)制124.1 傳統(tǒng)訪問(wèn)控制模型描述124.1.1 自主訪問(wèn)控制124.1.2 強(qiáng)制訪問(wèn)控制124.1.3 基于角色的訪問(wèn)控制（rbac）134.2 drmrbac訪問(wèn)控制模型144.2.

10、1 drmrbac基本概念與原則144.2.2 訪問(wèn)控制策略164.3權(quán)限管理模型174.3.1 用戶角色分配174.3.2 角色權(quán)限分配194.3.3 訪問(wèn)控制214.4 本設(shè)計(jì)的特點(diǎn)224.4.1 優(yōu)點(diǎn)分析224.4.2 缺點(diǎn)與不足235. 模塊的設(shè)計(jì)與實(shí)現(xiàn)245.1 模塊功能簡(jiǎn)述245.2 用戶認(rèn)證功能255.3 文檔授權(quán)策略管理功能295.4 審計(jì)管理功能315.5 權(quán)限綁定與轉(zhuǎn)移服務(wù)提供326. 總結(jié)33參考文獻(xiàn)34致 謝35附錄1：用戶管理代碼36附錄2：角色管理相關(guān)代碼4347pdf文檔的權(quán)限管理機(jī)制姓名：林澤斌 學(xué)號(hào)：2005394130 班級(jí)：網(wǎng)絡(luò)工程0511. 引言1.1

11、關(guān)于drm（digital rights management）drm(digital rights management)指的是數(shù)字版權(quán)管理，其出現(xiàn)的目的是為了保護(hù)數(shù)字信息的傳播。數(shù)字內(nèi)容包括電子圖書、數(shù)字音樂(lè)、圖片、影視產(chǎn)品及軟件等。數(shù)字版權(quán)管理（drm）作為一種核心的訪問(wèn)控制技術(shù)，隨著不停的更新，能有效的防止盜版，保護(hù)知識(shí)產(chǎn)權(quán)。敏感的知識(shí)產(chǎn)權(quán)者使用它對(duì)訪問(wèn)控制進(jìn)行管理，以達(dá)到保護(hù)自身各種知識(shí)產(chǎn)權(quán)的目的。數(shù)字版權(quán)管理技術(shù)就是以數(shù)字加密技術(shù)為基礎(chǔ)，結(jié)合一系列軟硬件技術(shù)，實(shí)現(xiàn)對(duì)數(shù)字內(nèi)容的保護(hù)1。drm技術(shù)涉及標(biāo)識(shí)技術(shù)、加密和安全技術(shù)、存儲(chǔ)技術(shù)等。drm系統(tǒng)需用要達(dá)到的安全性目標(biāo)是2：1) 防止

12、攻擊者繞過(guò)數(shù)字版權(quán)管理而非法拷貝和使用數(shù)字內(nèi)容。2) 對(duì)于攻擊者，使破壞drm系統(tǒng)變得更加困難，需要高昂的成本。3) 將攻擊者的突破口的范圍減到最小，從而限制其商業(yè)目的實(shí)現(xiàn)。1.1.1 選題背景本課題的研究來(lái)源于佛山市科技發(fā)展專項(xiàng)資金項(xiàng)目“基于許可證的通用電子文檔版權(quán)管理系統(tǒng)”（項(xiàng)目編號(hào)：200701002)部分研究成果。隨著網(wǎng)絡(luò)和數(shù)字化技術(shù)的快速發(fā)展，在電子政務(wù)網(wǎng)和企業(yè)內(nèi)部網(wǎng)中，很多文件以電子文檔的形式進(jìn)行分發(fā)和存儲(chǔ)。而傳統(tǒng)的以訪問(wèn)控制為主的公文保護(hù)技術(shù)只能限制非法用戶的訪問(wèn)，對(duì)于合法用戶獲取公文后的非法復(fù)制和傳播造成的敏感信息泄密、盜版和侵權(quán)，傳統(tǒng)的公文保護(hù)技術(shù)往往無(wú)能為力。根據(jù)美國(guó)聯(lián)邦調(diào)

13、查局(federal bureau of investigation，fbi),和美國(guó)犯罪現(xiàn)場(chǎng)鑒證科（crime scene investigation，csi）的調(diào)查，企業(yè)內(nèi)部信息泄露事件中，70%以上都是內(nèi)部人員的泄密造成的。70%到80%的安全泄密都來(lái)自于內(nèi)部的合法用戶，其中故意泄露的只占不到6%。因而，如何保護(hù)電子文檔的非法復(fù)制、篡改和傳播問(wèn)題是目前我國(guó)電子政務(wù)和電子商務(wù)發(fā)展所面臨的嚴(yán)峻問(wèn)題。因此，近年來(lái)，針對(duì)電子文檔保護(hù)的數(shù)字版權(quán)管理技術(shù)得到重視。1.1.2 選題的意義本項(xiàng)目的研究成果不僅能夠防范非法用戶獲取電子文檔，而且能防止內(nèi)部用戶在未經(jīng)授權(quán)的情況下對(duì)電子文檔的篡改與傳播。為解決

14、電子文檔在分發(fā)和使用過(guò)程中的安全性和可控性提供了一種有效的技術(shù)手段和解決方案。比起傳統(tǒng)的以訪問(wèn)控制為主的保護(hù)技術(shù)，更能起到因合法用戶獲得電子文檔后對(duì)公文的非法復(fù)制與傳播等。有效減少了各種機(jī)構(gòu)公文在傳輸過(guò)程中因權(quán)限及版權(quán)問(wèn)題造成的各種損失。1.2 國(guó)內(nèi)外現(xiàn)狀近年來(lái)，電子文檔數(shù)字版權(quán)管理的技術(shù)得到重視。而出現(xiàn)了許多以訪問(wèn)控制為主的保護(hù)技術(shù)，國(guó)外的產(chǎn)品有adobe content server、rightsenforcers、intertrust digibox等，而國(guó)內(nèi)的產(chǎn)品則有億賽通、鐵卷、前沿、天盾、索遠(yuǎn)、山麗、北大方正的apabi等。但現(xiàn)有的產(chǎn)品雖然各項(xiàng)防護(hù)能力出色，但仍存在一定的缺陷，無(wú)法

15、同時(shí)滿足電子文檔保護(hù)和版權(quán)管理的需要，在防止內(nèi)部用戶訪問(wèn)與離線控制中均差強(qiáng)人意。而對(duì)于具有版權(quán)保護(hù)功能的國(guó)內(nèi)外產(chǎn)品也存在許多問(wèn)題，如許可證缺乏正式語(yǔ)義，開放性、靈活性、交互性，不支持默認(rèn)權(quán)利描述，缺乏用戶隱私保護(hù)等能力等問(wèn)題，無(wú)法滿足現(xiàn)代電子文檔版權(quán)保護(hù)和版權(quán)管理的雙重需要?，F(xiàn)有產(chǎn)品的簡(jiǎn)要比較如下：產(chǎn)品加密技術(shù)平臺(tái)文檔格式支持的數(shù)據(jù)庫(kù)防止內(nèi)部主動(dòng)泄密支持離線管理權(quán)限控制windows rm/windows 2003各種電子數(shù)據(jù)(尤其是office 2003應(yīng)用程序)否是否authentica128位 rc4winnt/2k/xpunix、linuxpdf、電子郵件、web內(nèi)容ms-sql 20

