授权管理基础设施PMI的研究及原型设计与实现

授权管理基础设施PMI的研究及原型设计与实现

谭寒生[1]2003年在《授权管理基础设施PMI的研究及原型设计与实现》文中研究表明随着Internet的普及,网络应用尤其是电子商务和电子政务开始成为重要的网上活动,网络安全因其在网络应用中的重要性,日益成为一个不容忽视的问题。人们需要在网络中为用户提供身份鉴别和权限信息,以保证网络交互的安全。PKI (Public Key Infrastructures公钥基础设施)以密码学为理论基础,提供身份鉴别、机密性、完整性和不可否认性服务,成为网络应用中信任和授权的源泉。PKI以身份证书为载体,同时记录用户的身份信息和权限信息。然而在PKI的实际应用过程中,人们发现身份和权限有很多不同的属性,尤其在有效期上,权限由于不同的环境会经常变化,而身份则相对固定。将二者绑定到一个证书上不仅不利于对身份和权限的有效管理,而且需要频繁更新证书,给签证机关带来很大的工作量。鉴于以X.509v3为基础的PKI系统中上述身份持久性与用户权限短暂性之间的矛盾日益显着,2000年X.509v4协议提出授权管理基础设施PMI的概念。PMI分离了X.509v3标准中PKI的权限管理功能,提供更为严格、方便和高效的访问控制机制,是一种基于PKI系统之上的、实现访问权限管理的体系。 本文分析了X.509v4的PMI基本框架,在此基础上建立了基于角色委托机制的PMI模型,提出了PMI原型设计方案,并讨论了架构中证书管理、角色管理和策略管理的一些关键问题。最后在参考PKI系统基础上,实现了一个原型PMI——Mini PMI,并对其性能进行了简单分析。 XML作为一种元语言,具有平台无关性、自描述性等重要特征,正成为网络应用不可或缺的数据表示方式。XML可以根据需要定制,使之符合特定要求。目前XML安全性的研究也正如火如荼。本文探讨了安全XML技术在PMI系统中的应用,所设计的PMI系统完全基于XML格式,包括策略、日志以及证书等,使之可以与网络服务框架有机地结合起来,从而保证安全可信网络服务的效率。

林海宇[2]2004年在《基于角色的授权管理基础设施PMI的研究与实现》文中认为随着网络技术的飞速发展,以电子政务、电子商务为代表的基于Internet的各种应用正广泛兴起,网络的开放性与信息的安全性之间的矛盾日益变得突出。人们需要在网络中通过信任与授权服务来保证网络交互的安全。PKI(Public Key Infrastructure,公钥基础设施)以密码学为理论基础,以公钥证书为载体,较好地解决了网络中的信任问题。随着网络应用的深入,人们迫切需要对各种资源如文件、数据等进行访问控制,对用户的权限进行组织与管理。如何在PKI 基础上结合访问控制机制提供授权服务的安全需求已迫在眉睫,权限管理已成为当前网络信息安全面临的巨大挑战。基于角色的授权管理基础设施PMI(Privilege Management Infrastructure)以PKI 技术和RBAC(Role based Access Control,基于角色的访问控制)为基础,以属性证书为载体,弥补了PKI 技术对授权需求的不足和RBAC 技术缺乏对权限生命周期管理的缺陷。本文对X.509 属性证书框架和PMI 的模型与体系结构进行了较深入的分析与评价。基于X.509 协议和PMI 的基本框架,建立了基于角色的授权管理基础设施PMI 模型。在此基础上提出了PMI 原型设计方案,讨论了架构中证书管理、访问控制和策略管理的一些关键问题。最后在参考PKI 系统基础上,实现了一个原型PMI——RB-PMI,并对其性能进行了简单分析。

