CN101707594A - 基于单点登录的网格认证信任模型 - Google Patents

基于单点登录的网格认证信任模型 Download PDF

Info

Publication number
CN101707594A
CN101707594A CN200910184926A CN200910184926A CN101707594A CN 101707594 A CN101707594 A CN 101707594A CN 200910184926 A CN200910184926 A CN 200910184926A CN 200910184926 A CN200910184926 A CN 200910184926A CN 101707594 A CN101707594 A CN 101707594A
Authority
CN
China
Prior art keywords
authentication
user
grid
attribute
assertion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200910184926A
Other languages
English (en)
Inventor
王汝传
王芳
王海艳
王杨
张琳
邓勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Post and Telecommunication University
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing Post and Telecommunication University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Post and Telecommunication University filed Critical Nanjing Post and Telecommunication University
Priority to CN200910184926A priority Critical patent/CN101707594A/zh
Publication of CN101707594A publication Critical patent/CN101707594A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

基于单点登录的网格认证信任模型是一种对开放网格环境下信任实体进行客观认证的解决方案,主要用于解决用户如何进行身份认证以及通过一次认证即可发起网格应用的问题,当继续使用网格资源时无需对用户作重复认证在通过身份认证后就可以根据拥有的权限访问计算网格中的各种合法资源。在网格计算环境下,网格用户与本虚拟组织内的网格实体以及其他虚拟组织的实体间的协同合作、共享资源的安全性和动态性问题,构建网格计算环境中对用户进行授权的安全体系结构。