16、00/是/方正apabi192位的對(duì)稱加密算法win nt4+ sp6或win2000自有格式ceb, 可轉(zhuǎn)化為此格式的文件包括：doc、wps、pdf、eps、tiff、autocad、s2、ps2、psms-sql server是/前沿aes 128位&x509winnt/2k/xpoffice2k+、pdf 5.0+、文本、圖像、autocad2k+ms-sqlsybaseoraclemysql否是是億賽通cdgcobrawinnt/2k/xp、hp-ux、solarisms officepdfdwgtxtbmpjpggifrtfwkstiffpngicodxfdwtxmlcss

17、dtdbatjapcvbscppjavamssql, oracle sybasemysql否是是鐵卷aeswinnt/2k/xpms officepdfdwgdxfdwtwpspro-emicrostationms-sqlsybaseoraclemysql是是否網(wǎng)航睿鎖des,3des,aeswinnt/2k/xpms office、dwg、wps、txt、html、autocadms-sqlsybaseoraclemysql是是是天盾des,rsawin2k/xpms office、pdf、autocad、mdt、inventor、pro/e、ug多種數(shù)據(jù)庫(kù)是否否索遠(yuǎn)不加密，轉(zhuǎn)換為pdfwi

18、nnt/2k/xpms office、jpg、tif、dwg、wps多種數(shù)據(jù)庫(kù)否否是山麗未知winnt/2k/xp所有文件格式多種數(shù)據(jù)庫(kù)否是否中軟未知winnt/2k/xp多種數(shù)據(jù)庫(kù)是否是守望者2006sealwinnt/2k/xp所有文件格式多種數(shù)據(jù)庫(kù)是是否表1-1 產(chǎn)品功能比較1.3 研究所包含的內(nèi)容1.3.1 基于角色的訪問(wèn)控制機(jī)制本設(shè)計(jì)主要以基于用戶角色的角度、分別從文檔制造者、文檔服務(wù)商及文檔用戶三個(gè)不同的角度展開對(duì)訪問(wèn)控制機(jī)制的探討。主要運(yùn)用在服務(wù)器對(duì)文檔的使用授權(quán)及對(duì)客戶機(jī)的判定中，運(yùn)用模塊設(shè)計(jì)中的數(shù)據(jù)庫(kù)（數(shù)據(jù)庫(kù)的相關(guān)內(nèi)容將在第5小節(jié)中的模塊功能設(shè)計(jì)中逐一說(shuō)明）中的元組、集合及它

19、們中的各類關(guān)聯(lián)，最終產(chǎn)生一個(gè)用戶的權(quán)限集合，規(guī)定用戶的使用權(quán)限，以此達(dá)到服務(wù)器對(duì)文檔使用的有效的訪問(wèn)控制。1.3.2 網(wǎng)絡(luò)環(huán)境中系統(tǒng)的兼容性本項(xiàng)目開發(fā)基于java語(yǔ)言采用web service實(shí)現(xiàn)，采用mvc模式，遵循j2ee規(guī)范。由于本項(xiàng)目最終運(yùn)用于網(wǎng)絡(luò)服務(wù)中，故采用jsp語(yǔ)言編寫網(wǎng)站。有效的業(yè)務(wù)處理與頁(yè)面回顯的分離，業(yè)務(wù)處理均采用java語(yǔ)言完成，java語(yǔ)言因其優(yōu)秀的跨平臺(tái)特性和對(duì)網(wǎng)絡(luò)服務(wù)的特殊便利性，讓本系統(tǒng)能很好的適應(yīng)各類網(wǎng)絡(luò)環(huán)境，及能在各類具有不同操作系統(tǒng)的客戶機(jī)上得以很好的完成預(yù)定的業(yè)務(wù)需求。在java語(yǔ)言的跨平臺(tái)特性下，實(shí)現(xiàn)了更高的兼容性。1.3.3 本設(shè)計(jì)的創(chuàng)新點(diǎn)本課題的研究

20、來(lái)源于佛山市科技發(fā)展專項(xiàng)資金項(xiàng)目“基于許可證的通用電子文檔版權(quán)管理系統(tǒng)”（項(xiàng)目編號(hào)：200701002)部分研究成果，使用了項(xiàng)目組開發(fā)的硬件綁定專利技術(shù)，使用了專有的許可證權(quán)限管理機(jī)制。使權(quán)限管理實(shí)現(xiàn)了到客戶機(jī)為點(diǎn)的認(rèn)證管理模式。2. drm簡(jiǎn)述2.1 drm的基本模型（功能模型）drm的功能模型是用來(lái)描述drm體系結(jié)構(gòu)的一種重要方式，功能模型從drm整個(gè)運(yùn)作體系及流程展開了一種面向用戶的詳盡的功能描述及工作流程表達(dá)。而其最重要的目的是在于描述drm系統(tǒng)的需求和需要完成的安全功能。功能模型如圖2-1所示：圖2-1 drm功能模型1) 資產(chǎn)創(chuàng)作與獲?。喝绾芜\(yùn)用簡(jiǎn)便統(tǒng)一的方式創(chuàng)作資源，使資源能更方

21、便的進(jìn)行發(fā)布與管理。當(dāng)中應(yīng)包含創(chuàng)作者或者提供者的創(chuàng)作版權(quán)聲明，并能完成以下工作：(1) 版權(quán)驗(yàn)證：確保所創(chuàng)作的版權(quán)是依托于現(xiàn)有的資源。(2) 版權(quán)創(chuàng)建：將版權(quán)分配給新的資源，指定新資源的適用范圍。(3) 版權(quán)工作：通過(guò)一系列的處理步驟，使版權(quán)得以查看或能繼承。2) 資產(chǎn)管理：如何管理資產(chǎn)并使之能夠被有效的交易，包含從資產(chǎn)創(chuàng)建者處獲得新的資產(chǎn)并將其納入資產(chǎn)管理的范圍。此功能模塊還應(yīng)提供版權(quán)元數(shù)據(jù)和資產(chǎn)內(nèi)容元數(shù)據(jù)。并完成以下工作：(1) 資產(chǎn)的存儲(chǔ)：使得存儲(chǔ)在數(shù)據(jù)庫(kù)中的資產(chǎn)各類元數(shù)據(jù)及內(nèi)容能被訪問(wèn)/獲取。(2) 交易功能：包含從資產(chǎn)購(gòu)買者（用戶）至資產(chǎn)版權(quán)創(chuàng)建者完備的支付過(guò)程。而傳送的資產(chǎn)需經(jīng)過(guò)一

