基于pki的数字认证中权限管理的研究与设计-计算机应用技术专业论文.docxVIP

声 声 明 本人郑重声明：此处所提交的硕士学位论文《基于PKI的数字认证中权限管理的 研究与设计》，是本人在华北电力大学攻读硕士学位期间，在导师指导下进行的研究 工作和取得的研究成果。据本人所知，除了文中特别加以标注和致谢之处外，论文中 不包含其他人已经发表或撰写过的研究成果，也不包含为获得华北电力大学或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献 均已在论文中作了明确的说明并表示了谢意。 学位论文作者签名： 查塞垂L 日 期：丝些：堕：迎 关于学位论文使用授权的说明 本人完全了解华北电力大学有关保留、使用学位论文的规定，即：①学校有权保 管、并向有关部门送交学位论文的原件与复印件；②学校可以采用影印、缩印或其它 复制手段复制并保存学位论文；③学校可允许学位论文被查阅或借阅；④学校可以学 术交流为目的，复制赠送和交换学位论文；⑤同意学校可以用不同方式在不同媒体上发 表、传播学位论文的全部或部分内容。 (涉密的学位论文在解密后遵守此规定) 作者签名：越 导师签名： 缝诟蕊 日 期：。逊!丛如 日 期： 。西、h协 华北电力大学硕士学位论文第一章绪论 华北电力大学硕士学位论文 第一章绪论 1．1研究工作的背景 1．1．I数字认证的研究现状 目前，在数字认证方面的工作，国外取得较大进展开始于19 97年x．509 v3标 准的颁布和金融行业ITUX9系列标准的制定。这方面的工作总结发表在由ISOIITU 制定并颁布的2000版的X．509 V4中。在这一新的标准化工作里，有几个概念被提 了出来并得到广泛认可。其中较为重要的就是称为属性证书(Attribute Certificate)的新型证书类型。此外，许多别的国际化标准组织也在努力使数字 认证的用法清晰化，并扩展其用途。现在已经有越来越多的应用开始使用基于数字 认证的技术。 在国内，为了加强我国PKIIPMI相关标准规范的研制工作，全国信息安全标准 化委员会于2002年7月正式成立了PKI／PMI工作组(即信安标委第四工作组，简 称WG4工作组)。该工作组主要负责我国PKI／PMI标准体系的研究和PKI／PMI相关 标准的研制。工作组成立以来，重点就国外PKI／PMI标准现状、国内PKI／PMI标准 体系等课题进行了研究。在标准规范研制方面，工作组分别研究制定了《基于X．509 的国内证书格式规范》以及《PKI证书管理协议规范》等标准规范。 在PKI得到较大规模应用以后，人们认识到需要超越当前PKI提供的身份验证 和机密性进而步人授权领域，提供信息环境的权限管理将成为下一主要目标。建立 在PKI基础上的权限管理，由于属性证书的引入，已经将授权管理推到了研究应用 前沿，成为近年PKI的研究热点。目前的授权管理系统仅仅还处在示范工程阶段， 虽然个别公司已经初步实现，但许多技术细节还不成熟，有待进一步深入研究。 1．1．2权限管理的研究现状 权限管理是实施允许被授权的主体对某些客体的访问，同时拒绝向非授权的主 体提供服务的策略。这里主体(subject)可以是人，也可以是任何主动发出访问 请求的智能体，包括程序、进程、服务等；客体(object)包括所有受访问控制保 护的资源，在不同应用背景下可以有相当广泛的定义，比如在操作系统中可以是一 段内存空间，在数据库里可以是一个表中的记录，在web上可以是一个页面。访问 的方式取决于客体的类型，一般是对客体的一种操作，比如请求内存空间，修改表 中记录，浏览页面等。 通过对主体的授权，计算机系统可以在一个合法的范围内被使用，从而保证了 华北电力大学硕士学位论文客体被正确合理的访问，同时也维护了被授权主体的利益。这是权限管理的目的 华北电力大学硕士学位论文 客体被正确合理的访问，同时也维护了被授权主体的利益。这是权限管理的目的 同时也是一个安全系统所必须具备的特性。 1．2研究工作的意义 随着Internet的普及，网络应用尤其是电子商务和电子政务开始成为重要的网 上活动，网络安全因其在网络应用中的重要性，日益成为一个不容忽视的问题。人们 需要在网络中为用户提供数字认证信息(即身份鉴别和权限信息)，以保证网络交互 的安全。PKI(Public Key Infrastructures公钥基础设施)以密码学为理论基础， 提供身份鉴别、机密性、完整性和不可否认性服务，成为网络应用中信任和授权的 源泉。PKI以身份证书为载体，同时记录用户的身份信息和权限信息。然而在PKI 的实际应用中，人们发现身份和权限有很多不同的属性，尤其在有效期上，权限由 于不同的环境会经常变化而身份则相对固定。将二者绑定在一个证书上不仅不利于 对身份和权限的有效管理，而且需要频繁更新证书，给签证机关带来很大的工作量。 鉴于X．5