（计算机应用技术专业论文）基于pki的统一认证与授权系统的研究与实现.pdf

摘要 随着信息化建设进程不断开展，电子政务作为经济与社会信息化的重要条 件，在世界范围内发展迅速，政府各部门的政务应用系统也应运而生。电子政 务内网门户是面向政府公务员办公的访问入口，并且需要集成许多各个职能部 门提供的w e b 应用系统，这些系统各自拥有不同的身份认证和授权模块，并且 开发平台和部署位置都不一致，这给政务一体化工作带来极大的因难。建立一 种统一认证与授权系统，实现用户和应用服务的集中管理，成为急需解决的问 题。 本文的研究内容是建立在一个电子政务内网门户项目的背景之上，针对当前 电子政务现状，通过身份认证技术、单点登录模型和访问控制机制的分析与研 究，设计一种基于p k i 的统一认证与授权系统，在身份认证和会话维持方面， 使用基于数字证书的挑战应答方式对用户进行身份认证，利用加密的会话 c o o k i e 维持中心认证服务器同客户端的会话；在服务授权和访问管理方面，政 务内网中的应用系统及其提供的服务在中心认证服务器注册，由其集中管理， 并结合基于经纪人的k e r b e r o s 模型和基于角色的访问控制机制进行授权，由中 心认证服务器生成服务票据，用户通过服务票据访问w e b 应用系统；最后本文 对设计的统一认证与授权系统的安全性也进行了简要的分析。 在统一认证与授权系统的实现上，系统使用j a v a e e ( j a v ae n t e r p r i s ee d i t i o n ) 为开发平台，以l d a p ( l i g h td i r e c t o r y a c c e s sp r o t o c o l ，轻量目录访问协议) 目 录服务器为数字证书的存储体建立c a ( c e r t i f i c a t i o n a u t h o r i t y ，认证机构) 中心， 独立提供应用服务器和用户数字证书的查询服务，以实现不同政务内网门户认 证中心间的交叉认证；并对涉及到系统服务中的关键问题进行分析与设计。在 系统集成方面，对于原有应用系统通过使用重定向的方式对其进行改造与集成， 而对于新建系统通过使用安全w r e bs e r v i c e 同内网门户集成以进行单点登录和授 权访问。 本文通过对统一认证与授权系统的设计与实现，解决了用户信息无法统一， 授权管理复杂以及资源难于共享的问题，对以后电子政务的建设有一定的现实 的意义。 关键字：p k i ，l d a p ，单点登录，认证，授权 a b s t r a c t w i t ht h ec o n s t a n td e v e l o p m e n to fi n f o r m a t i o nc o n s t r u c t i o n ，a st h ei m p o r t a n t c o n d i t i o nf o rt h ee c o n o m i ca n ds o c i a li n f o r m a t i o n i z a t i o n ，e - g o v e r n m e n th a sb e i n g d e v e l o p e dr a p i d l y e g o v e r n m e n ti n n e rp o r t a la st h ea c c e s sf o rt h eo f f i c ei n t e g r a t e d m a n yw e ba p p l i c a t i o ns y s t e m sp r o v i d e db yv a r i o u sf u n c t i o nd e p a r t m e n t s i nt h e s e s y s t e m s ，t h e i ra u t h e n t i c a t i o na n da u t h o r i z a t i o nm o d u l e s ，d e v e l o p m e n tp l a t f o r m sa n d d e p l o y m e n tl o c a t i o n sa r ed i f f e r e n t ；i tb r i n g sb i gd i f f i c u l t yt o t h ee - g o v e r n m e n t i n t e g r a t i o n i t su r g e n tt ob u i l dau n i f i e da u t h e n t i c a t i o na n da u t h o r i z a t i o ns y s t e mt o i m p l e m e n tt h ec e n t r a l i z e dm a n a g e m e n tf o ru s e r sa n da p p l i c a t i o ns e r v i c e s b a s e do nt h eb a c k g r o u n do fap r o j e c to fe g o v e r n m e n ti n n e rp