基于xml的webpmi訪問控制_第1頁
基于xml的webpmi訪問控制_第2頁
基于xml的webpmi訪問控制_第3頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

基于xml的webpmi訪問控制

授權(quán)管理基礎(chǔ)設(shè)施審查隨著現(xiàn)代社會信息和合法化程度的提高,基于互聯(lián)網(wǎng)環(huán)境的web系統(tǒng)越來越受歡迎,信息安全問題也越來越嚴重。公鑰基礎(chǔ)設(shè)施PKI在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮了巨大的作用,其主要解決了用戶的身份認證問題(你是誰),但對于用戶的授權(quán)問題卻無能為力(你能做什么)。為此,人們提出了授權(quán)管理基礎(chǔ)設(shè)施PMI這一概念,但目前PMI的應用受到系統(tǒng)效率不高、缺乏統(tǒng)一的授權(quán)策略標準等方面的問題。本文針對Web資源的權(quán)限管理問題,提出使用XML來描述PMI的屬性證書,采用RBAC的思想來表達策略,以獲得較高的系統(tǒng)效率和方便靈活的授權(quán)管理。1x.509v屬性證書PKI主要解決身份認證問題,盡管可以在身份證書的擴展項中添加權(quán)限信息,但這樣做至少存在兩方面的問題,①權(quán)限信息的有限期比身份證書的有效期要短很多,用戶的權(quán)限也會頻繁變動;②權(quán)限的管理機構(gòu)并不一定是身份證書的頒發(fā)機構(gòu)。此外使用身份證書也無法細粒度地表達權(quán)限。國際標準化組織ISO/IEC于2000年在X.509V4標準提出了PMI這一授權(quán)模型,基于PKI,以資源管理為核心,通過頒發(fā)屬性證書AC實現(xiàn)用戶身份到資源權(quán)限的映射功能。屬性證書是一種特殊的數(shù)據(jù)結(jié)構(gòu),通過數(shù)字簽名將用戶和權(quán)限通過數(shù)字簽名綁定在一起。與身份證書類似,X.509V4屬性證書包括版本、序列號、有效期、簽名等元素,其組成如下頁圖1所示。通常屬性證書的描述采用ASN.1語法。其形式如下:2屬性證書的轉(zhuǎn)化XML是由萬維網(wǎng)聯(lián)盟W3C定義的一種語言,該聯(lián)盟為互聯(lián)網(wǎng)制定標準。而XML與ASN.1是僅有的兩種能夠?qū)?shù)據(jù)串列化的的語言。屬性證書是一種數(shù)據(jù)結(jié)構(gòu),將實體的權(quán)限和和數(shù)字簽名綁定在一起,因此可以利用XML語言來為屬性證書制定標準。XMLSignature(XML簽名)使得XML語言能夠勝任編寫屬性證書的工作。相對于ASN.1語言,XML要方便易用得多。因為ASN.1是二進制格式的,而XML是文本格式的,可以用任何一種文本編輯器來編寫和修改XML文檔。其次ASN.1語言的復雜性也給學習和使用ASN.1語言帶來了不小的困難。屬性證書的XML格式如下:采用上述的證書格式,可以充分利用XML在信任和授權(quán)方面的技術(shù),如XACL、XACML、SAML等。這些技術(shù)可以保證證書和授權(quán)的安全性。同時對于Web服務來說,基于XML格式的屬性證書可以更好的與SOAP、UDDI技術(shù)融合,為Web資源提供授權(quán)服務。3身份訪問機制訪問控制是根據(jù)主體和客體之間的訪問授權(quán)關(guān)系,對訪問過程進行限制,常見的訪問控制思想包括自主訪問控制DAC、強制訪問控制MAC和基于角色的訪問控制RBAC。RBAC的基本思想是職責分離,主體被授予角色,角色具有權(quán)限,權(quán)限關(guān)聯(lián)操作。在PMI系統(tǒng)中引入RBAC思想是將屬性證書分為兩類:角色規(guī)范證書和角色分配證書。其中角色分配證書用來綁定主體和角色,而角色規(guī)范證書用來綁定角色和權(quán)限。本文提出的基于XML/PMI的Web資源訪問控制體系結(jié)構(gòu)如圖1所示。由于將屬性證書分為了角色分配證書和角色規(guī)范證書,本系統(tǒng)的證書提交模式介于“推”和“拉”之間。傳統(tǒng)的“推”模式是將身份證書和角色證書一起提交給被訪問的服務機構(gòu);“拉”模式是只把身份證書提交給被訪問的服務機構(gòu),在服務機構(gòu)驗證了身份證書的有效性之后,由服務機構(gòu)從相關(guān)服務器(如LDAP服務器)中獲取屬性證書。本系統(tǒng)的運行流程如下:1)用戶向Web瀏覽器提交自己的身份證書和角色分配證書,發(fā)出訪問請求;2)Web瀏覽器將用戶提交的信息轉(zhuǎn)發(fā)給Web服務器;3)Web服務器通過訪問LDAP服務器來驗證用戶的身份證書,如果身份證書不合法則終止本次訪問;4)Web服務器通過訪問LDAP服務器來驗證用戶的角色分配證書,如果角色分配證書不合法則終止本次訪問;5)Web服務器將用戶的角色分配證書提交給訪問控制模塊;6)訪問控制模塊依據(jù)角色分配證書找到與之匹配的角色規(guī)范證書;7)訪問控制模塊通過訪問LDAP服務器來驗證角色規(guī)范證書,如果角色規(guī)范證書不合法則終止本次訪問;8)訪問控制模塊解析角色規(guī)范證書,確定用戶的權(quán)限并將結(jié)果返回給Web服務器;9)Web服務器將相關(guān)運行結(jié)果返回給Web瀏覽器和用戶。4性證書具有跨國互操作性XML語言專門為Web應用而設(shè)計,在Web資源訪問控制中利用XML語言來描述屬性證書可以提高權(quán)限的提取速度,便于系統(tǒng)的擴

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論