基于綜合訪問控制的認(rèn)證授權(quán)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、隨著我國經(jīng)濟(jì)的持續(xù)快速發(fā)展，企業(yè)信息化進(jìn)程不斷加快，信息技術(shù)、網(wǎng)絡(luò)技術(shù)已成為企業(yè)在激烈的市場競爭中取勝的關(guān)鍵因素。目前國內(nèi)企業(yè)紛紛采用ERP、SCM、CRM、HRM、OA等信息系統(tǒng)，逐步實(shí)現(xiàn)了全方位、多角度的信息化管理，同時(shí)借助信息化的平臺(tái)，不斷提高工作效率，降低運(yùn)營成本，增強(qiáng)了企業(yè)競爭力。
　　 隨著企業(yè)的發(fā)展，部署的信息系統(tǒng)越來越多，信息系統(tǒng)面對(duì)的用戶數(shù)量越來越大，地域分布越來越廣，因此為各應(yīng)用系統(tǒng)建立安全有效的認(rèn)證、授權(quán)變

2、得越來越重要。
　　 基于效率和安全的因素，企業(yè)迫切需要改變傳統(tǒng)的認(rèn)證方式，采用一種更為高效、安全的認(rèn)證機(jī)制，單點(diǎn)登錄的概念由此產(chǎn)生。在訪問控制方面，國內(nèi)外學(xué)者提出了大量的訪問控制模型，若以授權(quán)策略來劃分，訪問控制模型可分為：自主訪問控制 (DAC)、強(qiáng)制訪問控制(MAC)、基于角色的訪問控制(RBAC)、基于任務(wù)的訪問控制（TBAC)、基于角色和任務(wù)的訪問控制(TRBAC)等。
　　 在對(duì)單點(diǎn)登錄和訪問控制理論進(jìn)行研究

3、的基礎(chǔ)上，運(yùn)用其理論實(shí)現(xiàn)與具體應(yīng)用無關(guān)的企業(yè)認(rèn)證授權(quán)系統(tǒng)。為了滿足不同應(yīng)用系統(tǒng)的訪問控制方面的需要，給出了一種綜合訪問控制模型及其形式化描述。該模型把MAC、RBAC、TBAC 有機(jī)地結(jié)合在一起。為了增強(qiáng)模型的靈活性，對(duì)模型作了進(jìn)一步的改進(jìn)，改進(jìn)模型能夠根據(jù)不同應(yīng)用系統(tǒng)的需要建立最適合的訪問控制模型。在單點(diǎn)登錄認(rèn)證方面，采用Agent&Broker SSO模型，對(duì)Kerberos 認(rèn)證協(xié)議進(jìn)行擴(kuò)展，用隨機(jī)數(shù)取代時(shí)間戳，克服了Kerber

4、os 需要各系統(tǒng)時(shí)間同步的缺點(diǎn)，在認(rèn)證服務(wù)器端引入簽名公鑰，保證了認(rèn)證服務(wù)器的不可否認(rèn)性，增強(qiáng)了系統(tǒng)的安全性。針對(duì)企業(yè)應(yīng)用分布式異構(gòu)的特點(diǎn)，采用了中間件技術(shù)和Web Ser vi ces 技術(shù)，以服務(wù)的形式為企業(yè)各種應(yīng)用提供統(tǒng)一身份認(rèn)證、授權(quán)。給出了企業(yè)認(rèn)證授權(quán)系統(tǒng)的總體設(shè)計(jì)以及核心模塊的設(shè)計(jì)與實(shí)現(xiàn)。認(rèn)證授權(quán)系統(tǒng)與具體的應(yīng)用無關(guān)，為各應(yīng)用系統(tǒng)提供包括身份認(rèn)證、安全傳輸、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)、訪問控制、權(quán)限管理、審計(jì)等全方位的