联盟身份管理中的跨联盟用户互访技术研究

本文针对联盟身份管理中的跨联盟用户互访技术展开研究。首先介绍了联盟身份管理的主要技术,分析了实现跨联盟用户互访的主要挑战,并从允许其他联盟的用户访问本联盟的资源和允许本联盟的用户访问其他联盟的资源这两个方面提出了实现跨联盟用户互访的技术方案。最后,在CNGI项目的实际环境中,对CARSI联盟和CALIS联盟之间的跨联盟用户互访技术进行了实现和部署。

面向大型机构的统一身份管理方法

通过借鉴自由联盟组织提出的Liberty框架,并针对该框架的结构以及身份提供者之间信任关系的建立模式进行改造,提出一种面向大型机构的新型身份管理联盟。新型的身份管理联盟比Liberty框架更加适用于具有分布性、自治性、全局性和协同性的大型机构。新型的身份管理联盟在物理结构上可看作由多个身份提供者节点组成的一棵树,其中每个身份提供者节点必须并且只能与其父节点和子节点建立信任关系,这与现实中各个大型机构的树状层级结构是完全相符的。在系统实现过程中,依托新型身份管理联盟的树状结构,并采用LDAP实现了用户认证数据的分级存储。此外还通过安全认证网关在网络层对用户的接入进行控制,从而能够同时支持B/S和C/S两类应用系统的单点登录。

身份管理技术综述

身份管理是解决大规模异构网络环境中的信息安全技术,联盟身份管理和相关标准成为发展主流,其通过对用户身份标识和管理策略进行绑定和对其进行全生命周期管理,形成集身份认证、授权管理、责任认定于一体的基础设施框架,以降低管理用户身份、属性和信任证书的成本,提高安全性,保护用户的隐私,方便信息共享等。