基于RBAC的PMI研究与设计

基于RBAC的PMI研究与设计

陆健龙[1]2008年在《基于角色PMI的电子政务访问授权研究》文中研究说明电子政务系统是供政府和公民使用的信息交流平台,这一平台上流动着各种公开或者保密的信息。PKI能够为电子政务系统提供强有力的信息安全保障,但PKI系统仅仅解决了系统中的身份认证,难以解决在身份认证的基础上的授权问题。2000年国际电信联盟ITU年发布了基于属性证书的特权管理基础设施PMI,这为解决授权指明了研究方向。PMI理论通过属性证书将用户的身份和属性进行绑定,提供了一种有效的体系结构来管理用户的属性和权限。基于角色的访问控制RBAC是受学者关注的一种访问控制机制,它的基本思想是将访问控制权限与“角色”相关联,通过给每个用户分配一个或多个“角色”,对于每个角色,又相应地对角色设定权限,从而建立用户与访问权限之间的联系。RBAC通过管理控制角色,围绕角色制定相应策略来控制用户,极大简化了安全管理,特别适合于电子政务系统这类大规模的授权应用。本文对授权和访问控制领域进行了较为深入的研究,并设计实现了一个基于RBAC的PMI体系。首先结合PMI的基本模型和基于角色访问的特点,提出一种基于PMI的电子政务系统的建设,对其设计方案和系统结构进行了研究,提出了基于PMI平台实现电子政务网授权管理系统的安全应用方案。最后结合PKI的身份认证、PMI权限管理和RBAM建立系统的基于角色PMI授权访问体系(RAPMI),描述了RAPMI体系的实现过程。并结合其特点,定义了RAPMI体系的授权访问策略。最后将RAPMI体系应用吴江电子政务领域,给出其应用模型以及现实意义。最后系统通过测试,证明了切实可行。

王飞[2]2006年在《基于PKI/PMI的认证和授权的研究》文中研究说明公钥基础设施PKI(Public Key Infrastructure)技术在开放的网络环境中提供了身份认证服务。授权管理基础设施PMI(Privilege Management Infrastructure)是PKI在授权管理领域的扩展,它使用属性证书AC(Attribute Certificate)为用户分配权限,目标在于提供用户身份到应用授权的映射,提供与实际处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制。基于角色的访问控制RBAC(Role-based Access Control)通过引入角色的概念实现了用户与访问权限的逻辑分离,具有很好的灵活性,极大地方便了权限管理,被认为是一种比较有效而被广泛应用的访问控制模型。PMI角色模型通过颁发角色说明属性证书和角色分配属性证书分配权限,可以实现RBAC与PMI的结合。针对ARBAC97中管理角色为用户分配常规角色时不易根据用户是否拥有某些特征进行角色分配的问题,提出了引入属性概念的ARBAC扩展模型。在研究PKI/PMI理论的基础上,改进了PMI的角色模型:增加了用户组说明属性证书和用户组分配属性证书以简化应用系统权限的管理;在权限验证者本地增加访问控制策略库实现对资源的访问控制;增加权限验证者本地证书库以提高证书的处理效率。同时给出了PMI框架解决RBAC中角色继承、私有权限、角色委托等问题的方法。最后设计了一个基于PKI身份认证,实现RBAC的PMI安全平台框架,定义了用可扩展标记语言XML(Extensible Markup Language)描述的用于实现权限分配的授权策略的相关语法,着重介绍了授权管理和访问控制的实施过程,可以作为构建PMI系统的参考。

