陳倬 雷波

1前言

在以往的安全技術(shù)措施中，通過(guò)硬件和軟件的配置管理對(duì)安全目標(biāo)都具有直接或間接作用。因此，研究電子政務(wù)中訪問(wèn)控制技術(shù)具有現(xiàn)實(shí)且積極的意義。

伴隨著電子政務(wù)的高速發(fā)展發(fā)展，硬件方面：對(duì)防火墻技術(shù)的選擇、內(nèi)外網(wǎng)間配置防火墻、IDS等;軟件方面：選擇更為安全的國(guó)產(chǎn)操作系統(tǒng)等。這一系列的技術(shù)措施對(duì)保障電子政務(wù)內(nèi)網(wǎng)的安全、預(yù)防來(lái)自外網(wǎng)的威脅發(fā)揮著極為重要的作用。不過(guò)，越來(lái)越多的政務(wù)業(yè)務(wù)通過(guò)Web應(yīng)用實(shí)現(xiàn)傳遞，政務(wù)信息在政府間、政府與企業(yè)間、政府與公眾間交互。

訪問(wèn)控制技術(shù)通過(guò)不同的手段和策略實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)控制，而這些僅靠應(yīng)用安全操作系統(tǒng)、配置防火墻是無(wú)法達(dá)到的。訪問(wèn)控制規(guī)定了主體（訪問(wèn)請(qǐng)求者）對(duì)客體（被訪問(wèn)資源）限制數(shù)據(jù)的訪問(wèn)，同時(shí)通過(guò)訪問(wèn)用戶的權(quán)限控制訪問(wèn)資源的類別?，F(xiàn)在，使用穩(wěn)定、可靠的安全訪問(wèn)控制技術(shù)已逐漸成為政府、企業(yè)構(gòu)造網(wǎng)絡(luò)安全防范體系所采用的主要技術(shù)之一[1]。所以，要實(shí)現(xiàn)政務(wù)信息Web頁(yè)面的安全訪問(wèn)控制，通過(guò)主流的Web安全訪問(wèn)控制策略實(shí)現(xiàn)對(duì)電子政務(wù)多級(jí)保護(hù)、提供安全解決方案是電子政務(wù)建設(shè)中的一個(gè)重要內(nèi)容。

2訪問(wèn)控制系統(tǒng)組成

訪問(wèn)控制系統(tǒng)（圖1）一般包括：要求訪問(wèn)電子政務(wù)系統(tǒng)的用戶或者某一個(gè)進(jìn)程程序（主體）以及被訪問(wèn)的政務(wù)系統(tǒng)提供程序、數(shù)據(jù)、各種信息和相應(yīng)的網(wǎng)絡(luò)設(shè)備（客體）。安全的訪問(wèn)策略就是：為合理的管理維護(hù)主體訪問(wèn)客體提供的一套安全規(guī)則。

訪問(wèn)控制的關(guān)鍵是采用何種訪問(wèn)控制策略，即如何向主體授權(quán)。目前主要有三種不同類型的訪問(wèn)控制策略：MandatoryAccessControl（強(qiáng)制訪問(wèn)控制）;DiscretionaryAccessControl（自主訪問(wèn)控制）;RoleBasedAccessControl（基于角色的訪問(wèn)控制）。

3強(qiáng)制訪問(wèn)控制（MAC）

強(qiáng)制訪問(wèn)控制是“強(qiáng)加”給訪問(wèn)主體的，即系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制策略。一個(gè)進(jìn)程作為訪問(wèn)的主體，需要訪問(wèn)對(duì)象提供相關(guān)數(shù)據(jù)資源以及網(wǎng)絡(luò)設(shè)備。每當(dāng)主體嘗試訪問(wèn)電子政務(wù)網(wǎng)站時(shí)，都會(huì)由網(wǎng)絡(luò)操作系統(tǒng)進(jìn)行主體訪問(wèn)權(quán)限授予，從而決定主體是否有權(quán)限訪問(wèn)客體。MAC最開(kāi)始應(yīng)用于多層次安全級(jí)別的軍事行動(dòng)中。MAC的運(yùn)行邏輯是：首先定義安全級(jí)別，當(dāng)用戶請(qǐng)求訪問(wèn)網(wǎng)絡(luò)資源或信息時(shí)，系統(tǒng)就訪問(wèn)客體的合法性進(jìn)行權(quán)威性對(duì)比和完整性約束。比如，禁止將危險(xiǎn)信息向下寫(xiě)入或者禁止低級(jí)別用戶向上訪問(wèn)高級(jí)別數(shù)據(jù)信息等。

