● 摘要
随着网络技术的高速发展,越来越多的应用开始分布在网络中,不同的安全机制在网络中形成了不同的安全域。不同安全域间的互访问是网络发展和应用中一个亟待解决的问题,由于各安全域独立签发域内的安全令牌作为身份标识,造成了用户在访问不同安全域的服务时,需要维护多种安全令牌,增加了跨域使用服务的难度和复杂性。 本文通过对现有跨域安全模型的分析总结,提出了一种跨异构安全域的安全令牌服务模型,该模型通过WS-Trust协商机制中的用户自定义结构在用户的安全令牌请求中包含了请求的原始服务地址,同时利用安全令牌服务之间相互协作机制和异构域身份映射将一个域的安全令牌签发到另外一个域。基于此模型定义,本文详细阐述了跨域安全令牌服务模型原型实现的体系结构和服务运行时架构;讨论了设计实现跨域安全令牌服务中的几个关键技术,包括WS-Trust扩展实现的安全令牌定位机制以及通过定义令牌接入接口抽象与不同认证中心的交互。基于令牌接入接口,开发了几种常见安全机制的安全令牌接入模块,抽象与本地安全权威的交互行为,并给出了用户自定义的实现安全令牌接入时需要遵循的原则。跨域安全令牌服务原型系统在网格互操作实验环境和服务支撑平台中的得到一定应用,说明了该系统的易用性和可扩展性,经过测试,服务性能可以满足大多数跨域服务访问的需要。