多域环境下基于证书和信任的访问控制研究-信息安全专业论文.docx

摘 要 随着计算机应用的普及以及网络时代的来临，信息的正常访问和合理保护已经 变得越来越重要。人们通过访问控制技术来保证对信息的合法正常访问。近年来多 域环境下的信息安全技术逐渐成为访问控制技术研究的热点，而基于证书与信任的 访问控制技术是解决多域环境下信息安全的有效手段。尽管很多学者对多域环境下 的访问控制技术进行了很多具有探索性的研究工作，并有了非常丰富的的研究成 果，但是仍有一些问题值得更进一步地深入研究。 将 PKI 与 PMI 引入企业，能够解决企业信息系统中的认证和授权问题，实现全局 的安全策略。提出了一个基于应用的企业信息系统访问控制模型，该模型集成了 PKI/PMI，采用的是基于角色的访问控制模式。从安全系统框架、证书结构、模型结 构、实现过程等方面进行了阐述，并给出了相应的实例说明和分析。 在多域环境中，实体之间的信任评估以及信任传递是一个很重要的研究课题， 其中信任的计算以及信任传递深度控制等问题还没有得到比较好的解决。在对信任 的特征进行充分分析的基础上，提出了一种新的信任关系的计算方法，对实体之间 的信任度进行了量化计算，从信任经验、信任知识和信任推荐等几个方面来计算一 个实体对另一个实体的信任度。在此信任度计算方法的基础上，又提出了一个信任 传递深度控制的策略。提出的信任计算方法经过数据仿真进一步论证了方案的可行 性，提出的信任计算和信任传递深度控制方案都具有较强的实用性和灵活性。 提出了一种基于带权有向图的授权委托模型，讨论并解决了授权委托模型中的 权限传递控制以及环状授权和冲突授权等问题。模型中采用信任传递函数的计算以 及信任阈值的方法来施加约束因素，有效地限制了访问权限的扩散。对于授权中出 现的冲突，按照信息的敏感程度高低等要求，来实施相应的控制和选择，此方法的 实现具有简单及较大的灵活性等特点。 在多域环境中，每个结点的随意性很大，可以随时随地加入或退出一个域。在域 中是否与其他实体结点进行交互也是由自身决定的，但结点与结点之间的信任关系不 是固定不变的。对于一个结点而言，新加入的结点无法保证其在域中行为的安全性。 在信任管理的框架下，结点与结点之间可以通过信任的评估先获得一个信任度的值， 继而采用基于信任度的证书链搜索算法，通过结点之间信任度的判断来实现选择性剪 枝式的证书链搜索，提高了搜索效率。给出了信任管理系统中基于信任度的证书链前 向、后向和双向搜索算法，并通过具体实例说明了算法的应用和实现过程。 在多域环境中，信任管理和信任协商都是使用数字证书来实施访问控制的有效 方法。数字证书中往往包含有显式和隐式的敏感属性需要保密。在信任管理系统没 有考虑到这个问题，而在信任协商过程中则把数字证书作为一个整体使用，要么显 露数字证书中的所有信息，要么不显露数字证书中的任何信息。在某些应用环境中， 根据安全策略来显露证书中的敏感信息是十分必要的。针对这个问题，提出了基于 信任向量的数字证书敏感信息保护方案，并通过一个典型的具体实例进一步说明了 方案的应用及实现过程。 关键词：访问控制，信任管理，证书，信任关系，授权，委托，信任协商 Abstract Along with the computer application popularization as well as network time oncoming, the normal access and the reasonable protection to the information become more and more important. Through the access control technology, people guarante that the information is accessed legally and normally. Information security technology in the multi-domain environments has gradually become the hot spot in access control researches in recent years, and access control technology based on trust and certificate is an effective method in addressing the problem of information security in multi-domain environments. Although many scholars have done massive research work in multi-domain environments