● 摘要
身份鉴别是证实用户所声称的身份与其真实身份是否相符的过程,随着大规模企业集成环境的不断复杂和业务需求的增加,用户需要向多个受保护资源进行身份鉴别,降低了工作效率。为了解决这一问题,出现了单点登录技术(Single Sign-On, SSO),其思想是一次鉴别,多点访问,资源间共享身份鉴别结果。 从安全性角度看,这些复杂的企业集成系统由多个独立的安全域构成。在Web环境下,Web应用通常也分布在不同的安全域中。为了实现用户在域间的访问,相互独立的安全域必须建立关系。同时,由于安全信息在不同安全域中的语义和表述不同,用户在访问时,还涉及到用户身份鉴别信息的传递和转换问题。 针对上述问题,我们提出了一种安全域间的单点登录机制,并将该机制应用在统一用户管理与身份鉴别系统(UIA)中。论文所做的工作体现在以下三个方面:(1) 基于模糊集的信任评价模型,实现了一种对安全域信任评价的方法,不同安全域之间通过建立信任关系,构成联盟,用户可以在联盟内访问共享资源。(2) 设计了一种安全域间安全信息互操作的机制,以SAML作为用户安全信息的描述语言,设计并实现SAML声明服务器,为用户在域间访问做担保,保证用户身份鉴别信息安全、高效地从一个安全域传递到另一个安全域。(3) 在分析现有单点登录模型的基础上,设计一种基于SAML PULL模式和Liberty信任圈模型、适用于不同安全域的单点登录机制,实现通过消息安全处理机制,保证独立于平台和底层传输机制的端到端的安全。
相关内容
相关标签