本站原创
【 摘 要 】 首先介绍目前数字化图书馆安全认证所面对的理由,然后在分析PKI、PMI的基础上提出了一个基于公开密钥证书和属性证书的双证书联合认证方案。其中使用公开密钥证书实现对用户的身份认证,属性证书实现用户的授权访问,能够保证不同用户具有不同的访问权限。该方案一定程度上满足了数字图书馆安全认证的要求,从而方便灵活地实现对数字资源的安全访问制约。
【 关键词 】 公开密钥基础设施;授权管理基础设施;安全认证
Design of Security Authenticate Based on PKI/PMI Architecture in Digital Library
Zhai Jian-feng
(Computer Center, China Youth University for Political Science Beijing 100089)
【 Abstract 】 First, this paper briefly introduces problems in security certification of digital library currently, and then proposes a dual certificate joint certification mechani on the base of both public-key certificates and attribute certificates based on analyzing the PKI and PMI. The mechani uses public key certificates to achieve user authentication, attribute certificate achieve the user's authorized access, to ensure that different users he different access rights. A certain extent,this mechani meet with the requirements of Security Authenticate in Digital Library .Thereby, expediently andneatly realize security access control for digital resource.
【 Keywords 】 PKI; PMI; security authenticate
1 引言
随着信息技术和互联网技术的飞速发展和广泛应用,在很大程度上推动了传统图书馆向数字化图书馆发展,数字化图书馆不仅包含传统图书馆的功能,还能够更好地实现知识共享,为公众提供更加便利的信息怎么写作。但在给公众带来全新阅读体验和便利的同时,也随之带来了相应的安全理由:首先,缺乏严格的身份认证机制,一般都仅凭用户名、这种传统的方式实现用户的身份认证,无法核实系统用户的真实身份,对系统信息的安全是个很大的考验;其次,用户级别、角色划分缺失,或划分不够严格,容易导致访问权限混乱、制约策略失效等。因此在图书馆数字化的发展过程中,如何进行身份验证,有效管理用户访问、借阅和下载权限等将是需要面对的主要理由。
公开密钥基础设施(PKI)是目前被广泛接受的网络安全基础和核心,通过管理密钥和数字证书来确定用户身份,已经成功第应用到电子政务和电子商务中。在PKI的基础上,授权管理基础设施(PMI)通过颁发属性证书的方式,解决了网络环境下的授权理由。因此把PKI/PMI技术应用到数字图书馆的网络安全中来具有重要的作用。
概念上讲,PKI主要包括X.509格式的证书(X.509 V3)和证书废止列表CRL(X.509V2),CA/RA操作协议,CA管理协议以及CA政策制定四个方面的内容。其中安全认证系统CA/RA系统是PKI的核心。
同PKI相比,PKI的公钥证书由统一机构发放,能够验证用户的身份,而PMI在验证用户身份有效性的基础上,可以根据具体操作而权限不同,可以由不同的机构发放,用于验证用户有什么权限。承担什么角色。公钥证书一般包含了用户相对固定的信息,生命周期较长。而PMI的属性证书主要包含用户的权限信息,承担的角色信息,可能会经常进行角色转变,其生命周期较短。PKI是PMI实施的基础,而PMI是PKI应用的延伸。
(1)数字证书申请。系统用户在线填写相应的,将生成的私钥保存在客户端,同时将其相应的公开密钥和用户的申请信息发送给RA。
(2)注册机构审核。注册机构证明用户的真实身份,如果同意用户申请证书请求,须对证书申请信息进行数字签名,或拒绝用户的申请。
(3)CA分发证书。审核通过后,将用户的证书申请及相应的数字签名发送给CA,如签名验证通过,则同意用户的证书请求,颁发证书,否则拒绝证书申请。颁发的数字证书中包含能唯一标识用户的姓名及其它标识信息等。
(4)证书转发。注册机构RA将新的证书发送到LDAP目录怎么写作器以提供目录浏览怎么写作,同时用户可以访问LDAP怎么写作器,获得他人的数字证书。
(1)用户申请。用户提交有效证书申请信息及身份信息给属性证书注册机构ARA。
(2)申请审核。属性证书注册机构ARA为用户颁发唯一的标识名和,根据授权策略授予用户相应角色,根据授权策略将角色授予相应的权限,同时将唯一标识名、、角色信息及相应的权限信息发布到LDAP上。属性证书注册机构ARA用相应的私钥对授权策略进行签名,并发布到LDAP上以供应用系统验证特权。
(3)授权怎么写作中心AA发行证书。ARA将用户全部信息、密钥等提交AA,其数字签名如果通过验证,则同意用户的证书请求,颁发证书。
(4)注册机构证书转发。属性证书注册机构ARA从AA得到新的证书,首先将证书输出到LDAP目录怎么写作器以提供目录浏览怎么写作,同时通知用户证书已经分发成功,下载相应的属性证书。
(1)首先用户向访问制约管理模块提出访问请求,并提供自己的公开密钥证书和属性证书。
(2)对用户的公开密钥证书合法性进行验证。通过访问公开密钥证书目录怎么写作器LDAP,检索用户的公开密钥证书,并将验证结果返回给访问制约模块。
(3)访问制约管理模块根据用户的身份信息,从授权目录怎么写作器LDAP中获取属性证书和角色规范证书,并验证属性证书和角色规范证书的有效性,并根据其属性证书和角色规范证书验证用户的访问请求是否满足授权策略。如果满足则向数字资源转发怎么写作请求,否则结束会话。
参考文献
[1] Carlisle Adams,Steve Lloyd,冯登国等译.公开密钥基础设施——概念、标准和实施.人民邮电出版社.2001.
