科技资源应用集成环境中的单点登录研究

本文首先分析了基于公钥基础设施的单点登录模型的不足.在此基础上.提出了一种基于PKI/PMI的单点登录模型,并详细介绍了该模型在网络科技资源应用集成环境中的应用.新模型利用公钥证书进行用户身份认证,而将授权管理任务独立出来交予属性证书完成,完全支持基于角色的访问控制,并且能够与原有业务系统无缝结合,可实现一个安全、灵活的单点登录访问控制系统.     

移动跨域单点登录系统设计

通过分析单点登录技术在移动电子商务中的重要性和单点登录技术的实现原理,提出了适用于移动环境的跨域单点登录系统整体架构.针对移动设备运算能力有限以及移动网络的不稳定性,提出了改进的基于公钥基础设施PKI的数据加密、数字签名和分布式认证技术,实现了移动用户的域内认证和跨域认证.最后,在上述分析和研究基础上,使用基于JAX-WS模型的Web服务、Oracle9i数据库和Bouncy Castle轻量级API中的基于RSA的公钥算法,在J2ME和Java EE 5.0平台下对移动跨域单点登录系统进行了具体设计,并进行了测试.     

支持双认证方式的单点登录方案

支持多认证方式的单点登录是目前的一个新需求,通常这又使认证协议的实现和跨域的认证更加复杂。为此提出一种灵活的支持证书、口令及其组合认证的单点登录方案。方案通过认证协议模板和临时证书票据设计,避免了单点登录的认证协议重复设计,并简化了跨域认证的信任模型。     

多证书系统中安全登陆中间件的研究与设计

研究了公开密钥基础设施和特权管理基础设施的特点，设计了两种证书的实现格式，并在此基础上设计了一个基于代理证书的安全登录中间件。通过对访问域内证书的合成实现单点登录和基于属性证书的授权，解决了多证书系统中的单点登录问题。     

基于PKI／PMI的单点登录系统的研究与设计

该文对比分析了当前实现单点登录的各种技术的主要优缺点,提出将PKI／PMI融合于单点登录技术,实现基于公钥证书的用户身份认证和基于属性证书的授权访问,利用通过认证后生成的身份凭证票据完成单点登录功能,从而提供了功能强大的安全性服务。     

园区网PKI的设计与实现

大多数的安全应用现在都引入公钥密码算法,而公钥密码算法需要公钥基础设施PKI来支持公钥的分发。该文提出一种适合于园区网的单CA多RA加交叉认证的PKI模型的设计及实现。为了研究公钥证书管理流程,引进了证书生命周期,并讨论了园区网公钥管理中的交叉认证和证书撤销列表问题。     

基于区块链技术的高效跨域认证方案

为解决现有公钥基础设施（PKI）跨域认证方案的效率问题,利用具有分布式多中心、集体维护和不易篡改优点的区块链技术,提出基于区块链技术的高效跨域认证方案,设计了区块链证书授权中心（BCCA）的信任模型和系统架构,给出了区块链证书格式,描述了用户跨域认证协议,并进行了安全性和效率分析。结果表明,在安全性方面,该方案具有双向实体认证等安全属性;在效率方面,与已有跨域认证方案相比,利用区块链不可篡改机制,使用哈希算法验证证书,能减少公钥算法签名与验证的次数、提升跨域认证效率。     

改进的分流路径在CA交叉认证中的研究

证书路径处理是实现Internet公钥基础设施中安全认证的重要技术.建立在公钥基础设施上的用户只有通过有效的证书路径才能获得有效的公钥证书.基于分流算法的思想理论,提出了公钥基础设施中证书路径的构造算法,并讨论了算法的有效性.     

网格中的认证授权技术

由于网格技术广泛的应用前景,网格安全正受到越来越多的关注。GSI是目前最为成熟的网格项目Globus中的安全设施。文中就GSI中涉及到认证与授权机制的方面:公钥基础设施,SSL与相互认证进行了研究,分安全委托与单点登录、在线证书仓库、团体授权服务三个方面重点介绍了认证与授权技术在GSI中的应用与扩展及其特点,并通过其大致应用流程和安全性分析讨论了其优点和尚存在的问题。     

基于PKCS#12证书身份认证系统的实现

针对校园网信息安全的问题,提出一种切实可行的方案,设计与实现了基于公钥基础设施PKI和的身份认证系统.通过移动存储设备作为PKCS#12证书载体实施单点登录功能,增强了数字证书的安全性和使用的方便性.在实现中采用MVC模式并引入Bouncy Castle Crypto APIs第三方加密软件开发包提高了系统的重用性,安全性和易维护性.     

