基于ＰＫＩ和ＲＢＡＣ构建安全区域网络.docVIP

基于ＰＫＩ和ＲＢＡＣ构建安全区域网络 　　摘要：计算机网络是信息社会最重要的基础设施。针对园区网络的安全控制问题，提出了基于公钥基础设施和基于角色的访问控制模型的区域网络安全模型，并说明了系统的工作过程和模型的特点。试验表明基于该模型的信息系统可提供高水平的安全服务。 　　关键词：公钥基础设施；基于角色的访问控制；安全区域网络；模型 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)36-2874-03 　　Area Network Security Model Based on PKI and RBAC 　　WANG Bao-Ping1,CHENG Xin-dang2,ZHANG Xin-gang3 　　(College of Computer Information Technology,Nanyang Normal University, Nanyang 473061,China) 　　Abstract: Computer network is the most important infrastructure in information society.In this article we bring forward a area network security model based on public key infrastructure and role based access control model to solve the security access control problems in region network and describe its characteristics.The information system based on this model can provide high-level security service. 　　Key words: public key infrastructure; role based access control;security area network;model 　　1 引言 　　随着社会信息化水平的迅速提高，以通信和计算机为基础的网络技术成为信息社会最重要的基础设施，社会信息化水平成为综合国力的象征和各国争夺的制高点。信息就意味着财富和力量，然而承载这些信息的计算机网络平台却并不是足够安全的，网络系统的漏洞和恶意的入侵者对信息安全构成了巨大威胁。一个安全的信息系统应该能满足三个基本特性：保密性(Confidentiality)、完整性(Integrity)和可用性(Availabiltiy)(简称CIA要求)，并且要有完善的访问控制措施。本文结合钥基础设施（Public Key Infrastructure，简写为PKI）技术和基于角色的访问控制模型（Role-Based Access Control ，简写为RBAC），提出了一个区域网络安全模型，以满足信息系统的CIA要求，并能提供高效、完善的信息系统访问控制服务。 　　2 PKI技术概述 　　PKI是一个包括硬件、软件、人员、政策和策略的复杂系统，用来实施基于公钥密码体制的证书产生、存储、发行和撤消服务，使CA的建设有一个开放性的标准，CA之间能够通过相互认证而扩充认证范围。PKI能保证通信过程中用户与通信对方相互确认身份的真实性，对通信的相关电子数据进行加密，保证数据内容不被非法被篡改和泄露。PKI是一种基础设施，它提供了网络安全服务的标准接口，只要符合这个接口标准，应用就可以和该系统很好的集成，使用该系统提供的安全服务而不需对原系统做大的修改。PKI一般提供了三种服务：1） 机密性服务（Confidentiality）：公钥密码技术的最大优点是无须预先建立通信双方的关系，而对称密码技术则要求通信双方必须预先经过带外方式交换密钥，通信者需要保持大量的密钥，这对密钥保管和更新是一个巨大的挑战。现有的公钥密码算法比称算法的处理速度慢很多，如常用的RSA算法比DES算法慢两个数量级以上，因此PKI使用公钥密码技术实现通信双方会话（对称）密钥的交换，然后使用这个对称密钥来加密解密传输资料，较好的解决了安全和效率的问题。常用的对称密钥算法有DES、Triple DES和IDEA等。2） 完整性服务（Integrity）：保证信息在传输的过程中不受网络环境自身因素（如电子噪声、介质老化等）或入侵者的攻击而改变，即保持信息的真实性，只有合法授权的用户才能改变数据。常用的有哈希（Hash）函数（如MD5和SHA1）以及消息认证码(MAC)机制。3） 认证服务（Authentication）：包含实体认证和资料来源认证。公钥密码