多域環(huán)境下基于證書和信任的訪問(wèn)控制研究.pdf

1、隨著計(jì)算機(jī)應(yīng)用的普及以及網(wǎng)絡(luò)時(shí)代的來(lái)臨，信息的正常訪問(wèn)和合理保護(hù)已經(jīng)變得越來(lái)越重要。人們通過(guò)訪問(wèn)控制技術(shù)來(lái)保證對(duì)信息的合法正常訪問(wèn)。近年來(lái)多域環(huán)境下的信息安全技術(shù)逐漸成為訪問(wèn)控制技術(shù)研究的熱點(diǎn)，而基于證書與信任的訪問(wèn)控制技術(shù)是解決多域環(huán)境下信息安全的有效手段。盡管很多學(xué)者對(duì)多域環(huán)境下的訪問(wèn)控制技術(shù)進(jìn)行了很多具有探索性的研究工作，并有了非常豐富的的研究成果，但是仍有一些問(wèn)題值得更進(jìn)一步地深入研究。
　　 將PKI與PMI引入企業(yè)，

2、能夠解決企業(yè)信息系統(tǒng)中的認(rèn)證和授權(quán)問(wèn)題，實(shí)現(xiàn)全局的安全策略。提出了一個(gè)基于應(yīng)用的企業(yè)信息系統(tǒng)訪問(wèn)控制模型，該模型集成了PKI/PMI，采用的是基于角色的訪問(wèn)控制模式。從安全系統(tǒng)框架、證書結(jié)構(gòu)、模型結(jié)構(gòu)、實(shí)現(xiàn)過(guò)程等方面進(jìn)行了闡述，并給出了相應(yīng)的實(shí)例說(shuō)明和分析。
　　 在多域環(huán)境中，實(shí)體之間的信任評(píng)估以及信任傳遞是一個(gè)很重要的研究課題，其中信任的計(jì)算以及信任傳遞深度控制等問(wèn)題還沒(méi)有得到比較好的解決。在對(duì)信任的特征進(jìn)行充分分析的基礎(chǔ)上

3、，提出了一種新的信任關(guān)系的計(jì)算方法，對(duì)實(shí)體之間的信任度進(jìn)行了量化計(jì)算，從信任經(jīng)驗(yàn)、信任知識(shí)和信任推薦等幾個(gè)方面來(lái)計(jì)算一個(gè)實(shí)體對(duì)另一個(gè)實(shí)體的信任度。在此信任度計(jì)算方法的基礎(chǔ)上，又提出了一個(gè)信任傳遞深度控制的策略。提出的信任計(jì)算方法經(jīng)過(guò)數(shù)據(jù)仿真進(jìn)一步論證了方案的可行性，提出的信任計(jì)算和信任傳遞深度控制方案都具有較強(qiáng)的實(shí)用性和靈活性。
　　 提出了一種基于帶權(quán)有向圖的授權(quán)委托模型，討論并解決了授權(quán)委托模型中的權(quán)限傳遞控制以及環(huán)狀授權(quán)和

4、沖突授權(quán)等問(wèn)題。模型中采用信任傳遞函數(shù)的計(jì)算以及信任閾值的方法來(lái)施加約束因素，有效地限制了訪問(wèn)權(quán)限的擴(kuò)散。對(duì)于授權(quán)中出現(xiàn)的沖突，按照信息的敏感程度高低等要求，來(lái)實(shí)施相應(yīng)的控制和選擇，此方法的實(shí)現(xiàn)具有簡(jiǎn)單及較大的靈活性等特點(diǎn)。
　　 在多域環(huán)境中，每個(gè)結(jié)點(diǎn)的隨意性很大，可以隨時(shí)隨地加入或退出一個(gè)域。在域中是否與其他實(shí)體結(jié)點(diǎn)進(jìn)行交互也是由自身決定的，但結(jié)點(diǎn)與結(jié)點(diǎn)之間的信任關(guān)系不是固定不變的。對(duì)于一個(gè)結(jié)點(diǎn)而言，新加入的結(jié)點(diǎn)無(wú)法保證其在

5、域中行為的安全性。在信任管理的框架下，結(jié)點(diǎn)與結(jié)點(diǎn)之間可以通過(guò)信任的評(píng)估先獲得一個(gè)信任度的值，繼而采用基于信任度的證書鏈搜索算法，通過(guò)結(jié)點(diǎn)之間信任度的判斷來(lái)實(shí)現(xiàn)選擇性剪枝式的證書鏈搜索，提高了搜索效率。給出了信任管理系統(tǒng)中基于信任度的證書鏈前向、后向和雙向搜索算法，并通過(guò)具體實(shí)例說(shuō)明了算法的應(yīng)用和實(shí)現(xiàn)過(guò)程。
　　 在多域環(huán)境中，信任管理和信任協(xié)商都是使用數(shù)字證書來(lái)實(shí)施訪問(wèn)控制的有效方法。數(shù)字證書中往往包含有顯式和隱式的敏感屬性需要