專利名稱:一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),屬于信息安全技術(shù)領(lǐng) 域。
背景技術(shù):
信息化建設(shè)和網(wǎng)絡(luò)技術(shù)的發(fā)展,使得信息共享變得越來越便利,網(wǎng)絡(luò)中的信息的 獲取、傳遞和處理更加便捷,但信息在某種程度上所具有的十分敏感的安全特性,使得如何 實現(xiàn)不同企業(yè)和應(yīng)用之間跨信任域的身份授權(quán)與認(rèn)證就顯得非常具有必要性。近年來一直 受到廣泛關(guān)注的一門信息安全技術(shù)——訪問控制,為該問題提供了一種解決途徑,引起國 內(nèi)外學(xué)術(shù)界和企業(yè)界的廣泛關(guān)注。網(wǎng)格計算作為基礎(chǔ)設(shè)施和下一代網(wǎng)絡(luò)近年來也備受關(guān)注。網(wǎng)格常用于科學(xué)工程計 算領(lǐng)域,它提供了一種靈活、安全、協(xié)同的資源共享模式,在這個模式中,由個體或機(jī)構(gòu)等各 種類型網(wǎng)絡(luò)資源提供者組成了一種動態(tài)的環(huán)境,并且所有的計算機(jī)都可以參與計算和資源 的共享。網(wǎng)格中的認(rèn)證通常以對稱和非對稱加密理論為基礎(chǔ),采用滿足規(guī)范的實體證書和 代理證書來提供實體認(rèn)證,或者通過構(gòu)造一定的協(xié)議在通信過程中實現(xiàn)實體的認(rèn)證。網(wǎng)絡(luò) 通信中實體認(rèn)證的協(xié)議已相對完善,因此,目前研究的熱點普遍集中在通過使用證書來進(jìn) 行認(rèn)證的機(jī)制方面。最著名的證書認(rèn)證體系就是πα (Public Key hfrastructure),它建 立在公鑰加密基礎(chǔ)之上,通過使用非對稱密碼原理和實現(xiàn)技術(shù)來建立提供信息安全服務(wù)的 基礎(chǔ)設(shè)施,PKI體系模型如圖1所示。通過H(I,可以將網(wǎng)絡(luò)實體的身份、角色等信息融入 到跨域認(rèn)證中,從而實現(xiàn)不同要求、不同目的的認(rèn)證方式,甚至還可以在認(rèn)證模型中加入時 間、會話等要素,構(gòu)造多粒度的認(rèn)證模型。隨著非對稱密碼技術(shù)研究的發(fā)展,PKI技術(shù)也得 到了廣泛的發(fā)展,由于PKI具有支持可公開驗證并無法仿冒的數(shù)字簽名、保密能力強(qiáng)、證書 由第三方發(fā)布而不需要在線查詢、支持證書撤銷、網(wǎng)絡(luò)互聯(lián)能力強(qiáng)等優(yōu)點,目前其應(yīng)用已經(jīng) 深入到網(wǎng)絡(luò)的各個層面。但是,PKI也存在著證書管理和撤銷復(fù)雜、由某個擁有特權(quán)的機(jī)構(gòu)認(rèn)證所帶來的網(wǎng) 絡(luò)傳輸瓶頸和單點崩潰等不足,雖然曾有人試圖通過改造PKI認(rèn)證體系的CA結(jié)構(gòu)如提出層 次型CA、網(wǎng)狀CA以及橋CA等拓?fù)浣Y(jié)構(gòu),并結(jié)合前向、后向、深度優(yōu)先、廣度優(yōu)先等路徑搜索 方法,來改進(jìn)認(rèn)證路徑構(gòu)造問題從而提高PKI的認(rèn)證效率,但當(dāng)網(wǎng)絡(luò)規(guī)模非常龐大,信任域 數(shù)量較多且處于動態(tài)變化的狀態(tài)時,PKI的復(fù)雜維護(hù)性就更加凸顯??梢?,PKI認(rèn)證技術(shù)在 網(wǎng)格環(huán)境下跨域認(rèn)證過程中的應(yīng)用潛力還可以得到繼續(xù)挖掘,應(yīng)該進(jìn)一步發(fā)揮其優(yōu)勢,完 善該領(lǐng)域的認(rèn)證效力。
發(fā)明內(nèi)容
本發(fā)明的目的是為了克服現(xiàn)有技術(shù)的缺陷,解決傳統(tǒng)認(rèn)證系統(tǒng)中選擇認(rèn)證路徑過 程效率低的問題,提出了一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng)。本發(fā)明是通過以下技術(shù)方案實現(xiàn)的。