Description

基于单点登录的网格认证信任模型
技术领域
本发明是一种对开放网格环境下信任实体进行客观认证的解决方案,主要用于解决用户如何进行身份认证以及通过一次认证即可发起网格应用的问题,当继续使用网格资源时无需对用户作重复认证在通过身份认证后就可以根据拥有的权限访问计算网格中的各种合法资源。
背景技术
网格计算中用户需要与网格服务或其他网格实体进行相互认证,认证和授权是网格安全的核心内容之一。网格计算现有的安全认证机制完全依赖于公钥证书体系,认证过程中网格用户需要使用自己的私钥进行加密或签名为了保证私钥的安全性私钥一般由用户口令字加密保存在本地文件中在需要时由用户解密存取网格应用经常需要与多个动态变化的资源交互当网格应用需要与多个网格资源交互时或需要以用户身份远端执行某项操作时,为了避免用户多次输入口令存取私钥文件的繁琐并减少存取私钥的次数提高私钥的安全性即实现单点登陆SSO(Single Sign On),因此我们提出应用SAML的网格单点登陆系统。
SAML(安全断言标志语言)主要是为了解决Web服务安全体系中的身份认证多次使用的问题,能为用户提供跨越异种网络和平台的单点登录的认证和授权,尤其是在Web服务的系统和流程合作的基础上的,允许多个系统共同分享安全问题和身份验证方面的信息,即身份认证的信息可以在多个服务中传递,从而免除了多次认证的麻烦,进而提高了安全化网络服务的性能。SAML允许不同的机构安全地在他们的用户之间交换认证、授权信息,而不用考虑他们所使用的安全系统和应用平台。SAML促进了不同的、分离的安全系统的协作性,提供了跨域的安全架构,为基于Web服务的单点登录服务提供了一种开放式的、协作的设计。SAML并不定义任何新的认证和授权机制或方法,只定义用于不同域的服务间安全信息传输的文档结构。
研究的内容就是将SAML语言应用到网格计算中来,实现网格的单点登陆功能,该功能不仅包括必须的网格用户与网格服务之间的相互认证,还包括了授权功能,这个功能完全可以从SAML扩展出来。因为SAML本身就带有这个授权功能。
本文所要解决的问题集中在于:现有的网格单点登陆系统授权功能不完善,而SAML的权限管理功能具有很好的扩展性,可以较好的解决网格单点登陆系统的授权问题。本文将结合SAML和网格计算的特征,提出基于SAML的网格安全单点登陆系统。
发明内容
技术问题:本发明的目的是提出一种基于单点登录的网格认证信任模型,解决在网格计算环境下,网格用户身份认证、单点登录以及授权问题,构建网格计算环境中对用户进行授权的安全体系结构。扩展权限管理功能,特别是在跨域过程中,不仅实现网格用户在访问跨域资源时的相互认证,还要实现对跨域资源的授权。
技术方案:本发明的基于单点登录的网格认证信任模型是一个能广泛适用并具有高效率的网格等开放网络环境中的方法。从使用基于SAML的单点登录的角度来设计研究网格计算环境中的认证信任模型,来完成用户的身份认证和单点登录问题。
下面给出该模型中的几个概念:
信任(Trust):是对一个实体身份和行为的可信度的评估,与这个实体的可靠性、诚信和性能有关,信任是一个主观概念,取决于经验,我们用信任值来表示信任等级的高低,信任值随实体的行为而动态变化。
SAML(Security Assertion Markup Language)是一种基于XML语言用于传输认证及授权信息的技术框架,SAML架构由三个部分组成:(1)主体(Principals),即用户;(2)服务提供者(Service Providers,SP),即各种应用系统;(3)身份提供者(Identity Providers,IDP),即身份认证服务器。其中很多应用系统服务器可以同时实现SP和IDP功能。SAML的核心为断言(Assertion),SAML断言是SAML实体(如认证实体)生成的数据,概要了对主体(如服务请求者)执行的认证操作、主体属性或授权请求(如服务请求者能否访问资源)。
在SAML体系中,主体是各个安全域中的拥有特定身份的个体,主题根据其发挥的作用不同,一般包括如下几个部分:
(1)访问主体(Access Entity):使用这一登录体系中应用服务的最终用户。
(2)认证权威(Authentication Authority):对用户身份进行判定的主体,由认证权威来保证最终用户的身份检查。认证权威发出认证声明,指明了在什么时间,以什么方式对用户身份进行了鉴别,鉴别后的用户的身份(用户主体)。
(3)属性权威(Attribute Authority):对用户属性进行确认和声明。用户除身份认证信息外的其他各人信息由属性权威获得,并添加到用户的声明中。
(4)策略决策点(Policy Decision Point,简称PDP):这一主体判定用户是否拥有对某个资源所具有的权限(授予、拒绝)。在访问控制中,该权限包含下列权限的一种或者多种:读、写、执行。
(5)策略实施点(Policy Enforcement Point,简称PEP):负责截取用户主体对应用服务主体的访问请求,并同时处理用户访问中的声明,将通过身份认证的用户信息发送到策略决策点,并接收来自策略决策点的授权决策信息,进行访问控制的实施。
(6)应用服务提供者(Service Provider):提供服务的主体,是整个体系中的内容提供者,也可能是安全服务。
以上的这些主体负责处理或者发出SAML声明。而声明的主要用途是传递用户的身份认证信息、用户的属性信息,以及是否能够访问特定应用的授权信息等。根据这几种声明用途的不同,可以将声明分为以下三类:
