● 摘要
身份鉴别是证实用户所宣称的身份与其真实身份是否相符的过程。随着组织间各种业务系统互访需求的增加,一个用户往往需要进行多次登录,单点登录技术(Single Sign-On, SSO)可以很好的适用于此类身份鉴别服务,其思想是一次鉴别,全程访问,系统间共享身份鉴别结果。加密和签名能够保证身份信息在传递过程中的安全性,但是无法从根本上保证通信对方是否可信。为了实现用户在多个安全域间的访问,相互独立的安全域必须建立信任关系。同时,由于安全信息在不同安全域中的语义和表述不同,用户在访问时,还涉及到用户身份鉴别信息的传递和转换问题。因此,可信的单点登录对于正确的身份鉴别是十分重要的。为此,本文研究并设计了一种基于信任的多域单点登录机制,并将该机制应用在一个实际的统一用户管理与身份鉴别系统(UIA)中。论文的工作主要包括:(1) 给出了DRBTM信任模型,该模型采用直接信任评价方式和推荐信任评价方式,对请求方进行信任评价,使不同的安全域之间通过建立信任关系,构成信任联盟。(2) 设计了基于SAML的安全域间安全信息互操作的机制,以SAML作为用户安全信息的描述语言,设计并实现SAML断言服务器,为用户在域间访问做担保,基于SAML PULL模式实现用户身份鉴别信息在安全域间的传递。(3) 设计并实现了一个基于DRBTM的单点登录机制,能够支持目前的一些异构操作系统及应用系统。
相关内容
相关标签