o r t a l ，t h i st h e s i s f o c u s e so nt h ec u r r e n ts t a t u so fe - g o v e r n m e n t ，t h r o u g ht h ea n a l y s i sa n dr e s e a r c ho f t h ea u t h e n t i c a t i o nt e c h n o l o g y , t h em o d e lo fs s o ( s i n g l es i g no n ) a n dt h em e c h a n i s m o fa c c e s sc o n t r o l ，d e s i g nau n i f i e da u t h e n t i c a t i o na n da u t h o r i z a t i o ns y s t e mb a s e do n p k i ，i na u t h e n t i c a t i o na n ds e s s i o nt r a c k i n g ，t h es y s t e mu s e st h ec h a l l e n g e r e s p o n s e m e t h o db a s e do nd i g l t a lc e r t i f i c a t et oa u t h e n t i c a t i o n ，a n du s e st h ee n c r y p t e dc o o k i et o t r a c kt h es e s s i o nb e t w e e nt h ec a s ( c e n t e ra u t h e n t i c a t i o ns e r v e r ) a n dc l i e n t s i n s e r v i c ea u t h o r i z a t i o na n da c c e s sm a n a g e m e n t ，t h ec a sr e g i s t e r sa p p l i c a t i o n sa n d s e r v i c e sp r o v i d e db ya p p l i c a t i o n si ne g o v e r n m e n ti n n e rp o r t a la n dm a n a g et h e m c e n t r a l l y b a s e do nt h ek e r b e r o sm o d e lo fb r o k e r sa n dt h em e c h a n i s mo fr o l e b a s e d a c c e s sc o n t r o l ，t h ec a sc r e a t e st h es e r v i c et i c k e t ，t h e nt h ec l i e n tu s e st h et i c k e tt o a c c e s st h ew e ba p p l i c a t i o ns y s t e m a tl a s t ，t h es e c u r i t yo ft h eu n i f i e da u t h e n t i c a t i o n a n da u t h o r i z a t i o ns y s t e md e s i g n e di nt h et h e s i si sa l s os i m p l ya n a l y z e d o ni m p l e m e n t a t i o no ft h eau n i f i e da u t h e n t i c a t i o na n da u t h o r i z a t i o ns y s t e m ，i t u s e sj a v a e e ( j a v ae n t e r p r i s ee d i t i o n ) a st h ed e v e l o p m e n tp l a t f o r m ，b u i l d st h ec a ( c e r t i f i c a t i o na u t h o r i t y ) w i t hl d a p ( l i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) d i r e c t o r y s e r v e rw h i c hs t o r e st h ed i g i t a l c e r t i f i c a t e ，a n dp r o v i d e s t h eq u e r ys e r v i c eo f a p p l i c a t i o ns e r v e r sa n dc l i e n t sc e r t i f i c a t et oi m p l e m e n t st h ec r o s sc e r t i f i c a t eb e t w