4.基于角色的权限管理访问控制系统平台研究与实践

兰州大学硕士学位论文基于角色的权限管理访问控制系统平台研究与实践姓名：李兰崇申请学位级别：硕士专业：计算机技术指导教师：马义忠;孙勋20090501基于角色的权限管理访问控制系统平台研究与实践作者：李兰崇学位授予单位：兰州大学相似文献(10条)1.学位论文杨刚基于PKI+RBAC具有快表特性的权限管理器的设计与实现2005随着计算机网络的普及和发展，网络安全越来越成为人们关注的焦点，成为计算机网络领域的亟待解决和发展的重点。为了加强网络安全，世界各国提出了众多解决方案，PKI等安全体系结构成为其中较为完善和成熟的方案。而为了适应网络应用，特别是适应电子商务和电子政务的发展，权限管理和访问控制已经和网络安全紧密结合，为网络应用提供了坚实的基础和保障。而其中基于角色的访问控制(RBAC)是一种方便、安全、高效的访问控制机制，受到普遍关注。本文在分析了RBAC的基本思想和模型之后，介绍了用户角色分配和角色许可分配的基本方法，并给出了如何在本系统的权限管理器中运用RBAC思想实现权限管理的方法，使该系统具有基于角色的权限管理的功能。PKI是通过使用公共密钥技术和数字证书来确保系统信息安全，负责验证数字证书持有者身份的一种体系。但仅仅做到了认证用户身份不足以满足网络应用，为此，人们在网络权限管理方面又提出了使用属性证书的PMI体系，使权限管理和身份认证紧密结合，拓展了网络应用。本文分析了PKI和PMI的系统组织结构，认识到从PKI向PMI的扩展存在一定的难度，为了将具有PKI功能的系统平稳过渡到PMI系统，本文就提出了一个具有PMI功能的过渡方案，将PKI与RBAC技术相互结合，构建具有角色特性和PKI身份认证的权限管理器。该系统的结构简单，模块分明，实现了大部分信息资源的统一授权，访问控制和权限管理，并利用数字证书和HTTPS协议保证了网络数据的安全传输。该权限管理器可以在原有的PKI系统上实现简单快捷的扩展，使原PKI网站系统能够通过该权限管理器系统过渡到具有PMI属性证书的网站系统。在PKI系统的应用中需要查询证书状态，而OCSP(OnlineCertificateStatusProtocol，即在线证书状态查询协议)使用户可以实时查询用户的证书状态，实现了证书状态在线验证。但由于证书状态验证存在跨CA的多级验证问题，验证的速度和复杂性导致了OCSP的使用有一定的问题，为此本文在原OCSP在线验证的基础上，提出了快表的概念，利用在应用系统端构建快表系统，将OCSP验证本地化，实现身份的快速验证。PKI+RBAC网络系统与快表系统的结合，使身份认证和权限管理功能基本实现了本地化，为网络系统，特别是网站资源权限管理提供了良好的解决方案。2.期刊论文向号.李明.XIANGHao.LIMing基于协同设计的网络安全机制研究-煤矿机械2008,29(6)网络安全是协同设计得以实现和网络发挥效能的重要保证.分析了传统网络协同设计系统框架中的安全隐患,指出了一个完善的网络协同设计系统必须建立自己的安全机制,从信息传输、人员行为等多方面进行防范.提出了集VPN加密传输、基于项目的身份认证和按角色进行权限管理这3项措施于一体的安全防范机制.3.学位论文赵亚文JTang分布式权限管理系统研究2006身份认证和权限管理是网络安全的两个核心内容。公钥基础设施(PKI)通过密钥和证书管理方式建立起来的身份认证技术已经非常成熟，但是单独的身份认证技术已经不能完全满足大型企业的安全需求。作为PKI的重要完善和补充，权限管理基础设施(PMI)可提供安全可靠的权限管理服务。论文针对现有权限管理系统在实际应用中出现的模型柔性差、互操作性不高以及性能不能适应企业级应用等问题，结合浙江省科技厅资助的重大科技攻关项目JTang应用服务器，提出一个基于RBAC的权限管理模型JTangPMI，借助RBAC中成熟的角色理论简化PMI的权限管理，为企业应用系统提供了全面统一的访问控制和授权服务。