(1)认证断言(Authentication Assertion):包含有关主体(如服务请求者)成功通过认证的业务数据。认证断言一般是由IDP发出,用于证明已登录用户的身份。
(2)授权决定断言(Authorization Decision Assertion):包含有关授权决策的业务数据。例如,授权决策可能指出主体可以访问其请求的资源。
(3)属性断言(Attribute Assertion):包含有关主体属性的业务数据。
本发明的基于单点登录的认证信任模型将单点登录应用在信任模型中,利用单点登录技术来解决用户如何进行身份认证以及通过一次认证即可发起网格应用的问题,具体如下:
步骤1).客户首先在本地生成一个待签发的本地证书,然后向认证中心CA提交证书,请求授权;
步骤2).认证中心判断客户有无权限访问网格资源,若有则认证中心用其私钥签署从客户端发来的本地证书,并返回给用户;
步骤3).客户收到已签发的证书后,向本自治域服务器进行注册,并其发送自己的数字证书;
步骤4).自治域服务器验证数字证书,通过后会将客户ID和密码保存在自治域服务数据库中,客户就成为网格用户;
步骤5).网格用户有任务提交时,先登陆自治域服务器;
步骤6).单点登陆,网格用户向认证中心申请认证断言;
步骤7).认证中心根据用户信息生成认证断言,并签发该断言,该断言文件包含了主体、发行者和有效期信息;
步骤8).网格用户将认证断言发送到属性中心;
步骤9).属性中心验证认证断言后,这里假设属性中心已经有了认证中心的数字证书,再根据认证断言的用户信息生成安全断言标志语言SAML属性断言文件,该断言文件包含了属性名字、属性命名空间和属性值信息;
步骤10).网格用户发送属性断言和用可扩展标记语言XML描述的任务到网格服务端;
步骤11).网格服务端验证属性断言,并保存,这里假设网格服务端已经有了属性中心的数字证书;
步骤12).网格服务端提取属性断言转化为用户策略文件;
步骤13).用户选择服务选项,包括服务权利如:读、写、修改操作,服务时间如:起始时间、终止时间,IP地址匹配与否;
步骤14).生成策略文档,进行策略匹配,用户将声明提交给自治域服务器,通过本地策略,自治域服务器判断是否提供服务给用户;
步骤15).用户将任务请求提交给自治域服务器;
步骤16).服务器根据可信节点的性能,将作业分成若干个子作业分配给各个可信节点完成;
步骤17).将结果返回给用户,任务完成。
有益效果:本发明方法提出了一种把身份认证和单点登录结合的新方法,主要用于解决网格社区中对用户身份认证的问题,通过使用本发明提出的方法可以避免实体欺骗行为和实现动态性,可以有效的达到网格社区中对资源节点的访问控制的目的,是一种高效便捷的新方法。下面我们给出具体的说明。
(1)对SSO服务器中底层潜在的安全体系结构,实现、配置和维护变得更加容易。分布式系统中的所有通信实体就没有必要单独实现所有的安全功能和机制。
(2)SOAP对于SSO服务器的接口使SSO体系结构变得非常通用。正如我们在前面所提到的,SSO本身也是一个Web Service。如果SSO服务器能够显示其接口的WSDL,SSO API就可以即刻产生并加以利用。
(3)由于不必到处传递安全信用信息,SSO服务器增强了整个系统的安全性。SSO服务器成为唯一可以接受安全信用信息的场所。而且,SSO的解决方案经常将联合性考虑在内,所以就可以在一个广阔的范围里进行鉴别(超出特定的安全域),而安全信用信息却仍然位于特定的安全域中。
(4)在跨域的系统中,用户不得不维护多个用户名和口令,而且口令的安全性很容易受到威胁。当用户数量很多时,用户口令的维护会给IT支持部门造成很大的工作量。通过采用基于身份认证的SSO,用户支持的成本将显著降低。
(5)在SSO体系结构中,在单个SSO服务器上可以找到所有的安全算法,该服务器是对所定义域进行鉴别的唯一场所。用户的身份验证由SSO服务器来实现,因而使得系统的其他部分无须承担任何的安全职责,便于实现集中、统一的身份管理。
附图说明
图1是网格CA服务端运行流程图。
图2是IDP服务器运行流程图。
图3系统的UML时序图。
图4单点登录视图。
图5系统的流程图。
具体实施方式
本发明的基于身份认证和单点登录的认证信任模型是将客观信任应用到网格安全平台系统中,利用信任模型解决网格用户身份认证的问题,具体如下:
一、体系结构
(1)在本设计中,网格用户首先从CA服务器获得由CA服务器签发后的X.509数字证书,这个证书就是用户在本系统中能够证明自己得身份证明,类似于在人类社会生活中的身份证,我们的身份证就是由政府加了方位标志的一个证件,具有唯一性。认证模块采用传统的PKI模型,具体的运行流程如图1所示,CA服务器在运行以后,会一直监听网络上的签发请求,当收到客户发来的证书后,检查客户的身份标识,当该用户的身份可信时,便自动为客户的证书进行签名,将签名后的证书存入密钥库中并将其返回给用户。CA服务器为每一个用户开一个线程,可满足多用户的签发需要。而网格用户使用该证书访问VO服务端时,VO服务端检查该证书是否由CA服务器所签发,若签发,则认证通过,否则拒绝访问。
(2)在我们的系统中,用户首先需要将从CA服务器获得的证书发送给IDP(Identity Provider),IDP验证了证书再生成SAML断言文件传送给用户,用户只要向网格系统提交了SAML断言文件,就可以实现对网格系统的单点登录了。
