左禾兴[1]2004年在《基于角色的PMI体系研究》文中认为基于X.509数字证书的PKI体系提供了网络计算环境中良好的信任机制,并能提供通用的安全服务如机密性、完整性和不可否认性等。它已经成为信息安全服务的具有普遍性的安全基础设施,它可以为各种网络应用提供强有力的信息安全保障。但PKI仅仅解决了网络中的身份认证,不能满足信息安全中对授权(用户属性信息)的需求。于是,ITU在2000年发布的X.509 V4中提出了基于属性证书(Attribute Certificate,AC)的特权管理基础设施(Privilege Management Infrastructure,PMI),为网络授权指明了研究方向。PMI使用属性证书将用户的身份和属性进行绑定,实现了跨应用、跨系统、跨企业的用户权限管理。但是,PMI只是提供了一种有效的体系结构来管理用户的属性,因此PMI还必须结合现有的访问控制研究成果来定义用户的属性,并通过制定相应的系统安全策略来实现对特定应用的访问控制。在访问控制研究方面,RBAC是近年来发展起来的一种基于角色的访问控制方案,它通过引入角色这个中介,实现了用户与访问许可的逻辑分离,极大的方便了权限管理。RBAC在研究领域、用户和软件厂商中都引起了广泛的关注,被认为是一种比传统的DAC和MAC更普遍适用的访问控制技术。因此作者考虑将RBAC与PMI有机的结合起来,借助RBAC中成熟的角色理论来简化PMI的特权管理,形成RBPMI体系,以此来向应用系统提供全面统一的访问控制和授权服务。本文的第五章详细介绍了作者提出的一个可行的RBPMI模型,对该模型的运行机制作了简要介绍,重点阐述了该模型实现中的关键技术。该模型是作者在深入学习、吸收前人的研究成果的基础上,综合参考X.509和X.812等国际标准后而提出的,具有一定的理论价值和现实意义。该模型吸收了PMI、RBAC和标准访问控制框架ISO 10181-3叁者的优点,可以用来实现网络应用中的授权管理和访问控制。该模型灵活使用了”推”、”拉”两种模式,综合了两者的优点,遵循标准和开放的原则,具有良好的可扩展性和可移植性。该模型的实现过程中主要有以下一些关键问题:证书编解码、证书库设计、授权策略的表达与实现和证书撤销的实现。其中,授权策略的定义是使用PMI应用的最大挑战。作者综合参考了前人的研究成果,具体结合本模型,定义了模型的授权策略,并基于XML实现了这些授权策略。该模型的授权策略具体包含以下几个部分:主体策略(Subject Policy)、SOA策略(SOA Policy)、角色策略(Role Policy)、角色分配策略(Role Assignment Policy)、对象策略(Object Policy)、操作策略(Operation Policy)和对象访问策略(Object Access Policy)。针对每一种策略,本文都给出了XML示例并讨论了策略的管理。对于证书编解
李涛[2]2007年在《基于PMI的工作流管理系统安全模型和授权策略研究》文中指出工作流是针对工作中具有固定程序的常规活动而提出的一个概念。通过将工作活动分解成定义良好的任务、角色、规则和过程来完成执行和监控,达到提高生产组织水平和工作效率的目的。随着工作流管理系统的发展,安全问题也已经成为工作流管理系统领域非常重要的研究课题。工作流管理系统横跨多个部门,与现有的异构的应用系统互相交错,特别是基于WEB的分布式工作流管理系统部署的更快,地域的跨度更大,如何保证系统的安全性便成为首要问题。工作流白皮书提出了工作流管理系统中基本的安全问题,并对工作流的安全问题进行了阐述。白皮书指出,工作流的基本安全问题包括认证(Authentication)、授权(Authorization)、访问控制(Access Control)、审计(Audit)、数据保密性(Data Privacy)、数据完整性(Data Integrity)、防否认(Non Repudiation)、安全管理(Security Management and Administration)等。