基于智能客户端的代码访问安全机制研究.pdf

计算机时代2008年第1期 ·27· 基于智能客户端的代码访问安全机制研究★ 李珍辉坦，段斌2，胡忠望1 (1．湖南工程学院计算机科学系，湖南湘潭411104；2．湘潭大学信息工程学院) 摘要：根据微软的代码访问安全性，归纳出代码访问控制模型，并给出了它的一种形式化描述，该模型能实现对系统更 低层次的访问控制；文章还提出了一种代码访问控制系统设计方案。 关键词：分布式网络安全；访问控制；智能客户端；安全通信 O引言 保护敏感数据确保应用程序存储和传输的敏感数据(例 智能客户端【1捌是一种可扩展的、不同应用可以集成的桌面 如密码或机密的商业数据)是安全的。对敏感数据进行加密可 应用程序。它可以无接触部署、即需即装、动态加载，xcopy可以确保数据不可能以明文形式获得；选择好的算法还可以确保 运行而无须修改注册表，可以动态升级、自动更新，可以方便地 信息不会被篡改，从而维护其完整性。 经web运行而不用担心防火墙问题，并可以方便地离线运用， 审核和日志记录包括保存对事件和用户操作的记录。将 方便地连接webservices应用附】。 关键的用户操作或活动记录在服务器上；或者安全地记录在客 智能客户端是分布式应用，通常跨越多种不同的产品和技 户端上，因为客户端计算机上的日志可能被篡改或清除。 术。组成应用程序的各组件通常来自于完全不同的组织。所以 异常管理确保应用程序适当地处理异常和失败，并且返 应用程序的不同组件可能要求不同的信任度。用组件动态组成 回用户友好的非敏感信息。异常的详细信息可以记录到事件日 的系统具有独特的安全需求。针对这种安全需求，有人提出了 志或应用程序日志中。 多种改进模型，试图在分布式环境下实现传统的角色访问控制m-， 更改和配置管理确保跟踪并记录rr环境的配置以及更 但这些方案大多有以下缺陷： 改，并且确定任何经授权的更改所涉及的安全性含义。 (1)无法解决引诱攻击问题。来自被信任组织的组件可能 1．2代码访问安全机制的几个要素 需要访问敏感资源，而这些资源正常情况下需要得到保护以防 代码访问安全技术将身份验证和授权原则应用于代码而 止恶意代码访问。引诱攻击经常通过欺骗受信任的代码组件对 不是用户，它确保只有用于运行的代码才可以被用户运行。代 敏感资源进行调用，或以低信任度组件调用高信任度组件的方 码访问安全机制包括下列要素： 式来获得合法代码的权限，以此访问敏感资源。 (1)权限。权限代表代码访问安全资源或执行特权操作的 (2)角色分配困难。有的代码，例如可移动代码，可以由任 权力。Microsoft．NET 意数量的用户下载和执行，这些用户的身份无法判断，角色也 识权限。代码访问权限封装访问特定资源或者执行特定操作的 就无从分配。 能力。例如，在应用程序可以执行任何文件的I／0操作之前都需 智能客户端将逻辑和数据分布到客户端计算机，因此需要 考虑的安全性和与瘦客户端应用程序相关的安全性是不同的， 标识的某个方面代码的访问。 后者的数据和逻辑更多地被限制到服务器。本文讨论智能客户 (2)权限集。．NETFL锄ework定义了许多权限集，它们代 端应用程序中的数据安全性、身份验证、授权，并系统地提出了 表一组通常作为一个整体分配的权限。例如，．NETFr锄ework 代码访问的权限解析、安全设计方案，从较低的代码层次和用 户角色层次上进行访问控制。 码；而LocalIntrallet权限集则分配数量非常有限的权限。 1智能客户端代码访问安全要素和权限解析 (3)证据。．NET 序集，并借助证据将恰当的权限授予除当的程序集。证据可以 1．1智