访问控制技术研究学士论文.docx

访问控制技术研究学士论文.docx

《访问控制技术研究学士论文.docx》由会员分享，可在线阅读，更多相关《访问控制技术研究学士论文.docx（23页珍藏版）》请在冰豆网上搜索。

访问控制技术研究学士论文

毕业论文（设计）

论文题目访问控制技术研究

姓名学号

院系专业

指导教师职称

中国·合肥

二o一o年六月

毕业论文（设计）任务书

论文（设计）题目访问控制技术研究

院系名称

专业（班级）

学生姓名

学号

指导教师

下发任务书日期2011年1月10日

一、毕业论文（设计）的主要内容

随着网络应用的逐步深入，安全问题日益受到关注。

一个安全的网络需要可靠的访问控制服务作保证。

访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制，是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问，它是保证网络安全最重要的核心策略之一。

因此对访问控制的基本概念、访问控制技术涉及的各项基本技术以及主要的访问控制类型进行了研究，如自主访问控制技术（DAC）、强制访问控制技术（MAC）和基于角色的访问控制技术（RBAC），并对每种访问控制技术进行了概念、实现方式以及其优缺点的总结。

其中对自主访问控制技术（DAC）中的访问控制表和基于角色的访问控制技术（RBAC）的各个基本模型进行了重点的讨论分。

二、毕业论文（设计）的基本要求

根据毕业论文（设计）的主要内容对各个研究的部分进行相关的了解和研究：

1、访问控制技术的概念：

所谓访问控制，就是在鉴别用户的合法身份后，通过某种途径显式地准许或限制用户对数据信息的访问能力及范围，从而控制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成破坏。

2、访问控制的技术:

访问控制是保证网络安全最重要的核心策略之一，它涉及的技术也比较广，它包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

对访问控制的各个技术进行了相关的叙述。

3、根据访问控制机制，访问控制技术主要有三种：

基于授权规则的、自主管理的自主访问控制技术（DAC），基于安全级的集中管理的强制访问控制技术（MAC）和基于授权规则的集中管理的基于角色的访问控制技术（RBAC）。

重点对各个访问控制技术的概念、实现方式、典型案例以及其优缺点进行了研究，其中对RBAC进行重点研究。

三、应收集的资料及主要参考文献

[1]XX百科：

访问控制技术

[2]XX百科：

访问控制列表

[3]思科经典技术分享：

访问控制列表（ACL）技术详解

[4]赵亮,茅兵,谢立.访问控制研究综述[J].计算机工程,2004,30

（2）.

[5]肖川豫（重庆大学）.访问控制中权限的研究与应用[D].2006

[6]JeromeHSaltzer,MichaelDSchroeder.TheProtectionofInformationinComputerSystems[M].1975（09）

[7]刘伟（四川大学）.基于角色的访问控制研究及其应用[D].2004

[8]（电子政务工程服务网）

[9]刘伟（石河子大学）.访问控制技术研究[J].《农业网络信息》2007年第七期

[10]李成锴,詹永照,茅兵.谢立.基于角色的CSCW系统访问控制模型[J].软件学报2000（7）

[11]许春根,江于,严悍.基于角色访问控制的动态建模[J].计算机工程2002

（1）

[12]张勇,张德运,蒋旭宪.基于认证的网络权限管理技术[J].计算机工程与设计2001

（2）

[13]中国信息安全产品测评认证中心,《信息安全理论与技术》[M].人民邮电出版社，2003．9

[14]DavidF．Ferraiolo、D．RichardKuhn、RamaswamyChandramouli，Role—BasedAccessControl[M].ArtechHouse，2003．4

[15]AmericanNationalStandardsInstitute[S].IncAmericanNationalStandardforInformationTechnology-RoleBasedAccessControl.2003/4/4

[16]汪厚祥,李卉等.基于角色的访问控制研究[J].计算机应用研究,2004,（4）.

四、毕业论文（设计）进度计划

起讫日期

工作内容

备注

2010．11中旬

2011.2.下旬

2011.3上旬

2011.3—2011.5

2011.5—2011.6中旬

毕业论文（设计）统一选题

确定毕业论文（设计）的题目

提交毕业论文（设计）开题报告和任务书

根据要求做好毕业论文（设计），完成毕业设计的初步定稿

论文的修改、完善、定稿

中间查阅资料，根据实际的工作或生活状况确定题目

根据题目以及所查阅的资料，确定毕业论文（设计）的内容

学士学位论文（设计）开题报告

课题名称

访问控制技术研究

课题来源

学校提供，自主选择

学生姓名

专业

学号

指导教师姓名

职称

研究内容

访问控制的基本概念、访问控制技术涉及的各项基本技术以及主要的访问控制类型，如自主访问控制技术（DAC）、强制访问控制技术（MAC）和基于角色的访问控制技术（RBAC），并对每种访问控制技术进行了概念、实现方式以及其优缺点的总结。

