网格环境中一种基于SPKI证书的授权模型

网格环境中的授权问题是网格安全的一个研究热点。社区授权服务CAS是网格安全基础设施GSI中的授权机制,鉴于社区授权服务CAS授权机制中提供各种服务的Resource只能粗粒度地授权给CAS服务器,很难细粒度地控制客户权限,本文提出了一种新的授权模型,采用了SPKI电子证书进行授权。与CAS相比,该模型授权更加灵活,通过委托授权增强了系统的可扩展性,而且能够细粒度地控制用户权限。     

基于企业门户的单点登录研究

本文首先介绍了企业门户的概念及关键问题,论述单点登录是实现企业门户的关键。在了解了单点登录的概念和模型分类比较后,着重讨论了B/S下,基于Cookie的单点登录的实现方案。     

开放式网络中一种新的远程用户认证机制

用户认证服务是确保开放式网络安全的重要组件之一。该文利用安全单向哈希函数和异或运算,提出了一种新的远程用户和服务器双向认证机制。与近年来提出的其它认证机制相比,该机制在安全性和实现效率上均有明显优势。     

一种基于椭圆曲线密码机制的用户认证方案设计

论文在Hwang-Li方案[2]思想的基础上,提出了一种基于椭圆曲线数密码机制的用户认证方案,在椭圆曲线离散对数计算困难的前提下,方案是安全可靠的。同时该方案还允许用户方便地更改口令和重新注册。     

一种信息系统授权机制的研究与应用

针对RBAC授权系统的原理,结合信息系统开发的实践,对应用RBAC授权机制问题进行深入浅出的研究.针对RBAC在应用中的某些问题,提出了其在模块设计、权限管理和安全体系等方面的要求,并对其实现进行详细说明.     

身份认证技术在网络安全中的应用

对于主流的几种身份认证技术进行了详细分析,包括微软Passport、Kerboeros、SAML协议的结构和工作原理,并对比了3种主流方案的优缺点和使用范围。使用SAML协议的身份认证技术,在网络安全中更具有保障。     

基于CAS和OAuth的统一认证授权系统设计

针对银行内部各应用系统的账号整合问题,以及为外部第三方应用授权的问题,设计了基于Central Authentication Service(CAS)协议和Open Authorization(OAuth)框架的统一认证授权系统.首先给出了系统的总体设计,然后对其认证授权流程做了详细说明,最后结合实战对每一步进行了验证...     

一种无线传感器网络双要素用户认证会话机制

针对无线传感器网络中外部用户直接访问内部传感器节点的安全威胁,提出了一种基于双要素用户认证方案的简单会话机制.该机制通过智能卡和密码两种因素来验证用户的有效性,并根据可供管理员配置的时间间隔来确定用户在会话中的状态,进而根据用户状态来限制其可用操作.该机制有效地缓解了用户认证单次有效的通信压力,且避免了用户认证长期有效的安全风险,同时它也为外部用户查询无线传感器内部节点的应用层增加了可实现性.     

统一用户认证和授权管理的实现

在信息系统的应用中,为了保证信息的安全使用,为了打破各应用系统间的信息孤岛,降低维护管理成本,切实有效的保证用户身份信息的安全性、完整性、一致性和可用性,最好的方法就是建立一套用户信息管理使用体系,这套体系也就是用户信息资源在所有应用系统中的统一认证和统一授权管理支撑系统。为了解决多系统中存在的多重口令管理而提出的解决方案,它应有统一用户信息资源管理、统一用户身份认证和认证接口服务等三大主要部分组成。也就是要建立权威的、适合各应用系统使用的统一帐号数据库;利用这个统一帐号数据库,通过各应用系统的用户信息的接口,实现用户在各应用系统中的身分识别。统一用户身分识别或认证只是实现了用户统一管理的第一步,要实现用户统一授权,在用户统一认证的基础上完成用户角色管理,通过把用户加入到某一种角色来实现该用户的权限分配,管理员可以添加自定义的角色,从而实现灵活的系统配置;完成模块管理,为控制用户使用系统各功能模块的权限,把系统中所有的功能项添加到模块表中,添加到表中的模块以菜单的形式显示在系统中,增加新的功能模块时,添加模块表,把新增的模块纳入一致的权限管理范畴;完成模块授权配置,对系统各个模块进行定义,并设置对哪些角色、部...     