赵亚文[3]2006年在《JTang分布式权限管理系统研究》文中认为身份认证和权限管理是网络安全的两个核心内容。公钥基础设施(PKI)通过密钥和证书管理方式建立起来的身份认证技术已经非常成熟,但是单独的身份认证技术已经不能完全满足大型企业的安全需求。作为PKI的重要完善和补充,权限管理基础设施(PMI)可提供安全可靠的权限管理服务。 论文针对现有权限管理系统在实际应用中出现的模型柔性差、互操作性不高以及性能不能适应企业级应用等问题,结合浙江省科技厅资助的重大科技攻关项目JTang应用服务器,提出一个基于RBAC的权限管理模型JTangPMI,借助RBAC中成熟的角色理论简化PMI的权限管理,为企业应用系统提供了全面统一的访问控制和授权服务。提出了支持权限约束的PMI集群计算技术,实现PMI系统的高可用性和高可靠性,提高海量访问控制并发操作的性能和服务质量。论文分为以下几个部分: 第一章,概述权限管理基础设施,介绍权限管理基础设施的背景和应用前景;并阐述当前的发展状况;探讨当前发展中面临的挑战;最后,给出论文的课题背景和主要研究内容。 第二章,概述PMI理论体系,给出PMI相关的基本概念,分析了PMI和公钥基础设施(PKI)的关系;并且介绍了PMI的核心部件;然后重点分析PMI中的属性证书框架,最后研究比较了几个现有的同类PMI产品。 第叁章,结合RBAC成熟的访问控制理论,提出一个跨应用、跨系统、跨企业的分布式PMI模型。先对访问控制技术进行分析,重点研究基于RBAC的JTangPMI模型和模型的体系结构,针对权限分配、授权等核心功能,给出具体的执行流程和设计过程。 第四章,为了提高企业级权限管理的性能,提出支持权限约束的PMI集群计算技术。首先,介绍了集群环境下的集中常用负载平衡策略,研究集群计算中的服务高可用性、策略可配置性和出错恢复等几个关键技术的设计;然后给出了权限约束的传递规则来简化约束的操作。 第五章,JTangPMI的实现,结合JTang应用服务器的设计,给出JTangPMI的框架设计,详细介绍了重要数据结构的定义和部分核心功能模块的设计。 文章最后(第六章)总结了论文的主要工作,并指出了有待进一步研究解决的问题。

林海宇[4]2004年在《基于角色的授权管理基础设施PMI的研究与实现》文中研究表明随着网络技术的飞速发展,以电子政务、电子商务为代表的基于Internet的各种应用正广泛兴起,网络的开放性与信息的安全性之间的矛盾日益变得突出。人们需要在网络中通过信任与授权服务来保证网络交互的安全。PKI(Public Key Infrastructure,公钥基础设施)以密码学为理论基础,以公钥证书为载体,较好地解决了网络中的信任问题。随着网络应用的深入,人们迫切需要对各种资源如文件、数据等进行访问控制,对用户的权限进行组织与管理。如何在PKI 基础上结合访问控制机制提供授权服务的安全需求已迫在眉睫,权限管理已成为当前网络信息安全面临的巨大挑战。基于角色的授权管理基础设施PMI(Privilege Management Infrastructure)以PKI 技术和RBAC(Role based Access Control,基于角色的访问控制)为基础,以属性证书为载体,弥补了PKI 技术对授权需求的不足和RBAC 技术缺乏对权限生命周期管理的缺陷。本文对X.509 属性证书框架和PMI 的模型与体系结构进行了较深入的分析与评价。基于X.509 协议和PMI 的基本框架,建立了基于角色的授权管理基础设施PMI 模型。在此基础上提出了PMI 原型设计方案,讨论了架构中证书管理、访问控制和策略管理的一些关键问题。最后在参考PKI 系统基础上,实现了一个原型PMI——RB-PMI,并对其性能进行了简单分析。

潘勇[5]2006年在《基于RBAC的PMI的研究》文中认为在现代开放网络环境下,大量分布在不同网络中的信息往往需要被一个多变的、动态的人群使用和管理。为了在应用中安全有效使用这些信息,要求访问信息的用户身份和访问特权必须以一种受信任的方式管理。为了解决这一问题,人们提出了公钥基础设施(PKI)技术和特权管理基础设施(PMI)技术。现在越来越多的企业在应用中采用基于角色的访问控制(RBAC)策略作为访问控制实现的基础。利用建立在PKI基础上的PMI的属性证书对网络资源进行管理。本文系统的介绍了RBAC、前向安全数字签名、属性证书、PMI工作原理,在此基础上,本文给出了一个基于RBAC的PMI系统模型,把属性证书作为管理角色和权限的工具,同时在AA和SOA对属性证书进行签名时,使用了前向安全数字签名的方式,能够把因AA和SOA的私钥泄漏给系统造成的损失减少到最低限度;使用RBAC访问控制方式,引入角色的概念,使用了角色分配证书与角色规范证书,简化了系统的管理,使访问控制的思路更加清晰,权限的分配更加容易,减轻了管理者的负担,使该系统具有通用性及标准性等优点。在权限的验证中,权限的验证者对权限声称者所声称的权限进行验证时,最大的麻烦是在证书库中搜寻相应的证书,由相应的证书搜寻相应的角色、权限和用户,以决定是否对资源有访问权。为加快验证速度,提高系统的性能,我们采用了RBAC模型的缓存机制,大大加快了系统的反应速度。文中还给出了该系统的应用环境以及它所涉及的相关标准。

