基于直接匿名驗證協(xié)議的多級安全訪問控制技術研究.pdf

1、隨著因特網技術滲透到人類生活的各個領域，節(jié)點的隱私成為一個需要重點考慮的問題。但目前的多級安全訪問控制模型主要的實現(xiàn)方式是在通信雙方身份透明的前提下進行不同安全級別的訪問控制，不能提供通信一方或雙方身份的匿名性服務，因此傳統(tǒng)的認證機制明顯不再適用匿名性需要?；谥苯幽涿炞C（Direct Anonymous Attestation，DAA）協(xié)議的多級安全訪問控制技術正是為了解決上述問題而提出的一種機制。 本文首先對當前多級安全訪

2、問控制模型進行分析，針對這些模型在當前開放分布式網絡環(huán)境應用中存在的一些不足，結合可信計算（Trusted Computing，TC）技術所支持的DAA協(xié)議，把匿名的思想引入了多級信任關系中，提出了一種基于DAA協(xié)議的多級安全訪問控制技術方案。該方案充分利用了DAA協(xié)議可以提供匿名機制的特性，在實現(xiàn)傳統(tǒng)多級安全訪問控制的基礎上，對匿名訪問控制進行了有益的嘗試和探討，進一步提高了訪問控制的細粒度。 該方案的核心主要是基于TC技術提

3、出來的，其中用到的TC技術包括可信計算平臺（Trust Computing Platform，TCP）對用戶身份的鑒別和TCP具備在網絡上的唯一的身份標識等等。具備由權威機構頒發(fā)的唯一身份證書的TCP可以準確地提供自己的身份證明，從而為電子商務之類的系統(tǒng)應用奠定信用基礎。 本文提出的基于DAA協(xié)議的多級安全訪問控制方案，通過身份認證、可信級別分配及訪問權限判決三個階段，完成訪問控制功能。為了滿足終端用戶身份驗證靈活性和匿名需求，

4、本模型采用DAA證書和普通數字證書相結合的方式作為身份認證核心技術，解決了平臺匿名身份認證及信任傳遞的安全問題。該模型的性能較好，通過仿真分析，驗證DAA證書與普通的數字證書時間開銷比值約為10。 最后，本文通過兩個實例分析，把本方案應用到公司Intranet訪問控制和網上購物系統(tǒng)中，討論本方案如何解決實際應用中將會出現(xiàn)的安全問題，證明了本模型的可行性及可用性。本文提出的方案具有一定的可擴展性，為基于Internet的應用系統(tǒng)構