摘要
在信息高速发展的当今社会,信息安全以及网络安全越来越受到重视。几乎每天都能发现系统的漏洞,每天都在安装漏洞补丁。漏洞的出现使得系统变得脆弱进而容易被攻击、被突破、被控制,加强网络安全建设迫在眉睫,刻不容缓。网络安全标准定义了五个层次的安全服务,即身份认证服务、访问控制服务、数据保密服务、数据完整性服务以及不可否认性服务。本文既是从这五个方面进行考虑,详细的介绍了相关的PKI、PMI以及RBAC的相关技术,重点推介了角色的概念,对于基于角色的访问控制技术的标准和模型进行了讨论,并且给出了一个应用基于角色访问控制技术的网络考试的例子,最后从身份证书和属性证书相结合的角度出发,结合RBAC等最新技术,给出了一个基于角色访问控制的授权管理系统的设计。
PKI技术是一种采用公钥密码算法和技术来实现并提供安全服务的具有通用性的安全基础设施,采用证书管理公钥,通过可信的第三方机构CA把用户的公钥和用户的其他信息绑定在一起,从而实现用户在Internet上的身份认证,提供安全可靠的信息处理。PMI与PKI之间存在很多的共同点也有很大的区别,公钥证书主要是用户名及其公钥绑定在一起,对其身份加以认证,属性证书主要表面该用户具有什么样的权限,使用公钥证书认证用户,使用属性证书来标示用户具有那些角色,该用户具有怎样的权限,这样就可以实施有效的访问控制。而为了保证只有授权用户才能访问信息资源,为了解决对资源的访问控制问题,使得访问控制具有安全性、灵活性和多样性,能够满足不同企业或机构的安全访问控制,90年代提出了基于角色的访问控制RBAC(Role Based Access Control),以实现在应用层上对数据进行访问控制。基于角色的访问控制技术主要研究把用户划分成其在组织结构体系中所担当的角色,以减少授权管理的复杂性,降低管理开销和为管理员提供一个比较好的实现复杂安全策略的环境。
最后我们给出了一个基于角色访问控制原理,紧密结合PKI和PMI技术的授权管理系统,该管理系统使用身份证书进行身份认证,使用属性证书进行角色控制,可以方便灵活的实现对目标的安全访问控制。在这个系统中,我们将PKI,PMI和RBAC系统的服务器统一放到一个局域网内,通过防火墙和访问控制网关将需要访问资源的用户放在局域网外。由RBAC服务器统一分配PKI,PMI以及WEB服务器,资源服务器的访问权,并且通过在资源服务器和用户之间建立一条安全信道来保证资源传输的过程中不会被人截取和修改。而且我们将资源传输过程中信息加密和信息解密的工作安排在资源服务器上来做,这样就有效的减轻了访问控制网关的压力,而且由于资源服务器并非只有一个,从而也有效的分担了信息传输的压力。其实如果需要,可以将加密服务器也分出来,成为一个单独的模块,在用户和资源服务器之间传输数据的时候首先通过加解密服务器的计算处理。
本文最后在总结设计过程中的问题的同时对PKI,PMI,及RBAC将来的发展提出了一点希望。
The security of information and network is becoming more and more important as the high speed develop of computer technology.Bugs of the system are found everyday and the packets are developed to make up them. It makes the Operation System more friability, beatable, and broken into. It is urgency to make the information more secure. The standards makes 5 levels of security, ID authentication, Access Control, Information confidential, the integrity of Information and nondeniable service. This paper introduces the technology of PKI, PMI and RBAC especially introduces the defination of the role under the 5 services, and do some research on the standards and models of Access Control. I provide an example of using RBAC which is a test system through the network. At the end, I provide the designation of an application system by using PKI, PMI and the latest technology of RBAC.
PKI is a commonality system providing Security Service by using certificates which contain the public key and user information through the Third Trusted Party CA based on the Public-Key Cryptogrophy algorithm and technology to implement the anthentication on Internet. There are many common ground and differentia between PKI and PMI. Public key certificate is used to anthenticate the users' identity thouth the public key and the users' information. PMI is used to authenticate the users' right so that we can control the assess of the users'. In 1990s, the scientists began to research on RBAC for controlling the information just accessed by user' that allowed to. The primary research of RBAC is how to design the role of the users in the construture to decrease the complexity on authorizing and to decrease the cost on management and to provide an much more simple envirment to implent authorizing.
In this system, we put the server of PKI, PMI, Web, and resource into a LAN by using firewall and Access Control Gate while all the user must be out the lan.All the resource access right include PKI,PMI and WEB are distributed by the server RBAC. And when transmitting resource though the resource server and the users, we must build a secure transmit channel to stop the interceptting and falsification. And we put the encryption and decryption doing on the resource server so that the Access Control Gate should not be too busy. And because the resource server should be more than one, so they can should do the work together. If needed, we can using the server of encryption and decryption so that we can process the resource by the encryption when transmitting the information.
At last, we raise some hope to the PKI,PMI and RBAC by conclution the designation of the system.
引文
[1]David F.Ferraiolo,Ravi Sandhu,Serban Gavrila et al.Proposed NIST Standard for Role-Based Access Control[J].ACM Transactions on Information and System Security,2001,(4):224-274
[2]David.W.Chadwick,An X.509 Role Based Privilege Management Infrastructure.SACMAT'02,June 3-4,2002,Monterey,Califomial,USA.
