跨域认证授权机制的研究
作者:刘其群
来源:《河南农业·教育版》 2017年第8期
河南农业职业学院 刘其群
摘要:伴随着信息化的普及和数字资源共享范围的扩展,用户根据各自不同的需求,安全合理地访问基于不同安全域内的相关资源,从而实现跨域的应用协作。通过对开源软件PER M IS和Shibbaleth进行整合,给出了跨域认证和授权机制的管理架构和实现方案。
关键词:安全域;Shibboleth;PE R M IS;策略控制
一、引言
本世纪网络技术发展迅速,大数据、云计算、移动互联网、智能化制造正逐步走人我们的日常生活。伴随着资源共享和网络应用的普及,信息安全问题日益突出,身份识别、权限管理和资源访问控制变得更加重要,认证和授权技术,特别是跨安全域的认证授权机制成为当前信息安全领域研究的一个热点。
二、跨域认证授权机制的设计
Shibboleth是一个远程单点登录认证的开源软件,主要用于不同组织机构之间共享资源的存取控制。Shibboleth通过标准语言来描述体系结构和策略框架,支持安全Web资源和服务共享。
权限和角色管理基础设施标准验证( PrviIEge and Role Management Inf-rastruaure Standards Validation, PER -MIS),是以属性证书作为权限载体并基于角色的权限管理(PrvilegeManagement Infrastructure,PMI)机制之一,基于角色的PMI模型通过在用户与权限之间加入“角色概念”,支持授权权威,从而实现灵活的权限授予与改变。
基于多域环境下的认证授权机制以Shibboleth和PERMIS为基础,结合两者各自的优点,从认证策略和授权策略角度出发,给出技术解决方案,该机制的实施方案如图1所示。
关于英语的手抄报
fiber 基于分级角色的策略控制,通过将PERMIS的策略控制应用于Shibb -oleth,使Shibboleth的授权功能更加灵活,同时对其功能进行增强和授权粒度进行细化。
阿拉伯数字英文 该机制主要有以下特点:
第一,基于分级角色的策略控制。
第二,系统单点登录。
三、跨域认证授权机制的实现
(一)认证机制的实现
作为跨域认证授权系统中的用户,访问联盟成员中其他安全域中的资源时,认证过程分为三个阶段(如59页图2所示),具体流程如下:
阶段一:当用户访问所需资源时,被重新定向。
暮光之城新月下载 1、当用户点击资源/服务时,浏览器发送一个Http请求到相关资源页面,被请求的资源服务器应答一个Http,并将浏览器定向到发现服务页面。
2、重新定向后,发现服务器发送一个包含联盟成员列表的页面给用户浏览器。
阶段二:证明,鉴定请求。
3、用户提交安全域成员选择列表,发现服务器通过资源会话发起器将用户重新定向。
济南翻译公司sieg 4、会话发起器通过用户浏览器产生一个认证请求,并提交给用户所选择的安全域。
5、安全域对用户的认证请求进行评估,并返回给用户一个登录页面。
阶段三:鉴定与访问。
6、用户将其信任证书提供给联盟组织,信任证书被检查后,依照属性过滤器规则生成一个包含用户属性的断言。
7、断言通过用户浏览器提交回资源提供方,依据用户的属性,资源提供者执行授权检验,如果授权成功,用户被重新定向到他最初所请求的资源页面。
(二)授权机制的觌
授权机制主要包括PERMIS PMI和联盟中心两部分,在认证机制Shibboleth的配合下完成授权功能。
1、联盟中心的功能。
2014中考试题 一是根据联盟成员之间达成的服务等级协议,注册相关服务。
二是根据授权策略将相应角色指派给用户,同时生成用户的属性证书AC。角色、组和成员等信息包含于属性证书内,这些信息被资源提供者用来作为授权的依据。
三是根据系统联盟成员间的协商,制定出相应授权策略,并形成授权策略库。通过授权策略与用户属性证书的结合,从而在安全域内实现对资源的访问控制。
2、PERMIS PMI的功能。dribble
一是由PERMIS PMI属性证书管理器生成用户的属生证书,并存人AuthDB。
二是由PERMIS PMI属性证书管理器生成授权策略,并存入Policy DB。 三是策略决定点PDP( Policy Dec -ision Point)完成授权功能。 四是策略执行点PEP( Policy Exe-cution Point)允许,拒绝用户对资源的访问。
系统授权部分的实现如图3所示,具体流程如下。
第一,含有属性断言的用户向sP发出资源访问提求。
第二,PERMIS PMI通过策略执行点PEP向身份提供方IDP发出属性请求。
第三,身份提供者IDP从用户的属性证书库(Auth DB)中提取属性信息。
研究生网上预报名 第四,IDP将提取到的属性证书传至策略执行点PEP。
第五,策略执行点PEP向策略决定点PDP发出访问决定请求。
第六,策略决定点PDP从授权策略库中提取授权策略,结合用户属性证书,对用户的请求作出决定。
第七,PDP将授权结果返给PEP。
第八,策略执行点PEP根据策略决定点PDP的返回结果,允许,拒绝用户进行资源访问。
四、结语
跨域认证授权机制已经通过测试,测试结果表明该机制能够对系统用户的访问进行有效的权限检查,在拒绝非法用户访问的同时,拒绝用户的非法操作和对敏感资源的非法访问。
将PERMIS基于分级角色的策略控制应用于Shibboleth,从而使Shibboleth的授权功能更加具有灵活性,在功能得到增强的基础上,授权粒度得到细化;通过Shibboleth和PERMIS的整合,从而达到单点登录、基于角色控制、通信安全、隐私保护并具有可伸缩性等设计目标。(基金项目:郑州市科技局科技攻关项目“跨域认证授权机制的研究”,项目编号:20150279)
>英语口语情景对话