本發(fā)明的一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),包括四個模塊網(wǎng)格結(jié)構(gòu) 構(gòu)建模塊、信任域管理模塊、格結(jié)構(gòu)轉(zhuǎn)換模塊和跨域訪問控制模塊,用戶通過用戶訪問接口 與本體系進(jìn)行交互,實現(xiàn)對因特網(wǎng)資源的訪問;網(wǎng)格結(jié)構(gòu)構(gòu)建模塊是本系統(tǒng)最底層的模塊,負(fù)責(zé)對因特網(wǎng)的網(wǎng)絡(luò)資源進(jìn)行統(tǒng)一的 管理和組織,實現(xiàn)對底層的網(wǎng)絡(luò)實體及應(yīng)用的調(diào)用,以及對網(wǎng)絡(luò)中共享資源的分配和使用, 本模塊構(gòu)建以網(wǎng)格形式組織的網(wǎng)絡(luò)結(jié)構(gòu);信任域管理模塊是在由網(wǎng)格結(jié)構(gòu)構(gòu)建模塊所構(gòu)建的以網(wǎng)格形式組織的網(wǎng)絡(luò)結(jié)構(gòu) 的基礎(chǔ)上,根據(jù)信任域管理策略劃分和管理信任域,選定各信任域的代理服務(wù)器,完成各信 任域間的通信和相關(guān)信息的注冊,形成有組織的、相對穩(wěn)定的信任域群,作為格結(jié)構(gòu)轉(zhuǎn)換模 塊的邏輯基礎(chǔ);格結(jié)構(gòu)轉(zhuǎn)換模塊使用格技術(shù)對信任域管理模塊所形成的信任域群再進(jìn)行邏輯組 織,確定各信任域在格中的邏輯表示與地址,提供信任域網(wǎng)絡(luò)地址與格地址的對映關(guān)系,明 確格中各信任域間的相互關(guān)系,完成任意兩個信任域的最大下界域和最小上界域的查找以 及相關(guān)信息的注冊管理,形成明確且相對穩(wěn)定的格結(jié)構(gòu),為跨域訪問控制模塊提供邏輯基 石出;跨域訪問控制模塊與用戶訪問接口進(jìn)行交互,并根據(jù)跨域訪問控制策略,完成信 任域與其對應(yīng)的上下界域之間的路徑查找、跨域訪問過程中信任域間認(rèn)證信息的路由傳 遞、證書的發(fā)放和認(rèn)證,以及跨域訪問的最終實現(xiàn);上述格結(jié)構(gòu)轉(zhuǎn)換模塊使用格技術(shù)對網(wǎng)格中信任域群進(jìn)行邏輯組織的方法為定義〈/ (S),g〉是偏序集,ρ⑶表示集合S = Ia1, a2, . . . aj的所有子集的集合, Q表示集合的“包含于”關(guān)系;由于集合ρ (S)中任意兩個不同的元素X和y都有最小上界 和最大下界,所以稱P (S)關(guān)于偏序集〈Ρ&),C〉構(gòu)成一個格,由于格關(guān)系中最小上界和最大 下界的唯一性,將求χ和ι的最小上界和最大下界分別定義為χ與ι的二元運算V和Λ,即 χ V y和χ Λ y分別表示χ與y的最小上界和最大下界;根據(jù)格理論中滿足一定偏序關(guān)系 的集合中的任意兩元素都具有確定的最小上界和最大下界的特點,對網(wǎng)格環(huán)境中劃分好的 信任域進(jìn)行邏輯再劃分,將劃分出的信任域表示為P (S)集合中的一個元素;上述跨域訪問控制模塊中跨域訪問控制策略為依據(jù)格理論,在對網(wǎng)格信任域進(jìn) 行格形式組織的基礎(chǔ)上,對跨域訪問涉及的訪問發(fā)起域和訪問目的域,約定以他們的最小 上界域為證書發(fā)放服務(wù)器,最大下界域為證書認(rèn)證服務(wù)器,代理服務(wù)器為域內(nèi)實體與認(rèn)證 服務(wù)器進(jìn)行通信與認(rèn)證的接口,負(fù)責(zé)本域?qū)嶓w的管理、本域內(nèi)部實體訪問控制,以及對外域 實體認(rèn)證證書的發(fā)放或認(rèn)證的工作,具體認(rèn)證過程描述如下1)訪問發(fā)起域的代理服務(wù)器獲取訪問目的域的網(wǎng)絡(luò)地址;2)訪問發(fā)起域的代理服務(wù)器根據(jù)網(wǎng)路地址查找訪問目的域在格中的地址;3)訪問發(fā)起域的代理服務(wù)器根據(jù)自身的格地址和訪問目的域的格地址計算自身 域與訪問目的域的最大下界域和最小上界域;4)訪問發(fā)起域的代理服務(wù)器查找與最小上界域之間的認(rèn)證路徑,然后向最小上界 域提出證書申請,并傳遞本域的網(wǎng)絡(luò)地址、格地址和身份信息等相關(guān)信息;5)最小上界域發(fā)布證書,并交給訪問發(fā)起域的代理服務(wù)器;6)訪問發(fā)起域的代理服務(wù)器向訪問目的域的代理服務(wù)器發(fā)送證書;
