浅析数字证书认证访问控制研究.docVIP

浅析数字证书认证访问控制研究 　　【摘 要】简要分析了当前状态下网络应用系统在访问控制中的不足之处，同时进一步说明了鉴于角色访问控制RBAC在访问控制中的重要性，鉴于角色访问控制RBAC与数字证书的用户认证技术相结合，努力使用户认证、访问控制与授权管理的互相统一得以实现，以便共同完成安全网关系统，将控制管理的各项缺陷进行有效性解决，最终达成统一安全管理的目标。 　　【关键词】数字证书认证；网络应用系统；访问控制 　　本文对数字认证技术和访问控制技术的结合使用进行综合性探讨，说明了网关设计安全的重要性，以达到网络应用系统能够统一实行认证和授权的目的。 　　1.主要的关键技术 　　1.1访问控制技术 　　经过特殊途径显露样式地允许或是限制访问范围和访问能力，这一程序称之为访问控制。计算机系统的安全性取决于访问控制服务是否能够保证其自身的可靠性，特别是在大规模系统与大量用户存在的时候最能体现。访问控制服务的应用，可以有效保护关键资源，对访问范围进行有效性控制，避免用户非法进入以及合法用户因操作失误而引起的破坏。鉴于角色访问控制RBAC、自主访问控制DAC以及强制访问控制MAC这三者属于访问控制方法。强制访问控制MAC主要适用于过去陈旧的国防领域，根据访问对象保密程度的差异来实现访问控制方法，因过于严格的控制限制范围，使得系统的授权管理无法进行灵活使用。自主访问控制DAC则是根据用户的识别与存取访问原则的确定，给予用户个人部分范围的访问权利，而该现象使得管理人员无法对拥有访问资源权限的用户做出正确判断，最终难以实现统一整体访问控制的目标[1]。鉴于角色访问控制RBAC成功战胜了MAC方法与DAC方法存在的缺陷，有效降低系统授权管理的复杂性，大大减少了在管理上的花销，同时给工作人员提供了良好的管理环境，以实现安全管理的宗旨。 　　1.2数字证书认证技术 　　发送发和接收方的身份通过一系列验证称之为身份认证。用户在访问网络资源过程中以及使用特殊应用程序时，通常会先被系统要求选择登录或是注册这两个选项，待用户将身份信息与认证信息输入后，系统对输送的信???进行确认，随后系统会允许合法用户进入到自己指定使用的应用程序中。口令是一种最常使用的登录方式，但由于口令极易被中途拦截和破解，所以在登录时逐渐开始依据数字证书的访问认证模式进行登录。而公共密钥基础设施PKI的最终目标就是利用自动管理的密钥与证书给用户创造一个具有安全性、稳定性的网络运行环境，以便用户能够在不同应用环境中充分发挥数字签名技术以及加密技术的使用，以达到网上数据实现完整性、有效性和机密性的目的。 　　2.设计访问控制和实现网关安全 　　2.1系统组织形式 　　在鉴于角色访问控制RBAC的条件下，实施网关的安全访问控制，并提出系统组织形式，将用户管理系统和数字认证系统进行统一的联动，通过发展变化逐步转变成具有安全效用的整体解决计划，整个逻辑关系图图1所示。 　　如图所示，认证客户端和访问控制服务器的关系：在此以认证客户端来表示用户身份，和访问控制服务器相互替换后，完成身份认证，并确立了与认证相适应的道路。 　　认证客户端和应用客户端的关系：在应用客户端中的通信数据包会被认证客户端从中截取一部分代为转发，并应用已实现的认证通道将截取下来的数据传送至访问控制服务器，最后发送至应用系统服务端。 　　访问控制和数字证书认证系统的关系：实行身份认证时，访问控制服务器会利用数字证书认证系统将用户证书的具体状态信息直接获取到手，其中涵盖着利用目录服务系统以及证书注销列表实施的验证与应用本地CRL验证这两种方法。 　　访问控制服务器和整体用户管理系统的关系：访问控制服务器实现身份认证后，可以利用用户管理系统对证书和主账号进行全方位绑定验证，经过获取所得的账号以及用户账号实施模拟带填方式，可顺利实现用户SSO，也就是说用户仅需进行一次登录就能够访问全部互相信任的其他应用系统。 　　应用系统和访问控制服务器的关系：在应用系统的保护过程中，访问控制服务器通常是以代理模式在实施保护，所以用户只能通过身份认证的确认，并与访问控制方法相符后，才可以对后台实行访问和应用。在不同程度上访问控制服务器均能够将用户身份与属性信息传达给应用系统，例如证书的各项内容[2]。 　　2.2工作任务的各项程序 　　后台应用在被用户访问时，访问控制服务器会及时做出身份认证、认证密码、控制访问以及记录日志等工作事项。用户利用认证网关对应用进行访问过程中，可有效划分为三个过程：登录认证、资源访问与模拟登陆。 　　在实行登陆认证时，可顺利完成和认证网关服务器相关联的身份认证以及认证客户端的身份认证。在实行模拟登陆时，与整个用户管理系统相符的应用系统用户名口令会被认证网关服务器直接获取，最后传送至