基于角色訪問(wèn)控制的PMI系統(tǒng)的研究與架構(gòu).pdf

1、當(dāng)前社會(huì)，信息技術(shù)伴隨著人類社會(huì)的發(fā)展而不斷發(fā)展，而因互聯(lián)網(wǎng)的出現(xiàn)以及越來(lái)越多的網(wǎng)絡(luò)應(yīng)用，網(wǎng)絡(luò)中的安全問(wèn)題也顯得日益重要，而在VPN，防火墻，訪問(wèn)控制等各種安全應(yīng)用中，安全基礎(chǔ)設(shè)施的重要性也開(kāi)始凸顯。其中，身份認(rèn)證以及授權(quán)管理是網(wǎng)絡(luò)安全平臺(tái)的兩大核心內(nèi)容，電子商務(wù)，電子政務(wù)，網(wǎng)上銀行等應(yīng)用一方面需要確認(rèn)使用者的身份，另一方面需要確認(rèn)使用者的訪問(wèn)權(quán)限，即對(duì)使用者進(jìn)行訪問(wèn)控制。自20世紀(jì)80年代美國(guó)學(xué)者提出公鑰基礎(chǔ)設(shè)施(PKI)的概念以來(lái)，

2、PKI技術(shù)已經(jīng)成為電子商務(wù)，電子政務(wù)和企業(yè)級(jí)網(wǎng)絡(luò)中不可缺少的安全支撐系統(tǒng)。然而隨著網(wǎng)絡(luò)資源的不斷豐富，單純依賴PKI體制無(wú)法滿足對(duì)資源進(jìn)行訪問(wèn)控制的需要，為了解決該問(wèn)題ITU-T在2001年發(fā)表了X.509 V4,第一次將PMI標(biāo)準(zhǔn)化。PKI/PMI機(jī)制從系統(tǒng)和制度的角度，來(lái)考慮整個(gè)虛擬社會(huì)的安全基礎(chǔ)。X.509協(xié)議中描述PMI為一種基于PKI并承擔(dān)權(quán)限管理功能的框架。在訪問(wèn)控制方面，強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制是早期訪問(wèn)控制的兩種模型，

3、最近發(fā)展起來(lái)的基于角色訪問(wèn)控制模型支持角色的層次結(jié)構(gòu)，靜態(tài)責(zé)任分離，最小權(quán)限集，通過(guò)角色將用戶與權(quán)限聯(lián)系起來(lái)，大大降低了訪問(wèn)控制的復(fù)雜性，是一種靈活有效的安全措施。并且，在X.509 V4中描述的。PMI模型，把屬性證書(shū)作為公鑰證書(shū)的一種擴(kuò)展。因此，對(duì)屬性證書(shū)及基于角色的訪問(wèn)控制PMI模型的研究勢(shì)在必行。 本文的研究目的是提出一種可行的基于公鑰密碼體制及基于角色的訪問(wèn)控制的授權(quán)管理體制模型，并且提出該體制的實(shí)現(xiàn)機(jī)制，從而證明基于

4、RBAC的PMI體制是網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的有效解決方案。 20世紀(jì)80年代美國(guó)學(xué)者首先提出了公鑰基礎(chǔ)設(shè)施的概念，后來(lái)人們意識(shí)到單純依賴PKI技術(shù)無(wú)法滿足對(duì)資源進(jìn)行訪問(wèn)控制的需要，因此ITU-T在2001年發(fā)表了X.509 V4將授權(quán)管理體系標(biāo)準(zhǔn)化。2003年，美國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì)將基于角色的訪問(wèn)控制作為國(guó)家信息技術(shù)標(biāo)準(zhǔn)公布出來(lái)，并得到了業(yè)界的廣泛認(rèn)同。2002年，Salford大學(xué)的David W Chadwick教授提出了基于角色

5、的PMI體系，An X.509Role-based Privilege Management Infrastructure.關(guān)于PMI的理論及標(biāo)準(zhǔn)研究已經(jīng)比較多，目前國(guó)外主要的PMI產(chǎn)品包括Entrust的Secure Transaction Platform，Baltimore Technology的Attribute Certificate Server，IBM公司的Secureway，DASCOM(now IBM)的aznAPIc

6、ode等。 　目前國(guó)內(nèi)也有不少科研企事業(yè)單位在開(kāi)展PMI方面的研究，但是缺少具體的應(yīng)用。 本文主要做了如下工作： 文章首先對(duì)PKI/PMI技術(shù)進(jìn)行分析研究，并建立一個(gè)基于角色的訪問(wèn)控制PMI模型，在這個(gè)模型中我們將傳統(tǒng)的屬性證書(shū)分離成屬性規(guī)范證書(shū)和屬性分配證書(shū)，從而降低屬性證書(shū)管理的復(fù)雜度，并針對(duì)這個(gè)模型，提出一個(gè)切實(shí)可行的企業(yè)級(jí)PMI授權(quán)管理系統(tǒng)方案。該方案來(lái)源于濟(jì)南得安科技公司的DAPMI授權(quán)管理系統(tǒng)的研發(fā)-

7、-SRQ22授權(quán)管理系統(tǒng)，該系統(tǒng)采用PMI權(quán)限管理體系結(jié)構(gòu)，系統(tǒng)使用屬性分配證書(shū)來(lái)標(biāo)識(shí)用戶的角色，使用屬性規(guī)范證書(shū)來(lái)管理角色的權(quán)限，屬性證書(shū)的結(jié)構(gòu)符合X.509v4標(biāo)準(zhǔn)；基于PKI技術(shù)之上的SRQ22授權(quán)管理系統(tǒng)可以為互聯(lián)網(wǎng)，特別是電子政務(wù)系統(tǒng)構(gòu)建一個(gè)嚴(yán)密的安全體系，充分保證敏感資源訪問(wèn)的可控性與可審計(jì)性。 文章主要包括以下內(nèi)容：首先對(duì)PKI的基礎(chǔ)理論作了細(xì)致介紹，包括PKI基礎(chǔ)設(shè)施的概念，組成結(jié)構(gòu)，所提供的安全服務(wù)，PKI在電

8、子商務(wù)，電子政務(wù)方面的安全應(yīng)用等；其次，對(duì)PMI體系進(jìn)行了研究主要包括PMI基礎(chǔ)設(shè)施的概念，PMI系統(tǒng)的組成結(jié)構(gòu)，PMI的一般模型，代理模型，角色模型，重點(diǎn)對(duì)角色模型進(jìn)行了形式化定義及分析；再次，介紹了訪問(wèn)控制模型，首先對(duì)強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制兩種訪問(wèn)控制模型進(jìn)行了概述并分析了他們?cè)趯?shí)施授權(quán)管理時(shí)的缺陷，提出基于角色的訪問(wèn)控制模型，并對(duì)RBAC的概念進(jìn)行了詳細(xì)的描述，以及RBAC模型中的主要操作進(jìn)行了形式化定義并對(duì)RBAC的安全三原