网络的开放性与信息的保密性之间的矛盾已日益突出,迫切需要通过信任与授权服务来保障网络交互的安全,公钥基础设施认证体系的建立解决了网络安全通信。审计与访问控制作为网络安全的一个重要应用领域,它立足于PKI系统,但也在理论和应用上出现了很多难点,建立一个良好的授权服务控制模型迫在眉睫。 X.509协议第4版提出了权限管理基础设施,这一标准是以基于角色的访问控制为技术基础。本文遵循X.509协议规范,以四川移动的业务运营支撑系统数据安全项目为研究课题,设计了主机的细粒度审计与访问控制策略,解决了身份持久性与权限可控性的矛盾。 文章首先介绍证书的令牌存储模式,设计安全基础库,实现加密、解密、摘要等算法接口的二次封装,完成了证书的操作协议及身份认证功能。在RBAC的基础上,提出了基于审计与访问控制策略的基本数学定义和规则描述,详细设计了策略文件结构及应用流程。对策略实施与应用过程中出现的问题进行分析,扩展策略设计,设计ACL策略实现硬件过滤交换机的数据过滤。对策略控制算法进行深入研究,利用基数排序算法和二分查找算法优化策略处理效率。文中在Clark-Wilson策略模型的思想上采用关注事件定义异常机制,很好地实现了应用层协议中基于内容的审计,利用模糊多级定义更加优化了审计的数据结构。最后,完成了授权策略模型与基于策略的审计模型界面设计,友好、美观的操作界面也是项目成功实施十分重要的一环。 课题对审计与访问控制策略相关技术进行了研究,研究结果对于实现大规模数据操作控制具有一定的参考价值,对于策略标准与PMI的进一步研究有一定的积极意义,在移动通信的应用具有较强的现实意义。