● 摘要
随着Internet技术与应用的飞速发展,突破管理组织和地理位置等局限的虚拟组织成为一种重要的协同工作环境。在虚拟组织中,传统的访问控制方法显示出较大的局限性,基于属性的访问控制ABAC(Attribute Based Access Control)是满足虚拟组织的动态的可扩展访问控制需求的新型方法。而为了有效实现ABAC,必须解决属性的管理、获取与认证问题。论文针对以上问题,给出了面向虚拟组织的跨域属性认证框架。论文首先分析了虚拟组织环境协同计算的特殊安全需求,比较了可用于属性认证的相关技术,之后提出了使用属性证书和SAML断言相结合的方式来实现跨域属性认证,并给出了与平台无关的框架结构和实现方案。针对基于属性证书的属性认证,研究了属性证书的格式,实现了面向自治域的属性证书签发和属性管理系统,它提供了符合X.509V4国际规范的属性证书的申请、签发及撤销等功能。针对基于SAML断言的属性认证,分析了如何使用SAML表达属性,并设计了利用SAML进行动态跨域属性请求的协议。最终,建立了一个实用的跨域属性认证系统,并结合GLOBUS的网格服务进行了系统的验证。论文的研究成果为我国正在大力发展的电子商务、网格计算等应用提供了一种支持ABAC的属性认证的有效方法。
相关内容
相关标签