● 摘要
不同的组织机构为了资源共享和业务交互组建了联盟,在这种情况下,组织机构需要管理跨域来访以及出访的主体,于是出现了联盟身份管理。跨域主体通过提供适当的凭证能够证明自己的身份从而可以跨域访问服务。但是根据固定的鉴别和访问控制策略无法约束来访主体的操作,这种情况下的跨域访问增加了对本组织域信息及服务的威胁。针对这个问题,本文给出了一种考虑行为信任的联盟身份管理机制,在联盟身份管理的过程中考虑主体行为对其自身整个跨域身份生命周期的影响。论文所做的工作主要体现在以下三个方面:(1) 提出了引入主体行为信任情况下的一种联盟身份管理机制——TFIM机制,该机制为访问控制系统提供信任值更新接口,并完成了信任值的存储、信任值监测与处理、身份映射、身份联合和身份供应。(2) 给出了一种组织域间身份信息传递的方法:以SAML作为主体身份信息的描述语言,设计并实现了身份供应组件,为主体跨域访问提供服务,保证主体的身份信息、鉴别信息安全地从一个组织域传递到另一个组织域。(3) 在TFIM机制的基础上,完成了该部分的详细设计,并将其应用在统一用户管理与身份鉴别系统(UIA系统)中,列出了其应用实例和运行结果分析。