一、基于X.509证书的授权管理中RBAC策略的研究(论文文献综述)
冯中华[1](2012)在《基于RBAC和PKI/PMI的实名制网络访问控制系统设计》文中进行了进一步梳理随着最近十几年互联网和信息技术的迅猛发展,基于计算机网络的应用越来越普及。由于互联网是一个开放的网络,在为我们带来信息共享便利性的同时,也给信息的安全性带来严重的威胁。目前在计算机网络中普遍采用的是TCP/IP协议,最初应用于美国国防系统的内部通信网络,它是基于一个可信的网络应用环境设计,因而技术设计上并未过多的从网络安全方面考虑,在应用到开放性的互联网络环境后,必然会为信息安全带来诸多的安全隐患。访问控制技术作为保证信息安全性一项重要措施,得到了国内外学术界的深入研究和广泛关注,并取得了阶段性的发展与突破。网络信息安全威胁的各种因素中,由于不能对网络访问用户身份的真实性进行认证,对用户访问网络中的共享资源的权限无法进行有效地控制和管理,是导致信息安全隐患的一个重要原因,因此用户身份识别和权限管理是网络访问控制必须解决的首要问题。传统的网络访问控制技术通常是通过用户名加口令方式实现对用户的身份进行识别和访问控制,这种访问控制方式虽然在一定程度上提供了信息的安全性,但安全强度非常弱,通过技术手段能够很容易地实现用户身份伪造,并未彻底解决信息安全中的防身份假冒、抗抵赖等安全问题。随着公钥基础设施PKI和权限管理基础设施PMI等技术的日趋成熟,基于公钥基础设施PKI和权限管理基础设施PMI的信息安全技术在网络安全中日益得到广泛的应用。本文采用公钥基础设施PKI和权限管理基础设施PMI信息安全技术,结合基于角色的访问控制技术RBAC,设计了实名制的网络访问控制系统,采用实名身份认证、基于角色的授权管理和实名访问控制技术,实现了网络空间中的身份认证、权限管理和访问控制。系统采用数字证书方式实现网络用户认证与授权,并在网络访问过程中附带身份标签实现网络实名访问和控制,有效解决了网络访问中的信任和访问控制问题,为构建一个可控制、可信任、可管理、可审计的安全网络环境提供了可行的途径。
赵井渝[2](2012)在《一种单点登录认证模型的设计及应用》文中研究表明随着企业信息化建设的不断发展,企业内部应用系统也不断的增多,而用户使用这些系统需要频繁的进行登录认证,这样不仅影响了用户的工作效率,也给系统带来了许多安全隐患。本文针对这些问题设计了一种单点登录认证模型,来简化用户访问系统资源的过程和提高系统整体的安全性,具有现实的积极意义。论文首先分析了几种常见的单点登录模型,以及与之相关的身份认证机制和授权管理技术,接着根据企业的相关需求提出一种基于PKI/PMI的统一认证授权单点登录模型,并且结合Kerberos票据机制,使该模型具有更广泛的适用性。然后本文对系统进行了总体设计,分析了系统的体系结构、各模块功能以及工作流程,对其中的认证授权服务器进行了详细的设计,并使用BAN逻辑对该模型进行了形式化描述以及安全性分析。论文最后以中国船舶重工集团公司办公自动化系统为项目背景,基于J2EE平台对系统进行了实现,并对其功能、响应效率进行了验证测试,测试结果达到了企业预期目标,目前该系统已正式投入使用
朱兴荣[3](2009)在《数字校园统一安全接入平台的研究》文中研究表明随着信息技术的发展以及网络的普及,大学校园也由传统工作模式迈入数字校园时代。它提高了人们的工作效率和生活质量,但同时由于互联网的开放性和匿名性,也不可避免地带来许多安全隐患。随着数字校园网的逐步深入、应用系统的增加、业务类型的日趋复杂、用户群体的迅速增长和活跃,数字化校园面临的安全和管理问题也日趋突出。因此,一个能够集成校园内所有服务并且具有独立安全的身份认证、访问授权、信息安全传输等功能的数字校园统一安全接入平台就成了当今数字化校园的研究热点。本文是基于校园网络应用环境中各业务应用系统存在的身份认证,访问授权、单点登录和信息的安全传输等问题,提出了一种基于PKI/PMI体系的工作于应用层的统一安全接入平台的模型,并重点对系统模型中的接入认证模块、授权管理模块进行了设计和实现,并对整个安全接入平台的安全性进行了分析。文中首先分析了系统设计和实现的各种相关技术要点。重点对安全接入平台的核心技术PKI公钥基础设施、PMI授权管理基础设施、基于PKI的身份认证技术、基于RBAC访问控制技术及Webservices的应用集成进行了深入的研究。分析了它们的基本原理、关键技术特点以及在实际应用中的优点。然后,以湖南铁道职业技术学院作为案例,进行了校园网现状分析和功能需求分析。从系统模型、组成结构、工作流程等方面给出了统一安全接入平台的总体设计;同时还对安全接入平台的关键点“数字证书接口”进行了设计。接着,应用基于PKI技术原理实现了接入认证模块,解决当前多应用系统中存在的用户身份认证和安全传输问题;应用基于PMI的RBAC基本原理提供了集中授权管理功能,实现了用户基于角色的访问控制,防止非法用户访问授权资源。最后,为实现安全接入平台与原有系统的无缝接合,文章对安全接入平台的资源整合模块也进行了设计;并对安全接入平台的安全性进行了详细的分析。同时对整个系统的设计与实现作了一个总结,提出了今后的发展趋势及主要研究方向。
