探究访问控制基于角色和透明加解密技术文件访问制约科技
最后更新时间:2024-01-23
作者:用户投稿
本站原创
点赞:6096
浏览:14839
本站原创
点赞:6096
浏览:14839
论文导读:
摘要:该文主要研究了基于角色的文件访问控制,经过探讨之后采用了扩展型角色访问的控制模型,并对透明加解密的应用进行分析,得到了基于角色和透明加解密技术的文件访问控制方案,该方案在项目中取得了实现。
关键词:角色;透明加解密;文件访问;控制
1009-3044(2013)28-6259-03
现阶段,文件信息容易受到外界干扰,内部泄密和破坏情况也较为严重。对于外界干扰,重要文件必须设置访问控制。在基于角色访问权限(RBAC)的基础上,将其扩展化,得到了ERBAC模型。而对于内部破坏和泄密,可采取常用的文件透明加解密技术。该加解密技术能自动选择加解密算法,加解密操作指定文件。用户在使用时不会察觉到加解密的过程。从一定意义上来说,硬盘文件存储时是密文形式,当有不法分子想把它拷贝,其应用程序并不能获得自动解密服务,因此,打不开文件。
1 ERBAC模型
在大型企业内,业务对象较多,权限管理内的角色定义较为复杂。由于用户业务需求多变,需要不断更新系统的功能。系统用户因为工作职责的原因,权限也在发生变化。故此,角色定义会随着业务和时间调整出现频繁变化。多个角色权限出现相互重叠。倘若以调整角色定义的方式改变授权,便不能达到复杂情况变化需要。因此,形成了对角色、用户混合授权的扩展型基于角色权限控制模型ERBAC。
ERBAC模型将访问权限转变成角色权限,用户会有着不一样的分配角色,也有着不同的权限。用户的业务需求多样化,系统数据资源和功能作用也会发生改变,用户权限也会发生变化。因此,角色定义更为复杂,或许会造成多角色权限叠加,不能区分出数据资源访问权限。为了解决用户个性化访问的需求,这是一个必须要解决的问题。
在ERBAC之入用户组概念。用户组是用户集合,它可以当成基本单位分配数据资源权限。以用户的角色分配文件存储功能权限。所谓的用户权限指用户角色功能权限、用户组资源权限两者的组合。只要用户对系统验证的身份进行访问,便会得出用户的用户组和所属角色。根据角色功能权限得出按钮、页面元素、菜单项。通过调动功能模块,经过用户组资源的权限得到真实的数据资源。
2 文件系统过滤驱动的加密
此驱动指的是在文件系统驱动和I/O管理器间的驱动程序。把过滤驱动放在文件系统中,只要底层驱动与上层的应用程序进行通信,该应用程序会发出I/O指令。等到I/O管理器获得指令,就开始分配、初始化IRP。在这个阶段,文件过滤驱动把用户请求拦截住,开始自我处理,并把信息传递给文件系统中的其余模块开始其他任务。因为过滤驱动在Windows 内核层,便于拦截文件操作,而且拦截度很高,有着很好的安全性。
文件系统过滤驱动加密的基本思想是,由上层读写请求拦截文件的系统驱动程序,在读取数据IRP包,完成例程再在其中嵌入解密算法,解密处理得到数据。上层数据将会被驱动加密进入磁盘内。读取磁盘数据通过驱动自动解密给予上层。磁盘内的文件均是密文形式。内核模式中,系统最底层为代码运行,其兼容性和稳定性达不到用户模式代码。由此,内核模式比用户模式的透明加解密开发要难得多。
3 基于角色和透明加解密技术的文件访问控制设计
3.
角色访问控制与策略配置模块主要的功能是添加、修改与划分用户组和用户、系统角色。并且可制定科学的策略配置文件。策略配置模块是对授权进程与授权程序名的关系进行添加、删除与修改,文件内存储策略因素,而注册表之中有路径记录。如果驱动程序进入初始阶段,会通过注册得到策略文件路径。该模块设置目的在于访问指定类型的文件数据。如此便能分开普通进程和危险进程,达到数据的保护。
3.
3.
3.
3.
3.