7)訪問目的域查找其與最大下界域之間的認(rèn)證路徑,提出證書認(rèn)證申請,并傳遞 訪問發(fā)起域的認(rèn)證證書;8)最大下界域完成證書認(rèn)證,并將認(rèn)證結(jié)果返回給訪問目的域;9)訪問目的域根據(jù)認(rèn)證結(jié)果實施或結(jié)束此次跨域訪問,若認(rèn)證證書通過認(rèn)證,則 訪問目的域向訪問發(fā)起域發(fā)送訪問密鑰,并接受訪問;若認(rèn)證證書認(rèn)證失敗,則訪問目的域 拒絕此次訪問;上述步驟4)和步驟7)中的認(rèn)證路徑的查找是根據(jù)系統(tǒng)所構(gòu)造的格中元素的上下 界關(guān)系,具體過程為訪問發(fā)起域首先判斷訪問目的域與自身在格中的關(guān)系,如果訪問目的域是自己的 最小上界域,則訪問發(fā)起域先查找與自身相鄰的域中是否有訪問目的域,如果有,則只向訪 問目的域發(fā)送消息,如果沒有,則選擇向與自身相鄰的并且是自身上界的域發(fā)送信息,接收 到信息的域也會重復(fù)這一選擇過程,直到信息發(fā)送到訪問目的域或者被丟棄。由于格中上 下界關(guān)系的確定性,最終信息一定會到達(dá)訪問目的域,其他非最小上界域的上界域會因為 找不到自身的上界域而將接收到的信息丟棄,但此處理不影響最小上界域?qū)π畔⒌慕邮眨蝗绻L問目的域是自己的最大下界域,則訪問發(fā)起域先查找與自身相鄰的域中是 否有訪問目的域,如果有,則只向訪問目的域發(fā)送信息,如果沒有,則選擇向與自身相鄰的 并且是自身下界的域發(fā)送信息,接收到信息的域也會重復(fù)這一選擇過程,直到信息發(fā)送到 訪問目的域或者被丟棄。由于格中上下界關(guān)系的確定性,最終信息一定會到達(dá)訪問目的域, 其他非最大下界域的下界域會因為找不到自身的下界域而將接收到的信息丟棄,同樣,這 種處理也不會影響最大下界域?qū)π畔⒌慕邮?。本發(fā)明的一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),其工作過程為1)網(wǎng)格初始化。網(wǎng)格初始化自身結(jié)構(gòu),并確定網(wǎng)絡(luò)規(guī)模,為所有的相關(guān)實體分配身 份標(biāo)識,確定信任域劃分策略并依此劃分和注冊各信任域,為各信任域分配格表示,根據(jù)格 表示確定各域之間的關(guān)系及域間通信規(guī)則和通信路徑,初始化并告知所有相關(guān)實體私鑰及 會話密鑰生成算法;2)域內(nèi)初始化。網(wǎng)格初始化完成后,各實體以本域為范圍,根據(jù)各實體的信任度、 訪問頻率、實體計算性能等要素確定本域代理服務(wù)器。本域內(nèi)部實體間建立互信任機(jī)制,彼 此間訪問共享資源不需要認(rèn)證?;谜J(rèn)證服務(wù)器初始化。各信任域根據(jù)初始化得到的格表示與和自身有關(guān)的域進(jìn)行 通信,完成網(wǎng)絡(luò)中所有域的格表示與網(wǎng)絡(luò)真實地址的映射,計算并確定任意兩個信任域的 最小上界域和最大下界域,每個域的代理服務(wù)器對相關(guān)信息進(jìn)行注冊,代理服務(wù)器初始化 身份判決和證書生成、認(rèn)證策略,并向相鄰域的代理服務(wù)器通信,以注冊自身為實體。4)用戶認(rèn)證。在跨域訪問時,用戶使用自身的身份信息,通過本域的代理服務(wù)器向 其所對應(yīng)的身份判決與認(rèn)證證書發(fā)放域(即自身所在域與目標(biāo)域的最小上界)的服務(wù)器發(fā) 送相關(guān)信息,認(rèn)證服務(wù)器根據(jù)判決、認(rèn)證策略做出相應(yīng)的反應(yīng),并將認(rèn)證結(jié)果返回給訪問發(fā) 起實體,訪問發(fā)起實體根據(jù)認(rèn)證結(jié)果和訪問策略進(jìn)行跨域訪問。