跨域鑒別與授權研究.pdf

1、隨著互聯(lián)網(wǎng)與分布式計算能力的不斷發(fā)展，大范圍的資源共享成為一種趨勢。經濟的發(fā)展使得企業(yè)分工更細，更加注重動態(tài)協(xié)作，業(yè)務過程已經跨越組織邊界，涉及相互合作的多個企業(yè)組織，企業(yè)之間通過網(wǎng)絡交換信息與共享更加的頻繁。安全性是這些企業(yè)或組織不得不十分關注的問題，身份鑒別和訪問授權是保障安全性首先要解決的兩個問題。 目前在網(wǎng)絡環(huán)境下實現(xiàn)的身份鑒別大多采用用戶名口令方式，并且用戶身份鑒別往往局限在一個企業(yè)內部或者一個網(wǎng)站內部，而且用戶名口令

2、方式還存在諸多不安全隱患；訪問授權方式多數(shù)是采用基于ACL或RBAC的授權機制。然而這些訪問授權機制的具體實現(xiàn)方式和定義方式各不相同，并且往往都只能在一個企業(yè)內部或者一個網(wǎng)站內部使用。所以要在這樣一些企業(yè)之間建立合理的能跨域的鑒別與訪問授權系統(tǒng)還存在諸多復雜問題需要解決。 本文的研究重點是如何解決跨域鑒別與授權的諸多問題，如跨域鑒別時外域用戶身份鑒別地址的尋址問題以及跨域授權時域間權限信息傳遞的互操作性問題，并在此基礎上實現(xiàn)了一

3、個能夠支持多種訪問授權機制進行跨域身份鑒別與授權的系統(tǒng)。針對跨域鑒別問題，本系統(tǒng)采用了更安全的數(shù)字證書作為鑒別的憑證，并且引入了跨域中介來輔助被訪問的應用系統(tǒng)進行跨域身份鑒別，解決了跨域尋址問題。針對跨域授權的互操作性問題，本系統(tǒng)首次采用了一種主體屬性映射的方式，即將用戶所在的用戶組，所擁有的角色等信息都以用戶屬性的方式進行映射，完成權限信息的跨域轉換和傳遞；使用中介系統(tǒng)完成用戶屬性信息域間映射，減輕了各授權域授權系統(tǒng)的壓力的同時降低了

4、系統(tǒng)間耦合程度，并且不需要大規(guī)模修改各授權域原有系統(tǒng)。 為了保障身份鑒別信息與權限信息進行域間交換的安全和便于系統(tǒng)擴展，本系統(tǒng)采用了SAML（Security Assertion Markup Language）技術實現(xiàn)跨域，使用了SAML請求和SAML響應協(xié)議完成跨域信息的交互。在跨域身份鑒別和跨域授權過程中，分別使用了SAML認證斷言和屬性斷言技術；對所有SAML請求和響應消息都使用了數(shù)字證書進行簽名，發(fā)揮了數(shù)字證書非對稱加