MAC訪問(wèn)控制策略主要體現(xiàn)在網(wǎng)絡(luò)操作系統(tǒng)（OperatingSystem）對(duì)主體訪問(wèn)權(quán)限的控制方面，其制定相關(guān)的強(qiáng)制安全策略以及主體訪問(wèn)客體而進(jìn)行的權(quán)限鑒定。其中，鑒定方式有很多種，具體采用何種鑒定方式，需要根據(jù)訪問(wèn)策略而定。

管理員制定的安全策略強(qiáng)制對(duì)所有用戶實(shí)施，通過(guò)權(quán)限鑒定從而決定用戶能否訪問(wèn)以及具體能訪問(wèn)哪些網(wǎng)絡(luò)資源，其中包括各種網(wǎng)絡(luò)設(shè)備和政務(wù)網(wǎng)站中所需要的相關(guān)重要數(shù)據(jù)信息。毫無(wú)疑問(wèn)，沒(méi)通過(guò)授權(quán)將拒絕訪問(wèn)網(wǎng)絡(luò)資源。每次主體訪問(wèn)客體候，管理員將這個(gè)過(guò)程定義一個(gè)標(biāo)記，通過(guò)這個(gè)標(biāo)記鑒定這次訪問(wèn)是否安全，這是一種行之有效的手段。

因?yàn)樽钤鏜AC是應(yīng)用在軍事、國(guó)防領(lǐng)域，所以涉及多層安全MLS。多層安全的核心思想就是將訪問(wèn)主體定義為不同的安全保密級(jí)別。比如，普通級(jí)別、機(jī)密級(jí)別和絕密級(jí)別等。通過(guò)對(duì)訪問(wèn)主體進(jìn)行級(jí)別劃分，從而決定訪問(wèn)權(quán)限。那么，MAC所具有的具體功能就相當(dāng)明了。比如，當(dāng)你是低級(jí)別用戶時(shí)，作為訪問(wèn)主體才能高效、穩(wěn)定的訪問(wèn)高級(jí)別客體———安全的使用里面的共享信息以及網(wǎng)絡(luò)資源。當(dāng)然，與此相對(duì)的就是只有高級(jí)別主體才能向目標(biāo)對(duì)象寫(xiě)入相關(guān)數(shù)據(jù)信息。

MAC能保證操作系統(tǒng)的相對(duì)安全，MAC對(duì)操作系統(tǒng)的各種客體（如socket、文件、系統(tǒng)FIFO、IPC、SCD等）進(jìn)行細(xì)粒度的訪問(wèn)控制。目前，幾乎所有的操作系統(tǒng)都采用強(qiáng)制安全處理機(jī)制，因?yàn)檫@是一種相對(duì)穩(wěn)妥的處理方式。主體嘗試訪問(wèn)電子政務(wù)網(wǎng)站時(shí)，都會(huì)由網(wǎng)絡(luò)操作系統(tǒng)進(jìn)行主體訪問(wèn)權(quán)限授予，從而決定主體是否有權(quán)限訪問(wèn)客體，這是一種強(qiáng)制性處理機(jī)制，其目的是使訪問(wèn)過(guò)程達(dá)到更高的安全級(jí)別，從而保護(hù)系統(tǒng)數(shù)據(jù)的安全性。這一點(diǎn)與DAC不同的。

MAC的缺點(diǎn)在于同級(jí)別之間缺乏控制機(jī)制，訪問(wèn)級(jí)別的劃分不夠細(xì)致。

4自主訪問(wèn)控制（DAC）

自主訪問(wèn)控制因?yàn)槠浞€(wěn)定可靠的性能，成為目前計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)中，處理網(wǎng)絡(luò)資源訪問(wèn)使用得最多的一種安全訪問(wèn)控制機(jī)制。DAC的工作原理是，對(duì)某個(gè)客體具有擁有權(quán)（或控制權(quán)）的主體，能夠?qū)?duì)該客體的一種訪問(wèn)權(quán)限或多種訪問(wèn)權(quán)限自主地授予其他主體，并在隨后的任何時(shí)刻將這些權(quán)限回收。

這種訪問(wèn)方式是一種自主行為，在DAC系統(tǒng)中，某一個(gè)擁有訪問(wèn)權(quán)限的主體（用戶或某一個(gè)進(jìn)程）具有將權(quán)限轉(zhuǎn)移給其他主體的能力，這是對(duì)訪問(wèn)權(quán)限進(jìn)行限定的一種特定方法。這種轉(zhuǎn)移是自主的、安全的、高效的。實(shí)際上，DAC訪問(wèn)控制就是一個(gè)矩陣，可用一個(gè)三元組來(lái)描述（S，O，A）。其中，S為主體集合;O為客體集合;A為屬性集合。

