安全可信的目錄服務(wù)系統(tǒng).pdf

1、鐵路信息安全等級(jí)保護(hù)技術(shù)框架采用可信安全數(shù)據(jù)處理平臺(tái)作為信息系統(tǒng)等級(jí)保護(hù)建設(shè)的技術(shù)基礎(chǔ)。所謂可信安全數(shù)據(jù)處理平臺(tái)是指以可信計(jì)算技術(shù)為支撐、以身份認(rèn)證、訪問(wèn)控制和審計(jì)等機(jī)制為安全保證基礎(chǔ)的數(shù)據(jù)處理、傳輸和存儲(chǔ)系統(tǒng)。在信息安全等級(jí)保護(hù)建設(shè)中，可信安全數(shù)據(jù)處理平臺(tái)將以PKI系統(tǒng)作為可信計(jì)算技術(shù)的信任基礎(chǔ)。
　　 鐵路信息系統(tǒng)的安全是依靠管理作為可信安全的信任基礎(chǔ)，這種管理必須能夠保證鐵路信息系統(tǒng)可信安全技術(shù)、產(chǎn)品和策略等安全要素的來(lái)源

2、和功能可信。PKI系統(tǒng)可以提供為上述管理可信提供支持。通過(guò)PKI證書(shū)系統(tǒng)可以為鐵路信息系統(tǒng)的可信安全機(jī)制和其它安全要素提供來(lái)源認(rèn)證和功能認(rèn)證基礎(chǔ)。安全可信目錄服務(wù)系統(tǒng)可以和PKI系統(tǒng)結(jié)合，為鐵路信息系統(tǒng)的集中安全管理提供技術(shù)支撐。
　　 LDAP目錄服務(wù)系統(tǒng)為信息系統(tǒng)的集中安全管理提供統(tǒng)一的證書(shū)、身份、資源、安全標(biāo)記、訪問(wèn)控制策略服務(wù)支持。LDAP(Lightweight Directory AccessProtocol)輕量目

3、錄訪問(wèn)協(xié)議，是目前廣為采用的一種數(shù)據(jù)存儲(chǔ)方式，多用在數(shù)字證書(shū)存儲(chǔ)、DNS服務(wù)器等查詢頻繁的業(yè)務(wù)中。LDAP目錄服務(wù)系統(tǒng)能夠快速響應(yīng)安全管理服務(wù)請(qǐng)求，解決身份和策略等數(shù)據(jù)查詢和同步的一致性問(wèn)題。
　　 本文基于LDAP輕量目錄訪問(wèn)協(xié)議，以可信計(jì)算為基礎(chǔ)，實(shí)現(xiàn)安全可信的目錄服務(wù)系統(tǒng)。首先，應(yīng)用可信計(jì)算理論，為L(zhǎng)DAP目錄服務(wù)系統(tǒng)提供可信基礎(chǔ)，保證整個(gè)過(guò)程是在相對(duì)安全的環(huán)境下進(jìn)行，為可信安全數(shù)據(jù)處理平臺(tái)構(gòu)建安全的目錄服務(wù)系統(tǒng)，為目錄服

4、務(wù)系統(tǒng)進(jìn)行安全增強(qiáng)。
　　 另一方面，設(shè)計(jì)和實(shí)現(xiàn)系統(tǒng)資源和故障的監(jiān)測(cè)和處理系統(tǒng)，當(dāng)發(fā)現(xiàn)一個(gè)模塊失敗時(shí)，在這個(gè)模塊提供的服務(wù)遷移到其他模塊上，保證遷移是即時(shí)的、自動(dòng)的，保證安全可信目錄服務(wù)系統(tǒng)高可用性，支持多機(jī)服務(wù)冗余備份，使LDAP系統(tǒng)整個(gè)過(guò)程能夠安全、高效地完成。
　　 研究結(jié)果表明，通過(guò)本文提出的目錄服務(wù)系統(tǒng)的安全增強(qiáng)和高可用性，能夠在可信安全數(shù)據(jù)處理平臺(tái)中構(gòu)建安全可信的目錄服務(wù)系統(tǒng)，節(jié)省安全鐵路信息系統(tǒng)的建設(shè)成本，