22、些措施以滿足許可證的需求。3) 資產(chǎn)使用：如何對(duì)已交易成功的資產(chǎn)進(jìn)行管理，包括對(duì)客戶機(jī)系統(tǒng)平臺(tái)的支持及對(duì)資產(chǎn)的各類約束。并完成以下工作：(1) 許可授權(quán)：使用資產(chǎn)的環(huán)境及用戶在權(quán)限認(rèn)證中所擁有的本地權(quán)限。(2) 跟蹤管理：按照許可證的權(quán)限條件，跟蹤用戶對(duì)資產(chǎn)內(nèi)容的使用情況。以下將從drm體系結(jié)構(gòu)模型的角度，運(yùn)用較為抽象化的模型對(duì)drm的發(fā)展進(jìn)行簡(jiǎn)要的描述。2.1.1 傳統(tǒng)模型圖2-2 drm傳統(tǒng)模型如上圖所示，傳統(tǒng)的drm系統(tǒng)模型經(jīng)抽象化后主要由drm證書服務(wù)器和drm客戶端（文檔打包器與文檔閱讀器）組成。其中drm證書服務(wù)器負(fù)責(zé)對(duì)文檔的許可證進(jìn)行數(shù)字簽名、分發(fā)和管理等到，工作于網(wǎng)絡(luò)服務(wù)器。傳

23、統(tǒng)模型的工作流程如下：1) 首先用戶在客戶端創(chuàng)建一份需要保護(hù)的文檔，并對(duì)該文檔的權(quán)限策略進(jìn)行相關(guān)規(guī)定，然后該客戶端向drm服務(wù)器發(fā)送自身的一個(gè)許可證，并用證書服務(wù)器對(duì)其進(jìn)行唯一的數(shù)字簽名認(rèn)證。將許可證在服務(wù)器方進(jìn)行注冊(cè)后，服務(wù)器返回注冊(cè)后的許可證給用戶，此時(shí)用戶就可以發(fā)布文檔了。2) 當(dāng)客戶端有用戶申請(qǐng)對(duì)文檔進(jìn)行使用時(shí)，客戶端主動(dòng)將用戶的相關(guān)信息發(fā)送到drm服務(wù)端進(jìn)行驗(yàn)證，如果驗(yàn)證通過(guò)，則返回一份許可證，其中包含了相關(guān)的文檔權(quán)限控制策略，此時(shí)用戶就能根據(jù)規(guī)定的權(quán)限對(duì)文檔進(jìn)行訪問(wèn)。2.1.2 經(jīng)改進(jìn)的模型圖2-3 經(jīng)改進(jìn)的模型如上圖所示，經(jīng)改進(jìn)的模型在進(jìn)行一些抽象處理后，與傳統(tǒng)的模型相比增加了在

24、傳輸過(guò)程的加密處理與訪問(wèn)控制策略的深化管理。使得每一個(gè)訪問(wèn)策略都是基于角色的，且由統(tǒng)一的服務(wù)數(shù)據(jù)庫(kù)進(jìn)行管理與發(fā)放，大大節(jié)省了存儲(chǔ)的空間，并實(shí)現(xiàn)了對(duì)用戶訪問(wèn)文檔權(quán)限的有效控制。電子文檔采用水印等技術(shù)進(jìn)行加密，在傳輸過(guò)程中采用數(shù)字信封技術(shù)，保障了用戶在訪問(wèn)文檔過(guò)程中的安全措施。2.1.3 系統(tǒng)組成圖2-4 系統(tǒng)組成功能結(jié)構(gòu)圖經(jīng)改進(jìn)的drm模型仍包含有drm服務(wù)端與drm客戶端。如上圖所示，文檔服務(wù)器（document server，ds）和版權(quán)服務(wù)器(copyright server，cs)部署于服務(wù)器端，版權(quán)控制器(copyright controller，cc)則部署在客戶端。它們完成的功能如

25、下：1) 文檔服務(wù)器：部署在服務(wù)端，用于對(duì)文檔的加密封裝和提供下載、文檔制作人對(duì)文檔的原始授權(quán)設(shè)定、嵌入數(shù)字水印等，文檔內(nèi)容服務(wù)器也包括對(duì)文檔的分類存儲(chǔ)、在線編輯協(xié)作、全文檢索和文檔工作流審批等文檔知識(shí)管理功能。2) 版權(quán)服務(wù)器：版權(quán)服務(wù)器部署在服務(wù)端，包括許可證生成器等部件，在收到用戶的許可證請(qǐng)求后，版權(quán)服務(wù)器按照用戶權(quán)限、許可證的發(fā)放歷史和原始權(quán)限的規(guī)定產(chǎn)生使用許可證并經(jīng)加密后發(fā)送到版權(quán)控制器。3) 版權(quán)控制器：版權(quán)控制器部署在客戶端，用戶通過(guò)版權(quán)控制器向服務(wù)端申請(qǐng)使用許可證，并通過(guò)許可證解釋器解釋許可證的權(quán)限并在文檔生命周期內(nèi)控制文檔的使用權(quán)限。包括安全文檔閱讀器、數(shù)字水印檢測(cè)器、許可證

26、解釋器、權(quán)限綁定遷移與操作審計(jì)功能。2.2 基于drm的安全機(jī)制無(wú)論是政府電子政務(wù)網(wǎng)還是企業(yè)信息網(wǎng)，像這類歸屬于內(nèi)部網(wǎng)的信息網(wǎng)絡(luò)對(duì)信息安全的要求比較高。鑒于這類信息內(nèi)部網(wǎng)經(jīng)常用于傳輸敏感的內(nèi)部信息，而各種內(nèi)部網(wǎng)的信息泄漏由很大一部分是由內(nèi)部人員的有意竊取或無(wú)意操作不當(dāng)造成的，而傳統(tǒng)的單靠管理制度或技術(shù)手段來(lái)減少或避免信息泄漏較難預(yù)防這方面帶來(lái)的各種損失。為此需要一種技術(shù)與管理手段相結(jié)合的方式，技術(shù)手段為相應(yīng)的管理措施提供強(qiáng)有力的技術(shù)支持。在無(wú)紙化辦公越來(lái)越普遍的辦公環(huán)境中，電子文檔成為一種重要的信息傳達(dá)和資料整理與存儲(chǔ)的手段。因此防范電子文檔的非法訪問(wèn)、復(fù)制、打印和傳播成為當(dāng)下解決信息安全的一

27、個(gè)重要話題。drm技術(shù)作為一種有效的管理電子文檔非法訪問(wèn)與傳播的技術(shù)手段，更加受到國(guó)內(nèi)外各類組織的重視，并將drm技術(shù)列入至信息安全的技術(shù)范疇。國(guó)內(nèi)外在近期也推出相當(dāng)多的產(chǎn)品，但產(chǎn)品中大多以普遍適用性為主，沒為充分考慮到內(nèi)部網(wǎng)這一特殊的使用環(huán)境所具有的某些特殊需求。例如文檔的密級(jí)管理與文檔的權(quán)限追蹤、基于文檔密級(jí)的身份認(rèn)證和系統(tǒng)的跨平臺(tái)特性等需求。為了填補(bǔ)這一領(lǐng)域的缺口，本課題旨在研究如何加強(qiáng)文檔的密級(jí)管理與文檔的版權(quán)管理。2.2.1 電子文檔內(nèi)容的保護(hù)機(jī)制電子文檔的內(nèi)容無(wú)疑是所有研究課題所圍繞的重心，如何有效的防止電子文檔的內(nèi)容被非法竊取、復(fù)制和傳播是課題的重中之重?；赿rm的電子文檔內(nèi)容