e e n d i f f e r e n tc a s a tl a s t ，t h et h e s i sd e s c r i b e sa n di m p l e m e n t st h ek e yf u n c t i o n i n s y s t e mi n t e g r a t i o n ，t h ee x i s t e da p p l i c a t i o ns y s t e mi sr e b u i l ta n di n t e g r a t e dt h r o u g h r e d i r e c t i o n ，a n dt h en e wa p p l i c a t i o ns y s t e m i s i n t e g r a t e di n t oi n n e rp o r t a lw i t h s e c u r i t yw e bs e r v i c et os s oa n da u t h o r i z e da c c e s s t h r o u g ht h ed e s i g na n di m p l e m e n t a t i o no ft h eu n i f i e d a u t h e n t i c a t i o na n d a u t h o r i z a t i o ns y s t e m ，i tc a ns o l v et h e s ep r o b l e m st h a tu s e ri n f o r m a t i o nc a n t b e u n i f i e d ，a u t h o r i z a t i o nm a n a g e m e n ti sc o m p l e xa n dr e s o u r c e sa r eh a r dt os h a r e i t sa c e r t a i np r a c t i c a ls i g n i f i c a n c et ot h ef u t u r eo fe - g o v e r n m e n tb u i l d i n g k e yw o r d s ：p k i ，l d a p , s s o ，a u t h e n t i c a t i o n ，a u t h o r i z a t i o n i l l 独创性说明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人 已经发表或撰写的研究成果，也不包含为获得武汉理工大学或者其他教育机构 的学位或证书所使用过的材料。与我一同工作的同志对本研究所做的贡献均已 在论文中做了明确的说明并表示了谢意。 签名：日期： 关于论文使用授权的说明 挪夸硼 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即学校有权保 留、送交论文的复印件，允许论文被查阅和借阅：经作者同意学校可以公布论 文的全部或部分内容，可以采用影印、缩印或其他复制手段保存论文。 日期：型 武汉理工大学硕士学位论文 1 1 研究背景 第1 章绪论 电子政务平台构建在电子政务内网上，是电子政务外网各接入单位的信息资 源门户的办公平台，主要面向各接入单位提供一站式的信息服务。公务员用户 登录系统后可以方便、安全的访问各种授权的信息资源f 1 1 。 目前电子政务系统的安全问题主要包括以下几个方而：( 1 ) 非法访问。电 子政务系统中不同信息的敏感程度不同，用户的访问权限也互不相同。在实际 运行环境中，非法用户可能企图假冒合法用户的身份进入系统，低权限的合法 用户也可能企图执行高权限用户的操作，这些非授权访问给系统的运行带来了 很大的安全风险。为了提高系统的安全性能，必须对用户的访问进行身份认证， 为具有合法身份的用户分配适当的访问权限。( 2 ) 信息泄密或被破坏。因为电 子政务系统的数据涉及敏感信息、商业秘密，甚至国家秘密。这些重要信息在 存储、传输、转发、处理、销毁过程中必须要防泄密、防篡改和防破坏，所以 数据的加密技术至关重要。( 3 ) 网络安全管理制度缺乏。网络安全最重要的还 是要思想上高度重视，电子政务的网络安全还需要用各种安全制度来保障【2 】。 由于目前在电子政务网中，大多数组织内部存在着大量的b s 和c s 模式的 应用系统，比如人事系统、财务系统、内网办公系统以及各种各样对内对外的 网站。为了实现对这些系统所管理资源的访问控制，大部分系统都提供了登录 窗口，要求用户输入用户名和口令，只有被授权的用户才能访问受控资源。每 个应用系统都拥有独立的身份认证与授权机制，在进入不同系统时都要重新提 交自己的身份标识来通过系统的认证，但这种认证方式会导致整合困难、管理 混乱、效率低下的现象【3 1 。 针对电子政务这种分布式的网络系统，从建立起新型的、更加安全的理论分 布式网络系统模型开始，到逐步构筑实用的分布式网络环境中的安全认证体系， 无疑是一种必要、有效的途径，而在这其中统一认证与授权是信息安全理论、 技术中非常重要的一个方面，是实现网络安全的重要机制之一。