（计算机科学与技术专业论文）一种基于cookie票据的网络用户身份认证系统的设计与实现.pdf

一种基于c o o e 票据的网络用户身份认证系统的设计与 实现 摘要 在开放式的网络中开展商务、政务、网上办公等活动对网络的安 全性提出了更高的要求，其中关键的安全性要求包括：参与活动各方 的身份认证、会话的机密性、会话的完整性和不可否认性，其中身份 认证服务是所有其它的安全服务的前提和基础。 门户系统中往往存在多种应用服务，这些应用对w 曲资源的访 问控制的前提是对用户的身份认证。为了实现用户经过一次认证便可 对多种应用服务的多点、多次访问，本文基于n e t 平台设计了一种 使用c o o l 【i e 票据作为传递认证消息载体的身份认证方案，安全的实 现了用户只登录一次便可对多种资源进行访问。该方案利用h t i p 协 议头部的c o o l ( i e 信息，携带用户的电子票据凭证，自动把它传递给 所有需要的服务，并利用票据在其有效期内的可重用性，最终实现了 对用户的单一身份认证。 本文首先介绍了课题产生的背景，研究现状以及研究的现实意 义。然后基于成熟的理论模型，提出和设计了一种基于c o o “e 服务 票据的身份认证解决方案，同时对该方案的安全性进行了分析，并提 出了对该方案进行完善和改进的方向，最后在n e t 平台上实现了该 方案，并进行了系统测试。 关键词：单点登录c 0 0 k i e 票据身份认证 n e tf r 锄e w o r k t h ed e s i g na - t di 口l e 匝n t i o no fo n e n e t w o r ku s e ri d e n t i t ya u 佃n t i c a t i o n s y s t e mb a s e do nc o o k i et i c k e t a b s t r a c t i td e m a n d sh i 曲l e 、e lo fs e c 耐t yr e q u i r e m e n tt h a td e v e l o p i n g c o m m e r c i a la 饪- a i r s ，g o v e n l i i l e n ta 行a i r s ，o 伍c eb u s i n e s so v e r 也eo p e n i n g n e 船0 r k t h ek e ys e c u r i t yr e q u i r e m e ma m o n gt h o s ei r l c l u d e sp a r t i c i p a n t s i d e n t 姆a u m e n t i c a t i 呱c o n f i d e n t i a l i 劬i n t e g r a l i 够a n du n d e n i a b l eo f c o r e r s a t i o n b u ta u m e n t i c a t i o ns e n ，i c ei st h ep r e c o n d i t i o na 1 1 db 嬲i so f a 1 1o t l l e rs e c u r i 够s e r v i c e s t h e r ea r em a n y 印p l i c a t i o ns e n r i c e si nm ep o r t a ls y s t 锄，t h ea c c e s s c o n t r 0 1m e c h a n i s m so fm e s e a p p l i c a t i o n s e r v i c e sa r ed 印e n d e do n i d e n t i t ya u t h e n t i c a t i o n t bm a k eu s e rc a nb ec e i t i f i c a t e do n c ea i l dt h e nh e c a na c c e s sm 柚yd i 腩r e l l ta p p l i c a t i o ns e i c e sm a n yt i m e s ，t 1 1 i sp 印e r d e s i g n so n ei d e m i 哆a u m e m i c a t i o ns c h e m eu s i n gc o o k i ea st l ec a 盯i e ro f 仃a n s p o r t i n ga u t h e n t i c a t i o nm e s s a g e ，r e a l i z e sm ea c c