28、保護(hù)機(jī)制主要包括：1) 將電子文檔的格式轉(zhuǎn)換為不可以改寫的圖片格式，一方面可以運(yùn)用pdf這一統(tǒng)一的格式；另一方面可以防范非法篡改電子文檔的內(nèi)容。2) 采用md5加密技術(shù)對(duì)電子文檔內(nèi)容進(jìn)行加密，并在內(nèi)容在添加電子水印，提高電子文檔的可靠性。3) 電子文檔在傳輸過(guò)程中，運(yùn)用數(shù)字簽名技術(shù)以防止非法授權(quán)的閱讀文檔。2.2.2 電子文檔的版權(quán)管理機(jī)制面對(duì)計(jì)算機(jī)的普及，網(wǎng)絡(luò)環(huán)境存在著眾多不安全因素，僅從電子文檔的內(nèi)容對(duì)數(shù)字信息進(jìn)行保護(hù)是遠(yuǎn)遠(yuǎn)不夠的。隨著各種加密技術(shù)和網(wǎng)絡(luò)傳輸方式的發(fā)展，對(duì)電子文檔的版權(quán)管理機(jī)制也應(yīng)當(dāng)發(fā)展俱全。本課題研究的重點(diǎn)是如何防范內(nèi)部合法用戶泄漏組織內(nèi)部作息，故電子文檔的版權(quán)管理目的是

29、防范合法用戶非法傳播和復(fù)制電子文檔。任何用戶在使用受保護(hù)的電子文檔時(shí)都應(yīng)受到如下版權(quán)約束：1) 一個(gè)合法用戶必須在網(wǎng)絡(luò)服務(wù)器中進(jìn)行注冊(cè)，包括用戶名、口令和硬件標(biāo)識(shí)等。硬件標(biāo)識(shí)指的是用戶所使用計(jì)算機(jī)的硬盤序列號(hào)、nic編號(hào)、mac地址等唯一機(jī)器標(biāo)識(shí)。2) 在使用文檔時(shí)用戶需通過(guò)一系列結(jié)合用戶名、口令和硬件標(biāo)識(shí)等認(rèn)證信息的身份認(rèn)證過(guò)程。由此獲得相應(yīng)的電子文檔的使用許可證。3) 用戶在通過(guò)所有的身份認(rèn)證后，才依據(jù)許可證和密鑰對(duì)電子文檔進(jìn)行解密，并獲得相應(yīng)的使用權(quán)限。4) 用戶只能按照自身使用權(quán)限獲得對(duì)電子文檔的使用范圍，且不能非法修改電子文檔。3. pdf文檔與drm的綜合運(yùn)用便攜式文件格式(por

30、table document format，pdf)最早是由adobe公司為了解決跨平臺(tái)傳輸和共享文件問(wèn)題所開發(fā)一種電子文件格式。2005年pdf正式成為iso國(guó)際標(biāo)準(zhǔn)，并隨著計(jì)算機(jī)技術(shù)的發(fā)展和迅速占有了大片的市場(chǎng)，促使了pdf電子文檔的普及。為了能更為廣泛的運(yùn)用于電子文檔，本課題亦是采用通用的pdf格式進(jìn)行研究。3.1 pdf文檔標(biāo)準(zhǔn)及特點(diǎn)pdf技術(shù)憑借其對(duì)于跨語(yǔ)言、跨平臺(tái)、跨軟件等方面的處理有卓越的表現(xiàn)，并在實(shí)際中的廣泛運(yùn)用，經(jīng)過(guò)長(zhǎng)年的改進(jìn)，pdf電子文檔已然成為網(wǎng)絡(luò)中傳輸?shù)囊环N文檔標(biāo)準(zhǔn)?？紤]到pdf的使用目標(biāo)，adobe公司為pdf文檔設(shè)計(jì)了以下標(biāo)準(zhǔn)：31) adobe圖形模型：pdf文

31、檔使用adobe的圖形模型呈現(xiàn)文本和圖形，和postscript一樣，一個(gè)對(duì)pdf頁(yè)面的描述是通過(guò)對(duì)指定區(qū)域的設(shè)置顏料將頁(yè)面畫出。pdf文檔不同于postscript，它不是一種可編程的語(yǔ)言，它不包含過(guò)程、變量。pdf文檔比postscript具有更高的效率。pdf文檔是通過(guò)機(jī)器碼來(lái)生成的，所以可以很快的呈現(xiàn)給用戶。2) 便攜標(biāo)準(zhǔn)：pdf文件是一個(gè)二進(jìn)制文件。對(duì)于一些只能處理可打印的ascii字符和空白字符的代理，它們可能會(huì)對(duì)pdf文檔造成損害。3) 壓縮標(biāo)準(zhǔn)：為了減小文件的容量，pdf文檔支持一些工業(yè)標(biāo)準(zhǔn)的壓縮標(biāo)準(zhǔn)：(1) jpeg：壓縮色彩和灰度圖像。(2) ccitt group 3,c

32、citt group 4：壓縮單色圖。(3) lzw：壓縮文本、圖形和帶索引的圖像數(shù)據(jù)。4) 字體獨(dú)立性標(biāo)準(zhǔn)：pdf文檔提供了新的方法，能夠使文檔獨(dú)立于創(chuàng)建該文檔的字體。一個(gè)pdf文檔包含一個(gè)字體描述符，它描述了每一個(gè)在文檔中使用到的字體。字體描述符包括字體名字、字符矩陣和類型信息。如果文檔中使用到的字體可以在本地計(jì)算機(jī)中得到，那么就使用該字體描述pdf文檔；如果本地計(jì)算機(jī)中無(wú)法得到該字體，將使用多控制字體來(lái)模仿缺少字體的權(quán)重和寬度，通過(guò)這種方法可以維持文檔的色彩和格式。符號(hào)型的字體會(huì)以一種特殊的方式進(jìn)行處理，符號(hào)型的字體不使用標(biāo)準(zhǔn)的isolation 1字符集，pdf文檔使用實(shí)際字符圖形配合

