涉密信息系統(tǒng)統(tǒng)一身份認(rèn)證與訪問控制的研究與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,資源的信息化管理和網(wǎng)絡(luò)共享被廣泛應(yīng)用到各個(gè)領(lǐng)域之中,由于網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性、多個(gè)涉密應(yīng)用系統(tǒng)并存、信息資源的保密性等,都不僅僅要求只對(duì)用戶進(jìn)行身份認(rèn)證,而且也要對(duì)用戶的訪問權(quán)限進(jìn)行嚴(yán)格的控制和審計(jì)。涉密信息系統(tǒng)統(tǒng)一身份認(rèn)證與訪問控制平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)滿足了在多個(gè)涉密應(yīng)用系統(tǒng)并存的情況下,用戶身份的認(rèn)證、權(quán)限的集中管理、訪問操作的審計(jì)以及單點(diǎn)登錄的需要,解決了在實(shí)施發(fā)布多個(gè)涉密應(yīng)用系統(tǒng)時(shí)的機(jī)構(gòu)管理混亂、用戶信息不一致

2、和權(quán)限管理復(fù)雜等問題。
　　 本文所設(shè)計(jì)和實(shí)現(xiàn)的是一套涉密信息系統(tǒng)統(tǒng)一身份認(rèn)證與訪問控制平臺(tái)。該平臺(tái)采用數(shù)字證書技術(shù)、LDAP目錄服務(wù)技術(shù)、SSL標(biāo)準(zhǔn)協(xié)議、RBAC角色授權(quán)模型和單點(diǎn)登錄機(jī)制等,利用LDAP目錄服務(wù)的分布特性,把分布在各個(gè)涉密應(yīng)用系統(tǒng)中的用戶和資源信息集中組織到邏輯目錄樹中,使得統(tǒng)一認(rèn)證中心與各涉密應(yīng)用系統(tǒng)之間的通信得到簡(jiǎn)化,并且該平臺(tái)以接口重定向方式實(shí)現(xiàn)單點(diǎn)登錄,將原來分散的用戶集中管理;在授權(quán)管理方面,以角色

3、為紐帶將被授權(quán)的用戶和操作權(quán)限對(duì)應(yīng)起來,使用戶對(duì)象與訪問權(quán)限邏輯分離開,用戶登錄平臺(tái)后能獲得相應(yīng)應(yīng)用系統(tǒng)的訪問授權(quán);最終實(shí)現(xiàn)了以Web Service為服務(wù)接口,確保用戶與應(yīng)用授權(quán)信息的一致性和實(shí)時(shí)性,同時(shí)對(duì)訪問操作進(jìn)行集中審計(jì)。
　　 本文作者主要研究了基于數(shù)字證書的身份認(rèn)證技術(shù)和RBAC訪問控制模型,介紹了涉密信息系統(tǒng)統(tǒng)一身份認(rèn)證與訪問控制平臺(tái)的總體設(shè)計(jì)、詳細(xì)設(shè)計(jì),并對(duì)統(tǒng)一認(rèn)證模塊和授權(quán)管理模塊進(jìn)行了具體設(shè)計(jì)與開發(fā),實(shí)現(xiàn)了對(duì)