其中对自主访问控制技术（DAC）中的访问控制表和基于角色的访问控制技术（RBAC）的各个基本模型进行了重点的讨论分析。

研究计划

201011月中毕业论文统一选题

20112月底确定毕业设计（论文）题目

3月初旬提交毕业论文（设计）开题报告和任务书

3月中3月底调研、查资料。

4月初4月中确定论文大纲，分类查阅相关资料

4月底5月下论文的初步撰写，并进行相关的资料查阅与修改

5月底6月初撰写毕业论文，并与指导老师进行讨论以修改，对论文定稿，进行论文答辩的PPT制作

6月中准备论文答辩

特色与创新

1.该技术当前网络发展与网络安全重要性提高的必然重视性产物

2.该技术的发展快，潜力大，应用广

3.该技术具有较强的研究价值与实际应用价值。

指导教师意见

教研室意见

学院意见

1引言·········································································1

2访问控制的概念与策略·························································1

3访问控制的技术·······························································2

3.1入网访问控制···························································2

3.2网络权限控制···························································3

3.3目录级安全控制·························································3

3.4属性安全控制···························································4

3.5服务器安全控制·························································4

4访问控制类型·································································4

4.1自主访问控制（DAC）······················································5

4.1.1自主访问控制（DAC）的实现机制······································5

4.1.2自主访问控制（DAC）的访问控制表····································5

4.1.3自主访问控制（DAC）优缺点··········································7

4.2强制访问控制（MAC）·····················································8

4.2.1强制访问控制（MAC）概念············································8

4.2.2强制访问控制（MAC）优缺点··········································8

4.3基于角色的访问控制技术（RBAC）···········································9

4.3.1基本模型RBAC0···················································10

4.3.1.1RBAC0的基本构成与实现机制·································10

4.3.1.2RBACO的形式定义············································11

4.3.2角色分级模型RBACl···············································11

4.3.2.1RBACl的基本构成与实现机制··································11

4.3.2.2RBACl的形式定义···········································12

4.3.3角色约束模型RBAC2···············································12

4.3.3.1RBAC2的基本构成···········································12

4.3.3.2RBAC2的形式定义···········································13

4.3.3.3RBAC2的实现机制···········································13

4.3.4基于角色的访问控制技术（RBAC）优缺点·····························14

5典型案例——一个基于角色的访问控制系统······································15

5.1系统的开发背景与开发目标··············································15

5.2系统业务功能简介······················································16

5.3系统分析······························································16

5.3.1组织结构························································16

5.3.2用户和角色······················································17

5.3.3角色等级和权限的定义············································17

5.3.4角色约束························································18

5.4系统设计······························································18

6结束语······································································19

参考文献······································································19

英文摘要······································································20

致谢··········································································20

附录··········································································21

访问控制技术研究

摘要：

访问控制是信息安全的重要组成部分，也是当前注重信息安全的人们关注的重点。

本文对访问控制的基本概念、访问控制技术涉及的各项基本技术以及主要的访问控制类型进行了研究，如自主访问控制技术（DAC）、强制访问控制技术（MAC）和基于角色的访问控制技术（RBAC），并对每种访问控制技术进行了概念、实现方式以及其优缺点的总结。

其中对自主访问控制技术（DAC）中的访问控制表和基于角色的访问控制技术（RBAC）的各个基本模型进行了重点的讨论分析。

关键字：

自主访问控制技术，访问控制表，强制访问控制技术，基于角色的访问控制技术

1引言

随着全球网络化和信息化的发展，计算机网络已经深入到社会生活的各个方面，许多敏感的信息和技术都是通过计算机进行传输、控制和管理，尤其是近年来网络上各种新业务的兴起，如网络银行、电子政务和电子商务的快速发展，网络的重要性及其对社会的影响也越来越大。

随之而来的问题是网络环境同益复杂，安全问题也变得日益突出，仅仅依靠传统的加密技术已不能满足网络安全的需要。

国际标准化组织（ISO）在网络安全标准（IS07498—2）中定义了5个层次型安全服务：

身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务，而访问控制便是其中的一个重要组成部分。

2访问控制的概念与策略

所谓访问控制，就是在鉴别用户的合法身份后，通过某种途径显式地准许或限制用户对数据信息的访问能力及范围，从而控制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成破坏。

访问控制技术的实现是基于访问控制中权限的实现也就是访问控制的策略。

访问控制策略定义了在系统运行期间的授权和非授权行为，即哪些行为是允许发生的，那些是不允许发生的。

一般分为授权策略（AuthorizationPolicies）和义务策略（ObligationPolicies）。

授权策略是指对于客体，那些操作是允许的，而那些操作是被禁止的；义务策略是指主体必须执行或不必执行的操作，是主体的义务。

访问控制的基本概念有：

1）主体（Subjeet）

主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。

2）客体（Object）

客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。

客体通常包括文件、设备、信号量和网络节点等。

3）访问（Access）

访问（Access）是使信息在主体（Subject）和客体（Object）之间流动的一种交互方式。

4）权限（AccessPermissions）

访问权限控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。

适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。

访问控制的手段包括用户识别代码、口令、登录控制、资源授权（例如用户配置文件、资源配置文件和控制列表）、授权核查、日志和审计等等[1-2]。

访问控制是保证网络安全最重要的核心策略之一，它涉及的技术也比较广，它包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