所谓统一认证 与授权，就是指用户只需在网络中主动地进行一次身份认证，随后便可以访问 武汉理工大学硕士学位论文 其被授权的所有网络资源，而不需要再主动参与其它的身份认证过程。这里所 指的网络资源可以是硬件设备，也可以是各种应用程序和文档数据等，这些资 源还可能处于不同的计算机环境中1 1 1 。 统一认证是网络应用中的第一道防线，也是安全系统的门户。统一认证的目 的是验证通讯双方的真实身份，防止非法用户登入系统，一旦身份认证系统被 攻破，那么所有的安全措施将形同虚设。身份认证在安全系统中的地位极其重 要，是最基本的安全服务，其它的安全服务，如访问控制、审计系统都要依赖 于它。授权建立在统一认证的基础上，尤其是在开放的网络环境中，对于某些 需要授权访问的信息必须进行安全保护，以防止非法用户的恶意访问【4 j 。 因此，身份认证与授权访问在一个安全系统中起着举足轻重的作用，两者 一定程度上决定了系统的安全强度，加强身份认证理论与授权机制及其应用的 研究是一个非常重要的课题。所以根据现有电子政务中的安全认证技术，研究 与设计一种更为可靠和安全的身份认证与授权系统，对今后电子政务工作的广 泛开展具有积极的意义。 1 2 国内外研究现状 随着i n t e r n e 和信息技术的迅速发展，在网络中对用户身份和权限的安全认 证问题逐渐被人们所关注，目前，国外己经有许多协议和产品支持统一身份认 证，其中比较典型的有m i t 的k e r b e r o s 协议，s u n 公司的l i b e r t y 协议，微软 的p a s s p o r t 系统以及p k i 中的x 5 0 9 数字证书认证技术。 ( 1 ) k e r b e r o s 是基于对称密钥技术的可信第三方认证协议，用户通过在密 钥分发中心( k e yd i s t r i b u t i o nc e n t e r , k d c ) 认证身份，获得一个k e r b e r o s 票据， 以后则通过该票据来认证用户身份，不需要重新输入用户名和口令，因此我们 可以利用该协议来实现统一身份认证。 ( 2 ) l i b e r t y 协议是基于安全声明标记语言( s e c u r i t ya s s e r t i o n sm a r k u p l a n g u a g e ，s a m l ) 标准的一个面向w e b 应用统一身份认证的与平台无关的开放 协议1 5 1 。它的核心思想是身份联合( i d e n t i t yf e d e r a t i o n ) ，两个w e b 应用之间可 以保留原来的用户认证机制，通过建立它们各自身份的对应关系来达到统一身 份认证的目的；用户的验证票据通过重定向( r e d i r e c t i o n ) 或c o o k i e 在w e b 应 用间传递来实现统一身份认证，而用户的个人信息的交换通过两个w e b 应用间 2 武汉理工大学硕士学位论文 的后台s o a p 通信进行。 ( 3 ) p a s s p o r t 是微软推出的基于w 曲的统一身份认证系统，它由一个p a s s p o r t 服务器和若干联盟站点组成1 6 1 。用户通过网页在p a s s p o r t 服务器处使用用户名 口令来认证自己身份，p a s s p o r t 服务器则在用户的本地浏览器的c o o k i e 中写入 一个认证票据，并根据用户所要访问的站点生成一个站点相关的票据，然后将 该票据封装在h t r p 请求消息里，把用户重定向到目标站点。目标站点的安全 基础设施将根据收到的票据来认证用户的身份。通过使用c o o k i e 和重定向机制， p a s s p o r t 实现了基于w 曲的统一身份认证服务。 ( 4 ) 采用基于p k i 的x 5 0 9 证书认证技术，它类似于k e r b e r o s 技术，依赖 于共同信赖的第三方来实现认证，所不同的是它采用公钥加密体制，实现上更 加简单明了。这里可信赖的第三方是指称为c a ( c e r t i f i c a t e a u t h o r i t y ) 的认证机 构，它负责认证用户的身份并向用户签发数字证书。持有此证书的用户就可以 凭此证书访问那些信任c a 的服务器。 现阶段国内使用的大部分统一身份认证产品是国外开发的，国内少有从事统 一身份认证和网络资源统一管理方面研究的工作单位。在国内的企业几乎没有 一家有成熟的商业产品，对统一身份认证系统的研究和开发都处在研究设计或 自主开发阶段，并且由于他们自己的商业利益并未公开各种技术细节，各种标 准也没进行规范1 3 1 。随着网络的普及和国家信息化的建设，使用统一身份认证技 术，将提高工作效率和降低管理费用。 在p k i 建设方面，美国首先建立了一批商业p k i 体系( 如v e r i s i g n ，r s a 等) ， 它们面向各种网上交易实体提供服务；同时，美国政府专门成立了“联邦p k i 筹划指导委员会 来负责规划、协调和管理p k i 的建设和应用，并使用联邦桥 c a 的方式解决各个p k i 体系之间的交叉认证问题。在日本的p k i 建设中，其架 构首先按公众和私人两大领域来划分，其次在公众领域又以商业、政府与公众 管理三大块细分，不同的领域采用不同的认证规则与标准1 7 1 。 