陈涛[3]2004年在《权限管理基础设施PMI的设计与实现》文中提出随着网络信息技术飞速发展,互联网已经成为人类社会的重要组成部分。在Internet 之上,一个虚拟的社会正在成熟壮大。网络技术和设施的日臻完善,为这个虚拟社会提供了技术和硬件支撑。随着Internet 的普及,网络应用尤其是电子商务和电子政务开始成为重要的网上活动,网络安全因其在网络应用中的重要性,日益成为一个不容忽视的问题。人们需要在网络中提供和鉴别身份和权限信息,以保证网络交互的安全。然而在网络中的虚拟社会,个人或者机构想要证明自己的身份和权限却并非易事。公钥管理基础设施PKI(Public Key Infrastructure)模仿现实社会中的第叁方认证体系成为网上的第叁方认证体系。PKI 以公钥证书为载体,较好地解决了网络中的信任问题,并且可以同时记录用户的身份信息和权限信息。然而在PKI 的实际应用过程中,人们发现身份和权限有很多不相同的属性,尤其体现在有效期上。权限由于不同的环境会经常变化,而身份则相对固定。将二者绑定到一个证书上不仅不利于对身份和权限的有效管理,而且证书需要频繁更新,也给签证机关带来很大的工作量。PKI 系统中身份的持久性与用户权限的短暂性之间的矛盾随着网络应用的深入日益显着。2000 年X.509 协议第四版提出的权限管理基础设施PMI(Privilege Management Infrastructure)以PKI 和基于角色的访问控制技术RBAC(Role based Access Control)为主要技术基础,以属性证书为载体,不但解决了PKI 系统中身份持久性与用户权限短暂性之间的根本矛盾,同时也弥补了RBAC 技术缺乏对权限生命周期管理的缺陷。本文对PMI 的模型、原理和体系结构以及X.509 属性证书框架进行了深入分析研究,并在此基础上提出了基于角色授权模型的PMI 原型——MyPMI 的设计与实现方案,MyPMI 以IETF(Internet 工程任务组)发布的RFC(Request For Comment)规范为设计时基本的指导规范,采取基本遵循RFC 规范中提出的标准,最大限度地缩减PMI 的功能,借鉴实验室已有的比较稳定的PKI 和RBAC 的开发成果和经验,最大限度实现代码重用,尽量减少开发强度和开发量的技术路线,实现了PMI 原型的基本功能,为PMI 的研究和实现提供宝贵的经验。

方旋[4]2007年在《授权管理基础设施的研究与应用》文中研究指明随着网络应用的深入和扩展,仅仅验证用户的身份已经不能满足安全系统的需要,授权管理基础设施的出现进一步确定了合法用户的操作权限并系统地建立起对认可用户的特定授权。授权管理基础设施PMI(Privilege Management Infrastructure)是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。授权管理基础设施使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤消、使用和验证的过程。在研究传统授权管理基础设施的基础上,对授权管理基础设施的目录服务器进行了优化查询。引进了基于角色的委托授权策略,大大减轻了安全管理员的负担。增加了用户组说明属性证书和用户组分配属性证书以简化应用系统权限的管理。采用了先验证策略使应用服务器省去了请求验证授权的过程,避免非实时在现有系统中形成的验证无效问题。最后详细的给出了授权管理基础设施中策略的实现和管理以及访问控制模型,描述了一个改进后的授权管理基础设施的框架。在改进的授权管理基础设施的模型基础上,结合Web的相关知识,给出了一个Web下基于公钥基础设施和授权管理基础设施的联合安全身份认证授权系统,并对其中特权验证网关模块、角色委托功能模块、授权管理基础设施模块和目录服务器模块进行了初步的设计和安全性分析。给出了一个更加灵活和高效的安全认证授权系统。

刘月琴[5]2007年在《基于角色层次的授权代理模型的研究与设计》文中研究表明授权代理是访问控制模型十分重要的组成部分,本文在深入研究几种现有权限委托代理模型的基础上,利用RBAC自身管理RBAC的思想,在PBDM模型的基础上提出了一种新的具有自我管理能力的支持角色层次的授权代理模型(Self-Administrative Sub-role based Delegation Model,ASRBDM)。本模型可同时支持用户-用户代理和角色-角色代理。模型根据角色的继承和委托特性将角色分为若干个子角色,以支持部分代理、权限级粒度代理和限制性继承,使授权代理高效、灵活,适应于分布式网络和工作流管理系统。为了验证模型的有效性,设计并实现了一个基于ASRBDM模型的授权代理系统(Authorization Delegation System,ADS)。该系统扩展了原有的PMI体系架构,可以同时支持基于角色和权限两级的授权代理控制,简化了授权管理。本文首先研究了权限代理和权限管理基础设施PMI相关理论,重点总结分析了现有的几种具有代表性的权限代理模型。其次在对现有权限代理模型进行深入分析的基础上,提出了一种新的具有自我管理能力的授权代理模型ASRBDM。为了验证模型的有效性和可用性,设计并实现了一个基于ASRBDM模型的授权代理系统ADS。最后,对原型系统以及系统在某银行业务系统中的访问控制应用进行了测试,并对测试结果进行分析。目前对授权代理模型的研究多在理论方面,而对模型的应用讨论较少。本文提出的改进模型ASRBDM以及设计的授权代理系统通过sub-role层次组件来实现受限的代理,使用户-用户代理和角色-角色代理在同一个模型中得以实现,增加了权限管理的灵活性,为开发集成PMI系统的多应用系统平台作了有益的探索,在大型的分布式网络、工作流和数据库系统等领域都有广泛的应用前景。

