属性证书及应用研究

公开密钥基础设施PKI(Public Key Infrastructure)技术是目前解决电子商务、电子政务等应用中安全问题的最有效方法。PKI以公钥证书为基础较好地解决了网络中实体间的信任问题。基于PKI可以实现鉴别、保密等安全服务,但它无法有效地解决网络应用的另一大问题——网络资源的授权访问。相应地出现了基于属性证书AC(Attribute Certificate)的特权管理基础设施PMI(Privilege Management Infrastructure)。属性证书是反映证书实体的属性(组、角色、权限等)的特殊数字证书,属性证书很好地解决了权限管理问题。 本文首先介绍了属性证书概念、理论,属性证书技术进展及其应用,分析并探讨了基于属性证书的PMI的实现与应用。文章详尽剖析了属性证书的结构、定义、应用特点和运作方式,设计并实现了PMI核心——属性证书管理系统。该系统包含属性证书的申请、生成、撤销、查询、更新等功能模块,面向应用的属性证书解析中间件模块,以及相应策略定义等管理模块,系统能够为授权管理和访问控制等应用提供基础设施。 其次,本文分析了基于角色的访问控制RBAC(Role-Based Access Control)的机理与应用,在上述属性证书管理系统的基础上,结合RBAC,给出了一种基于属性证书改进的RBAC模型——ACBAC(AC-Based Access Control)。该模型吸收了PKI、PMI、RBAC技术的优点,提供了基于角色的细粒度权限分配,对解决分布式的网络环境中的身份认证与细粒度的权限分配等应用问题有重要意义。本文实际设计并实现了ACBAC模拟系统,验证了上述逻辑模型在应用中的有效性。 最后,本文对属性证书在实际应用中的关键技术作了总结,并给出了今后的研究方向和需要进一步完善的工作。