PMI异种访问策略下资源共享的研究

山东大学硕士学位论文PMI异种访问策略下资源共享的研究姓名：赵磊申请学位级别：硕士专业：计算机应用技术指导教师：史清华20070405PMI异种访问策略下资源共享的研究作者：赵磊学位授予单位：山东大学相似文献(10条)1.学位论文赵贵昉P2P网络资源共享中基于信誉的访问控制研究2007传统的Client/Server网络应用模式中服务器的性能瓶颈和单点失效问题制约了网络的发展和资源的充分利用，而P2P(PeertoPeer)对等计算应用模式弥补了这方面的不足，在资源共享、分布式计算、协同工作等方面显示了强大的技术优势，但同时系统也存在着更加复杂的安全问题。本文对P2P网络资源共享中访问控制问题作了深入的研究，目的为了提高用户资源的安全性，同时激励P2P网络中的用户最大程度地提供高质量的共享资源，从而保证整个P2P网络资源共享的良性发展。本文首先介绍了P2P的相关知识和主要的访问控制技术——自主访问控制、强制访问控制和基于角色的访问控制，由于它们都属于静态授权模型，无法满足分布式的、开放的、动态的P2P网络资源共享中访问控制的需求，然后本文提出了基于信誉角色的访问控制模型(TRBAC)，将信誉机制引入访问控制策略，根据用户的信誉度的高低为访问用户进行动态地分配角色，从而简化了用户资源的管理和授权过程，实现了P2P环境中有效的访问控制。本文重点讨论了信誉的量化机制，提出了信任模型和信誉度的计算方法。最后给出了TRBAC模型体系结构和P2P资源共享中的访问控制系统流程图并分析了该模型的优点。2.学位论文王贞伟基于Shibboleth和PERMIS的安全访问控制的研究与实现2006计算机网络能有效地实现资源共享，但资源共享和信息安全是一对矛盾体。随着资源共享的进一步加强，随之而来的信息安全问题也日益突出，而身份认证，权限管理和访问控制又是网络应用安全的三个重要内容。因此它们也成为了当前信息安全领域中的研究热点。许多应用系统都需要分别在这两个方面采取相应的安全措施。随着互联网技术和信息技术的发展，现在的企业应用越来越趋向于分布式的、相互合作的形式，不仅需要跨应用的协作，而且更进一步需要跨业务域的协作，因此，跨域授权和访问控制的问题日益突出。本文基于以上情况，对Shibboleth[5]和PERMIS[21]开源项目研究和分析，应用Shibboleth和PERMIS的整合，实现一个安全的访问控制系统，在WEB应用上提供安全的身份验证和授权管理。Shibboleth使用SAML标准，可以实现单点登录(SSO)和基于属性的安全访问控制。PERMIS是一个基于X.509属性证书的RBAC的PMI。本文提出了一个基于Shibboleth和PERMIS的安全访问控制方案，相信可以在实际企业信息管理系统中得到应用。3.学位论文陕勇面向数字林业平台的访问控制与统一身份认证技术研究2006林业数据处理中，数据密集、计算密集、资源分布、异构等问题制约了行业应用和信息化发展。网格(GRID)是新一代高性能计算环境和信息服务基础设施，能够实现动态跨地域的资源共享和协同工作。数字林业平台(DFP)是基于网格技术提出的实现数字林业的一个技术体系，它包括从信息获取、处理到应用的完整的一个体系结构。DFP的研发，带动了林业系统中传统的数据管理方式的变革，实现了各应用系统间的优势互补、相互协作和资源共享，进一步优化了林业系统数据资源重组的环境。如何保证DFP资源共享环境的安全性，为各应用系统建立良好的资源访问控制机制、建立统一的资源管理站点和用户认证机制，是数字林业平台中的关键问题，对整个DFP的发展有着极其重要的意义。本文通过对网格技术、信息安全技术、数据库技术研究，建立了DFP共享环境的安全控制模型，并最终实现了DFP访问控制与统一身份认证的原型系统。的主要工作为：(1)分析了数字林业平台的基本特征和整个平台的支撑环境；归纳总结了网格安全的支撑技术；分析现有的统一认证系统，讨论了各自的优缺点。