郑起莹[6]2007年在《基于.NET的分布式应用系统访问控制技术研究与实现》文中提出随着Intemet的迅速发展,分布式系统的应用日益广泛。一个迫切需要解决的问题是;如何在防火墙、入侵检测系统、操作系统和.NET平台共筑的安全屏障下,防止非法用户进入系统并保证合法用户只能看到权限范围内的数据。当前大多数访问控制实现代价巨大,效率不高,缺乏统一的标准,并且细粒度访问控制的实现比较困难和复杂。针对以上问题,本文对访问控制的相关理论和技术进行了研究和探讨,主要有;访问控制概念、访问控制框架、访问控制机制、访问控制策略和可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML),并对授权管理基础设施(Privilege Management Infrastructure,PMI)的概念模型框架、属性证书等进行了研究。以此为基础,本文设计并实现了一种基于.NET的分布式应用系统访问控制解决方案。本文所做的主要工作有;1)用XML技术改进了属性证书的编码方式。2)用XACML语言描述授权与访问控制策略,并在系统总体设计中融入了XACML访问控制决策模型的思想,以便更好地应用到分布式应用系统中。3)以某品牌汽车4S店信息管理系统为原型,设计了一个基于.NET的分布式应用系统访问控制方案,其具体实现采用PMI安全中间件。4)设计并实现了独立于具体应用的细粒度访问控制。5)简化了用户权限管理分配工作,减少管理成本并降低系统复杂度。实际应用表明,本文所设计的基于.NET的访问控制方案能够较好地解决分布式应用系统中用户权限管理、细粒度访问控制等问题,对提高分布式应用系统的安全性提供了一个新的思路。

潘亮[7]2007年在《企业级PKI身份认证和访问控制研究》文中进行了进一步梳理随着计算机技术、网络技术以及通信技术的发展和应用,企业信息化已成为企业实现可持续化发展和提高市场竞争力的重要保障。由于计算机网络和信息系统的开放性和脆弱性,为企业管理服务的信息系统客观地存在着已知的或潜在的安全威胁,这些安全威胁将不可避免地延伸到企业的正常运营、生产及销售等经营活动,甚至威胁到企业的生存。企业信息安全问题呈现出许多新特点,如主体的复杂化、安全信息的不完整性、安全度量的相对化、安全需求的个性化和安全措施的自适性等。传统的身份认证及访问控制技术和手段已难以解决异构协同环境中应用系统的安全问题,根本原因在于身份的可伪造性、环境的动态变化以及控制的离散性。本文以提出的任务化角色访问控制模型和企业级PKI/PMI身份认证框架为基础,结合企业层次化的组织架构,提出了一个适合企业异构系统环境中统一身份认证及逐级授权管理框架。本文的具体成果如下:①设计了任务化角色授权模型,该工作在基于角色授权的访问控制基础上完成,并增加了对企业组织层次以及工作任务分发的支持。②设计并实现了企业级的PKI身份证书和PMI属性证书的信任授权原型系统,为企业在复杂异构环境下实现了信任管理核心运行机制,通过符合Web Service规范的接口提供服务。③设计了一个任务化角色授权的信任管理框架。在应用上下文一致性检查的任务管理框架的基础上,结合企业级PKI系统的身份认证技术并增加了任务化角色授权机制来实现信任管理框架。

吕亮亮[8]2013年在《资源管理和授权服务系统设计与实现》文中研究表明在电子政务和企业内网信息化建设的进程中,存在应用系统繁多、用户和权限管理混乱、管理维护复杂等问题,因此建立一个基于PMI的资源管理和授权服务系统,实现网络中应用系统用户、资源和权限的统一管理尤为重要。本文首先分析了PKI、PMI及访问控制在国内外的研究现状,深入研究了PMI的工作原理及体系结构,介绍了传统访问控制模型,并重点研究了下一代访问控制模型UCON模型的工作原理及核心组件,分析了UCON模型的优势和不足。在此基础上,本文对资源管理和授权服务系统进行了总体设计,对该系统的核心子系统进行了详细设计,并实现了组织成员管理子系统、资源管理子系统、授权管理子系统和数据交换模块。经过对这几个子系统的具体部署和测试,解决了传统授权系统在实际应用中权限管理混乱的不足,适应了实际业务中的应用系统的授权管理机制,并提高授权管理的效率。

