基于綜合訪問控制的認證授權(quán)系統(tǒng)研究與實現(xiàn).pdf

1、隨著我國經(jīng)濟的持續(xù)快速發(fā)展，企業(yè)信息化進程不斷加快，信息技術(shù)、網(wǎng)絡(luò)技術(shù)已成為企業(yè)在激烈的市場競爭中取勝的關(guān)鍵因素。目前國內(nèi)企業(yè)紛紛采用ERP、SCM、CRM、HRM、OA等信息系統(tǒng)，逐步實現(xiàn)了全方位、多角度的信息化管理，同時借助信息化的平臺，不斷提高工作效率，降低運營成本，增強了企業(yè)競爭力。
　　 隨著企業(yè)的發(fā)展，部署的信息系統(tǒng)越來越多，信息系統(tǒng)面對的用戶數(shù)量越來越大，地域分布越來越廣，因此為各應(yīng)用系統(tǒng)建立安全有效的認證、授權(quán)變

2、得越來越重要。
　　 基于效率和安全的因素，企業(yè)迫切需要改變傳統(tǒng)的認證方式，采用一種更為高效、安全的認證機制，單點登錄的概念由此產(chǎn)生。在訪問控制方面，國內(nèi)外學(xué)者提出了大量的訪問控制模型，若以授權(quán)策略來劃分，訪問控制模型可分為：自主訪問控制 (DAC)、強制訪問控制(MAC)、基于角色的訪問控制(RBAC)、基于任務(wù)的訪問控制（TBAC)、基于角色和任務(wù)的訪問控制(TRBAC)等。
　　 在對單點登錄和訪問控制理論進行研究

3、的基礎(chǔ)上，運用其理論實現(xiàn)與具體應(yīng)用無關(guān)的企業(yè)認證授權(quán)系統(tǒng)。為了滿足不同應(yīng)用系統(tǒng)的訪問控制方面的需要，給出了一種綜合訪問控制模型及其形式化描述。該模型把MAC、RBAC、TBAC 有機地結(jié)合在一起。為了增強模型的靈活性，對模型作了進一步的改進，改進模型能夠根據(jù)不同應(yīng)用系統(tǒng)的需要建立最適合的訪問控制模型。在單點登錄認證方面，采用Agent&Broker SSO模型，對Kerberos 認證協(xié)議進行擴展，用隨機數(shù)取代時間戳，克服了Kerber

4、os 需要各系統(tǒng)時間同步的缺點，在認證服務(wù)器端引入簽名公鑰，保證了認證服務(wù)器的不可否認性，增強了系統(tǒng)的安全性。針對企業(yè)應(yīng)用分布式異構(gòu)的特點，采用了中間件技術(shù)和Web Ser vi ces 技術(shù)，以服務(wù)的形式為企業(yè)各種應(yīng)用提供統(tǒng)一身份認證、授權(quán)。給出了企業(yè)認證授權(quán)系統(tǒng)的總體設(shè)計以及核心模塊的設(shè)計與實現(xiàn)。認證授權(quán)系統(tǒng)與具體的應(yīng)用無關(guān)，為各應(yīng)用系統(tǒng)提供包括身份認證、安全傳輸、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認、訪問控制、權(quán)限管理、審計等全方位的