面向多域環(huán)境的訪問控制技術(shù)研究與實現(xiàn).pdf

1、SOA是當前廣泛被使用的網(wǎng)絡資源發(fā)布和訪問的重要支撐手段，而基于SOA的網(wǎng)絡環(huán)境經(jīng)常建立在開放性、異構(gòu)性極大的公共網(wǎng)絡中，容易遭到由內(nèi)部或外部原因引起的安全威脅。在面向服務的環(huán)境中，訪問控制是安全需求中極其重要的組成部分，它包括身份認證和授權(quán)處理。因此，研究面向服務體系框架下的身份認證和授權(quán)等訪問控制相關技術(shù)，設計并實現(xiàn)跨域和認證授權(quán)系統(tǒng)變得極具意義。
　　本文首先在充分研究相關技術(shù)的基礎上，對跨域的身份認證和授權(quán)系統(tǒng)的需求進行分

2、析，為跨域的身份認證授權(quán)系統(tǒng)做出一個整體框架。根據(jù)需求，設計并實現(xiàn)域內(nèi)的身份認證系統(tǒng)。該系統(tǒng)基于公鑰基礎架構(gòu)的證書權(quán)威，使用PKI認證技術(shù)，實現(xiàn)了域內(nèi)的登錄認證功能；在域內(nèi)認證的基礎上，使用證書鏈和簽名令牌兩種方法實現(xiàn)了跨域認證功能，證書鏈驗證可以將各個信任域方便地連接起來，各個信任域通過證書鏈驗證彼此建立信任關系，而無需建立中間的審判機構(gòu)。令牌驗證可以通過一次認證，得到令牌，為后續(xù)授權(quán)以及其他操作提供憑據(jù)。最后從各個方面對系統(tǒng)進行了安

3、全性分析，本文實現(xiàn)的跨域認證系統(tǒng)在保證基本功能的同時，還具有一定的安全性?；诂F(xiàn)有的ABAC模型，提出了一套基于屬性的動態(tài)授權(quán)模型。并以此為基礎，分析跨域授權(quán)需解決的基本問題，設計并實現(xiàn)了一個基于屬性映射和信任關系管理的跨域授權(quán)模型。屬性映射服務制定了一套屬性映射規(guī)則，通過規(guī)則將外域用戶在本域無法使用的屬性映射成本域授權(quán)服務可用的屬性，以此順利完成跨域授權(quán)，同時還保護了外域用戶的隱私屬性。信關系管理將各個信任域的關系量化為一個值以管理授