随着我国经济的持续快速发展,企业信息化进程不断加快,信息技术、网络技术已成为企业在激烈的市场竞争中取胜的关键因素。目前国内企业纷纷采用ERP、SCM、CRM、HRM、OA等信息系统,逐步实现了全方位、多角度的信息化管理,同时借助信息化的平台,不断提高工作效率,降低运营成本,增强了企业竞争力。 随着企业的发展,部署的信息系统越来越多,信息系统面对的用户数量越来越大,地域分布越来越广,因此为各应用系统建立安全有效的认证、授权变得越来越重要。 基于效率和安全的因素,企业迫切需要改变传统的认证方式,采用一种更为高效、安全的认证机制,单点登录的概念由此产生。在访问控制方面,国内外学者提出了大量的访问控制模型,若以授权策略来划分,访问控制模型可分为:自主访问控制 (DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)、基于任务的访问控制(TBAC)、基于角色和任务的访问控制(TRBAC)等。 在对单点登录和访问控制理论进行研究的基础上,运用其理论实现与具体应用无关的企业认证授权系统。为了满足不同应用系统的访问控制方面的需要,给出了一种综合访问控制模型及其形式化描述。该模型把MAC、RBAC、TBAC 有机地结合在一起。为了增强模型的灵活性,对模型作了进一步的改进,改进模型能够根据不同应用系统的需要建立最适合的访问控制模型。在单点登录认证方面,采用Agent&Broker SSO模型,对Kerberos 认证协议进行扩展,用随机数取代时间戳,克服了Kerberos 需要各系统时间同步的缺点,在认证服务器端引入签名公钥,保证了认证服务器的不可否认性,增强了系统的安全性。针对企业应用分布式异构的特点,采用了中间件技术和Web Ser vi ces 技术,以服务的形式为企业各种应用提供统一身份认证、授权。给出了企业认证授权系统的总体设计以及核心模块的设计与实现。认证授权系统与具体的应用无关,为各应用系统提供包括身份认证、安全传输、数据保密性、数据完整性、不可否认、访问控制、权限管理、审计等全方位的应用级的安全服务。
展开▼