该操作流程中,因为加解密模块选择了分组对齐的算法,可能会代替最初IRP数据的缓冲。其中的请求数据要保证为分组大小的整数倍。如果不是则不要开展正确的解密操作。
4 系统测试和分析
论文导读:
据此可以发现,系统文件加解密的操作,不会影响到系统的性能,也能实现用户透明要求。
5 结束语
基于角色和透明加解密技术的访问控制模型,能够让用户信息以加密密文的形式存在数据库内,避免非法用户进行非法的数据操作,使得信息系统安全性有所提高。加密操作安全性和隐私性较高的文件,倘若用户要求观察这些文件密文,需有权限。该访问控制模型还可以禁止用户进行私自的拷贝。如果用户从该系统环境中离开,则得不到正确的明文信息。两级验证好资源请求信息与用户信息,就可以完成双层保护工作。
参考文献:
陈欢.通信网络信息加解密技术研究[J].福建商业高等专科学校学报,2006(2).
周峰,凌捷,黄万民,等.基于文件系统过滤驱动的透明加解密技术实现[J].广东工业大学学报,2010(3).
[3] 李晓字.基于微过滤驱动的文件访问控制系统[J].硅谷,2011(16).
[4] 贾松松,陈剑勇.透明加解密技术在企业数据安全中的应用探讨[J].数字技术与应用,2011(12).
[5] 边金良.基于透明加解密技术的数据安全防护系统的设计与实现[J].重庆电子工程职业学院学报,2013(2).
[6] 宋雪莲.基于透明加密Windows系统解技术的设计与实现[J].信息安全与技术,2013(7).
[7] 苏凡竣,曹斌,闾凡兵,等.基于分层文件系统的文档透明加解密方案[J]贵州大学学报:自然科学版,2013(2).源于:免费论文网站www.7ctime.com
摘要:该文主要研究了基于角色的文件访问控制,经过探讨之后采用了扩展型角色访问的控制模型,并对透明加解密的应用进行分析,得到了基于角色和透明加解密技术的文件访问控制方案,该方案在项目中取得了实现。
关键词:角色;透明加解密;文件访问;控制
1009-3044(2013)28-6259-03
现阶段,文件信息容易受到外界干扰,内部泄密和破坏情况也较为严重。对于外界干扰,重要文件必须设置访问控制。在基于角色访问权限(RBAC)的基础上,将其扩展化,得到了ERBAC模型。而对于内部破坏和泄密,可采取常用的文件透明加解密技术。该加解密技术能自动选择加解密算法,加解密操作指定文件。用户在使用时不会察觉到加解密的过程。从一定意义上来说,硬盘文件存储时是密文形式,当有不法分子想把它拷贝,其应用程序并不能获得自动解密服务,因此,打不开文件。
1 ERBAC模型
在大型企业内,业务对象较多,权限管理内的角色定义较为复杂。由于用户业务需求多变,需要不断更新系统的功能。系统用户因为工作职责的原因,权限也在发生变化。故此,角色定义会随着业务和时间调整出现频繁变化。多个角色权限出现相互重叠。倘若以调整角色定义的方式改变授权,便不能达到复杂情况变化需要。因此,形成了对角色、用户混合授权的扩展型基于角色权限控制模型ERBAC。
ERBAC模型将访问权限转变成角色权限,用户会有着不一样的分配角色,也有着不同的权限。用户的业务需求多样化,系统数据资源和功能作用也会发生改变,用户权限也会发生变化。因此,角色定义更为复杂,或许会造成多角色权限叠加,不能区分出数据资源访问权限。为了解决用户个性化访问的需求,这是一个必须要解决的问题。
在ERBAC之入用户组概念。用户组是用户集合,它可以当成基本单位分配数据资源权限。以用户的角色分配文件存储功能权限。所谓的用户权限指用户角色功能权限、用户组资源权限两者的组合。只要用户对系统验证的身份进行访问,便会得出用户的用户组和所属角色。根据角色功能权限得出按钮、页面元素、菜单项。通过调动功能模块,经过用户组资源的权限得到真实的数据资源。
2 文件系统过滤驱动的加密