在我国，p k i 建设在几年前就己开始启动，截至目前，金融、政府、电信等 部门己经建立了3 0 多家c a 认证中心，这些c a 系统大体上可分为地区性c a 、 行业性c a 和商业性c a 三类。但是如何推广p k i 应用，加强系统、部门和国家 之间p k i 体系的互通互联建设还有待进一步解决。 3 武汉理工大学硕士学位论文 1 3 本文研究的内容与目标 本文研究内容是通过对l d a p 协议，p k i 的体系架构的研究，将l d a p 和 p k i 相结合使用，对传统的认证方式进行改造和增强，并在对用户身份安全认证 的基础上，对模型中的分布式服务进行权限的验证工作。 ( 1 ) 建立资源目录和实现用户的集中化管理：实现用户信息统一管理，为 各信息系统建立了一个统一、标准的用户基本信息体系，能使不同业务系统中 的用户信息保持一致。同时，用户账户信息的统一，为实现不同系统之间的单 点登录提供良好的信息基础，并为新的系统建设提供访问控制的账户资源及标 准。 ( 2 ) 单点登录，集中授权：单点登录是指用户在进入信息门户系统时一次 性进行身份认证。通过后台系统赋予用户相应角色和权限，当用户通过门户系 统进入各子系统时不再需要进行身份认证。使用户不需要记忆各应用系统的用 户名和密码，便可以通过门户访问系统、使用经授权的所有业务子系统。 本文研究目标在现有电子政务的安全认证基础上，设计一种安全认证模型， 实现对用户的统一管理和认证，及对用户访问分布式服务的授权功能。在系统 的研究与设计过程中，主要关注以下两个方面： 1 、在传统的统一身份认证的基础上，提出一种基于p k i 的统一身份认证机 制，并改进传统身份认证的一些局限性，如口令攻击脆弱性、密钥管理困难、 时钟同步困难等等，使得整个认证机制的安全性有了进一步的提高。 2 、基于p k i 的统一认证与授权系统具有跨域的特点，并可以采用分布式认 证的方法，用户能够进行异域间的交叉认证。通过系统提供的接口或者代理能 够对集成的应用系统进行无缝整合，减少对应用系统的改造。 1 4 论文各章安排 第1 章为绪论，主要介绍论文课题研究的背景知识以及国内外的研究现状， 网络安全的重要性，介绍本课题研究的价值和意义， 第2 章为p k i 及相关理论基础知识介绍，包括p k i 的基本组成、l d a p 目录 服务、数字证书、c a 间的信任模型、身份认证技术、会话维持机制以及w e b s e r v i c e 技术。 4 武汉理工大学硕七学位论文 第3 章为统一认证与授权系统的研究和设计，通过对常用认证与授权机制进 行研究与分析，选择合适的模型应用到系统中，设计出整个系统结构，对其提 供的服务进行说明，并对其主要安全性进行分析 第4 章为统一认证与授权系统的实现和集成，主要是基本j a v a e e 平台进行 开发和模拟所设计的安全认证系统，并提出如何集成新旧系统的方案。 第5 章为总结与展望，对本文所做的工作做出总结，并对如何扩展和增强系 统安全性进行讨论。 5 武汉理工大学硕士学位论文 第2 章p k i 及相关技术研究 2 1 公钥基础设施 随着互联网，特别是电子商务和电子政务的迅猛发展，如何有效保障开放网 络环境下的实体身份的真实性以及信息的机密性、完整性和不可否认性引起了 人们的高度关注。公钥基础设施( p u b l i ck e yi n f r a s t r u c t u r e ，p k i ) 是建立在公钥 加密基础之上，解决大型网络环境下信息安全问题的有效方案，它为网络应用 透明地提供数据加密和数字签名等安全服务所需要的密钥和数字证书管理服 务，并管理不同实体之间的信任关系。p k i 已广泛应用于虚拟专用网、安全电子 邮件、电子商务等众多领域中。 2 1 1p k i 的组成与结构 如图2 1 所示，p 的基本组件包括认证机构( c e r t i f i c a t ea u t h o r i t y , c a , 也称 之为证书管理机构) ，注册机构( r e g i s t r a t i o n a u t h o r i t y , r a ) ，最终实体( 包括组 织机构、用户、服务器、设备和应用程序等) 、证书证书撤销列表( c e r t i f i c a t e r e v o c a t i o nl i s t ，c r l ) 存储库。 图2 - 1p k l 架构与组件 其中c a 主要用于密钥管理、证书颁发、证书更新、证书和证书撤销列表的 公布，证书状态的在线查询，证书认证等，以保证数字证书的真实可靠。通常 c a 都是由第三方权威认证机构来提供。r a 是接受申请数字证书的组件，它执 6 武汉理工大学硕士学位论文 行注册和鉴别用户证书请求的必要步骤，充当了c a 和最终实体之间的代理，辅 助c a 来完成证书处理功能。证书c r l 存储库通常使用x 5 0 0 目录服务或者是 l d a p 目录服务l 刖。 p k i 主要完成以下几项功能： 为用户生成一对密钥( 公钥和私钥) ，并通过一定的途径分发给用户。 c a 为用户签发数字证书，形成用户的公钥信息，并通过一定的途径颁发 给用户。 对用户证书的有效性进行验证。 