学位论文 > 优秀研究生学位论文题录展示
跨域认证关键技术研究
作 者: 李小标
导 师: 温巧燕
学 校: 北京邮电大学
专 业: 密码学
关键词: 单点登录 跨域认证 协议分析 访问控制 PMI
分类号: TP393.08
类 型: 博士论文
年 份: 2011年
下 载: 349次
引 用: 0次
阅 读: 论文下载
内容摘要
|
随着电子商务、电子政务应用的不断深入,信息安全显得越来越重要。身份认证和访问控制技术是信息安全领域的一个重要分支。跨域认证的实现使不同信任域之间的互联、互通、互操作成为可能。本文在认证和访问控制理论方面进行深入研究并取得了如下成果:(1)对跨域通用模型进行了研究,基于该模型提出了支持多模式应用的跨域认证方案。该方案基于PKI和PMI,服务端以中间件的方式实现认证、鉴权、审计功能,引进了SAML交换认证和鉴权信息。客户端则采用安全cookie、共享内存与ticket技术实现跨域单点登录。该方案解决了以往的单点登录方案仅支持C/S模式或B/S模式,不能很好的支持多模式混合应用的情况。该方案具有更高的安全性,更为全面的解决多模式应用的单点登录问题,因而具有广泛的应用前景。(2)为了满足撤销频繁、因网络环境而动态变化的认证需求,提出了认证系统通用的撤销方案。该方案基于公钥密码体制和安全动态累积函数有效的实现节点加入、撤销,并支持跨域认证。该方案可实现身份认证、密钥协商和密钥更新,具有实体认证、前向安全性等安全属性。与以往的方案相比,本解决方案更为通用的解决了撤销方面的性能、安全性、实用性等问题。(3)提出了一个跨域端到端的口令认证密钥交换协议(Client-to-Client Password-Authenticated Key Exchange, C2C-PAKE),可实现不同域的两个客户端通过不同的口令协商出共享的会话密钥。以往的方案大多数在Byun2007的C2C-PAKE协议基础上做的分析改进。最近,Feng等和刘等分别提出了基于公钥的C2C-PAKE协议的改进方案。通过协议分析,本文发现以上方案均存在未知密钥共享攻击、服务器恶意攻击等漏洞,并对此作了改进。(4)提出了统一资源访问控制系统的实现方案。本系统采用灵活的分级体系结构设计,理论上支持不限制级别的体系架构。系统由不同层级的认证系统、授权系统和访问控制系统的模块和关键子系统组成。该系统使用属性证书实现了基于角色的访问控制,对用户的登录采用集中的身份认证和单点登录技术,能兼容不同的认证方式和认证设备。针对不同应用,采用相应的访问控制技术。为方便使用,提出了透明代理网关的访问控制方式。采用透明代理网关的访问控制的方式无需在受保护的服务器(或应用系统)和用户客户端上安装相应的代理/插件,即可实现对资源的访问控制。系统采用分级的授权管理,提供分布式、集中式等灵活的授权管理模式,对外提供标准的认证、授权与审计接口,实现对认证硬件产品的选择无关性。本系统的设计方案能很好的满足资源访问控制的需求,并得到了广泛的应用。
|
全文目录
摘要 5-7
ABSTRACT 7-13
第一章 绪论 13-20
1.1 研究背景 13-14
1.2 国内外的研究现状 14-18
1.3 论文安排及主要研究成果 18-20
第二章 理论基础 20-50
2.1 密码学理论基础 20-26
2.1.1 对称密码算法 21-22
2.1.2 非对称密码算法 22-23
2.1.3 HASH函数和MAC码 23-24
2.1.4 数字签名 24-26
2.2 身份认证技术 26-35
2.2.1 基于口令认证 28-29
2.2.2 一次性口令认证 29
2.2.3 挑战握手认证协议 29-31
2.2.4 双因子认证 31-32
2.2.5 基于密码算法的认证 32-33
2.2.6 基于零知识证明的认证 33
2.2.7 基于生物特征识别的认证 33-35
2.3 访问控制简介 35-49
2.3.1 访问控制概念 35-36
2.3.2 访问控制通用模型 36-38
2.3.3 访问控制策略 38-46
2.3.3.1 自主访问控制(DAC) 39-40
2.3.3.2 强制访问控制(MAC) 40-42
2.3.3.3 基于角色的访问控制(RBAC) 42-43
2.3.3.4 基于任务的访问控制模型(TBAC) 43-45
2.3.3.5 基于对象的访问控制模型(OBAC) 45-46
2.3.4 访问控制标记语言 46-49
2.3.4.1 安全声明标记语言(SAML) 46-47
