安全可信的目錄服務(wù)系統(tǒng).pdf

1、鐵路信息安全等級保護技術(shù)框架采用可信安全數(shù)據(jù)處理平臺作為信息系統(tǒng)等級保護建設(shè)的技術(shù)基礎(chǔ)。所謂可信安全數(shù)據(jù)處理平臺是指以可信計算技術(shù)為支撐、以身份認證、訪問控制和審計等機制為安全保證基礎(chǔ)的數(shù)據(jù)處理、傳輸和存儲系統(tǒng)。在信息安全等級保護建設(shè)中，可信安全數(shù)據(jù)處理平臺將以PKI系統(tǒng)作為可信計算技術(shù)的信任基礎(chǔ)。
　　 鐵路信息系統(tǒng)的安全是依靠管理作為可信安全的信任基礎(chǔ)，這種管理必須能夠保證鐵路信息系統(tǒng)可信安全技術(shù)、產(chǎn)品和策略等安全要素的來源

2、和功能可信。PKI系統(tǒng)可以提供為上述管理可信提供支持。通過PKI證書系統(tǒng)可以為鐵路信息系統(tǒng)的可信安全機制和其它安全要素提供來源認證和功能認證基礎(chǔ)。安全可信目錄服務(wù)系統(tǒng)可以和PKI系統(tǒng)結(jié)合，為鐵路信息系統(tǒng)的集中安全管理提供技術(shù)支撐。
　　 LDAP目錄服務(wù)系統(tǒng)為信息系統(tǒng)的集中安全管理提供統(tǒng)一的證書、身份、資源、安全標記、訪問控制策略服務(wù)支持。LDAP(Lightweight Directory AccessProtocol)輕量目

3、錄訪問協(xié)議，是目前廣為采用的一種數(shù)據(jù)存儲方式，多用在數(shù)字證書存儲、DNS服務(wù)器等查詢頻繁的業(yè)務(wù)中。LDAP目錄服務(wù)系統(tǒng)能夠快速響應(yīng)安全管理服務(wù)請求，解決身份和策略等數(shù)據(jù)查詢和同步的一致性問題。
　　 本文基于LDAP輕量目錄訪問協(xié)議，以可信計算為基礎(chǔ)，實現(xiàn)安全可信的目錄服務(wù)系統(tǒng)。首先，應(yīng)用可信計算理論，為LDAP目錄服務(wù)系統(tǒng)提供可信基礎(chǔ)，保證整個過程是在相對安全的環(huán)境下進行，為可信安全數(shù)據(jù)處理平臺構(gòu)建安全的目錄服務(wù)系統(tǒng)，為目錄服

4、務(wù)系統(tǒng)進行安全增強。
　　 另一方面，設(shè)計和實現(xiàn)系統(tǒng)資源和故障的監(jiān)測和處理系統(tǒng)，當發(fā)現(xiàn)一個模塊失敗時，在這個模塊提供的服務(wù)遷移到其他模塊上，保證遷移是即時的、自動的，保證安全可信目錄服務(wù)系統(tǒng)高可用性，支持多機服務(wù)冗余備份，使LDAP系統(tǒng)整個過程能夠安全、高效地完成。
　　 研究結(jié)果表明，通過本文提出的目錄服務(wù)系統(tǒng)的安全增強和高可用性，能夠在可信安全數(shù)據(jù)處理平臺中構(gòu)建安全可信的目錄服務(wù)系統(tǒng)，節(jié)省安全鐵路信息系統(tǒng)的建設(shè)成本，