（计算机应用技术专业论文）基于xml的pmi系统的研究与设计.pdf

山东大学硕士学位论文 捅要 随着信息时代的来临，网络安全已经是人们日益关注的焦点。公开密钥 基础设施( p u b l i ck e yi n f r a s t r u c t u r e ，简称p i e d ) 是目前网络安全建设的基础 与核心，是有效进行电子政务、电子商务安全实施的基本保障但随着网络 中资源种类越来越多，用户角色越来越复杂，人们迫切需要一种更加细粒度 化的访问控制技术而p k i 系统中身份和权限不分离，如果一个人同时兼具 多种角色，拥有多个权限，就可能拥有多个身份证书。这样既不利于系统的 开发和重用，也不利于系统安全方便的管理。因此，授权管理基础设施p m i 应运而生目前，对p m i 技术的研究正成为信息安全领域的热点其中，授 权策略缺乏统一的标准，系统效率不高是研究中遇到的主要问题 x m l 作为w e b 中的另一热点领域正越来越受到人们的关注。x m l 是一 种元语言，具有平台无关性、自描述性等重要特征，正成为网络应用不可或 缺的数据表示方式。x m l 可以根据需要定制，使之符合特定要求。x l v l l 加 密与签名、x k m s ( x m l 密钥管理规范) ，s a m l ( 安全性断言标记语言) ， 以及x a c m l ( 可扩展访问控制标记语言) 等技术的出现大大增强了x m l 在 安全领域内的作用。 本文首先对p m i 体系和x m l 技术做了相关的介绍。然后提出利用x m l 技术改进属性证书。以x m l 代替a s n 1 方式实现证书的编解码，可以充分 利用x m l 的强大优势，更好的与现有的需求和应用相结合将x m l 的数字 签名技术应用于属性证书中，由于不仅可以对整个x m l 文档签名，还可以对 文档中的某些元素签名，因此使得属性证书更加轻量、高效。接着本文通过 对现有访问控制策略( d a c 、m a c 和砒 a c ) 的分析，提出了一种基于条件 的访问控制策略，这种策略充分融合了上述三种策略的优点，并在此基础上 加入时间、地点等通常被忽视的因素，从而使得访问控制粒度更细同时采 用o a s i s ( 结构信息标准化发展组织) 最新提出的x a c m l 语言来描述策略， 使策略具有标准化的优点，便于系统的扩展及不同应用系统之间的沟通，并 具有很好的跨平台性。最后本文对这种改进了的p m i 系统进行了整体的设计 和部分功能的实现，并在实现过程中提出利用l d a p 目录服务器存放证书和 策略，利用t l s s s l 协议保障传输中的安全。在文章的最后部分对模型进行 了总结。对需要进一步改进和扩展的方面进行了分析。 山东大学硕士学位论文 总之，课题的研究重点是探讨利用x m l 安全技术改进p m i 系统，所设 计的p m i 系统完全基于x m l 格式，包括策略、日志以及证书等，使之可以 与网络服务框架有机地结合起来，从而保证安全可信网络服务的效率。 关键词：授权管理基础设施，可扩展标记语言，属性证书，访问控制策略 i i 山东大学硕士学位论文 a b s t r a c t w i t ht h ec o m i n go fi n f o r m a t i o na g e ，n e t w o r ks e c u r i t yh a sc a u g h to u ra t t e n t i o n s p u b l i ck e yi n f r a s t r u c t u r e s ( p k i s ) a r ec o n s i d e r e da st h ec o r ea n df o u n d a t i o nf o r n e t w o r ks e c u r i t y , w h i c he n s u r et h es e c u r i t yo ft h et r a n s m i s s i o na n de x c h a n g ed u r i n g t h ep r o c e s so fe l e c t r i c a lc o m m e r c eo rg o v e r n m e n ta f f a i r l t l lt h ek i n d so fr e s o u r c e s b e c o m i n gm o r ea n dm o r ea b u n d a n t , a n dt h eu s e r s r o l e sm o r ea n dm o r ec o m p l e x ，w e a r es t r o n g l yi nn e e do faf i n e - g r a i n e da c c e s sc o n t r o lt e c h n o l o g y i nt h et r a d i t i o n a l p k i s ，i d e n t i t ya n dp r i v i l e g ea r en o td i s j u n c t i o n i fap e