有益效果本發(fā)明的一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),其相對于現(xiàn)有技術(shù)的優(yōu)勢 在于每個信任域都是認(rèn)證實體,并且都可以充當(dāng)認(rèn)證服務(wù)器,充分利用了網(wǎng)格模型的資源6共享優(yōu)勢;每個域在作為認(rèn)證服務(wù)器的時候,只需要存儲以自身作為上界或者下界的域的 相關(guān)認(rèn)證信息,而不必存儲全局的認(rèn)證信息,如相關(guān)密鑰、對應(yīng)坐標(biāo)等,減少了信息存儲的 冗余,便于維護(hù)和管理;在認(rèn)證過程中,每個域的認(rèn)證服務(wù)器對自身來說都是已知的,并且 由于偏序關(guān)系的選擇,其認(rèn)證路徑也是相對確定的,從而提高了跨域認(rèn)證的效率。
圖1為PKI體系模型;圖2為本發(fā)明的系統(tǒng)層次結(jié)構(gòu)圖;圖3為實施例中使用格技術(shù)所構(gòu)造的網(wǎng)絡(luò)模型;圖4為實施例中系統(tǒng)認(rèn)證過程的示意圖。
具體實施例方式下面結(jié)合附圖和實施例對本發(fā)明做進(jìn)一步說明。實施例一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),包括四個模塊網(wǎng)格結(jié)構(gòu)構(gòu)建模塊、 信任域管理模塊、格結(jié)構(gòu)轉(zhuǎn)換模塊和跨域訪問控制模塊,用戶通過用戶訪問接口與本體系 進(jìn)行交互,實現(xiàn)對因特網(wǎng)資源的訪問;網(wǎng)格結(jié)構(gòu)構(gòu)建模塊是本系統(tǒng)最底層的模塊,負(fù)責(zé)對因特網(wǎng)的網(wǎng)絡(luò)資源進(jìn)行統(tǒng)一的 管理和組織,實現(xiàn)對底層的網(wǎng)絡(luò)實體及應(yīng)用的調(diào)用,以及對網(wǎng)絡(luò)中共享資源的分配和使用, 本模塊構(gòu)建以網(wǎng)格形式組織的網(wǎng)絡(luò)結(jié)構(gòu);信任域管理模塊是在由網(wǎng)格結(jié)構(gòu)構(gòu)建模塊所構(gòu)建的以網(wǎng)格形式組織的網(wǎng)絡(luò)結(jié)構(gòu) 的基礎(chǔ)上,根據(jù)信任域管理策略劃分和管理信任域,選定各信任域的代理服務(wù)器,完成各信 任域間的通信和相關(guān)信息的注冊,形成有組織的、相對穩(wěn)定的信任域群,作為格結(jié)構(gòu)轉(zhuǎn)換模 塊的邏輯基礎(chǔ);格結(jié)構(gòu)轉(zhuǎn)換模塊使用格技術(shù)對信任域管理模塊所形成的信任域群再進(jìn)行邏輯組 織,確定各信任域在格中的邏輯表示與地址,提供信任域網(wǎng)絡(luò)地址與格地址的對映關(guān)系,明 確格中各信任域間的相互關(guān)系,完成任意兩個信任域的最大下界域和最小上界域的查找以 及相關(guān)信息的注冊管理,形成明確且相對穩(wěn)定的格結(jié)構(gòu),為跨域訪問控制模塊提供邏輯基 石出;跨域訪問控制模塊與用戶訪問接口進(jìn)行交互,并根據(jù)跨域訪問控制策略,完成信 任域與其對應(yīng)的上下界域之間的路徑查找、跨域訪問過程中信任域間認(rèn)證信息的路由傳 遞、證書的發(fā)放和認(rèn)證,以及跨域訪問的最終實現(xiàn);上述格結(jié)構(gòu)轉(zhuǎn)換模塊使用格技術(shù)對網(wǎng)格中信任域群進(jìn)行邏輯組織的方法為定義〈戶(幻,〔〉是偏序集,P⑶表示集合S = Ia1, a2, . . . aj的所有子集的集合, G表示集合的“包含于”關(guān)系;由于集合ρ (S)中任意兩個不同的元素X和y都有最小上界 和最大下界,所以稱Ρ (S)關(guān)于偏序集〈p@),e〉構(gòu)成一個格,由于格關(guān)系中最小上界和最大 下界的唯一性,將求X和1的最小上界和最大下界分別定義為X與1的二元運算V和Λ,即 χ V y和χ Λ y分別表示χ與y的最小上界和最大下界;根據(jù)格理論中滿足一定偏序關(guān)系 的集合中的任意兩元素都具有確定的最小上界和最大下界的特點,對網(wǎng)格環(huán)境中劃分好的信任域進(jìn)行邏輯再劃分,將劃分出的信任域表示為P (S)集合中的一個元素;對于集合S = {a,b,c},S有3個元素且S的子集的個數(shù)為23 = 8個,偏序集合 〈/Φ1),。