扩展组织PKI网络访问控制方法研究

摘要

鉴于Internet技术发展的迅猛，为解决其安全问题，世界各国进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKI技术。由于网络的动态性、广域性、可扩展性，如何使PKI网络很好地适应网络的这些特点，因此PKI网络的互连成为近些年研究的热点。而扩展组织PKI网络的访问控制方法研究也倍受关注。本文系统的研究了实现扩展组织PKI网络访问控制所涉及的相关理论和技术，以及这些理论和技术的国际、国内研究现状，围绕课题内容展开了相关研究、分析和实验。本文主要创新性成果如下所述： 1.各个企业内部使用各自的PKI处理内部事务，然而大多数组织有事业上的伙伴，希望连接组织间的PKI而具有B2B的E商务能力。结合计算机的最新实现技术与理论，设计了一种基于Web服务的、在扩展组织PKI网络中实现对资源进行访问控制的安全访问控制模型，该模型集成了PKI、PMI、RBAC及XML安全性等相关技术，能实现扩展组织PKI网络中的授权和认证，给出了基于Web服务的扩展组织PKI网络中的访问控制机制的结构，并给出了对用户请求的访问控制实现过程与相应的算法。同时为后续开展相关内容的研究奠定了基础。 2.PKI是目前保证网络信息安全的主流技术。但是目前国内外PKI产品的互操作性差，应用部署难度高，系统维护缺乏足够的灵活性，这些问题制约了PKI产品的应用。本文在介绍、讨论了Web服务及相关的XML安全技术的基础上，将目前成熟的安全体系结构PKI和Web服务融合起来，给出了一个新的基于XML的Web服务分层安全模型，并对其安全性和特点进行了详细的分析论述。最后给出了该模型中的核心部分——安全服务子层的设计实现，给出了总体结构设计、服务器端的实现、客户端的实现。客户端具有通用性、易用性、轻量级、易维护等特点，有利于PKI的推广应用。 3.X.509v4 PMI支持基于角色的访问控制RBAC，利用角色来实现用户与权限的逻辑隔离，这种方式简化了系统的权限管理。然而，在大型系统中，由于角色的复杂性，使得文献中介绍的基于角色的访问控制模型不能满足实际要求。本文给出了一种具有时间约束的基于角色的授权管理模型，该模型对RBAC中权限的定义进行了扩展，使它非常有利于公有权限、部门权限、私有权限的划分与继承，并在权限的继承中加入了时间约束。该方法不仅有利于权限的频繁更新，也对应了现实世界中的岗位数，易于理解与操作。 4.提出了一种对等计算中量化交易参与者行为和计算交易参与者信任值来评估交易参与者之间信任关系的基于行为的信任评估模型BBTEM。设计了考虑交易规模时的用户当次行为评价方法。能防止在小规模交易中积累信任值，在大规模交易中进行欺骗的情况。把用户综合评价分为直接经验和推荐经验，并在推荐经验中通过合理设计朋友的计算方法，有效抑制诋毁和协同作弊。考虑了初始信任度的设置，防止信誉恶化的用户选择重新登录来逃脱惩罚等。最后通过算例和实验证明了该模型的具有客观性和一定的通用性。 5.基于Web服务的PMI用来对资源进行访问控制。随着要求进行安全事务处理的需求的增加，要求系统提供广泛的QoS的要求也在增加。然而，由于使用的标准协议和数据的打包、拆包，使Web service的性能相对较低。为了改进PMI系统的QoS，特别是改进系统的响应时间，在PMI系统中设计了一种缓存机制。验证用户权限时，需要执行一个频繁的访问AC操作，在这个访问AC的过程中，很多时间花费在网络传输上，有可能造成系统的一个瓶颈。本文通过在PMI中引入AC缓存机制来提高访问AC的效率。设计并实现了该缓存机制，并着重设计了缓存更新算法，设计了一种改进的决策树更新算法，使得在保证了一定的命中率之后，使缓存机制很好地提高了网络环境中PMI的时间响应性能。相关实验证明了这一点。 6.在一个开放的系统里，交易双方由于某些原因可能进行欺骗，因此，考虑用户的信任度变得很重要。为进一步提高PMI系统的QoS，在缓存了AC之后，又设计了一个基于RBAC和信任的缓存机制。详细介绍了该缓存机制的实现原理，给出了在缓存中查询角色权限以及在缓存中添加记录的算法，还介绍了缓存的更新策略。研究表明，该手段能有效地缩短系统的响应时间。

