学位论文 > 优秀研究生学位论文题录展示

基于角色的跨域访问控制模型研究

作 者: 钟丽丽
导 师: 瞿有甜
学 校: 浙江师范大学
专 业: 计算机软件与理论
关键词: 单点登录 基于角色访问控制模型 IRBAC2000 角色关联 C-IRBAc Shibboleth
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 33次
引 用: 0次
阅 读: 论文下载
 

内容摘要


在信息化时代,人们对于信息共享的要求越来越高,单个域内的资源共享已无法满足用户对资源的需求,跨域资源访问应运而生。单点登录(Single Sign-on, SSO)使得用户只需在跨域资源访问中主动进行一次身份认证,便可以访问其他被授权的所有网络资源,从而避免了用户多次登录和管理多个账户的麻烦,Shibboleth是新一代的单点登录实现方案,为用户跨域访问提供了安全可靠的身份认证机制。访问控制是保障信息资源安全的重要手段,跨域访问对访问控制提出了更高要求。IRBAC2000模型是域间安全互操作的策略框架,它定义了本域角色层次关系与外域角色层次关系之间的关联集,以此将RBAC模型扩展到多域环境,提高了跨域访问的安全性。本文在研究IRBAC2000基本思想的同时,分析了它存在的不足,并针对这些不足主要做了以下工作:首先,分析了导致角色冲突关联和违背静态职责分离原则的根本原因,并对角色的层次关系进行分析,提出了层次关系的序列化方法、角色层次关系比较方法及角色映射集快速获取方法,在此基础上提出了域间冲突关联全局检测算法和域间静态互斥角色全局检测算法,能快速找出有问题的角色关联。其次,为更好地解决IRBAC2000中存在的不足,提出了集中式角色映射访问控制模型(C-IRBAC),本模型应用检测算法来检测关联中存在的问题,定义了私有角色集和私有权限集来避免敏感权限的误授权;构造了域间穿梭规则,避免了因域间穿梭导致的域间角色渗透和角色隐提升;并针对角色变更引起的问题制定了一系列角色变更原则。最后,将C-IRBAC应用到Shibboleth单点登录系统中。对C-IRBAC在Shibboleth单点登录系统中的应用进行了可行性分析,并采用XML对角色集、权限集、角色关系以及角色与权限的对应关系进行统一描述,为Shibboleth单点登录系统提供了统一的访问控制模型,增强了安全性。

全文目录


摘要  3-5
ABSTRACT  5-7
目录  7-10
1 绪论  10-17
  1.1 研究背景及意义  10-11
  1.2 研究现状  11-14
    1.2.1 访问控制模型研究现状  11-13
    1.2.2 单点登录研究现状  13-14
  1.3 本文的主要工作  14-15
  1.4 论文的组织结构  15-17
2 相关技术介绍  17-32
  2.1 XML技术概述  17-20
    2.1.1 XML数据交换机制  18-19
    2.1.2 XML数据存取机制  19-20
  2.2 单点登录实现方式  20-24
  2.3 传统的访问控制模型  24-27
    2.3.1 自主访问控制模型(DAC)  25-26
    2.3.2 强制访问控制模型(MAC)  26-27
  2.4 基于角色的访问控制模型  27-31
  2.5 本章小结  31-32
3 IRBAC2000模型分析与关联检测算法  32-49
  3.1 IRBAC2000模型描述  32-34
  3.2 IRBAC安全问题分析  34-38
    3.2.1 角色冲突关联  34-35
    3.2.2 最小权限原则  35
    3.2.3 职责分离  35-36
    3.2.4 域间穿梭  36-37
    3.2.5 角色变更  37
    3.2.6 敏感权限的误授权  37-38
  3.3 引起冲突关联及职责分离的原因分析  38
  3.4 冲突关联检测  38-43
    3.4.1 冲突关联的分析  38-40
    3.4.2 角色层次关系序列化方法  40
    3.4.3 角色层次关系比较方法  40-42
    3.4.4 冲突关联全局检测算法  42-43
  3.5 职责分离检测  43-47
    3.5.1 静态职责分离的分析  43-45
    3.5.2 角色映射集快速获取方法  45-46
    3.5.3 域间静态互斥角色全局检测算法  46-47
  3.6 本章小结  47-49
4 集中式角色映射访问控制模型一C-IRBAC  49-60
  4.1 C-IRBAC模型的总体设计思想  50-51
  4.2 C-IRBAC模型的角色转换策略  51
  4.3 C-IRBAC模型操作的安全原则  51-54
  4.4 模型执行过程分析  54-57
    4.4.1 角色关联生成过程  54-55
    4.4.2 角色变更通知过程  55
    4.4.3 多信任域认证过程  55-57
  4.5 C-IRBAC模型主要模块功能分析  57-58
  4.6 角色映射存储模块存储结构  58-59
  4.7 本章小结  59-60
5 基于C-IRBAC的SHIBBOLETH单点登录  60-68
  5.1 Shibboleth简介  60-63
    5.1.1 Shibboleth概述  60
    5.1.2 Shibboleth系统的组成  60-63
  5.2 C-IRBAC模型在Shibboleth中的应用  63-67
    5.2.1 可行性分析  63
    5.2.2 C-IRBAC在Shibboleth框架中的部署  63-66
    5.2.3 基于C-IRBAC的Shibboleth跨域访问流程  66-67
    5.2.4 基于C-IRBAC的Shibboleth跨域访问安全性分析  67
  5.3 本章小结  67-68
6 工作总结与展望  68-70
  6.1 工作总结  68-69
  6.2 工作展望  69-70
参考文献  70-74
攻读硕士学位期间主要的研究成果  74-75
致谢  75-77

相似论文

  1. 基于改进的RBAC模型和CAS的单点登录设计与实现,TP311.52
  2. 医院信息系统中单点登录与授权管理系统的研究与开发,TP311.52
  3. 基于Shibboleth架构的跨域身份认证研究与设计,TP393.08
  4. 企业统一用户认证平台的研究和实现,TP393.08
  5. 一种基于多种身份认证方式单点登录系统的实现,TP393.08
  6. 面向定制服务的校园综合信息服务系统的研究与实现,TP311.52
  7. SOA体系架构中的服务安全控制及苏州工业园区组织机构目录设计,TP393.09
  8. 基于PKI和动态口令的统一认证授权管理系统的设计与实现,TP393.08
  9. 三门峡中专统一身份认证系统的设计与实现,TP393.08
  10. 基于CAS和Shibboleth的单点登录研究与设计,TP393.08
  11. 电信行业统一认证系统研究,TP393.09
  12. 基于SPS的政府门户系统的设计与实现,TP311.52
  13. 社会保险集成服务中单点登录系统的研究与实现,TP393.08
  14. 单点登录系统设计与实现,TP311.52
  15. 北京市统计信息系统的单点登录(SSO)的设计与实现,TP311.52
  16. 基于SOA的跨域单点登录系统的研究与实现,TP311.52
  17. 基于数字证书的身份认证技术研究,TP393.08
  18. 基于AJAX的玄武区政府信息门户开发,TP393.092
  19. 基于Shibboleth的认证机制的研究与实现,TP393.08
  20. 基于Java EE的单点登录的研究与开发,TP311.52

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com