基于PMI的访问控制策略研究

电子科技大学硕士学位论文基于PMI的访问控制策略研究姓名：唐玉萍申请学位级别：硕士专业：软件工程指导教师：范明钰;余映20070420基于PMI的访问控制策略研究作者：唐玉萍学位授予单位：电子科技大学相似文献(10条)1.学位论文王婷面向授权管理的动态网页资源描述与搜集技术研究2007为了实现对动态网页资源的细粒度授权与访问控制，从根本上提高Web网页的安全性，首先需要解决资源的搜集与描述问题。全面的描述、精确的搜集以及合理的组织资源能够给授权管理带来诸多方便，同时为细粒度的授权与访问控制奠定基础。本文以授权管理为背景，针对动态网页资源的特殊属性，探讨如何实现对动态网页资源的细粒度描述和搜集，从而为动态网页资源细粒度的访问控制提供解决方法。本文主要工作如下：1.深入系统地分析了动态网页资源管理的研究现状。在研究动态网页开发技术的基础上，对Web网页资源的授权与访问控制问题进行了深入的分析；重点研究了现有的Web网页资源描述和动态网页资源搜集方法，提出了授权管理中动态网页资源管理面临的主要问题。2.从授权与访问控制的角度给出了动态网页资源的全新定义，设计了适合动态网页资源的统一描述方法。基于通用的资源描述框架RDF规范，分别为动态网页和页面元素定义了反映其动态特征和关联关系的描述词汇集。该词汇集充分体现了动态网页资源的层次结构，能够细粒度、全面的描述动态网页资源的特征属性，为灵活、简便的授权和细粒度的访问控制提供支持。3.提出了面向授权管理的动态网页资源搜集系统模型。该模型采用Robot技术遍历动态网页，并通过数据分析和计算获取动态网页的特殊属性。重点研究了网页交互参数、有效动态变化因子集等动态网页特征属性的获取方法。设计了动态网页页面元素的抽取算法，该算法深入网页文件内部获取页面元素的特征属性，为细粒度、全面的动态网页资源管理奠定基础。4.深入研究了本文提出的动态网页资源管理方法在授权与访问控制中的具体应用。基于授权与访问控制中资源标识的需要，提出了一种基于动态变化因子的动态网页资源标识方法，在此基础上给出了动态网页资源访问控制的初步解决方案。应用表明，本文提出的动态网页资源描述方法能够为授权提供方便和更多的灵活性，简化了授权操作，同时为制定高精度、细粒度的授权策略提供支持。动态网页资源标识问题的解决直接为动态网页资源的访问控制问题提供了有效的解决思路和方法。2.期刊论文周宁.沈志宏.吴开超.ZHOUNing.SHENZhi-hong.WUKai-chao访问控制聚合研究-小型微型计算机系统2008,29(11)传统访问控制实现机制在大规模信息系统的权限管理上具有较大的复杂度.本文研究在授权关系表的基础上对访问控制信息的聚合处理以实现授权管理.在用户端、权限端的访问控制聚合分别形成基于角色、基于分组的方法,通过对上述两种方法的对比,分析了访问控制聚合的有效性,并通过实际系统验证了上述结论.研究结果表明,访问控制聚合是解决大型信息系统访问控制的有效方法,基于角色的方法通常能更易于满足系统的安全要求.3.学位论文秦大建集成认证与灵活授权访问控制模型研究及应用2006随着军队物资集中采购规模的不断扩大，越来越多的供应商、各领域的专家、广大的军内外用户加入到我军的物资采购活动中来。军队物资采购不同程度地涉及国家、军队的安全和机密，这要求军队物资采购信息技术平台既能给各类用户提供高效快捷的服务，又要对用户进行有效的管理，还要能够保守军事秘密，这对平台的效率和安全可靠性同时提出了很高的要求，传统的安全机制难以满足需求。本文针对军队物资采购信息技术平台的体系结构特点以及在安全功能方面的特殊要求，分析研究了单点登录的原理、基本实现方法、常用场景模型和典型案例以及传统的访问控制技术，重点研究了安全声明标记语言(SAML)规范、可扩展访问控制标记语言(XACML)规范及二者的关系，还研究分析了现有的集成身份认证和授权访问控制体系结构模型，总结其优势和存在的问题，在此基础上结合平台的实际需求提出并设计了基于SAML和XACML的集成身份认证与灵活授权访问控制的解决方案。