面向多域环境的访问控制技术研究与实现
本文选题:SOA + 身份认证 ; 参考:《西安电子科技大学》2015年硕士论文
【摘要】:SOA是当前广泛被使用的网络资源发布和访问的重要支撑手段,而基于SOA的网络环境经常建立在开放性、异构性极大的公共网络中,容易遭到由内部或外部原因引起的安全威胁。在面向服务的环境中,访问控制是安全需求中极其重要的组成部分,它包括身份认证和授权处理。因此,研究面向服务体系框架下的身份认证和授权等访问控制相关技术,设计并实现跨域和认证授权系统变得极具意义。本文首先在充分研究相关技术的基础上,对跨域的身份认证和授权系统的需求进行分析,为跨域的身份认证授权系统做出一个整体框架。根据需求,本文设计并实现域内的身份认证系统。该系统基于公钥基础架构的证书权威,使用PKI认证技术,实现了域内的登录认证功能;在域内认证的基础上,使用证书链和签名令牌两种方法实现了跨域认证功能,证书链验证可以将各个信任域方便地连接起来,各个信任域通过证书链验证彼此建立信任关系,而无需建立中间的审判机构。令牌验证可以通过一次认证,得到令牌,为后续授权以及其他操作提供凭据。最后从各个方面对系统进行了安全性分析,本文实现的跨域认证系统在保证基本功能的同时,还具有一定的安全性。本文基于现有的ABAC模型,提出了一套基于属性的动态授权模型。并以此为基础,分析跨域授权需解决的基本问题,设计并实现了一个基于属性映射和信任关系管理的跨域授权模型。属性映射服务制定了一套属性映射规则,通过规则将外域用户在本域无法使用的属性映射成本域授权服务可用的属性,以此顺利完成跨域授权,同时还保护了外域用户的隐私属性。信关系管理将各个信任域的关系量化为一个值以管理授权服务,提高了系统的安全性,而且信任值还能根据授权服务的结果进行动态调整。本文对实现的功能进行了测试,验证论文设计的各个功能的正确性和安全性。
[Abstract]:SOA is an important supporting means for the widely used network resource release and access, and the network environment based on SOA is often established in the open and heterogeneous public network, which is vulnerable to the security threat caused by internal or external reasons. In a service-oriented environment, access control is an extremely important component of security requirements, including authentication and authorization processing. Therefore, it is of great significance to study access control technologies such as identity authentication and authorization under the framework of service-oriented architecture, and to design and implement cross-domain and authentication authorization systems. In this paper, based on the full study of related technologies, the requirements of cross-domain authentication and authorization system are analyzed, and an overall framework for cross-domain authentication and authorization system is made. According to the requirements, this paper designs and implements the identity authentication system in the domain. This system is based on the certificate authority of public key infrastructure, uses PKI authentication technology, realizes the login authentication function in the domain, and realizes the cross-domain authentication function by using the certificate chain and the signature token on the basis of the authentication in the domain. Certificate chain verification can easily connect each trust domain. Each trust domain can establish trust relationship with each other through certificate chain, without establishing intermediate trial organization. Token validation can be authenticated once, get tokens, and provide credentials for subsequent authorization and other operations. Finally, the security of the system is analyzed from various aspects. The cross-domain authentication system implemented in this paper not only guarantees the basic function, but also has certain security. Based on the existing ABAC model, this paper proposes a dynamic authorization model based on attributes. Based on this, the basic problems of cross-domain authorization are analyzed, and a cross-domain authorization model based on attribute mapping and trust relationship management is designed and implemented. Attribute mapping service formulates a set of attribute mapping rules through which the attributes that can not be used by users outside the domain can be mapped to the attributes available to the cost domain authorization service, so that the cross-domain authorization is successfully completed. At the same time, it also protects the privacy property of the users. Trust relationship management quantifies the relationship of each trust domain into a value to manage the authorization service, which improves the security of the system, and the trust value can be dynamically adjusted according to the result of the authorization service. In this paper, the functions are tested to verify the correctness and security of each function designed in this paper.