曾锐[4](2009)在《基于PKI/PMI的中小企业身份认证和授权管理的研究》文中进行了进一步梳理在信息社会中,信息在企事业单位中扮演的角色越来越重要。随着Web服务的广泛应用,如何保护信息资源在Web环境中不被非法访问成为了需要研究的一个重要课题。在当前软硬件环境下,面向应用层的最佳的防范措施就是基于数字证书的公钥基础设施和授权管理基础设施。中小企业在社会经济发展中起着重要作用,由于其规模小、成本低等特点,对信息系统的需求有自已的特点。为此,给出了一个适应中小企业信息资源安全保护需求的解决方案。系统将采用B/S模式,建立起由认证服务器、Web服务器以及客户端(浏览器)组成的中小企业身份认证和授权管理系统,对用户及其行为进行身份认证和权限认证,最后对用户请求返回一个处理结果,合理保障企业信息资源的保密性、完整性和可用性。在中小企业应用软件系统开发的过程中,如何制定一套灵活、适应的访问控制策略是应用软件系统设计的难点所在。将基于规则的角色访问控制框架应用到系统中,并将属性与角色对应规则以及授权冲突解决策略嵌入到系统的访问控制策略中去,实现了对角色的自动分配,并在分配角色发生冲突的时候能够根据访问控制策略进行处理,从而减轻了系统授权管理员的负担。在应用软件系统的应用上,给出了一个适应中小企业身份认证和授权管理需求的原型系统。利用安全套接字层认证技术实现用户与Web服务器的双向认证,并通过解析访问控制策略和存储在目录服务器的用户属性证书,实现对用户的身份认证和访问控制,保证企业的信息资源合法合理利用。最后对原型系统的功能进行了测试,并对不足之处和进一步研究的内容进行了阐述。
李世宇[5](2009)在《基于角色访问控制的应用研究》文中指出在信息高速发展的当今社会,信息安全以及网络安全越来越受到重视。几乎每天都能发现系统的漏洞,每天都在安装漏洞补丁。漏洞的出现使得系统变得脆弱进而容易被攻击、被突破、被控制,加强网络安全建设迫在眉睫,刻不容缓。网络安全标准定义了五个层次的安全服务,即身份认证服务、访问控制服务、数据保密服务、数据完整性服务以及不可否认性服务。本文既是从这五个方面进行考虑,详细的介绍了相关的PKI、PMI以及RBAC的相关技术,重点推介了角色的概念,对于基于角色的访问控制技术的标准和模型进行了讨论,并且给出了一个应用基于角色访问控制技术的网络考试的例子,最后从身份证书和属性证书相结合的角度出发,结合RBAC等最新技术,给出了一个基于角色访问控制的授权管理系统的设计。PKI技术是一种采用公钥密码算法和技术来实现并提供安全服务的具有通用性的安全基础设施,采用证书管理公钥,通过可信的第三方机构CA把用户的公钥和用户的其他信息绑定在一起,从而实现用户在Internet上的身份认证,提供安全可靠的信息处理。PMI与PKI之间存在很多的共同点也有很大的区别,公钥证书主要是用户名及其公钥绑定在一起,对其身份加以认证,属性证书主要表面该用户具有什么样的权限,使用公钥证书认证用户,使用属性证书来标示用户具有那些角色,该用户具有怎样的权限,这样就可以实施有效的访问控制。而为了保证只有授权用户才能访问信息资源,为了解决对资源的访问控制问题,使得访问控制具有安全性、灵活性和多样性,能够满足不同企业或机构的安全访问控制,90年代提出了基于角色的访问控制RBAC(Role Based Access Control),以实现在应用层上对数据进行访问控制。基于角色的访问控制技术主要研究把用户划分成其在组织结构体系中所担当的角色,以减少授权管理的复杂性,降低管理开销和为管理员提供一个比较好的实现复杂安全策略的环境。最后我们给出了一个基于角色访问控制原理,紧密结合PKI和PMI技术的授权管理系统,该管理系统使用身份证书进行身份认证,使用属性证书进行角色控制,可以方便灵活的实现对目标的安全访问控制。在这个系统中,我们将PKI,PMI和RBAC系统的服务器统一放到一个局域网内,通过防火墙和访问控制网关将需要访问资源的用户放在局域网外。由RBAC服务器统一分配PKI,PMI以及WEB服务器,资源服务器的访问权,并且通过在资源服务器和用户之间建立一条安全信道来保证资源传输的过程中不会被人截取和修改。而且我们将资源传输过程中信息加密和信息解密的工作安排在资源服务器上来做,这样就有效的减轻了访问控制网关的压力,而且由于资源服务器并非只有一个,从而也有效的分担了信息传输的压力。其实如果需要,可以将加密服务器也分出来,成为一个单独的模块,在用户和资源服务器之间传输数据的时候首先通过加解密服务器的计算处理。本文最后在总结设计过程中的问题的同时对PKI,PMI,及RBAC将来的发展提出了一点希望。
谭永胜[6](2008)在《基于RB-PMI的虚拟企业访问控制的设计与实现》文中研究说明随着网络技术的飞速发展,以电子政务、电子商务为代表的基于Internet的各种应用正广泛兴起,网络的开放性与信息的安全性之间的矛盾日益变得突出。人们需要在网络中通过信任与授权服务来保证网络交互的安全。如何在PKI基础上结合访问控制机制提供授权服务的安全需求已迫在眉睫,权限管理已成为当前网络信息安全面临的巨大挑战。基于角色的权限管理基础设施PMI(PrivilegeManagement Infrastructure)以PKI技术和RBAC(Role based Access Control,基于角色的访问控制技术)理论为基础,以属性证书为载体,弥补了PKI对授权需求的不足和RBAC技术缺乏对权限生命周期管理的缺陷。本文依据X.509属性证书框架并进行深入分析研究,对PMI的模型和体系结构进行了分析与评价,特别是对PMI的安全策略进行深入的讨论,建议使用XACML作为PMI的授权策略语言,丰富了PMI的授权策略理论,缩小了PMI与应用系统之间的距离。在PMI基础理论研究与分析的基础上,第一,本文设计了一个基于角色的PMI系统总体方案,并实现了该方案的基本模型(RB-PMI)。该模型不但能够实现对用户属性生命周期的有效管理,而且也满足对角色—权限(即授权策略)的管理。第二,在RB-PMI模型的基础上,设计了基于PKI/PMI的应用框架与应用流程。最后,分析了虚拟企业对访问控制的需求,分析了基于RB-PMI的虚拟企业应用系统的改造方式,实现了RB-PMI在IIS 5.0中的Web应用模型。