r s o nh a sm a n yr o l e sa n d h o l d sm a n yp r i v i l e g e s ，h em a yh o l dm a n yp k c s n e i t h e ri st h i sg o o df o rt h e s y s t e m sd e v e l o p m e n ta n dr e u s e ，n o rf o ri t ss a f ea n de x p e d i e n ta d m i n i s t r a t i o n s s o t h e n , p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ( p m i ) e m e r g e sa st h et i m e sr e q u i r e a n d n o wp m ih a sb e c o m et h eh o tr e s e a r c hd i r e c t i o no ni n f o r m a t i o ns e c u r i t yf i e l d b u t l a c ko fs t a n d a r di np r i v i l e g ep o l i c i e sa n di n e f f i c i e n c ya r et h em a i nq u e s t i o n s x m lh a sb e c o m em o r ea n dm o r ep o p u l a ra sa n o t h e rh o tr e s e a r c hf i e l di nt h e w e b x m l ，a sam e t a - l a n g u a g e ，i sb e c o m i n gt h en e c e s s a r yd a t ad e s c r i p t i o ni n n e t w o r ka p p l i c a t i o n sa si t sp l a t f o r m i n d e p e n d e n c ea n ds e l f - d e s c r i 【p t i o n x m lc a nb e c u s t o m i z e do nd e m a n dt of i tf o rs p e c i a lr e q u i r e m e n t t h ea p p e a r a n c eo fs e c u r ex m l t e c h n o l o g i e s s u c ha sx m le n c r y p t i o na n d s i g n a t u r e ，x k m s ( x m lk e y m a n a g e m e n ts p e c i f i c a t i o n ) ，s a m l ( s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ) a n d x a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ) a r ee n o r m o u s l ye n h a n c e d t l l ex m l se f f e c ti ns e c u r i t yf i e l d s i nt h i sd i s s e r t a t i o n ，t h ea s s o c i a t et e c h n o l o g i e so fp m is y s t e ma n dx m la r e i n t r o d u c e df i r s t l y t h e na ni m p r o v e da c ( a t t f i b m ec e r t i f i c a t e ) b yu s eo f x m li sp u t f o r w a r d c o d i n ga n dd e c o d i n gb yx m l i n s t e a do f a s n 1c a nf u l l yu s et h ea d v a n t a g e o fx m l ，s om u c ht h eb e t t e rm e e tt h en e e do fa p p l i c a t i o n sn o w x m ls i g n a t u r eh a s b e e na p p l i e di na c ，w h i c hc a l ln o to n l yd e a lw i t ht h ec o m p l e t ed o c u m e n t s ，b u ta l s o e v e nt h es i n g l ee l e m e m s t l l i sm a k e st h ea cm o r el i g h t w e i g h ta n dm o r ee