e s s i n gt om a n yl ( i n d s o fr e s o u r c e sb a s e do n1 0 9 9 i n gi no n l yo n c e t h i ss c h e m eu s e st h ec o o k i e i n f o 咖a t i o no fh 哪p r o t o c o lh e a d e rt oc a 珂ad i g i t a jt i c k e t ，也ec o o k i e t i c k e tc a i lb es e m a u t o m a t i c a l l yt oa p p l i c a t i o ns e n ，i c e s ，t l l ec o o k i et i c 衄 c 锄b eu s e dm a n yt 蛔e sd 嘶n gi t sl i f et i m e ，m i si sas i n 9 1 ei d e n t i 够 a u m e n t i c a l i o nf o ru s e r sb a s e do nc o o 妇et i c k e t t h i sp a p e rf i r s ti n 仃o d u c e st l l e g e n e r a t i n gb a c 埏r o u n d ，r e s e a r c h a c t u a l i 锣a n dr e a l i s mm e a n i n g so ft 1 1 es u b j e c t t h e nb a s e do nm a n l r e v t t t l e o r ym o d e l ，a 删h o rd e c l a r e s 锄dd e s i g 吣an e ws o no fs i n g l ei d e m i 哆 a u t l l e n t i c a t i o ns c h e m eu s i l l gc o o i ( i et i c 融，a l s 0a n a l y s e st i l e c u r i t i e so f n l i ss i i l 酉ei d e n t i 够a u m e n t i c a t i o ns c h e m ea l l da d v a n c e sm ei i n p r o v i n g d n c t i o n ，f i l l a l l ym a k e si ti r 岫i m p l e m e n t a t i o no n n e tp l a t f o n l l a n d t e s t si 协c l i e 嘶0 n n e ta l l dj a 讼p l a t f o r n l s - k e yw o r d s ： s i n g l es i g no n ；c 0 0 k i et i c k e t ；i d e n t i t ya u _ t | l e n t i c a t i o n ；n e t 6 7 锄e w o r k v h 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 担：堂堂 日期： 鲨z ：墨f z 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。， 本人签名：塑：兰箜 日期：盟：垒! 导师签名：壶拿j l 上鹪日期：2 1 季乙- 仁 n 1 1 研究背景 第l 章绪论 i 勺越偿? 伴随网络应用技术的发展，越来越多独立的基于互联网络的企业信息服务系 统呈现在公众面前。作为信息服务系统的提供方和应用方在享受由此带来的服务 质量、工作效率和服务灵活性得到大幅度提升的同时，也遇到了以下一些新的问 题：相互独立的信息系统对于同一批用户在使用上造成困难( 如需要记忆多组密 码1 ：相互独立的开发于不同年代的信息系统使相同企业的维护成本不断增加。 因此，非常有必要对企业内部的所有信息系统进行整合，使用统一的企业门户向 用户提供服务。 竺竺信璺! ! 皇! 里竺翌些生i n ：6 2 旦型! ! 呈! 竺塑! ：笪第e i p ) 在近些年得到了很快 的发展趸裤决企业信息资源整合的一种途径，已成为企业信息化建设的热点之 一【l 】。到目前为止，对e 口还没有一个统一的定义，通常认为e i p 是集宣传、行 政和业务功能为一体并以统一的界面提供给用户的应用系统。e i p 使企业员工、 客户、供应商和合作伙伴能够从单一的渠道访问所需要的个性化信息服务。