33、字體描述符對(duì)其進(jìn)行模仿。5) 隨機(jī)訪問(wèn)標(biāo)準(zhǔn)：每一個(gè)pdf文檔包含一張引用表，通過(guò)它可以定位并直接訪問(wèn)頁(yè)面或者其他的重要對(duì)象。引用表一般存儲(chǔ)在文件上的尾部。使用引用表可以使對(duì)任一頁(yè)面的訪問(wèn)獨(dú)立于所有的pdf頁(yè)面。6) 增量更新標(biāo)準(zhǔn)：用戶對(duì)于多達(dá)幾十頁(yè)的pdf文檔的修改，不需要每一次都對(duì)所有的頁(yè)面進(jìn)行重寫。pdf允許將修改的部分添加到文檔，并保留原始數(shù)據(jù)的有效性。7) 可擴(kuò)展性標(biāo)準(zhǔn)：pdf文檔被設(shè)計(jì)成可擴(kuò)展的，開發(fā)者可以向已有的pdf文檔格式中添加新的特征，并將其實(shí)現(xiàn)。目前在各種機(jī)構(gòu)中，隨著電子文檔的應(yīng)用越來(lái)越廣，對(duì)電子文檔的保護(hù)成為人們熱門探討的話題。而電子文檔在國(guó)際化程度越來(lái)越高的環(huán)境中，各種

34、問(wèn)題亦突顯出來(lái)。例如文件能否跨平臺(tái)，在不同的操作系統(tǒng)或環(huán)境中文件樣式是否會(huì)改變，文件在網(wǎng)絡(luò)中的傳輸速度。而pdf電子文檔成為解決這些問(wèn)題最有效手段。它具有以下特點(diǎn)：1) 容易生成：pdf電子文檔的跨平臺(tái)和跨軟件特性讓各種格式的電子文檔在不同的操作平臺(tái)中能輕松的轉(zhuǎn)換成為pdf格式。2) 忠實(shí)再現(xiàn)原文：轉(zhuǎn)換為pdf格式的電子文檔將被如實(shí)的保存所有的樣式，而且在放大為800%的情況下仍能做到不失真。3) pdf電子文檔能夠在任何操作語(yǔ)言的系統(tǒng)中使用其它的語(yǔ)言對(duì)它進(jìn)行編輯，有效解決了國(guó)際化中的語(yǔ)言溝通問(wèn)題。4) 容量小、便于傳輸：pdf格式是一種壓縮文件并支持多種編碼方式，使生成的文件容量比其它格式更

35、小，更便于傳輸。5) 文件審閱功能：任何合法用戶均可以利用pdf文檔閱讀器中提高供的注釋工具對(duì)文檔進(jìn)行注釋，方便用戶對(duì)文檔進(jìn)行審批。6) 檢索功能：用戶可以用閱讀器中的檢索工具，對(duì)文檔進(jìn)行相關(guān)的文字檢索。3.2 pdf文檔在網(wǎng)絡(luò)中的傳輸方式pdf文檔基于其文件容量小的特點(diǎn)，在網(wǎng)絡(luò)中極易進(jìn)行傳輸和共享。在網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，pdf電子文檔的特點(diǎn)也成為它本身最大的弱點(diǎn)。雖然各種加密機(jī)制應(yīng)運(yùn)而生，但仍有許多不法分子通過(guò)各種手段進(jìn)行破解，竊取傳輸過(guò)程中的文檔信息。本課題運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中的數(shù)字信封技術(shù)對(duì)加密后的pdf文檔封裝后進(jìn)行傳輸，且為了提高應(yīng)用程序之間數(shù)據(jù)的安全系數(shù)，雙方采用安全套接層協(xié)議（s

36、ecure sockets layer，ssl）。由于數(shù)字信封技術(shù)能保證用戶雙方的真實(shí)性、交互雙方的不可抵賴性、傳輸過(guò)程信息的完整性，被廣泛運(yùn)用于商務(wù)文件的傳輸。pdf文檔在網(wǎng)絡(luò)傳輸中采用這種方式，能有效保證用戶的合法性和電子文檔內(nèi)容的信息真實(shí)性，配合drm系統(tǒng)的使用有效產(chǎn)生安全機(jī)制。3.3 基于pdf的drm模型簡(jiǎn)述圖3-1 基于pdf的drm模型如上圖所示，基于pdf的drm模型是建立在經(jīng)改進(jìn)后的drm模型（圖2-3）基礎(chǔ)上的，它將兩個(gè)客戶端變成更為統(tǒng)一的支持pdf格式。針對(duì)pdf文檔的模型工作流程如下：1) pdf文檔生成器(1) 首先需要?jiǎng)?chuàng)作pdf格式文檔的用戶登錄drm證書服務(wù)器進(jìn)行

37、必要的身份驗(yàn)證。(2) 通過(guò)身份驗(yàn)證的用戶，可以將自身創(chuàng)作的任何非pdf格式的文檔運(yùn)用生成器提供的工具轉(zhuǎn)化為pdf文檔，以便統(tǒng)一管理。(3) 文檔生成器自運(yùn)加載加密程序，按照預(yù)先設(shè)定好的加密流程，對(duì)用戶創(chuàng)作的文檔進(jìn)行加密處理。(4) 創(chuàng)作用戶借由文檔生成器對(duì)經(jīng)處后的文檔施加訪問(wèn)控制策略。(5) 證書服務(wù)器將用戶對(duì)文檔的加密密鑰返回至文檔生成器，由用戶自身留存。(6) 用戶將已處理完畢的pdf文檔上傳至服務(wù)器數(shù)據(jù)庫(kù)。2) drm證書服務(wù)器(1) 對(duì)用戶發(fā)送過(guò)來(lái)的服務(wù)請(qǐng)求進(jìn)行核對(duì)，包括用戶的身份認(rèn)證和許可證。(2) 根據(jù)用戶許可證的發(fā)放歷史和原始權(quán)限的規(guī)定產(chǎn)生使用許可證。(3) 若以上步驟確定該用

38、戶的身份合法，則將加密后的許可證發(fā)送至客戶端。(4) 同步進(jìn)行審計(jì)功能，按照時(shí)間順序記錄加密文檔操作。3) pdf文檔閱讀器(1) 對(duì)進(jìn)行文檔操作申請(qǐng)的用戶能通過(guò)drm服務(wù)器進(jìn)行身份驗(yàn)證。(2) 通過(guò)身份驗(yàn)證的用戶向drm服務(wù)器申請(qǐng)使用許可證。(3) 用戶獲得服務(wù)器發(fā)回的許可證后，通過(guò)許可證解釋器解釋許可證的權(quán)限并在文檔生命周期內(nèi)控制文檔的使用權(quán)限。(4) pdf文檔閱讀器在接收到加密的文檔后，對(duì)數(shù)字文檔中的水印進(jìn)行提取、檢測(cè)和鑒別。(5) 判斷當(dāng)前文檔的完整性和相關(guān)的版權(quán)信息。(6) 按照許可證的設(shè)置將數(shù)字文檔與硬件綁定，并按照服務(wù)端設(shè)置的綁定策略提供文檔的設(shè)備間遷移機(jī)制。(7) 記錄用戶對(duì)