曾瑶[7](2008)在《跨域授权管理系统的研究与实现》文中研究说明随着办公自动化、电子商务的逐渐深入,政府部门、各单位和企业根据各自的业务需求建立了局域网并开发了各自的应用,而信息化的发展使得这些单域(在同一安全策略管理范围内的局域网)之间实现互连和信息共享的需求越来越迫切。在目前高度动态、异构化、分布式的现代信息系统中,跨越单个管理域的限制,在多个域之间进行安全互操作是一项非常必要的系统需求。然而,原有自主可控的单域网络在与其他网络互连后,如何实现安全可控的开放并保持原有应用的安全,即防止未授权用户访问和使用受保护的资源或服务,实现跨域授权管理,便成为了我们在信息化实施过程中要解决的关键问题之一。本文综合分析了现有的基于授权管理基础设施PMI、属性证书和RBAC的访问控制模型,在公钥基础设施PKI和PMI的基础之上,提出了一种基于角色和属性证书的跨域授权管理系统模型,该模型充分考虑了多域环境下安全策略的制定以及域间的协作,符合分布式系统的实际情况,相比其他分布式授权管理系统模型,具有更强的实用性和安全性。论文详细描述了域内授权管理及域间的角色映射和授权步骤,并从物理结构和逻辑结构两个方面对系统的实现做了详细设计,最后在设定的一个原型环境下对理论模型进行了模拟实现和验证。整个模拟系统的实现具有灵活性、易维护性和可操作性。
马欣[8](2008)在《基于PMI的电子政务访问权限控制的研究与实现》文中进行了进一步梳理电子政务是基于网络技术的综合信息系统,它关系到国家安全和政府工作的正常运转,且涉及到的信息同国家的政策法规息息相关,因此它越来越多的受到网络信息安全的威胁。为了使电子政务中的资源得到最大限度的共享,同时确保电子政务的安全,我们研究了身份认证,授权和访问控制的相关技术,设计并实现了一个提供身份认证,授权和访问控制功能的电子政务安全支撑平台。本文首先介绍了网络信息安全的相关技术,包括公钥基础设施PKI技术,特权管理基础设施PMI以及访问控制技术,并结合PMI和角色的访问控制提出了一个基于PMI的访问控制模型。其次,我们将该模型引入了电子政务应用中,依据该模型,我们设计并实现了省级电子政务安全支撑平台。该平台主要为电子政务平台中的所有应用系统提供身份认证,授权和资源访问控制功能。论文详细论述了省级电子政务安全支撑平台的设计方案,深入讨论了平台中的各个功能子系统的设计。在简要介绍了单点登录子系统和PMI子系统的设计后,重点阐述了统一用户授权管理系统的设计和实现。结合陕西省电子政务中的组织机构、用户、系统资源和角色因素,提出了访问控制策略;并重点介绍了平台中LDAP中的策略存储结构。最后指出了存在的问题和改进方向。
刘晓曦[9](2008)在《基于角色访问控制的PMI系统的研究与架构》文中研究指明当前社会,信息技术伴随着人类社会的发展而不断发展,而因互联网的出现以及越来越多的网络应用,网络中的安全问题也显得日益重要,而在VPN,防火墙,访问控制等各种安全应用中,安全基础设施的重要性也开始凸显。其中,身份认证以及授权管理是网络安全平台的两大核心内容,电子商务,电子政务,网上银行等应用一方面需要确认使用者的身份,另一方面需要确认使用者的访问权限,即对使用者进行访问控制。自20世纪80年代美国学者提出公钥基础设施(PKI)的概念以来,PKI技术已经成为电子商务,电子政务和企业级网络中不可缺少的安全支撑系统。然而随着网络资源的不断丰富,单纯依赖PKI体制无法满足对资源进行访问控制的需要,为了解决该问题ITU-T在2001年发表了X.509 V4,第一次将PMI标准化。PKI/PMI机制从系统和制度的角度,来考虑整个虚拟社会的安全基础。X.509协议中描述PMI为一种基于PKI并承担权限管理功能的框架。在访问控制方面,强制访问控制和自主访问控制是早期访问控制的两种模型,最近发展起来的基于角色访问控制模型支持角色的层次结构,静态责任分离,最小权限集,通过角色将用户与权限联系起来,大大降低了访问控制的复杂性,是一种灵活有效的安全措施。并且,在X.509 V4中描述的PMI模型,把属性证书作为公钥证书的一种扩展。因此,对属性证书及基于角色的访问控制PMI模型的研究势在必行。本文的研究目的是提出一种可行的基于公钥密码体制及基于角色的访问控制的授权管理体制模型,并且提出该体制的实现机制,从而证明基于RBAC的PMI体制是网络安全基础设施的有效解决方案。20世纪80年代美国学者首先提出了公钥基础设施的概念,后来人们意识到单纯依赖PKI技术无法满足对资源进行访问控制的需要,因此ITU-T在2001年发表了X.509 V4将授权管理体系标准化。2003年,美国国家标准委员会将基于角色的访问控制作为国家信息技术标准公布出来,并得到了业界的广泛认同。2002年,Salford大学的David W Chadwick教授提出了基于角色的PMI体系,An X.509Role-based Privilege Management Infrastructure。关于PMI的理论及标准研究已经比较多,目前国外主要的PMI产品包括Entrust的Secure Transaction Platform,Baltimore Technology的Attribute Certificate Server,IBM公司的Secureway,DASCOM(now IBM)的aznAPIcode等。目前国内也有不少科研企事业单位在开展PMI方面的研究,但是缺少具体的应用。本文主要做了如下工作:文章首先对PKI/PMI技术进行分析研究,并建立一个基于角色的访问控制PMI模型,在这个模型中我们将传统的属性证书分离成属性规范证书和属性分配证书,从而降低属性证书管理的复杂度,并针对这个模型,提出一个切实可行的企业级PMI授权管理系统方案。