f f e c t i v e f o l l o w i n gt h i s ，ac o n d i t i o n b a s e da c c e s sc o n t r o lp o l i c yi sp u tf o r w a r do i la n a l y s i so f t h ea d v a n t a g e sa n d d i s a d v a n t a g e so fd a c ，m a ca n dr b a c ，w h i c ha r e t h e w i d e l y - u s e da c c e s sc o n t r o lp o l i c i e sn o w a d a y s t h i sp o l i c yi n t e g r a t e st h et h r e e i l l 山东大学硕士学位论文 p o l i c i e s f e a t u r e sa n da d d st h eu s u a l l yb e i n gi g n o r e df a c t o r ss u c h 髂t i m ea n ds i t e a n ds oo n , s oi tc a nm a k eam o r ef i n e g r a i n e da c c e s sc o n t r o ls y s t e m i nt h em e 础 l t i m e ，w ed e s c r i b et h ep o l i c yb yx a c m l w h i c hi ss u g g e s t e db yo a s i sr e c e n t l y t h i s m a k et h ep o l i c yh a v et h ea d v a n t a g e so fs t a n d a r d i z a t i o n ，b ee a s yt oe x p a n da n d a s s o c i a t ew i t hd i f f e r e n ts y s t e m sa n dc r o s s - p l a t f o r m a tl a s t , t h ei m p r o v e dp m i s y s t e mb a s e do nt h i sp o l i c yi sd e s i g n e da n dp a r t l yi m p l e m e n t e d i nt h ed e s i g n i n g p r o c e s s ，w es u g g e s tp u t t i n gt h ec e r t i f i c a t e sa n dp o l i c i e si nt h el d a pd i r e c t o r ys e r v e r , t r a n s p o r t i n gi n f o r m a t i o nb yt l s s s lp r o t o c o lt oe n s u r es e c u r i t y i nt h ee n do ft h e d i s s e r t a t i o n , i tg i v e st h es u m m a r yo ft h em o d e la n dt h ea n a l y s i so ff u r t h e r i m p r o v e m e n t i naw o r d h o wt ou s es e c u 聆x m lt e c h n o l o g i e st oi m p r o v et h ep m is y s t e ma r e t h em a i np a r t si nt h i sd i s s e r t a t i o n t h ed e s i g no fp m is y s t e mw eh a v ed o n ea n di t s m a j o rm o d u l e s ，s u c ha sp o l i c y , l o ga n dc e r t i f i c a t ea r ec o n f o r m i n gt o x m lf o r m a t s t h u sw ec a nc o m b i n ei tt on e t w o r ks e r v i c ef r a m e w o r ka n dg u a r a n t e et h ee f f i c i e n c y o f n e t w o r ks e r v i c ew h i c ha r et r u s ta n ds e c u d t y k e y w o r d s ：p m i ，x m l ，a t t r i b u t ec e r t i f i c a t e ，a c c e s sc o n t r o lp o l i c y i v 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本 文的研究作出重要贡献的个人和集体，均已在文中以明确方式标 明。