论文研究-网格安全认证模型设计 .pdf

所需积分/C币:12 2019-08-15 17:06:56 275KB .PDF
收藏 收藏
举报

网格安全认证模型设计,杨阳,张永平,网格是可以动态共享和协同计算的资源集成,它通过高效的组织分布在不同位置的闲置资源,来提供超强的数据处理能力。传统网络安全
国武技论文在线 结构简单的分为两层:层是,层是终端用户,每个终端用户由个来验证 每个可以对多个终端用户进行验证。 混合交叉认证模型 混合交叉认证模型是常用模型中最复杂的一种,它结合了集中式层次认证模型和多 认证模型的优势,即存在多个独立的 其独立的模型类似于一个小的集中式层 次模型,完仝具有它的树形结构;各个独立的模型间又需要进行相互认证,此时把独立 的集中式层次模型看成一个整体,它烑成了一个多认证模型。该模型中,交叉认证是针 对 而言,而对于所有非 之间的节点是不能进行交叉认证的。 网格认证模型改进设计 认证模型的需求 本文在 方案的基础上,设计一种基于 认证和 认证的交叉模式 对」不同域之间寻找一种互相访冋的札制。这就将整个模型划分为域內与域间,不同的域內 独立的可以使用 认证或认证,但在异构的域问用户身份需要转变时,模型 需要为用户完成域间的身份映射,也称为域间实体身份映射。为了完成域间信任证书的转换, 需要考以下几个因素 由于不同信任域內的证书格式不同,因此模型需要对证书格式进行转换。当 域访问到 证书域时, 读取 的票据信息,然后转化生成 证书 证书域访问 域时, 结构中的需要读取 证书信息,然 后转化生成票据。将 票据转化成证书在 方案中已经通过可以 来实现,而如何将 证书转换成 票据将是模型改进的重点。 在网格环境下,当完成一项服务需要涉及多个不同的域时,重复必须的域间转换将会给 网格系统造成计算负担。 网格环境下不同的信任域间拥有公钥证书的,通过公钥米认证;若不同域拥有 不同的证书或票据时,还需要对证书及票据的有效性进行验证 的证书有效性与模型 信任的证书有关, 票据由来管理,负责保存和更新,多种信任域的证书鉴 别需要在域间相互进行认证之前完成 改进认证模型的提出 通过以上对网格环境下认证模型的需求分析,可以分析出:单纯的使用集中式层次 模型、多结构模型或混合交叉认证模型都不是可行的。集中式层级模型在用户和资 源数量过多的环境中,需要管理厐大的数据库和证书库,计算量和复杂度都是难以控制操作 的;混合交叉认证模型无法满足网格环境下动态和实时变化的特点,因为它需要根据服务提 供的不同,来重新不断的组织资源,每一次资源之间的重新接入接出以及组合路径的选取都 是十分复杂而难以高效率完成的。因此本文设计的模型上要在借鉴了 模型的基础上, 提出一种层次域的认证模型,其模型框图如下 国武技论文在线 级信任域 CA 级信域 Root K RtP)一级信任城 仁匚 三级信任域 网格不境 图层次域认证模型 改进的层次域认证模型中,主要分为三个层次,分别定义为:级信任域、二级信任域 和三级信任域,其中一级信仼域也称为根信仁域。根佁任域具有最髙的认证权限,它好比集 中式层次模型中的 ,是整个网格环境中最基础和最高权限的认证中心,它对二级信 任域中的资源和用户提供认证。二级信任域中划分为两大认证中心,即 协议信任 域和证书信仟域,这两人域的分类按照认证的核心协议来分,为了方便统一而分类的 管,这两人域之间的认证需要满足双向性,利用 方案,可以将 票据转换 为 证书,从而完成证书信任域对 协议认证域的认证,而反向的认证则 需要由上层的一级信任域来完成。三级信任域主要是木地的同一认证方式域内的终端用户间 的认让组合,木文将会分析 域内不同终端用户间的认证过程,同时,还将对 协议认证域内 协议的安全性进行分析及改进,提出一种抗口令猜测攻击的 收进协议来提高认证的安全性。 