PMI異種訪問(wèn)策略下資源共享的研究.pdf

1、隨著信息時(shí)代的來(lái)臨，網(wǎng)絡(luò)安全已經(jīng)是人們?nèi)找骊P(guān)注的焦點(diǎn)。公開(kāi)密鑰基礎(chǔ)設(shè)施(PUBLIC KEY INlFR．ASTRUCTURE，簡(jiǎn)稱(chēng)PKI)是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心，是有效進(jìn)行電子政務(wù)、電子商務(wù)安全實(shí)施的基本保障。但隨著網(wǎng)絡(luò)中資源種類(lèi)越來(lái)越多，用戶(hù)角色越來(lái)越復(fù)雜，人們迫切需要一種更加細(xì)粒度化的訪問(wèn)控制技術(shù)。而PKI系統(tǒng)中身份和權(quán)限不分離，如果一個(gè)人同時(shí)兼有多種角色，擁有多個(gè)權(quán)限，就可能擁有多個(gè)身份證書(shū)。這樣，既不利于系統(tǒng)的開(kāi)發(fā)和重

2、用，也不利于系統(tǒng)安全方面的管理。因此，授權(quán)管理基礎(chǔ)設(shè)施PMI應(yīng)運(yùn)而生。目前，對(duì)PMI技術(shù)的研究正成為信息安全領(lǐng)域的熱點(diǎn)。其中，授權(quán)策略缺乏統(tǒng)一的標(biāo)準(zhǔn)，系統(tǒng)效率不高是研究中遇到的主要問(wèn)題。 輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)是用于訪問(wèn)X.500的目錄服務(wù)的，它不會(huì)產(chǎn)生目錄訪問(wèn)協(xié)議(DAP)訪問(wèn)X.500時(shí)所需的資源要求。LDAP特別針對(duì)那些簡(jiǎn)單管理程序和瀏覽器程序，它提供對(duì)X.500目錄進(jìn)行簡(jiǎn)單的讀/寫(xiě)交互式訪問(wèn)，同時(shí)也是對(duì)DAP本

3、身的一種補(bǔ)充。LDAP所采納的通用模型是客戶(hù)端針對(duì)服務(wù)器進(jìn)行協(xié)議操作。在這個(gè)模型中，客戶(hù)端發(fā)送協(xié)議請(qǐng)求給服務(wù)器，描述所需的操作。接著服務(wù)器負(fù)責(zé)在目錄中實(shí)施所必須的操作。在完成必要的操作之后，服務(wù)器返回一個(gè)帶有結(jié)果或出錯(cuò)信息的回應(yīng)給請(qǐng)求服務(wù)的客戶(hù)。在LDAP的第一版本和第二版本中，并沒(méi)有說(shuō)明協(xié)議服務(wù)器如何提供其它服務(wù)器參照給客戶(hù)機(jī)。為了改善性能和分配操作，LDAP第3版允許服務(wù)器返回給客戶(hù)機(jī)關(guān)于其它服務(wù)器的參照，因此服務(wù)器減輕了聯(lián)系其它服

4、務(wù)器的工作，改善了操作性能。 訪問(wèn)控制是針對(duì)越權(quán)使用資源的防御措施?；灸繕?biāo)是為了限制訪問(wèn)主體(用戶(hù)、進(jìn)程、服務(wù)等)對(duì)訪問(wèn)客體(文件、系統(tǒng)等)的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶(hù)能做什么，也決定代表一定用戶(hù)利益的程序能做什么．企業(yè)環(huán)境中的訪問(wèn)控制策略一般有三種：自主型訪問(wèn)控制方法、強(qiáng)制型訪問(wèn)控制方法和基于角色的訪問(wèn)控制方法(RBAC)。其中，自主式太弱，強(qiáng)制式太強(qiáng)，二者工作量大，不便于管理?；诮巧脑L問(wèn)控制方

5、法是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問(wèn)控制的有效方法。其顯著的兩大特征是：1．減小授權(quán)管理的復(fù)雜性，降低管理開(kāi)銷(xiāo)；2．靈活地支持企業(yè)的安全策略，并對(duì)企業(yè)的變化有很大的伸縮性。全文在介紹PMI、LDAP、RBAC三種技術(shù)的基礎(chǔ)上，分析了目前的這三項(xiàng)技術(shù)的特點(diǎn)、優(yōu)勢(shì)以及當(dāng)前的大部分應(yīng)用都集中于RBAC，而跨越多種訪問(wèn)策略的研究較少的現(xiàn)狀，介紹了應(yīng)用LDAP的PMI系統(tǒng)目前資源共享的方式，在應(yīng)用這三項(xiàng)技術(shù)的基礎(chǔ)上提出了針對(duì)安全部門(mén)與普通部門(mén)

6、(采用異種訪問(wèn)控制策略)資源共享的技術(shù)策略方案，該方案中，引進(jìn)了目前較為通用的授權(quán)機(jī)制的樹(shù)型結(jié)構(gòu)，并在該結(jié)構(gòu)的設(shè)計(jì)中，對(duì)于較大規(guī)模的PMI系統(tǒng)，提出了“單叉枝樹(shù)”樹(shù)型結(jié)構(gòu)的改進(jìn)方案，該方案以應(yīng)急為目標(biāo)，通過(guò)建立“單叉枝”的存儲(chǔ)備用結(jié)構(gòu)和系統(tǒng)更新時(shí)“單叉”樹(shù)型結(jié)構(gòu)的調(diào)整，克服了以往的模型系統(tǒng)更新過(guò)程中的效率問(wèn)題。對(duì)于訪問(wèn)過(guò)程，通過(guò)對(duì)“角色”和“用戶(hù)”多對(duì)多的對(duì)應(yīng)關(guān)系的分析，提出了對(duì)于采用基于用戶(hù)的訪問(wèn)控制策略的PMI系統(tǒng)為透明的“虛角色”

7、的概念，并闡述了通過(guò)雙方的LDAP進(jìn)行認(rèn)證來(lái)建立、應(yīng)用“虛角色”的方式方法。把該項(xiàng)技術(shù)應(yīng)用于采用異種訪問(wèn)控制策略的PMI系統(tǒng)的資源共享中，可以使資源共享的各方不必改變各自的訪問(wèn)控制策略，而可以進(jìn)行較為方便的合作。本文通過(guò)對(duì)于上述技術(shù)的進(jìn)一步細(xì)化分析，通過(guò)針對(duì)其安全性要求較高的應(yīng)用特點(diǎn)模擬實(shí)現(xiàn)，使該項(xiàng)技術(shù)成功應(yīng)用于異種訪問(wèn)控制策略下的PMI系統(tǒng)，使采用不同訪問(wèn)策略的PMI系統(tǒng)可以更加方便安全地進(jìn)行資源的共享，從而共同合作，完成項(xiàng)目的開(kāi)發(fā)。