在白皮书的基础上,学者不断提出了工作流管理系统的安全模型,其中美国的John A,Miller等在工作流管理系统基本安全问题及其解决方案的基础上提出了工作流的经典安全模型,具有一定的代表性。随着PKI(Public Key Infrastructure,公钥基础设施)和PMI(授权管理基础设施)的发展,以及对工作流管理系统存取控制技术的不断深入,经典的安全模型也存在着改进的空间。本文在对工作流的经典安全模型、PMI授权管理系统和工作流管理系统访问控制技术的研究基础上,将PMI引入到工作流管理系统经典的安全模型中,建立了一个基于PMI的工作流管理系统安全模型,同时将基于角色和任务的访问控制引入到工作流管理系统安全模型的PMI授权策略中,扩展了基于角色的PMI授权策略。在论文的最后,对改进的安全模型进行了初步的实现,验证了模型的合理性。
林海宇[3]2004年在《基于角色的授权管理基础设施PMI的研究与实现》文中研究表明随着网络技术的飞速发展,以电子政务、电子商务为代表的基于Internet的各种应用正广泛兴起,网络的开放性与信息的安全性之间的矛盾日益变得突出。人们需要在网络中通过信任与授权服务来保证网络交互的安全。PKI(Public Key Infrastructure,公钥基础设施)以密码学为理论基础,以公钥证书为载体,较好地解决了网络中的信任问题。随着网络应用的深入,人们迫切需要对各种资源如文件、数据等进行访问控制,对用户的权限进行组织与管理。如何在PKI 基础上结合访问控制机制提供授权服务的安全需求已迫在眉睫,权限管理已成为当前网络信息安全面临的巨大挑战。基于角色的授权管理基础设施PMI(Privilege Management Infrastructure)以PKI 技术和RBAC(Role based Access Control,基于角色的访问控制)为基础,以属性证书为载体,弥补了PKI 技术对授权需求的不足和RBAC 技术缺乏对权限生命周期管理的缺陷。本文对X.509 属性证书框架和PMI 的模型与体系结构进行了较深入的分析与评价。基于X.509 协议和PMI 的基本框架,建立了基于角色的授权管理基础设施PMI 模型。在此基础上提出了PMI 原型设计方案,讨论了架构中证书管理、访问控制和策略管理的一些关键问题。最后在参考PKI 系统基础上,实现了一个原型PMI——RB-PMI,并对其性能进行了简单分析。
谭永胜[4]2008年在《基于RB-PMI的虚拟企业访问控制的设计与实现》文中研究表明随着网络技术的飞速发展,以电子政务、电子商务为代表的基于Internet的各种应用正广泛兴起,网络的开放性与信息的安全性之间的矛盾日益变得突出。人们需要在网络中通过信任与授权服务来保证网络交互的安全。如何在PKI基础上结合访问控制机制提供授权服务的安全需求已迫在眉睫,权限管理已成为当前网络信息安全面临的巨大挑战。基于角色的权限管理基础设施PMI(PrivilegeManagement Infrastructure)以PKI技术和RBAC(Role based Access Control,基于角色的访问控制技术)理论为基础,以属性证书为载体,弥补了PKI对授权需求的不足和RBAC技术缺乏对权限生命周期管理的缺陷。本文依据X.509属性证书框架并进行深入分析研究,对PMI的模型和体系结构进行了分析与评价,特别是对PMI的安全策略进行深入的讨论,建议使用XACML作为PMI的授权策略语言,丰富了PMI的授权策略理论,缩小了PMI与应用系统之间的距离。在PMI基础理论研究与分析的基础上,第一,本文设计了一个基于角色的PMI系统总体方案,并实现了该方案的基本模型(RB-PMI)。该模型不但能够实现对用户属性生命周期的有效管理,而且也满足对角色—权限(即授权策略)的管理。第二,在RB-PMI模型的基础上,设计了基于PKI/PMI的应用框架与应用流程。最后,分析了虚拟企业对访问控制的需求,分析了基于RB-PMI的虚拟企业应用系统的改造方式,实现了RB-PMI在IIS 5.0中的Web应用模型。
