CCERT信息服务访问控制模型及其实现.pdfVIP

!!#$ 信息服务的访问控制模型及其实现 秦湘平 李 星 清华大学电子工程系 （北京 #’ ） 摘 要 (()*+ 信息服务的访问控制模型是一种新型的基于属性证书的分布式系统的访问控制模型。文章在分析基于 ,$-. 公钥证书的访问控制模型的基础上，通过引入属性证书的概念，结合 (()*+ 分布式信息服务系统的特点，给出了 (()*+ 信息服务的访问控制模型以及该模型的具体实现。 关键词 属性证书 访问控制 分布式系统 %’(( !)*+,)- .)/’- )0 +1’ 2*0),34+5)* 6’,75’ )0 !!#$ 85* 954*:;5*: 5 95*: （ ， ） +/012345 610789/0:; 80=012 #’ ?/:95@: ： +38 5@@8// @A1:9AB CAD8B AE :38 F1EA9C5:0A1 G8970@8 AE (()*+ 0/ 5 18H 5::90?4:8 @89:0E0@:5:8 ?5/8D 5@@8// @A1:9AB CAD8B AE D0/:90?4:8D /;/:8C$+39A423 :38 515B;/8/ AE :38 5@@8// @A1:9AB CAD8B ?5/8D A1 :38 ,$-. I4?B0@ J8; @89:0E0@5:8K+30/ I5I89 01:9AD4@8/ 51 5@@8// @A1:9AB CAD8B ?5/8D A1 :38 5::90?4:8 @89:0E0@5:8 5@@A9D012 :A :38 E85:498/ AE (()*+$L851H30B8 F: 0BB4/:95:8/ :38 985B0M5:0A1 AE :38 CAD8B$ ： ， ， N8;HA9D/ ::90?4:8 (89:0E0@5:8 @@8// (A1:9AB O0/:90?4:8D G;/:8C # 引言 访问控制的安全性。 （ ） 第二部分在分析基于,$-. 公钥证书的访问控制模型的 (()*+ ()*P)+ (ACI4:89 )C89281@; *8/IA1/8 +85C 是中国教育科研网络计算机紧急响应小组的简称。它旨在维护 基础上，介绍了(()*+ 分布式信息服务的访问控制模型，然后 网络安全，处理网络突发事件。 的信息服务系统是分布 给出了属性证书的格式和基于属性证书的访问控制模式。第三 (()*+ 式的系统，服务内容主要包括网络安全知识的普及、入侵事件 部分给出(()*+ 信息服务的访问控制模型的实现，包括系统 的处理和备案。为了防止非授权的访问，保证系统和资源的完 中属性证书的设计，基于属性证书的各个服务器具体的访问控 整性，需要采用安全而有效的访问控制机制。 制模式，以及属性证书的发行、存储和取消方式等。 传统的访问控制模型是以访问控制矩阵为基础的。其中最 为常用的有自主式和强制式两种Q#R 。但是，这两种模型都不适用 ! (()*+ 信息服务的访问控制模型 于 分布式的信息服务系统。因为自主式访问控制模型 信息服务的访问控制模型的框图如图 所示，与 (()*+ (()*+