提出了支持权限约束的PMI集群计算技术，实现PMI系统的高可用性和高可靠性，提高海量访问控制并发操作的性能和服务质量。论文分为以下几个部分：第一章，概述权限管理基础设施，介绍权限管理基础设施的背景和应用前景；并阐述当前的发展状况；探讨当前发展中面临的挑战；最后，给出论文的课题背景和主要研究内容。第二章，概述PMI理论体系，给出PMI相关的基本概念，分析了PMI和公钥基础设施(PKI)的关系；并且介绍了PMI的核心部件；然后重点分析PMI中的属性证书框架，最后研究比较了几个现有的同类PMI产品。第三章，结合RBAC成熟的访问控制理论，提出一个跨应用、跨系统、跨企业的分布式PMI模型。先对访问控制技术进行分析，重点研究基于RBAC的JTangPMI模型和模型的体系结构，针对权限分配、授权等核心功能，给出具体的执行流程和设计过程。第四章，为了提高企业级权限管理的性能，提出支持权限约束的PMI集群计算技术。首先，介绍了集群环境下的集中常用负载平衡策略，研究集群计算中的服务高可用性、策略可配置性和出错恢复等几个关键技术的设计；然后给出了权限约束的传递规则来简化约束的操作。第五章，JTangPMI的实现，结合JTang应用服务器的设计，给出JTangPMI的框架设计，详细介绍了重要数据结构的定义和部分核心功能模块的设计。文章最后(第六章)总结了论文的主要工作，并指出了有待进一步研究解决的问题。4.学位论文娄巍Web系统中基于角色的权限管理的研究、设计与应用2008随着计算机网络的普及和企业信息化的不断发展，网络成为企业高效处理信息的重要方式，同时针对企业网络的攻击也越来越频繁，网络安全成为一个倍受关注的问题。基于角色的访问控制(RBAC)由于其特有的优点引起了学术和工业界的广泛关注。基于角色的访问控制是将用户划分成与其职能和职位相符合的角色，根据角色赋予相应操作权限，以减少授权管理的复杂性、降低管理开销和为管理员提供一个比较好的实现复杂安全策略的环境。br　　本文首先对RBAC产生背景、国内外研究动态及其优点进行简单介绍，分析比较访问控制三种主流技术一自主访问控制、强制访问控制、基于角色的访问控制，着重分析比较了基于角色访问控制的几种主要模型和扩展模型。在此基础上，依据RBAC权限管理模型的关键内容，设计并实现了一个较为通用的RBAC权限管理模块，给出了关键接口说明和数据库描述。最后将该RBAC权限管理模块应用于药品销售查询系统，应用结果表明该模块可以成功解决一般的WEB应用系统中的权限管理问题。5.会议论文李超.朱平.秦海权基于PKI和PMI的安全生物认证系统2007随着各种生物识别算法的不断改进,生物认证技术作为一种准确高效的身份认证方法越来越广泛的应用于身份认证的领域.但是目前还没有一种面向开放式网络的通用的生物认证系统。基于X.509(公钥基础设施)的认证机制是开放的互联网络应用最为广泛的身份认证机制之一；利用权限管理基础设施(PMI)进行网络上的权限管理是一种十分有效的方法。为了提高网络中的身份认证和权限管理的,提出了一种通用的基于生物证书的生物认证系统,同时提出了结合PKI、PMI共同实现身份认证和权限管理的系统解决方案。6.学位论文成晨基于PKI的企业网络安全平台2008随着信息和网络技术的迅速发展，网络安全问题越来越重要，如何确保开放环境下企业网络的安全接入和安全管理，成为了网络安全领域研究的难点。本文针对现代企业网络安全实施过程中存在的身份认证，权限管理，安全资源管理三个方面问题进行研究，设计了基于PKI的企业网络安全平台，该平台可以提供安全接入和安全管理的功能。在平台的研究和设计过程中，主要解决了三个方面的关键问题：第一，对于用户身份认证简单、认证方式多样的问题，可以采用X.509强认证协议进行统一认证，但X.509强认证协议在实际应用中存在私钥不安全和用户冒用的问题。为此，本文在X.509强认证协议基础上增加了USBKey和信息绑定机制，使用硬件保证私钥的安全性，信息绑定机制可以确保用户使用的唯一性，提高了X.509强认证协议的实际应用价值和安全性。