论文部分内容阅读
随着网络技术的迅速发展信息安全问题日益突出。电子商务、电子政务等系统的发展不但需要保护系统资源不受侵犯,更需要给适当的访问者提供最大化的服务,这就要求系统必须要能够控制:那些访问者能够访问系统的信息,访问者访问的是“什么信息”,访问者对他所访问的数据拥有什么样的“权限”。这涉及到网络安全的重要内容:权限管理与访问控制。 本文提出并实现了基于角色的PMI权限管理系统JIT PMS。该系统用于向用户和应用程序提供授权管理服务与实际应用处理模式相应的、与具体应用系统开发管理无关的授权和访问控制机制,有效地简化具体应用系统的开发与维护,提高系统整体安全级别。 在权限管理系统中,引入了一个重要的概念——RBAC。为了解决大型系统中权限管理的复杂性和安全性问题,人们提出了基于角色的控制模式(RBAC),它的特点通过将一组权限赋予角色,然后对不同的用户分配不同的角色。通过用户所拥有的角色和系统所制定的访问控制策略来对用户的访问做出决策。对于大型应用系统,基于角色的控制模式可以有效减小授权管理的复杂性,降低管理开销,灵活地支持各种不同的安全策略,并对企业的变化有很大的伸缩性;同时权限管理形式与现实世界相近,将授权过程与具体的应用分离。适合分工合作的分权制度。 在权限管理系统中系统引入的另一个重要就是属性证书。属性证书是一种轻量级的数字证书,这种数字证书不包含公钥信息,只包含证书所有人ID、发行证书ID、签名算法、有效期、属性等信息。一般的属性证书的有效期都比较短,到了有效期的日期,证书将会自动失效,从而避免了公钥证书在撤销时的种种弊端。属性证书是标志实体属性信息的一系列数据的集合,它通过一种非常简单的方式支持角色的访问控制(RBAC)。通常的过程是:预先颁发一些定义角色的X.509属性证书,它定义角色的权限;然后再为最终用户颁发一个属性证书,该属性证书里为用户指定一个或多个角色。基于属性所表征的权限、角色及约束等相关语意,属性证书不但可以安全地实现权限的分配和验证,而且还可以方便地实现基于角色的访问控制和代理授权,这使得权限的管理和分配更加高效和灵活。 权限管理基础设施(PMI)是由属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现属性证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书保存权限信息,简洁清晰的实现了基于角色的访问控制。通过对属性证书的生命周期的管理实现对权限生命周期的管理。 JIT PMS权限管理系统主要由四个子系统组成:JIT PMS属性证书签发系统;JIT PMS签发业务管理系统;JIT PMS属性证书注册系统;JIT PMS注册业务管理系统。 JIT PMS属性证书签发系统对权限管理系统的属性权威及证书模板进行管理,是整个属性权威管理系统的主要管理系统。它由属性权威签发服务管理端和属性证书发布服务器组成。AA服务器(属性证书发布服务器),负责所有属性证书的签发和注销。属性证书发布服务器组成JIT PMS属性证书发布服务负责发布由属性权威签发的属性证书及属性证书撤销列表。 JIT PMs签发业务管理系统由属性权威管理终端和属性权威审计终端组成。属性权威管理终端对权限管理系统的属性权威及证书模板进行管理,是整个属性权威管理系统的主要管理系统。该子系统的开发基于B/s模式,签发系统管理员可以在IE浏览器中执行管理操作。属性权威审计终端是属性权威服务器的客户端,对签发系统的日志进行审计。负责对签发系统的操作历史和现状进行及时监查和审计。 JIT PMS注册业务管理系统由属性注册权威管理终端和属性注册权威审计终端组成。属性注册权威管理终端属性注册权威管理终端对权限管理系统的属性注册权威及系统的官员进行管理,是权限管理系统面对应用的主要管理系统。该子系统的开发基于B/S模式,用户可以在lE浏览器中执行管理操作。属性注册权威审计终端,对日志进行审计。负责对属性注册权威服务器的操作历史和现状进行及时监查和审计。 JIT PMS属性证书注册系统由属性注册权威服务和权限管理系统组成。属性注册权威服务是属性证书注册系统中的核心服务,通过该服务能够将有效的申请加入到系统中并经审核确认后向属性签发服务提出签发申请,由属性签发服务为用户签发属性证并发布到公共介质服务上。权限管理系统负责管理用户信息,为用户分配权限形成申请信息。该子系统的开发基于BIS模式,用户可以在lE浏览器中执行管理操作。 llT PMS系统除了基于PMI,RBAC来实现,还采用了XML作为数据存储和数据传输的编码方式。这使得引擎的使用,AA的使用具有语言无关性。策略的制定模块可以采用不同用语言来实现,而不影响引擎的正常使用。另外属性证书的申请模块也可以采用不同的语言来开发,因为属性证书的申请是以XML的编码方式发送的。采用这种发送方式,当申请格式改变时,由于XML编码方式的特殊性,使申请模块的代码改动量也不会很大,减少开发工作量。 llT PMS系统采用组件设计方法,采用UML建模工具进行需求分析和系统设计,本文给出了主要?