曾瑶[9]2008年在《跨域授权管理系统的研究与实现》文中研究指明随着办公自动化、电子商务的逐渐深入,政府部门、各单位和企业根据各自的业务需求建立了局域网并开发了各自的应用,而信息化的发展使得这些单域(在同一安全策略管理范围内的局域网)之间实现互连和信息共享的需求越来越迫切。在目前高度动态、异构化、分布式的现代信息系统中,跨越单个管理域的限制,在多个域之间进行安全互操作是一项非常必要的系统需求。然而,原有自主可控的单域网络在与其他网络互连后,如何实现安全可控的开放并保持原有应用的安全,即防止未授权用户访问和使用受保护的资源或服务,实现跨域授权管理,便成为了我们在信息化实施过程中要解决的关键问题之一。本文综合分析了现有的基于授权管理基础设施PMI、属性证书和RBAC的访问控制模型,在公钥基础设施PKI和PMI的基础之上,提出了一种基于角色和属性证书的跨域授权管理系统模型,该模型充分考虑了多域环境下安全策略的制定以及域间的协作,符合分布式系统的实际情况,相比其他分布式授权管理系统模型,具有更强的实用性和安全性。论文详细描述了域内授权管理及域间的角色映射和授权步骤,并从物理结构和逻辑结构两个方面对系统的实现做了详细设计,最后在设定的一个原型环境下对理论模型进行了模拟实现和验证。整个模拟系统的实现具有灵活性、易维护性和可操作性。

邢小永[10]2006年在《基于RBAC扩展模型的授权策略研究》文中研究指明授权管理基础设施(PMI)是信息安全基础设施的重要组成部分。授权策略描述了授权应当遵循的原则和各个授权实体的范围,决定了权限分配的主要内容和权限验证的有效性,是授权管理基础设施中各授权管理系统协调运行的保证。 访问控制模型和授权策略密切相关,本文首先对基于角色访问控制模型进行扩展研究,然后对已有的授权策略进行分析,最后提出一种新的授权策略并探讨其在PMI中的应用。主要工作如下: 1.提出一个RBAC扩展模型。在RBAC模型的基础上引入用户组、角色组的概念,从用户、角色和权限叁个方面对RBAC模型进行了扩展。应用RBAC扩展模型可以大大提高授权的灵活性、减少授权工作量。 2.深入分析了PERMIS PMI授权策略。PERMIS PMI授权策略是一个完整的基于角色的授权策略,其在规范描述、复杂环境下如何制定等方面还存在着不足。分析PERMISPMI授权策略为实际应用中授权策略研究提供基础依据。 3.认真研究并给出了基于RBAC扩展模型的授权策略规范。在PERMIS PMI授权策略分析基础上给出了基于RBAC扩展模型的授权策略,并从授权策略元素、制定时需要考虑的内容等方面进行研究,最后对授权策略规范进行描述。为具体应用中授权策略的制定提供参考依据。 4.探讨了基于RBAC扩展模型的授权策略在PMI系统中的应用。主要是对授权策略在用户角色分配、角色权限分配、授权管理中心设置、资源管理代理设置和权限验证等操作中的应用进行探讨。

参考文献:

[1]. 授权管理基础设施PMI的研究及原型设计与实现[D]. 谭寒生. 电子科技大学. 2003

[2]. 基于角色的授权管理基础设施PMI的研究与实现[D]. 林海宇. 电子科技大学. 2004

[3]. 权限管理基础设施PMI的设计与实现[D]. 陈涛. 电子科技大学. 2004

[4]. 授权管理基础设施的研究与应用[D]. 方旋. 华中科技大学. 2007

[5]. 基于角色层次的授权代理模型的研究与设计[D]. 刘月琴. 苏州大学. 2007

[6]. 基于.NET的分布式应用系统访问控制技术研究与实现[D]. 郑起莹. 解放军信息工程大学. 2007

[7]. 企业级PKI身份认证和访问控制研究[D]. 潘亮. 重庆大学. 2007

[8]. 资源管理和授权服务系统设计与实现[D]. 吕亮亮. 西安电子科技大学. 2013

[9]. 跨域授权管理系统的研究与实现[D]. 曾瑶. 北京交通大学. 2008

[10]. 基于RBAC扩展模型的授权策略研究[D]. 邢小永. 解放军信息工程大学. 2006

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

授权管理基础设施PMI的研究及原型设计与实现
下载Doc文档

猜你喜欢