第二，对于安全系统中权限控制管理重复、权限分配和修改工作量较大的问题，论文提出了一种改进的复合数字证书模型。该模型在标准证书的Extension项中添加权限信息，并融合了基于角色的访问控制技术，利用PKI技术的安全性和基于角色访问控制技术的灵活性，达到身份和权限的统一认证。第三，对于不同的业务系统不能统一管理、管理安全性较低的问题，设计并实现了基于USBkey的安全资源管理模型。基于上述两个方案，在集中式管理模型上加以改进，增加了身份认证、权限管理和加密通信，USBKey作为改进型证书的载体。用户经过认证和授权以后，可以对企业资源的进行管理。用户客户端与管理服务器端的信息是加密传输的，保证信息不会外泄。管理服务器和内网资源服务器之间采用自定义的协议进行通信，客户端的命令经过管理服务器解析后，再以相应的报文格式传递给内网资源服务器，内网资源服务器执行后台程序并返回结果，达到了监控和管理的目的。在系统具体实现的过程中，本文采用改进的X.509强认证协议和改进的复合证书模型实现了安全接入子系统，采用安全资源管理模型实现了安全管理子系统。7.学位论文陈丹丹基于RBAC的权限管理组件的设计与实现2008访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。传统的访问控制已经不能满足日益增长的安全性需求。基于角色的访问控制(RBAC)通过引入角色的概念，将用户映射为在一个组织中的某种角色，将访问权限授权给相应的角色，根据用户在组织内所处的角色进行访问授权与控制，有效整合了传统访问控制技术的优势，又克服了他们的不足，使执行企业保护策略的过程更加灵活，并为管理员提供了一个更好的实现安全政策的环境。本文以RBAC模型为基础，采用Spring框架，结合ibatis技术，设计并实现了一个能提供完整的用户身份认证和集中的应用授权体系的权限管理组件。论文主要工作包括：1.具体分析RBAC模型，结合Spring和ibatis技术在组件开发中的优势，设计了一个通用的、安全的组件应用框架。基于此框架和RBAC模型，对组件功能模块、访问控制和数据库进行详细设计。2.采用Spring框架，结合ibatis技术，开发实现了组件持久层、业务层和控制层。由于Spring与多种框架(例如Struts，JSF)相互整合，业务层提供的接口可以供不同的外部应用程序调用，从而实现组件的通用性。3.基于Spring框架的拦截机制，实现用户身份验证和权限验证。运用信息摘要散列算法(MD5)实现用户登录口令加密传输以防止窃听，并进行数据库口令数据加密保存，实现组件安全机制，有效地完成了访问控制、传输加密、数据库加密的整合。4.结合具体的项目，将权限管理组件应用到某电视台的后台管理系统中。论文设计实现的权限管理组件已成功运用在某电视台后台管理系统中。实践表明，该组件具有通用性好、授权灵活、安全性强的特点。8.学位论文井营权限管理基础设施机制研究2006近年来，权限管理作为安全的一个领域得到快速发展，目前应用和研究的热点集中在基于公钥基础设施PKI(PublicKeyInfrastructure)的权限管理基础设施PMI(PrivilegeManagementInfrastructure)研究。应用PKI的目的是管理密钥并通过公钥算法实现用户身份验证。但通过PKI系统的身份验证仅可以确定用户身份，却不能区分出每个用户的权限到底有多大，这就是PMI产生的一个原因。PMI实际提出了一个新的信息资源保护基础设施，能够系统地建立起对认可用户的授权。但是当用户数量巨大时，PMI对授权用户的验证往往容易出现瓶颈，而且PMI授权策略很容易受具体应用的影响，没有一个统一的标准。通过改进属性证书的格式，采用短有效期和长有效期相结合的属性证书，短有效期属性证书格式简单，采用“推”的方式与验证服务器进行证书交换，长有效期属性证书采用“拉”方式与验证服务器进行证书交