网格社区授权服务机制及实施研究

鉴于网格应用的特殊性即动态性、异构性和自治性,传统的授权机制难以满足网格应用的特殊需求.解决方案是社区授权服务机制.讨论了相关技术如网格安全基础设施、代理证书、委托与单点登录,着重研究了团体授权服务模式、实施机制及其典型应用案例.探讨了团体授权服务(CAS)的安全性问题.最后指出了实施可定制的CAS组件的迫切性.     

An Authentication and Authorization Solution for a Multiplatform Cloud Environment

ABSTRACT

Providing security at all levels within the multiplatform cloud-computing environment is has not been properly solved due to a variety of problems arising from technical and human-based sources. This paper presents an authentication-and-authorization solution based on the Single Sign-On (SSO) approach for cloud-service users and administrators in a multiplatform environment. The system developed enables user authentication for clouds provided as Infrastructure as a Service system built up from different OS systems. The solution enables the use of different services based on credentials that are authenticated only once and enable simple and efficient administration of the relevant data. The paper briefly presents the problem of user authentication in cloud services from the security aspect and defines the user and system administrator requirements for a secure and efficient authentication system. The implemented solution for two different platforms and the associated OS, one proprietary (WMware) and one open-source (OpenStack), is briefly described.     

网格中的认证授权技术

由于网格技术广泛的应用前景，网格安全正受到越来越多的关注。GSI是目前最为成熟的网格项目Globus中的安全设施。文中就GSI中涉及到认证与授权机制的方面：公钥基础设施．SSL与相互认证进行了研究，分安全委托与单点登录、在线证书仓库、团体授权服务三个方面重点介绍了认证与授权技术在GSI中的应用与扩展及其特点，并通过其大致应用流程和安全性分析讨论了其优点和尚存在的问题。     

网格中的认证授权技术

由于网格技术广泛的应用前景,网格安全正受到越来越多的关注。GSI是目前最为成熟的网格项目Globus中的安全设施。文中就GSI中涉及到认证与授权机制的方面:公钥基础设施,SSL与相互认证进行了研究,分安全委托与单点登录、在线证书仓库、团体授权服务三个方面重点介绍了认证与授权技术在GSI中的应用与扩展及其特点,并通过其大致应用流程和安全性分析讨论了其优点和尚存在的问题。     

一种优化的多播报文认证机制

提出了一种有效的多播报文认证机制,该机制结合了Hash树和Hash链两种方法的特点。在发送一组多播报文时,首先将其划分为大小相等的多个子组,子组的大小由预计抵御的突发丢包发生次数确定。然后为每个子组内的报文建立一棵Hash树,并将每棵Hash树的树根附加于之前的若干个报文中,从而构成了Hash链。该文使用了两种丢包模型对这种机制的性能进行了分析和模拟,其结果表明该机制在达到相同校验率的情况下,可以降低通信开销。     

Authentication and Authorization Mechanisms for Multi-Domain Grid Environments

This article discusses the authentication and the authorization aspects of security in grid environments spanning multiple administrative domains. Achievements in these areas are presented using the EU DataGrid project as an example implementation. It also gives an outlook on future directions of development.     

主动网络授权和认证研究

主动网络是一种新型网络,它提供了基于数据包的可定制的服务。由于服务器节点需要执行非常复杂的操作,因而其安全性备受关注。文章讨论了主动网络节点的授权和认证,以及实现中必须解决的技术问题。基于已有的主动网络框架ANTS,笔者提出了更加安全的体系结构Ex-ANTS及相应的实现方案。     

基于Kerberos认证系统的一个改进的安全认证技术

主要介绍了网络安全中实现用户身份认证的Kerberos认证系统，分析评价了该认证机制的性能并对其进行改进，结合基本身份认证方式提出了一种改进的认证方法以提高系统的安全性。     

一种改进的远程用户身份认证方法

本文针对Yoon-Yoo远程用户身份认证方法隐藏的伪装用户攻击、伪装服务器攻击和窃取校验机攻击的安全缺陷,利用随机数多次哈希运算提出一种改进的远程用户身份认证方法.本算法能够解决Yoon-Yoo方法的安全缺陷,同时又能保持其优点.因此,该方法具有更稳定的安全性,为电子商务等领域提供了远程用户身份认证的有效解决方案.     

一种灵活的认证授权系统的设计与实现

论文提出了一种基于Java认证授权框架和角色访问控制的认证授权系统的总体结构,并给出了具体的实现过程。特别对涉及到的关键技术包括认证模块的设计、授权模块的设计进行了详细的介绍。