39、安全文檔執(zhí)行的操作，為事后審計(jì)追蹤提供依據(jù)。以上是從一種較為抽象化的模型描述，本課題研究中按照用戶的三種不同角色，對(duì)模型進(jìn)行了較為適應(yīng)商務(wù)運(yùn)作的角度對(duì)模型進(jìn)行了描述。三種用戶角色分別對(duì)應(yīng)了抽象化模型中三個(gè)功能模塊。文檔服務(wù)商文檔制造者文檔用戶上傳文檔下載或在線觀看文檔圖3-2 系統(tǒng)的角色模型如上圖所示，文檔制者對(duì)應(yīng)于pdf文檔生成器，文檔服務(wù)商則與drm證書服務(wù)器相應(yīng)，最后的文檔用戶則是pdf文檔閱讀器的范疇。站在不同的用戶角度，本課題所研究的實(shí)現(xiàn)方式如下：1) 文檔制造者:(1) 文檔制造者可有兩種，一種是注冊(cè)用戶，另一種是未注冊(cè)用戶（文檔服務(wù)器可給注冊(cè)和未注冊(cè)用戶不同的權(quán)限）(2) 文檔制

40、造者擁有一個(gè)軟件客戶端（在瀏覽器下或單獨(dú)的c/s軟件客戶端）(3) 文檔制造者通過(guò)客戶端提交自己的文檔，并填寫權(quán)利要求，然后客戶端將權(quán)利要求生成一張?jiān)荚S可證連同文檔發(fā)送到服務(wù)端。(4) 如果有用戶使用該文檔，服務(wù)端將使用情況發(fā)回給文檔制造者以利于文檔制造者了解自己提交文檔的使用情況和權(quán)利保護(hù)情況。2) 文檔用戶的角度：(1) 文檔用戶暫時(shí)只有注冊(cè)用戶一種（以后可增加未注冊(cè)用戶）(2) 文檔用戶瀏覽文檔服務(wù)器上擁有的文檔和相關(guān)的權(quán)利要求，付費(fèi)方式(3) 文檔用戶擁有一個(gè)軟件客戶端（在瀏覽器下或單獨(dú)的c/s軟件客戶端）(4) 文檔用戶通過(guò)軟件客戶端填寫需要使用的文檔和權(quán)限要求并輸入自己的賬戶和密

41、碼，客戶端提取用戶的機(jī)器識(shí)別碼連同文檔名、權(quán)限要求、賬戶和密碼經(jīng)加密后形成請(qǐng)求包提交到服務(wù)端。（加密方式：軟件客戶端內(nèi)部包含服務(wù)端的公鑰ps，客戶端隨機(jī)產(chǎn)生一個(gè)對(duì)稱密鑰k，用k對(duì)機(jī)器識(shí)別碼連同文檔名和權(quán)限要求進(jìn)行加密，然后用ps加密k。服務(wù)端可用自己的私鑰解密得到k再解密得到用戶的機(jī)器識(shí)別碼、文檔名和權(quán)限要求）(5) 服務(wù)端在驗(yàn)證用戶的用戶名和密碼后，首先保存該請(qǐng)求包，在得到用戶可使用證明后（如是免費(fèi)文檔，注冊(cè)用戶可直接得到該證明；如需要用戶的一定條件如積分，那么用戶必須滿足該條件才能得到該證明；如需要用戶付費(fèi)，那么在得到用戶付費(fèi)后用戶才能得到該證明）(6) 服務(wù)端按照用戶的要求生成使用許可證

42、，使用許可證中包括文檔的解密密鑰。服務(wù)端再利用用戶賬號(hào)、機(jī)器碼生成密鑰l用來(lái)加密使用許可證并發(fā)送到客戶端。(7) 文檔用戶在使用數(shù)字內(nèi)容之前，首先由客戶端軟件提取機(jī)器碼和用戶賬號(hào)生成密鑰l解密許可證，并查看許可證中用戶的權(quán)限，如果用戶的權(quán)限允許該用戶操作，則使用許可證中的密鑰解密數(shù)字內(nèi)容并執(zhí)行用戶的操作。3) 文檔服務(wù)商的角度：(1) 將文檔和文檔制造者的權(quán)利要求保存到服務(wù)器(2) 接收文檔用戶提出的文檔使用要求和權(quán)利要求，并按照文檔制造者的權(quán)利要求和服務(wù)商的規(guī)則以及文檔用戶的類型確定用戶使用文檔的方式和權(quán)限(3) 為文檔用戶提供文檔服務(wù)并保證制造者的權(quán)利4. 基于角色的訪問(wèn)控制機(jī)制4.1 傳

43、統(tǒng)訪問(wèn)控制模型描述訪問(wèn)控制模型是一種從訪問(wèn)控制的角度出發(fā)，描述安全系統(tǒng)，建立安全模型的方法。訪問(wèn)控制是指主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或是其資源進(jìn)行的不同授權(quán)訪問(wèn)。通過(guò)訪問(wèn)控制服務(wù)，可以限制對(duì)數(shù)字資源的訪問(wèn)，防止非法用戶的侵入或者因合法用戶的不慎操作而造成的破壞。訪問(wèn)控制包括三個(gè)要素，即：主體、客體和訪問(wèn)控制策略456。1) 主體(subject)：任何一個(gè)能對(duì)實(shí)體實(shí)施一系列主動(dòng)動(dòng)作的主動(dòng)實(shí)體。例如在本課題中的客戶端或者是用戶本身。2) 客體(object)：任何能夠接受其他實(shí)體訪問(wèn)或操作的被動(dòng)實(shí)體?？腕w的范圍遠(yuǎn)比主體來(lái)得更加的廣泛，它可以是確實(shí)存在資源與對(duì)象，也可是信息、服務(wù)甚至是進(jìn)程

44、。3) 訪問(wèn)控制策略(rule)：主體對(duì)客體的一系列操作規(guī)則的集合?？刂撇呗灾苯佣x了主體對(duì)客體訪問(wèn)的一系列規(guī)則集，在規(guī)則集中詳細(xì)定義了主體對(duì)客體操作的一系列約束條件。簡(jiǎn)單來(lái)講就是本課題中研究的一種權(quán)限控制策略。4.1.1 自主訪問(wèn)控制自主訪問(wèn)控制模型（discretionaryaccess control model， dac model）是根據(jù)自主訪問(wèn)控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問(wèn)策略規(guī)定的客體，同時(shí)阻止非授權(quán)用戶訪問(wèn)客體，某些用戶還可以自主的把自己所擁有的客體的訪問(wèn)權(quán)限授予其他用戶78。自主訪問(wèn)控制的實(shí)現(xiàn)方式較為簡(jiǎn)單，只需將用戶的身份進(jìn)行驗(yàn)證與鑒別，然后按照