IDP服务器(Identity Assertion Provider)在运行以后,会一直监听网格上的断言生成签发请求,当收到客户发来的SAML断言请求后,首先验证客户发来的证书,若该证书验证通过则根据客户的信息为客户生成SAML断言并使用IDP服务器的私钥进行签发,将签名后的断言存入密钥库中并自动将签名后的SAML断言返回给用户。IDP服务器为每一个用户开一个线程,可满足实际中多用户的签发需要。
IDP服务器的运行流程如图2所示:
二、方法流程
本发明的基于身份认证和单点登录的认证信任模型是将客观信任应用到网格安全平台系统中,利用信任模型解决网格用户身份认证的问题,系统的具体流程如下:
(1)网格客户首先在本地生成一个待签发的本地证书,然后向认证中心提交证书,请求授权;
(2)认证中心判断客户有无权限访问网格资源,若有权限则认证中心用其私钥签署从客户端发来的本地证书,若客户无权限认证中心则拒绝为其私钥签名,并把判断结果返还给用户;
(3)客户收到已签发的证书后,向本自治域服务器进行注册,并附加自己的数字证书给服务器;
(4)自治服务器验证数字证书,通过后会将客户ID和密码保存在自治域服务数据库中,客户就成为网格用户;
(5)网格用户有任务提交时,先登陆自治域服务器;
(6)网格用户发送签发后的证书发给IDP;
(7)这里假设IDP已经有了CA的数字证书,IDP根据CA的证书验证用户证书后,再根据用户证书的信息生成SAML断言文件,并用IDP的私钥对断言进行签发,最后将签发后的SAML断言文件发送给网格用户;
(8)网格用户调用注册服务Regist的客户端程序,通过SOAP安全传输发送证书到GridServer(即VO服务端);
(9)GridServer收到证书后,对证书进行验证,验证通过将用户名和密码保存到数据库的用户信息表中;
(10)网格用户调用登陆服务Login的客户端程序,通过SOAP安全传输将用户名和密码发送到GridServer;
(11)GridServer验证用户名和密码,验证通过成功登陆网格服务;
(12)网格用户调用单点登陆服务SAMLSSOServer的客户端程序,通过SOAP安全传输发送SAML断言给GridServer;
(13)这里假设GridServer已经有了IDP的数字证书,并对断言进行验证;
(14)网格用户调用信任评估服务TrustValue的客户端程序,通过SOAP安全传输将信任评估参数发送到GridServer;
(15)GridServer调用TrustEvaluate程序通过信任评估参数,查询数据库资源信息表中的资源节点的信任度,并执行信任度评估程序,返回信任的资源节点给客户端;
(16)网格用户调用策略请求服务PolicyRequest的客户端程序,通过SOAP安全传输发送策略请求的XACML文件给GridServer;
(17)GridServer根据策略请求文件与第12步所得到的资源节点的策略文件进行匹配,得出最后可以使用的资源节点;
(18)GridServer根据匹配的资源节点的性能对作业进行分解,并通过移动agent将分解得到的子作业分发给相应的网格资源节点运行;
(19)资源节点运行完任务,将结果通过agent返回给GridServer;
(20)当出现资源节点运行任务失败时,GridServer对该分配给该资源节点的子作业重新进行分解并分配给其他已经运行完作业的资源节点运行;若本域中的资源节点的子作业还没有运行完,则GridServer将该子作业提交给其他域的服务端,请求其他域的资源节点协助完成该子作业。
(UML时序图如3所示,流程图如图5所示)
其中,第(3)步又可细分为如下几个步骤:
a)网格用户向认证中心申请认证断言。
b)认证中心根据用户信息生成认证断言,并签发该断言,该断言文件包含了Subject(主体),Issuer(发行者),有效期等信息。
c)网格用户将认证断言发送到属性中心。
d)属性中心验证认证断言后,这里假设属性中心已经有了认证中心的数字证书,再根据认证断言的用户信息生成SAML属性断言文件,该断言文件包含了AttributeName(属性名字)、AttributeNamespace(属性命名空间)和AttributeValue(属性值)等信息。
e)网格用户调用注册服务客户端程序,通过soap安全传输发送认证断言到网格服务端。
f)网格服务端收到证书后,对证书进行验证,验证通过将用户名和密码保存到用户信息数据库中。
g)网格用户调用网格登录服务的客户端程序,通过soap安全传输将用户名和密码发送到网格服务端。
h)网格服务端到数据库中验证用户名和密码,验证通过成功登录网格服务。
i)网格用户发送属性断言和用XML描述的任务到网格服务端。
j)网格服务端验证属性断言,并保存,这里假设网格服务端已经有了属性中心的数字证书。
k)网格服务端提取属性断言转化为用户策略文件。
l)网格服务端根据策略请求文件与数据库中的策略集行匹配,得出最后可以使用的资源节点。
m)网格服务端通过移动agent分发作业给匹配成功的网格资源节点运行。
n)资源节点运行完结过后,将结果通过agent返回给网格服务端。
o)当某资源节点不可用时,VO1网格服务端生成<VO1<U<U>>代理断言及未完成的作业部分发送到VO2网格服务端。
p)VO2的处理过程同VO1,VO2运行完作业,再将作业发回VO1服务端。
q)最后由网格服务端将作业总的结果发送给网格用户端。
1、用户向CA认证中心注册,成为网格用户
若未注册的客户,首先应在本地生成一个待签发的本地证书,然后向认证中心CA(Certification authority)提交证书,请求授权,认证中心判断客户有无权限访问网格资源,若有则认证中心用其私钥签署从客户端发来的本地证书,并返回给用户,客户收到已签发的证书后,向本自治域服务器进行注册,并其发送自己的数字证书,自治域服务器验证数字证书,通过后会将客户ID和密码保存在自治域服务数据库中,客户就成为网格用户;
