式来实现单点登录。 (2)信任代理向身份认证系统提交用户的安全凭证,验
证用户身份。如果认证失败,则中止信任关系建立过程。 (3)信任代理向信任评估系统发送用户身份信息以及服
务类型信息,信任评估系统对用户进行行为信任评估,并将
结果反馈给信任代理。
图3动态信任约束的角色授权过程
(4)信任代理向授权管理系统提交用户安全凭证和用户行 为信任度,授权管理系统将根据动态信任约束角色授权模型, 判定访问类型,如果是访问域内资源,则根据信任约束分配用 户角色,建立用户信任会话。跨域授权管理系统使用基于用户 属性和用户行为信任度的双因子角色授权策略,一个典型的基 于动态信任约束的角色授权策略如表1所示。对于拥有相同属 性的用户,其行为信任度不同,能够获得的角色也可能不同, 信任度更高的用户可能获得权限更高的角色。
表1角色授权策略
(5)信任代理向用户发送授权管理系统签发的代理证书。 (6)用户向资源管理系统提交代理证书,请求资源服务。 资源管理系统将验证代理证书中的行为信任类型与其请求资 源类型是否一致,以及用户的角色信息和行为信任度是否满 足资源访问控制策略。如果验证失败,则中止信任关系建立 过程。对于拥有相同角色的用户,其行为信任度不同,能够 访问的资源也可能不同,信任度更高的用户可能访问更为敏 感的资源:而且用户在访问同一资源时,拥有更高的行为信
任度可能获得更高的服务质量。 (7)资源管理系统向信任评估系统发送资源服务类型信
息,信任评估系统将对本域内该类型资源的服务提供者进行 行为信任评估,并将结果反馈给资源管理系统。
(8)资源管理系统启动资源调度算法,决定分配哪一个 资源服务提供者向用户提供资源服务。资源的行为信任度将 作为资源调度算法的一个参数,这样可以更有效地进行资源 调度控制,提高资源利用效率。
系统层通常采用的安全技术有:漏洞扫描、入侵检测/防御, 安全日志、审计,防病毒技术等。
3.3网络层安全 网络层安全指网络通信系统的安全性,其主要表现在网
络通信设备的安全性上,可采用的安全技术包括:网络资源 访问控制、数据传输加密和完整性保护、身份鉴别和认证、网 络层加密、远程接入控制、网络安全扫描、网络陷阱技术、路 由控制技术、状态包过滤技术等。
3.4应用层安全 应用层安全指内网中应用业务系统的安全性,主要指网内
应用软件和业务数据的安全,通常应用软件包括数据库系统、 电子邮件系统、web系统、文件传输系统,专用业务系统等。 应用层安全技术通常包括应用层安全扫描、网关防病毒技术、 应用层加密,应用层安全代理、应用层信息过滤技术等。
3.5管理层安全
管理层安全指组织管理的安全性,包括安全管理制度,
4结语
随着人们社会活动对信息化和信息化平台依赖程度的不断 提高,内网中信息交换和业务处理等活动越来越频繁,内网安 全问题也更加突出。信息安全系统建设涉及到的方面很多,本 文仅从内网信息安全系统建设重点内容以及安全体系架构等方 面出发,为内网安全系统的建设整理出一条思路。
参考文献
【1】戴红,王海泉,黄坚.计算机网络安全【M】.北京:电子 工业出版社,2004.
【2】余建斌.黑客的攻击手段及用户对策fM】.北京:人民邮 电出版社,1998.
【3】Frederic J. Cooper, et a1. Implementing Intemet
Securit讲M】.【s.1.】:New Ri(1ers Publishing'1995.
【4】Mem【e Kae0.Desi鲷ing Network securit纠M】.【s.1.】:
Ci8co PIIess.1999.
部门与人员的组织规则、安全技术和设备安全管理等。管理
【5】Edney J,Arbaugh W A
. Real 802.1l
的制度化程度极大地影响着整个信息系统的安全性,严格的 安全管理制度、明确的部门安全职责划分,合理的人员角色
定义都在很大程度上降低了其他层次的信息安全风险。
Security:Wi—Fi Protected Ac()e豁arld 802.1li【S】.,
2003.‘蹬
(9)资源管理系统作为资源代理向用户提供资源服务。
5结语
DTMGAc模型通过引入信任级别概念拓展了RABC 模型。在DTMGAC模型中,用户不像传统RBAC模型一 样直接分配角色,而是根据用户的会话类型和会话属性分 配可信级别。模型的信任级别与角色的分配关系根据由具 体组织的安全策略决定,角色与权限的分配关系与传统 RBAc模型保持一致。作为RBAc模型的一种扩展, DTMGAC模型继承了RBAC模型的优点,另外,融合客 观信任与主观信任管理的优点,DTMGAC模型采用动态度 量用户的信任级别来对角色实施授权委托约束,不仅能进
~步细化授权控制粒度,增强系统实用性,而且还能有效 降低威胁风险,为开放网络的系统资源提供完善的安全保 护。下一步要开展的研究是结合新一代访问控制模型 UCON的发展,为DTMGAc模型增加更为丰富的语义, 并通过设计一个策略语言来更好地对存取控制模型进行规 范,然后在此基础上,开发一个权限管理原型系统来验证
模型的可用性与安全性。
参考文献
n】Kagal L,Finin T,JostⅡ.A Tru_st—based secI】nty in Pervasive computing Environments【J】. IEEE Computers,200l(12) 154—157.
【2】Yao H,Hu H,Huang B,et a1.Dynamic r01e and context—based access control fOr grid applicatiOns
【C】.In:Proc of the 6th Intel Collf on Paral】el and
DiSt—buted Compu恤19 ApI)ucations and Technologi器.
IEEE Computer Soc础y, 2005: 404—406.
【3】Sandhu R,CoyTle E.Role—Based acoe鼹control modelS
【J】.IEEE Computer。 1996,29(02)38—47.
【4】Joslli J, Bertmo E,et a1.A generalized temporal
rQle bBsed aooe$00ntrol modeⅡJ】.口既E Tra璐.on Knaw】一(责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)