多域環(huán)境下基于證書和信任的訪問控制研究.pdf

1、隨著計算機應(yīng)用的普及以及網(wǎng)絡(luò)時代的來臨，信息的正常訪問和合理保護(hù)已經(jīng)變得越來越重要。人們通過訪問控制技術(shù)來保證對信息的合法正常訪問。近年來多域環(huán)境下的信息安全技術(shù)逐漸成為訪問控制技術(shù)研究的熱點，而基于證書與信任的訪問控制技術(shù)是解決多域環(huán)境下信息安全的有效手段。盡管很多學(xué)者對多域環(huán)境下的訪問控制技術(shù)進(jìn)行了很多具有探索性的研究工作，并有了非常豐富的的研究成果，但是仍有一些問題值得更進(jìn)一步地深入研究。
　　 將PKI與PMI引入企業(yè)，

2、能夠解決企業(yè)信息系統(tǒng)中的認(rèn)證和授權(quán)問題，實現(xiàn)全局的安全策略。提出了一個基于應(yīng)用的企業(yè)信息系統(tǒng)訪問控制模型，該模型集成了PKI/PMI，采用的是基于角色的訪問控制模式。從安全系統(tǒng)框架、證書結(jié)構(gòu)、模型結(jié)構(gòu)、實現(xiàn)過程等方面進(jìn)行了闡述，并給出了相應(yīng)的實例說明和分析。
　　 在多域環(huán)境中，實體之間的信任評估以及信任傳遞是一個很重要的研究課題，其中信任的計算以及信任傳遞深度控制等問題還沒有得到比較好的解決。在對信任的特征進(jìn)行充分分析的基礎(chǔ)上

3、，提出了一種新的信任關(guān)系的計算方法，對實體之間的信任度進(jìn)行了量化計算，從信任經(jīng)驗、信任知識和信任推薦等幾個方面來計算一個實體對另一個實體的信任度。在此信任度計算方法的基礎(chǔ)上，又提出了一個信任傳遞深度控制的策略。提出的信任計算方法經(jīng)過數(shù)據(jù)仿真進(jìn)一步論證了方案的可行性，提出的信任計算和信任傳遞深度控制方案都具有較強的實用性和靈活性。
　　 提出了一種基于帶權(quán)有向圖的授權(quán)委托模型，討論并解決了授權(quán)委托模型中的權(quán)限傳遞控制以及環(huán)狀授權(quán)和

4、沖突授權(quán)等問題。模型中采用信任傳遞函數(shù)的計算以及信任閾值的方法來施加約束因素，有效地限制了訪問權(quán)限的擴散。對于授權(quán)中出現(xiàn)的沖突，按照信息的敏感程度高低等要求，來實施相應(yīng)的控制和選擇，此方法的實現(xiàn)具有簡單及較大的靈活性等特點。
　　 在多域環(huán)境中，每個結(jié)點的隨意性很大，可以隨時隨地加入或退出一個域。在域中是否與其他實體結(jié)點進(jìn)行交互也是由自身決定的，但結(jié)點與結(jié)點之間的信任關(guān)系不是固定不變的。對于一個結(jié)點而言，新加入的結(jié)點無法保證其在

5、域中行為的安全性。在信任管理的框架下，結(jié)點與結(jié)點之間可以通過信任的評估先獲得一個信任度的值，繼而采用基于信任度的證書鏈搜索算法，通過結(jié)點之間信任度的判斷來實現(xiàn)選擇性剪枝式的證書鏈搜索，提高了搜索效率。給出了信任管理系統(tǒng)中基于信任度的證書鏈前向、后向和雙向搜索算法，并通過具體實例說明了算法的應(yīng)用和實現(xiàn)過程。
　　 在多域環(huán)境中，信任管理和信任協(xié)商都是使用數(shù)字證書來實施訪問控制的有效方法。數(shù)字證書中往往包含有顯式和隱式的敏感屬性需要