基于OAuth 2.0的委托授权架构

doi:10.3969/j.issn.1006-2475.2016.08.022

计算机与现代化

基于OAuth 2.0的委托授权架构

(广东第二师范学院计算机科学系，广东广州 510303)

收稿日期:2016-01-29 出版日期:2016-08-18 发布日期:2016-08-11
作者简介:沈海波(1963-)，男，湖北孝感人，广东第二师范学院计算机科学系教授，博士，研究方向：计算机网络与信息安全。
基金资助:
广东第二师范学院教授科研专项基金资助项目(2014ARF24)

Delegation Authorization Framework Based on OAuth 2.0

(Department of Computer Science, Guangdong University of Education, Guangzhou 510303, China)

Received:2016-01-29 Online:2016-08-18 Published:2016-08-11

摘要/Abstract

摘要： 认证与授权是保障网络资源安全授权访问的重要技术，而委托可增强授权机制的动态性、灵活性和规模性。OAuth 2.0规范给出了一个开放的委托授权架构，并得到广泛应用，但不适用于需要更强安全特性的场合。通过对OAuth 2.0进行扩展，提出一种Web应用环境下的安全委托授权架构。基于所有权证明（Proof-of-Possession, PoP）安全机制，提出客户端认证到资源服务器的方案，描述PoP密钥绑定到PoP令牌的方法，并详细讨论架构的总体结构和实施流程以及委托的撤销等相关问题。

关键词: 开放授权架构, 委托, 授权, 认证, 所有权证明

Abstract: Authentication and authorization are the important technologies to ensure the secure access to the Web resources, and the delegation can strengthen the dynamicity, flexibility and scalability of authorization mechanism. OAuth (open authorization) 2.0 specification defines an open delegation authorization framework and is used in a wide variety of applications, but it is not applicative to the scenarios that require stronger security properties. By extending the functionalities of the OAuth 2.0, a secure delegation authorization framework for the Web application environment is proposed. In the proposed framework, the scheme of client authentication to the resource server is proposed based on the proof-of-possession (PoP) security mechanism, and the method to bind PoP key to PoP token is described. Finally, the related issues in the framework such as the overall architecture, the abstract implementation flow and the revocation of delegation are discussed in detail.

Key words: open authorization (OAuth) framework, delegation, authorization, authentication, proof-of-possession

中图分类号:

TP309

沈海波. 基于OAuth 2.0的委托授权架构[J]. 计算机与现代化, doi: 10.3969/j.issn.1006-2475.2016.08.022.

SHEN Hai-bo. Delegation Authorization Framework Based on OAuth 2.0[J]. Computer and Modernization, doi: 10.3969/j.issn.1006-2475.2016.08.022.

参考文献

[1] 郭亚军,宋建华李莉. 信息安全原理与技术[M]. 北京:清华大学出版社, 2008:160-175.,

[2] 常彦德基于角色的访问控制技术研究进展[J]. 计算机与现代化, 2011(12):5-8..

[3] 沈海波,洪帆. 基于属性的授权和访问控制研究[J]. 计算机应用, 2007,27(1):114-117.

[4] Gusmeroli S, Piccione S, Rotondi D. A capability-based security approach to manage access control in the Internet of Things[J]. Mathematical and Computer Modelling, 2013,58(5-6):1189-1205.

[5] Pham Q, Reid J, McCullagh A, et al. On a taxonomy of delegation[J]. Computers and Security, 2010,29(5):565-579.

[6] 袁家斌,魏利利,曾青华. 面向移动终端的云计算跨域访问委托模型[J]. 软件学报, 2013,24(3):564-574.

[7] 吴槟,冯登国. 多域环境下基于属性的授权委托模型[J]. 软件学报, 2011,22(7):1661-1675.

[8] RFC 6749, The OAuth 2.0 Authorization Framework[S].

[9] 时子庆,刘金兰,谭晓华. 基于OAuth2.0的认证授权技术[J]. 计算机系统应用, 2012,21(3):260-264.