【学位授予单位】:西安电子科技大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 倪力舜;;基于联邦的跨域身份认证平台的研究[J];电脑知识与技术;2011年01期
2 王福;周家晶;;基于属性的跨域访问方法研究[J];信息网络安全;2011年09期
3 张秋余;张启坤;袁占亭;王锐芳;;基于格的跨域认证联盟协议[J];计算机应用;2007年04期
4 邹翔;金波;倪力舜;;跨域访问控制与边界防御方法研究[J];计算机应用研究;2010年04期
5 匡振国;倪宏;嵇智辉;;基于代理的跨域业务管理方法研究[J];微计算机信息;2010年12期
6 崔立真;田君杰;王海洋;;基于两阶段规划模型的跨域服务流程动态构造方法[J];小型微型计算机系统;2011年09期
7 李勇;马满福;何廷年;曲伟丽;;网络环境下跨域信任调度模型[J];计算机工程与应用;2009年20期
8 邓一贵;张海龙;唐学文;;跨域的混合包标记编码方案[J];计算机工程与应用;2011年08期
9 袁家斌;魏利利;曾青华;;面向移动终端的云计算跨域访问委托模型[J];软件学报;2013年03期
10 何良;方勇;方f ;蒲伟;;浏览器跨域通信安全技术研究[J];信息安全与通信保密;2013年04期
相关会议论文 前9条
1 王福;周家晶;;基于属性的跨域访问方法研究[A];第26次全国计算机安全学术交流会论文集[C];2011年
2 张红旗;;网格环境下基于协商的跨域访问控制模型[A];第十一届保密通信与信息安全现状研讨会论文集[C];2009年
3 沈寒辉;邹翔;周家晶;;基于PKI的跨域边界信任计算方法[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
4 杨宇;谭平嶂;李镭;周楝淞;;基于标识的跨域认证系统研究[A];第十一届保密通信与信息安全现状研讨会论文集[C];2009年
5 李卫兵;;跨域MPLS VPN实现方式及应用案例[A];广东省通信学会2006年度学术论文集[C];2007年
6 刘欣;沈寒辉;周家晶;;一种动态细粒度跨域访问控制模型[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
7 陈建元;;跨域VPN部署要点[A];中国通信学会信息通信网络技术委员会2009年年会论文集(上册)[C];2009年
8 王鹏;;跨域治理中的地方政府间关系及其协调路径研究[A];市场经济与政府职能转变——2012年岭南经济论坛暨广东经济学会年会论文集[C];2012年
9 华静;;基于E通VPN跨域CN2备份组网设计[A];中国通信学会信息通信网络技术委员会2011年年会论文集(上册)[C];2011年
相关重要报纸文章 前10条
1 闻颖;“跨域企业通讯专网”提升办公效率[N];中国经营报;2005年
2 本报记者 刘芳君;算大账 跨域合作的“成阿”样本[N];成都日报;2014年
3 张志伟 刘兆忠;跨域优选:信息化作战聚能新方式[N];中国国防报;2013年
4 张颖;提升企业竞争力的利器[N];中国经济导报;2005年
5 本报记者 覃世默 本报通讯员 蒙鸿翔;“跨域联建”破难题[N];广西日报;2013年
6 记者 冯爱华;“红色旅游链”呼唤跨域协作[N];长江日报;2005年
7 李东杰;“跨域作战”新解[N];解放军报;2014年
8 ;TrueConnect用MPLS实现企业跨域网络[N];中国计算机报;2002年
9 本报记者 蒲婧;政务腾上云端 跨域资源整合是推力[N];政府采购信息报;2013年
10 宋;IBM、Red Hat、 TCS联手Linux[N];计算机世界;2005年
相关博士学位论文 前5条
1 郭聪;跨域群组认证密钥协商协议及其应用研究[D];北京理工大学;2015年
2 姚瑶;互联网跨域认证关键技术研究[D];东北大学;2012年
3 李小标;跨域认证关键技术研究[D];北京邮电大学;2011年
4 邹华;NGN业务跨域互操作访问控制研究[D];北京邮电大学;2010年
5 梁海英;基于MPLS跨域VPN若干问题研究[D];东北大学;2008年
相关硕士学位论文 前10条
1 黄小香;医用词语跨域使用研究[D];暨南大学;2010年
2 王虹;基于信任度量的Web服务跨域访问控制模型的研究[D];河北大学;2015年
3 鲁昕佳;软件定义网络的跨域交互及其应用研究[D];浙江大学;2015年
4 杨红星;云平台跨域分布式共享文件系统的设计与实现[D];浙江大学;2015年
5 杨涛;专业人才跨域搜索研究与应用[D];电子科技大学;2015年
6 刘欢;跨域认证与授权系统的设计与实现[D];西安电子科技大学;2014年
7 徐琛;云环境下跨域安全认证技术的研究与实现[D];北京工业大学;2015年
8 邹昭源;MPLS VPN技术的应用[D];西安电子科技大学;2015年
9 牟坚琼;域内线索和跨域线索对虚假记忆的影响[D];广西师范大学;2015年
10 刘海龙;基于服务器辅助的移动设备跨域认证技术的研究与设计[D];西北师范大学;2015年
,本文编号:1838059
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1838059.html