陈国[6]2008年在《基于PKI/PMI的统一认证授权系统的研究与设计》文中研究说明互联网加快了全球化的步伐,企业也加快了信息化建设的步伐,在信息爆炸的时代,资源共享将进一步得到加强,随之而来的信息安全问题也显得越来越重要,成为当今研究的热点。如何确认和你在互联网上通信的人是谁?如何确保非法的用户无法访问受保护的敏感信息?又如何确保合法的用户能正常的访问资源?这几个问题描述了被国外学者称为信息安全金叁角的信息的机密性,完整性,可用性等属性,也就是本文讨论的认证,授权和访问控制的问题。看看过去企业的信息系统平台,不难发现,由于业务系统的认证和授权逻辑被嵌入在系统业务中,加上不同的系统有各自的安全实施策略,导致整个信息平台存在诸多的缺陷:安全性不高,管理混乱,互操作性不好,成本投入高等。公钥基础设施(PKI)是目前网络安全建设的基础与核心,它主要目的是通过自动管理密钥和证书,提供网络在线的身份认证,为用户建立起一个安全可信的网络环境。在此基础上的授权是确保网络安全的又一重要保障,授权基础设施(PMI)正式在PKI上的延伸,PMI通过颁发属性证书的方式为解决了分布式环境下授权问题,为企业的授权提供了新的解决思路。PMI是目前安全领域的研究热点,其标准化工作正在进行中,目前,被实际应用的PMI产品还不多。本文重点讨论了PKI和PMI等基础设计的体系结构和原理,深入研究了X.509v4协议,在此基础上,扩展了PKC身份证书和属性证书;其次深入研究了访问控制框架,建立了适合于本系统的访问控制框架;深入研究了PMI的角色模型,针对传统的RBAC模型的缺陷,提出了GE-RBAC模型,引入私有权限和公有权限解决私有权限问题,采用抽象角色和单继承替代原有的多继承,简化角色层次关系,引入任务的概念弥补RBAC对动态权限的支持不足等等。此外,为提高系统的性能,采取动态缓存和静态缓存相结合的缓存设计;改进了X.509V4中证书撤销方案,提出了更加高效基于哈希链表的证书撤销方案;此外,针对删除操作可能一起的数据不一致的问题,设计了定时日志跟踪自动执行相关更新操作的方案。本文根据PKI在授权管理方面的不足,汲取了PMI在授权管理方面的优势,并结合了时下相当流行的基于角色的访问控制思想设计了一个分布式环境下的统一认证授权系统,该系统能提供在线的身份认证,权限管理和审计等服务,大大简化管理员的工作,增强了业务系统的安全性,方便系统的扩展,能够满足用户对统一安全管理的需求。

彭亚锋[7]2007年在《基于RBAC的PMI体系构建及其应用》文中提出计算机网络是信息社会的基础,它能有效地实现资源共享,但资源共享和信息安全是一对矛盾体。随着资源共享的进一步加强,随之而来的信息安全问题也日益突出,身份认证、权限管理和访问控制是网络安全的重要部分,因此它们成为当前信息安全领域中研究的热点。对用户进行正确辨识并实施有效的权限管理,是保证信息安全的重要基础。公钥基础设施PKI向信息使用者和提供者提供了认证功能,但在通过身份认证后,用户可以做什么,或说授权领域,则没有进一步涉及。为了解决这个问题权限管理基础设施(PMI, Privilege Management Infrastructure)应运而生。PMI的目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制。授权与访问控制密不可分,目前在访问控制领域引起国际上更多关注和研究的是基于角色的访问控制(RBAC,Role-based Access Control)。本文对授权和访问控制领域进行了较为深入的研究,并设计实现了一个基于RBAC的PMI体系。首先结合PMI的基本模型和基于角色访问的特点,提出一种基于角色的授权模型(RBAM, Role-based Authorization Model),实现用户—角色—权限的分配模式。然后结合PKI的身份认证、PMI权限管理和RBAM建立系统的基于角色PMI授权访问体系(RAPMI),描述了RAPMI体系的实现过程。并结合其特点,定义了RAPMI体系的授权访问策略。最后将RAPMI体系应用网上银行领域,给出其应用模型以及现实意义。

