学位论文 > 优秀研究生学位论文题录展示
跨域认证关键技术研究
作 者: 李小标
导 师: 温巧燕
学 校: 北京邮电大学
专 业: 密码学
关键词: 单点登录 跨域认证 协议分析 访问控制 PMI
分类号: TP393.08
类 型: 博士论文
年 份: 2011年
下 载: 349次
引 用: 0次
阅 读: 论文下载
内容摘要
随着电子商务、电子政务应用的不断深入,信息安全显得越来越重要。身份认证和访问控制技术是信息安全领域的一个重要分支。跨域认证的实现使不同信任域之间的互联、互通、互操作成为可能。本文在认证和访问控制理论方面进行深入研究并取得了如下成果:(1)对跨域通用模型进行了研究,基于该模型提出了支持多模式应用的跨域认证方案。该方案基于PKI和PMI,服务端以中间件的方式实现认证、鉴权、审计功能,引进了SAML交换认证和鉴权信息。客户端则采用安全cookie、共享内存与ticket技术实现跨域单点登录。该方案解决了以往的单点登录方案仅支持C/S模式或B/S模式,不能很好的支持多模式混合应用的情况。该方案具有更高的安全性,更为全面的解决多模式应用的单点登录问题,因而具有广泛的应用前景。(2)为了满足撤销频繁、因网络环境而动态变化的认证需求,提出了认证系统通用的撤销方案。该方案基于公钥密码体制和安全动态累积函数有效的实现节点加入、撤销,并支持跨域认证。该方案可实现身份认证、密钥协商和密钥更新,具有实体认证、前向安全性等安全属性。与以往的方案相比,本解决方案更为通用的解决了撤销方面的性能、安全性、实用性等问题。(3)提出了一个跨域端到端的口令认证密钥交换协议(Client-to-Client Password-Authenticated Key Exchange, C2C-PAKE),可实现不同域的两个客户端通过不同的口令协商出共享的会话密钥。以往的方案大多数在Byun2007的C2C-PAKE协议基础上做的分析改进。最近,Feng等和刘等分别提出了基于公钥的C2C-PAKE协议的改进方案。通过协议分析,本文发现以上方案均存在未知密钥共享攻击、服务器恶意攻击等漏洞,并对此作了改进。(4)提出了统一资源访问控制系统的实现方案。本系统采用灵活的分级体系结构设计,理论上支持不限制级别的体系架构。系统由不同层级的认证系统、授权系统和访问控制系统的模块和关键子系统组成。该系统使用属性证书实现了基于角色的访问控制,对用户的登录采用集中的身份认证和单点登录技术,能兼容不同的认证方式和认证设备。针对不同应用,采用相应的访问控制技术。为方便使用,提出了透明代理网关的访问控制方式。采用透明代理网关的访问控制的方式无需在受保护的服务器(或应用系统)和用户客户端上安装相应的代理/插件,即可实现对资源的访问控制。系统采用分级的授权管理,提供分布式、集中式等灵活的授权管理模式,对外提供标准的认证、授权与审计接口,实现对认证硬件产品的选择无关性。本系统的设计方案能很好的满足资源访问控制的需求,并得到了广泛的应用。
|
全文目录
摘要 5-7 ABSTRACT 7-13 第一章 绪论 13-20 1.1 研究背景 13-14 1.2 国内外的研究现状 14-18 1.3 论文安排及主要研究成果 18-20 第二章 理论基础 20-50 2.1 密码学理论基础 20-26 2.1.1 对称密码算法 21-22 2.1.2 非对称密码算法 22-23 2.1.3 HASH函数和MAC码 23-24 2.1.4 数字签名 24-26 2.2 身份认证技术 26-35 2.2.1 基于口令认证 28-29 2.2.2 一次性口令认证 29 2.2.3 挑战握手认证协议 29-31 2.2.4 双因子认证 31-32 2.2.5 基于密码算法的认证 32-33 2.2.6 基于零知识证明的认证 33 2.2.7 基于生物特征识别的认证 33-35 2.3 访问控制简介 35-49 2.3.1 访问控制概念 35-36 2.3.2 访问控制通用模型 36-38 2.3.3 访问控制策略 38-46 2.3.3.1 自主访问控制(DAC) 39-40 2.3.3.2 强制访问控制(MAC) 40-42 2.3.3.3 基于角色的访问控制(RBAC) 42-43 2.3.3.4 基于任务的访问控制模型(TBAC) 43-45 2.3.3.5 基于对象的访问控制模型(OBAC) 45-46 2.3.4 访问控制标记语言 46-49 2.3.4.1 安全声明标记语言(SAML) 