本声明的法律责任由本人承担。 论文作者签名：劣真 日期：型：苎：! 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保留或向国家有 关部门或机构送交论文的复印件和电子舨，允许论文被查阅和借阅；本人授权山东大学 可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：望韭导师签名：烂日期：兰塑蔓丑 山东大学硕士学位论文 1 1 课题研究背景 1 引言 随着社会信息化和网络化程度的提高。信息安全的隐患越来越突出。如 今，整个社会赖以生存的基础设施几乎都是在“和平”的环境中建立起来的， 其显而易见的脆弱性正在引起人们深深的忧虑。网络与信息的安全已经成为 关系国计民生的头等大事。p k i ( 公开密钥基础设施) 在网络安全领域的作用 功不可没，但是，p 只解决了用户“是谁”的问题，却不能区分出每个用 户的权限。为解决这个问题，在保持原来公钥证书传统格式的同时，x 5 0 9 v 3 中引入扩展项来标识用户的权限。而如今，随着网络中的资源越来越多，用 户角色越来越复杂，一个人很可能兼具多种角色，拥有多个权限，从而有的 用户就需要颁发多个身份证书。这样既不利于系统的开发和重用，也不利于 系统安全方便的管理。2 0 0 0 年，i t u 公布了x 5 0 9 的第四版本，在x 5 0 9 v 4 中，提出了p m i ( 授权管理基础设施) ，从而为解决授权问题提出了基本模型 i i 。 权限管理，在过去的五年中作为安全的一个领域得到快速发展，也提出 了几种权限管理方案，如k e r b e r o s ，基于策略服务器方案，但目前应用和研 究的热点集中于基于p k i 的p m i 研究。在p k i 得到较大规模应用以后，人们 已经认识到需要超越当前p k i 提供的身份验证和机密性，步入授权领域，提 供信息环境的权限管理将成为下一个主要目标。p m i 实际提出了一个新的信 息保护基础设施，能够系统地建立起对认可用户的授权。建立在p k i 基础上 的p m i ，对权限管理进行了系统的定义和描述，已经将权限管理研究推到了 应用前沿 目前，国内外对p m i 的研究正如火如荼，其中也产生了不少问题。 在使用x 5 0 9 属性证书进行授权的p m i 系统中需要一个可以配置的授权 安全策略。授权策略定义了用户的特定属性具有哪些访问权限。不幸的是 x 5 0 9 标准并没有标准化任何类型的授权策略，这些都留给了使用p m i 的应 用系统，这是使用p m i 应用的最大挑战【2 】 实现p m i 的最好方式是通过属性证书。但传统实现方式是在每次验证公 钥证书后再验证属性证书，这大大降低了系统效率，并且用来编写属性证书 山东大学硕士学位论文 的a s n 1 的复杂语法也给开发者带来了一定的负担。因此，如何提高p m i 系 统的效率以及开发者的效率也是当前亟待解决的问题。 为了更好地为社会提供服务，不同厂商的p i g 产品需要互连互通如电 力用户要用数字证书到银行去交电费，银行的p i g 就要对电力用户的证书进 行认证( 确认身份) 。通常电力p i g 和银行p 是不同厂商的产品，这就需要 两家p i g 产品能互操作，这需要支持相同的标准，如证书格式及接口规范等。 与此同时，p i g 产品自身的安全性也非常重要，这就需要专门的机构和标准 规范对产品的安全功能和性能进行测评认定因此，标准化就成了p i g 发展 的必然趋势。同样的道理也适用于p m i 中 由于信息安全已上升到国家安全的高度，各国都在制定自己的安全标准 和规范为了加强我国信息安全标准化工作，经国家标准化管理委员会批准， 2 0 0 2 年4 月成立了全国信息安全标准化技术委员会( 编号为t c 2 6 0 ) ，并下设 了若干个工作组。其中p 粗标准的制定由p k i p m i 工作组( w g 4 ) 完成。已 经制定的p 豳标准规范有：基于x 5 0 9 的国内证书格式规范、p k i 组件最小互 操作规范、x 5 0 9 在线证书状态查询协议、x 5 0 9 证书管理协议、p i g 产品的安 全测试认证规范、p i g 系统安全保护等级评估准则、p i g 系统安全保护等级技 术要求等。p j 1 2 课题的提出与意义 本课题是对p m i ( 授权管理基础设施) 的研究，所以首先谈一下安全基 础设施的研究意义。 安全基层设施具有普适性，即它是一个适用于多种环境的框架。这个框 架避免了零碎的、点对点的，特别是没有互操作性的解决方案，引入了可管 理的机制以及跨越多个应用和计算平台的一致安全性。 安全基础设施的主要目标就是实现“应用支撑”的功能。正如电力基础 设施，由于它具有通用型和实用性的特点，各种“应用”( 如电视、电灯) 不 必关心电力系统是如何运作的，只需插入插座即可工作，而且新出现的“应 用”( 如微波炉等) 也同样可以方便的使用，尽管这些“应用”在电力基础设 施设计的时候还没有出现。 