郑州大学硕士学位论文基于PKI/PMI的Web系统安全设计姓名：李志民申请学位级别：硕士专业：计算机软件与理论指导教师：邱保志;王瑞民20061101摘要关键词：疨；低常籆恢な椋唤巧低嘲踩Ｐ停饕0ɑ∩枋┎恪⒎梦士刂谱榧拖低辰涌诘热悖全基础设施层是整个安全框架的基础包括蚉两个部分提供身份认证和权限验证；访问控制组件层为上层的应用接口提供可信的基础设施的调用功能；系统利用痵结构按照娣渡杓艭等实现身份认证功能并对其安全和性能作出分析和比较；按照娣渡杓拼印⑹粜灾な榈龋迪钟户的权限认证；并将低嘲踩ǚ桨赣τ糜谛Ｔ巴鴒低常С钟没Уサ闵矸登陆方式实现统一的权限管理体系和访问控制策略。为低嘲踩ǚ阑さ慕分析了网络环境下企业管理系统的安全需求设计了基于蚉的系统接口主要提供τ孟低车姆梦士刂迫肟凇一步研究打下基础。鑕疨甋．．：疨瓸．．：．珻疭．琑奄专形郑重声明学位论文作者┟二六年十一月十二日本人的学位论文是在导师指导下独立撰写并完成的学位论文没有剽窃、抄袭等违反学术道德、学术规范的侵权行为否则本人愿意承担由此产生的一切法律后果特此郑重声明。目前基于互联网环境下的企业低呈瓜低秤没Щ竦昧朔岣坏男畔⒆源极大的提高了企业工作效率也带来了许多安全问题。对于传统的低常需要设定多个用户名和口令如果为了方便使用简单的口令或在多个子系统中使用相同的口令将会带来巨大的安全隐患一旦企业机密信息失窃企业的损失将不可估量；对于管理者来说每个应用系统都对应着自己的用户数据库需要多个管理者来管理用户名／盍斜恚芾砉ぷ飨嗟狈彼銮胰菀壮龃恚唤鲈加了管理费用并且很难使用通用的安全策略。防火墙技术是实现网络信息安全的基本设施采用包过滤或代理技术使数据有选择的通过有效监控内部网和外部网之间的任何活动防止恶意或非法访问保证内部网络的安全。入侵检测技术墙瓿鱿值男滦屯绨踩ḿ际酰ü从计算机网络系统中若干关键节点收集信息并加以分析监控网络中是否有违反安全策略的行为或者是否存在入侵行为它能提供安全审计、监视、攻击识别和反攻击等多项功能并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等是安全防御体系的一个重要组成部分。但防火墙对于内部人员的攻击束手无策也不能提供保密服务和不可否认服务。入侵检测系统、安全扫描技术只能作为安全系统的一种补充不能解决信息安全的保密性和不可否认且恢肿裱曜嫉拿茉抗芾砥教ǎ芄晃K型缬τ猛该鞯靥峁┎用加密和数字签名等密码服务所必需的密钥和证书管理可以提供认证、完整性和机密性等核心服务还可支撑安全通信、安全时间戳、公正、不可否认等服务利用现すδ芊诺搅擞τ玫耐獠浚耸钡南低秤没Т蛹且涠喔鲇没⒍个口令中解放出来只需要设定和记忆单个用户名和单个口令。但是授权功能仍嵌入到应用中仍需要多个管理者来专门管理访问控制列表和械墓恐书等相关内容为了优化系统在幕≈弦隤将认证和授权功能都放到应用系统的外部对于管理者来说只需要管理墓恐な楹蚉认证和授权功能都嵌在应用系统的内部增加了应用的复杂性对于用户来说性。郑州大学硕士学位论文基于疨的低嘲踩杓中的属性证书等相关内容。属性证书包含了一些终端实体和其它信息的属性并由属性机构的私钥进行信息的数字签名不再需要分别管理每个应用程序的用户名／盍斜砗徒尤肟刂屏斜恚蟠蟮丶跎了管理者的工作量。因此只需要更少的管理者和更低的管理费用也便于采用通本文提出了基于疨的安全解决方案：当用户提出τ孟低撤梦请求时首先由猩矸萋壑ぃ幼庞蒔通过角色说明属性证书、角色分派证书进行访问权限控制提供统一的权限管理体系和访问控制策略只有通过两项验证才可以访问系统资源。该方案支持单点登录用户只需要在网络中主动地进行一次身份认证过程然后就可以访问其被授权使用的所有处在网络上的资源不需要其主动参与其后的身份认证过程可以避免各个系统都有自己独立的用户账户和密码提高普通用户的工作效率减少了系统维护人员的工作。论文利用疨技术对校园网和电子公文系统进行了安全设计该安全方案支持用户单点身份登陆方式提供安全的身份认证实现统一的权限管理体系和访问控制策略。这对τ玫陌踩ǚ阑ぱ芯刻峁┝艘桓鲂碌耐卣箍占洹用的安全策略。郑州大学硕士学位论文基于疨