是格,且 P (S)可以表示 8 個域,分別為{a,b,c}、{a}、、{c}、{a, b}、{a, c}、 {b,c}、空集Φ,對于P (S)中任意兩個元素為A、B,則A V B = AUB,AAB = AHB。格 〈廣(5),£〉所構(gòu)造的網(wǎng)絡(luò)模型如圖3所示。上述跨域訪問控制模塊中跨域訪問控制策略為依據(jù)格理論,在對網(wǎng)格信任域進(jìn) 行格形式組織的基礎(chǔ)上,對跨域訪問涉及的訪問發(fā)起域和訪問目的域,約定以他們的最小 上界域為證書發(fā)放服務(wù)器,最大下界域為證書認(rèn)證服務(wù)器,代理服務(wù)器為域內(nèi)實體與認(rèn)證 服務(wù)器進(jìn)行通信與認(rèn)證的接口,負(fù)責(zé)本域?qū)嶓w的管理、本域內(nèi)部實體訪問控制,以及對外域 實體認(rèn)證證書的發(fā)放或認(rèn)證的工作,具體認(rèn)證過程描述如下1)訪問發(fā)起域的代理服務(wù)器獲取訪問目的域的網(wǎng)絡(luò)地址;2)訪問發(fā)起域的代理服務(wù)器根據(jù)網(wǎng)路地址查找訪問目的域在格中的地址;3)訪問發(fā)起域的代理服務(wù)器根據(jù)自身的格地址和訪問目的域的格地址計算自身 域與訪問目的域的最大下界域和最小上界域;4)訪問發(fā)起域的代理服務(wù)器查找與最小上界域之間的認(rèn)證路徑,然后向最小上界 域提出證書申請,并傳遞本域的網(wǎng)絡(luò)地址、格地址和身份信息等相關(guān)信息;5)最小上界域發(fā)布證書,并交給訪問發(fā)起域的代理服務(wù)器;6)訪問發(fā)起域的代理服務(wù)器向訪問目的域的代理服務(wù)器發(fā)送證書;7)訪問目的域查找其與最大下界域之間的認(rèn)證路徑,提出證書認(rèn)證申請,并傳遞 訪問發(fā)起域的認(rèn)證證書;8)最大下界域完成證書認(rèn)證,并將認(rèn)證結(jié)果返回給訪問目的域;9)訪問目的域根據(jù)認(rèn)證結(jié)果實施或結(jié)束此次跨域訪問,若認(rèn)證證書通過認(rèn)證,則 訪問目的域向訪問發(fā)起域發(fā)送訪問密鑰,并接受訪問;若認(rèn)證證書認(rèn)證失敗,則訪問目的域 拒絕此次訪問;上述步驟4)和步驟7)中的認(rèn)證路徑的查找是根據(jù)系統(tǒng)所構(gòu)造的格中元素的上下 界關(guān)系,具體過程為訪問發(fā)起域首先判斷訪問目的域與自身在格中的關(guān)系,如果訪問目的域是自己的 最小上界域,則訪問發(fā)起域先查找與自身相鄰的域中是否有訪問目的域,如果有,則只向訪 問目的域發(fā)送消息,如果沒有,則選擇向與自身相鄰的并且是自身上界的域發(fā)送信息,接收 到信息的域也會重復(fù)這一選擇過程,直到信息發(fā)送到訪問目的域或者被丟棄。由于格中上 下界關(guān)系的確定性,最終信息一定會到達(dá)訪問目的域,其他非最小上界域的上界域會因為 找不到自身的上界域而將接收到的信息丟棄,但此處理不影響最小上界域?qū)π畔⒌慕邮?;如果訪問目的域是自己的最大下界域,則訪問發(fā)起域先查找與自身相鄰的域中是 否有訪問目的域,如果有,則只向訪問目的域發(fā)送信息,如果沒有,則選擇向與自身相鄰的 并且是自身下界的域發(fā)送信息,接收到信息的域也會重復(fù)這一選擇過程,直到信息發(fā)送到 訪問目的域或者被丟棄。由于格中上下界關(guān)系的確定性,最終信息一定會到達(dá)訪問目的域, 其他非最大下界域的下界域會因為找不到自身的下界域而將接收到的信息丟棄,同樣,這 種處理也不會影響最大下界域?qū)π畔⒌慕邮?。本發(fā)明的一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),其工作過程為