45、預(yù)先定義好的權(quán)限列表，按照表中所列及的訪問(wèn)控制策略賦予用戶一定的訪問(wèn)權(quán)限。而權(quán)限列表的制定只能由系統(tǒng)定義的特殊用戶或最高級(jí)用戶組才能進(jìn)行修改。自主訪問(wèn)控制方式基于其簡(jiǎn)單的實(shí)現(xiàn)方式，而且在控制策略上較為靈活，故被普遍運(yùn)用于商務(wù)運(yùn)用中。而自主訪問(wèn)控制模型有一個(gè)特點(diǎn)是用戶可以將自已擁有的訪問(wèn)權(quán)限授予其他用戶。相對(duì)而言，在這種機(jī)制下的安全系數(shù)是比較低的，無(wú)法防止內(nèi)部人員因故意或無(wú)意造成的組織內(nèi)部信息泄漏。不能保護(hù)文檔創(chuàng)作者的合法權(quán)益及系統(tǒng)本身的數(shù)字資源。自主訪問(wèn)控制的另一個(gè)特點(diǎn)是授權(quán)的主體自主負(fù)責(zé)對(duì)授予權(quán)限的另一主體進(jìn)行權(quán)限回收。為了達(dá)到對(duì)不同主體的訪問(wèn)權(quán)限進(jìn)行限制的目的，自主訪問(wèn)控制模型采用訪問(wèn)控制

46、矩陣和訪問(wèn)控制列表來(lái)存放不同主體之前的權(quán)限信息。4.1.2 強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制模型（mandatory access control model，mac model）是一種“強(qiáng)加”給被訪問(wèn)客體和主體的，換句話來(lái)講就是被訪問(wèn)的客體（本課題指的是pdf文檔）被系統(tǒng)定義了一定的密級(jí)，而相應(yīng)的主體亦只能服從系統(tǒng)所定義的一系列訪問(wèn)規(guī)則。客體的密級(jí)和主體的可信任級(jí)別由系統(tǒng)預(yù)先定義。用戶不能改變自身的可信任級(jí)別和客體的密級(jí)，只有系統(tǒng)的管理員才有這個(gè)權(quán)限。在實(shí)施訪問(wèn)控制機(jī)制時(shí)，系統(tǒng)預(yù)先將主體和客體分成不同的密級(jí)，如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)和普通等。用戶登錄后，系統(tǒng)首先將主體與客體的密級(jí)進(jìn)行比較，再?zèng)Q定主體

47、是否具有訪問(wèn)客體信息的權(quán)限。它的訪問(wèn)控制關(guān)系分為上讀/下寫(保證數(shù)據(jù)的完整性)和上寫/下讀（保證數(shù)據(jù)的機(jī)密性），并通過(guò)安全標(biāo)簽來(lái)實(shí)現(xiàn)單向信息的流動(dòng)。這種訪問(wèn)控制方式主要適合于多層次安全級(jí)別的軍事應(yīng)用。主體和客體在分屬于不同的安全類別時(shí)，都屬于一個(gè)固定的安全類別sc，sc就構(gòu)成一個(gè)偏序關(guān)系（比如ts表示絕密級(jí)，就比密級(jí)s要高）。當(dāng)主體s的安全類別為ts，而客體o的安全類別為s時(shí)，用偏序關(guān)系可以表示為sc(s)sc(o)。考慮到偏序關(guān)系，主體對(duì)客體的訪問(wèn)主要有如下4種方式9：1)向下讀(read down，rd)：主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許查閱的讀操作。2)向上讀(read up

48、，ru)：主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許的讀操作。3)向下寫(write down，wd)：主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作。4)向上寫(write up，wu)：主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作。由于強(qiáng)制訪問(wèn)控制模型通過(guò)分級(jí)的安全標(biāo)簽實(shí)現(xiàn)了信息的單向流通，因此它被軍方采用，其中最著名的是bell-lapadula模型和biba模型：bell-lapadula模型具有只允許向下讀、向上寫的特點(diǎn)，可以有效地防止機(jī)密信息向下級(jí)泄露；biba模型則具有不允許向下讀、向上寫的特點(diǎn)，可以有效地保護(hù)數(shù)據(jù)的完整性。4.1.3 基于

49、角色的訪問(wèn)控制（rbac）基于角色的訪問(wèn)控制（role basedaccess control，rbac）是一種按角色分配權(quán)限的控制機(jī)制，用戶在系統(tǒng)中擔(dān)任不同的角色，故用戶在系統(tǒng)中有屬于自身的一系列操作規(guī)則?；诮巧脑L問(wèn)控制旨在將角色集合與權(quán)限控制集合進(jìn)行相關(guān)聯(lián)，達(dá)到用戶集合與權(quán)限控制集合相關(guān)聯(lián)。其中角色是根據(jù)系統(tǒng)的客體的實(shí)際需要進(jìn)行設(shè)置的，而用戶則是根據(jù)角色的多樣式進(jìn)行相關(guān)的設(shè)置。一個(gè)用戶可以在多種角色之間進(jìn)行必要的轉(zhuǎn)換，而系統(tǒng)只能根據(jù)需要添加必要的角色及其相對(duì)應(yīng)的訪問(wèn)策略。為了保護(hù)系統(tǒng)資源的完整性和系統(tǒng)本身的安全性，用戶與客體沒有直接的關(guān)聯(lián)，而是依靠于角色這另一主體，用戶只有通過(guò)角色才能

50、享有相應(yīng)的權(quán)限，而角色則由系統(tǒng)管理員根據(jù)實(shí)際需要進(jìn)行添加、刪除或修改。因此任一用戶都不能如自主訪問(wèn)控制那樣將訪問(wèn)權(quán)限授予其他用戶，這在一定程度上保證了數(shù)字信息的安全性。基于角色的訪問(wèn)控制與強(qiáng)制訪問(wèn)控制也有一定的區(qū)別，也有學(xué)者提出基于角色的訪問(wèn)控制是強(qiáng)制訪問(wèn)控制的一種安全策略，但在傳統(tǒng)的訪問(wèn)控制機(jī)制中它們還是有根本上的區(qū)別。強(qiáng)制訪問(wèn)控制是基于多級(jí)別密級(jí)需要的，只允許高密級(jí)的主體對(duì)比其低密級(jí)的客體進(jìn)行操作，對(duì)主體（用戶）的操作完全出于一種硬性的手段，適用于軍事范疇。而基于角色的訪問(wèn)控制旨在保護(hù)數(shù)字信息的完整性，系統(tǒng)從雙重角度上定義了哪種角色能對(duì)數(shù)字信息進(jìn)行哪一類型的操作，從另一個(gè)角度來(lái)看，系統(tǒng)管理

51、員所創(chuàng)建的每一個(gè)角色就是一系操作的集合。在基于角色的訪問(wèn)控制中，用戶對(duì)數(shù)字信息的操作是通過(guò)角色實(shí)現(xiàn)的。從系統(tǒng)的實(shí)現(xiàn)角度來(lái)講，角色是一類實(shí)現(xiàn)某些操作集合的組件，它應(yīng)歸屬于安全策略的范疇。而用戶是一個(gè)具體存在的主體，用戶本身不具備任何對(duì)數(shù)字信息進(jìn)行操作的權(quán)限，用戶在對(duì)數(shù)字信息進(jìn)行操作時(shí)，是運(yùn)用了某一特定的角色或者說(shuō)某一系統(tǒng)規(guī)定的安全策略。角色這一概念對(duì)用戶來(lái)講可以說(shuō)是完全透明的，且在存儲(chǔ)方式上是角色信息與用戶信息分布式存儲(chǔ)，雖然在存儲(chǔ)上付出較高的代價(jià)，但是此種模型對(duì)管理大型的網(wǎng)絡(luò)，可以一個(gè)用戶對(duì)應(yīng)有多個(gè)角色，每個(gè)角色被賦予一個(gè)或多個(gè)特權(quán)，有效的減少了網(wǎng)絡(luò)管理的代價(jià)，降低網(wǎng)絡(luò)管理的復(fù)雜度。4.2 d

