基于UCON模型的PMI系統(tǒng)的研究與實現(xiàn).pdf

1、信息安全是網(wǎng)絡應用中不可避免的問題。在現(xiàn)代網(wǎng)絡環(huán)境下，計算機網(wǎng)絡應用更加廣泛，安全問題也就更加迫切。為了避免企業(yè)因敏感信息的泄漏而遭受損失，需要采用兩個基本手段：防止未授權用戶的非法訪問和避免授權用戶的未授權訪問。特權管理基礎設施（PMI）就是為了實現(xiàn)這一目標而提出的全面安全解決方案。 PMI系統(tǒng)同時提供身份認證和訪問控制服務。身份認證可以采用現(xiàn)有的公開密鑰基礎設施（PKI）來完成。訪問控制就要根據(jù)采用的訪問控制策略和訪問控制模

2、型，實現(xiàn)對系統(tǒng)資源和用戶安全屬性的統(tǒng)一管理，并在此基礎之上提供用戶到資源的訪問控制決策功能。 基于經(jīng)典訪問矩陣的訪問控制模型被信息和計算機安全領域研究了30多年。然而，逐漸地認識到這個模型不再適合現(xiàn)代應用的需求。研究者們已經(jīng)對經(jīng)典的訪問控制概念進行了多方面的擴展，而這些擴展只適合特定的問題，因此不具有通用性。與其它解決方案不同的是，使用控制（UCON）方案不僅兼容傳統(tǒng)的訪問控制，而且包含了現(xiàn)代的訪問控制技術，例如數(shù)字權利管理應用

3、。有理由相信，使用控制方案將為下一代訪問控制技術的發(fā)展奠定堅實的基礎。 本文對PMI技術和訪問控制技術進行了深入的研究和探討，分析了傳統(tǒng)訪問控制模型（例如：自主訪問控制DAC、強制訪問控制MAC、基于角色的訪問控制RBAC等）的不足之處，由此引出了現(xiàn)代訪問控制方法——使用控制UCON，分析了其核心模型——ABC模型，并且對比傳統(tǒng)訪問控制模型，總結了UCON的優(yōu)勢所在。 在此基礎之上，本文提出了一個基于模型的PMI系統(tǒng)。該

4、系統(tǒng)擁有兩大功能實體：屬性權威（AA）和策略權威（PA），將策略和屬性證書機制相結合，提供證書管理、策略管理、訪問控制決策等PMI核心功能。與傳統(tǒng)PMI系統(tǒng)不同的是，本文設計實現(xiàn)的UCON_PMI系統(tǒng)在權限驗證機制中增加了對“職責”和“條件”因素的考量，并且引入了可變屬性，其值會作為訪問結果而改變，因此更能適應現(xiàn)代應用的需求。本文不僅給出了UCON_PMI系統(tǒng)的整體架構設計和各個功能模塊的設計方案，同時基于J2EE平臺，建立了系統(tǒng)的原型