论文部分内容阅读
网络环境中应用的增长,使得人们对于认证的依赖性加大。而web服务是网络环境中最为普遍的一类服务,鉴于web环境的特殊性,web环境下的认证技术与广义的传统的认证技术又有所不同。因此,将两者区别对待具有重大意义。 本文从传统的认证技术着手,结合现有web环境下的特点,综合使用现有的web环境下的认证技术和PKI认证技术,构建一个安全的认证环境,并在最后达到认证的最高形式——单一登录,包括web环境下的单一登录和PKI环境下的单一登录。主要研究工作和取得的成果包括: 1)总结了各种安全组件的使用方法,并给出定制适合于自己的Apache安全认证系统的方法。 2)成功设计了一种通用的分布点数据的安全传输系统——混合密码传输协议,并用BAN逻辑证明了它的可达性。 3)探讨了认证协议运行过程中需要的密钥管理技术,通过证书认证的过程指出PKI存在的问题,并给出可能的解决方案。实现了CA与LDAP服务器的协同,并给出LDAP服务器的安全访问实现方法。 4)提出web环境下安全认证码的5条设计原则,设计了不同安全粒度的安全需求的实现方案,并给出相应的源代码实现。应用于Passport,使用UID和IP记录用户的身份,对现在使用UID绑定cookie和用户身份进行了改进。 5)将单一登录的难点归结为两点,即为用户产生认证凭证并扩散凭证,以及认证身份与授权身份的对应。提出cookie的加密特点,并由此提出分布式cookie存储的可行的更加安全的方案。对于访问控制,本文在文献[ZXZ02]“推”的模型基础上,提出基于“拉”的模型。 6)给出结合使用代理证书和属性证书综合实现PKI环境下的基于“推”和“拉”的两种单一登录的认证和访问控制模型。 7)提出将web方式下的单一登录与PKI环境下的单一登录相结合的模型。