跨域授权管理系统的研究与实现

摘要

随着办公自动化、电子商务的逐渐深入，政府部门、各单位和企业根据各自的业务需求建立了局域网并开发了各自的应用，而信息化的发展使得这些单域(在同一安全策略管理范围内的局域网)之间实现互连和信息共享的需求越来越迫切。在目前高度动态、异构化、分布式的现代信息系统中，跨越单个管理域的限制，在多个域之间进行安全互操作是一项非常必要的系统需求。然而，原有自主可控的单域网络在与其他网络互连后，如何实现安全可控的开放并保持原有应用的安全，即防止未授权用户访问和使用受保护的资源或服务，实现跨域授权管理，便成为了我们在信息化实施过程中要解决的关键问题之一。 本文综合分析了现有的基于授权管理基础设施PMI、属性证书和RBAC的访问控制模型，在公钥基础设施PKI和PMI的基础之上，提出了一种基于角色和属性证书的跨域授权管理系统模型，该模型充分考虑了多域环境下安全策略的制定以及域间的协作，符合分布式系统的实际情况，相比其他分布式授权管理系统模型，具有更强的实用性和安全性。论文详细描述了域内授权管理及域间的角色映射和授权步骤，并从物理结构和逻辑结构两个方面对系统的实现做了详细设计，最后在设定的一个原型环境下对理论模型进行了模拟实现和验证。整个模拟系统的实现具有灵活性、易维护性和可操作性。

目录

文摘

英文文摘

声明

致谢

1 绪论

1.1论文背景和意义

1.2国内外研究现状

1.2.1分布式访问控制研究现状

1.2.2 PMI研究及应用现状

1.3论文工作

1.4论文结构

2 访问控制和授权管理

2.1访问控制的基本概念

2.2授权管理的基本概念

2.3基于角色的访问控制

2.3.1 RBAC术语介绍

2.3.2 RBAC96模型概述

2.3.3 RBAC的优缺点

2.4 PMI概述

2.5 PMI体系结构

2.6 PKI数字证书

2.7 PMI属性证书授权机制

2.8 PMI与PKI的比较

2.9小结

3 跨域授权管理系统模型

3.1跨域互操作模型—IRBAC2000的策略框架

3.1.1 IRBAC2000模型的思想

3.1.2域问动态角色映射策略

3.1.3域问授权步骤

3.1.4 IRBAC2000模型的问题

3.2跨域授权管理模型CD-RBAC

3.2.1 CD-RBAC模型的总体框架

3.2.2 CD-RBAC模型实现概述

3.2.3 CD-RBAC模型的策略管理

3.3对改进后模型的分析

3.4与已有授权管理系统的集成

3.5小结

4 跨域授权管理系统的总体设计

4.1系统总体设计目标

4.2系统物理结构设计

4.3系统逻辑结构设计

4.3.1系统工作流程

4.3.2 PMI授权管理模块的实现

4.3.3代理模块的实现

4.4 小结

5 系统实现及测试

5.1原型的环境描述

5.2系统实现环境

5.3属性证书管理系统

5.4策略编辑系统

5.5访问决策系统

5.6系统性能分析

5.7小结

6 结束语

参考文献

作者简历