《adrbac模型及其在ldap中的研究与设计》由会员分享,可在线阅读,更多相关《adrbac模型及其在ldap中的研究与设计(56页珍藏版)》请在金锄头文库上搜索。
1、汕头大学 硕士学位论文 ADRBAC 模型及其在 LDAP 中的研究与设计 姓名:黄敏华 申请学位级别:硕士 专业: 指导教师:蔡伟鸿;熊智 2010 汕头大学硕士学位论文 ADRBAC模型及其在LDAP中的研究与设计 I 摘 要 中华人民共和国国家标准GBT 20271-2006 信息安全技术和信息系统通用安全技术 要求中指出,应用系统的安全问题主要包括:身份认证、访问控制、安全审计及日志、 安全技术及应用四个部分。本论文主要研究这四个部分中的前面两个问题身份认证和 访问控制,并将目录服务这一热点技术加入其中,使其具有现实意义。 随着网络技术的发展,基于角色的访问控制在 web 系统得以应用
2、。系统用户或应用程 序每天要从服务器检索大量信息,而且每个应用程序可能还必须访问分散在不同地点的应 用服务器。怎样向用户提供快捷高质量的服务是系统迫切要解决的问题,而目录服务则是 一个很好的解决技术。 论文主要研究访问控制和目录服务两种主要技术,即如何将基于角色的访问控制 RBAC 和轻型目录服务协议 LDAP 运用到系统中来,构建一个安全的在 Web 应用上的实现方案。 首先根据平台特性与需求,引入属性概念,设置委托决策机制,建立了一种新型的访问控 制模型基于属性带委托性质的角色访问控制模型(Access Control based on Role and Attribute with De
3、legation,ADRBAC)。然后通过对轻型目录服务协议(Lightweight Directory Access Protocol,LDAP)目录树与模式的设计规划,将基于属性带委托性质 的角色访问控制模型进行了实现。最后通过新型的系统建模语言(Systems Modeling Lan guage, SysML)对整个系统进行梳理整合,使用 SysML 的各种视图,对系统的组成、接口 与通信关系、系统功能、状态转移进行描述。 关键词关键词:目录服务;平台;轻型目录服务协议;访问控制;基于角色的访问控制模型;系 统建模语言 汕头大学硕士学位论文 ADRBAC模型及其在LDAP中的研究与设计
4、 II Abstract The Peoples Republic of China national standard “GBT 20271-2006 Information security technology and information system security technical general requirements“ in that the application of system security issues four parts include: authentication, access control, security auditing and log
5、ging, security technology and application . In this thesis, we would discuss about two main issues authentication and access control, and a hot technology director services would join in too, which made practical significantly. With network technology developed, large-scale distributed system based
6、role access control is widely used in the web application. System user and application need to retrieve lots of information from the server every day, and each application may also be scattered in different locations. How to provide users with efficient and high quality service is an urgent problems
7、 need to be solved, so directory services technology is a good solution to this. This paper focuses o access control and directory services techniques. Combining RBAC and LDAP into the system to build a secure implementation of programs on the web is the major work of the paper. First of all, accord
8、ing to demanding and characteristics of the platform, attributes and delegate decision are introduced to the concept, establish a new access control model ,based on delegate property of the role -attribute access control model (ADRBAC). Then through designing the directory tree and schema of LDAP, t
