PMI异种访问策略下资源共享的研究

摘要

随着信息时代的来临，网络安全已经是人们日益关注的焦点。公开密钥基础设施(PUBLIC KEY INlFR．ASTRUCTURE，简称PKI)是目前网络安全建设的基础与核心，是有效进行电子政务、电子商务安全实施的基本保障。但随着网络中资源种类越来越多，用户角色越来越复杂，人们迫切需要一种更加细粒度化的访问控制技术。而PKI系统中身份和权限不分离，如果一个人同时兼有多种角色，拥有多个权限，就可能拥有多个身份证书。这样，既不利于系统的开发和重用，也不利于系统安全方面的管理。因此，授权管理基础设施PMI应运而生。目前，对PMI技术的研究正成为信息安全领域的热点。其中，授权策略缺乏统一的标准，系统效率不高是研究中遇到的主要问题。 轻量级目录访问协议(LDAP)是用于访问X.500的目录服务的，它不会产生目录访问协议(DAP)访问X.500时所需的资源要求。LDAP特别针对那些简单管理程序和浏览器程序，它提供对X.500目录进行简单的读/写交互式访问，同时也是对DAP本身的一种补充。LDAP所采纳的通用模型是客户端针对服务器进行协议操作。在这个模型中，客户端发送协议请求给服务器，描述所需的操作。接着服务器负责在目录中实施所必须的操作。在完成必要的操作之后，服务器返回一个带有结果或出错信息的回应给请求服务的客户。在LDAP的第一版本和第二版本中，并没有说明协议服务器如何提供其它服务器参照给客户机。为了改善性能和分配操作，LDAP第3版允许服务器返回给客户机关于其它服务器的参照，因此服务器减轻了联系其它服务器的工作，改善了操作性能。 访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么．企业环境中的访问控制策略一般有三种：自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法(RBAC)。其中，自主式太弱，强制式太强，二者工作量大，不便于管理。基于角色的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是：1．减小授权管理的复杂性，降低管理开销；2．灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。全文在介绍PMI、LDAP、RBAC三种技术的基础上，分析了目前的这三项技术的特点、优势以及当前的大部分应用都集中于RBAC，而跨越多种访问策略的研究较少的现状，介绍了应用LDAP的PMI系统目前资源共享的方式，在应用这三项技术的基础上提出了针对安全部门与普通部门(采用异种访问控制策略)资源共享的技术策略方案，该方案中，引进了目前较为通用的授权机制的树型结构，并在该结构的设计中，对于较大规模的PMI系统，提出了“单叉枝树”树型结构的改进方案，该方案以应急为目标，通过建立“单叉枝”的存储备用结构和系统更新时“单叉”树型结构的调整，克服了以往的模型系统更新过程中的效率问题。对于访问过程，通过对“角色”和“用户”多对多的对应关系的分析，提出了对于采用基于用户的访问控制策略的PMI系统为透明的“虚角色”的概念，并阐述了通过双方的LDAP进行认证来建立、应用“虚角色”的方式方法。把该项技术应用于采用异种访问控制策略的PMI系统的资源共享中，可以使资源共享的各方不必改变各自的访问控制策略，而可以进行较为方便的合作。本文通过对于上述技术的进一步细化分析，通过针对其安全性要求较高的应用特点模拟实现，使该项技术成功应用于异种访问控制策略下的PMI系统，使采用不同访问策略的PMI系统可以更加方便安全地进行资源的共享，从而共同合作，完成项目的开发。

目录

文摘

英文文摘

原创性声明和关于论文使用授权的说明

1.绪论

1.1课题的研究背景

1.2课题的提出与意义

1.3课题研究的主要内容及创新

1.4本文结构

2.PNI体系介绍

2.1概述

2.2 PNI技术的授权管理模式及其优点

2.3授权管理基础设施PNI系统的架构及需求

2.3.1 PKI系统的框架

2.3.2 PNI系统的需求

2.4授权管理基础设施PNI的应用

2.4.1在国家电子政务中应用

2.4.2基于PKI/PNI的IP宽带城域网安全应用

2.5本章小结

3.LDAP技术及其应用

3.1目录服务的组成

3.1.1 X.500(协议族)

3.1.2 LDAP目录访问标准

3.2 LDAP四种基本模型

3.2.1信息模型

3.2.2命名模型

3.2.3功能模型

3.2.4安全模型

3.3 LDAP的应用

3.4 X.500与LDAP的比较分析

3.5 LDAP的独特之处

3.6本章小结

4.基于角色管理的系统访问控制

4.1.技术策略

4.2.基于RBAC的实现

4.2.1.RBAC介绍

4.2.2实现方案

4.2.3.优缺点分析

4.3本章小结

5应用LDAP技术的PMI系统的资源共享改进方案

5.1访问控制的比较及LDAP在PMI中的应用

5.1.1基于角色的访问控制(RBAC)

5.1.2自主访问控制(DAC)

5.1.3基于规则的访问控制(MAC)

5.1.4轻量级目录访问协议(LDAP)

5.1.5 LDAP服务在PMI中的应用方案

5.2改进资源共享方案的访问流程

5.3改进资源共享方案的模拟实现

5.3与目前的共享资源的方法的比较

5.4单叉枝树的建立及调整

5.5本章小结

6、结论

参考文献

致谢

攻读学位期间发表的主要学术论文