论文摘要
随着下一代互联网技术的发展以及下一代骨干网络的部署,同时随着电子商务、电子政务应用的不断深入,信息安全也显得越来越重要。认证与授权理论和技术是信息安全领域的一个重要分支。本文是作者几年来在认证和授权理论方面的研究与实践,主要工作及创新点体现在以下几个方面:(1)认证方面:研究的主题在于兼容多种认证方式的单点登录协议。论文在分析了目前认证技术的现状和实际应用的情况下,提出了一个以Ticket代理技术为核心、通过公钥技术来实现跨越多个域的身份认证协议,最大限度满足用户的使用习惯和安全要求。在讨论了抗重放攻击、防篡改、防窃听及中间人攻击的情况后,协议安全性由GNY逻辑进行证明。协议的提出,丰富和完善了面向单安全域和多安全域的认证协议。(2)授权方面:研究的主题在于分级委托授权。论文针对当前授权模型中对权限分级的研究不够深入的现状,提出了一个多级委托授权模型。模型包含权威分级、主体分级、资源分级等概念,并形式化定义了权威、主体、资源与权限要素及其关系。论文还对模型进行实现,给出了数据结构定义和权限搜索算法,针对该模型和算法的讨论包括性能分析计算、分布式环境下权限复制、分布式环境下特权的映射机制等问题。模型的提出与相关讨论,深入地分析授权中的分级概念,对具有树形结构的组织单位实施分级授权具有很好的指导作用。(3)实践验证方面:论文基于前面研究工作的基础,结合实现参与863课题“跨机构用户统一认证资源授权与审计系统”的建设经验,阐述了课题相关的理论研究进展、课题的建设思路、系统框架与基本流程。意义在于为推广和共享课题成果提供一个范例和平台,将研究成果与实际项目建设结合起来,提高认证与授权技术的应用水平。
论文目录
摘要ABSTRACT第一章 绪论1.1 下一代互联网的信息安全1.1.1 信息安全的重要意义1.1.2 面临的主要安全需求1.1.3 基本解决手段1.2 本论文的出发点与目标1.3 本论文的章节安排与主要研究成果第二章 理论基础2.1 密码分析2.2 身份认证协议验证技术2.3 授权与访问控制策略2.3.1 安全策略2.3.2 授权与访问安全模型2.3.3 授权与访问控制机制2.4 本章小结第三章 身份认证及其协议研究3.1 引言3.2 身份认证技术与标准综述3.3 多域单点登录问题的提出3.4 面向多域兼容多种认证方式的SSO协议3.4.1 同一安全域的情形3.4.2 跨越多个安全域的情形3.4.3 讨论3.4.3.1 安全性分析3.4.3.2 协议证明3.4.3.3 结论3.5 本章小结第四章 授权技术及其形式模型研究4.1 引言4.2 RBAC模型4.2.1 RBAC96分析4.2.2 RBAC的形式模型4.2.3 ARBAC97分析4.2.4 ARBAC97的形式模型4.2.4.1 URA97模块4.2.4.2 PRA97模块4.2.4.3 RRA97模块4.3 织女星网格的授权模型4.3.1 织女星网格简介4.3.2 资源空间模型4.4 面向网格的多级委托授权模型4.4.1 引言4.4.2 基本模型4.4.2.1 权威4.4.2.2 主体4.4.2.3 资源与权限4.4.3 访问控制4.5.3.1 数据结构4.5.3.2 查找算法4.5.3.3 性能分析4.4.4 模型实现4.4.4.1 全局角色4.4.4.2 全局角色定义的复制4.4.4.3 全局角色到本地特权的映射4.4.5 模型小结4.5 本章小结第五章 应用验证—863课题"跨域认证授权"系统设计5.1 课题背景简介5.2 国内外研究综述5.2.1 安全声明标记语言(SAML)5.2.2 自由联盟5.2.3 Shibboleth5.2.3.1 Shibboleth系统的组成5.2.3.2 Shibboleth系统的使用5.2.4 Shibboleth与Liberty身份联合框架的主流跨域认证技术比较5.2.4.1 账户连接5.2.4.2 确定用户所属身份提供者5.2.5 WS-5.3 课题关键技术5.3.1 跨机构环境下的用户管理5.3.1.1 联盟身份5.3.1.2 用户身份认证5.3.1.3 角色的建立5.3.1.4 角色的授予5.3.1.5 权限的获取5.3.2 跨机构环境下用户的认证和授权管理框架5.3.2.1 用户所属机构5.3.2.2 共享资源提供者5.3.3 跨域认证与授权基本流程5.3.3.1 联盟用户统一身份认证5.3.3.2 联盟用户授权与鉴权5.4 本章小结第六章 结论与展望6.1 本文总结6.2 今后工作展望参考文献攻读博士学位期间完成的论文攻读博士学位期间参加的科研项目致谢
相关论文文献
标签:下一代互联网论文; 认证协议论文; 分级论文; 委托授权论文;