本文综合采用SAML的pull模型和push模型实现单点登录。门户站点的集成中心提供身份认证并产生身份认证断言，基于各Web子站点对集成中心的信任，用户凭借集成中心产生的身份认证断言可以无缝地访问各Web子站点上所有被授权的网络资源，而不必重复递交自己的身份信息进行多次登录认证，从而提高其工作效率和平台的安全性。用户在集成中心与Web子站点之间的跳转访问采用puU模型，而在各Web子站点之间的跳转访问采用push模型，这样可以减少Web子站点与集成中心的远程网络传输，不仅缩短响应时间，还可避免集成中心成为网络传输瓶颈。本文通过扩展XACML的访问控制模型实现对服务和资源的细粒度的精确访问控制。利用XACML强大的策略描述能力和适于策略交换的特性，将访问控制策略分为公共策略和本地策略，总部一级数据中心通过定义发布公共策略进行集中授权管理，各二级数据中心结合实际业务对自己拥有的资源定义发布特定的本地访问控制策略。通过策略管理服务实现集中与分布式相结合的灵活授权管理，可实施复杂的特殊访问控制。利用XACML的可扩展性通过定义XACML策略中的义务和功能函数及规则组合算法，允许多个中心共同参与进行联合授权和动态授权，对资源实施细粒度的精确访问控制，从而提高系统安全性和灵活性。本文针对军队物资采购信息技术平台用户身份的复杂性及业务特点，建立用户——角色——权限三者之间多对多的映射关系，并通过集成中心的用户数据库和授权中心的角色／权限库分布部署映射关系，集成中心和授权中心可以根据特定的业务需求分别配置用户／角色和角色／权限映射关系。访问控制决策时授权中心不用远程查旬权限信息，提高了决策效率。本文针对网络负载、延迟影响策略决策效率的问题定义了新的策略获取和更新机制，尽量减少远程的网络传输。本文参照Open-SAML和SuN-XACML实现了该解决方案的部分关键模块。身份认证是访问授权的基础和前提，访问授权是身份认证的目的，利用SAML和XACML的内在联系将两者结合起来形成了一个满足项目需求的完整的安全体系。该方案体系将在军队物资采购信息技术平台的应用实践中进一步完善。4.期刊论文吴开超.沈志宏.周园春.阎保平.WUKai-chao.SHENZhi-hong.ZHOUYuan-chun.YANBao-ping访问控制聚合模型研究-微电子学与计算机2009,26(1)文中在研究授权关系表的基础上,通过对访问控制信息在用户端、权限端的聚合处理,形成基于角色、基于分组的权限管理方法,实现对复杂信息系统的授权管理.文中还对上述两种方法进行了分析对比,并对访问控制聚合的有效性进行了分析.结果表明,访问控制聚合是解决大型复杂信息系统访问控制的有效方法,且基于角色的方法通常更易于满足系统的安全要求.5.会议论文李一鸣.邸德海数字校园平台中混合授权管理模型研究2008目前基于角色的访问控制TheRole-basedAccessControl(RBAC)被广泛用作数字校园平台的统一授权管理模型，但是RBAC对于多个分布式离散应用系统中的复杂角色授权管理问题，存在效率低、不够灵活的弱点。基于属性的访问控制AttributeBasedAccessControl(ABAC)对应用系统的管理灵活，被广泛用丁SAML、XACML中。本文对比研究了RBAC与ABAC两种授权模式，给出了一种结合使用二者长处的数字校园授权模型，并在西安交通大学数字校园中得到良好的应用。6.学位论文金丽娜基于PMI的WebServices访问控制系统的设计与实现2006随着电子商务普及，电子商务环境下的应用不可能再以独立的自成体系的形式存在，必须与其他系统共享信息，包括企业内部的系统、企业内部与企业外部系统，甚至是世界范围的企业机构之间的关联。WebServices开辟了系统共享一个新的途径，WebServices允许不同的应用程序间交互，允许不同机构采用标准的协议共享应用。