(2)针对数字林业平台中资源分布式的特点，根据平台安全访问控制的指导思想，提出了DFP访问控制模型；在一般基于角色的访问控制模型的基础上提出了基于角色的DFP访问控制模型(DFP-RBAC)，清晰地表述了角色之间层次关系；初步分析了DFP-RBAC的实现模式，重点讨论了角色定义和权限配置的实现方法。(3)针对统一身份认证技术的有关问题进行了深入探讨，分析了现有的认证理论和技术特点；提出了统一身份认证技术是一个多技术支持的概念统称；是众多相关技术集成后统一体，并归纳总结了相关技术；提出了本文的重点内容，即统一身份认证系统的体系结构和功能模型。(4)根据角色的网络资源访问控制的理论，以及统一身份认证的体系结构和功能模型实现了本文的原型系统。进一步从安全性的角度，分析总结了网格安全的相关问题：针对WEB安全威胁进行了分析，并提出了相应的对策；针对信息加密的要求，总结了有关的加密服务，提供了MD5算法实现模型。4.会议论文张晓宇.张勤.酆广增IGRS基础协议安全机制分析2007闪联设备间的信息交互是基于（信息设备）智能互联、资源共享与协同服务（IGRS2）基础协议的。安全机制是IGRS基础协议的重要组成部分，它保证了闪联设备之间建立可靠的交互机制，提升了闪联设备间信息交互的安全性能。本文分析了IGRS基础协议中安全机制的应用模式，并且将IGRS基础协议与UPnP3协议在安全性能方面进行了比较。5.学位论文李岩基于信任风险博弈的跨域访问控制设计与实现2009在分布式环境中，各管理域面临大量不认知的主体，随之而来的潜在多变的安全威胁带来了新的安全风险。访问控制机制在保障安全性方面起到举足轻重的作用。然而传统的访问控制机制难以应对多域环境下新的挑战。如何设计适用于多域环境的访问控制机制，在有效支持资源共享与应用协作的同时确保系统安全成为至关重要的问题。br　　本文以分布式系统中多域环境的访问控制作为切入点，提出了一种基于信任风险博弈的跨域访问控制模型，该模型充分考虑了多域环境下大量匿名的外域主体的访问特点以及域间协作，实现跨域访问控制。利用信任管理技术，处理多域环境的不对称性以及网络环境的复杂性；利用风险评估技术，对资源风险进行有效评估与控制；以信任与风险作为输入参数，利用博弈模型作为核心决策模型，根据参数对其进行分析并给出问题最优解，解决了信任评估与风险评估不精确且消耗大量资源、时间、效率等问题。br　　基于上述访问控制模型，本文设计并实现了一个跨域访问控制子系统的原型系统，该系统根据主体的信任证据、请求操作和请求资源，以信任证据和风险配置信息作为输入，进行计算，得到最优解，实现动态授权，并使系统访问控制策略具有自调整能力。对于本文提出并设计的访问控制模型及原型系统，通过仿真模拟程序，进行可靠性和安全性的研究，证明了其能够更好的保护系统安全。6.学位论文杨银辉基于信任机制的资源访问控制技术的研究与实现2006随着计算机性能的提高和网络技术的迅速发展，使得Intemet上汇集了成千上万的计算资源和数据资源，同时，人们也希望更多的资源共享、协同工作和联合计算。P2P技术具有分布式的特性，并且具有充分利用资源的潜能，这使得它在资源共享应用中能发挥巨大作用。P2P网络具有节点高度自治的特点，使得P2P网络中的节点管理和访问控制存在许多安全问题。为了减少和消除由于恶意节点或者不良节点对整个P2P网络的安全和效率隐患的影响，信任机制成为P2P网络中节点访问控制的研究热点。本论文所做的工作是基于P2P网络资源共享系统研究的一部分，主要目的是在资源共享系统中实现安全的访问控制。在研究借鉴国内外信任机制的典型解决方法的基础上，给出了一套包括Peer行为评价，信任信息共享、信任策略三部分的信任机制解决方案。以数理统计、随机过程为理论基础，用概率论的方法来描述信任度，将信任问题归结于时间序列的预报问题，构建了一个基于评价的针对资源共享系统安全访问控制的信任模型。