LDAP的企业访问控制系统设计分析
- 作者:admin 来源:网络 日期:2009-2-22 4:10:40
- 摘要访问控制是一门重要的的信息安全技术,网络的发展为它提供了更广阔的舞台。该文在分析LDAP目录服务特点的基础上,构建了一个完整的访问控制系统。
关键词LDAP,PMI,属性证书,RBAC
1引言
传统的大型网络资源的访问权限管理面临巨大的挑战,主要体现在资源和业务系统的复杂性而带来的管理低效率和安全管理隐患。传统的安全管理的费用是昂贵的且容易出错,因为所采用的技术是给每个用户独立地分配一套访问资源的列表,并且用户身份认证也极为简单。基于角色的访问控制(RoleBasedAccessControl,RBAC)技术越来越吸引注意,尤其是商业和大型的系统,因为它有潜力降低大型网络中的安全管理费用和复杂度。
使用基于角色的访问控制方式,安全管理在一定程度上相应地接近实际的组织结构。每一个用户可以分配一个或多个角色,并且每一个角色分配了一种或多种访问权限给角色里的用户。基于角色的访问控制(RoleBasedAccessControl)安全管理方式由个人在实际的工作中的操作权限和员工的实际角色组成。轻量级目录访问协议(LDAP:LightweightDirectoryAccessProtocol)由于他的快速的数据访问能力和跨平台性等优势,为RBAC提供了一个现实的运作平台。
本文设计的授权管理系统把网络资源的分类和面向角色的访问控制系统有机结合,在LDAP基础上对网络中资源和角色进行有效管理,实现网络中用户对系统资源合理、有效和可靠的访问控制。http://www.dxlww.net代写论文网
2相关技术
2.1基于角色的访问控制技术RBAC
RBAC技术出现于上世纪90年代,是一种很有潜力的访问控技术。其基本思想是:有一组用户集和角色集,在特定的环境里,某一用户被指定为一个合适的角色来访问网络资源;在另外一种环境里,这个用户又可以被指定为另一个的角色来访问另外的网络资源,每一个角色都具有其对应的权限,角色是安全控制策略的核心,可以分层,存在偏序、自反、传递、反对称等关系。同时模型中的各种元素间RBAC还可以存在各种约束关系,包含互斥角色、基数约束、先决约束、会话约束、等级约束。这些丰富灵活的特性使得RBAC模型能很好地满足大型系统对复杂权限管理需求。基本模型如图1。
由于实现了用户与访问权限的逻辑分离,基于角色的策略极大地方便了权限管理,特别适合在电子政务中使用。例如,在公务网联网单位中,一个公务员的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可。研究表明,角色权限之间的变化比角色用户关系之间的变化相对要慢得多,并且委派用户到角色不需要很多技术,可以由行政管理人员来执行,而配置权限到角色的工作比较复杂,需要一定的技术,可以由专门的技术人员来承担,但是不给他们委派用户的权限,这与现实中情况正好一致。除了方便权限管理之外,还很好地描述角色层次RBAC关系,实现最少权限原则和职责分离的原则。
2.2轻量级目录访问协议LDAP
它是基于X.500标准的,支持TCP/IP,这对访问Internet是必须的。现在LDAP技术不仅发展得很快而且也是激动人心的。LDAP最大的优势是:可以在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。LDAP协议是跨平台的和标准的协议,因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。实际上,LDAP得到了业界的广泛认可,因为它是Internet的标准。产商都很愿意在产品中加入对LDAP的支持,因为他们根本不用考虑另一端(客户端或服务端)是怎么样的。LDAP服务器可以是任何一个开发源代码或商用的LDAP目录服务器(或者还可能是具有LDAP界面的关系型数据库),因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化,大多数的LDAP目录服务器并不适合存储需要经常改变的数据。例如,用LDAP服务器来存储电话号码是一个很好的选择,但是它不能作为电子商务站点的数据库服务器。
3利用LDAP的RBAC的实现
PMIC安全授权管理系统是一个建立在以LDAP数据库为基础的权限管理平台。LDAP数据库中存储了“用户”“资源”“角色”等信息,该控制平台主要通过对LDAP数据库中数据的各种操作实现了对用户所能够访问到的资源进行授权和数字签名管理。当一个普通用户(User)在任一工作站登录访问时,首先验证用户个人信息,然后根据个人的访问权限访问资源。
3.1系统结构
用户登录的具体流程:
1):安全客户端提供了用户与系统的交互界面,验证用户对工作站的使用权,可以采用口令、密钥卡、指纹认证等形式提交用户信息,通过LDAP服务器验证信息.
2):在用户访问单位局域网、Internet、系统登记的访问限制资源时,根据用户登录的信息进行访问控制。对用户权限的限制可以放在中心的专门服务器上,对用户透明.例如用户访问局域网上的资源,当用户访问到限制资源时,服务器自动根据其登录信息注册申请属性证书,具有用户的签名,验证用户的签名成功则用户可以访问该资源,具体什么权限根据用户的属性证书来控制确定。属性证书的有效时间可以设为对资源的连续访问,一旦中止重新进入则需要重新注册申请.保证了管理员改变用户权限时对用户的及时反应。
图2RBAC系统机构
3.2管理控制台
3.2.1基本概念:
1)机构为单位的层次的到立树形结构,树形结构上的一个节点就是我们通常所说的单位,单位是某一组织或群体的集合,这个集合往往具有相同的社会功能。
2)角色(Role)指的是具有相同访问控制资源的个体的集合。可以是单个体,也可以是一个全体。
3)角色和机构组织结构图的关系:角色和机构图的单位有着联系,角色不一定是某个单位全体人员。如:某单位的几位副局长,同属于某个局,且社会职位一样,单在某网络的角色是不一样,在日常生活种的社会功能角色也是不一样的。值得注意的是:一个人可能被赋予不同的角色。
4)资源(Resource)的定义:狭义的资源指的可见的一些实体,如:网络资源的:打印机、存储器等。在我们的系统,把资源的含义进行了扩充,把应用系统完成某项业务功能的功能模块也叫资源,如:用户对某数据表的操作等。
本系统就是通过对资源(应用程序模块)的划分,以及单位的组织机构来划分角色,并把资源的权限赋予其对应的角色来实现用户对资源的访问和控制。
PMIC安全授权管理系统
图3RBAC授权管理系统
在RBAC授权管理系统中,所具有的功能如图3所示,对系统进行管理的人员分为超级管理员,目录管理员,授权管理员和签发管理员.各个管理员分工明确,协同完成系统的授权管理.在安全上可以采用密钥卡,指纹等安全的个人认证机制,保证系统的安全性.
1)超级管理员(SA):添加,删除和管理目录操作员,授权管理员或签发管理员等,还可以添加一些对本系统权限表具有特殊访问限制的管理员,例如可以产生一个组织下的某个部门的超级管理员代理等,实现了多级授权的功能.但一个系统最高级的超级管理员应该是唯一的.
2)目录操作员(DA):目录操作员所要实现的主要功能就是对LDAP数据库进行添加,删除,修改操作,在LDAP的目录树中建立起来本单位的一个组织树,角色树,资源树等.但在PMI控制台中对某些节点的属性应该限制访问.如一些授权信息,管理信息等.
代写论文联系方式
联系QQ:904272800
联系信箱:904272800@qq.com
代写论文导航
客户、写手申请单
最新论文
热点论文