该方案来源于济南得安科技公司的DAPMI授权管理系统的研发—SRQ22授权管理系统,该系统采用PMI权限管理体系结构,系统使用属性分配证书来标识用户的角色,使用属性规范证书来管理角色的权限,属性证书的结构符合X.509v4标准;基于PKI技术之上的SRQ22授权管理系统可以为互联网,特别是电子政务系统构建一个严密的安全体系,充分保证敏感资源访问的可控性与可审计性。文章主要包括以下内容:首先对PKI的基础理论作了细致介绍,包括PKI基础设施的概念,组成结构,所提供的安全服务,PKI在电子商务,电子政务方面的安全应用等;其次,对PMI体系进行了研究主要包括PMI基础设施的概念,PMI系统的组成结构,PMI的一般模型,代理模型,角色模型,重点对角色模型进行了形式化定义及分析;再次,介绍了访问控制模型,首先对强制访问控制和自主访问控制两种访问控制模型进行了概述并分析了他们在实施授权管理时的缺陷,提出基于角色的访问控制模型,并对RBAC的概念进行了详细的描述,以及RBAC模型中的主要操作进行了形式化定义并对RBAC的安全三原则进行了细致的描述;文章还提出了一种基于RBAC的访问控制模型,对该模型的组织架构,属性证书的数据结构和签发过程,访问控制的认证过程进行了分析;文章最后提出了一个可行的企业级授权管理系统,该系统适用于大型企业的安全管理。作者在攻读硕士期间主要科研工作包括DAPMI SRQ22授权管理系统,企业级证书认证系统V3.0(CSP 3.0)。
林智鑫[10](2008)在《跨域访问控制研究》文中进行了进一步梳理随着互联网技术和分布式计算能力的不断进步,处在不同授权体系下的系统对共享资源的需求越来越强烈,用户经常需要跨越不同的授权体系来进行资源访问,因此系统之间的安全互操作就变得极其重要。在互操作过程中,系统既是服务的提供者,也是服务的使用者,因此系统在保护本地资源的同时,必须遵守其它系统的安全规则。但是在分布式环境下进行跨域访问时,由于各域中采用的访问控制机制和安全策略都各不一样,使得安全管理面临更为复杂的情况。因此,如何在确保系统安全的同时,为外域用户提供访问控制成为至关重要的问题。本文的研究重点是为了解决在跨域授权中遇到的这些难题。为此本文采用了三种基于映射的跨域授权理论模型:首先在依据前人研究的基础上本文应用一种基于角色映射的跨域授权模型,该模型只能解决RBAC访问控制系统间的安全互操作;本文接着提出了一种基于用户角色(组)交叉映射的跨域授权模型,该模型解决了ACL与RBAC访问控制系统之间的安全互操作;最后本文在上述两种模型的基础上进行抽象,并首次提出了一种基于属性映射的跨域授权理论模型,它可适用于多种基于主题属性授权的访问控制机之间的安全互操作。在本研究的基础上,研究开发了一套支持跨域授权的访问控制系统,首次提出引入跨域授权中介系统、结合上述跨域授权理论模型以及全局身份管理来实现跨域访问控制。本跨域访问控制系统基于J2EE平台,它包括基本访问控制系统和跨域授权中介系统。基本访问控制系统为本域内的资源和服务提供了集中的授权管理和授权服务。跨域授权中介系统是实现跨域访问控制的桥梁,它保存有全局用户和全局属性并负责为各授权域提供属性映射服务。通过跨域授权中介系统可以支持两种方式的跨域授权,一是将各外域用户的属性映射为目标域可以识别的属性,然后进行授权;二是通过跨域授权中介系统中定义的全局用户和全局属性进行跨域授权。
二、基于X.509证书的授权管理中RBAC策略的研究(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、基于X.509证书的授权管理中RBAC策略的研究(论文提纲范文)
(1)基于RBAC和PKI/PMI的实名制网络访问控制系统设计(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 本课题主要研究内容和工作 |
| 1.4 论文组织结构 |
| 第二章 系统关键技术设计 |
| 2.1 实名访问控制模型 |
| 2.2 实体身份管理和鉴别 |
| 2.3 访问权限管理和鉴权 |
| 2.4 实名网络访问技术 |
| 2.5 本章小结 |
| 第三章 系统总体设计 |
| 3.1 系统组成结构 |
| 3.1.1 系统接口关系 |
| 3.1.2 系统工作原理 |
| 3.2 系统工作流程 |
| 3.2.1 实名认证入网流程 |
| 3.2.2 网络访问控制流程 |
| 3.2.3 实名认证退网流程 |
| 3.3 身份管理服务器 |
| 3.4 授权管理服务器 |
| 3.5 网络访问控制器 |
| 3.6 访问控制客户端 |
| 3.7 本章小结 |
| 第四章 系统模块设计 |
| 4.1 身份管理服务器 |
| 4.1.1 身份证书 CA 服务 |
| 4.1.2 身份证书注册管理 |
| 4.1.3 身份证书存储库 |
| 4.1.4 身份证书服务 |
| 4.2 授权管理服务器 |
| 4.2.1 授权策略制定 |
| 4.2.2 授权策略发布 |
| 4.2.3 属性证书存储库 |
| 4.2.4 属性证书服务 |
| 4.3 网络访问控制器 |
| 4.3.1 实名认证服务 |
| 4.3.2 认证会话管理 |
| 4.3.3 网络访问控制 |
| 4.4 访问控制客户端 |
| 4.4.1 身份认证代理 |
| 4.4.2 网络访问代理 |
| 4.5 本章小结 |
| 第五章 系统主要模块实现 |
| 5.1 身份证书管理服务器 |
| 5.1.1 证书注册管理 |
