CNGI环境中跨域AAA系统构建.doc

CNGI环境中跨域AAA系统构建 　　摘要：国际上的认证与授权方面的标准主要有安全性断言标记语言(SAML)、可扩展访问控制标记语言(XACML)等，中国下一代互联网示范工程(CNGI)跨机构的统一认证和授权中间件技术项目基于国际规范，提出了结合现有成熟产品DT (DigitalTrust)、身份提供者(IdP)和服务提供者(SP)而建立跨域跨机构统一身份认证、授权和审计(AAA)系统的完整方案。该系统提供一种独立于协议和平台的身份验证和资源访问授权交换机制，对于CNGI环境下跨域跨机构统一认证和授权技术的发展和应用具有很好的示范意义。 　　关键词：跨域认证授权审计；安全断言；单点登录；中国下一代互联网；可扩展的访问控制 　　Abstract: By studying and discussing the international and relevant standards and norms, e.g.: Security Assertion Markup Language (SAML), Extensible Access Control Markup Language (XACML), a new scheme about unified authentication and authorization originated by China Next Generation Internet (CNGI) cross-domain middleware technology program was suggested based on those international standards. It was built up combining with improved DigitalTrust(DT) product, Identity Provider (IdP) and Service Provider (SP). The scheme presents one kind of verification and privilege agreement mechanism independent with protocol and platform, which is a good example for the development and application of unified cross-domain cross-organization authentication and authorization technology under CNGI environment. 　　Key words: cross-domain authentication and authorization; security assertion; single sign-on; CNGI; extensible access control 　　 　　进入21世纪，信息化的浪潮席卷了整个世界。可以说，现在的任何一项生产活动都离不开计算机、网络和信息系统，越来越多的组织机构和企业建立了各种计算机信息系统以满足日益激烈的市场竞争的需要。在信息系统中，有两个安全需求是非常重要的：如何保证人员的安全登录和登出？如何控制不同层次的人员使用不同的功能？解决这两个问题的办法是采用认证技术和授权技术[1-4]。目前常见的方法是分别构建不同的认证授权平台和系统，认证授权属于分散管理模式，其造成的结果是重复建设、无法高效互联互通、管理成本高以及系统总体安全性降低。因此，如何能够设计和建设一个通用架构和基础平台，承载不同组织和机构的信息系统，避免重复建设，实现跨域跨机构、可移植、可信任和可扩展的认证授权与审计，是一个亟待研究解决的问题。本文作者是中国下一代互联网(CNGI)跨域认证授权审计示范工程的主要承担者和参与者，本文将给出上述问题的答案，希望能够给同行一些参考和借鉴，更希望推动这一相关技术能够获得更大的应用和市场。 　　 　　1 认证与授权的标准综述 　　 　　认证和授权是任何信息化的系统都应当包含的功能，因此工业界也讨论和设立了很多关于这方面的标准。其中，认证的需求目标比较独立和明确，关于认证的标准比较多比较全，大众的认知度也比较高。授权管理的需求相对比较分散和模糊，标准不多，应用的实际效果也一般。下面，我们就对这两种标准的应用和发展分别做一个综述。 　　 　　1.1 身份认证的标准 　　这里把认证分为3大类：认证方案类、单点登陆(SSO)协议类和认证实现类。 　　认证方案是指认证的方式、手段、涉及的设备和协议，最常见例子就是用户名/口令方式，其他的还有一次性口令方案、X.509数字证书方案、生物