[10] 卢慧锋,赵文涛,孙志峰,等. 社会化网络服务中OAuth 2.0的应用研究与实现[J]. 计算机应用, 2014,34(S1):50-54.

[11] RFC 6750, The OAuth 2.0 Authorization Framework: Bearer Token Usage[S].

[12] RFC 6819, OAuth 2.0 Threat Model and Security Considerations[S].

[13] WS-Trust 1.4, Web Services Trust Language (WS-Trust) 1.4[S].

[14] Hunt P, Richer J, Mills W, et al. OAuth 2.0 Proof-of-Possession (PoP) Security Architecture[EB/OL]. https://datatracker.ietf.org/doc/draft-ietf-oauth-pop-architecture/, 2015-12-01.

[15] RFC 7159, The JavaScript Object Notation (JSON) Data Interchange Format[S].

[16] RFC 7523, JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants[S].

[17] RFC 7517, JSON Web Key (JWK)[S].

[18] RFC 7518, JSON Web Algorithms (JWA)[S].

基于OAuth 2.0的委托授权架构

Delegation Authorization Framework Based on OAuth 2.0

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

[1]	刘鑫, 柳毅. 基于智能合约的双因素身份认证方案[J]. 计算机与现代化, 2023, 0(10): 121-126.
[2]	李伟群, 常朝稳, 李鹏劲. 资源受限的NB-IoT节点的安全认证选择机制[J]. 计算机与现代化, 2023, 0(02): 104-109.
[3]	赵微, 秦砺寒, 运晨超. 基于Portal认证技术的科技成果数据跨平台访问控制[J]. 计算机与现代化, 2021, 0(07): 102-106.
[4]	车佳丽, 任俊玲. 基于安全性能的单项竞价交易模式研究与实现[J]. 计算机与现代化, 2021, 0(03): 41-45.
[5]	周静, 董国超, 邓祖强, 张金娈, 刘超, 牛永亮 . 基于随机Hash链的双向安全认证RFID协议[J]. 计算机与现代化, 2021, 0(03): 46-50.
[6]	吴金宇1,张丽娟2,孙宏棣2,赖宇阳2. 泛在电力物联网可信安全接入方案[J]. 计算机与现代化, 2020, 0(04): 52-.
[7]	张茜,王箭. 基于盲签名的云共享数据完整性审计方案[J]. 计算机与现代化, 2020, 0(04): 60-.
[8]	吴克河，陈鸿祥，李为 . 基于SM9标识密码的北斗安全传输协议研究[J]. 计算机与现代化, 2020, 0(02): 41-.
[9]	周李京,王敏,秦璐璐. 多属性授权机构下属性可撤销的CP-ABE方案[J]. 计算机与现代化, 2019, 0(11): 60-.
[10]	赵东昊，卢昱，王增光，张腊. 物联网环境下基于NFC的一次性口令认证方案[J]. 计算机与现代化, 2019, 0(03): 107-.
[11]	徐睿1,2,游佳1,2,刘坤1,2,马锋1,2,段珂2,钟焰涛3. 基于国密算法和PUF的企业用户身份认证系统[J]. 计算机与现代化, 2018, 0(03): 102-.
[12]	刘赛1,聂庆节1,刘军1,李东民2,李静2. 基于量化行为的实时数据库备份系统访问控制模型[J]. 计算机与现代化, 2018, 0(01): 116-122.
[13]	简碧园1, 汪海涛2, 刘道微1. 一种RFID双向认证协议[J]. 计算机与现代化, 2017, 0(7): 107-110.
[14]	马尚寅1，高关心1，刘嘉吉1，田玮2. 基于微信的考勤管理系统#br# 身份认证及位置识别方法的实现机制[J]. 计算机与现代化, 2017, 0(3): 8-.
[15]	郝昱文1,田肖2,李晓雪1,赵喆1,郑静晨1，杨杨3. 物联网中基于聚合签名的认证方案研究[J]. 计算机与现代化, 2016, 0(6): 103-106.