为了保证信任机制评价模块的可靠性，综合应用了贝叶斯统计、平稳序列AR(p)模型以及排队论等较成熟的数学工具进行Peer的评价。为了能高效、安全的共享信任信息，在“基于推荐”的信任机制基础上，加入了新的共享模式和一个公钥发布协议，并设计实现了一个可以保证查询匿名的信任度安全传递的协议。为了实现智能化，适应P2P资源共享系统的特点，给出了基于MD5数字摘要技术的多源下载选择策略，基于灰色系统理论的信任因素权重动态调整算法，以及邻居淘汰策略。分析及仿真表明该模型能有效地减少恶意和不良节点对网络性能的影响，从而实现系统的安全访问控制。最后对论文所做的工作进行总结，提出了不足和未来的工作方向。7.期刊论文马德芳.陈利.李小艳基于角色和上下文感知的网格动态访问控制研究-计算机与数字工程2007,35(8)网格要达到资源共享的目的,就必须解决资源的访问控制问题.传统的RBAC并不能很好的适应网格环境下的访问控制,所以必须扩展RBAC.简单介绍RBAC,分析RBAC在网格环境中的不足,提出基于角色和上下文感知的动态网格访问控制研究模型,并做了形式化描述.8.学位论文何亚光基于KDC和PMI的访问控制框架及其应用2005计算机网络可以有效地实现资源共享，但资源共享和信息安全是一对矛盾。随着资源共享的进一步加强，随之而来的信息安全问题也日益突出。传统的访问控制应用中，没有统一的身份认证和访问控制机制，各应用系统通过各自一套用户名和口令来进行认证。对权限的控制是每个应用系统分别进行的，不同的应用系统分别针对保护的资源进行权限的管理和控制。对于这种以用户名+口令的保护方式，可以通过对网络上信息的监听等手段来得到用户名及口令。对不同的应用系统分别针对保护的资源进行权限的管理和控制的方式，会造成权限管理混乱，并带来不安全因素。MIT提出的Kerberos的方案，在基于传统密钥的基础上，实现了统一的身份认证及授权。具有效率高，单点登录等优点。但这种身份认证及授权的统一实现，不利于扩展；同时在授权的粒度上Kerberos方案只能控制到对应用服务器的访问控制上，对应用服务器上的内容无法实现细粒度的访问控制。ITU提出的X．509V4标准中，提出了基于PKI(公钥基础设施)的PMI(权限管理基础设施)，通过公钥证书实现用户的身份认证；通过属性证书的管理实现用户权限的统一管理。这种基于PKI建立的PMI，建设成本高，管理复杂，同时公钥体制还存在着运算效率低等特点，并不适用于中小企业的信息化建设。针对当前应用的多样性和扩展性，以上几种框架都在某种程度上不能满足安全和应用需求。本文提出了以传统密钥为基础，基于KDC(密钥分发中心)和PMI的一种访问控制框架，实现统一的身份认证与密钥分发、授权与访问控制。通过KDC实现用户基于密钥共享的身份认证，通过对用户的属性证书的管理实现用户的授权访问，可以方便灵活地实现网络资源的安全访问控制。并给出了在此安全框架下的基于WEB的CRM应用。9.学位论文任河制造资源重组中的访问控制与统一身份认证技术的研究2004该文顺应制造资源重组的变革趋势,通过对网络技术、信息安全技术、人工智能技术、数据库技术研究,建立联盟资源共享环境的安全控制模型,并最终实现联盟资源安全与统一身份认证的原型系统.该文的主要工作为:1、分析了制造企业动态联盟的基本特征和联盟资源的支撑环境;归纳总结了网络信息安全的支撑技术;分析现有统一认证系统,讨论了各自的优缺点.2、针对制造联盟企业资源分布式的特点,提出了联盟网格(AllianceGrid)的概念;根据联盟网格安全访问控制的指导思想,提出了联盟网格访问控制模型;在一般RBAC模型的基础上提出了基于角色的联盟网格访问控制模型,清晰的表述了角色之间的层次关系;初步分析了AG-RBAC的实现模式,重点讨论了角色定义和权限配置的实现方法.3、针对统一身份认证技术的有关问题进行了深入探讨,分析了现有的认证理论和技术特点;提出了统一身份认证技术是一个多技术支持的概念统称;是众多相关技术集成后统一体,并归纳总结了相关技术;提出