由于一个设计和定义良好的基础设施能够带来一致性和方便性等诸多好 处，因此在对基础设施的研究和设计是很有意义的 2 山东大学硕士学位论文 一个好的安全基础设施应当像将电器设备插入墙上的插座一样简单： 1 、具有易于使用、众所周知的界面： 2 、 基础设施提供的服务可预测且有效； 3 、 应用设备无需了解基础设施如何提供服务。 目前最流行的安全基础设施是p k i ( 公开密钥基础设施) ，它主要用于产 生、发布和管理密钥与证书等安全凭证。同样，用于权限管理的安全基础设 施p m 也应该受到足够的重视。 另外，根据i s 0 7 4 9 8 - 2 ，安全服务包括： 鉴别( a u t h e n t i c a t i o n ) ：对通信双方进行身份的认证，它提供了某个 实体的身份保证。 访问控制( a c c e s sc o n t r 0 1 ) ：保护资源以免对其非法使用和操纵。 数据机密性( d a mc o n f i d e n f i f l i t y ) ：保护信息不被泄漏或暴露给非法 授权实体 数据完整性( d a t ai n t e g r i t y ) ：保护数据以防止未授权的更改、删除等 操作。， 不可抵赖性( n o n - r e p u d i a t i o n ) ：防止参与某次通信交换的一方事后否 认本次通信曾经发生过。 因此，对访问控制的研究一直是网络安全领域的重要课题之一而融合 了访问控制与授权管理技术于一身的p m i 体系的研究正是目前这个领域的热 点。 p m i 权限管理和授权服务基础平台应该满足下面的需求： ( 1 ) 作为权限管理和授权服务的基础设施，可以为不同类型的应用提供 授权管理和访问控制的平台支持。 ( 2 ) 平台策略的定制应该灵活，能够根据不同的情况定制出不同的策略 ( 3 ) 平台管理功能的操作应该简单。 ( 4 ) 平台应该具有很好的扩展能力。这种可扩展性是在保持原有系统框 架的前提下，通过增加功能模块、决策标准和定制实施模块等方式实现。 ( 5 ) 平台应该独立于具体应用 为了更好的实现p m i 的上述要求，本文考虑到网络领域内另一个热点研 究对象- x m l ( 可扩展标记语言) 。x m l 被称作w e b 的未来，它作为一个 新兴的技术正在以惊人的速度发展。x m l 世界非常庞大，目前已存在大量不 山东大学硕士学位论文 同的标准和技术，而且还在不断成长很多x m l 技术和工具都非常有用且 功能强大，因此利用x m l 技术来解决p m i 中的问题肯定能够带来意想不到的 收获同时x m l 技术在国外已进入快速发展的时期，而国内相对滞后一些， 所以对x m l 的相关技术进行研究也具有一定的意义。 1 3 课题研究的主要内容及创新 本文首先对体系和技术做了相关介绍，然后提出了一系列改 进方案( 包括属性e v 证a 书机制，x 访m 问l 控制策略等) ，最后结合j 2 e e 技术来设计 实现一个p m i 模型系统。系统采用l d a p 服务器来充当传统的三层结构中的 数据库服务器来存储证书、证书撤销列表以及策略等数据，同时为了保障传 输安全，采用t l s s s l 来建立安全的连接信道。本系统不仅支持更灵活和细 致的访问控制的安全策略，而且系统效率有所提高，同时还具有可扩展性和 规模可变性。主要创新点有： ( 1 ) 利用x m l 技术来改进属性证书，替代传统的a s n 1 方式实现 证书的编解码，并将x m l 的数字签名技术应用于属性证书中( 见第四 章及6 4 5 小节) 这样做的好处是： a ) 可以充分利用x m l 的强大优势，更好的与现有需求和应用相结合。 b ) 由于x m l 数字签名技术不仅可以对整个x m l 文档签名，还可以对 文档中的某些元素签名，所以使得属性证书更加轻量、高效。 c ) 便于使属性证书机制无缝接入到本p m i 系统中 ( 2 ) 提出基于条件的访问控制策略。这种策略充分吸收了现有访问 控制策略( d a c 、m a c 和r b a c ) 的思想，并在此基础上加入时间、地 点等通常被忽视的因素，从而使得访问控制粒度更细。同时采用o a s i s 最新提出的x a c m l 语言来描述策略，使得策略具有标准化的优点，便 于系统的扩展及不同应用系统之间的沟通，并具有很好的跨平台性。同 时这种策略的实现过程还可以极大的提高p m i 的系统效率( 见第五章和 6 4 2 小节) 。 ( 3 ) 实现方式上采用将策略服务器与属性证书相结合的方式。采用 l d a p 服务器存放策略和属性证书以及公钥证书。证书只在需要时被从 服务器上“拉”过来，提高了系统的效率( 主要在2 3 2 、6 _ 3 3 、6 4 5 小节中作了介绍) 。 