对用户的数字证书进行管理，这些管理包括有效证书的公布、证书撤消 列表的公布、证书归档等。 2 1 2x 5 0 9 数字证书 数字证书是各实体在网上进行信息交流及商务交易中的身份证明，具有唯一 性和权威性。它是一个由权威颁发机构( 如c a ) 对证书主体( s u b j e c t ) 进行数 字签名的结构化文档。它由一对密钥( 公钥和私钥) 及用户信息等数据共同组 成，在网络中充当一种身份，用于证明某一实体的身份，公告该主体拥有公钥 的合法性。数字证书的格式一般采用x 5 0 9 标准，由用户公钥和用户标识符组成， 此外还包括版本号、证书序列号、c a 标识符、签名算法标识、签发者名称和证 书有效期等信息【舛。如表2 1 描述了一份x 5 0 9 数字证书展开后的视图。 表2 - 1x 5 0 9 数字证书的内容 内容 说明 版本号标识数字证书的版本号( 版本1 、2 或是3 ) 证1 5 序列号由证书颁发机构分配的该证书的唯一标识符 签名算法识别符用于说明本证书所用签名算法 颁发者创建、签名证书的认证中心c a 的名称 有效期包含证书的生效时间和终止时间 证书主体名获得证书的用户名 主体公钥信息主体的公钥以及将被使用密钥算法标识，带相关参数 颁发者唯一标识证书颁发者的唯一标识符，属于可选项 证书主体唯一标识证书拥有者的唯一标识符，属于可选项 证书扩展可选的标准扩展和专用扩展( 仅在版本3 里使 f 1 ) 签名 认证中心c a 对证书主体内容的签名数据 7 武汉理工大学硕士学位论文 2 1 3 证书路径 由于个c a 中心管理的数字证书数量有限，如果不同证书管理域或不同层 次的证书用户建立安全信任关系，这就需要构造一个证书路径，也称为证书链。 证书路径主要用于验证实体和它的公钥之间的绑定。一个证书路径本质上就是 一组按顺序排列的数字证书，它一般是从一个自签名的根证书开始，前一个证 书主体是后一个证书主体的颁发者，也即前者对后者进行了签名。 自签证书子证书 子证书 一 端实体证书 c a 名称 c a 名称 c a 名称 主体名称 主体名称主体名称 公钥信息公钥信息 公钥信息 其他信息其他信息其他信息 图2 - 2 证书路径的示意图 为了获得对某一个证书的信任，验证者必须验证关于每个证书的三个方面， 直到到达一个可信的根【l o l 。首先，验证者必须验证在证书路径上的每一个证书是 否是由证书路径上的上一个证书中的公钥所对应的私钥签发的。第二，必须保 证每一个证书没有过期或是撤消。最后，每一个证书必须是符合证书链中的高 层证书定义的一系列标准。通过验证可信根的证书，应用程序便可信任该数字 证书并使用，建立起对证书所属实体公钥的信任。 2 1 4c a 间的信任模型 一个特定p k i 系统可能需要多个c a ，不同的p k i 之间也有互相通信的需求， 这种情况增加了对整体的体系结构、交互通信能力以及证书生成和验证程序的 复杂性，所以提供一个坚实的安全基础就要选择和设计正确的信任模型。 信任模型描述了不同c a 之间的信任关系，指出了信任路径的所在。两个c a 之间必须建立一个信任关系，这个关系的建立发生在当一个c a 为另一个c a 的 公钥签发证书时。如图2 3 所示，c a l 从c a 2 处注册一个证书和公钥，c a 2 验 证c a l 的身份信息，然后生成一个包含c a l 公钥的证书供其使用，反之亦然。 这样就在两个实体之间建立一个信任路径，用于验证位于不同信任域的其他用 户证书。这个信任路径可以是单向或者是双向的，所以每个c a 可以互相信任( 双 8 武汉理t 大学硕士学位论文 向) 或者只有一方信任另一方( 单向) 。 图2 - 3 信任域间建立的信任关系 c a 问的信任模型主要包括层次信任模型、对等信任模型、网状信任模型和 混合信任模型。 1 层次信任模型 在层次信任模型结构中，根c a 为最终实体的公共信任锚，各个c a 间的 信任都起源于根c a ，它单向的证明了下一层的c a 。在该模型中，只有上级c a 可以给下级c a 颁发证书，而不能相反，最终实体用户能够根据根c a 的信任链 实现相互的认证。但这种模型最大的缺点是如果根c a 的私钥泄露，那么将对整 个c a 系统造成重大的影响，并且恢复起来也十分困难，所以在现实状况下，根 c a 通常都是离线进行控制。 2 对等信任模型 图2 4c a 的层次结构 在我们将要讨论的信任模型中，当可以确定一个身份或者有一个足够可信的身份签发者证明签发的身份 时，我们才能做i l j 信任这个身份的决定，这个可信的实体称为信任锚。 9 武汉理工大学硕士学位论文 在对等信任模型中，没有可以作为信任锚的根c a ，最终实体将以给他们颁 发证书的c a 作为其信任锚。在x 5 0 9 规范中对交叉证书有如下定义：“个认 证机构可以是另一个认证机构的证书主体，则该证书称为交叉证书f 1 1 l ，。对等信 任模型中的两个不同的c a 将互相验证对方的公钥，建立一种双向的信任，在各 个域的上层c a 构建交叉证书，以此来实现域间的分布式认证。 部f i c a 都r 2 c , a支行c a 1支行c 蛇 图2 - 5c a 问的对等信任模型 3 网状信任模型 在网状信任模型中，我们没有明确的信任锚，各个c a 之间是平等的，每个 c a 与其对应的c a 进行交叉认证。