基于DIS的分布式委托授权与访问控制研究

摘要

近年来，随着网络的飞速发展，分布式环境中的访问控制和授权管理作为信息安全领域的一个重要部分得到了快速发展。公钥基础设施PKI有效地解决了身份认证、数据保密和数据完整性等问题，从信息安全角度很好的回答了“我是谁”，但是对于“我能干什么”这个问题，需要进一步的技术来解决。引入授权管理基础设施PMI能弥补PKI的不足。PMI和基于角色的访问控制技术RBAC相结合，利用属性证书做为用户访问凭证的载体，在分布式环境中的访问控制和授权管理上起到了十分重要的作用。 本文综合分析了PMI、属性证书和访问控制技术，研究了PERMIS PMI项目的委托授权发布服务(Delegation Issuing Service，DIS)组件，然后分析了现有分布式环境中委托授权技术的优缺点。在此基础上，扩展DIS组件功能，提出了基于DIS的分布式委托授权与访问控制方案，从委托授权和访问控制两个方面分析了该方案的业务处理流程，总结了该方案在分布式环境中实现分布式协作的优点。 最后，从应用角度分析了两个图书馆之间的基于DIS的委托授权原型模型，结合现有的基于XML的授权策略，设计了适合分布式环境中跨域访问的授权管理策略，发布了策略属性证书和基于RBAC的用户角色属性证书两类属性证书，通过Apache服务器实现用户与DIS通信的三层模型，实现了AA委托DIS发布属性证书，分析了PERMIS PMI API实现访问控制的流程和一些关键类和函数。

目录

文摘

英文文摘

第1章绪论

1.1研究背景

1.2本文研究思路与主要工作

第2章访问控制技术

2.1自主访问控制(DAC)

2.2强制访问控制(MAC)

2.3基于角色的访问控制RBAC

2.3.1核心RBAC模型

2.3.2等级RBAC模型

2.3.3约束RBAC模型

2.4访问控制技术的比较

2.5本章小结

第3章PMI基本原理

3.1 PMI体系结构

3.1.1授权源SOA

3.1.2属性权威AA

3.1.3属性注册权威ARA

3.1.4属性证书AC

3.1.5证书目录服务器

3.2 PMI模型

3.2.1基本模型GM

3.2.2控制模型CM

3.2.3委托模型DM

3.2.4角色模型RM

3.2.5属性证书分发模型ACIM

3.3 PMI模型的缺点

3.4本章小结

第4章委托授权发布服务DIS

4.1 DIS模型

4.2 DIS的优点

4.3支持DIS的X.509扩展

4.3.1 indirectIssuer扩展

4.3.2 issuedOnBehalfOf扩展

4.3.3 noAssertion扩展

4.4委托证书的证书链的验证

4.5本章小结

第5章基于DIS的分布式授权与访问控制研究

5.1基于DIS的分布式委托授权模型的提出

5.2基于DIS的分布式委托授权模型概述

5.3 DIS分布式委托授权模型

5.4分布式委托授权访问控制模型

5.5基于DIS的分布式委托授权的优点

5.6本章小结

第6章基于DIS的分布式授权模型设计

6.1原型系统设计

6.1.1系统需求

6.1.2系统模型

6.2委托授权的设计

6.2.1域外角色设计

6.2.2授权策略设计

6.2.3属性证书设计

6.2.4证书存储库设计

6.2.5委托授权实现

6.3访问控制设计

6.3.1访问控制流程

6.3.2客户端设计

6.3.3访问控制引擎设计

6.4本章小结

结论与展望

本文工作总结

未来工作展望

致谢

参考文献

攻读硕士学位期间发表的论文及参加的科研项目