海量的三级信任域主要负责不同实体资源间的认证,根据其证书的类型划分成的二级信 任域则主要完成 协议组对提出的认证请求,而一级信任域则主要负责证 书组对 协议组提出的认证请求。 在该模型中,根据认证过程中域之间是否进行交互,可以分为域内认证和域间交可两个 过程。一级信仟域中需要寻找方案完成 协议组对 证书的认证,解决如何将 证书转化为 票据这一问题。而二级信任域根据用户使用的证书策略分为了 和两大域,木文保持原有的域的认证机制,重点将分析二级信任域中 域如何完成对域实体的认证,以及三级信任域中 域与 域间 不同实体的认让,最后对 协议进行安全性分析,提出改进方案 级信任域 一级信任域中 为二级信任域中次根级提供其公钥和票据,它存储了级根 的证书,这也是最基础、最关键的部分。它具有两大主要功能:一是私钥与票据的管理和保 存;二是如何实现证书对票据的转换,完成 域对域的认证。 由于一级信仟域采用的模型类似于集中式层次模型,而集中式模型不适用于网格环 国武技论文在线 境的个重要原因是海量的动态用户和数据传输会给 带来过大的计算量,从而影 响认证的效率。针对此缺陷,本文将一级域下层的二级域设为 信任域和倍任 域,其重要的原因是为了减轻 的工作量。在该模型中 只需完成域间认证 的一半过程,即只需完成 协议域对证域的认证,即域中的用户访问 域中的资源,而其反过程则由二级信任域来完成,这就为模型的可行性提供了计算 方面的保证。 级信任域主要负责二层域中 和 两个次根级节点的认证,在该域认 证中心采用基于 方案的认证方案,同时本文模型在 中增加 ,其作用是提取 证书信息,转换为 票据所需的信息,然 后提交给 由来签发成票据,从而进行认证,其过程如卜图所示。级域中 需要保存访问过服务的用户的票据,在票据有效期内,已申请过服务的用户可以从 中寻找对应的票据信息,而不需要再次由认证中心生成票据。这样的方式提高了认证的效率 但同时也增加了中数据库存储和更新的计算量。 PKI域 Kerberos域 AS CA 信在关系的建 TGSa XAA KCAa User2 应用服务器a 图域中用户访 域资源 可以要完成两个任务:一是可以提取的证书信息给 二是可以与 结合,直接与交义的域间的进行认证。域内的用户共亨的公钥,而其私钥由 自己保存。在同域内,用广和通过公钥证书的认证来建立信任关系,同吋,也可以 通过公钥证书来与域间建立信任关系。中用广 要访问 域中资源的主 要过程为:将访问请求上溯到二级域中的 将的身份标识以及访 问的目标服务器等信息提交到 首先查看数据库中是否保存有 的票据信息, 如果有,则直接与 进行交互,如果没有,则按照图中的步骤,利用来提取 的证书信息,并由最终生成该用户的票据信息。 该域中对 的要求很高,其中,私钥和票据的管理制约着整个模型的安全性能, 日受到攻击或被泄露,对模型的安全性会带来巨大的灾难。在网格环境下并不是所以服务 都涉及域间的转换,因此, 也没有必要总是处于在线连接状态,将 在多数 时间设置为离线状态既是节约资源的一种方法,更是对私钥保护的一种方法。 国武技论文在线 二级信任域 本文的认证模型中,二级信任域分为两个 协议组 和证书 组 和任务为:分别作为 域内和域内的 接收下层域内的服务请求;完成域的服务对 域用户的认证。 域的服务对 域用户的认证是指 域中用户申请访问域中的资 源时进行的认证。其认证的主要过程为: 用户首先查看本地服务器是否缓存有己转换的证书,如果有则进行下一步; 如果没有,则向发送身份认让请求,先获得访问的票据,然后由通过验证 用户身份之后, 签发 让书 域中通过证书域域中通过公钥证书建立信任关系,域 通过对接收证书的验证,然后为验证成功的用户签发访问域内资源的证书 用户在得到访问域内资源的证书后,通过该证书向目的资源发送访问请求,同 时将此证书存放在夲地缓存中;域内资源对证书的有效性进行验证,验证成功后,为用 户建立一条有效的从域内到用户的证书路径,路径建立之后用户即可以访问 域中的资源了。