2、登录自治域服务器,单点登录,提交任务
网格用户向认证中心申请认证断言,认证中心根据用户信息生成认证断言,并签发该断言,该断言文件包含了Subject(主体),Issuer(发行者),有效期等信息。网格用户将认证断言发送到属性中心。属性中心验证认证断言后,这里假设属性中心已经有了认证中心的数字证书,再根据认证断言的用户信息生成SAML属性断言文件,该断言文件包含了AttributeName(属性名字)、AttributeNamespace(属性命名空间)和AttributeValue(属性值)等信息。网格用户调用注册服务客户端程序,通过soap安全传输发送认证断言到网格服务端。网格服务端收到证书后,对证书进行验证,验证通过将用户名和密码保存到用户信息数据库中。
网格用户调用网格登录服务的客户端程序,通过soap安全传输将用户名和密码发送到网格服务端。网格服务端到数据库中验证用户名和密码,验证通过成功登录网格服务。网格用户发送属性断言和用XML描述的任务到网格服务端。网格服务端验证属性断言,并保存,这里假设网格服务端已经有了属性中心的数字证书。网格服务端提取属性断言转化为用户策略文件。网格服务端根据策略请求文件与数据库中的策略集行匹配,得出最后可以使用的资源节点。网格服务端通过移动agent分发作业给匹配成功的网格资源节点运行。资源节点运行完结过后,将结果通过agent返回给网格服务端。
3、提交任务请求和结果返回
用户选择服务选项,包括服务权利如:读、写、修改操作,服务时间如:起始时间、终止时间,IP地址匹配与否,从而生成策略文档,进行策略匹配,用户将策略声明提交给自治域服务器,通过本地策略,自治域服务器判断是否提供服务给用户,如果通过则响应用户的请求,用户将任务请求提交给自治域服务器,服务器根据可信节点的性能(如CPU性能),将作业分成若干个子作业分配给各个可信节点完成,任务完成后,所有资源节点将结果返回给自治域服务器,服务器把各个子结果整合之后发送给用户一个完整的结果。
具体如下:
步骤1).客户首先在本地生成一个待签发的本地证书,然后向认证中心CA(Certification authority)提交证书,请求授权;
步骤2).认证中心判断客户有无权限访问网格资源,若有则认证中心用其私钥签署从客户端发来的本地证书,并返回给用户;
步骤3).客户收到已签发的证书后,向本自治域服务器进行注册,并其发送自己的数字证书;
步骤4).自治域服务器验证数字证书,通过后会将客户ID和密码保存在自治域服务数据库中,客户就成为网格用户;
步骤5).网格用户有任务提交时,先登陆自治域服务器;
步骤6).单点登陆,网格用户向认证中心申请认证断言;
步骤7).认证中心根据用户信息生成认证断言,并签发该断言,该断言文件包含了Subject(主体),Issuer(发行者),有效期等信息;
步骤8).网格用户将认证断言发送到属性中心;
步骤9).属性中心验证认证断言后,这里假设属性中心已经有了认证中心的数字证书,再根据认证断言的用户信息生成SAML属性断言文件,该断言文件包含了AttributeName(属性名字)、AttributeNamespace(属性命名空间)和AttributeValue(属性值)等信息;
步骤10).网格用户发送属性断言和用XML描述的任务到网格服务端;
步骤11).网格服务端验证属性断言,并保存,这里假设网格服务端已经有了属性中心的数字证书;
步骤12).网格服务端提取属性断言转化为用户策略文件;
步骤13).用户选择服务选项,包括服务权利如:读、写、修改操作,服务时间如:起始时间、终止时间,IP地址匹配与否;
步骤14).生成策略文档,进行策略匹配,用户将声明提交给自治域服务器,通过本地策略,自治域服务器判断是否提供服务给用户;
步骤15).用户将任务请求提交给自治域服务器;
步骤16).服务器根据可信节点的性能(如CPU性能),将作业分成若干个子作业分配给各个可信节点完成;
步骤17).将结果返回给用户,任务完成;
在这个过程中,用户首先要注册成网格用户,在有任务提交时,需登录自治域服务器验证身份,单点登录环境至少包括三个角色:
·信任方——利用身份信息;具代表性的信任方是Service Provider,由其决定允许何种请求。
·断言方——提供安全信息;SAML称之为“Identity Provider”。
·主题——与身份信息相关的用户。
任何环境下都会有许多主题和数个Service Provider。也可能存在多个Identity Provider。基本上,Service Provider或信任方需要了解三件事情:
·身份信息。
·产生请求的一方请求的用户是主题。
·提供身份信息的Identity Provider是可信任的。
在SAML中,断言携带信息。断言中包含头信息、主题名称和一个或多个语句。头信息包含Identity Provider的名称和像发行与有效期等其他信息。
两类最重要的语句为:
·身份验证语句——关于该主题是一个在特定时间和地点、使用特殊的方法进行过身份验证的报告。SAML提供了超过20种不同身份验证方法的详细定义。身份验证语句支持SSO,其中Identity Provider代表Service Provider进行登录。
·属性语句——包含与主题有关的属性。一条属性语句中的典型属性是组和角色,除此之外还会携带财政数据或任何其它属性。

