跨域认证与授权系统的设计与实现-计算机科学与技术专业论文.docxVIP

学校代码 分 类 号  10701 TP31 学 号 1203121630 密 级 公开 TN82西安电子科技大学 TN82 硕士学位论文 跨域认证与授权系统的设计与实现 Ll 刘作者姓名： Ll 刘 一级学科： 计算李青山教授李青山教授 ll二级学科： 学位 计算 李青山教授 李青山教授 ll 计算机科学与技术 计算机软件与理论 工学硕士 2011 2011 年 4 月 李青山教授 提交日期： 2014 年 12 月 The Design and Implementation of Cross-domain Authentication and Authorization System A thesis submitted to XIDIAN UNIVERSITY in partial fulfillment of the requirements for the degree of Master in Computer Science and Technology By Liu Huan Supervisor: Prof. Li QingShan December 2014 西安电子科技大学 学位论文独创性（或创新性）声明 秉承学校严谨的学风和优良的科学道德，本人声明所呈交的论文是我个人在 导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标 注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成 果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示了谢意。 学位论文若有不实之处，本人承担一切法律责任。 本人签名： 日 期： 西安电子科技大学 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属于西安电子科技大学。学校有权 保留送交论文的复印件，允许查阅、借阅论文；学校可以公布论文的全部或部分 内容，允许采用影印、缩印或其它复制手段保存论文。同时本人保证，获得学位 后结合学位论文研究成果撰写的文章，署名单位为西安电子科技大学。 本学位论文属于保密，在 年解密后适用本授权书。 本人签名： 导师签名： 日 期： 日 期： 摘要 摘要 西安电 西安电子科技大学硕士学位论文 I I PAGE PAGE IV 摘要 面向服务架构是目前广泛使用的网络资源发布与访问的重要支撑手段，而随 着信息化的快速发展，产生了越来越多的跨信任域之间互操作要求，在多信任域 的环境下，如何保障服务的安全性显得尤为重要，因此，研究适用于 SOA 环境下 的跨域安全认证和授权是一个急需解决的问题。 本文首先从传统的基于 SAML 的单点登录模型分析入手，提出一个改进的单 点登录模型，然后利用该模型设计一个跨域认证系统。跨域认证的基础是域内身 份认证技术，用户必须首先在本域内进行身份认证成功，取得认证令牌，然后才 能带着令牌去进行跨域登录。论文首先设计并实现了域内身份认证技术的核心部 分双向认证协议，该协议在完成客户端和服务端互相认证对方的身份的功能的基 础上，确保认证过程的安全性。然后设计了认证令牌的格式以及设计和实现令牌 生成和令牌验证的功能。最后设计了基于 SAML 令牌的跨域认证服务，该服务负 责外域用户带着令牌登录、外域用户在线列表维护、令牌存储、外域用户登出等 操作。另外，本文实现的跨域认证系统在保证基本功能的同时，还具有一定的安 全性。 然后本文在域内分布式授权系统的基础上，分析出要实现跨域登录还需要解 决的问题：信任管理和属性映射。然后对这两个模块进行设计与实现，信任管理 中心为跨域授权系统提供了安全性，论文中设计了一个信任模型，并且提供信任 值计算和信任模型调整功能；属性映射服务主要是制定一套属性映射规则，通过 自动分析映射规则完成将本域用户属性映射到外域属性，使得授权能够正常进行。 最后，本文对已经设计实现的机制进行测试，证明论文设计的各个功能点的 正确性以及安全性。 关 键 词：SAML，双向认证，令牌，信任管理，属性映射 论文类型：应用基础研究类 AB ABSTRACT 西安电 西安电子科技大学硕士学位论文 III III PAGE PAGE IV ABSTRACT Service oriented structure has become an important support for the publication and access of the widely-applied network. With the rapid development of info