OpenID标准化认证机制是新一代的单点登录解决方案,能够简化用户的操作流程、减少资源提供者认证系统的开销。OpenID的完整性保护作为多级安全的重要方面逐渐成为备受关注的议题。用于实现完整性保护的安全模型有很多,Biba模型是专为实现完整性保护而提出的。Biba模型中的严格完整性策略是应用最为广泛的保护策略,能够保证系统数据的完整性,但是其静态实施降低了系统的兼容性。本文首先在现有单点登录解决方案基础上介绍了OpenID标准化认证机制的体系结构及基本原理,包括其关键组件及层次标准。构建了OpenID的基本认证平台,分析了OpenID认证机制中存在的主要安全性问题,并提出相关的防护策略。其次,结合实例分析了Biba模型中的严格完整性策略静态实施的缺陷,在其基础上提出了主体完整性标记动态确定方案,给出了形式化的描述,将主体完整性等级扩展为独立的读写区间,分别用于控制主体的读写范围,并根据主体的读写历史行为调整主体可读写的区间。构造了访问控制规则,依据主体的读写历史和可读写的区间仲裁主体的访问请求,给出了规则的实施解释。对动态确定方案的安全性进行了证明,说明该方案是安全的。通过实例,与现有严格完整性策略的改进方案进行了对比分析,指出了现有动态实施方案中存在的信息完整性可能被间接破坏的安全隐患,并分析了存在该安全隐患的原因。给出了动态确定方案的实施算法,说明该方案和常规的严格完整性策略具有相同的时间复杂度和空间复杂度,具有较强的实用性,适用于多种安全系统。最后,对动态确定方案在OpenID认证机制中的实施方法进行了解释,使其能够适用于具体的网络应用。在OpenID应用服务器站点建立基于XML文档的用户访问历史目录,用以记录用户的读访问、写访问、读写访问及调用访问的历史行为。从而节省了应用站点和认证服务器之间冗余的交互流程,减少了应用服务站点响应用户的时间及网络开销。在OpenID认证服务器站点建立了基于XML的用户信息的存储机制。通过构建安全OpenID访问控制的基本流程,提出了一种将主体完整性动态确定方案应用于OpenID认证机制的基本方法,解决了OpenID机制的完整性动态实施问题,该方法既保护了OpenID机制的数据完整性,又提高了系统的兼容性和灵活性。