下一代互联网认证技术与授权模型研究

摘要

随着下一代互联网技术的发展以及下一代骨干网络的部署，同时随着电子商务、电子政务应用的不断深入，信息安全也显得越来越重要。认证与授权理论和技术是信息安全领域的一个重要分支。本文是作者几年来在认证和授权理论方面的研究与实践，主要工作及创新点体现在以下几个方面： (1)认证方面：研究的主题在于兼容多种认证方式的单点登录协议。论文在分析了目前认证技术的现状和实际应用的情况下，提出了一个以Ticket代理技术为核心、通过公钥技术来实现跨越多个域的身份认证协议，最大限度满足用户的使用习惯和安全要求。在讨论了抗重放攻击、防篡改、防窃听及中间人攻击的情况后，协议安全性由GNY逻辑进行证明。协议的提出，丰富和完善了面向单安全域和多安全域的认证协议。 (2)授权方面：研究的主题在于分级委托授权。论文针对当前授权模型中对权限分级的研究不够深入的现状，提出了一个多级委托授权模型。模型包含权威分级、主体分级、资源分级等概念，并形式化定义了权威、主体、资源与权限要素及其关系。论文还对模型进行实现，给出了数据结构定义和权限搜索算法，针对该模型和算法的讨论包括性能分析计算、分布式环境下权限复制、分布式环境下特权的映射机制等问题。模型的提出与相关讨论，深入地分析授权中的分级概念，对具有树形结构的组织单位实施分级授权具有很好的指导作用。 (3)实践验证方面：论文基于前面研究工作的基础，结合实现参与863课题“跨机构用户统一认证资源授权与审计系统”的建设经验，阐述了课题相关的理论研究进展、课题的建设思路、系统框架与基本流程。意义在于为推广和共享课题成果提供一个范例和平台，将研究成果与实际项目建设结合起来，提高认证与授权技术的应用水平。

目录

文摘

英文文摘

声明

第一章 绪论

1.1下一代互联网的信息安全

1.1.1信息安全的重要意义

1.1.2面临的主要安全需求

1.1.3基本解决手段

1.2本论文的出发点与目标

1.3本论文的章节安排与主要研究成果

第二章理论基础

2.1密码分析

2.2身份认证协议验证技术

2.3授权与访问控制策略

2.3.1安全策略

2.3.2授权与访问安全模型

2.3.3授权与访问控制机制

2.4本章小结

第三章身份认证及其协议研究

3.1引言

3.2身份认证技术与标准综述

3.3多域单点登录问题的提出

3.4面向多域兼容多种认证方式的SSO协议

3.4.1同一安全域的情形

3.4.2跨越多个安全域的情形

3.4.3 讨论

3.5本章小结

第四章授权技术及其形式模型研究

4.1引言

4.2 RBAC模型

4.2.1 RBAC96分析

4.2.2 RBAC的形式模型

4.2.3ARBAC97分析

4.2.4ARBAC97的形式模型

4.3织女星网格的授权模型

4.3.1.织女星网格简介

4.3.2 资源空间模型

4.4面向网格的多级委托授权模型

4.4.1引言

4.4.2基本模型

4.4.3访问控制

4.4.4模型实现

4.4.5模型小结

4.5本章小结

第五章应用验证-863课题"跨域认证授权"系统设计

5.1课题背景简介

5.2国内外研究综述

5.2.1安全声明标记语言(SAML)

5.2.2自由联盟

5.2.3 Shibboleth

5.2.4 Shibboleth 与Liberty身份联合框架的主流跨域认证技术比较

5.2.5 WS-*

5.3课题关键技术

5.3.1跨机构环境下的用户管理

5.3.2跨机构环境下用户的认证和授权管理框架

5.3.3跨域认证与授权基本流程

5.4本章小结

第六章结论与展望

6.1本文总结

6.2今后工作展望

参考文献

攻读博士学位期间完成的论文

攻读博士学位期间参加的科研项目

致谢