公共對象請求代理體系結(jié)構(gòu)安全中的訪問控制策略研究與實(shí)現(xiàn).pdf

1、隨著公共對象請求代理體系結(jié)構(gòu)CORBA(Common Object Request Broker Architecture)的廣泛應(yīng)用,CORBA安全面臨前所未有的挑戰(zhàn).特別是CORBA系統(tǒng)中眾多對象的訪問控制問題,一直是構(gòu)建高性能安全環(huán)境的瓶頸.基于角色訪問控制RBAC(Role-Based Access Control)技術(shù)作為一種先進(jìn)的訪問控制手段,其優(yōu)勢在于:根據(jù)安全需求劃分出不同的角色執(zhí)行特定的任務(wù),從而實(shí)現(xiàn)用戶與權(quán)限的分離,

2、因此可以作為CORBA安全中復(fù)雜訪問控制的解決之道.在分析RBAC與CORBA融合可行性的基礎(chǔ)之上,結(jié)合CORBA本身安全服務(wù)提供的支持,給出了CORBA基于角色訪問控制系統(tǒng)RICS(RBAC In CORBA System)的總體框架,并針對其中的核心部分展開詳細(xì)設(shè)計(jì):借鑒基于X.509標(biāo)準(zhǔn)的公鑰基礎(chǔ)設(shè)施PKIX(Public Key Infrastructure based on X.509)身份認(rèn)證框架來完成訪問控制前的主體身份認(rèn)

3、證功能;采用CORBA攔截器技術(shù)來保證RBAC與CORBA融合之后實(shí)施訪問控制的安全性;通過策略工廠管理策略對象和RBAC配置,實(shí)現(xiàn)了CORBA中訪問控制策略的集中化管理;依靠定制的對象調(diào)用關(guān)系圖與策略工廠,優(yōu)化了訪問決策器進(jìn)行決策時所需的步驟.總之,RICS的設(shè)計(jì)充分考慮到了訪問控制過程中的可配置性和可擴(kuò)展性.基于RICS的總體設(shè)計(jì),通過選擇恰當(dāng)?shù)臄r截點(diǎn),論述了訪問控制攔截器實(shí)現(xiàn)訪問控制的三個基本階段:創(chuàng)建憑證、綁定和訪問決策,并給出