1)網(wǎng)格初始化。網(wǎng)格初始化自身結(jié)構(gòu),并確定網(wǎng)絡(luò)規(guī)模,為所有的相關(guān)實體分配身 份標(biāo)識,確定信任域劃分策略并依此劃分和注冊各信任域,為各信任域分配格表示,根據(jù)格 表示確定各域之間的關(guān)系及域間通信規(guī)則和通信路徑,初始化并告知所有相關(guān)實體私鑰及 會話密鑰生成算法;2)域內(nèi)初始化。網(wǎng)格初始化完成后,各實體以本域為范圍,根據(jù)各實體的信任度、 訪問頻率、實體計算性能等要素確定本域代理服務(wù)器。本域內(nèi)部實體間建立互信任機(jī)制,彼 此間訪問共享資源不需要認(rèn)證?;谜J(rèn)證服務(wù)器初始化。各信任域根據(jù)初始化得到的格表示與和自身有關(guān)的域進(jìn)行 通信,完成網(wǎng)絡(luò)中所有域的格表示與網(wǎng)絡(luò)真實地址的映射,計算并確定任意兩個信任域的 最小上界域和最大下界域,每個域的代理服務(wù)器對相關(guān)信息進(jìn)行注冊,代理服務(wù)器初始化 身份判決和證書生成、認(rèn)證策略,并向相鄰域的代理服務(wù)器通信,以注冊自身為實體。4)用戶認(rèn)證。在跨域訪問時,用戶使用自身的身份信息,通過本域的代理服務(wù)器向 其所對應(yīng)的身份判決與認(rèn)證證書發(fā)放域(即自身所在域與目標(biāo)域的最小上界)的服務(wù)器發(fā) 送相關(guān)信息,認(rèn)證服務(wù)器根據(jù)判決、認(rèn)證策略做出相應(yīng)的反應(yīng),并將認(rèn)證結(jié)果返回給訪問發(fā) 起實體,訪問發(fā)起實體根據(jù)認(rèn)證結(jié)果和訪問策略進(jìn)行跨域訪問。如圖4所示,域A中的實體Ea想要訪問域B中的實體&的資源,則跨域認(rèn)證過程 為1)實體Ea向訪問發(fā)起域的代理服務(wù)器CAa請求跨域訪問,并傳遞實體&的網(wǎng)絡(luò)地 址;2)訪問發(fā)起域的代理服務(wù)器CAa通過實體&的網(wǎng)絡(luò)地址獲取訪問目的域CAb的網(wǎng) 絡(luò)地址,根據(jù)網(wǎng)路地址查找訪問目的域CAb在格中的地址,然后根據(jù)自身的格地址和訪問目 的域CAb的格地址計算自身域與訪問目的域CAb的最大下界域和最小上界域,最后訪問發(fā)起 域的代理服務(wù)器CAa查找與最小上界域CAc之間的認(rèn)證路徑,并向最小上界域CAc提出證書 申請,并傳遞本域的網(wǎng)絡(luò)地址、格地址和身份信息等相關(guān)信息;3)最小上界域代理服務(wù)器CAc發(fā)布證書,并交給訪問發(fā)起域的代理服務(wù)器CAa ;4)訪問發(fā)起域的代理服務(wù)器CAa向訪問目的域服務(wù)器CAb發(fā)送證書;5)訪問目的域的代理服務(wù)器CAb向?qū)嶓w&索要實體&的會話密鑰;6)實體&向訪問目的域的代理服務(wù)器CAb返回其會話密鑰;7)訪問目的域代理服務(wù)器CAb查找其與最大下界域代理服務(wù)器CAc之間的認(rèn)證路 徑,提出證書認(rèn)證申請,并傳遞訪問發(fā)起域CAa的認(rèn)證證書給最大下界域;8)最大下界域代理服務(wù)器CAd完成證書認(rèn)證,并將認(rèn)證結(jié)果返回給訪問目的域代 理服務(wù)器CAB ;9)訪問目的域代理服務(wù)器CAb根據(jù)認(rèn)證結(jié)果實施或結(jié)束此次跨域訪問,若認(rèn)證證 書通過認(rèn)證,則訪問目的域代理服務(wù)器CAb向訪問發(fā)起域代理服務(wù)器CAa發(fā)送同意訪問的消 息,并發(fā)送實體&的訪問密鑰;若認(rèn)證證書認(rèn)證失敗,則訪問目的域代理服務(wù)器CAb向訪問 發(fā)起域的代理服務(wù)器CAa發(fā)送拒絕此次訪問的消息,并結(jié)束此次認(rèn)證;10)訪問發(fā)起域的代理服務(wù)器CAa收到訪問目的域代理服務(wù)器CAb的通知,然后將 結(jié)果傳遞給實體Ea;11)實體Ea根據(jù)收到的結(jié)果決定是否可以實施跨域訪問,若可以,則使用實體&的會話密鑰向?qū)嶓w&發(fā)起訪問;若不可以,則結(jié)束此次跨域訪問。
