【摘要】：隨著信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)上的資源共享讓信息的獲取變得更加的便捷。各種層出不窮的應(yīng)用域包含了豐富的資源,各應(yīng)用域之間的用戶安全互訪以及域間資源共享已經(jīng)成為一種趨勢(shì),保證跨域資源共享的安全性已經(jīng)成為重中之重。其次,用戶從應(yīng)用域獲取資源時(shí),往往被要求提交個(gè)人身份信息,存在著身份隱私泄露的隱患,所以用戶都希望能夠匿名獲取資源。在傳統(tǒng)的訪問控制中,基于角色的訪問控制被廣泛應(yīng)用于企業(yè)機(jī)構(gòu),然而以角色作為授權(quán)依據(jù)太過單一,不足以表達(dá)用戶的所有權(quán)限,且難以應(yīng)用于跨域的訪問控制。在身份隱私保護(hù)方面,有學(xué)者提出基于PKI/PMI體系的匿名身份認(rèn)證方案,但是這些方案依然存在著冒充攻擊、中間人攻擊等安全性問題。依據(jù)上面提到的問題,本文提出一種解決方案,來實(shí)現(xiàn)匿名的跨域認(rèn)證和授權(quán)管理。本文首先介紹了 PKI/PMI體系,訪問控制技術(shù)的發(fā)展和XACML的策略語言模型及其特點(diǎn),分析了相關(guān)匿名認(rèn)證和授權(quán)管理方案的不足。在上述基礎(chǔ)上,本文設(shè)計(jì)了一種匿名身份認(rèn)證方案可以實(shí)現(xiàn)域內(nèi)和跨域的匿名身份認(rèn)證,整個(gè)認(rèn)證過程具有匿名性,安全性。在匿名身份認(rèn)證的基礎(chǔ)上,本文又提出基于屬性的匿名信息共享模型。以屬性證書作為用戶屬性的載體實(shí)現(xiàn)了基于屬性的跨域訪問,給出了策略制定及策略評(píng)估算法,可以針對(duì)不同應(yīng)用域的用戶來制定策略,實(shí)現(xiàn)對(duì)用戶的權(quán)限管理。最后設(shè)計(jì)了具體的測(cè)試場(chǎng)景,由上傳模塊制定策略,模擬了訪問控制的過程,將測(cè)試結(jié)果與理論結(jié)果進(jìn)行對(duì)比驗(yàn)證策略以及訪問決策的正確性。
[Abstract]:With the rapid development of information technology, resource sharing on the network makes the access to information more convenient. All kinds of application domains contain abundant resources. It has become a trend to ensure the security of cross-domain resource sharing. Secondly, when users obtain resources from the application domain, they are often required to submit personal identity information, there is a hidden danger of identity privacy disclosure, so users want to be able to obtain resources anonymously. In the traditional access control, role-based access control is widely used in enterprises, but the role as the authorization basis is too single to express all user rights, and it is difficult to apply to cross-domain access control. In the aspect of privacy protection, some scholars have proposed anonymous authentication schemes based on PKI/PMI system, but these schemes still have some security problems such as impersonation attacks, man-in-the-middle attacks and so on. According to the above mentioned problems, this paper proposes a solution to implement anonymous cross-domain authentication and authorization management. This paper first introduces the PKI/PMI architecture, the development of access control technology, the policy language model of XACML and its characteristics, and analyzes the shortcomings of related anonymous authentication and authorization management schemes. On the basis of the above, this paper designs an anonymous identity authentication scheme which can implement anonymous identity authentication both in domain and across domains. The whole authentication process is anonymous and secure. On the basis of anonymous identity authentication, this paper proposes an attribute-based anonymous information sharing model. The attribute certificate is used as the carrier of the user attribute to realize the cross-domain access based on the attribute. The algorithm of policy formulation and policy evaluation is given. The policy can be formulated for the users in different application domains and the authority management of the user can be realized. Finally, a specific test scenario is designed. The upload module formulates the strategy, simulates the process of access control, compares the test results with the theoretical results and verifies the correctness of the strategy and the access decision.
【學(xué)位授予單位】：浙江工商大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP309

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 賀靖靖;劉景森;史強(qiáng);;基于PMI屬性證書的匿名認(rèn)證方案[J];計(jì)算機(jī)安全;2013年01期

2 賀靖靖;劉景森;史強(qiáng);傅慧明;;基于PMI角色模型的匿名認(rèn)證方案[J];計(jì)算機(jī)科學(xué);2012年S3期

3 程相然;陳性元;張斌;楊艷;;基于屬性的訪問控制策略模型[J];計(jì)算機(jī)工程;2010年15期

4 王小明;付紅;張立臣;;基于屬性的訪問控制研究進(jìn)展[J];電子學(xué)報(bào);2010年07期

5 路川;胡欣杰;紀(jì)鋒;;基于角色訪問控制的協(xié)同辦公系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)技術(shù)與發(fā)展;2010年03期

6 葛琨;郎波;;基于屬性訪問控制方法中的策略定義研究[J];微計(jì)算機(jī)信息;2008年33期

7 張基溫;裴浩;;基于PMI的安全匿名授權(quán)體系[J];計(jì)算機(jī)工程與設(shè)計(jì);2007年03期

8 沈海波;;基于屬性訪問控制中的敏感屬性保護(hù)研究[J];湖北教育學(xué)院學(xué)報(bào);2006年08期

9 汪厚祥,李卉;基于角色的訪問控制研究[J];計(jì)算機(jī)應(yīng)用研究;2005年04期

10 侯?yuàn)^飛,宋宇波;基于PMI的電子政務(wù)訪問控制體系[J];計(jì)算機(jī)工程;2004年17期

相關(guān)碩士學(xué)位論文 前10條

1 劉歡;跨域認(rèn)證與授權(quán)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2014年

2 史強(qiáng);機(jī)會(huì)網(wǎng)絡(luò)中基于PKI/PMI體系的節(jié)點(diǎn)身份隱私保護(hù)方案[D];河南大學(xué);2014年

3 郝志剛;基于屬性標(biāo)記的訪問控制模型研究[D];西安電子科技大學(xué);2012年

4 常敬玉;基于屬性的訪問控制在多域網(wǎng)絡(luò)中的應(yīng)用[D];西安電子科技大學(xué);2012年

5 張文婷;基于屬性的Web服務(wù)訪問控制研究與設(shè)計(jì)[D];武漢工程大學(xué);2011年

6 侯素娟;基于屬性的訪問控制模型及應(yīng)用研究[D];重慶大學(xué);2010年

7 王兵;基于PKI的匿名數(shù)字證書的研究與實(shí)現(xiàn)[D];東北大學(xué);2009年

8 馬欣;基于PMI的電子政務(wù)訪問權(quán)限控制的研究與實(shí)現(xiàn)[D];西安建筑科技大學(xué);2008年

9 陳婕;跨域授權(quán)管理系統(tǒng)的研究與實(shí)現(xiàn)[D];西安電子科技大學(xué);2007年

10 王飛;基于PKI/PMI的認(rèn)證和授權(quán)的研究[D];華中科技大學(xué);2006年

，

本文編號(hào)：2250167