面向多域環(huán)境的訪問控制技術(shù)研究與實(shí)現(xiàn).pdf

1、SOA是當(dāng)前廣泛被使用的網(wǎng)絡(luò)資源發(fā)布和訪問的重要支撐手段，而基于SOA的網(wǎng)絡(luò)環(huán)境經(jīng)常建立在開放性、異構(gòu)性極大的公共網(wǎng)絡(luò)中，容易遭到由內(nèi)部或外部原因引起的安全威脅。在面向服務(wù)的環(huán)境中，訪問控制是安全需求中極其重要的組成部分，它包括身份認(rèn)證和授權(quán)處理。因此，研究面向服務(wù)體系框架下的身份認(rèn)證和授權(quán)等訪問控制相關(guān)技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)跨域和認(rèn)證授權(quán)系統(tǒng)變得極具意義。
　　本文首先在充分研究相關(guān)技術(shù)的基礎(chǔ)上，對跨域的身份認(rèn)證和授權(quán)系統(tǒng)的需求進(jìn)行分

2、析，為跨域的身份認(rèn)證授權(quán)系統(tǒng)做出一個(gè)整體框架。根據(jù)需求，設(shè)計(jì)并實(shí)現(xiàn)域內(nèi)的身份認(rèn)證系統(tǒng)。該系統(tǒng)基于公鑰基礎(chǔ)架構(gòu)的證書權(quán)威，使用PKI認(rèn)證技術(shù)，實(shí)現(xiàn)了域內(nèi)的登錄認(rèn)證功能；在域內(nèi)認(rèn)證的基礎(chǔ)上，使用證書鏈和簽名令牌兩種方法實(shí)現(xiàn)了跨域認(rèn)證功能，證書鏈驗(yàn)證可以將各個(gè)信任域方便地連接起來，各個(gè)信任域通過證書鏈驗(yàn)證彼此建立信任關(guān)系，而無需建立中間的審判機(jī)構(gòu)。令牌驗(yàn)證可以通過一次認(rèn)證，得到令牌，為后續(xù)授權(quán)以及其他操作提供憑據(jù)。最后從各個(gè)方面對系統(tǒng)進(jìn)行了安

3、全性分析，本文實(shí)現(xiàn)的跨域認(rèn)證系統(tǒng)在保證基本功能的同時(shí)，還具有一定的安全性。基于現(xiàn)有的ABAC模型，提出了一套基于屬性的動(dòng)態(tài)授權(quán)模型。并以此為基礎(chǔ)，分析跨域授權(quán)需解決的基本問題，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于屬性映射和信任關(guān)系管理的跨域授權(quán)模型。屬性映射服務(wù)制定了一套屬性映射規(guī)則，通過規(guī)則將外域用戶在本域無法使用的屬性映射成本域授權(quán)服務(wù)可用的屬性，以此順利完成跨域授權(quán)，同時(shí)還保護(hù)了外域用戶的隱私屬性。信關(guān)系管理將各個(gè)信任域的關(guān)系量化為一個(gè)值以管理授