JAAS在单点登录系统中的研究与应用

随着网络的普及和企业信息化建设的加快，用户经常需要登录到各种不同的应用服务器，以致用户必须面对多次登录的困扰。单点登录就是为解决这种传统验证机制所存在的问题而提出的。文中介绍了单点登录的概念和JAAS框架的构成，最后基于JAAS实现了单点登录的用户验证功能。     

可插入式单点登录技术的应用

以统一的用户接口作为实现单点登录(SSO)的配置接口,在SSO服务过程中动态配置并生成新的应用服务接口,实现SSO服务接口的可扩展性。以安全的票据共享方式实现SSO多个应用的身份跨域共享,利用双重票据作为单点登录的安全增强机制,通过插件式应用确保SSO的快速实施和灵活调整。     

区域卫生信息化中单点登录系统的设计与实现

针对区域卫生信息化平台中的多个应用系统的统一认证授权和单一登录,以及基于角色的访问控制模型不能直接应用到单点登录中等问题,提出了一种基于角色组的角色控制策略和JASIG-CAS相结合的统一身份认证系统。中央认证服务(CAS)服务端引用MyBatis技术有效展示了子系统信息,各个应用系统之间采用Axis2来实现用户信息同步,并利用Session存储用户在各个系统中的权限来减少对数据库的频繁访问,从而显著改善了平台的性能。该单点登录系统实现了统一用户管理、统一权限分配、统一平台风格样式等功能。最后,采用专业压力测试工具LoadRunner8.0对平台进行了性能测试和分析,测试结果表明该系统总体性能稳定,平台设计合理。     

软件质量保障平台中基于RBAC的统一身份认证应用研究

通过分析软件质量保障平台在广域网环境下升级扩展所面临的身份认证与权限控制问题,本文提出了一种基于RBAC的统一身份认证的解决方案,以Windows域服务器为基础实现用户单点登录、用户管理分层控制,以及用户、角色和权限之间的相互映射,满足软件质量保障平台在广域网环境下对安全性及易用性等基本要求。     

统一身份认证系统的研究与实现

本文主要分析了现代企业应用的实际,设计了较为灵活的基于SAML协议和RBAC协议原理的单点登录模型。该模型充分考虑了企业的业务实际要求,对RBAC协议进行了一定的改进,以保证权限控制的灵活性。最后,根据设计出的模型,本文结合ASP.NET和数据库相关技术给出了一个企业单点登录系统的具体实现。该系统充分考虑了功能和安全方面的要求,对企业的单点登录改造有一定的积极意义。     

多级安全网络区域边界访问控制模型研究

分析了BLP模型在等级化网络应用中存在的不足,提出了一个适合于等级化网络特点的区域边界访问控制模型NBLP,该模型通过保护域间关系约束,有效地实施了多级区域边界安全互联控制;通过引入主体可信度,解决了等级化网络中特殊情况下的主体对客体的操作问题,增强了安全标记访问控制在网络应用中的灵活性与适应性;通过深入研究客体之间关系,分析了独立客体强关联性以及同类客体聚类问题而引起的泄密问题,提出了具有客体关系约束特征的访问控制,从而进一步增强了机密性安全属性的限制。     

基于代理签名的SAML单点登录协议

针对安全断言标记语言单点登录过程中存在的用户安全风险扩散问题,提出一种以用户为中心基于代理签名的单点登录协议。在建立安全会话时加入访问控制机制,以限定用户单点登录访问服务的时间和范围。对协议的安全性进行分析,结果表明,该协议能抵抗身份票据和访问令牌的重放攻击。     

基于LDAP的属性证书在企业中的应用

在实际中,存在多个应用供用户来访问,不同的用户只能访问相对应的应用。本文介绍了在实际应用中用LDAP来存储授权策略、PMI属性证书和属性证书撤销列表,实现了统一的管理授权策略和属性证书,保证了只有经过授权的用户才能访问某个特定的应用,并讨论了基于JNDI来访问LDAP服务器的方法。     

关于OCSP应用模式的注记

文献《在线证书状态协议的改进及应用》提出了一个基于OCSP(Online Certificate Status Protocol,在线证书状态协议)查询的数字签名验证应用方案,这个方案的安全性与可行性是值得商榷的。该文给出了一种攻击方法,并分析了其中的几个问题及问题产生的根源;最后给出了一种解决方案。     

面向飞机制造过程的统一用户管理体系及策略

为解决航空制造企业制造过程信息安全管理困难的问题,在综合分析飞机制造过程对身份认证和访问控制需求的基础上,应用单点登录及访问控制技术,构建了面向飞机制造全过程的统一用户管理体系。该体系包括了统一身份认证管理系统和统一访问控制管理系统。重点对基于单点登录的统一身份认证策略和基于规则-任务-角色的统一访问控制策略（Rule-Task-Role Based Access Control,RTR-BAC）进行了详细地探讨,并在此基础上建立了统一用户管理信息模型。统一用户管理体系将分散的用户管理功能从各应用系统中独立出来,形成统一可配置的用户管理模块,实现了对飞机制造过程用户信息的统一管理。