2.3.4.2 可扩展访问控制标记语言(XACML) 47-49
2.3.4.3 SAML与XACML的关系 49
2.4 本章小结 49-50
第三章 支持多模式应用的跨域认证方案 50-62
3.1 引言 50
3.2 跨域认证相关研究 50-51
3.3 集中认证鉴权审计通用中间件 51-53
3.4 支持多模式应用的跨域认证方案 53-61
3.4.1 单点登录架构 53-55
3.4.2 跨域认证通用模型 55-56
3.4.3 安全Cookie 56-57
3.4.4 多模式单点登录流程 57-58
3.4.5 跨域单点登录流程 58-60
3.4.6 安全性分析 60-61
3.5 本章小结 61-62
第四章 认证系统通用撤销方案 62-72
4.1 引言 62-63
4.2 撤销相关技术研究 63-65
4.3 动态累积函数概述 65-66
4.4 基于累积函数的撤销方案 66-67
4.5 方案应用(单域) 67-68
4.6 方案应用(跨域) 68-69
4.7 方案分析 69-70
4.8 本章小结 70-72
第五章 跨域认证协议研究 72-88
5.1 引言 72-73
5.2 基于口令跨域认证协议相关研究 73-74
5.3 安全性假设 74-75
5.4 基于口令跨域认证的密钥交换协议分析 75-87
5.4.1 安全协议设计原则 75-77
5.4.2 协议表示符号说明 77-78
5.4.3 Byun系列协议分析 78-81
5.4.3.1 Kim版Byun2002 78-80
5.4.3.2 Byun2007 80-81
5.4.4 Feng等协议分析 81-84
5.4.5 刘等协议分析 84-86
5.4.6 方案改进 86-87
5.5 本章小结 87-88
第六章 统一资源访问控制系统实现研究 88-125
6.1 引言 88-90
6.2 系统的需求 90-92
6.3 系统的设计目标 92-94
6.4 系统的设计原则 94-95
6.5 系统总体设计 95-108
6.5.1 系统体系设计 95-98
6.5.2 中心节点 98-101
6.5.3 下级节点(二级为例) 101-102
6.5.4 关键子系统功能设计 102-108
6.6 系统的访问控制实现 108-117
6.6.1 多模式应用的访问控制处理 109-110
6.6.2 基于透明代理网关的访问控制 110-117
6.6.2.1 系统网络结构 110-113
6.6.2.2 子系统功能 113-114
6.6.2.3 系统主要流程 114-117
6.7 关键技术小结 117-119
6.8 系统应用情况 119-123
6.9 本章小结 123-125
结束语 125-127
参考文献 127-135
致谢 135-136
博士在读期间完成的论文 136-137
博士在读期间完成和参与的项目 137
|
相似论文
- 医疗信息集成平台中DICOM中间件及访问控制模型的设计与实现,TP311.13
- 法院审判信息系统的访问控制研究,TP309
- 基于WINDOWS平台文件安全机制的研究,TP309
- 应用层协议识别和还原方法的研究与实现,TP393.08
- 基于机器学习的入侵检测系统研究,TP393.08
- 基于改进的RBAC模型和CAS的单点登录设计与实现,TP311.52
- 人行兰州中支门户系统建设研究与实现,TP311.52
- 基于SOA的法律风险服务系统的设计与实现,TP311.52
- 高校办公系统设计与实现,TP311.52
- 基于NEL的GTP协议分析及监控系统的设计和实现,TN929.5
- 基于ERM概念的透明加密技术的应用研究,TP309.7
- 基于.NET的数据库访问控制类组件的设计与实现,TP311.52
- OA系统中敏感数据安全的研究,TP317.1
- 基于PKI的单点登录系统的研究与实现,TP393.08
- 基于UCON的物联网环境访问控制模型及其应用,TP393.08
- 分布式认证技术研究,TN929.5
- B/S信息系统中的访问控制的实现与应用,TP311.52
- 短波高速体制电台组网技术研究,TN924
- 高校毕业论文选题系统的设计与实现,TP311.52
- 抢占式SMAC协议研究,TP212.9
- 基于安全断言标记语言的统一认证系统,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|