[3]A.Arsenault,S.Turner.Internet X.509 Public Key Infrastructure:Roadmap.PKIX Working Group.2003,1.
[4]Christoph Ruland,Andreas Friesen."Service by e-Contract" - a security model for authentication,access control and online subscription management in multi-service-multi-provider architectures.Institute for Data Communications Systems,University of SiegenD-57068 Siegen,Germany.
[5]Zoltan Nochta,Peter Ebinger and Sebastian Abeck.PAMINA:A Certificate Based Privilege Management System.University of Karlsruhe,Institute for Telematics,Cooperation and Management IT-Research Group Zirkel 2,76128Karlsruhe,Germany.
[6]Sylvia Osbom,Ravi Sandhu and Qamar Munawer.Configuring Role-Based Access Control to Enforce Mandatory and Discretionary Access Control Policies.ACM Transactions on Information and System Security,Vol.-3,No.2,May 2000,Pages 85-106.
[7]W.A.Jansen.A Revised Model for Role-Based Access Control.NISTIR 6192.July 9,1998
[8]Gail-Joon Ahn,Ravi Sandhu.Role-Based Authorization Constraints Specification.ACM Transactions on Information and System Security,Vol.3,No.4,November 2000,Pages 207-226.
[9]Joon S.Park,Ravi Sandhu,Gail-Joon Ahn.Role-Based Access Control on the Web.ACM Transactions on Information and System Security,Vol.4,No.1,February 2001,Pages 37-71.
[10]W.A.Jansen.Inheritance Propertiles of Role Hierarchies.National Institute of Standards and Technology Gaithersburg,MD 20899,USA
[11]Carlisle Adams,Steve Lloyd著,冯登国等译.公开密钥基础设施--概念、标准和实施[M].北京:人民邮电出版社,2001.
[12]关振胜著.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002.
[13]Andrew Nash,William Duane etc著,张玉清等译.公钥基础设施(PKI)实现和管理电子安全[M].北京:清华大学出版社,2002.
[14]谢冬青,冷健等,PKI原理与技术,北京:清华大学出版社 2004
[15]韩兰胜,洪帆等,基于角色的访问控制中的安全三原则,华中科技大学学报(自然科学版),2006年1月,第34卷第1期
[16]徐兰芳,王飞,实现基于角色访问控制的PMI角色模型,华中科技大学学报(自然科学版),2006年7月,第34卷第7期
[17]张文凯,曹元大,基于PKI/PMI的应用安全平台模型的研究,计算机工程,2004年5月
[18]王雅哲,李大兴基于PMI中间件的资源访问控制方案,计算机工程,2005年5月,第31卷第10期
[19]William Stallings著,崔书昆审校[M].网络安全要素--应用与标准[M].北京:人民邮电出版社,2001.
[20]曾志峰,杨义先.网络安全的发展与研究[J].计算机工程与应用,2000,36(10):1-3.
[21]汪晓茵.一种基于属性证书的安全服务解决方案[J].电子计算机,2001,6:38-41.
[22]齐景嘉,夏丽华,通用考试系统的研究与实现,哈尔滨商业大学学报(自然科学版),2007,23(4):495-497
[23]武伟,魏晓,魏仕民.基于监控服务器的在线考试防作弊方法的研究.2007,28(8):1941-1943
[24]肖国亮,曹佳,“变换卷”方法预防考试作弊之研究.中国考试.2005,1:37-39.
[25]郭慧,李阳明,王丽芬.基于角色和任务的访问控制模型的设计与研究.2006,32(16):143-145
[26]林华.RBAC模型在基于Web新型考试系统中应用的设计.电脑知识与技术.2006,11:118-120
[27]张健,胡成全,孙吉贵等,基于PKI技术的PMI的研究与实现,计算机集成制造系统2005年6月,第11卷第6期
[28]李俊娥,王娟.PKI与PMI联合安全认证系统及其设计[J].计算机应用,2002,22(12):7-9.
[29]李立新等.在基于角色的安全系统中实现强制访问控制[J].小型微型计算机系统,2002,22(7):800-804.
[30]吕宜洪,宋瀚涛,龚圆明.一种改进的角色层次化关系模型及其应用[J].计算机工程与应用.2003.39(5):86-88.
[31]訾小超,张绍莲,茅兵,谢立.访问控制技术的研究和进展[J].计算机科学, 2001,28(7):26-41.
[32]李伟琴,杨亚平.基于角色的访问控制系统[J].电子工程师,2000,26(2),16-21.
[33]尹刚,王怀民,滕猛.基于角色访问控制[J].计算机科学,2002,9:69-71.
[34]朱有产,尹成群等.基于角色的授权管理模式及应用[J].华北电力大学学报,2001,28(3):50-53.
[35]张大江,钱华林.一个利用数字证书实现的RBAC模型[J].小型微型计算机系统,2001,22(8):936-939.
[36]苗雪兰.一种基于角色的授权管理安全模型的研究与实现[J].计算机工程,2002,28(9):96-97.
[37]王刚,宋执环.一种基于组、角色的文档访问控制模型[J].计算机工程,2002,28(9):113-115.
[38]孟桂娥,董玮文,杨宇航.公钥基础设施PKI的设计[J].计算机工程,2001,27(6):111-113.