| 5.1.2 证书 CA 服务 |
| 5.1.3 证书存储库 |
| 5.2 网络访问控制器实现 |
| 5.2.1 终端认证会话表 |
| 5.2.2 实名验证匹配器 |
| 5.2.3 标签验证匹配器 |
| 5.2.4 实名身份认证服务 |
| 5.3 网络访问客户端实现 |
| 5.3.1 身份认证代理 |
| 5.3.2 网络访问代理 |
| 5.4 本章小结 |
| 第六章 系统功能验证 |
| 6.1 测试网络环境 |
| 6.2 系统功能验证 |
| 6.2.1 匿名访问测试 |
| 6.2.2 实名访问测试 |
| 6.2.3 身份假冒测试 |
| 6.3 本章小结 |
| 第七章 结论 |
| 致谢 |
| 参考文献 |
(2)一种单点登录认证模型的设计及应用(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 论文主要工作 |
| 1.4 论文结构 |
| 第二章 相关理论与技术 |
| 2.1 单点登录技术 |
| 2.1.1 理想中的单点登录及现实中的问题 |
| 2.1.2 单点登录的几种模型 |
| 2.2 身份认证技术 |
| 2.2.1 基于 PKI 的身份认证 |
| 2.2.2 基于 Kerberos 协议的身份认证 |
| 2.2.3 基于 UsbKey 的身份认证 |
| 2.3 PMI 授权管理技术 |
| 2.3.1 PMI 功能组成结构 |
| 2.3.2 PMI 授权模型 |
| 2.4 访问控制技术 |
| 2.5 SSL/HTTPS 安全通信协议 |
| 2.6 认证协议的形式化分析方法 |
| 2.7 SAML 技术 |
| 2.8 本章小结 |
| 第三章 系统的总体设计 |
| 3.1 系统概要设计 |
| 3.1.1 需求分析 |
| 3.1.2 概要设计 |
| 3.2 系统总体架构 |
| 3.2.1 设计原则 |
| 3.2.2 模型设计 |
| 3.2.3 体系结构 |
| 3.2.4 流程设计 |
| 3.3 认证授权服务器设计 |
| 3.3.1 模块设计 |
| 3.3.2 管理设计 |
| 3.4 数字证书格式设计 |
| 3.5 系统协议形式化描述 |
| 3.6 系统安全性分析 |
| 3.7 本章小结 |
| 第四章 系统的实现 |
| 4.1 系统基础框架的搭建 |
| 4.1.1 J2EE 应用框架的搭建 |
| 4.1.2 配置 Tomcat 支持 SSL |
| 4.2 认证授权服务器的实现 |
| 4.2.1 JCA 与 JCE |
| 4.2.2 PKI/PMI 基础设施搭建 |
| 4.2.3 身份凭证票据产生模块 |
| 4.2.4 授权凭证票据产生模块 |
| 4.2.5 关键数据库表实现 |
| 4.3 代理模块的实现 |
| 4.3.1 客户端代理的实现 |
| 4.3.2 应用代理的实现 |
| 4.4 RBAC 访问控制实现 |
| 4.4.1 模块化设计 |
| 4.4.2 主要接口/类实现 |
| 4.4.3 数据库表结构 |
| 4.5 本章小结 |
| 第五章 系统案例分析 |
| 5.1 测试环境搭建 |
| 5.2 系统功能测试 |
| 5.3 授权管理测试 |
| 5.4 响应时间测试 |
| 第六章 总结与展望 |
| 6.1 论文总结 |
| 6.2 展望 |
| 致谢 |
| 参考文献 |
| 读研期间研究成果 |
(3)数字校园统一安全接入平台的研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 目录 |
| 第一章 绪论 |
| 1.1 本课题研究的目的和意义 |
| 1.2 课题的主要研究内容 |
| 1.3 论文的结构 |
| 第二章 相关技术的分析与研究 |
| 2.1 PKI公钥基础设施 |
| 2.1.1 PKI的概述 |
| 2.1.2 PKI的安全加密技术 |
| 2.1.3 PKI的数字签名技术 |
| 2.1.4 PKI的公钥证书和LDAP目录服务 |
| 2.1.5 基于PKI身份认证技术 |
| 2.2 PMI授权管理基础设施 |
| 2.2.1 PMI的概述 |
| 2.2.2 PMI与PKI的比较 |
| 2.2.3 PMI体系结构及基本模型 |
| 2.2.4 属性证书及其分发方式 |
| 2.2.5 PMI框架授权管理模式的优点 |
| 2.2.6 PMI基于角色的访问控制技术 |
| 2.3 Web Services技术 |
| 2.4 本章小结 |
| 第三章 数字校园统一安全接入平台的设计 |
| 3.1 校园网现状分析 |
| 3.2 系统的需求分析 |
| 3.3 系统设计的原则 |
| 3.4 系统的总体设计 |
| 3.4.1 系统模型 |
| 3.4.2 组成结构 |
| 3.4.3 工作流程 |
| 3.5 数字证书接口 |
| 3.5.1 数字证书编解码 |
| 3.5.2 数字证书信息读取 |
| 3.5.4 数字证书验证 |
| 3.6 本章小结 |
| 第四章 接入认证模块的设计和实现 |
| 4.1 接入认证模块的体系结构 |
| 4.2 身份认证的设计 |
| 4.3 身份认证的工作流程 |
| 4.4 安全传输的设计 |
| 4.5 接入认证的实现 |
| 4.5.1 登录过程调用的函数 |
| 4.5.2 认证过程调用的函数 |
| 4.5.3 加密、签名与验证调用的函数 |
| 4.6 本章小结 |
| 第五章 授权管理模块的设计和实现 |
| 5.1 授权管理模块体系结构 |
| 5.2 策略管理的设计和实现 |
