【摘要】：隨著信息技術的快速發(fā)展,網絡上的資源共享讓信息的獲取變得更加的便捷。各種層出不窮的應用域包含了豐富的資源,各應用域之間的用戶安全互訪以及域間資源共享已經成為一種趨勢,保證跨域資源共享的安全性已經成為重中之重。其次,用戶從應用域獲取資源時,往往被要求提交個人身份信息,存在著身份隱私泄露的隱患,所以用戶都希望能夠匿名獲取資源。在傳統的訪問控制中,基于角色的訪問控制被廣泛應用于企業(yè)機構,然而以角色作為授權依據太過單一,不足以表達用戶的所有權限,且難以應用于跨域的訪問控制。在身份隱私保護方面,有學者提出基于PKI/PMI體系的匿名身份認證方案,但是這些方案依然存在著冒充攻擊、中間人攻擊等安全性問題。依據上面提到的問題,本文提出一種解決方案,來實現匿名的跨域認證和授權管理。本文首先介紹了 PKI/PMI體系,訪問控制技術的發(fā)展和XACML的策略語言模型及其特點,分析了相關匿名認證和授權管理方案的不足。在上述基礎上,本文設計了一種匿名身份認證方案可以實現域內和跨域的匿名身份認證,整個認證過程具有匿名性,安全性。在匿名身份認證的基礎上,本文又提出基于屬性的匿名信息共享模型。以屬性證書作為用戶屬性的載體實現了基于屬性的跨域訪問,給出了策略制定及策略評估算法,可以針對不同應用域的用戶來制定策略,實現對用戶的權限管理。最后設計了具體的測試場景,由上傳模塊制定策略,模擬了訪問控制的過程,將測試結果與理論結果進行對比驗證策略以及訪問決策的正確性。
[Abstract]:With the rapid development of information technology, resource sharing on the network makes the access to information more convenient. All kinds of application domains contain abundant resources. It has become a trend to ensure the security of cross-domain resource sharing. Secondly, when users obtain resources from the application domain, they are often required to submit personal identity information, there is a hidden danger of identity privacy disclosure, so users want to be able to obtain resources anonymously. In the traditional access control, role-based access control is widely used in enterprises, but the role as the authorization basis is too single to express all user rights, and it is difficult to apply to cross-domain access control. In the aspect of privacy protection, some scholars have proposed anonymous authentication schemes based on PKI/PMI system, but these schemes still have some security problems such as impersonation attacks, man-in-the-middle attacks and so on. According to the above mentioned problems, this paper proposes a solution to implement anonymous cross-domain authentication and authorization management. This paper first introduces the PKI/PMI architecture, the development of access control technology, the policy language model of XACML and its characteristics, and analyzes the shortcomings of related anonymous authentication and authorization management schemes. On the basis of the above, this paper designs an anonymous identity authentication scheme which can implement anonymous identity authentication both in domain and across domains. The whole authentication process is anonymous and secure. On the basis of anonymous identity authentication, this paper proposes an attribute-based anonymous information sharing model. The attribute certificate is used as the carrier of the user attribute to realize the cross-domain access based on the attribute. The algorithm of policy formulation and policy evaluation is given. The policy can be formulated for the users in different application domains and the authority management of the user can be realized. Finally, a specific test scenario is designed. The upload module formulates the strategy, simulates the process of access control, compares the test results with the theoretical results and verifies the correctness of the strategy and the access decision.
【學位授予單位】：浙江工商大學
【學位級別】：碩士
【學位授予年份】：2017
【分類號】：TP309

【參考文獻】

相關期刊論文 前10條

1 賀靖靖;劉景森;史強;;基于PMI屬性證書的匿名認證方案[J];計算機安全;2013年01期

2 賀靖靖;劉景森;史強;傅慧明;;基于PMI角色模型的匿名認證方案[J];計算機科學;2012年S3期

3 程相然;陳性元;張斌;楊艷;;基于屬性的訪問控制策略模型[J];計算機工程;2010年15期

4 王小明;付紅;張立臣;;基于屬性的訪問控制研究進展[J];電子學報;2010年07期

5 路川;胡欣杰;紀鋒;;基于角色訪問控制的協同辦公系統設計與實現[J];計算機技術與發(fā)展;2010年03期

6 葛琨;郎波;;基于屬性訪問控制方法中的策略定義研究[J];微計算機信息;2008年33期

7 張基溫;裴浩;;基于PMI的安全匿名授權體系[J];計算機工程與設計;2007年03期

8 沈海波;;基于屬性訪問控制中的敏感屬性保護研究[J];湖北教育學院學報;2006年08期

9 汪厚祥,李卉;基于角色的訪問控制研究[J];計算機應用研究;2005年04期

10 侯奮飛,宋宇波;基于PMI的電子政務訪問控制體系[J];計算機工程;2004年17期

相關碩士學位論文 前10條

1 劉歡;跨域認證與授權系統的設計與實現[D];西安電子科技大學;2014年

2 史強;機會網絡中基于PKI/PMI體系的節(jié)點身份隱私保護方案[D];河南大學;2014年

3 郝志剛;基于屬性標記的訪問控制模型研究[D];西安電子科技大學;2012年

4 常敬玉;基于屬性的訪問控制在多域網絡中的應用[D];西安電子科技大學;2012年

5 張文婷;基于屬性的Web服務訪問控制研究與設計[D];武漢工程大學;2011年

6 侯素娟;基于屬性的訪問控制模型及應用研究[D];重慶大學;2010年

7 王兵;基于PKI的匿名數字證書的研究與實現[D];東北大學;2009年

8 馬欣;基于PMI的電子政務訪問權限控制的研究與實現[D];西安建筑科技大學;2008年

9 陳婕;跨域授權管理系統的研究與實現[D];西安電子科技大學;2007年

10 王飛;基于PKI/PMI的認證和授權的研究[D];華中科技大學;2006年

，

本文編號：2250167