9、his access control model is achieved. Finally, new modeling language SysML is used to sort out the whole system. The composition of the system, interface and communication between system functions, state transition is described by using graphics and tools of SysML. Key words: Directory service, Plat
10、form, LDAP, Role-Based Access Control Model,SysML 汕头大学硕士学位论文 ADRBAC模型及其在LDAP中的研究与设计 1 第一章 绪论 1.1 课题研究背景 随着信息系统规模和复杂性的日益提高,不同的系统可能造成数据的重复、不统一以 及管理复杂等问题。企业基础信息平台将分散和重复的,以及各种应用都会涉及,共享信 息进行必要的整合,以便有效解决问题。为保证平台的安全,对信息和资源的访问加以控 制是必需的。因此对企业信息进行有效、快速、安全的访问管理,提高访问控制效率,加 强访问控制的安全性是必须研究和解决的课题。 随着计算机和网络技术的发展,大型
11、分布式基于角色访问控制在 web 系统得以应用开 发。系统用户或者是应用程序,每天都要从服务器检索大规模的信息,而且每次检索很有 可能还必须访问分散在异地的应用服务器。怎样向用户提供快捷、高质量的服务是系统迫 切要解决的问题,而目录服务则是一个很好的解决技术 1。 中华人民共和国国家标准GBT 20271-2006 信息安全技术 信息系统通用安全技术要 求中指出,应用系统的安全问题主要包括:身份认证、访问控制、安全审计及日志、安 全技术及应用四个部分 2。本论文主要研究这四个部分中的前面两个主要问题身份认 证和访问控制,并将目录服务这一热点技术加入其中,具有现实意义。 (1) 美国国防部可信计
12、算机系统评估标准 TESEC 把访问控制作为评价系统安全的主要 指标 3,它是实现数据保密性和完整性机制的重要手段,正接受越来越多的现实考验。传 统访问控制技术主要有自主访问控制、强制访问控制等,它们主要关注的是封闭系统中数 据的静态保护,在现代信息系统的开放式网络环境中表现出诸多缺点 4。本文将对 RBAC 做 重点研究 456,针对基础模型的缺点67,将属性概念和委托授权机制引入到 RBAC 模型, 提出一种基于属性带委托性质的角色访问控制模型(ADRBAC) 。 (2) 在社会信息化建设过程中, 建立起了各式各样的系统。 比如一个大型的运营平台, 在其不断完善的过程中,每个系统都独立建立
13、并有自己的用户管理体系,这样的局部认证 方式,使系统信息难以整合,对管理提出了很大的挑战,如存在非法入侵的用户或因合法 用户的不慎操作所造成的越权访问、破坏资源的不安全因素 8。因此,本文将对平台建立 汕头大学硕士学位论文 ADRBAC模型及其在LDAP中的研究与设计 2 一套健全而可靠的身份管理策略、角色划分和授权规则。 (3)系统用户或应用程序每天要从服务器检索大量信息,而且每个应用程序可能还必 须访问分散在不同地点的应用服务器 9。怎样向用户提供快捷高质量的服务是系统迫切要 解决的问题,而目录服务则是一个很好的解决技术 10。论文将主要研究如何将访问控制技 术和目录服务 LDAP 技术运
14、用到系统中来,构建一个安全的在 Web 上的实现方案。该方案 的设计,将使只有经过身份认证的用户才能访问系统,以及只有经过授予一定权限的用户 才能使用系统资源,并且系统能对用户的请求做出快速响应。 1.2 国内外研究情况 计算机信息系统访问控制技术最早产生于六十年代,随后出现了两种重要的访问控制 技术,自主访问控制(Discretionary Access Control, DAC)和强制访问控制(Mandatory Access Control, MAC)。它们在多用户系统中到广泛的应用,对计算机信息系统的安全做 出了很大的贡献,但它们在灵活性、安全性以及可管理性上存在诸多不足 3。从 20
15、 世纪 70 年代开始先后有人提出了 BellLapadula 模型,HRU 模型,Biba 模型等众多的访问控制模 型,但是也都没有从根本上解决问题 7。1992 年 Ferraolo 和 Kuhn 提出了基于角色的访问 控制模型(Role- Based Access Control, RBAC),在权限和用户之间引入角色的概念,很 大程度上减轻了管理员的负担,提高了系统工作的效率。Sandhu 等人在 1996 年的文献中 提出了标准的 RBAC 模型的定义 6。基于角色的访问控制具有策略中立和管理简单等优点, 并且有自己完整且系统的管理模型,在现实生活中已经得到了广泛的应用 5。了在一个
16、简 单的构架下解决不同的安全问题,克服传统模型的缺点,2002 年 Sandhu 等人提出一种新 的访问控制技术使用控制(Usage Control, UCON),它包含了传统访问控制、信任管理 和数字权益管理(Digital Rights Management, DRM)3 个问题域 7,并且在定义和范围上 超过了它们,支持可变属性和使用过程中的访问决策,被认为是下一代访问控制技术的发 展方向。 目录服务能以多种形式出现,但最基本的协议大都基于 X.500。X.500 不是将网络服 务看作单独的条目,而是将其作为一种有层次有等级的结构 11。轻量级目录访问协议(LDA P)是一个基于 X.500 的、运行在 TCP/IP 上的目录服务协议,LDAP 改进了 X.500 的许多不 足,使得扩展更加简单和容易,并且可以被嵌入到一系列的客户机和