4 山东大学硕士学位论文 2 1p m i 定义 2 p m i 体系简介 授权管理基础设施p m i ( p r i v i l e g em a n a g e m e n ti l l 鼢t m c t u r e ) 是国家信息 安全基础设施( n a t i o n a li n f o r m a t i o ns e c u r i t yi 曲邪t n l c n 玳，n i s i ) 的一个重要组 成部分，目标是向用户和应用程序提供授权管理服务，提供用户身份到应用 授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发 和管理无关的授权和访问控制机制，极大的简化应用中访问控制和权限管理 系统的开发与维护，并减少管理成本和复杂性【4 】 2 2 p k i 与p m i 公开密钥基础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 是利用公开密钥技术 所构建的、解决网络安全问题的、普遍适用的一种基础设施。1 5 1 其在网络信息 空间的地位与电力基础设施在工业生活中的地位类似。电力系统，通过伸到 用户的标准插座为用户提供能源。p k i 通过延伸到用户本地的接口，为各种 应用提供安全的服务，如认证、身份识别、数字签名，加密等。 但是，在p k i 中只解决了用户“是谁”的问题，却不能区分出每个用户 的权限。而如今一个人很可能兼具多种角色，拥有多个权限。为解决这个问 题，在保持原来公钥证书传统格式的同时，x 5 0 9 v 3 中引入扩展项来标识用户 的权限。但这样一来有的用户就需要颁发多个身份证书，从而既不利于系统 的开发和重用，也不利于系统的安全方便的管理。 因此p m i 应运而生简言之，它解决的就是用户“能干什么”的问题。 它是一种基于p k i 并承担权限管理功能的框架。i t u t 颁布的x 5 0 9v 4 是 第一份标准的p m i 证书格式的版本，在x 5 0 9 v 4 版中，提出了将信任和授权 服务分离的思路，并建立了授权服务的框架。 p m i 和p k i 有许多相似的概念，p m i 可由p k i 建造并独立执行管理操作， 但两者之间还存在着联系，即p k i 可用于认证属性证书中的实体和所有者身 份，如下表所示：1 6 7 】 山东大学硕士学位论文 p k i 与p m i 的比较： 概念p k i 实体p m i 实体 证书公开密钥证书p k c属性证书a c 证书签发者认证权威c a属性权威从 证书用户主体证书持有者 证书的绑定主体名和公开密钥证书持有者名和证书属性 证书的撤销c r l ( 证书撤销列表)a c r l ( 属性证书撤销列表) 可信任的根r c a ( 根c a 或可信任锚)s o a ( 资源的授权机构) 从属权威子c a属性权威a a 图2 一l p k i 与p m i 的比较 由上图可见，p m i 与p k i 的确具有很多的相似之处。总而言之，p k i 处 理的是公开密钥证书，包括创建、管理、储存、分发和撤消公开密钥证书的 一整套硬件、软件、人员、策略和过程。而p m i 处理的是a c 的管理，与p k i 类似，它包括了创建、管理、储存、分发和撤销a c 的技术和过程 2 3 p m i 相关技术 2 3 1x 5 0 9 标准介绍 p m i 是一个比较新的研究课题，2 0 0 0 年由x 5 0 9 v 4 协议发布x 5 0 9 v 4 利用属性证书定义了p m i ，及如何利用p k i c a 进行对用户访问的授权管理。 目前许多关于p m i 的研究和产品、应用都基于该协议。因此，研究x 5 0 9 协 议并具体分析。对于开发p m i 产品，保证产品的兼容性和接口良好，都具有 重要意义。 6 山东大学硕士学位论文 版本 jljl j l 证书序列号 版 版 签名算法标识符( 算法，参数) 本 发行者名称 1 太 版 有效期( 起始时间，结束时间) 2 本 主体名称 3 主体公钥信息( 算法，参数，密钥) r 发行者唯一标识符 主体唯一标识符 扩展 r 签名 t 所有版本 + 图9 - 2v l 至v 3 版本的】l5 0 9 证1 5 格式 随着应用的逐步扩展，2 0 0 0 年i t u t 发布了x 5 0 9 v 4 版本x 5 0 9 v 4 提出 了公钥和属性证书框架它包括3 介主要部分：公钥证书框架、属性证书框 架和使用公钥和属性证书框架的x 5 0 0 目录。同x 5 0 9 v 3 相比，x 5 0 9 v 4 有很 多改进：进一步增加了证书和c r l 扩展，新的扩展进一步提高了证书和c r l 的适用性和健壮性；增加了新的目录模式，从而为p k i 提供更多可选方案， 提高了适应性：同时对一些以往的错误进行了修正 2 3 2 实现p m i 的三种方式 虽然现在提到p m i 总是把他跟属性证书所关联，但广义上讲，可以通过 三种方式实现p v i i ：嘲 7 山东大学硕士学位论文 基于k e r b e r o s基于策略服务器基于属性证书 原理对称密码技术有一个中心服务器，创建、 a c p k i 维护和验证身份、组和角色 优点性能良好，便控制高度集中，便于单点管完全分布处理，具有失 于软硬件的实理败拒绝的优点 现 缺点不便于密钥管容易成为通信的瓶颈性能不高( 原因是基于 理，单点失败公钥的操作) 适用环具有大量的实地理位置集中的实时环境，是需要支持不可否认 境时事务处理有很强的中心管理控制功服务的授权的最佳选 能择 图2 3 ：实现p m i 的三种方式 本课题研究的目的是使所设计的p m i 系统成为真正的基础设施，即它能 够适用于绝大多数用户。