如何在开放环境中保护资源，并使用最少的努力来实现该目标，是本文的研究方向。PMI(权限管理基础设施)试图为不同的访问控制策略和机制提供一个通用的授权管理和授权服务平台。PMI使用属性证书表示和容纳权限信息，通过管理证书来实现对权限的管理。这种授权管理方法不依赖具体的应用，因此PMI适合各种访问控制策略的授权管理。本文致力于探讨如何在WebServices松散耦合的分布式环境中实施访问控制的问题。现有的基于ACL(访问控制列表)方式的访问控制系统，存在许多的漏洞和不足；为了解决这些问题，本文提出了一个在WebServices分布式环境中具有普适性的基于PMI的访问控制模型，并在此基础上实现了一个基于PMI的统一访问控制判决系统。本文对PMI的各种模型，特别是抽象控制模型进行了分析，也研究了DAC、MAC以及RBAC访问控制策略的优缺点，从而得到几点结论：1.PMI可以和各种访问控制策略集成，但PMI和RBAC更符合现实的需求；2.建立基于PMI的访问控制模型是可行的，这个模型也是可以实现的；3.访问控制判决是可以统一的，也是应该统一的。在此基础上，本文建立了一个适用于WebServices松散耦合分布式应用环境的基于PMI的统一访问控制系统模型，并对其判决模型进行重点分析，然后对实现该模型的各种问题做了探讨并给出了技术方向。论文最后给出了一个基于J2EE架构的，结合RBAC和PMI的统一访问控制判决系统的实现。这个系统具备灵活的授权管理和有效的访问控制，迎合了商用分布式应用的安全需求。7.期刊论文刘胜国.徐志根.刘雁林.王鸣灏.LIUSheng-guo.XUZhi-gen.LIUYan-lin.WANGMing-hao基于审计与访问控制的授权策略研究-计算机工程与设计2006,27(22)对于基于角色的访问控制(RBAC)已经出现大量的研究,作为特权管理设施(PMI)的另一种解决方案基于策略服务器的研究甚少,难点之一是策略协议设计与策略授权管理过于复杂.设计身份认证(CA)策略和授权策略协议,提出了一种新的策略授权模型对数据业务系统进行访问控制和审计,达到了数据的内部安全目的,为PMI参考模型提供研究动力.8.学位论文曾晓莉基于DIS的分布式委托授权与访问控制研究2007近年来，随着网络的飞速发展，分布式环境中的访问控制和授权管理作为信息安全领域的一个重要部分得到了快速发展。公钥基础设施PKI有效地解决了身份认证、数据保密和数据完整性等问题，从信息安全角度很好的回答了“我是谁”，但是对于“我能干什么”这个问题，需要进一步的技术来解决。引入授权管理基础设施PMI能弥补PKI的不足。PMI和基于角色的访问控制技术RBAC相结合，利用属性证书做为用户访问凭证的载体，在分布式环境中的访问控制和授权管理上起到了十分重要的作用。本文综合分析了PMI、属性证书和访问控制技术，研究了PERMISPMI项目的委托授权发布服务(DelegationIssuingService，DIS)组件，然后分析了现有分布式环境中委托授权技术的优缺点。在此基础上，扩展DIS组件功能，提出了基于DIS的分布式委托授权与访问控制方案，从委托授权和访问控制两个方面分析了该方案的业务处理流程，总结了该方案在分布式环境中实现分布式协作的优点。最后，从应用角度分析了两个图书馆之间的基于DIS的委托授权原型模型，结合现有的基于XML的授权策略，设计了适合分布式环境中跨域访问的授权管理策略，发布了策略属性证书和基于RBAC的用户角色属性证书两类属性证书，通过Apache服务器实现用户与DIS通信的三层模型，实现了AA委托DIS发布属性证书，分析了PERMISPMIAPI实现访问控制的流程和一些关键类和函数。9.学位论文张炳中基于Web服务授权和访问控制的研究与设计2006本课题来源于《武警部队指挥自动化网保密系统》项目，本课题的目标是：针对武警部队指挥自动化网络的实际，为武警部队指挥自动化网上的各个应用系统提供