PMI异种访问策略下资源共享地研究.pdf

摘 要 随着信息时代的来临，网络安全已经是人们日益关注的焦点。公开密 钥基础设施(PUBLIC 全建设的基础与核心，是有效进行电子政务、电子商务安全实臆的基本保 障。但随着网络中资源种类越来越多，用户角色越来越复杂，人们迫切需 要一种更加细粒度化的访问控制技术。而PKI系统中身份和权限不分离， 如果一个人同时兼有多种角色，拥有多个权限，就可能拥有多个身份证书。 这样，既不利于系统的开发和重用，也不利于系统安全方面的管理。因此， 授权管理基础设施PMI应运而生。目前，对PMI技术的研究正成为信息安 全领域的热点。其中，授权策略缺乏统一的标准，系统效率不高是研究中 遇到的主要问题。 轻量级目录访问协议(LDAP)是用于访问x500的目录服务的，它不 针对那些简单管理程序和浏览器程序，它提供对X．500目录进行简单的读／ 写交互式访问，同时也是对DAP本身的一种补充。LDAP所采纳的通用模 型是客户端针对服务器进行协议操作。在这个模型中，客户端发送协议请 求给服务器，描述所需的操作。接着服务器负责在目录中实施所必须的操 作。在完成必要的操作之后，服务器返回一个带有结果或出错信息的回应 给请求服务的客户。在LDAP的第一版本和第二版本中．并没有说明协议服 务器如何提供其它服务器参照给客户机。为了改善性能和分配操作，LDAP 第3版允许服务器返回给客户机关于其它服务器的参照，因此服务器减轻 了联系其它服务器的工作，改善了操作性能。 访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体 (用户、进程、服务等)对访问客体(文件、系统等)的访问权限，从而 使计算机系统在合法范围内使用：决定用户能做什么，也决定代表一定用 户利益的程序能做什么．企业环境中的访问控制策略一般有三种：自主型访 问控制方法、强制型访问控制方法和基于角色的访问控制方法(RBAC)。 其中，自主式太弱，强制式太强，二者工作量大，不便于管理。基于角色 的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方 法。其显著的两大特征是：1．减小授权管理的复杂性，降低管理开销；2． 灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。 三项技术的特点、优势以及当前的大部分应用都集中于RBAC，而跨越多 种访问策略的研究较少的现状，介绍了应用LDAP的PMI系统目前资源共享 的方式，在应用这三项技术的基础上提出了针对安全部门与普通部门(采 用异种访问控制策略)资源共享的技术策略方案，该方案中，引进了目前 较为通用的授权机制的树型结构，并在该结构的设计中，对于较大规模的 PMI系统，提出了“单叉枝树”树型结构的改进方案，该方案以应急为目 标，通过建立“单叉枝”的存储备用结构和系统更新时“单叉”树型结构 的调整，克服了以往的模型系统更新过程中的效率问题。对于访问过程， 通过对“角色”和“用户”多对多的对应关系的分析，提出了对于采用基 于用户的访问控制策略的PMI系统为透明的“虚角色”的概念，并阐述了 通过双方的LDAP进行认证来建立、应用“虚角色”的方式方法。把该项 技术应用于采用异种访问控制策略的PMI系统的资源共享中，可以使资源 共享的各方不必改变各自的访问控制策略，而可以进行较为方便的合作。 本文通过对于上述技术的进一步细化分析，通过针对其安全性要求较高 的应用特点模拟实现，使该项技术成功应用于异种访问控制策略下的PMI 系统，使采用不同访问策略的PMI系统可以更加方便安全地进行资源的共 享，从而共同合作，完成项目的开发。 关键词：基于角色的访问控制策略；轻量级目录访问协议；权限管理基 础设施 II 山东大学硕士学位论文 ABSTRACT Withthe ofinformation has oar coming age．networksecuritycaught attentionsPublic consideredasthecoreand Key Infrastructures(PKI)are foundationfornetwork en