Claims (1)

1.一种基于单点登录的网格认证信任模型,其特征在于该模型将单点登录应用在信任模型中,利用单点登录技术来解决用户如何进行身份认证以及通过一次认证即可发起网格应用的问题,具体如下:
步骤1).客户首先在本地生成一个待签发的本地证书,然后向认证中心CA提交证书,请求授权;
步骤2).认证中心判断客户有无权限访问网格资源,若有则认证中心用其私钥签署从客户端发来的本地证书,并返回给用户;
步骤3).客户收到已签发的证书后,向本自治域服务器进行注册,并其发送自己的数字证书;
步骤4).自治域服务器验证数字证书,通过后会将客户ID和密码保存在自治域服务数据库中,客户就成为网格用户;
步骤5).网格用户有任务提交时,先登陆自治域服务器;
步骤6).单点登陆,网格用户向认证中心申请认证断言;
步骤7).认证中心根据用户信息生成认证断言,并签发该断言,该断言文件包含了主体、发行者和有效期信息;
步骤8).网格用户将认证断言发送到属性中心;
步骤9).属性中心验证认证断言后,这里假设属性中心已经有了认证中心的数字证书,再根据认证断言的用户信息生成安全断言标志语言SAML属性断言文件,该断言文件包含了属性名字、属性命名空间和属性值信息;
步骤10).网格用户发送属性断言和用可扩展标记语言XML描述的任务到网格服务端;
步骤11).网格服务端验证属性断言,并保存,这里假设网格服务端已经有了属性中心的数字证书;
步骤12).网格服务端提取属性断言转化为用户策略文件;
步骤13).用户选择服务选项,包括服务权利如:读、写、修改操作,服务时间如:起始时间、终止时间,IP地址匹配与否;
步骤14).生成策略文档,进行策略匹配,用户将声明提交给自治域服务器,通过本地策略,自治域服务器判断是否提供服务给用户;
步骤15).用户将任务请求提交给自治域服务器;
步骤16).服务器根据可信节点的性能,将作业分成若干个子作业分配给各个可信节点完成;
步骤17).将结果返回给用户,任务完成。
CN200910184926A 2009-10-21 2009-10-21 基于单点登录的网格认证信任模型 Pending CN101707594A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200910184926A CN101707594A (zh) 2009-10-21 2009-10-21 基于单点登录的网格认证信任模型