通过分析这三种实现方式，本文提出将策略和属性 证书机制相结合，证书只在需要时调入w e b 服务器，并采用将策略和证书存 储在支持l d a p ( 轻量目录访问协议) 的服务器中以实现分布式高效处理的 方式。这将在系统设计与实现部分作详细说明。 2 4p m i 发展现状 2 4 1 相关标准的制定 1 9 9 5 年，发布了访问控制的标准框架( i s o ，i e c1 0 1 8 1 3 i t u - tr e c x 8 1 2 ) 。 1 9 9 7 年x 5 0 9 ( v 3 ) 中定义了基本的属性证书语法( 属性证书第l 版 本) 。 2 0 0 0 年发布的x 5 0 9 ( v 4 ) 中定义了p m i 的框架结构，其中定义了扩 展属性证书的语法( 第2 版) ，定义了p m i 模型，规定了委托路径处理， 山东大学硕士学位论文 定义了标准p m i 扩展集，并增加了目录服务对象定义 2 0 0 0 年o p e ng r o u p 提出了授权a p i ( a z na p i ) ，定义了标准应用编 程接口，用来实现访问控制体系结构符合i s o i e c1 0 1 8 1 3 1 r r u tr e c x 8 1 2 规定的系统 2 0 0 0 年n i s t ( n a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ) 发布了 基于角色的访问控制建议标准，定义了r b a c ( r o l e - - b a s e da c c e s s c o n 廿0 1 ) 的参考模型。 2 4 2 国外研究进展 随着电子商务和电子政务的迅速普及，对服务分工越来越细的同时，对安 全提出了越来越高的需求，未来的安全应用必然会基于x 5 0 9 v 4 标准基础之上， 在信任和授权服务分离的模式下运作。目前对p m i 的研究正方兴未艾，基于p m i 的安全产品亦开始出现，因此了解p m i 的研究和应用情况，对于安全课题研究 者，以及安全产品开发者都有重要指导意义【9 j 目前安全领域的一些公司、研究所以及大学都纷纷提出自己的实现p m i 功能的产品，如e n t r u s t ，b a l t i m o r e ，i b m ，t r u et r u s t 等。其中，e n t r u s tg e t a c c e s s ， b a l t i o m o r es e l e c t a c c e s s 。i b mt i v o l i 采用在现有产品基础上升级和添加模块的 方式实现p m i 功能。而t r u e t r u s t 公司提出的p e r m i s p m i ( p r i v i l e g e a n d r o l e m a n a g e m e n ti n f r a s t r u c t u r es t a n d a r d sv a l i d a t i o n ) ，则是基于由d r c h a d w i c k 负责 的一个欧共体项目。 p e i t m i s p m i 项目从2 0 0 0 年1 2 月至u 2 0 0 2 年6 月历时两年完成。p e r m i s 在三 个不同城市( 西班牙的巴塞罗那b a r c e l o n a 、意大利的博洛尼亚b o l o g n a 和英国 的索尔福德s a l f o r d ) 的不同应用中进行过实施，并据此提出了一项r f c 来标 准化电子商务应用中的特权需要以及描述p e r m i s 的a p i 。目的是验证该p m i 的适应性和可用性，尝试标准化电子商务应用中所需的权限，并制定描述这些 权限和p e r m i sa p i 的r f c 该项目计划基于属性证书方式来实现p m i ，采用 x 5 0 9 的基于角色的p m i 应用技术。但是它目前还处于试验和研究阶段，距离 真正的产品还有很长的距离。b 0 1 b a l t i m o r e 公司的s e l e c t a c c e s s 用二维表表示所有用户和资源。s e l e c t a c c e s s 支持多种鉴别方法来维持一个安全可信的环境支持口令，数字证书( 软件形 式的和智能卡形式的) ，安全i d 令牌( s e c u r e dt o k e n s ) ；权限管理基于角色和组， 9 山东大学硕士学位论文 其动态角色特征确保用户特权改变与商务过程的变化同步可支持多级委托； 鉴别措施可通过a p l 支持。s e l e c t a c c e s s 贯彻了) q 儿技术，x m l 为数据的传输 和整合到现存及未来的应用提供了充分的灵活性，不管是基于w e b 还是非 w e b 的。支持w i n d o w sn t 2 0 0 0 ，l i n u x ，s o l a r i s ，h p - u x 等操作系统。