移动互联网统一认证业务安全级别控制的研究与实现

摘要

移动互联网是标准互联网应用和移动环境服务的结合。移动互联网中具体业务和业务组件的提供是由网络中的诸多设备和软件完成的，该过程涉及到用户操作、协议交互、软件执行、数据访问、访问控制等多个关键步骤，交互过程复杂。现有的信息安全和网络安全技术还是面向整个网络的，而网络中的业务或应用没有被重点关注。但是，由于移动互联网中业务的多样化，以及业务与提供业务的设备之间的松耦合，使得业务的安全需求具有自身的特点，不同于网络的安全需求。这就需要直接从业务的角度重新审视安全问题。
　　 同时，统一认证服务体系正在成为移动互联网的发展趋势之一。目前，统一认证技术已经相对成熟了，但是随着应用环境的改变，具体的网络接入认证和业务使用认证还有很多问题值得进一步研究。作为移动互联网中特殊的服务，其承载多个具有不同安全性的业务。如何在统一认证服务平台上保障业务安全，研究移动互联网中业务安全级别控制具有重要的意义。
　　 本文首先介绍了移动互联网和统一认证服务的发展情况，并分析已有信息安全评估标准的特点。随后在上述背景和对多个国际标准研究基础上，分析并提出了移动互联网业务安全需求和框架，并基于该框架提出统一认证服务中业务安全级别控制方法，主要包括级别定级、基于等级的访问策略和用户可信度。其中，业务安全级别采用静态模糊综合评判法实现，为统一认证服务平台的业务加入提供了简单有效的业务安全级别定级。同时，对定级后的业务进行了有效的分级认证和级别切换管理，并引入体现业务动态性的用户可信度计算。在统一认证过程中基于上述等级和用户可信度进行用户身份认证。最后，本文详细给出了基于上述方法，具有业务安全级别控制功能的统一认证服务平台的设计与实现。

目录

文摘

英文文摘

第一章 绪论

1.1 研究背景

1.2 研究意义

1.3 项目背景

1.4 论文组织结构

第二章 相关技术介绍

2.1 移动互联网概述

2.2 统一认证服务

2.3 信息安全评估

第三章 移动互联网业务安全需求和框架

3.1 业务安全威胁

3.2 业务安全需求

3.3 业务服务层次

3.3.1 移动互联网业务服务层次划分

3.3.2 基础服务

3.3.3 应用服务

3.4 业务结构域

3.5 移动互联网业务安全框架

3.6 本章小结

第四章 统一认证业务安全级别控制方法

4.1 安全级别控制方法

4.1.1 传统访问控制模型

4.1.2 业务间切换控制需求

4.1.3 基于等级的多因素动态认证方法

4.1.4 方法比较

4.2 基于模糊综合评判法的业务安全级别定级

4.2.1 模糊综合评判法

4.2.2 评判因素集选择

4.2.3 业务因素权重集确定方法

4.2.4 业务评判集

4.2.5 单因素模糊评判方法

4.2.6 业务安全级别模糊综合评判决策

4.3 基于等级的访问策略

4.3.1 分级认证策略

4.3.2 级别间切换策略

4.4 用户可信度

4.4.1 业务用户数据分类

4.4.2 用户可信度计算

4.5 本章小结

第五章 统一认证服务业务控制部分的设计与实现

5.1 整体系统结构

5.1.1 系统功能需求

5.1.2 系统体系结构

5.1.3 系统功能架构

5.1.4 业务控制相关系统协作流程

5.2 模块设计

5.2.1 模块类图

5.2.2 消息交互图

5.3 业务级别切换相关数据库表

5.4 系统实现

5.4.1 模拟业务

5.4.2 UASP页面

5.5 本章小结

第六章 结束语

6.1 论文总结

6.2 进一步的研究工作

参考文献

附 录

致 谢

攻读学位期间发表的学术论文目录