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910184926A CN101707594A (zh) 2009-10-21 2009-10-21 基于单点登录的网格认证信任模型

Publications (1)

Publication Number Publication Date
CN101707594A true CN101707594A (zh) 2010-05-12

Family

ID=42377786

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910184926A Pending CN101707594A (zh) 2009-10-21 2009-10-21 基于单点登录的网格认证信任模型

Country Status (1)

Country Link
CN (1) CN101707594A (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035846A (zh) * 2010-12-22 2011-04-27 北京航空航天大学 一种基于关系声明的社交网用户身份认证方法
CN102571873A (zh) * 2010-12-31 2012-07-11 上海可鲁系统软件有限公司 一种分布式系统中的双向安全审计方法及装置
CN103138921A (zh) * 2011-11-22 2013-06-05 阿里巴巴集团控股有限公司 一种身份信息验证方法和系统
CN103460738A (zh) * 2011-03-23 2013-12-18 交互数字专利控股公司 用于使网络通信安全的系统和方法
WO2014131326A1 (zh) * 2013-02-26 2014-09-04 中国银联股份有限公司 用于安全性信息交互的设备
CN104394141A (zh) * 2014-11-21 2015-03-04 南京邮电大学 一种基于分布式文件系统的统一认证方法
CN105740679A (zh) * 2014-12-24 2016-07-06 三星电子株式会社 具有用户识别功能的电子设备及用户认证方法
CN106341428A (zh) * 2016-11-21 2017-01-18 航天信息股份有限公司 一种跨域访问控制方法和系统
CN106559408A (zh) * 2015-11-27 2017-04-05 国网智能电网研究院 一种基于信任管理的sdn认证方法
WO2017071478A1 (zh) * 2015-10-28 2017-05-04 深圳光启智能光子技术有限公司 光子ca认证方法及系统
US10044713B2 (en) 2011-08-19 2018-08-07 Interdigital Patent Holdings, Inc. OpenID/local openID security
CN108400989A (zh) * 2018-03-01 2018-08-14 北京东方英卡数字信息技术有限公司 一种共享资源身份认证的安全认证设备、方法及系统
CN111431966A (zh) * 2020-02-21 2020-07-17 视联动力信息技术股份有限公司 一种业务请求处理方法、装置、电子设备及存储介质
CN112583777A (zh) * 2019-09-30 2021-03-30 北京国双科技有限公司 用户登录的实现方法及装置
CN114726641A (zh) * 2022-04-26 2022-07-08 王善侠 基于计算机的安全认证方法及系统

