论文部分内容阅读
授权管理基础设施(PrivilegeManagementInfrastructure,PMI)的目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制。目前,国内的PMI研究刚起步,通过对该技术进行研究,开发自己的PMI产品已经刻不容缓。
论文首先介绍了PMI、LDAP(LightDirectoryAccessProtocol,轻量级目录访问协议)在国内外研究现状,分析了PMI的系统结构和LDAP基本原理。
其次,针对如何设计统一授权管理系统进行阐述。该系统主要包括属性证书管理、权限分配和访问控制。系统把用户信息、资源信息、角色信息等用于访问控制的信息统一管理起来,使用属性证书管理用户的访问权限。
属性证书管理主要用于实现对属性证书整个生命周期包括生成、发布、更新、撤销、查询等操作的管理。通过管理属性证书的生命周期实现对权限生命周期的管理,从而实现对资源访问权限的分配和管理。
在权限分配中注册用户、资源信息和创建角色,并设定角色的权限。用户与访问权限之间借助角色联系起来,根据用户的责任和资格分配角色,使用属性证书表示和容纳权限信息,通过它定义用户拥有的角色信息,管理用户的访问权限,以属性证书作为权限授权与审核对象,实现了用户授权的灵活性,并为系统制定访问策略,发布到LDAP目录服务器中。
用户访问目标资源时,通过用户的属性证书获取该用户拥有的角色,根据角色所拥有的权限确定用户是否有权访问目标资源,从而达到对用户的访问控制。任何用户要对资源进行访问,都不能为之建立一条绕过统一授权管理系统的通道,保证了敏感资源的安全。为了确保在复杂的网络应用环境下实现易于扩展的属性证书及用户、资源、角色管理机制,系统使用了目录服务技术来减轻在用户访问控制信息的查找及管理等方面的负担。
最后,总结了统一授权管理系统的特点,并给出了今后的研究方向和需要进一步完善的工作。