文档介绍：武汉理工大学
硕士学位论文
跨域鉴别与授权研究
姓名:仇华炳
申请学位级别:硕士
专业:通信与信息系统
指导教师:龙毅宏
20090501
摘要目前在网络环境下实现的身份鉴别大多采用用户名口令方式,并且用户身在诸多不安全隐患;访问授权方式多数是采用基于騌氖谌ɑ啤程度,并且不需要大规模修改各授权域原有系统。际跏迪挚缬颍域授权过程中,分别使用了认证断言和属性断言技术;对所有请随着互联网与分布式计算能力的不断发展,大范围的资源共享成为一种趋势。经济的发展使得企业分工更细,更加注重动态协作,业务过程已经跨越组织边界,涉及相互合作的多个企业组织,企业之间通过网络交换信息与共享更加的频繁。安全性是这些企业或组织不得不十分关注的问题,身份鉴别和访问授权是保障安全性首先要解决的两个问题。份鉴别往往局限在一个企业内部或者一个网站内部,而且用户名口令方式还存然而这些访问授权机制的具体实现方式和定义方式各不相同,并且往往都只能在一个企业内部或者一个网站内部使用。所以要在这样一些企业之间建立合理的能跨域的鉴别与访问授权系统还存在诸多复杂问题需要解决。本文的研究重点是如何解决跨域鉴别与授权的诸多问题,如跨域鉴别时外域用户身份鉴别地址的寻址问题以及跨域授权时域间权限信息传递的互操作性问题,并在此基础上实现了一个能够支持多种访问授权机制进行跨域身份鉴别与授权的系统。针对跨域鉴别问题,本系统采用了更安全的数字证书作为鉴别的凭证,并且引入了跨域中介来辅助被访问的应用系统进行跨域身份鉴别,解决了跨域寻址问题。针对跨域授权的互操作性问题,本系统首次采用了一种主体属性映射的方式,即将用户所在的用户组,所拥有的角色等信息都以用户属性的方式进行映射,完成权限信息的跨域转换和传递;使用中介系统完成用户属性信息域间映射,减轻了各授权域授权系统的压力的同时降低了系统间耦合为了保障身份鉴别信息与权限信息进行域间交换的安全和便于系统扩展,本系统采用了用了请求和响应协议完成跨域信息的交互。在跨域身份鉴别和跨求和响应消息都使用了数字证书进行签名,发挥了数字证书非对称加密技术在保障信息完整性和不可否认性方面的优势。文章最后通过一个跨域鉴别与授权的应用测试对系统的功能进行了验证。关键字:跨域鉴别,跨域授权,武汉理喝搜妒垦宦畚
琲,琒.,甦甌,,琒武汉理:人学硕十学位论文./—,猟.,瑃瓵,瑃..
期纠.￡/研究生┟:钆华又雨导师┟签名:毯匹笙壅期:垄:墨学位论文使用授权书独创性声明取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得武汉理工大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说学校有权保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权武汉理工大学可以将本学位论文的全部内容编入有关数据库进行检索,可以采用影印、缩印或其他复制关机构或论文数据库使用或收录本学位论文,并向社会公众提供信息本人声明,所呈交的论文是本人在导师指导下进行的研究工作及明并表示了谢意。本人完全了解武汉理工大学有关保留、使用学位论文的规定,即:手段保存或汇编本学位论文。同时授权经武汉理工大学认可的国家有服务。C艿穆畚脑诮饷芎笥ψ袷卮斯娑
第滦髀研究背景和意义随着的不断发展,分布式计算能力的不断加强,使得大范围的资源进行信息交换与共享更加的频繁。在进行信息共享和资源访问的同时,安全性往往是企业最为关注的问题。身份鉴别是网络安全的第一道重要防线,用于认目前网络环境下实现的身份鉴别大多基于用户名口令方式,用户名口令方本文的研究内容正是在这样的背景下,并结合一个“授权管理与访问控制共享成为一种趋势。经济的发展使得企业分工更细,企业之间通过网络合作,证用户身份,防止非法用户访问受保护资源;访问授权是用来防止信息的未授权访问,确保主体对客体的访问只能是经授权的,未经授权的访问是不允许的,无效的,从而使计算机系统在合法的范围内使用。梦士刂剖欠梦适谌ɑ频一种特例,在本文中将访问控制和访问授权作为同一个概念,不做过多区分,后文中统称为访问授权。ㄋ椎亟采矸菁鹚=饩龅氖恰澳闶撬你是否真的是你所声称的身份的问题;而访问授权所要解决的是:“你能做什么有什么样的权限钡奈侍狻式不如数字证书安全,并且用户身份鉴别局限在一个企业内部或者一个网站内部;访问授权方式多数是采用基于主体属性没ё椋巧ǖ进行授权,但是访问授权机制的具体实现方式定义方式各不相同,并且往往都是在一个企业内部或者一个网站内部使用。目前企业或机构之间越来越多地需要通过网络来交换或共享机密的资料或数据,而这些企业往往处于不同的授权域,所以建立安全可靠的跨域鉴别与跨域授权系统就变得十