[发明专利]一种无线自组织网络环境下面向服务的访问控制方法

说明书

技术领域

本发明是一种适用于移动Ad hoc网络环境的保障业务层服务或资源能够被安全访问的控制方法。

背景技术

移动Ad hoc网络(Mobile Ad hoc Network，简称MANET)是一种临时自治的分布式系统，具有无中心、自组织、动态拓扑结构变化频繁、节点能源有限、无线信道带宽有限等特征，不依赖于固定主干网或基站便能够快速部署到位，建立起一套完整、强大、高抗毁的网络通信系统，提供有效的数据和多媒体通信服务。Ad hoc网络技术最早起源于20世纪70年代初的美国军事通信领域，但此后Ad hoc网络也受到了学术界和产业界的不断关注，其在民用方面也具有广泛的应用前景。目前Ad hoc网络主要应用在移动会议、家庭网关、紧急服务、传感器网络、个人域网络、军事无线通信以及其他商业应用等领域。随着人们对信息需求的迅猛发展和学术、产业两界的不断钻研创新，Ad hoc网络必将给军、民用产品的开发带来巨大的经济和社会效益。

相对于有固定基础设施的传统无线网络和有线网络，Ad hoc网络具有无中心、自组织、动态拓扑结构变化频繁、有限的无线通信带宽、有限的节点能源以及无线信道完全开放、网络缺乏自稳定性等显著特征。因此，无线移动Ad hoc网络，相对于有线网络和传统无线网络，更易遭受各种攻击和安全威胁。传统的基于密码体系的安全体制主要用于抵抗外部攻击，当Ad hoc网络内部节点被俘获而发生内部攻击时很容易发生信息泄露和资源欺骗，从而整个网络将被控制。这就需要有效机制及时识别被俘获节点，有针对性地采取相应措施以减小整个Ad hoc网络系统的损失。

访问控制技术被认为是对传统的基于密码体制安全措施的有效补充，它的主要任务是保证网络资源不被非法使用和访问，是保证网络安全最重要的核心策略之一。目前主要存在以下几种类型的访问控制技术：

(1)自主访问控制(Discretionary Access Control，DAC)：由客体自主地确定各个主体对它的直接访问权限，通过访问矩阵来描述。自主访问控制有一个明显的缺点就是这种控制是自主的，它能够控制主体对客体的直接访问，但不能控制主体对客体的间接访问(利用访问的传递性，即A可访问B，B可访问C，于是A可访问C)。虽然这种自主性为用户提供了很大的灵活性，但同时也带来了严重的安全问题。

(2)强制访问控制(Mandatory Access Control，MAC)：由授权机构为主体和客体分别定义固定的访问属性，且这些访问权限不能由用户修改。强制访问控制常用于军队和国家等重要机构的网络系统中，例如将数据分为绝密、机密、秘密和一般等几类。它的缺点在于访问级别的划分不够细致，在同级间缺乏控制机制，集中控制力太强，灵活性太差不便管理。

(3)基于角色的访问控制技术(Role-Based Access Control，RBAC)：是对自主控制和强制控制的改进，如图1所示在用户和访问许可权之间引入角色的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系，角色可以根据实际的工作需要生成或取消，而用户可以根据自己的需要动态地激活自己拥有的角色，避免了用户无意中危害系统安全。目前已经出现了一系列的RBAC模型，这些模型的提出在访问控制发展史上具有十分重大的意义。

但是，在实际的分布式应用系统开发中，特别是在像Ad hoc网络这样具有异样特点的分布式系统中，RBAC模型仍面临很多问题，其明显缺陷如下：

(1)由于访问控制信息使用的频率非常高，集中式的用户认证和权限检查，必然加重服务器的负担；

(2)安全性受到服务器本身的安全性的限制，一旦服务器的安全失效，则整个访问控制系统将处于瘫痪之中。