[2] 韩水玲,马敏,王涛等.数字证书应用系统的设计与实现[J].信息网络安全,2012,(09):43-45.
[3] 余幸杰,高能,江伟玉.云计算中的身份认证技术研究[J].信息网络安全,2012,(08):71-74.
[4] CarliseAdams,SteveLloyd,冯登国等译.公开密钥基础设施概念、标准和实施.北京:人民邮电出版社.2004.
[5] 杜鹏,贾晨军,丛军.基于PKI的角色识别访问制约技术初探[J].计算机工程,2003,29(6):137139..
[6] 谭寒生,张舰,等.则PMI与PKI模型关系研究[J].计算机应用,2002,(8):86~88.
[7] 苏丹. X509V4 中基于角色的PMI 应用[J ].高性能计算技术,2004 (1) :58~60.
[8] 曹晟,杨洁,孟庆春. 基于PMI 的系统访问安全管理研究与设计[J].计算机工程,2007 ,33 (24) :141.
[9] 谭强,黄蕾.PMI原理及实现初探.计算机工程.200
作者简介:
翟剑锋(1979-),男,吉林人,硕士,中国青年政治学院,讲师;主要研究方向为办公自动化、机器学习及自数字化图书馆中基于PKI/PMI的安全认证设计论文资料由论文网www.udooo.com提供,转载请保留地址.然语言处理。
【 关键词 】 公开密钥基础设施;授权管理基础设施;安全认证
Design of Security Authenticate Based on PKI/PMI Architecture in Digital Library
Zhai Jian-feng
(Computer Center, China Youth University for Political Science Beijing 100089)
【 Abstract 】 First, this paper briefly introduces problems in security certification of digital library currently, and then proposes a dual certificate joint certification mechani on the base of both public-key certificates and attribute certificates based on analyzing the PKI and PMI. The mechani uses public key certificates to achieve user authentication, attribute certificate achieve the user's authorized access, to ensure that different users he different access rights. A certain extent,this mechani meet with the requirements of Security Authenticate in Digital Library .Thereby, expediently andneatly realize security access control for digital resource.