这种模型比较灵活，c a 间可以直接进行交 叉认证，便于建立特殊的信任关系，如果某一个c a 的私钥泄露只会影响该c a 的颁发的证书；但是如果这种模型涉及c a 较多时，其认证搜索策略可能会很复 杂。 图2 - 6c a 间的网状信任模型 1 0 武汉理工大学硕士学位论文 4 混合信任模型 在混合信任模型中，两个机构可以拥有自己内部的层次结构模型，相互之间 再通过一个使用交叉认证的对等模型连接起来。在混合信任模型的应用中可以 选择使用桥c a ，如图2 7 所示，桥c a 负责所为所有连接的c a 和信任域签发 交叉证书，但它不是一个根或是信任锚，而只是一个用于为互连环境产生和维 护交叉证书的实体【1 2 ，1 3 1 。 2 2 目录服务 子c a子c a 图2 7c a 间的混合信任模型 目录服务( d i r e c t o r ys e r v i c e ) 技术就是一种这样的技术，它通过命名、描述 和指定一个企业范围内的用户和资源，来简化通信与管理，使用户可以用简单 的方法就可以查找、检索到所需要的资源或其他用户信息，可以帮助管理人员 收集和控制散布在企业计算机网络中的信息。利用目录服务，客户计算机可以 通过信息资源的名字快速查询和定位资源，而不必关心资源的具体位置，实现 对信息资源的透明访问i “】。 2 2 1 轻量目录访问协议 轻量目录访问协议( l i g h td i r e c t o r y a c c e s sp r o t o c o l ，u ) a p ) 最初是作为x 5 0 0 目录的前端，目前己发展成可提供单独的目录服务。l d a p 采用了与x 5 0 0 相同 武汉理工大学硕士学位论文 的信息模型和名字空间，同样基于客户机服务器模型，但它简化了x 5 0 0 的操 作方式，省去或合并了一些不常用的功能。l d a p 是运行于t c p i p 之上的应用 层协议，它定义了访问目录中信息的网络协议、信息格式和信息模型、组织和 引用信息的名字空间、分布和引用数据的分布式操作模型【1 5 】。l d a p 采用c s 模 式和s e r v e r 复制方式，减少了客户机访问的复杂性，是解决跨平台、跨环境的 复杂网络资源管理的重要手段【1 6 1 。 客户端目录服务器 图2 - 8l d a p 客户端与服务器的交互【1 7 1 2 2 2l d a p 的目录结构 l d a p 目录中的信息是按照树型结构来组织的，具体信息存储在条目( e n t r y ) 中，使用标识名( d i s t i n g u i s h e dn a m e ，d n ) 的进行标识，每个条目有若干的属 性，属性由类型( t y p e ) 和一个或多个值( v a l u e s ) 组成。 d n ：u i d = j e n s e n ，d c = y i h o , d c = c o m o b j e c t c l a s s ：t o p o b j e c t g a s s ：p e r s o r l o b j e c t c l a s s ：o r g a n i z a t i o n a l p e r s o n o b e c t c l a s s ：i n e t o r g p e r s o n c n ：b a r b a r aj e n s e n c n ：b a b s 1 e n s e n s 1 ：j e n s e n m a i l ：j e n s e n y i h o c o r n t e l e p h o n e n u m b e r ：4 0 85 5 51 2 1 2 图2 - 9 l d a p 的目录结构及条目属性 l d a p 的条目的组织一般按照地理位置和组织关系进行组织，在其树根定义 国家( c = c n ) 或域名( d c = c 0 m ) ，在其下则往往定义一个或多个组织( o r g a n i z a t i o n ) 1 2 武汉理1 = 大学硕士学位论文 或组织单元( o r g a n i z a t i o nu n i t ) 。一个组织单元可以包含用户、资源、文件等信 息。此外，l d a p 支持对条目能够和必须支持哪些属性进行控制，这是有一个特 殊的称为对象类( o b j e c t c l a s s ) 的属性来实现的。该属性的值决定了该条目必须 遵循的一些规则，其规定了该条目能够及至少应该包含哪些属性。例如： i n e t o r g p e r s o n 对象类需要支持s n ( s u r n a m e ) 和c n ( c o m m o nn a m e ) 属性，但也 可以包含可选的如邮件，电话号码等属性1 1 4 1 。 l d a p 目录的树形结构不仅使l d a p 变得可扩展，而且当进行简单的搜索 或查询时，比传统的关系数据库更快；并且l d a p 还可以将数据存放在文件中， 而不是关系数据库，使用基于索引的文件数据库可以迸一步提高查询效率【1 6 m 。 2 2 3l d a p 的应用 l d a p 协议既是跨平台的也是基于标准的，几乎在任何计算机平台上运行的 应用程序都可以从l d a p 目录获取信息。