對(duì)于任意一個(gè)si∈S，oj∈O，那么相應(yīng)地存在一個(gè)aij∈A。而aij=P（si，oj），aij就決定了si對(duì)oj可進(jìn)行什么樣的訪問(wèn)操作。用矩陣描述如下。

矩陣的第i行Si表示主體si對(duì)所有客體的操作權(quán)限;矩陣的第j列Oj表示客體oj允許主體可進(jìn)行的操作權(quán)限。其在具體實(shí)現(xiàn)時(shí)是基于矩陣的行或列來(lái)制定訪問(wèn)控制策略，而不是將矩陣整個(gè)保存起來(lái)，因?yàn)槟菢幼鲂侍?。下面分別介紹這兩種方法。

4.1基于行的自主訪問(wèn)控制

密碼（Passwords）：每個(gè)客體就不同的訪問(wèn)方式提供不同的訪問(wèn)密碼，密碼是機(jī)密的，毋庸置疑知道密碼才能訪問(wèn)。缺點(diǎn)：為了保證系統(tǒng)安全，密碼需經(jīng)常更新，并且密碼多，用戶難以記憶，而且哪些用戶享有密碼也很難受到控制。

前綴表（Profiles）：每個(gè)用戶都擁有前綴表文件，前綴表文件列出了所有能夠訪問(wèn)其客體的權(quán)限列表。缺點(diǎn)：如果主體能夠訪問(wèn)多個(gè)客體，其訪問(wèn)權(quán)限就非常多，那么所對(duì)應(yīng)的權(quán)限列表就非常長(zhǎng)，非常復(fù)雜，容易出現(xiàn)冗余現(xiàn)象。而且在管理權(quán)限表方面也會(huì)非常麻煩，比如刪除、創(chuàng)建、更改前綴表文件等操作。

權(quán)利表（CapabilitlesList）：只有當(dāng)一個(gè)主體擁有準(zhǔn)許訪問(wèn)的“Capabilitles”時(shí)，通過(guò)將訪問(wèn)的主體和被訪問(wèn)的客體進(jìn)行約束，此表才能約束客體。

以上述三種方法都是針對(duì)某一個(gè)主體的訪問(wèn)權(quán)限。但是，在一個(gè)完整的安全控制系統(tǒng)中，正是客體本身需要得到可靠的保護(hù)。要知道從主體這個(gè)方面對(duì)約束進(jìn)行修飾的話，那么想知道哪一些訪問(wèn)對(duì)象被讀取將會(huì)很困難。所以，控制訪問(wèn)服務(wù)這個(gè)功能將會(huì)控制主體的集合，那么如何控制就是在賦予權(quán)力和收回權(quán)利這兩個(gè)方面上進(jìn)行，所以重心就偏向于客體方面。

4.2基于列的自主訪問(wèn)控制

在每個(gè)要訪問(wèn)的客體上附加要訪問(wèn)的主體明細(xì)表，通過(guò)兩種形式：保護(hù)位（ProtectionBits）和訪問(wèn)控制列表（ACL）來(lái)實(shí)現(xiàn)。保護(hù)位是對(duì)所有主體指明一個(gè)訪問(wèn)模式集合，通常用bit位來(lái)表達(dá)訪問(wèn)權(quán)限，其表達(dá)的方式多種多樣，與訪問(wèn)的主體相互匹配、協(xié)同工作，對(duì)于多用戶多任務(wù)操作系統(tǒng)特別合適，因此被廣泛使用。

在局域網(wǎng)中，節(jié)點(diǎn)設(shè)備用來(lái)對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)、傳送，諸如路由器、交換機(jī)等。那么，其中都具有一張比較詳細(xì)的指令訪問(wèn)列表，依據(jù)這些列表，可以對(duì)網(wǎng)絡(luò)中特定資源進(jìn)行訪問(wèn)控制，控制其能否被訪問(wèn)、能否被讀取、能否被寫(xiě)入等。在這個(gè)過(guò)程中，我們不但能控制某一個(gè)具體資源的訪問(wèn)權(quán)限，還能將具有相同訪問(wèn)該資源權(quán)限的主體用戶整合在一起，進(jìn)行按組別集中授權(quán)訪問(wèn)、集中管理。例如，針對(duì)文件fileAAA，通過(guò)ACL訪問(wèn)控制列表（nicky和linda是私人用戶也就是主體，array是規(guī)定的一個(gè)主體訪問(wèn)用戶集合）。FileAAA：（nicky，{r，w}），（linda，{r}），（array，{w}）

