基于格的跨信任域認證聯(lián)盟關(guān)鍵技術(shù)研究.pdf

1、隨著分布式網(wǎng)絡(luò)的快速發(fā)展與普及應用,網(wǎng)絡(luò)提供的服務(wù)需求呈現(xiàn)多樣化發(fā)展態(tài)勢,網(wǎng)絡(luò)資源共享及服務(wù)請求已經(jīng)由獨立自治的域內(nèi)計算環(huán)境向開放動態(tài)協(xié)作的域間計算環(huán)境轉(zhuǎn)變,這種轉(zhuǎn)變就使得跨域認證、域間信任管理等域間安全問題成為迫切需要解決且具有挑戰(zhàn)性的研究方向。
　　 目前,由于認證機構(gòu)的集權(quán)性和管理體系的不科學性,使得傳統(tǒng)的跨域認證模式暴露出了單點崩潰、網(wǎng)絡(luò)瓶頸和效率低下等諸多弊端,阻礙了無信息壟斷的、無中央集權(quán)的、可以相互協(xié)作,并跨越多個

2、網(wǎng)絡(luò)、多個信任域的服務(wù)的提供,在這種情況下構(gòu)建自由開放、無平臺、高效穩(wěn)定、安全可靠的信任域聯(lián)盟成為一種必然。為此,本文主要開展了以下研究工作:
　　 針對現(xiàn)有認證系統(tǒng)存在的問題及缺陷,以格理論為基礎(chǔ)構(gòu)建了跨信任域認證聯(lián)盟模型,并引入互為牽制的雙驗證機制,以支持不同信任域間的雙項實體認證及大規(guī)模跨域的聯(lián)合認證,避免了傳統(tǒng)中央統(tǒng)籌式認證方法中由某個獨立的特權(quán)機構(gòu)認證所帶來的安全隱患問題。通過設(shè)計工作流程、認證協(xié)議及隱身傳輸協(xié)議,保障

3、了用戶身份信息與隱私的安全性。模型具有嚴密的邏輯結(jié)構(gòu),有較好的靈活性、可擴展性、可以抵抗單點崩潰、網(wǎng)絡(luò)瓶頸和減少域間的通信規(guī)模。
　　 為解決大規(guī)模分布式環(huán)境下認證聯(lián)盟體系的動態(tài)信任管理,論文首先針對域間信任關(guān)系復雜性、動態(tài)性等特點,充分考慮信任度隨時間衰減的性質(zhì),引入時間因子,提出了一種新的跨域認證體系中信任度的計算方法。該方法計算總體信任度時,在beth信任度計算的基礎(chǔ)上,提出了基于偏移度權(quán)重的信任度計算公式,可以使信任度更

4、接近于直接信任度,更具有客觀性;其次,將本文的動態(tài)信任模型應用到格的跨域認證中,給出了相關(guān)算法。并在RBAC策略框架的基礎(chǔ)上,使用矩陣映射結(jié)構(gòu)進行域之間的角色映射,簡化映射過程,方便角色映射。通過加入一種安全檢測機制,可防止RBAC授權(quán)機制中一個用戶擁有兩個靜態(tài)互斥角色,產(chǎn)生違反職責分離的問題;最后,給出相關(guān)的認證聯(lián)盟授權(quán)綜合算法。
　　 為解決認證聯(lián)盟的證書認證路徑快速搜索的問題,論文基于啟發(fā)式的搜索算法,針對認證聯(lián)盟中域內(nèi)證

5、書認證路徑的靜態(tài)性,主要考慮搜索的時間因素,鑒于A*算法在靜態(tài)環(huán)境中搜索的高效性和快捷性將其用于域內(nèi)信任路徑的查找方法,并針對域間認證路徑動態(tài)構(gòu)建的特征,使用D*算法來實現(xiàn)動態(tài)環(huán)境中的路徑查找,充分發(fā)揮其適用于動態(tài)環(huán)境搜索的優(yōu)點,滿足最短最優(yōu)路徑查找,提高了計算效率和安全可靠性。針對認證聯(lián)盟中往往存在域間與域內(nèi)路徑反復交替查找的問題,提出了一種基于AD*搜索的認證路徑構(gòu)建算法。動靜兩種啟發(fā)式函數(shù)相結(jié)合,使得AD*算法在認證路徑搜索的效率

6、方面有著得天獨厚的優(yōu)勢,可更好地利用網(wǎng)絡(luò)資源,解決了傳統(tǒng)跨域認證的龐大的通信規(guī)模和因缺乏靈活性而不適應當前網(wǎng)絡(luò)環(huán)境的問題,同時降低了路徑查找的計算復雜度、有效減少認證的延遲、節(jié)省訪問路徑的費用,提高了搜索效率和跨域認證的靈活性。
　　 論文解決了跨信任域聯(lián)盟的域間集成設(shè)計問題。結(jié)合現(xiàn)有網(wǎng)絡(luò)及安全技術(shù),設(shè)計了跨域認證中間件的體系結(jié)構(gòu)、功能子模塊和功能域接口。各個獨立的信任域間通過布署統(tǒng)一接口的面向服務(wù)的認證中間件,來建立域間信任關(guān)