跨域鑒別與授權(quán)研究.pdf

1、隨著互聯(lián)網(wǎng)與分布式計算能力的不斷發(fā)展，大范圍的資源共享成為一種趨勢。經(jīng)濟(jì)的發(fā)展使得企業(yè)分工更細(xì)，更加注重動態(tài)協(xié)作，業(yè)務(wù)過程已經(jīng)跨越組織邊界，涉及相互合作的多個企業(yè)組織，企業(yè)之間通過網(wǎng)絡(luò)交換信息與共享更加的頻繁。安全性是這些企業(yè)或組織不得不十分關(guān)注的問題，身份鑒別和訪問授權(quán)是保障安全性首先要解決的兩個問題。 目前在網(wǎng)絡(luò)環(huán)境下實現(xiàn)的身份鑒別大多采用用戶名口令方式，并且用戶身份鑒別往往局限在一個企業(yè)內(nèi)部或者一個網(wǎng)站內(nèi)部，而且用戶名口令

2、方式還存在諸多不安全隱患；訪問授權(quán)方式多數(shù)是采用基于ACL或RBAC的授權(quán)機(jī)制。然而這些訪問授權(quán)機(jī)制的具體實現(xiàn)方式和定義方式各不相同，并且往往都只能在一個企業(yè)內(nèi)部或者一個網(wǎng)站內(nèi)部使用。所以要在這樣一些企業(yè)之間建立合理的能跨域的鑒別與訪問授權(quán)系統(tǒng)還存在諸多復(fù)雜問題需要解決。 本文的研究重點是如何解決跨域鑒別與授權(quán)的諸多問題，如跨域鑒別時外域用戶身份鑒別地址的尋址問題以及跨域授權(quán)時域間權(quán)限信息傳遞的互操作性問題，并在此基礎(chǔ)上實現(xiàn)了一

3、個能夠支持多種訪問授權(quán)機(jī)制進(jìn)行跨域身份鑒別與授權(quán)的系統(tǒng)。針對跨域鑒別問題，本系統(tǒng)采用了更安全的數(shù)字證書作為鑒別的憑證，并且引入了跨域中介來輔助被訪問的應(yīng)用系統(tǒng)進(jìn)行跨域身份鑒別，解決了跨域?qū)ぶ穯栴}。針對跨域授權(quán)的互操作性問題，本系統(tǒng)首次采用了一種主體屬性映射的方式，即將用戶所在的用戶組，所擁有的角色等信息都以用戶屬性的方式進(jìn)行映射，完成權(quán)限信息的跨域轉(zhuǎn)換和傳遞；使用中介系統(tǒng)完成用戶屬性信息域間映射，減輕了各授權(quán)域授權(quán)系統(tǒng)的壓力的同時降低了

4、系統(tǒng)間耦合程度，并且不需要大規(guī)模修改各授權(quán)域原有系統(tǒng)。 為了保障身份鑒別信息與權(quán)限信息進(jìn)行域間交換的安全和便于系統(tǒng)擴(kuò)展，本系統(tǒng)采用了SAML（Security Assertion Markup Language）技術(shù)實現(xiàn)跨域，使用了SAML請求和SAML響應(yīng)協(xié)議完成跨域信息的交互。在跨域身份鑒別和跨域授權(quán)過程中，分別使用了SAML認(rèn)證斷言和屬性斷言技術(shù)；對所有SAML請求和響應(yīng)消息都使用了數(shù)字證書進(jìn)行簽名，發(fā)揮了數(shù)字證書非對稱加