目录

文摘

英文文摘

声明

第一章绪论

§1.1课题的目的和意义

1.1.1访问控制

1.1.2 PKI基础设施

1.1.3 PMI基础设施

1.1.4扩展组织网络

§1.2扩展组织PKI网络起源与研究现状

1.2.1基于Web扩展企业商务处理

1.2.2基于XML构建安全的Web服务

1.2.3基于角色的授权管理模型在PMI中的研究

1.2.4对等计算中的信任模型研究

1.2.5 PMI系统中的QoS研究

§1.3本文的主要研究内容和章节安排

第二章基于WEB服务的扩展组织PKI网络安全访问机制

§2.1引言

§2.2在扩展组织PKI网络中用X.509证书管理访问

§2.3基于WEB服务构建扩展组织PKI网络的安全访问控制机制

2.3.1多域网络环境的安全性需求

2.3.2 Web服务基本概念

2.3.3相关的XML安全技术

2.3.4 X.509v4 PMI支持的访问控制模型

2.3.5基于Web服务构建扩展组织网络的安全访问控制机制

2.3.6实现算法

2.3.7基于XML的安全通信的实现

§2.4系统性能分析

§2.5小结

第三章基于XML构建安全的Web服务

§3.1引言

§3.2基于XML构建Web服务的安全模型

3.2.1 Web服务的分层安全模型

3.2.2分层安全模型的特点

§3.3基于XML的安全服务子层的实现

3.3.1总体结构设计

3.3.2服务器端的实现

3.3.3客户端的实现

§3.4小结

第四章基于角色的授权管理模型在PMI中的研究

§4.1引言

§4.2 RBAC模型概述

§4.3改进的RBAC模型的建立与实现

4.3.1周期时间的符号表示

4.3.2持续时间的符号表示

4.3.3具有时间约束的RBAC的层次继承

4.3.4角色层次中的公有权限和私有权限

4.3.5权限指派算法的实现

§4.4应用示例

§4.5小结

第五章对等计算中基于行为的信任评估模型

§5.1引言

§5.2信任的相关概念

5.2.1信任机制的建立

5.2.2可信性的定义

5.2.3可信值的计算

§5.3实体行为的定义

§5.4实体行为的综合评价

5.4.1基于德尔菲法确定影响信任评价的关键因素

5.4.2基于层次分析法计算各关键因素的权重

5.4.3对各因素进行评分，计算实体当次行为的评价

5.4.4考虑交易规模时的当次行为评价

§5.5 BBTEM信任评估模型

5.5.1需要考虑的问题

5.5.2 BBTEM模型的行为综合评价

5.5.3 BBTEM模型的通用性优点

§5.6算例研究

§5.7实验及分析

§5.8结论

§5.9小结

第六章PMI系统中的QOS问题研究

§6.1引言

§6.2相关工作

§6.3属性证书缓存机制在PMI中的研究

6.3.1缓存更新算法设计

6.3.2实验与分析

6.3.3结论和将来的工作

§6.4基于RBAC和信任的缓存机制在PMI中的研究

6.4.1基于RBAC验证用户权限

6.4.2验证信任值的必要性

6.4.3基于RBAC和信任的缓存机制设计

6.4.4缓存的更新

6.4.5结论和未来的工作

§6.5小结

第七章总结与展望

参考文献

致谢

攻博期间的研究成果