需要说明的是,用户在该过程中所获得的证书时临时的,不需要撤销 也就是说,只要在证书的有效期内,用户就可以一直使用此证书来中请域中的资源, 这在一定程度上城少了网格环境下服务请求的工作量。 三级信任域 三级信任域包含了海量的用户终端和数据终端,它在二级域的划分规则下形成多层次的 人证结构,其中 域和域分别进行管理,也就是说三级信仁域中只完成相同 策略方式之间的实体认证,如果想要访问不冋策略城内的资源,则用户终端需要先于该域中 的进行交互,从而将此任务设定在级域内完成 其中, 域内使用 协议,它可以提供支持跨域认证的功能,通过建 立多个域间的信仟关系,然后支持跨域认证,这种信仟关系可以分为直接信仟和间接信仟两 种。 直接信任关系中两个域的信任关系通过域间之间共享密钥来实现互相信任,不同 域内共享的密钥叫做跨域密钥,本地作为远程的一个用户来进行添加。间 接信任关系反映的是信仼的传递性,比如域和域互相信仼,域和域互相信仼,那 么可以得出或和域也具有信任关系,此时不需要为域和域来建立直接信任关系, 而是通过可传递的信任关系米建立跨域的信任途径 本模型中 域内认证是指 域中的用户访问另一个 域中的 资源的过程。其过程为 用户首先需要从本地 获得授权的票据,因此先查看本地服务器中是否保存有 访问的票据,如果有继续下一步,如果没有,则用户需要先将用户身份标识等信息 提交给进行认证,在获得的身份认证后,将访问的票据发送给用户 用户在取得访问的票据之后将票据提交给,并发送访问远程资源的票 据中请;用户所在域的验证票据的有效性,然后定位访问资源所在域的,将包 含了用户和自身 信息以及要访问的资源名称的信息经过签名加密发送给远程的 ;远程 验证所接收的信息,解压得到用广身份标识和其域内信息,然后 査看本地服务器是否缓存有的证书路径,如果有则进行下一步,如果没有,则重新构 国武技论文在线 建出·条从到的证书路径,该路径由各自的公钥证书建立信任关系,同时 为签发一个访问资源服务器的票据 和 之间建立信任关系之后,用户即可以获得允许访问资源服务器的票 据,通过将此票据及用户身份标识等信息提交给资源服务器申请服务,资源服务器对其身份 和票据的有效性进行验证,验证成功后即可提供用户所申请的服务。 在 跨域认证的过程中,用户与日标之闫若存在直接信任关系,则会减少 认证的计算量;若没有直接关系,也可以根据已有的信任关系来匹配一条可信任的路径,在 此过程中,路径中的为用户签发访问下一个的票据,同时生成与之相交互的共 享密钥,用户获得该共享密钥和票据后即建立了信任关系 三级信任域中域内用户间的机制和认让主要过程为: 终端用户向 ,注册中心发送申请服务的请求,将用户标识 和密钥对信息等向提父。 首先验证用户提交的信息,验证用户的身份是否合法,验证成功后,再将服务请 求发送给认证中 接收请求后,完成两个步骤:一是为可信仟的用户签发证书;二是将证书 发布、更新或撤销等的操作通知给证书及厍,及时更新证书信息。 得到证书的终端用户通过证书及厍查询并得到证书更新和作废等消息。 终端用户将取得的证书、要访问的目的资源等信息提交给桥,桥读取用户 提交的信息,并与目的资源域的根进行交互,为终端用户和目的资源之间建立可到达的 证书路径,通过验证以后,用户端和資源提供端就可以进行交互。 对改进模型的分析 新的认证模型在 的基础上通过设定双层域来进行改进,具有以下特点: 由于用户需要先访问后访问 这样的顺序决定了将 票据转化为 证书是简单的,改进的模型在域用户访问 域资源时,将此工作交给上级 信仼域来完成,通过新增的,将域中的用户证书转换为相应的票据,并为其存储 票据,方便用户下次申请资源时使用。 