丁小明[8]2010年在《基于扩展RBAC模型的钱塘权限管理系统研究与实现》文中认为信息技术的深入应用与飞速发展,使得信息安全问题日益突出,访问控制和权限管理是系统安全体系中的重要环节。论文针对大型分布式系统中权限管理混乱及开发复用费用高等问题,结合国家发改委高技术产业化项目,面向金融证券等高端行业,研制统一的权限管理基础框架—钱塘权限管理服务中间件(JTangPMI),实现了异构安全模型的融合、权限管理、跨域访问控制、安全审计等常用安全服务,提高信息系统的开发效率,简化企业用户的安全管理负担。论文针对经典RBAC(Role-Based Access Control基于角色的访问控制)模型在复杂应用系统中操作繁琐以及难以映射组织结构等不足之处,提出了支持角色双向继承的约束RBAC模型,通过虚拟角色层次结构及其约束关系,该模型可以增强系统安全访问,并提供更灵活的授权机制;同时针对分布式环境中授权决策通常要考虑不同的上下文环境信息等特点,我们定义了上下文约束来增强模型功能。针对现有PMI(Privilege Management Infrastructure权限管理基础设施)系统对分布式应用及跨域授权管理支持不足等问题,论文提出了改进的分布式PMI框架,该框架基于本文提出的约束RBAC模型,同时设计了基于NACML的JTangPMI授权策略,定义了策略的结构,并研究了基于策略的访问控制流程。文章还对SOD(Separation Of Duty责任分离)约束条件下的授权冲突情况进行详细分析,并给出了相应的冲突检测方法;同时设计了本文的约束RBAC模型的访问控制关键算法。最后,介绍钱塘权限管理服务中间件系统的设计和实现,并在恒生电子证券交易系统中得到了应用验证。

陈涛[9]2004年在《权限管理基础设施PMI的设计与实现》文中提出随着网络信息技术飞速发展,互联网已经成为人类社会的重要组成部分。在Internet 之上,一个虚拟的社会正在成熟壮大。网络技术和设施的日臻完善,为这个虚拟社会提供了技术和硬件支撑。随着Internet 的普及,网络应用尤其是电子商务和电子政务开始成为重要的网上活动,网络安全因其在网络应用中的重要性,日益成为一个不容忽视的问题。人们需要在网络中提供和鉴别身份和权限信息,以保证网络交互的安全。然而在网络中的虚拟社会,个人或者机构想要证明自己的身份和权限却并非易事。公钥管理基础设施PKI(Public Key Infrastructure)模仿现实社会中的第叁方认证体系成为网上的第叁方认证体系。PKI 以公钥证书为载体,较好地解决了网络中的信任问题,并且可以同时记录用户的身份信息和权限信息。然而在PKI 的实际应用过程中,人们发现身份和权限有很多不相同的属性,尤其体现在有效期上。权限由于不同的环境会经常变化,而身份则相对固定。将二者绑定到一个证书上不仅不利于对身份和权限的有效管理,而且证书需要频繁更新,也给签证机关带来很大的工作量。PKI 系统中身份的持久性与用户权限的短暂性之间的矛盾随着网络应用的深入日益显着。2000 年X.509 协议第四版提出的权限管理基础设施PMI(Privilege Management Infrastructure)以PKI 和基于角色的访问控制技术RBAC(Role based Access Control)为主要技术基础,以属性证书为载体,不但解决了PKI 系统中身份持久性与用户权限短暂性之间的根本矛盾,同时也弥补了RBAC 技术缺乏对权限生命周期管理的缺陷。本文对PMI 的模型、原理和体系结构以及X.509 属性证书框架进行了深入分析研究,并在此基础上提出了基于角色授权模型的PMI 原型——MyPMI 的设计与实现方案,MyPMI 以IETF(Internet 工程任务组)发布的RFC(Request For Comment)规范为设计时基本的指导规范,采取基本遵循RFC 规范中提出的标准,最大限度地缩减PMI 的功能,借鉴实验室已有的比较稳定的PKI 和RBAC 的开发成果和经验,最大限度实现代码重用,尽量减少开发强度和开发量的技术路线,实现了PMI 原型的基本功能,为PMI 的研究和实现提供宝贵的经验。