【 Keywords 】 PKI; PMI; security authenticate
1 引言
随着信息技术和互联网技术的飞速发展和广泛应用,在很大程度上推动了传统图书馆向数字化图书馆发展,数字化图书馆不仅包含传统图书馆的功能,还能够更好地实现知识共享,为公众提供更加便利的信息怎么写作。但在给公众带来全新阅读体验和便利的同时,也随之带来了相应的安全理由:首先,缺乏严格的身份认证机制,一般都仅凭用户名、这种传统的方式实现用户的身份认证,无法核实系统用户的真实身份,对系统信息的安全是个很大的考验;其次,用户级别、角色划分缺失,或划分不够严格,容易导致访问权限混乱、制约策略失效等。因此在图书馆数字化的发展过程中,如何进行身份验证,有效管理用户访问、借阅和下载权限等将是需要面对的主要理由。
公开密钥基础设施(PKI)是目前被广泛接受的网络安全基础和核心,通过管理密钥和数字证书来确定用户身份,已经成功第应用到电子政务和电子商务中。在PKI的基础上,授权管理基础设施(PMI)通过颁发属性证书的方式,解决了网络环境下的授权理由。因此把PKI/PMI技术应用到数字图书馆的网络安全中来具有重要的作用。
2 PKI与PMI
2.1 PKI概述
PKI(Public Key Infrastructure,公开密钥基础设施) 是一种利用公开密钥进行加密的技术,为信息的安全可靠传递提供了基本的安全保证。PKI技术把公开密钥和用户的身份信息进行绑定,形成用户的数字。在通信过程中,验证用户数字的有效性,从而在网络中可以建立起相互信任的关系,达到保证网上传递信息的安全、真实、完整和不可否认的目的。概念上讲,PKI主要包括X.509格式的证书(X.509 V3)和证书废止列表CRL(X.509V2),CA/RA操作协议,CA管理协议以及CA政策制定四个方面的内容。其中安全认证系统CA/RA系统是PKI的核心。
2.2 PMI概述
PMI(Privilege Management Infrastructure,授权管理基础设施)是在PKI的基础上提出的技术体系,其目的是解决统一的授权管理理由。在2000年发布的X.509 v4中,首先提出了PMI的概念,利用属性证书(AC)对有效用户进行统一授权,对资源的访问制约进行统一管理,从而可以有效地实现较为复杂的权限分配和管理,并且能够在用户请求怎么写作的时候进行权限验证。其核心内容主要是属性证书的管理,包括属性证书的分发、更新及撤销等。同PKI相比,PKI的公钥证书由统一机构发放,能够验证用户的身份,而PMI在验证用户身份有效性的基础上,可以根据具体操作而权限不同,可以由不同的机构发放,用于验证用户有什么权限。承担什么角色。公钥证书一般包含了用户相对固定的信息,生命周期较长。而PMI的属性证书主要包含用户的权限信息,承担的角色信息,可能会经常进行角色转变,其生命周期较短。PKI是PMI实施的基础,而PMI是PKI应用的延伸。
3 基于PKI/ PMI 的安全认证方案设计
数字图书馆的安全认证方案主要在PKI/ PMI安全框架的基础上,并结合基于角色的访问制约技术,以PKI的公开密钥证书作为用户的真实身份的凭证,用于身份有效性验证;而PMI的属性证书则作为特权的载体,用于记录用户访问数字图书资源时的角色,实现用户的授权。通过将公开密钥证书及属性证书两个证书的属性结合起来,从而达到安全认证授权的目的,其中PKI提供了相应的安数字化图书馆中基于PKI/PMI的安全认证设计论文资料由论文网www.udooo.com提供,转载请保留地址.全平台,为用户提供了相应的身份认证怎么写作;而PMI利用属性证书及基于角色的访问制约,对不同用户分配不同的角色,并相应的制约策略赋予不同的权限。系统具体由PKI认证管理,PMI授权管理及访问制约管理及相应的一些支撑组建构成。其中,PKI认证管理用于用户书的相应处理、身份验证、数字签名等,PMI授权管理用于属性证书申请、审核、颁发等,是授权管理的核心;访问制约管理用于访问在LDAP目录怎么写作器存储的数字书、属性证书及相应的操作。3.1 PKI认证管理
PKI认证管理通过RA(Register Authority)处理用户申请,审核用户的真实身份,把通过审核的申请信息提交到CA(Certificate Authority)认证中心,CA颁发PKC(公开密钥证书),并由RA把新的公开密钥证书提交到LDAP目录怎么写作器。其中LDAP提供目录浏览怎么写作,负责将RA怎么写作器传输过来的用户信息以及数字证书加入到怎么写作器上,使其他用户能够通过访问LDAP怎么写作器就能够查询其它的数字证书。数字证书的处理流程图如图1所示,有几项申请步骤。(1)数字证书申请。系统用户在线填写相应的,将生成的私钥保存在客户端,同时将其相应的公开密钥和用户的申请信息发送给RA。
(2)注册机构审核。注册机构证明用户的真实身份,如果同意用户申请证书请求,须对证书申请信息进行数字签名,或拒绝用户的申请。