| 5.2.1 策略管理的流程 |
| 5.2.2 用户角色的划分 |
| 5.2.3 生成角色-权限的映射关系 |
| 5.3 访问控制的设计和实现 |
| 5.3.1 访问控制流程 |
| 5.3.2 获得用户角色 |
| 5.3.3 实现资源的访问控制 |
| 5.4 本章小结 |
| 第六章 资源整合模块设计以及系统安全性分析 |
| 6.1 资源整合模块的设计 |
| 6.2 系统的安全性分析 |
| 6.3 本章小结 |
| 第七章 结束语 |
| 7.1 工作总结 |
| 7.2 研究展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间主要的研究成果 |
(4)基于PKI/PMI的中小企业身份认证和授权管理的研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 课题背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 目前存在的问题 |
| 1.4 主要工作及本文结构 |
| 2 中小企业身份认证和授权管理系统的设计 |
| 2.1 系统的特点和需求分析 |
| 2.2 系统层次结构设计 |
| 2.3 系统功能结构设计 |
| 2.4 系统安全机制设计 |
| 2.5 研究重点与技术难点 |
| 2.6 本章小结 |
| 3 中小企业身份认证和授权管理系统的实现 |
| 3.1 业务处理模块 |
| 3.2 证书的颁发与存储 |
| 3.3 访问控制策略 |
| 3.4 认证模块 |
| 3.5 安全管理模块 |
| 3.6 本章小节 |
| 4 系统测试及结果分析 |
| 4.1 测试环境 |
| 4.2 测试目的 |
| 4.3 测试任务 |
| 4.4 测试步骤与结果分析 |
| 4.5 本章小结 |
| 5 总结与展望 |
| 致谢 |
| 参考文献 |
(5)基于角色访问控制的应用研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 引言 |
| 第一节 研究背景 |
| 第二节 国内外研究发展现状 |
| 第三节 本文主要工作及结构 |
| 第二章 PKI公钥基础设施 |
| 第一节 PKI技术综述 |
| 第二节 PKI的应用 |
| 第三节 PKI的发展 |
| 第四节 本章小结 |
| 第三章 PMI授权管理系统 |
| 第一节 PMI系统综述 |
| 第二节 PKI和PMI的关系 |
| 第三节 PMI授权管理模式、体系及模型 |
| 第四节 PMI基础设施的结构和应用模型 |
| 第五节 属性权威与属性证书 |
| 第六节 本章小结 |
| 第四章 基于角色的访问控制 |
| 第一节 访问控制技术综述 |
| 第二节 传统的访问控制技术 |
| 第三节 基于角色的访问控制技术 |
| 第四节 基于角色访问控制技术的分析 |
| 第五节 访问控制技术的发展 |
| 第六节 本章小结 |
| 第五章 RBAC的一个具体应用 |
| 第一节 引言 |
| 第二节 系统功能描述 |
| 第三节 基于角色的访问控制子模块 |
| 第四节 本章小结 |
| 第六章 基于角色授权管理系统的设计 |
| 第一节 设计目标 |
| 第二节 系统的设计 |
| 一、系统结构 |
| 二、系统工作流程 |
| 第三节 系统的功能设计 |
| 第四节 本章小结 |
| 结束语 |
| 参考文献 |
| 致谢 |
| 学位论文评阅及答辩情况表 |
(6)基于RB-PMI的虚拟企业访问控制的设计与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 引言 |
| 1.1 课题背景 |
| 1.2 论文的主要工作 |
| 1.3 论文的意义 |
| 1.4 论文的章节安排 |
| 第二章 RB-PMI和访问控制相关技术概述 |
| 2.1 访问控制和PMI概述 |
| 2.1.1 访问控制技术概述 |
| 2.1.2 PMI技术概述 |
| 2.2 PMI的体系结构与模型分析 |
| 2.2.1 PMI的基本要素 |
| 2.2.2 委托授权模型 |
| 2.2.3 访问控制模型 |
| 2.2.4 角色模型 |
| 2.3 RB-PMI的主要技术基础 |
| 2.3.1 公钥基础设施概述 |
| 2.3.2 基于角色的访问控制技术概述 |
| 2.3.3 PMI与相关技术的关系 |
| 2.4 PMI中授权策略分析 |
| 2.4.1 SPIF安全策略信息文件 |
| 2.4.2 基于XACML的授权策略 |
| 2.4.3 PMI中的授权策略分析 |
| 第三章 RB-PMI模型的系统总体设计与实现 |
| 3.1 RB-PMI的设计背景与目标 |
| 3.2 RB-PMI总体设计 |
| 3.2.1 RB-PMI体系结构 |
| 3.2.2 属性证书框架 |
| 3.3 RB-PMI属性权威SOA/AA设计 |
| 3.3.1 SOA/AA系统管理模块 |
| 3.3.2 属性管理模块 |
| 3.3.3 策略管理模块 |
| 3.3.4 属性证书签发模块 |
| 3.3.5 证书撤销模块 |
| 3.3.6 证书更新模块 |
| 3.4 RB-PMI的安全策略 |
| 3.5 RB-PMI的属性证书处理 |
| 3.5.1 属性证书编码和解码 |
| 3.5.2 属性证书扩展接口 |
| 3.6 RB-PMI的二次开发接口 |
| 3.7 RB-PMI的LDAP存储设计 |
| 第四章 RB-PMI应用框架及虚拟企业的访问控制实现 |
