基于PKI-PMI的統(tǒng)一認(rèn)證授權(quán)系統(tǒng)的研究與設(shè)計(jì).pdf

1、互聯(lián)網(wǎng)加快了全球化的步伐，企業(yè)也加快了信息化建設(shè)的步伐，在信息爆炸的時(shí)代，資源共享將進(jìn)一步得到加強(qiáng)，隨之而來(lái)的信息安全問(wèn)題也顯得越來(lái)越重要，成為當(dāng)今研究的熱點(diǎn)。如何確認(rèn)和你在互聯(lián)網(wǎng)上通信的人是誰(shuí)?如何確保非法的用戶無(wú)法訪問(wèn)受保護(hù)的敏感信息?又如何確保合法的用戶能正常的訪問(wèn)資源?這幾個(gè)問(wèn)題描述了被國(guó)外學(xué)者稱為信息安全金三角的信息的機(jī)密性，完整性，可用性等屬性，也就是本文討論的認(rèn)證，授權(quán)和訪問(wèn)控制的問(wèn)題。 看看過(guò)去企業(yè)的信息系統(tǒng)平臺(tái)

2、，不難發(fā)現(xiàn)，由于業(yè)務(wù)系統(tǒng)的認(rèn)證和授權(quán)邏輯被嵌入在系統(tǒng)業(yè)務(wù)中，加上不同的系統(tǒng)有各自的安全實(shí)施策略，導(dǎo)致整個(gè)信息平臺(tái)存在諸多的缺陷：安全性不高，管理混亂，互操作性不好，成本投入高等。 公鑰基礎(chǔ)設(shè)施(PKI)是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心，它主要目的是通過(guò)自動(dòng)管理密鑰和證書(shū)，提供網(wǎng)絡(luò)在線的身份認(rèn)證，為用戶建立起一個(gè)安全可信的網(wǎng)絡(luò)環(huán)境。在此基礎(chǔ)上的授權(quán)是確保網(wǎng)絡(luò)安全的又一重要保障，授權(quán)基礎(chǔ)設(shè)施(PMI)正式在PKI上的延伸，PMI通過(guò)頒

3、發(fā)屬性證書(shū)的方式為解決了分布式環(huán)境下授權(quán)問(wèn)題，為企業(yè)的授權(quán)提供了新的解決思路。PMI是目前安全領(lǐng)域的研究熱點(diǎn)，其標(biāo)準(zhǔn)化工作正在進(jìn)行中，目前，被實(shí)際應(yīng)用的PMI產(chǎn)品還不多。 本文重點(diǎn)討論了PKI和PMI等基礎(chǔ)設(shè)計(jì)的體系結(jié)構(gòu)和原理，深入研究了x.509v4協(xié)議，在此基礎(chǔ)上，擴(kuò)展了PKC身份證書(shū)和屬性證書(shū)；其次深入研究了訪問(wèn)控制框架，建立了適合于本系統(tǒng)的訪問(wèn)控制框架；深入研究了PMI的角色模型，針對(duì)傳統(tǒng)的RBAC模型的缺陷，提出了GE

4、-RBAC模型，引入私有權(quán)限和公有權(quán)限解決私有權(quán)限問(wèn)題，采用抽象角色和單繼承替代原有的多繼承，簡(jiǎn)化角色層次關(guān)系，引入任務(wù)的概念彌補(bǔ)RBAC對(duì)動(dòng)態(tài)權(quán)限的支持不足等等。此外，為提高系統(tǒng)的性能，采取動(dòng)態(tài)緩存和靜態(tài)緩存相結(jié)合的緩存設(shè)計(jì)；改進(jìn)了x.509V4中證書(shū)撤銷方案，提出了更加高效基于哈希鏈表的證書(shū)撤銷方案：此外，針對(duì)刪除操作可能一起的數(shù)據(jù)不一致的問(wèn)題，設(shè)計(jì)了定時(shí)日志跟蹤自動(dòng)執(zhí)行相關(guān)更新操作的方案。 本文根據(jù)PKI在授權(quán)管理方面的不