面向异构环境的访问控制系统设计与实现-计算机技术专业毕业论文.docxVIP

学校代码 分 类 号  10701 TP39 学 号 1277960204 密 级 公开 TN82西安电子科技大学 TN82 硕士学位论文 面向异构环境的访问控制系统设计与实现 作者姓名： 韩宝刚 领 域： 计算机技术 学位类别： 工程硕士 学校导师姓名、职称： 企业导师姓名、职称： 牛海军教授 2王建军高工 2 提交日期： 2014 年 10 月 Access Control System Design And Development For Heterogeneous Environment A thesis submitted to XIDIAN UNIVERSITY in partial fulfillment of the requirements for the degree of Master of Computer By Han bao gang (Computer Technology) Supervisor: Niu hai jun Wang Jian jun October 2014 西安电子科技大学 学位论文独创性（或创新性）声明 秉承学校严谨的学风和优良的科学道德，本人声明所呈交的论文是我个人在导师 指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢 中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果；也不包含 为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工 作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切的法律责任。 本人签名： 日 期： 西安电子科技大学 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生在 校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保留送交论 文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许 采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后结合学位论文研究 课题再撰写的文章一律署名单位为西安电子科技大学。 本人签名： 导师签名： 日 期： 日 期： I I 摘要 摘要 随着某市多年来计算机网络和信息化系统的不断建设，由于缺乏总体的建设规划， 各部门的信息化系统大多为单独承建且独立运作的系统，越来越多有价值的资源无法 发挥应有的价值，许多跨部门的业务数据无法整合和相互访问，形成了一个个的信息 孤岛，信息安全问题日益突出。本课题的研究目标就是要解决上述存在的资源访问问 题，即在异构环境中如何有效的实现资源的访问控制。 首先，结合项目的实际情况分析了本课题的研究背景，提出了本课题对访问控制 技术研究的目标，同时也阐述了访问控制技术在当今的发展情况和研究现状。 然后，给出了访问控制的基本概念，并对主体、客体、安全策略作了详细的解释。 对传统的访问控制模型包括自主访问控制模型、强制访问控制模型、基于角色的访问 控制模型进行了深入的理论分析和对比研究，提出了现有访问控制模型所存在的不足 之处。 其次，通过实际的案例说明了现有信息系统的管理员是如何访问其他应用系统的 资源。然后结合实际阐述了异构环境中访问控制技术的特点，并对访问控制技术提出 了一些新的要求。同时，指出了传统的访问控制方法在面对异构环境中的资源访问时 所存在的局限性，并因此创新性的提出了基于信任管理的授权方法，通过为应用系统 之间建立信任管理来解决面临的资源访问难题。系统全面的建立了信任管理模型，包 括信任管理模型的组件和框架，模型的安全性分析、审计跟踪方法，以及这种信任管 理模型在解决异构环境中资源访问时所具有的突出优点，为访问控制系统的设计及实 现提供可行的技术支撑。 再次，依据建立的信任管理模型对访问控制系统进行了详细的设计和实现，包括 系统的体系结构、信认证系统模块、本地策略库模块、一致性验证模块、委托授权模 块、安全性模块、审计模块等关键模块的详细设计及实现。其中，信认证采用通用的 xml 语言进行描述，并通过服务对外发布以供第三方系统调用访问；在安全性方面采用 了国家密码管理局推出的椭圆曲线公钥密码算法 SM2 对信任证进行加解密，极大的增 强了信认证的安全性，符合国家对高等级安全信息系统在密钥使用方面的要求。 最后，对系统设计过程中存在的不足以及今后需要改进的地方进行了详细的说明 和展望。 关 键 词：访问控制，信任管理，异构环境 论文类型：应用基础研究类 II II 西安电子科技大学硕士学位论文 PAGE PAGE IV ABSTRACT ABSTRACT Along with the city construction of comput