● 摘要
信息安全的重要属性之一是真实性,鉴别技术即是保护真实性的重要手段。身份鉴别是证实用户所声称的身份与其真实身份是否相符的过程,身份鉴别在信息安全中发挥着重要的作用。由于大规模应用集成环境的日益复杂和业务需求的增加,带来了一些身份鉴别方面的问题。在组织机构中往往存在许多独立的身份鉴别系统,导致身份管理日益复杂低效,同一用户访问资源需要进行多次鉴别;信息系统建设完成后,为了适应身份鉴别技术的进步需要对原有鉴别方式更新升级;由于系统安全级别的差异和鉴别策略的调整,要求能够为不同的系统资源灵活配置不同的鉴别方式;对于企业机构中安全性要求较高的系统,单一的鉴别方式难以满足其安全需求。针对上述问题,本文提出了一种安全的身份鉴别机制,它支持跨应用平台,兼容多种鉴别方式,并能够实现多重身份鉴别。论文工作主要包括以下三个方面:(1)设计了一种身份鉴别机制,实现了对组织内用户的统一身份鉴别,能够提供多种鉴别方式,并可以根据系统资源的安全级别制定不同的鉴别策略。利用概率论的基础知识,对多重鉴别的安全强度进行了分析。(2)根据可插拔鉴别模块的思想设计了身份鉴别系统的架构,保证了系统各层次相对独立以及松散耦合,便于应用资源集成和新的鉴别方式扩展。同时,设计了用户访问系统资源的票据凭证以实现单点登录功能,并借助加密技术保证票据传输的安全。(3)在身份鉴别机制分析和设计的基础上,给出了身份鉴别系统关键部分的具体实现,并将其应用于统一用户管理与身份鉴别系统中,给出了系统的应用实例和运行结果分析。