用户域分为不同的级别,不同级别有不同的认证策略。当有新的用户动态加入时, 可以根据所属的认证方式来方便的进行定位,为其选择合适的路径加入到模型中。同时,若 有用户动态退出时,也可以方便的释放资源。这都是因为该模型建立了一个逻辑清晰的路径 分配方法。并且,由于整体模型分为了三个层次,每个层次可以独立的完成其相应的认证服 务,比如同一 域或域内的用户间认证,只需涉及本层很少的资源,而不需要 涉及策略模式的转换,这种方式减少了网格计算中认证过程的计算量,为髙效率的服务提供 了基础保证。 在该模型三纵信任域中,同时涉及了机制和 机制,这两种机制各有优 势,而存在的缺点也可以通过另一方来互补。总的来说,这两种机制郗支持双向认证,适用 于网格环境, 机制采用对称密钥体制,与机制的非对称密钥体制相比计算量比 较小,但要存储更多的密钥 机制中票据的有效期比较短,机制的证书往往有 较长的冇效期,同时也增加了对证书管理的工作。本文的模型没冇单纯的选择一种认证机制, 而是通过寻找两者之间新的相互认证杋制来将两者兼容在网格环境中,这为模型的实现提供 了物理可行性 国武技论文在线 结论 传统网终安仝认证技术发展比较成熟,应用最广泛的是 认证机制和基于 证书的认证机制。但这两种机制都无法直接单一的应用在网格环境下 认证的提出 正是基于这两种机制,完成了 票据对 证书的转化,但这种转化是单向的 同吋,网络环境中常使用三类认证模型:集中式层次认让模型、多结构模型和混合交叉 认证模型,为适应网格动态性和实时性等要求,必须寻找一种改进的新模型。 在深入分析认证技术和认证模型的基础上,针对以上两个主要问题,本文设计一种层次 域的认证模型,将网格环境分为三个层次:一级信任域、二级信任域和三级信任域。一级信 任域上要解决如何将证书转化为 票据的问题,二级信任域依据 机制 完成 票据对 证书的转化,三级信仟域主要完成同一机制域内的身份认证。 本文虽然对网柊安全认证模型提出了改进方法,但还存在着一些问题,也缺少更多的模 拟来进行验证,作者认为在以下几个方面还有待改进 本文对內格的环境研究还不够全面,对一些关键技术也没有进行深层次的分析,网 格新兴技术的了解和研究也比较欠缺。 本文提出的网格模型中如何将 证书转换为 票据还有待进步的研究 和实现。 参考文献 李天泽网格安全的认证和访问控制技术研究硕士学位论文西安西安电子科技大学 李晓航,王宏霞,张文芳编著认证理论及应用北京:清华大学岀版社 李柏丹网格安全认让机制的岍究与实现硕士学位论文青烏中国亻油大学 刘怡文李伟琴,韦卫信息刚格安全体系结构的矿究北京航空航天大学学报,, 孟凡松网格实全认证模型硏究硕士学位论文武汉武汉理工大学 王楠內格安全体系结构研究硕上学位论文北京北京邮电大学 何宇网格安全信任模型与认证机制的研究顸士学位论文合肥合肥工业大学 肖健基于 与 的网格认证模型研究硕士学位论文内蒙古科技大学 路晓明,冯登国一种基于身份的多信仁域网格认证模型电子学报 牛晓冰网格安全体系结构研究硕士学位论文济南山东大学

...展开详情
试读 8P 论文研究-网格安全认证模型设计 .pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    • 至尊王者

      成功上传501个资源即可获取
    关注 私信 TA的资源
    上传资源赚积分,得勋章
    最新推荐
    论文研究-网格安全认证模型设计 .pdf 12积分/C币 立即下载
    1/8
    论文研究-网格安全认证模型设计 .pdf第1页
    论文研究-网格安全认证模型设计 .pdf第2页
    论文研究-网格安全认证模型设计 .pdf第3页

    试读已结束,剩余5页未读...

    12积分/C币 立即下载 >