谭寒生[5]2003年在《授权管理基础设施PMI的研究及原型设计与实现》文中指出随着Internet的普及,网络应用尤其是电子商务和电子政务开始成为重要的网上活动,网络安全因其在网络应用中的重要性,日益成为一个不容忽视的问题。人们需要在网络中为用户提供身份鉴别和权限信息,以保证网络交互的安全。PKI (Public Key Infrastructures公钥基础设施)以密码学为理论基础,提供身份鉴别、机密性、完整性和不可否认性服务,成为网络应用中信任和授权的源泉。PKI以身份证书为载体,同时记录用户的身份信息和权限信息。然而在PKI的实际应用过程中,人们发现身份和权限有很多不同的属性,尤其在有效期上,权限由于不同的环境会经常变化,而身份则相对固定。将二者绑定到一个证书上不仅不利于对身份和权限的有效管理,而且需要频繁更新证书,给签证机关带来很大的工作量。鉴于以X.509v3为基础的PKI系统中上述身份持久性与用户权限短暂性之间的矛盾日益显着,2000年X.509v4协议提出授权管理基础设施PMI的概念。PMI分离了X.509v3标准中PKI的权限管理功能,提供更为严格、方便和高效的访问控制机制,是一种基于PKI系统之上的、实现访问权限管理的体系。 本文分析了X.509v4的PMI基本框架,在此基础上建立了基于角色委托机制的PMI模型,提出了PMI原型设计方案,并讨论了架构中证书管理、角色管理和策略管理的一些关键问题。最后在参考PKI系统基础上,实现了一个原型PMI——Mini PMI,并对其性能进行了简单分析。 XML作为一种元语言,具有平台无关性、自描述性等重要特征,正成为网络应用不可或缺的数据表示方式。XML可以根据需要定制,使之符合特定要求。目前XML安全性的研究也正如火如荼。本文探讨了安全XML技术在PMI系统中的应用,所设计的PMI系统完全基于XML格式,包括策略、日志以及证书等,使之可以与网络服务框架有机地结合起来,从而保证安全可信网络服务的效率。
赵磊[6]2007年在《PMI异种访问策略下资源共享的研究》文中指出随着信息时代的来临,网络安全已经是人们日益关注的焦点。公开密钥基础设施(PUBLIC KEY INFRASTRUCTURE,简称PKI)是目前网络安全建设的基础与核心,是有效进行电子政务、电子商务安全实施的基本保障。但随着网络中资源种类越来越多,用户角色越来越复杂,人们迫切需要一种更加细粒度化的访问控制技术。而PKI系统中身份和权限不分离,如果一个人同时兼有多种角色,拥有多个权限,就可能拥有多个身份证书。这样,既不利于系统的开发和重用,也不利于系统安全方面的管理。因此,授权管理基础设施PMI应运而生。目前,对PMI技术的研究正成为信息安全领域的热点。其中,授权策略缺乏统一的标准,系统效率不高是研究中遇到的主要问题。轻量级目录访问协议(LDAP)是用于访问X.500的目录服务的,它不会产生目录访问协议(DAP)访问X.500时所需的资源要求。LDAP特别针对那些简单管理程序和浏览器程序,它提供对X.500目录进行简单的读/写交互式访问,同时也是对DAP本身的一种补充。LDAP所采纳的通用模型是客户端针对服务器进行协议操作。在这个模型中,客户端发送协议请求给服务器,描述所需的操作。接着服务器负责在目录中实施所必须的操作。在完成必要的操作之后,服务器返回一个带有结果或出错信息的回应给请求服务的客户。在LDAP的第一版本和第二版本中,并没有说明协议服务器如何提供其它服务器参照给客户机。为了改善性能和分配操作,LDAP第3版允许服务器返回给客户机关于其它服务器的参照,因此服务器减轻了联系其它服务器的工作,改善了操作性能。访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。企业环境中的访问控制策略一般有叁种:自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法(RBAC)。其中,自主式太弱,强制式太强,二者工作量大,不便于管理。基于角色的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显着的两大特征是:1.