權(quán)利要求
1.一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),用戶通過用戶訪問接口與本體系進(jìn)行 交互,實現(xiàn)對因特網(wǎng)資源的訪問,其特征在于包括網(wǎng)格結(jié)構(gòu)構(gòu)建模塊、信任域管理模塊、格結(jié)構(gòu)轉(zhuǎn)換模塊和跨域訪問控制模塊,四個 模塊在本系統(tǒng)中所完成的任分別為網(wǎng)格結(jié)構(gòu)構(gòu)建模塊構(gòu)建以網(wǎng)格形式組織的網(wǎng)絡(luò)結(jié)構(gòu),處于本系統(tǒng)最底層,負(fù)責(zé)對因特 網(wǎng)的網(wǎng)絡(luò)資源進(jìn)行統(tǒng)一的管理和組織,實現(xiàn)對底層的網(wǎng)絡(luò)實體及應(yīng)用的調(diào)用,以及對網(wǎng)絡(luò) 中共享資源的分配和使用;信任域管理模塊是在由網(wǎng)格結(jié)構(gòu)構(gòu)建模塊所構(gòu)建的以網(wǎng)格形式組織的網(wǎng)絡(luò)結(jié)構(gòu)的基 礎(chǔ)上,根據(jù)信任域管理策略劃分和管理信任域,選定各信任域的代理服務(wù)器,完成各信任域 間的通信和相關(guān)信息的注冊,形成有組織的、相對穩(wěn)定的信任域群,作為格結(jié)構(gòu)轉(zhuǎn)換模塊的 邏輯基礎(chǔ);格結(jié)構(gòu)轉(zhuǎn)換模塊使用格技術(shù)對信任域管理模塊所形成的信任域群再進(jìn)行邏輯組織,確 定各信任域在格中的邏輯表示與地址,提供信任域網(wǎng)絡(luò)地址與格地址的對映關(guān)系,明確格 中各信任域間的相互關(guān)系,完成任意兩個信任域的最大下界域和最小上界域的選擇以及相 關(guān)信息的注冊管理,形成明確且相對穩(wěn)定的格結(jié)構(gòu),為跨域訪問控制模塊提供邏輯基礎(chǔ);跨域訪問控制模塊與用戶訪問接口進(jìn)行交互,并根據(jù)跨域訪問控制策略,完成信任域 與其對應(yīng)的上下界域之間的路徑查找、跨域訪問過程中信任域間認(rèn)證信息的路由傳遞、證 書的發(fā)放和認(rèn)證,以及跨域訪問的最終實現(xiàn)。
2.根據(jù)權(quán)利要求1所述的一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),其特征在于 所述格結(jié)構(gòu)轉(zhuǎn)換模塊使用格技術(shù)對網(wǎng)格中信任域群進(jìn)行邏輯組織的方法為定義0(5),4是偏序集,其中ρ⑶表示集合S = Ia1, a2, . . . aj的所有子集的集合, ^表示集合的“包含于”關(guān)系;由于集合P (S)中任意兩個不同的元素χ和y都有最小上界 和最大下界,所以稱P (S)關(guān)于偏序集〈pC5),e〉構(gòu)成一個格,由于格關(guān)系中最小上界和最大 下界的唯一性,將求χ和1的最小上界和最大下界分別定義為χ與1的二元運算V和Λ,即 χ V y和χ Λ y分別表示χ與y的最小上界和最大下界;根據(jù)格理論中滿足一定偏序關(guān)系 的集合中的任意兩元素都具有確定的最小上界和最大下界的特點,對網(wǎng)格環(huán)境中劃分好的 信任域進(jìn)行邏輯再劃分,將劃分出的信任域表示為P (S)集合中的一個元素。