| 4.1 虚拟企业访问控制需求分析 |
| 4.2 基于RB-PMI的访问控制解决方案概述 |
| 4.2.1 PKI、PMI和应用系统的层次设计 |
| 4.2.2 权限路径处理过程 |
| 4.3 RB-PMI应用框架设计 |
| 4.3.1 系统组成及其应用框架 |
| 4.3.2 PKI/PMI平台部署过程 |
| 4.3.3 基于PKI/PMI平台的访问时序图 |
| 4.3.4 应用网关的设计 |
| 4.4 基于RB-PMI的虚拟企业访问控制实现 |
| 4.4.1 C/S应用的访问控制实现 |
| 4.4.2 B/S应用的访问控制实现 |
| 第五章 总结与展望 |
| 5.1 总结 |
| 5.2 展望 |
| 参考文献 |
| 致谢 |
(7)跨域授权管理系统的研究与实现(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 论文背景和意义 |
| 1.2 国内外研究现状 |
| 1.2.1 分布式访问控制研究现状 |
| 1.2.2 PMI研究及应用现状 |
| 1.3 论文工作 |
| 1.4 论文结构 |
| 2 访问控制和授权管理 |
| 2.1 访问控制的基本概念 |
| 2.2 授权管理的基本概念 |
| 2.3 基于角色的访问控制 |
| 2.3.1 RBAC术语介绍 |
| 2.3.2 RBAC96模型概述 |
| 2.3.3 RBAC的优缺点 |
| 2.4 PMI概述 |
| 2.5 PMI体系结构 |
| 2.6 PKI数字证书 |
| 2.7 PMI属性证书授权机制 |
| 2.8 PMI与PKI的比较 |
| 2.9 小结 |
| 3 跨域授权管理系统模型 |
| 3.1 跨域互操作模型—IRBAC2000的策略框架 |
| 3.1.1 IRBAC2000模型的思想 |
| 3.1.2 域间动态角色映射策略 |
| 3.1.3 域间授权步骤 |
| 3.1.4 IRBAC2000模型的问题 |
| 3.2 跨域授权管理模型CD-RBAC |
| 3.2.1 CD-RBAC模型的总体框架 |
| 3.2.2 CD-RBAC模型实现概述 |
| 3.2.3 CD-RBAC模型的策略管理 |
| 3.3 对改进后模型的分析 |
| 3.4 与已有授权管理系统的集成 |
| 3.5 小结 |
| 4 跨域授权管理系统的总体设计 |
| 4.1 系统总体设计目标 |
| 4.2 系统物理结构设计 |
| 4.3 系统逻辑结构设计 |
| 4.3.1 系统工作流程 |
| 4.3.2 PMI授权管理模块的实现 |
| 4.3.3 代理模块的实现 |
| 4.4 小结 |
| 5 系统实现及测试 |
| 5.1 原型的环境描述 |
| 5.2 系统实现环境 |
| 5.3 属性证书管理系统 |
| 5.4 策略编辑系统 |
| 5.5 访问决策系统 |
| 5.6 系统性能分析 |
| 5.7 小结 |
| 6 结束语 |
| 参考文献 |
| 作者简历 |
| 学位论文数据集 |
(8)基于PMI的电子政务访问权限控制的研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 研究背景 |
| 1.2 课题来源 |
| 1.3 国内外研究现状 |
| 1.4 章节安排 |
| 第2章 特权管理基础设施 |
| 2.1 公钥基础设施PKI |
| 2.1.1 PKI系统概述 |
| 2.1.2 PKI体系构成 |
| 2.2 PMI概述 |
| 2.3 PMI模型 |
| 2.3.1 特权管理模型 |
| 2.3.2 委托模型 |
| 2.3.3 角色模型 |
| 2.3.4 访问控制模型 |
| 2.4 属性证书 |
| 2.4.1 属性证书的定义和格式 |
| 2.4.2 属性证书的获取 |
| 2.4.3 属性证书的存储与撤销 |
| 2.5 目录服务 |
| 2.5.1 目录服务协议 |
| 2.5.2 LDAP模型 |
| 2.5.3 LDAP的特点 |
| 第3章 访问控制技术 |
| 3.1 访问控制和授权的定义 |
| 3.2 传统的访问控制技术 |
| 3.2.1 自主型访问控制 |
| 3.2.2 强制型访问控制 |
| 3.2.3 基于角色的访问控制 |
| 3.3 访问控制抽象模型 |
| 3.4 基于PMI的访问控制模型 |
| 第4章 电子政务安全支撑平台实现方案 |
| 4.1 平台概述 |
| 4.2 平台设计原则 |
| 4.3 平台实现方案 |
| 4.4 平台体系架构 |
| 第5章 电子政务安全支撑平台各功能模块设计 |
| 5.1 单点登陆 |
| 5.1.1 单点登录体系架构 |
| 5.1.2 单点登录系统用例分析 |
| 5.1.3 单点登录系统设计 |
| 5.2 统一用户授权管理 |
| 5.2.1 系统功能需求 |
| 5.2.2 系统架构 |
| 5.2.3 系统实现的技术架构 |
| 5.2.4 系统工作流程 |
| 5.2.5 UUM中的策略定义说明 |
| 5.2.6 系统功能模块设计 |
| 5.2.7 接口设计 |
| 5.2.8 程序设计 |
| 5.3 PMI子系统 |
| 5.3.1 属性证书签发服务设计 |
| 5.3.2 属性证书申请服务设计 |
| 5.3.3 PMI系统属性证书查询接口 |
| 5.4 LDAP存储设计 |
| 5.4.1 机构、用户、职务树 |
| 5.4.2 应用系统功能、角色树 |
| 第6章 论文总结与展望 |
| 致谢 |
| 参考文献 |
(9)基于角色访问控制的PMI系统的研究与架构(论文提纲范文)