减小授权管理的复杂性,降低管理开销;2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。全文在介绍PMI、LDAP、RBAC叁种技术的基础上,分析了目前的这叁项技术的特点、优势以及当前的大部分应用都集中于RBAC,而跨越多种访问策略的研究较少的现状,介绍了应用LDAP的PMI系统目前资源共享的方式,在应用这叁项技术的基础上提出了针对安全部门与普通部门(采用异种访问控制策略)资源共享的技术策略方案,该方案中,引进了目前较为通用的授权机制的树型结构,并在该结构的设计中,对于较大规模的PMI系统,提出了“单叉枝树”树型结构的改进方案,该方案以应急为目标,通过建立“单叉枝”的存储备用结构和系统更新时“单叉”树型结构的调整,克服了以往的模型系统更新过程中的效率问题。对于访问过程,通过对“角色”和“用户”多对多的对应关系的分析,提出了对于采用基于用户的访问控制策略的PMI系统为透明的“虚角色”的概念,并阐述了通过双方的LDAP进行认证来建立、应用“虚角色”的方式方法。把该项技术应用于采用异种访问控制策略的PMI系统的资源共享中,可以使资源共享的各方不必改变各自的访问控制策略,而可以进行较为方便的合作。本文通过对于上述技术的进一步细化分析,通过针对其安全性要求较高的应用特点模拟实现,使该项技术成功应用于异种访问控制策略下的PMI系统,使采用不同访问策略的PMI系统可以更加方便安全地进行资源的共享,从而共同合作,完成项目的开发。
陆健龙[7]2008年在《基于角色PMI的电子政务访问授权研究》文中研究说明电子政务系统是供政府和公民使用的信息交流平台,这一平台上流动着各种公开或者保密的信息。PKI能够为电子政务系统提供强有力的信息安全保障,但PKI系统仅仅解决了系统中的身份认证,难以解决在身份认证的基础上的授权问题。2000年国际电信联盟ITU年发布了基于属性证书的特权管理基础设施PMI,这为解决授权指明了研究方向。PMI理论通过属性证书将用户的身份和属性进行绑定,提供了一种有效的体系结构来管理用户的属性和权限。基于角色的访问控制RBAC是受学者关注的一种访问控制机制,它的基本思想是将访问控制权限与“角色”相关联,通过给每个用户分配一个或多个“角色”,对于每个角色,又相应地对角色设定权限,从而建立用户与访问权限之间的联系。RBAC通过管理控制角色,围绕角色制定相应策略来控制用户,极大简化了安全管理,特别适合于电子政务系统这类大规模的授权应用。本文对授权和访问控制领域进行了较为深入的研究,并设计实现了一个基于RBAC的PMI体系。首先结合PMI的基本模型和基于角色访问的特点,提出一种基于PMI的电子政务系统的建设,对其设计方案和系统结构进行了研究,提出了基于PMI平台实现电子政务网授权管理系统的安全应用方案。最后结合PKI的身份认证、PMI权限管理和RBAM建立系统的基于角色PMI授权访问体系(RAPMI),描述了RAPMI体系的实现过程。并结合其特点,定义了RAPMI体系的授权访问策略。最后将RAPMI体系应用吴江电子政务领域,给出其应用模型以及现实意义。最后系统通过测试,证明了切实可行。
彭亚锋[8]2007年在《基于RBAC的PMI体系构建及其应用》文中提出计算机网络是信息社会的基础,它能有效地实现资源共享,但资源共享和信息安全是一对矛盾体。随着资源共享的进一步加强,随之而来的信息安全问题也日益突出,身份认证、权限管理和访问控制是网络安全的重要部分,因此它们成为当前信息安全领域中研究的热点。对用户进行正确辨识并实施有效的权限管理,是保证信息安全的重要基础。公钥基础设施PKI向信息使用者和提供者提供了认证功能,但在通过身份认证后,用户可以做什么,或说授权领域,则没有进一步涉及。为了解决这个问题权限管理基础设施(PMI, Privilege Management Infrastructure)应运而生。PMI的目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制。