移动介质信息安全系统授权策略的研究与应用

摘要

信息安全技术在近年内迅速发展，已经初步形成了一套完整的Internet安全解决方案。访问控制对系统资源的安全性至关重要。PKI系统通过方便灵活的密钥和证书管理方式，为用户建立起一个安全的网络运行环境，为访问控制、保密性、完整性、不可抵赖性等安全机制在系统中的实施奠定了基础。在身份认证的基础上，授权管理基础设施PMI给出了以证书的形式实现的独立于具体系统的用户授权和访问控制系统的框架。它与具体应用系统开发和管理无关，简化了具体应用系统的开发和维护，具有更高的灵活性。X.509标准并没有规定任何类型的标准化授权策略，这些都留给了使用PMI的应用系统。 本研究通过对移动介质信息安全系统的需求分析，给出了系统的用户授权和访问控制系统的框架，包括请求客户端、执行模块、决策模块、权限验证模块以及LDAP目录服务器等。授权策略是系统有效运转的核心。在对移动介质信息安全系统的用户授权和访问控制系统设计中，着重通过对已有授权策略的分析，结合移动介质信息安全系统自身的特点，设计了满足系统特定需求的访问控制系统的授权策略。授权策略包括属性策略、主体策略、角色层次策略、角色分配策略、目标策略、行为策略及目标访问策略，并用XML加以描述。在策略描述中还着重讨论了各种约束在策略中的实现，加强了对资源访问权限的控制。以设计的策略为基础，采用了PMI权限管理的思想，实现了移动介质信息安全系统的用户授权和访问控制系统。并给出了改进后的访问控制系统设计框架，明确了今后的工作方向。