论文摘要
随着分布式网络的快速发展与普及应用,网络提供的服务需求呈现多样化发展态势,网络资源共享及服务请求已经由独立自治的域内计算环境向开放动态协作的域间计算环境转变,这种转变就使得跨域认证、域间信任管理等域间安全问题成为迫切需要解决且具有挑战性的研究方向。目前,由于认证机构的集权性和管理体系的不科学性,使得传统的跨域认证模式暴露出了单点崩溃、网络瓶颈和效率低下等诸多弊端,阻碍了无信息垄断的、无中央集权的、可以相互协作,并跨越多个网络、多个信任域的服务的提供,在这种情况下构建自由开放、无平台、高效稳定、安全可靠的信任域联盟成为一种必然。为此,本文主要开展了以下研究工作:针对现有认证系统存在的问题及缺陷,以格理论为基础构建了跨信任域认证联盟模型,并引入互为牵制的双验证机制,以支持不同信任域间的双项实体认证及大规模跨域的联合认证,避免了传统中央统筹式认证方法中由某个独立的特权机构认证所带来的安全隐患问题。通过设计工作流程、认证协议及隐身传输协议,保障了用户身份信息与隐私的安全性。模型具有严密的逻辑结构,有较好的灵活性、可扩展性、可以抵抗单点崩溃、网络瓶颈和减少域间的通信规模。为解决大规模分布式环境下认证联盟体系的动态信任管理,论文首先针对域间信任关系复杂性、动态性等特点,充分考虑信任度随时间衰减的性质,引入时间因子,提出了一种新的跨域认证体系中信任度的计算方法。该方法计算总体信任度时,在beth信任度计算的基础上,提出了基于偏移度权重的信任度计算公式,可以使信任度更接近于直接信任度,更具有客观性;其次,将本文的动态信任模型应用到格的跨域认证中,给出了相关算法。并在RBAC策略框架的基础上,使用矩阵映射结构进行域之间的角色映射,简化映射过程,方便角色映射。通过加入一种安全检测机制,可防止RBAC授权机制中一个用户拥有两个静态互斥角色,产生违反职责分离的问题;最后,给出相关的认证联盟授权综合算法。为解决认证联盟的证书认证路径快速搜索的问题,论文基于启发式的搜索算法,针对认证联盟中域内证书认证路径的静态性,主要考虑搜索的时间因素,鉴于A*算法在静态环境中搜索的高效性和快捷性将其用于域内信任路径的查找方法,并针对域间认证路径动态构建的特征,使用D*算法来实现动态环境中的路径查找,充分发挥其适用于动态环境搜索的优点,满足最短最优路径查找,提高了计算效率和安全可靠性。针对认证联盟中往往存在域间与域内路径反复交替查找的问题,提出了一种基于AD*搜索的认证路径构建算法。动静两种启发式函数相结合,使得AD*算法在认证路径搜索的效率方面有着得天独厚的优势,可更好地利用网络资源,解决了传统跨域认证的庞大的通信规模和因缺乏灵活性而不适应当前网络环境的问题,同时降低了路径查找的计算复杂度、有效减少认证的延迟、节省访问路径的费用,提高了搜索效率和跨域认证的灵活性。论文解决了跨信任域联盟的域间集成设计问题。结合现有网络及安全技术,设计了跨域认证中间件的体系结构、功能子模块和功能域接口。各个独立的信任域间通过布署统一接口的面向服务的认证中间件,来建立域间信任关系。用户访问在透明的情况下,通过域间协作实现跨域访问与各域资源共享。新的域只需要通过面向服务的方式架构统一的安全信任接口,即可在访问过程中与其他域建立信任关系,有效节约系统开发的成本,提高系统使用、运行的效能。
论文目录
相关论文文献
标签:双验证机制论文; 启发式算法论文; 认证路径论文; 中间件论文; 动态信任管理论文; 跨域认证论文; 信任域联盟论文;