如图2 8 所示，通过使用l d a p 协议， 客户机将查询发送给l d a p 服务器，服务器检查客户机权限，然后返回请求信 息。几乎所有的现代编程语言都有l d a p 应用程序接口，这意味着几乎任何一 个软件都可以支持l d a p 。l d a p 应用程序开发接口使得l d a p 基础信息平台 的功能可以同专业信息系统的功能进行很好的集成，提高专业信息系统的开发 效率，如s u n 、n o v e u 、m i c r o s o f t 等都已经开发了成熟的l d a p 目录应用程序接 口1 1 4 1 。 l d a p 目录几乎可以存储所有类型的数据，包括电子邮件地址、d n s 信息、 n i s 映射、数字证书、联系人信息列表和计算机名等。如果需要专门的组织单 元或项，则可以使用定制模式( s c h e m a ) 控制给定字段保存哪种信息的规则。 2 3 身份认证技术 身份认证是指计算机及网络系统确认操作者身份的过程，而身份认证技术保 证操作者的物理身份与数字身份相对应，也即保证以数字身份进行操作的操作 者就是这个数字身份合法拥有者。常用的身份认证技术包括下面五种技术。 1 基于用户口令的认证 传统的认证技术主要采用基于口令的认证方法。当被认证对象要求访问提供 武汉理t 大学硕士学位论文 服务的系统时，提供服务的认证方要求被认证对象提交该对象的口令，认证方 收到口令后，将其与统中存储的用户口令进行比较，以确认被认证对象是否为 合法访问者。这种认证方法的优点在于简单实用，但基于口令的认证方法存在 口令容易窃取和丢失的问题【埘。 2 基于智能卡的认证 基于智能卡的用户身份认证机制主要基于硬件实现，它将用户信息( 用户标 识名，用户口令) 存储在智能卡中，并在认证服务器( a u t h e n t i c a t i o ns e r v e r ， a s ) 中存入某个事先由用户选择的随机数。用户访问系统资源时，用户输入用 户名和用户口令，系统首先判断智能卡的合法性，然后由智能卡认证用户身份， 若用户身份合法，再将智能卡中的随机数送给a s 作进一步认证。这种方案基于 智能卡的物理安全性，即不易伪造和不能直接读取其中数据。没有管理中心发 放的智能卡，则不能访问系统资源，即使智能卡丢失，入侵者仍然需要猜测用 户口令【”1 。 3 基于挑战应答的认证 基于挑战应答( c h a l l e n g e r e s p o n s e ) 的认证方式就是每次认证过程服务端 给客户端发送一个不同的“挑战 字符串，客户端基于自己和服务端共享的知 识( 通常情况下是用户的口令) 对“挑战”做出相应的“应答。 认证过程为：( 1 ) 客户向认证服务器发出请求，要求进行身份认证；( 2 ) 认 证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步 处理；( 3 ) 认证服务器内部产生一个随机数，作为“提问 ，发送给客户；( 4 ) 客户将用户名字和随机数合并，使用单向h a s h 函数生成一个摘要信息作为应答； ( 5 ) 认证服务器将应答信息与自己的计算结果比较，若二者相同，则通过一次 认证；否则，认证失败；( 6 ) 认证服务器通知客户认证成功或失败。著名的r a d i u s 就是采用这种认证机制。 4 基于数字证书的认证 基于x 5 0 9 的数字证书认证技术适用于开放式网络环境下的身份认证，该技 术己被广泛接受，许多网络安全应用都可以使用x 5 0 9 证书，如i p s e c 、s s l 、 s e t 等i 墙i 。其认证过程为：当用户向某一服务器提出访问请求时，服务器要求 1 4 武汉理工大学硕士学位论文 用户提交数字证书。收到用户的证书后，服务器利用c a 的公开密钥对c a 的签 名进行解密，获得信息的散列值。然后服务器用与c a 相同的散列算法对用户的 证书信息进行处理，得到一个散列值，将此散列值与对签名解密所得到的散列 值进行比较，若相等则表明此证书确实是c a 签发的，而且是完整的未被篡改的 证书。这样，用户便通过了身份认证。服务器从证书的信息部分取出用户的公 钥，以后向用户传送会话密钥或数据时，便以此公钥加密，对该信息只有用户 。可以进行解密。 由于这种认证技术中采用了公钥密码体制，c a 和用户的私钥都不会在网络 上传输，避免了基于口令的认证中传输口令所带来的问题。攻击者即使截获了 用户的证书，但由于无法获得用户的私钥，也就无法解读服务器传给用户的信 息。 5 基于k e r b e r o s 的认证 k e r b c r o s 是由美国麻省理工学院提出的基于可信赖的第三方的高效认证机 制。它提供了种在开放式网络环境下进行身份认证的方法，使得网络上的用 户可以相互证明自己的身份。k e r b e r o s 采用对称密钥体制对信息进行加密，其基 本思想是：能正确对信息进行解密的用户就是合法用户。当用户进行登录时， k e r b e r o s 对用户进行初始认证，通过认证的用户可以在整个登录期间得到相应的 服务，k e r b e r o s 既不依赖用户登录的终端，也不依赖用户所请求的服务的安全机 制，它由自身提供的认证