3.根據(jù)權(quán)利要求1所述的一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),其特征在于 所述跨域訪問控制模塊中跨域訪問控制策略為依據(jù)格理論,在對網(wǎng)格信任域進(jìn)行格形式 組織的基礎(chǔ)上,對跨域訪問涉及的訪問發(fā)起域和訪問目的域,約定以他們的最小上界域為 證書發(fā)放服務(wù)器,最大下界域為證書認(rèn)證服務(wù)器,代理服務(wù)器為域內(nèi)實體與認(rèn)證服務(wù)器進(jìn) 行通信與認(rèn)證的接口,負(fù)責(zé)本域?qū)嶓w的管理、本域內(nèi)部實體訪問控制,以及對外域?qū)嶓w認(rèn)證 證書的發(fā)放或認(rèn)證的工作,具體認(rèn)證過程描述如下1)訪問發(fā)起域的代理服務(wù)器獲取訪問目的域的網(wǎng)絡(luò)地址;2)訪問發(fā)起域的代理服務(wù)器根據(jù)網(wǎng)路地址查找訪問目的域在格中的地址;3)訪問發(fā)起域的代理服務(wù)器根據(jù)自身的格地址和訪問目的域的格地址計算自身域與 訪問目的域的最大下界域和最小上界域;4)訪問發(fā)起域的代理服務(wù)器查找與最小上界域之間的認(rèn)證路徑,然后向最小上界域提出證書申請,并傳遞本域的網(wǎng)絡(luò)地址、格地址和身份信息等相關(guān)信息;5)最小上界域發(fā)布證書,并交給訪問發(fā)起域的代理服務(wù)器;6)訪問發(fā)起域的代理服務(wù)器向訪問目的域的代理服務(wù)器發(fā)送證書;7)訪問目的域查找其與最大下界域之間的認(rèn)證路徑,提出證書認(rèn)證申請,并傳遞訪問 發(fā)起域的認(rèn)證證書;8)最大下界域完成證書認(rèn)證,并將認(rèn)證結(jié)果返回給訪問目的域;9)訪問目的域根據(jù)認(rèn)證結(jié)果實施或結(jié)束此次跨域訪問,若認(rèn)證證書通過認(rèn)證,則訪問 目的域向訪問發(fā)起域發(fā)送訪問密鑰,并接受訪問;若認(rèn)證證書認(rèn)證失敗,則訪問目的域拒絕 此次訪問。
4.根據(jù)權(quán)利要求3所述的一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證系統(tǒng),其特征在于 所述步驟4)和步驟7)中的認(rèn)證路徑的查找是根據(jù)系統(tǒng)所構(gòu)造的格中元素的上下界關(guān)系, 具體過程為訪問發(fā)起域首先判斷訪問目的域與自身在格中的關(guān)系,如果訪問目的域是自己的最小 上界域,則訪問發(fā)起域先查找與自身相鄰的域中是否有訪問目的域,如果有,則只向訪問目 的域發(fā)送消息,如果沒有,則選擇向與自身相鄰的并且是自身上界的域發(fā)送信息,接收到信 息的域也會重復(fù)這一選擇過程,直到信息發(fā)送到訪問目的域或者被丟棄;如果訪問目的域 是自己的最大下界域,則訪問發(fā)起域先查找與自身相鄰的域中是否有訪問目的域,如果有, 則只向訪問目的域發(fā)送信息,如果沒有,則選擇向與自身相鄰的并且是自身下界的域發(fā)送 信息,接收到信息的域也會重復(fù)這一選擇過程,直到信息發(fā)送到訪問目的域或者被丟棄。
全文摘要
本發(fā)明涉及一種基于格的網(wǎng)格環(huán)境下多信任域認(rèn)證技術(shù),屬于信息安全領(lǐng)域。包括四個模塊網(wǎng)格結(jié)構(gòu)構(gòu)建模塊、信任域管理模塊、格結(jié)構(gòu)轉(zhuǎn)換模塊和跨域訪問控制模塊,其工作過程包括網(wǎng)格初始化、域內(nèi)初始化、認(rèn)證服務(wù)器初始化和用戶認(rèn)證。本發(fā)明每個信任域都是認(rèn)證實體,充分利用了網(wǎng)格模型的資源共享優(yōu)勢;每個域在作為認(rèn)證服務(wù)器的時候,只需要存儲以自身作為上界或者下界的域的相關(guān)認(rèn)證信息,而不必存儲全局的認(rèn)證信息,減少了信息存儲的冗余,便于維護(hù)和管理;在認(rèn)證過程中,每個域的認(rèn)證服務(wù)器對自身來說都是已知的,并且其認(rèn)證路徑也是相對確定的,從而提高了跨域認(rèn)證的效率。
文檔編號H04L9/32GK102055769SQ20101062268
公開日2011年5月11日 申請日期2010年12月29日 優(yōu)先權(quán)日2010年12月29日
發(fā)明者劉洪倡, 孫新, 張啟坤, 鄭軍 申請人:北京理工大學(xué)