(3)CA分发证书。审核通过后,将用户的证书申请及相应的数字签名发送给CA,如签名验证通过,则同意用户的证书请求,颁发证书,否则拒绝证书申请。颁发的数字证书中包含能唯一标识用户的姓名及其它标识信息等。
(4)证书转发。注册机构RA将新的证书发送到LDAP目录怎么写作器以提供目录浏览怎么写作,同时用户可以访问LDAP怎么写作器,获得他人的数字证书。
3.2 PMI授权管理
为了保证整个认证系统的安全可靠,要求用户不仅需要提供身份信息,同时要提供证明其身份的公开密钥证书(PKC)。首先让用户填写用户信息表单,然后通过PKI证书验证用户身份真实性,最后依据安全授权策略授予用户相应角色,同时给角色授予相应的权限。属性证书的申请流程如图2所示,具体几项步骤。(1)用户申请。用户提交有效证书申请信息及身份信息给属性证书注册机构ARA。
(2)申请审核。属性证书注册机构ARA为用户颁发唯一的标识名和,根据授权策略授予用户相应角色,根据授权策略将角色授予相应的权限,同时将唯一标识名、、角色信息及相应的权限信息发布到LDAP上。属性证书注册机构ARA用相应的私钥对授权策略进行签名,并发布到LDAP上以供应用系统验证特权。
(3)授权怎么写作中心AA发行证书。ARA将用户全部信息、密钥等提交AA,其数字签名如果通过验证,则同意用户的证书请求,颁发证书。
(4)注册机构证书转发。属性证书注册机构ARA从AA得到新的证书,首先将证书输出到LDAP目录怎么写作器以提供目录浏览怎么写作,同时通知用户证书已经分发成功,下载相应的属性证书。
3.3 访问制约管理
访问制约管理根据用户的操作请求,对用户的数字证书进行身份验证,验证其公开密钥证书的合法性,如通过验证则验证用户的角色分配属性证书签名的正确性、是否在有效期之内、验证相应的角色规范属性证书的有效性,并根据授权策略,验证属性证书的有效性,来确定用户是否有权对目标对象实施操作。访问制约管理的处理流程如图3所示,其具体有几项步骤。(1)首先用户向访问制约管理模块提出访问请求,并提供自己的公开密钥证书和属性证书。
(2)对用户的公开密钥证书合法性进行验证。通过访问公开密钥证书目录怎么写作器LDAP,检索用户的公开密钥证书,并将验证结果返回给访问制约模块。
(3)访问制约管理模块根据用户的身份信息,从授权目录怎么写作器LDAP中获取属性证书和角色规范证书,并验证属性证书和角色规范证书的有效性,并根据其属性证书和角色规范证书验证用户的访问请求是否满足授权策略。如果满足则向数字资源转发怎么写作请求,否则结束会话。
4 结束语
本文针对当前图书馆数字化的安全认证需要,针对传统的基于公开密钥体制的证书认证方式存在的缺陷,引入授权管理基础设施PMI的概念,设计了一个基于公开密钥证书和属性证书的双证书联合认证方案,并应用于数字图书馆的安全认证系统中。采用PMI证书与PKI证书结合的方式,能够保证不同用户具有不同的访问权限,可以使得公开密钥证书、属性证书具备不同的生命周期,利于用户自身的角色转变。但由于证书的验证过程相对比较繁琐,可能造成一定的系统负担,以及PKI体系及PMI体系两者之间的相互协调机制未做深入的研究,均是需进一步研究探讨的理由。参考文献
[1] Carlisle Adams,Steve Lloyd,冯登国等译.公开密钥基础设施——概念、标准和实施.人民邮电出版社.2001.
[2] 韩水玲,马敏,王涛等.数字证书应用系统的设计与实现[J].信息网络安全,2012,(09):43-45.
[3] 余幸杰,高能,江伟玉.云计算中的身份认证技术研究[J].信息网络安全,2012,(08):71-74.
[4] CarliseAdams,SteveLloyd,冯登国等译.公开密钥基础设施概念、标准和实施.北京:人民邮电出版社.2004.
[5] 杜鹏,贾晨军,丛军.基于PKI的角色识别访问制约技术初探[J].计算机工程,2003,29(6):137139..
[6] 谭寒生,张舰,等.则PMI与PKI模型关系研究[J].计算机应用,2002,(8):86~88.
[7] 苏丹. X509V4 中基于角色的PMI 应用[J ].高性能计算技术,2004 (1) :58~60.
[8] 曹晟,杨洁,孟庆春. 基于PMI 的系统访问安全管理研究与设计[J].计算机工程,2007 ,33 (24) :141.
[9] 谭强,黄蕾.PMI原理及实现初探.计算机工程.200
2.8:187.189.
[10] Housley R. RSA Laboratories. Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile[S].RFC3280,2002.作者简介:
翟剑锋(1979-),男,吉林人,硕士,中国青年政治学院,讲师;主要研究方向为办公自动化、机器学习及自数字化图书馆中基于PKI/PMI的安全认证设计论文资料由论文网www.udooo.com提供,转载请保留地址.然语言处理。