此驱动指的是在文件系统驱动和I/O管理器间的驱动程序。把过滤驱动放在文件系统中,只要底层驱动与上层的应用程序进行通信,该应用程序会发出I/O指令。等到I/O管理器获得指令,就开始分配、初始化IRP。在这个阶段,文件过滤驱动把用户请求拦截住,开始自我处理,并把信息传递给文件系统中的其余模块开始其他任务。因为过滤驱动在Windows 内核层,便于拦截文件操作,而且拦截度很高,有着很好的安全性。
文件系统过滤驱动加密的基本思想是,由上层读写请求拦截文件的系统驱动程序,在读取数据IRP包,完成例程再在其中嵌入解密算法,解密处理得到数据。上层数据将会被驱动加密进入磁盘内。读取磁盘数据通过驱动自动解密给予上层。磁盘内的文件均是密文形式。内核模式中,系统最底层为代码运行,其兼容性和稳定性达不到用户模式代码。由此,内核模式比用户模式的透明加解密开发要难得多。
3 基于角色和透明加解密技术的文件访问控制设计
3.1提出模型
在RBAC模型中,用户信息以明文形式保存在数据库内。非法用户获得数据库信息,便能得知他人身份,破坏数据库。新模型内,为确保用户信息存储以密文形式。模型内的用户登录将从应用层的解密模块绕行,将用户信息进行解密。再完成身份的认证过程。模型内还要加入透明加密技术OTFE,提供一些策略配置。可以对指定文件和文件夹做好加密保护。除此之外,也能进行系统加密算法过程。透明加密技术的功能在于避免数据被他人拷贝和非法窃取。不法分子得到的文件信息是垃圾文件。文件数据更加安全。3.2实现模型
基于角色和透明加解密技术的文件访问控制模型,有策略验证与维护模块、角色访问控制与策略配置模块、密钥管理模块、用户模式加解密模块、通信模块、加解密模块、文件过滤驱动模块、双缓冲维护模块。3.
2.1策略验证与维护模块
在策略验证与维护模块中,先要维护好进程访问,以文件过滤式的驱动模块进行查询,负责用户层的更新、添加和删除消息操作。该驱动系统可能会因为效率的加快,采取Hash链表存储好后缀名、进程名与规则。3.2论文导读:
.2角色访问控制和策略配置模块角色访问控制与策略配置模块主要的功能是添加、修改与划分用户组和用户、系统角色。并且可制定科学的策略配置文件。策略配置模块是对授权进程与授权程序名的关系进行添加、删除与修改,文件内存储策略因素,而注册表之中有路径记录。如果驱动程序进入初始阶段,会通过注册得到策略文件路径。该模块设置目的在于访问指定类型的文件数据。如此便能分开普通进程和危险进程,达到数据的保护。
3.
2.3密钥管理模块
密钥管理模块对密钥安全性和真实性进行负责。公私钥存储和生成时,使用该系统要数据和用户名,以MD5算法获得文件加密密钥。并以windows系统的CryptoAPI随机生成一对公私钥密钥对。加密私钥,再利用用户ID做好加密,用户ID与公钥存储在系统配置文件之中。等到驱动过滤得到加密文件,此时的通信模块会将请求发送到用户层,得到私钥。整个系统借助于密钥管理解密私钥的内容。私钥解密文件做好加密,由通信模块把密钥信息传导驱动当中,并把它当做加密标识,存储于文件内。3.
2.4用户模式加解密模块
新用户身份验证与角色访问控制策略配置模块内的信息做好解密,由用户模式加解密模块负责。3.
2.5通信模块
由于应用程序和底层驱动没有一个公开性的通信接口,因此在应用层上要构建辅助线程。倘若上层和驱动有通信信息,自我构造数据的结构可以把信息传给应用层线程内,实现处理工作。就像过滤驱动获得新文件进程名和后缀名,在访问请求过程中将请求信息交给户端中的通信线程。辅助线程获得信息数据后会告知用户,用户及时处理之后就会把结果交给内核层处理。 3.2.6加解密模块
加解密模块加解密处理有标识的数据文件。根据是系统安全性与可行性判断,加解密模块算法均是分块算法,例如DES、AES、R,不仅考虑了加密强度,而且对突发数据有很强的可操作性。对模块进行调用基本有两种情况,第一种是过滤驱动模块内描述数据,第二种读出双缓存模块中要解密的加密数据。3.