52、rmrbac訪問(wèn)控制模型隨著人們對(duì)數(shù)字版權(quán)管理(digital rights management，drm)研究的日益深入，對(duì)drm系統(tǒng)的要求亦越來(lái)越高，且細(xì)化程度隨之有了更明顯的提升。但基于drm系統(tǒng)的訪問(wèn)控制機(jī)制仍是參差不齊，沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)。早前人們提出的以文件為客體的文檔保護(hù)系統(tǒng)，顯然已經(jīng)不然滿足當(dāng)代人們的需求。為此人們提出了一種面向文檔的，結(jié)合自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制，基于角色訪問(wèn)控制的drm系統(tǒng)模型，目的旨在為用戶（文檔制造者、文檔服務(wù)商和文檔使用者）提供更為嚴(yán)格的和細(xì)粒度的訪問(wèn)控制機(jī)制。4.2.1 drmrbac基本概念與原則基于pdf的電子文檔保護(hù)系統(tǒng)中的drmrbac模型

53、基本概念10,11為：1) 對(duì)象集合：。包含兩類對(duì)象，一類為實(shí)際對(duì)象，即受保護(hù)的電子文檔；另一類為虛擬對(duì)象，為方便對(duì)文檔進(jìn)行密級(jí)管理，引入了“絕密”、“機(jī)密”、“秘密”、“一般”四類虛擬對(duì)象，這樣可以通過(guò)設(shè)置一定的訪問(wèn)控制策略，將強(qiáng)制訪問(wèn)控制結(jié)合到本模型中。2) 對(duì)象級(jí)聯(lián)關(guān)系：即實(shí)際對(duì)象與虛擬對(duì)象的結(jié)合，代表電子文檔的密級(jí)。3) 動(dòng)作集合：。動(dòng)作代表可以執(zhí)行的一種或一類行為，如打印、復(fù)制等。4) 屬性集合：，其中y代表允許，n代表不允許，n/a代表未定義。5) 操作集合：。6) 權(quán)限集合：。權(quán)限分為兩類，一類針對(duì)文檔使用者，即用戶可對(duì)受保護(hù)的電子文檔執(zhí)行的動(dòng)作；一類針對(duì)文檔頒布者，即用戶在生成

54、pdf文檔時(shí)，能夠施加在其上的訪問(wèn)控制策略范圍，如不允許部門內(nèi)普通用戶制定關(guān)于是否允許其他部門用戶使用文檔的策略。7) 角色：。角色指的是用戶在組織內(nèi)部的類別劃分，如不同部門成員、同一部門中的上下級(jí)等。8) 權(quán)限角色關(guān)聯(lián)二元關(guān)系：。代表角色和權(quán)限的相應(yīng)關(guān)系，即角色可以使用的權(quán)限。9) 用戶：。在drm系統(tǒng)中，根據(jù)不同的應(yīng)用需求和應(yīng)用環(huán)境，用戶可以是人，也可以是可信的軟件或硬件。10) 用戶角色關(guān)聯(lián)二元關(guān)系：。會(huì)話：會(huì)話表示的是用戶和角色之間的關(guān)系。用戶每次必須通過(guò)會(huì)話來(lái)激活相應(yīng)的角色，得到相應(yīng)的訪問(wèn)權(quán)限。傳統(tǒng)的drmrbac模型包含角色繼承、最小權(quán)限、職責(zé)分離和角色容量4個(gè)基本原則。1) 角色

55、繼續(xù)關(guān)系：在系統(tǒng)定義的多種角色中，某些角色除了擁有自身的操作權(quán)限之外還能將祖先（已有角色）的權(quán)限屬性。這種關(guān)系可以使組織內(nèi)部的權(quán)責(zé)分明，可以從一定程度上將組織內(nèi)部的職權(quán)關(guān)系在系統(tǒng)中反映出來(lái)。其角色關(guān)系可以用下圖表示： 角色3角色4角色2角色1包含包含包含圖4-1 角色繼承關(guān)系示意圖如上圖所示，角色3和角色4擁有最大的操作權(quán)限，如果角色1是最初的祖先的話，角色1則是擁有最小權(quán)限集的一系列操作指令。圖中亦可反映出組織內(nèi)部人員職權(quán)架構(gòu)，例如一生產(chǎn)部門，使用角色1的當(dāng)分屬于生產(chǎn)工作人員；使用角色2的可以是車間主管，使用角色3和角色4的對(duì)應(yīng)于生產(chǎn)部分的高層主管。2) 最小權(quán)限：系統(tǒng)根據(jù)需要?jiǎng)?chuàng)建不同的角色

56、以對(duì)應(yīng)不同的權(quán)限范圍，并且為用戶分配不同的角色對(duì)適應(yīng)用戶的合法操作性。故用戶所擁有的權(quán)限不能超過(guò)它在實(shí)際工作中應(yīng)的操作范圍稱之為最小權(quán)限。應(yīng)需產(chǎn)生新的角色，從實(shí)際工作中分配用戶予不同的角色，能對(duì)系統(tǒng)中保存的數(shù)字信息起到嚴(yán)格的保護(hù)作用，保護(hù)數(shù)字信息的完整性。3) 職責(zé)分離：對(duì)于某些特定的操作指令集合，可能依靠單一的角色不能完成所有的操作。此時(shí)需要一個(gè)用戶能夠同時(shí)具有多種角色，但角色與角色之間不能出現(xiàn)互斥的情況。于是本課題引用了一種靜態(tài)分離和動(dòng)態(tài)分離的技術(shù)，為保證在完善用戶操作的同時(shí)保護(hù)系統(tǒng)數(shù)據(jù)庫(kù)的完整性和數(shù)據(jù)庫(kù)業(yè)務(wù)的相容性。(1) 靜態(tài)分離：當(dāng)用戶需要另一個(gè)角色時(shí)，新指定的角色必須與用戶已有的角色互不相斥。例如能否打印，能否復(fù)制等。而且角色的指派需在用戶進(jìn)行系統(tǒng)并獲得數(shù)字信息之前就完成，可以在發(fā)送給客戶端的許可證中將這種規(guī)定加入訪問(wèn)控制策略中。 (2) 動(dòng)態(tài)分離：用戶在執(zhí)行一系列操作時(shí)，調(diào)用本身就具有角色完成，但調(diào)用的角色與角色之間必須是互不相斥的，只有滿足這種情況下，用戶才能同時(shí)擁有這兩種角色