| 中文摘要 |
| Abstract |
| 第一章 前言 |
| 第一节.研究背景 |
| 第二节.国内外研究发展现状 |
| 第三节.本文主要工作及内容 |
| 第二章.PKI基础设施 |
| 第一节.PKI系统概述 |
| 第二节.PKI所提供服务 |
| 第三节.PKI的安全应用 |
| 第三章:PMI授权管理系统 |
| 第一节.PMI系统概述 |
| 第二节.PMI系统组成结构 |
| 3.2.1 AA属性权威 |
| 3.2.2 起始授权机构SOA |
| 3.2.3 属性证书注销列表 |
| 第三节.PMI模型 |
| 3.3.1 一般模型: |
| 3.3.2 控制模型: |
| 3.3.3 代理模型: |
| 3.3.4 角色模型: |
| 第四章:基于角色的访问控制 |
| 第一节.术语与定义 |
| 第二节.RBAC参考模型 |
| 4.2.1 RBACO模型 |
| 4.2.2 RBAC1模型 |
| 4.2.3 RBAC2模型 |
| 第三节.主要功能函数的形式化描述 |
| 4.3.1 AddUser |
| 4.3.2 DeleteUser |
| 4.3.3 AddRole |
| 4.3.4 DeleteRole |
| 4.3.5 AssignUser: |
| 4.3.6 DeassignUser |
| 4.3.7 GrantPermission |
| 第四节.RBAC的安全三原则: |
| 第五章:基于角色的PMI模型的架构 |
| 第一节.概述 |
| 第二节.属性证书 |
| 5.2.1 属性证书概述 |
| 5.2.2 属性证书获取方式 |
| 5.2.3 属性证书的存储 |
| 5.2.4 属性证书的撤销 |
| 5.2.5 属性证书委托方式 |
| 第三节.基于角色的PMI模型结构 |
| 第四节.认证过程描述 |
| 第五节.基于角色的PMI系统的授权策略 |
| 5.5.1 XML语言概述 |
| 5.5.2 基于角色的PMI访问控制策略XML描述 |
| 第六章.一个基于RBAC的PMI系统的实现-DAPMI |
| 第一节.系统概述 |
| 第二节.系统结构 |
| 第三节.DAPMI系统特点 |
| 第四节.系统主要功能 |
| 第五节.DAPMI硬件系统及软件系统结构 |
| 6.5.1 硬件系统结构 |
| 6.5.2 软件系统结构 |
| 结束语 |
| 参考文献 |
| 致谢 |
| 攻读学位期间主要科研项目 |
| 学位论文评阅及答辩情况表 |
(10)跨域访问控制研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 课题研究内容 |
| 1.4 本文的组织结构 |
| 第2章 访问控制与跨域授权技术 |
| 2.1 传统的访问控制模型 |
| 2.1.1 自主访问控制 |
| 2.1.2 强制访问控制 |
| 2.2 基于角色的访问控制 |
| 2.2.1 RBAC96模型 |
| 2.2.2 RBAC模型的优点 |
| 2.3 基于属性的访问控制 |
| 2.4 几种访问控制模型间的比较 |
| 2.5 跨域授权 |
| 2.5.1 背景介绍 |
| 2.5.2 跨域授权模型 |
| 2.6 本章小结 |
| 第3章 基于映射的跨域授权模型 |
| 3.1 角色映射模型 |
| 3.2 用户角色(组)交叉映射模型 |
| 3.3 属性映射模型 |
| 3.4 本章小结 |
| 第4章 基本访问控制系统 |
| 4.1 系统总体架构 |
| 4.2 系统实现 |
| 4.2.1 身份与权限信息组织结构 |
| 4.2.2 身份与权限服务器 |
| 4.2.3 身份与权限管理器 |
| 4.2.4 授权决策服务器 |
| 4.3 本章小结 |
| 第5章 跨域访问控制 |
| 5.1 跨域访问控制原理 |
| 5.2 跨域访问控制流程 |
| 5.3 系统实现 |
| 5.3.1 跨域信息查询模块 |
| 5.3.2 跨域授权中介系统 |
| 5.4 应用场景 |
| 5.5 本章小结 |
| 第6章 总结与展望 |
| 6.1 研究工作总结 |
| 6.2 进一步研究方向 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间发表的论文和参与的项目 |
| 附录 |
四、基于X.509证书的授权管理中RBAC策略的研究(论文参考文献)
- [1]基于RBAC和PKI/PMI的实名制网络访问控制系统设计[D]. 冯中华. 电子科技大学, 2012(06)
- [2]一种单点登录认证模型的设计及应用[D]. 赵井渝. 西安电子科技大学, 2012(03)
- [3]数字校园统一安全接入平台的研究[D]. 朱兴荣. 中南大学, 2009(04)
- [4]基于PKI/PMI的中小企业身份认证和授权管理的研究[D]. 曾锐. 华中科技大学, 2009(S2)
- [5]基于角色访问控制的应用研究[D]. 李世宇. 山东大学, 2009(05)
- [6]基于RB-PMI的虚拟企业访问控制的设计与实现[D]. 谭永胜. 复旦大学, 2008(08)
- [7]跨域授权管理系统的研究与实现[D]. 曾瑶. 北京交通大学, 2008(08)
- [8]基于PMI的电子政务访问权限控制的研究与实现[D]. 马欣. 西安建筑科技大学, 2008(09)
- [9]基于角色访问控制的PMI系统的研究与架构[D]. 刘晓曦. 山东大学, 2008(01)
- [10]跨域访问控制研究[D]. 林智鑫. 武汉理工大学, 2008(03)