46-47 2.3.4.2 可扩展访问控制标记语言(XACML) 47-49 2.3.4.3 SAML与XACML的关系 49 2.4 本章小结 49-50 第三章 支持多模式应用的跨域认证方案 50-62 3.1 引言 50 3.2 跨域认证相关研究 50-51 3.3 集中认证鉴权审计通用中间件 51-53 3.4 支持多模式应用的跨域认证方案 53-61 3.4.1 单点登录架构 53-55 3.4.2 跨域认证通用模型 55-56 3.4.3 安全Cookie 56-57 3.4.4 多模式单点登录流程 57-58 3.4.5 跨域单点登录流程 58-60 3.4.6 安全性分析 60-61 3.5 本章小结 61-62 第四章 认证系统通用撤销方案 62-72 4.1 引言 62-63 4.2 撤销相关技术研究 63-65 4.3 动态累积函数概述 65-66 4.4 基于累积函数的撤销方案 66-67 4.5 方案应用(单域) 67-68 4.6 方案应用(跨域) 68-69 4.7 方案分析 69-70 4.8 本章小结 70-72 第五章 跨域认证协议研究 72-88 5.1 引言 72-73 5.2 基于口令跨域认证协议相关研究 73-74 5.3 安全性假设 74-75 5.4 基于口令跨域认证的密钥交换协议分析 75-87 5.4.1 安全协议设计原则 75-77 5.4.2 协议表示符号说明 77-78 5.4.3 Byun系列协议分析 78-81 5.4.3.1 Kim版Byun2002 78-80 5.4.3.2 Byun2007 80-81 5.4.4 Feng等协议分析 81-84 5.4.5 刘等协议分析 84-86 5.4.6 方案改进 86-87 5.5 本章小结 87-88 第六章 统一资源访问控制系统实现研究 88-125 6.1 引言 88-90 6.2 系统的需求 90-92 6.3 系统的设计目标 92-94 6.4 系统的设计原则 94-95 6.5 系统总体设计 95-108 6.5.1 系统体系设计 95-98 6.5.2 中心节点 98-101 6.5.3 下级节点(二级为例) 101-102 6.5.4 关键子系统功能设计 102-108 6.6 系统的访问控制实现 108-117 6.6.1 多模式应用的访问控制处理 109-110 6.6.2 基于透明代理网关的访问控制 110-117 6.6.2.1 系统网络结构 110-113 6.6.2.2 子系统功能 113-114 6.6.2.3 系统主要流程 114-117 6.7 关键技术小结 117-119 6.8 系统应用情况 119-123 6.9 本章小结 123-125 结束语 125-127 参考文献 127-135 致谢 135-136 博士在读期间完成的论文 136-137 博士在读期间完成和参与的项目 137
|
相似论文
- 医疗信息集成平台中DICOM中间件及访问控制模型的设计与实现,TP311.13
- 法院审判信息系统的访问控制研究,TP309
- 基于WINDOWS平台文件安全机制的研究,TP309
- 应用层协议识别和还原方法的研究与实现,TP393.08
- 基于机器学习的入侵检测系统研究,TP393.08
- 基于改进的RBAC模型和CAS的单点登录设计与实现,TP311.52
- 人行兰州中支门户系统建设研究与实现,TP311.52
- 基于SOA的法律风险服务系统的设计与实现,TP311.52
- 高校办公系统设计与实现,TP311.52
- 基于NEL的GTP协议分析及监控系统的设计和实现,TN929.5
- 基于ERM概念的透明加密技术的应用研究,TP309.7
- 基于.NET的数据库访问控制类组件的设计与实现,TP311.52
- OA系统中敏感数据安全的研究,TP317.1
- 基于PKI的单点登录系统的研究与实现,TP393.08
- 基于UCON的物联网环境访问控制模型及其应用,TP393.08
- 分布式认证技术研究,TN929.5
- B/S信息系统中的访问控制的实现与应用,TP311.52
- 短波高速体制电台组网技术研究,TN924
- 高校毕业论文选题系统的设计与实现,TP311.52
- 抢占式SMAC协议研究,TP212.9
- 基于安全断言标记语言的统一认证系统,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|