左禾兴[10]2004年在《基于角色的PMI体系研究》文中提出基于X.509数字证书的PKI体系提供了网络计算环境中良好的信任机制,并能提供通用的安全服务如机密性、完整性和不可否认性等。它已经成为信息安全服务的具有普遍性的安全基础设施,它可以为各种网络应用提供强有力的信息安全保障。但PKI仅仅解决了网络中的身份认证,不能满足信息安全中对授权(用户属性信息)的需求。于是,ITU在2000年发布的X.509 V4中提出了基于属性证书(Attribute Certificate,AC)的特权管理基础设施(Privilege Management Infrastructure,PMI),为网络授权指明了研究方向。PMI使用属性证书将用户的身份和属性进行绑定,实现了跨应用、跨系统、跨企业的用户权限管理。但是,PMI只是提供了一种有效的体系结构来管理用户的属性,因此PMI还必须结合现有的访问控制研究成果来定义用户的属性,并通过制定相应的系统安全策略来实现对特定应用的访问控制。在访问控制研究方面,RBAC是近年来发展起来的一种基于角色的访问控制方案,它通过引入角色这个中介,实现了用户与访问许可的逻辑分离,极大的方便了权限管理。RBAC在研究领域、用户和软件厂商中都引起了广泛的关注,被认为是一种比传统的DAC和MAC更普遍适用的访问控制技术。因此作者考虑将RBAC与PMI有机的结合起来,借助RBAC中成熟的角色理论来简化PMI的特权管理,形成RBPMI体系,以此来向应用系统提供全面统一的访问控制和授权服务。本文的第五章详细介绍了作者提出的一个可行的RBPMI模型,对该模型的运行机制作了简要介绍,重点阐述了该模型实现中的关键技术。该模型是作者在深入学习、吸收前人的研究成果的基础上,综合参考X.509和X.812等国际标准后而提出的,具有一定的理论价值和现实意义。该模型吸收了PMI、RBAC和标准访问控制框架ISO 10181-3叁者的优点,可以用来实现网络应用中的授权管理和访问控制。该模型灵活使用了”推”、”拉”两种模式,综合了两者的优点,遵循标准和开放的原则,具有良好的可扩展性和可移植性。该模型的实现过程中主要有以下一些关键问题:证书编解码、证书库设计、授权策略的表达与实现和证书撤销的实现。其中,授权策略的定义是使用PMI应用的最大挑战。作者综合参考了前人的研究成果,具体结合本模型,定义了模型的授权策略,并基于XML实现了这些授权策略。该模型的授权策略具体包含以下几个部分:主体策略(Subject Policy)、SOA策略(SOA Policy)、角色策略(Role Policy)、角色分配策略(Role Assignment Policy)、对象策略(Object Policy)、操作策略(Operation Policy)和对象访问策略(Object Access Policy)。针对每一种策略,本文都给出了XML示例并讨论了策略的管理。对于证书编解<WP=7>码,本文给出了基于DER(Distinguished Encoding Rules)的解决方案,并给出了关键Java代码示例。对于证书库设计,一般有叁种方法:基于文件系统实现、基于数据库实现和基于目录服务实现。由于LDAP(Lightweight Directory Access Protocol)使用简便,它自身带有多种灵活的项目检索、匹配和维护等功能与安全机制,还有众多友好的开发工具,另外它针对大量的访问操作进行了设计与优化,所以本模型中我们采用LDAP目录服务设计证书库。对于证书撤销,本文对证书撤销的两种实现机制CRL和OCSP都给出了解决方案。本文第五章还展示了模型实现后的系统概貌并对该模型的特点进行了总结。文章的最后,对整个课题的研究与实现作了总结,并对进一步的工作方向作了展望。

参考文献:

[1]. 基于角色PMI的电子政务访问授权研究[D]. 陆健龙. 上海交通大学. 2008

[2]. 基于PKI/PMI的认证和授权的研究[D]. 王飞. 华中科技大学. 2006

[3]. JTang分布式权限管理系统研究[D]. 赵亚文. 浙江大学. 2006

[4]. 基于角色的授权管理基础设施PMI的研究与实现[D]. 林海宇. 电子科技大学. 2004

[5]. 基于RBAC的PMI的研究[D]. 潘勇. 湖南大学. 2006

[6]. 基于PKI/PMI的统一认证授权系统的研究与设计[D]. 陈国. 广东工业大学. 2008

[7]. 基于RBAC的PMI体系构建及其应用[D]. 彭亚锋. 西安电子科技大学. 2007

[8]. 基于扩展RBAC模型的钱塘权限管理系统研究与实现[D]. 丁小明. 浙江大学. 2010

[9]. 权限管理基础设施PMI的设计与实现[D]. 陈涛. 电子科技大学. 2004

[10]. 基于角色的PMI体系研究[D]. 左禾兴. 中国地质大学. 2004

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于RBAC的PMI研究与设计
下载Doc文档

猜你喜欢