论文部分内容阅读
在信息高速发展的当今社会,信息安全以及网络安全越来越受到重视。几乎每天都能发现系统的漏洞,每天都在安装漏洞补丁。漏洞的出现使得系统变得脆弱进而容易被攻击、被突破、被控制,加强网络安全建设迫在眉睫,刻不容缓。网络安全标准定义了五个层次的安全服务,即身份认证服务、访问控制服务、数据保密服务、数据完整性服务以及不可否认性服务。本文既是从这五个方面进行考虑,详细的介绍了相关的PKI、PMI以及RBAC的相关技术,重点推介了角色的概念,对于基于角色的访问控制技术的标准和模型进行了讨论,并且给出了一个应用基于角色访问控制技术的网络考试的例子,最后从身份证书和属性证书相结合的角度出发,结合RBAC等最新技术,给出了一个基于角色访问控制的授权管理系统的设计。PKI技术是一种采用公钥密码算法和技术来实现并提供安全服务的具有通用性的安全基础设施,采用证书管理公钥,通过可信的第三方机构CA把用户的公钥和用户的其他信息绑定在一起,从而实现用户在Internet上的身份认证,提供安全可靠的信息处理。PMI与PKI之间存在很多的共同点也有很大的区别,公钥证书主要是用户名及其公钥绑定在一起,对其身份加以认证,属性证书主要表面该用户具有什么样的权限,使用公钥证书认证用户,使用属性证书来标示用户具有那些角色,该用户具有怎样的权限,这样就可以实施有效的访问控制。而为了保证只有授权用户才能访问信息资源,为了解决对资源的访问控制问题,使得访问控制具有安全性、灵活性和多样性,能够满足不同企业或机构的安全访问控制,90年代提出了基于角色的访问控制RBAC(Role Based Access Control),以实现在应用层上对数据进行访问控制。基于角色的访问控制技术主要研究把用户划分成其在组织结构体系中所担当的角色,以减少授权管理的复杂性,降低管理开销和为管理员提供一个比较好的实现复杂安全策略的环境。最后我们给出了一个基于角色访问控制原理,紧密结合PKI和PMI技术的授权管理系统,该管理系统使用身份证书进行身份认证,使用属性证书进行角色控制,可以方便灵活的实现对目标的安全访问控制。在这个系统中,我们将PKI,PMI和RBAC系统的服务器统一放到一个局域网内,通过防火墙和访问控制网关将需要访问资源的用户放在局域网外。由RBAC服务器统一分配PKI,PMI以及WEB服务器,资源服务器的访问权,并且通过在资源服务器和用户之间建立一条安全信道来保证资源传输的过程中不会被人截取和修改。而且我们将资源传输过程中信息加密和信息解密的工作安排在资源服务器上来做,这样就有效的减轻了访问控制网关的压力,而且由于资源服务器并非只有一个,从而也有效的分担了信息传输的压力。其实如果需要,可以将加密服务器也分出来,成为一个单独的模块,在用户和资源服务器之间传输数据的时候首先通过加解密服务器的计算处理。本文最后在总结设计过程中的问题的同时对PKI,PMI,及RBAC将来的发展提出了一点希望。