访问控制 通过插件强迫执行，可以用于m i c r o s o f ii i s ，i p l a n e t ，a p a c h e ，b e aw e b l o g i c ， m m w e b s p h e r e ，s i l v e rs t r e a m , o r a c l e9 i 以及p l u m t r e e 。 2 4 3 国内研究状况 目前，国内的一些公司和科研单位已经对p m i 展开了初步的研究，并形 成了一些产品进行了试验性的应用。如吉大正元信息技术股份有限公司的 j i t - s s o 在p m i 的探索和研究上进行了一定的工作该产品使用了基于角色 的权限管理模型，集中的进行权限管理，支持资源信息的自动获取，具有完 善的审计功能，并实现了基于证书的单点身份验证。 1 0 山东大学硕士学位论文 3 1x m l 3 x l v l l 技术简介 ) i l ( e ) 融n s m l em a r k u pl a n g u a g e ，可扩展的标记语言) 是w e b 服务( w e b s e r v i c e ) 平台中表示数据的基本格式。除了易于建立和易于分析外，x l v i l 主要 的优点在于它既是平台无关的，又是厂商无关的x m l 是一种更简单、更轻 便的标记语言。它很灵活，易于使用，并可用于国际化文件。) m 亿适宜做数 据存储，消息发送，同时根据d t d 或者模式，帆文件能够被进行有效性检 查。) ( 】i 。可以根据需要定制，使之符合特定要求儿文档可使不同系统、 不同平台的数据实现统一接口，这就是) ( 1 儿真正的威力所在。 ) ( 1 帆专门为w e b 应用而设计，和h t m l 不同，它是一种元标记语言 ( m e t a - m a r k u pl a n g u a g e ) ，也就是说它没有一套能够适用于各个领域中所有用户 的固守的标签和元素，相反，它允许开发者根据自己的需要定义自己的元素， x m l 中的x ( e x t e n s i b l e ) 就是说明了这一点。【l l 】它的特点有： x m l 使用u n i e o d e 字符集，可生成英文、中文、希腊文或梵文等多种 语言。 可将多个来源( 包括其他x m l 文档和二进制文件) 汇合进一个x m l 文档。 可利用d t d 或s c h e m a ( 模式) 管理一致性问题。d t d 主要用于文档 型文档，s c h e m a 主要用数据型文档。 具有很好的扩展性，可定义自己的元素和属性。 通过x m l 可从关系数据库管理系统中提取数据到结构化文档。它还 被设计成可对各种数据对象进行操作。 在一个设计良好的x m l 应用中，x m l 标记不涉及文档如何显示，只 表示文档的结构。 x m l 被设计用来存储、支持和交换数据，而不是用来显示数据的。 通常，x m l 被用于数据交换，而不是数据存储。 近年来，涌现出一些新的基于沮，的技术如x k m s ( x m lk e y m a n a g e m e n ts p e c i f i c a t i o n ，x m l 密钥管理规范) ，s a m l ( s e c u r i t y a s s e r t i o n m a r k u pl a n g u a g e ，安全性断言标记语言) ，以及x a c m l ( e x t e n s i b l ea c c e s s 山东大学硕士学位论文 c o n t r o lm a r k u pl a n g u a g e ，可扩展访问控制标记语言) 等。这些技术可以很好 的消除p k i p m 平台的复杂性。 x k m s 是基于x m l 的p i e d ，具有儿的互操作性和p 的安全性等特点。 它包括x m l 密钥注册服务规范( x - 硒峪s ) 和x m l 密钥信息服务规范( x s s ) 两部分，能提供公开密钥的注册、验证、查询、撤消、恢复等功能。x k m s 支持客户端把公开密钥信息的处理委托给信任服务，降低了客户端配置的复杂 度，有利于p k i 的大规模部署同时p k i 和x m l 的互补，为应用提供了可以互 操作的安全基础设施 因此，利用x k m s 可实现安全基础设施的易管理性。而使用s a m l 则可 实现一种保证可信任移植的机制，通过s a m l ，可以建立一种独立于协议和平 台的验证和授权交换机制( 也称为单点登录，或者s s o ) 1 1 2 。本文着重分析最 新提出的x a c m l 技术 3 2x a c m l x a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ) ，即可扩展的访问控 制标记语言，它是在采用x m l 语言访问i n t e m e t 信息时用于表达策略的技术 规范。x a c m l 建立在i b m 公司x m l 访问控制语言( x a c l ) 和麦地得大学 x m l a c 的基础上。o a s i s ( o r g a n i z a t i o n f o r t h e a d v a n c e m e n t o