3访问控制的技术

3.1入网访问控制

入网访问控制为网络访问提供了第一层访问控制。

它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤：

用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。

三道关卡中只要任何一关未过，该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。

为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密。

用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。

网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。

用户账号应只有系统管理员才能建立。

用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：

最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。

网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。

当用户对交费网络的访问“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。

网络应对所有用户的访问进行审计。

如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

3.2网络权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。

用户和用户组被赋予一定的权限。

网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。

可以指定用户对这些文件、目录、设备能够执行哪些操作。

受托者指派和继承权限屏蔽（irm）可作为两种实现方式。

受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。

继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。

我们可以根据访问权限将用户分为以下几类：

特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。

用户对网络资源的访问权限可以用访问控制表来描述。

3.3目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。

用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。

对目录和文件的访问权限一般有八种：

系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。

用户对文件或目标的有效权限取决于以下两个因素：

用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。

一个网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。

八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

3.4属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。

属性安全在权限安全的基础上提供更进一步的安全性。

网络上的资源都应预先标出一组安全属性。

用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。

属性设置可以覆盖已经指定的任何受托者指派和有效权限。

属性往往能控制以下几个方面的权限：

向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。

3.5服务器安全控制

网络允许在服务器控制台上执行一系列操作。

用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。

网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

4访问控制类型

访问控制机制可以限制对系统关键资源的访问，防止非法用户进入系统及合法用户对系统资源的非法使用。

目前，访问控制技术主要有三种：

基于授权规则的、自主管理的自主访问控制技术（DAC），基于安全级的集中管理的强制访问控制技术（MAC）和基于授权规则的集中管理的基于角色的访问控制技术（RBAC）。

其中RBAC由于能进行方便、安全、高效的授权管理，并且拥有策略中性化、最小特权原则支持、以及高校的访问控制管理等诸多优良的特性，是现在研究的热点[1]。

4.1自主访问控制（DAC）

自主性访问控制是在确认主体身份及其所属的组的基础上对访问进行控制的一种控制策略。

它的基本思想是：

允许某个主体显示的指定其他主体对该主体所拥有的信息资源是否可以访问以及执行。

4.1.1自主访问控制（DAC）的实现机制

自主访问控制有两种实现机制：

一是基于主体DAC实现，它通过权限表表明主体对所有客体的权限，当删除一个客体时，需遍历主体所有的权限表；另一种是基于客体的DAC实现，它通过访问控制链表ACL（AccessControlList）来表明客体对所有主体的权限，当删除一个主体时，要检查所有客体的ACL。

为了提高效率，系统一般不保存整个访问控制矩阵，是通过基于矩阵的行或列来实现访问控制策略。

基于行（主体）的矩阵是表明主体队所有客体的权限，基于行的矩阵的优点是能够快速的找出该主体对应的权限集。

目前以基于列（客体）的访问控制表ACL实际应用较多，但是主要应用于操作系统。

ACL的优点是表述直观、易于理解，比较容易查出对一定资源有访问权限的所有用户，能够有效的实施授权管理。

但在应用到规模较大、关系复杂的企业时，管理员为了实现某个访问策略需要在ACL中设定大量的表项；而且当某个用户的职位发生变化时，管理员需要修改该用户对所有资源的访问权限，使得访问控制的授权管理需要花费大量的人力，且容易出错。

4.1.2自主访问控制（DAC）的访问控制表

访问控制表（AccessControlList，ACL）是基于访问控制矩阵中列的自主访问控制。

它在一个客体上附加一个主体明晰表，来表示各个主体对这个客体的访问权限。

明细表中的每一项都包括主体的身份和主体对这个客体的访问权限。

如果使用组（group）或者通配符（wildcard）的概念，可以有效地缩短表的长度。

ACL实际上是一种把能够访问客体的主体列表与该客体结合在一起的形式，并以这种形式把访问控制矩阵竖列的控制信息表达出来的一种实现方式[3]。

ACL的结构如下图4-1所示：

图4-1ACL结构（ACLstructure）

访问控制表是实现自主访问控制比较好的方式，下面通过例子进行详细说明。

对系统中一个需要保护的客体Oj附加的访问控制表的结构所示。

图4-2访问控制表举例

在上图4-2的例子中，对于客体Oj,主体S0具有读（r）和执行（e）的权利；主体S1只有读的权利；主体S2只有执行的权利；主体Sm具有读、写（w）和执行的权利。

但是，在一个很大的系统中，可能会有非常多的主体和客体，这就导致访问控制表非