授权与访问控制密不可分,目前在访问控制领域引起国际上更多关注和研究的是基于角色的访问控制(RBAC,Role-based Access Control)。本文对授权和访问控制领域进行了较为深入的研究,并设计实现了一个基于RBAC的PMI体系。首先结合PMI的基本模型和基于角色访问的特点,提出一种基于角色的授权模型(RBAM, Role-based Authorization Model),实现用户—角色—权限的分配模式。然后结合PKI的身份认证、PMI权限管理和RBAM建立系统的基于角色PMI授权访问体系(RAPMI),描述了RAPMI体系的实现过程。并结合其特点,定义了RAPMI体系的授权访问策略。最后将RAPMI体系应用网上银行领域,给出其应用模型以及现实意义。
刘晓曦[9]2008年在《基于角色访问控制的PMI系统的研究与架构》文中研究说明当前社会,信息技术伴随着人类社会的发展而不断发展,而因互联网的出现以及越来越多的网络应用,网络中的安全问题也显得日益重要,而在VPN,防火墙,访问控制等各种安全应用中,安全基础设施的重要性也开始凸显。其中,身份认证以及授权管理是网络安全平台的两大核心内容,电子商务,电子政务,网上银行等应用一方面需要确认使用者的身份,另一方面需要确认使用者的访问权限,即对使用者进行访问控制。自20世纪80年代美国学者提出公钥基础设施(PKI)的概念以来,PKI技术已经成为电子商务,电子政务和企业级网络中不可缺少的安全支撑系统。然而随着网络资源的不断丰富,单纯依赖PKI体制无法满足对资源进行访问控制的需要,为了解决该问题ITU-T在2001年发表了X.509 V4,第一次将PMI标准化。PKI/PMI机制从系统和制度的角度,来考虑整个虚拟社会的安全基础。X.509协议中描述PMI为一种基于PKI并承担权限管理功能的框架。在访问控制方面,强制访问控制和自主访问控制是早期访问控制的两种模型,最近发展起来的基于角色访问控制模型支持角色的层次结构,静态责任分离,最小权限集,通过角色将用户与权限联系起来,大大降低了访问控制的复杂性,是一种灵活有效的安全措施。并且,在X.509 V4中描述的PMI模型,把属性证书作为公钥证书的一种扩展。因此,对属性证书及基于角色的访问控制PMI模型的研究势在必行。本文的研究目的是提出一种可行的基于公钥密码体制及基于角色的访问控制的授权管理体制模型,并且提出该体制的实现机制,从而证明基于RBAC的PMI体制是网络安全基础设施的有效解决方案。20世纪80年代美国学者首先提出了公钥基础设施的概念,后来人们意识到单纯依赖PKI技术无法满足对资源进行访问控制的需要,因此ITU-T在2001年发表了X.509 V4将授权管理体系标准化。2003年,美国国家标准委员会将基于角色的访问控制作为国家信息技术标准公布出来,并得到了业界的广泛认同。2002年,Salford大学的David W Chadwick教授提出了基于角色的PMI体系,An X.509Role-based Privilege Management Infrastructure。关于PMI的理论及标准研究已经比较多,目前国外主要的PMI产品包括Entrust的Secure Transaction Platform,Baltimore Technology的Attribute Certificate Server,IBM公司的Secureway,DASCOM(now IBM)的aznAPIcode等。目前国内也有不少科研企事业单位在开展PMI方面的研究,但是缺少具体的应用。本文主要做了如下工作:文章首先对PKI/PMI技术进行分析研究,并建立一个基于角色的访问控制PMI模型,在这个模型中我们将传统的属性证书分离成属性规范证书和属性分配证书,从而降低属性证书管理的复杂度,并针对这个模型,提出一个切实可行的企业级PMI授权管理系统方案。