分布安全代理体系及其授权访问控制机制的设计与实现

摘要

随着网络应用的普及,出现了大量的网络数据资源(如文摘库、论文全文库、档案资料库、业务数据库等等)为那些购买这些资源的机构的特定用户服务.为了使机构在可以最大限度的方便所属用户使用这些资源的同时,又能够实施自己的安全策略控制这些用户的访问,该文设计实现了一个由一系列分布部署、提供逆向代理服务的安全代理服务器和对这些代理服务实施集中管理的管理中心组成的分布安全代理体系,及应用于该体系中的基于SAML规范和XACML规范的分布授权访问控制机制.文中结合对业务功能需求的分析,设计了分布安全代理体系的体系结构和业务流程;在分析现有的授权和访问控制模型的优缺点的基础上,通过改进体系结构的设计和重构策略获取更新流程,设计了一个高效的、可以分布实施灵活的访问控制策略的分布授权访问控制机制,和应用于分布安全代理体系中各种不同场景下的运作流程;提出了分布安全代理体系及其授权访问控制机制的实现方案,最终构建了一个支持Single Sign-On,支持对代理服务进行集中配置管理和集中监控,可以根据统一管理、分布实施的资源访问策略对用户的访问进行分布授权和灵活的访问控制的Web应用体系框架.该文的研究成果已被应用于中科院数字图书馆《分布移动用户使用管理技术平台研究与建设》项目工程中,满足了实际需求.

目录

文摘

英文文摘

声明及学位论文使用授权声明

1绪论

1.1课题来源背景

1.1.1课题背景

1.1.2国内外研究现状

1.2研究意义和内容

1.2.1研究的意义

1.2.2本文的研究内容和主要工作

1.3本文的组织

2相关技术综述

2.1安全代理(逆向代理)技术

2.2 SINGLE SIGN-ON与SAML规范

2.2.1 Single Sign On(SSO单点登录技术)

2.2.2安全声明标记语言(SAML)

2.2.3基于SAML的SSO身份认证机制

2.3访问控制与XACML

2.3.1访问控制技术

2.3.2 XACML可扩展的访问控制标记语言

2.3.3 XACML的应用与分析

2.4 SAML与XACML的关系

2.5简单对象访问协议(SOAP)

3设计考虑

3.1分布安全代理体系的设计考虑

3.1.1实际需求

3.1.2设计思路

3.2分布授权访问控制机制的设计考虑

3.2.1现有体系模型的分析

3.2.2功能需求

3.2.3设计思路

4总体结构设计

4.1分布授权访问控制机制的设计

4.1.1体系结构设计

4.1.2异步访问控制策略更新机制

4.1.3场景分析和运作流程

4.2分布安全代理体系的设计

4.2.1方案总体架构设计

4.2.2代理服务管理系统

4.2.3安全应用代理服务器系统

5实现方案

5.1分布安全代理体系方案的实现

5.1.1安全代理服务器系统

5.1.2代理配置管理和监控中心系统

5.2分布授权访问控制机制的实现

5.2.1访问控制权限和策略的定义

5.2.2授权访问控制流程的实现

5.2.3策略获取和更新的实现

5.2.4访问控制决策的实现

6应用实例及分析

6.1应用实例

6.2运行实例分析

全文总结与展望

全文总结

下一步的工作

致谢

参考文献

附录：

附录A：XACML访问控制策略描述实例

附录B：XACML访问控制策略决策请求及其决策响应

附录C：安全应用代理服务器的部署文件WEB.XML的片断