這條ACL表明，nicky可以讀入數(shù)據(jù)，同時(shí)也可以寫(xiě)入數(shù)據(jù)fileAAA。而linda這個(gè)用戶只能讀取數(shù)據(jù)，array則因?yàn)槭莿澏ê玫囊粋€(gè)成員集合，因此里面的所有成員用戶都能向文件fileAAA中寫(xiě)入數(shù)據(jù)。

因?yàn)锳CL獨(dú)有的性能特點(diǎn)，其優(yōu)勢(shì)是將用戶進(jìn)行分組集中管理，能夠比較客觀的查找出哪些用戶具有哪些資源的訪問(wèn)權(quán)限。隨著時(shí)代的發(fā)展，ACL的功能也得到了進(jìn)一步的擴(kuò)充，伴隨著網(wǎng)絡(luò)規(guī)模逐漸變大，企業(yè)內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)越來(lái)越復(fù)雜，ACL運(yùn)行起來(lái)就越來(lái)越吃力，弊端盡顯。

因?yàn)锳CL獨(dú)特的工作模式，用戶都按組進(jìn)行授予訪問(wèn)權(quán)限。在一個(gè)網(wǎng)絡(luò)中，資源變得越來(lái)越多的時(shí)候，ACL就會(huì)新建越來(lái)越多的主體訪問(wèn)明細(xì)表，這些表重復(fù)冗長(zhǎng)，同時(shí)管理員還要管理訪問(wèn)權(quán)限，無(wú)疑加大了管理人員的工作強(qiáng)度和難度。同時(shí)，因?yàn)榫钟蚓W(wǎng)錯(cuò)綜復(fù)雜，且服務(wù)器服務(wù)于各自局域網(wǎng)、各自設(shè)置主體訪問(wèn)控制列表。那么，列表眾多也進(jìn)一步加大了ACL的復(fù)雜度和整體控制策略的精確度。否則就會(huì)造成各部門(mén)工作行動(dòng)不一致，協(xié)調(diào)失敗而導(dǎo)致訪問(wèn)失敗、出現(xiàn)丟包、錯(cuò)包的情況。

由于Web管理員在服務(wù)器上要對(duì)每個(gè)資源的ACL進(jìn)行維護(hù)，而每個(gè)ACL都包含用戶和組列表、受控資源的訪問(wèn)方式等信息。因此，授權(quán)管理成本高，且容易發(fā)生錯(cuò)誤。

由于把權(quán)限最終授予給用戶，或造成“用戶/許可”數(shù)據(jù)量十分龐大，而且用戶在企業(yè)中的地位隨時(shí)可能變動(dòng)，相應(yīng)的訪問(wèn)權(quán)限也都要修改，因此維護(hù)稍具規(guī)模的企業(yè)網(wǎng)絡(luò)可能導(dǎo)致災(zāi)難性后果。

5RBAC

RBAC（Role?BasedAccessControl）是對(duì)DAC和MAC機(jī)制的改進(jìn)。在RBAC中，權(quán)限與角色一一對(duì)應(yīng)，用戶通過(guò)扮演某種角色而獲得與之匹配的客體訪問(wèn)權(quán)限。它具有三種授權(quán)管理的控制途徑：改變主體所擔(dān)任的角色;改變角色的訪問(wèn)權(quán)限;改變客體的訪問(wèn)權(quán)限。

RBAC提供了層次化的管理結(jié)構(gòu)，具有責(zé)任分離的能力和提供最小權(quán)限的能力，極大地簡(jiǎn)化了權(quán)限的管理。在一個(gè)組織中，角色是為了完成各種工作而出現(xiàn)，用戶則依據(jù)自身責(zé)任和資格被指派相應(yīng)的角色，用戶可以很容易地從一個(gè)角色被指派到另一個(gè)角色[2]。角色可依據(jù)新的需求和系統(tǒng)的合并而賦予新的權(quán)限，且權(quán)限也可根據(jù)需要從某角色中進(jìn)行回收。角色與角色可以建立聯(lián)系，以囊括更廣泛的客觀情況。因此，RBAC明顯的優(yōu)勢(shì)就是降低管理成本，支持高級(jí)別的訪問(wèn)策略。