2.7文件过滤驱动模块
在驱动加载的时候,文件过滤驱动模块负责挂载监控文件系统和卷设备。一旦挂载成功,便接受对象管理器的IRP。根据IRP的不同种类,选择不同类型的IRP派遣函数。3.
2.8双缓冲维护模块
该模块是维护单个的密文缓冲与单个的明文缓冲。在授权进程中,能够获得明文信息。非授权进程能够获得密文信息。在设定自我的双缓冲过程中,介入Windows的缓存管理器。某个应用程序开始访问文件时,只有两种方式读取数据,一是硬盘内进行读取,第二种是从缓存内直接读取。非法进程突然性的访问或攻击该文件,将会获得系统缓存数据。如果缓存内包含上次合法进程的访问数据,非法进程也能够读取到明文信息数据。如此便不能得到加密。为防止这种现象的发生,应当利用暴力的形式清除掉缓存。还有另一种方式,由于Windows机制出现副作用,系统会出现不稳定的情况,例如蓝屏和死机。在这个时候,系统中引进双缓冲的机制,能够解决这类的问题。该操作流程中,因为加解密模块选择了分组对齐的算法,可能会代替最初IRP数据的缓冲。其中的请求数据要保证为分组大小的整数倍。如果不是则不要开展正确的解密操作。
4 系统测试和分析
4.1稳定性测试
双缓冲设计决定了系统稳定性。为测定出系统稳定性,可利用策略配置模块进行保护策略的制定。通过授权和非授权这两种程序完成加密型文件的访问,实现测试过程。并频繁测试加密标识性大文件。测试后的结果证明系统可以在多数据、长时间的工作中获得最佳的稳定性。4.2测试功能性
在系统内输进用户名及,整个系统会得到权限,从而进入指定的截面。同时,系统还要对指定文件、文件夹和文件类型进行配置,显示出指定文件、文件夹与文件类型均达到了加密的存储。如果用户是非授权的,观察这些数据文件都会显示乱码,无法获得正确性的文件信息。论文导读:
4.3测试性能
对系统的性能有影响的,有很多种因素。例如计算机性能、加解密的算法以及双缓冲设置。测试性能的结果,其参考意义远远超出了精确意义。拷贝大小不一的文件花费的时间便能评估系统的性能。据此可以发现,系统文件加解密的操作,不会影响到系统的性能,也能实现用户透明要求。
5 结束语
基于角色和透明加解密技术的访问控制模型,能够让用户信息以加密密文的形式存在数据库内,避免非法用户进行非法的数据操作,使得信息系统安全性有所提高。加密操作安全性和隐私性较高的文件,倘若用户要求观察这些文件密文,需有权限。该访问控制模型还可以禁止用户进行私自的拷贝。如果用户从该系统环境中离开,则得不到正确的明文信息。两级验证好资源请求信息与用户信息,就可以完成双层保护工作。
参考文献:
陈欢.通信网络信息加解密技术研究[J].福建商业高等专科学校学报,2006(2).
周峰,凌捷,黄万民,等.基于文件系统过滤驱动的透明加解密技术实现[J].广东工业大学学报,2010(3).
[3] 李晓字.基于微过滤驱动的文件访问控制系统[J].硅谷,2011(16).
[4] 贾松松,陈剑勇.透明加解密技术在企业数据安全中的应用探讨[J].数字技术与应用,2011(12).
[5] 边金良.基于透明加解密技术的数据安全防护系统的设计与实现[J].重庆电子工程职业学院学报,2013(2).
[6] 宋雪莲.基于透明加密Windows系统解技术的设计与实现[J].信息安全与技术,2013(7).
[7] 苏凡竣,曹斌,闾凡兵,等.基于分层文件系统的文档透明加解密方案[J]贵州大学学报:自然科学版,2013(2).源于:免费论文网站www.7ctime.com