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035846A (zh) * 2010-12-22 2011-04-27 北京航空航天大学 一种基于关系声明的社交网用户身份认证方法
CN102571873B (zh) * 2010-12-31 2015-01-28 上海可鲁系统软件有限公司 一种分布式系统中的双向安全审计方法及装置
CN102571873A (zh) * 2010-12-31 2012-07-11 上海可鲁系统软件有限公司 一种分布式系统中的双向安全审计方法及装置
CN103460738A (zh) * 2011-03-23 2013-12-18 交互数字专利控股公司 用于使网络通信安全的系统和方法
US10044713B2 (en) 2011-08-19 2018-08-07 Interdigital Patent Holdings, Inc. OpenID/local openID security
TWI554955B (zh) * 2011-11-22 2016-10-21 Alibaba Group Holding Ltd Identity authentication methods and information systems
CN103138921B (zh) * 2011-11-22 2016-05-11 阿里巴巴集团控股有限公司 一种身份信息验证方法和系统
CN103138921A (zh) * 2011-11-22 2013-06-05 阿里巴巴集团控股有限公司 一种身份信息验证方法和系统
WO2014131326A1 (zh) * 2013-02-26 2014-09-04 中国银联股份有限公司 用于安全性信息交互的设备
CN104394141A (zh) * 2014-11-21 2015-03-04 南京邮电大学 一种基于分布式文件系统的统一认证方法
CN105740679A (zh) * 2014-12-24 2016-07-06 三星电子株式会社 具有用户识别功能的电子设备及用户认证方法
US10911247B2 (en) 2015-10-28 2021-02-02 Kuang-Chi Intelligent Photonic Technology Ltd. Photon-based CA authentication method and system
WO2017071478A1 (zh) * 2015-10-28 2017-05-04 深圳光启智能光子技术有限公司 光子ca认证方法及系统
CN106559408B (zh) * 2015-11-27 2019-12-13 国网智能电网研究院 一种基于信任管理的sdn认证方法
CN106559408A (zh) * 2015-11-27 2017-04-05 国网智能电网研究院 一种基于信任管理的sdn认证方法
CN106341428A (zh) * 2016-11-21 2017-01-18 航天信息股份有限公司 一种跨域访问控制方法和系统
CN108400989A (zh) * 2018-03-01 2018-08-14 北京东方英卡数字信息技术有限公司 一种共享资源身份认证的安全认证设备、方法及系统
CN108400989B (zh) * 2018-03-01 2021-07-30 恒宝股份有限公司 一种共享资源身份认证的安全认证设备、方法及系统
CN112583777A (zh) * 2019-09-30 2021-03-30 北京国双科技有限公司 用户登录的实现方法及装置
CN112583777B (zh) * 2019-09-30 2023-04-18 北京国双科技有限公司 用户登录的实现方法及装置
CN111431966A (zh) * 2020-02-21 2020-07-17 视联动力信息技术股份有限公司 一种业务请求处理方法、装置、电子设备及存储介质
CN114726641A (zh) * 2022-04-26 2022-07-08 王善侠 基于计算机的安全认证方法及系统

Similar Documents

Publication Publication Date Title
CN101707594A (zh) 基于单点登录的网格认证信任模型
Liu et al. Blockchain-based identity management systems: A review
US20080168539A1 (en) Methods and systems for federated identity management
CN101242272B (zh) 基于移动代理和断言的网格跨域安全平台的实现方法
Damiani et al. Managing multiple and dependable identities
Jie et al. A review of grid authentication and authorization technologies and support for federated access control
US20090265753A1 (en) Using opaque groups in a federated identity management environment
Bhatti et al. An integrated approach to federated identity and privilege management in open systems
CN102025495A (zh) 基于saml2.0的身份认证和管理
US20060080730A1 (en) Affiliations within single sign-on systems
Zwattendorfer et al. Towards a federated identity as a service model
CN101567785A (zh) 网络服务中的票据认证方法、系统及实体
Fragoso-Rodriguez et al. Federated identity architectures
Hovav et al. Tutorial: identity management systems and secured access control
Gal-Oz et al. TRIC: An infrastructure for trust and reputation across virtual communities
Marillonnet et al. An Efficient User‐Centric Consent Management Design for Multiservices Platforms
Shaikh et al. Identity management in cloud computing
Sheik et al. A comparative study of cyber threats on evolving digital identity systems
Kavassalis Designing an academic electronic identity management system for student mobility using eidas eid and self-sovereign identity technologies
Varnosfaderani et al. A flexible and compatible model for supporting assurance level through a central proxy
Chandersekaran et al. Information sharing and federation
Gaie Optimise data exchange between government administrations while ensuring privacy rights
Kim et al. Security and access control for a human-centric collaborative commerce system
Spagnoletti et al. Securing virtual enterprises: Requirements and architectural choices
Gao et al. Shibboleth and community authorization services: Enabling role-based grid access

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20100512