LDAP的企业访问控制系统设计分析
- 作者:admin 来源:网络 日期:2009-2-22 4:10:40
3)授权管理员(GA):授权分为:用户授权和角色授权
对于用户的授权是指对用户的个人进行权限分配,对于角色的授权是对于角色进行权限分配而后再对于角色进行用户的配置从而达到权限的分配效果。它和签发管理员一起对授权信息进行数字签名.
4)签发管理员(QA):主要功能是提供系统信息的数字签名.在普通用户登录系统后,利用自己的信息产生的属性证书里包含该签发管理员的签名.否则无效.
实现的功能有:a.组织树的建立管理.b.角色树的建立管理.c.用户的添加d.用户组的管理f.用户基本信息管理g.应用系统的管理h.系统模块的管理i.访问控制节点的管理j.权限值的查询k.权限列表
3.2.3LDAP中数据的组织:
图4LDAP目录
LDAP目录中的信息是按照树型结构组织的,具体信息存储在条目(entry)的数据结构中。条目包含了多个属性,每个属性由一个类型和多个值构成。每个条目使用一个识别名(DN)标识,每个条目DN的各个元素称为相对识别名(RDN)。这个树型结构类似于文件系统,RDN相当于文件,DN相当于文件的绝对路径。以下为定义一个目录树的一个LDAP数据交换格式(LDIF———LDAPdatainterchangeformat)的文件示例(目录信息树(DIT)部分):
//Suffix:一个DIT的最上层节点
dc=corp,dc=com
//PMI的上层节点
dc=pmic
//一个用户的条目(entry)
dn:SN=User1,O=组织一,O=组织用户,dc=pmic,dc=corp,dc=com
//属性:sn,objectClass,ou,description,telephone
sn:User1//用户名
objectClass:normal//用户类别
ou:组织一//用户隶属组织
telephone:010-12345678//用户电话
......//用户其他相关信息
//一个角色的条目(entry)
dn:CN=Role3,CN=Role1,OU=组织角色,dc=pmic,dc=corp,dc=com
//属性:cn,postalAddress,objectClass
cn:Role3//角色名
objectClass:organizationRole//组织角色
......//角色的其他信息
//一个权限的条目(entry)
dn:CN=权限一,CN=Res1,CN=资源管理,dc=pmic,dc=corp,dc=com
//属性:gidNumber,cn,objectClass
cn:权限一//权限名,方便查阅即可
gidNumber:101//权限在系统中的定义,如定义101代表READ等
objectClass:device//权限类别
......//权限的一些其他属性
一个系统资源可以分解出很多权限.如该树中CN=Res1表示系统中一个文件,则在它的子树中可以定义CN=READ,CN=WRITE,CN=MODIFY,CN=ALLACCESS等权限,如果授权管理员对某个角色CN=Role1授权可以访问CN=RES1的CN=READ.则该信息加密后记录在CN=Res1的属性中,当具有该角色的用户访问CN=Res1时,根据其中属性值进行控制.而且根据继承原则,CN=Role3也具有CN=READ的权限,在访问是根据属性值和角色的位置来决定其访问权限.各个节点(entry)可以根据需要设定属性。
4结论
PMIC安全授权管理系统是保护敏感资源安全的有力保障,任何用户要对资源进行访问,都不能为之建立一个绕过安全授权管理系统的通道,同时安全授权管理系统必须对用户的请求作出回应,保证授权系统服务的及时性和有效性.本文所描述的安全授权管理系统在保障资源安全的同时,通过合理存储用户(User),角色(Role),资源权限(PermissionGroup),组织(Organization),资源(Object)间关联信息,利用LDAP的相应访问速度快优势,保证了在访问中的较高的响应时间,同时配以安全的通信协议,保证了系统的安全性.http://www.dxlww.net代写论文网
参考文献
1SandhuR,CoyneE,FeinsteinH,etal.Role-basedAccessControlModels.InIEEEComputer,1996,29(2):38-47
2StallingsW.CryptographyandNetworkSecurityPrinciplesandPractice(SecondEdition).PrenticeHall,2002-08-27
3DavidF,JohnF,BarkleyD,etal.ARole-basedAccessControlModelandReferenceImplementationWithinaCorporateIntranet.
ACMTransactionsonInformationandSystemSecurity(TISSEC),ACMPress,1999,2(1)
4杨义先钮心忻编网络信息安全技术基础北京:电子工业出版社,2002-01-01
5王建平一种基于角色的访问控制计算机工程2004-7
6AndrewNash,WilliamDuane,PKIImplementingandManagingE-Security,2001
7肖军模等著网络信息安全机械工业出版设,2003-8
代写论文联系方式
联系QQ:904272800
联系信箱:904272800@qq.com
代写论文导航
客户、写手申请单
最新论文
热点论文