该方案来源于济南得安科技公司的DAPMI授权管理系统的研发—SRQ22授权管理系统,该系统采用PMI权限管理体系结构,系统使用属性分配证书来标识用户的角色,使用属性规范证书来管理角色的权限,属性证书的结构符合X.509v4标准;基于PKI技术之上的SRQ22授权管理系统可以为互联网,特别是电子政务系统构建一个严密的安全体系,充分保证敏感资源访问的可控性与可审计性。文章主要包括以下内容:首先对PKI的基础理论作了细致介绍,包括PKI基础设施的概念,组成结构,所提供的安全服务,PKI在电子商务,电子政务方面的安全应用等;其次,对PMI体系进行了研究主要包括PMI基础设施的概念,PMI系统的组成结构,PMI的一般模型,代理模型,角色模型,重点对角色模型进行了形式化定义及分析;再次,介绍了访问控制模型,首先对强制访问控制和自主访问控制两种访问控制模型进行了概述并分析了他们在实施授权管理时的缺陷,提出基于角色的访问控制模型,并对RBAC的概念进行了详细的描述,以及RBAC模型中的主要操作进行了形式化定义并对RBAC的安全叁原则进行了细致的描述;文章还提出了一种基于RBAC的访问控制模型,对该模型的组织架构,属性证书的数据结构和签发过程,访问控制的认证过程进行了分析;文章最后提出了一个可行的企业级授权管理系统,该系统适用于大型企业的安全管理。作者在攻读硕士期间主要科研工作包括DAPMI SRQ22授权管理系统,企业级证书认证系统V3.0(CSP 3.0)。
曾瑶[10]2008年在《跨域授权管理系统的研究与实现》文中研究说明随着办公自动化、电子商务的逐渐深入,政府部门、各单位和企业根据各自的业务需求建立了局域网并开发了各自的应用,而信息化的发展使得这些单域(在同一安全策略管理范围内的局域网)之间实现互连和信息共享的需求越来越迫切。在目前高度动态、异构化、分布式的现代信息系统中,跨越单个管理域的限制,在多个域之间进行安全互操作是一项非常必要的系统需求。然而,原有自主可控的单域网络在与其他网络互连后,如何实现安全可控的开放并保持原有应用的安全,即防止未授权用户访问和使用受保护的资源或服务,实现跨域授权管理,便成为了我们在信息化实施过程中要解决的关键问题之一。本文综合分析了现有的基于授权管理基础设施PMI、属性证书和RBAC的访问控制模型,在公钥基础设施PKI和PMI的基础之上,提出了一种基于角色和属性证书的跨域授权管理系统模型,该模型充分考虑了多域环境下安全策略的制定以及域间的协作,符合分布式系统的实际情况,相比其他分布式授权管理系统模型,具有更强的实用性和安全性。论文详细描述了域内授权管理及域间的角色映射和授权步骤,并从物理结构和逻辑结构两个方面对系统的实现做了详细设计,最后在设定的一个原型环境下对理论模型进行了模拟实现和验证。整个模拟系统的实现具有灵活性、易维护性和可操作性。
参考文献:
[1]. 基于角色的PMI体系研究[D]. 左禾兴. 中国地质大学. 2004
[2]. 基于PMI的工作流管理系统安全模型和授权策略研究[D]. 李涛. 中国海洋大学. 2007
[3]. 基于角色的授权管理基础设施PMI的研究与实现[D]. 林海宇. 电子科技大学. 2004
[4]. 基于RB-PMI的虚拟企业访问控制的设计与实现[D]. 谭永胜. 复旦大学. 2008
[5]. 授权管理基础设施PMI的研究及原型设计与实现[D]. 谭寒生. 电子科技大学. 2003
[6]. PMI异种访问策略下资源共享的研究[D]. 赵磊. 山东大学. 2007
[7]. 基于角色PMI的电子政务访问授权研究[D]. 陆健龙. 上海交通大学. 2008
[8]. 基于RBAC的PMI体系构建及其应用[D]. 彭亚锋. 西安电子科技大学. 2007
[9]. 基于角色访问控制的PMI系统的研究与架构[D]. 刘晓曦. 山东大学. 2008
[10]. 跨域授权管理系统的研究与实现[D]. 曾瑶. 北京交通大学. 2008
标签:计算机软件及计算机应用论文; 工作流论文; 访问控制论文; rbac论文; 工作流管理系统论文; pmi论文; 信息安全论文; 网络模型论文; 用户研究论文; 用户分析论文; 安全证书论文; 网络安全论文; 电子政务论文; pki论文; ldap论文;