基于 w 曲平台的e 口可以向分布在不同地方的用户提供信息服务，帮助用户管理、组 织和查询与企业和部门相关的信息。 在建立企业信息门户的过程中，首先要解决的一个问题就是将各个分散的信 息系统的用户资源进行整合，从而在统一的门户站点下使用统一的用户身份认证 与权限控制。本文工作以统一的用户管理和实现安全的身份认证为研究背景展开 研究，设计并实现了一种统一的身份认证系统，得到了实际使用，做了一点有益 的尝试。 目前，使用最多的认证方式还是最简单的口令形式，类似于系统登录过程中 输入用户名，口令的基本认证方式。系统事先保存每个用户的二元组信息，进入 系统时用户输入其对应的用户名和密码，系统根据保存的用户信息与用户输入的 信息相比较，从而判断用户身份的合法性。 很明显，这种身份认证方法操作十分简单，但同时也有极大的安全隐患。其 安全性仅基于用户口令的保密性，不能有效的抵御口令猜测攻击；并且用户名和 口令都是以明文方式在网络中传输，极易遭受重放攻击( r e p l a ya t t a c k ) 。攻击者 通过监听网络连接来获得合法用户的登录名和口令等认证信息，随后利用这个获 得的登录用户名和口令对系统进行非法访问。 针对企业信息门户中信息系统众多，用户资源庞大，内部人员权限结构复杂 等诸多问题，身份认证工作在建立企业信息门户的进程中变得十分重要。 1 2 研究现状 作者研究了当前比较流行的身份认证协议模型( 第二章祥述) ，其中k e r b e r o s 模型是基于可信赖第三方认证的c s 模式，轻量级第三方认证l 1 t i a 、自由联盟 组织l i b e 啊、微软p 勰s p o r t 是b s 模式。融玎b e r o s 具有集中的用户管理模式、使 用票据、可靠的安全性设计等特点。l t p a 机制服务于特定网络环境( 局域网内的 多台服务器联网) ，采用c 0 0 村e 记录认证信息，并且是在同一个域名下交互认证 信息。l i b e n y 适合在跨域名的认证联盟中实现单一认证。微软的p 船s p o n 机制基 于n e t 安全组件，使用c 0 0 村e 票据和h t t p 重定向，技术细节和运行由微软一 手操作，用户只能参与付费认证。以上几种协议模型都是由特定机构为特定目的 提出，在设计认证系统时并不具有通用性。 门户系统中身份认证的现状：目前企业门户整合工作通常是简单的系统相 加，即为众多的信息系统开发一个w 曲前端作为门户的首页，此前端只是简单 的进行一次单点登录( s i n g l es i 髓o n ，本文第二章详述) 的认证，用户只要通过 了这个统一的登录，即可访问此门户下所有信息系统的所有资源。分析这种集成 方式的特点，不难看出，这仅仅是将多次登录简化为单次登录，减少了用户名 口令对的记忆，并没有在安全上做改进。而负面影响是，这种做法将众多信息系 统的安全性委托给一个用户名口令对的记忆，相当于将门户下的所有系统全部 暴露给破获此用户名口令对的不法份子。 所以，为了解决门户整合中用户认证的安全性问题，也为了用户认证更高层 次上的统一管理，有必要设计一种统一的身份认证模型，将身份认证全部交给认 证模型来完成。这种做法让门户中所有的信息系统充分信任此认证系统安全可 靠。 1 3 研究目标 由于企业存在着多点、多次登录的问题和对信息系统表示层整合的需要，针 对目前企业信息门户认证方案的局限性，本文的研究目标是：设计一个基于 c 0 0 l 【i e 的身份认证系统( c b a s ，c 0 0 村eb 勰e da l 删c a t i s y s t e m ) ，使它能在 整合企业的信息系统过程中，统一管理用户的资源访问问题。用户只要在c b a s 中完成登录就能看到与自己相关并被授予权限的信息系统。使用c 0 0 虹e 票据传 输认证信息，替代了传输较为敏感的用户口令等信息，可以在很大程度上降低用 户认证的风险。 1 4 研究内容和意义 针对本课题的项目需求，参考传统的认证模式，结合门户系统的具体存在形 式及现实的认证需要，设计一个b s 结构的认证模型来解决企业门户的用户身份 认证问题。因此本文的研究内容主要围绕认证系统设计和开发相关的协议和技术 来展开，包括当前比较流行的身份认证协议模型、门户认证的主要实现效果之一 单点登录、认证消息的传输技术( c o o l 【i e ) 、系统开发相关平台和技术( n e t 、 e c l i p 辩、t c p 通信等) 、系统应用环境( 主要是门户系统) 、认证安全相关技术( s s l ) 等。 。 本文的研究意义是要解决门户站点下的统一身份认证问题，属于同一个域名 下的认证，可以使用c o o k i e 票据来传递与共享用户的认证信息。作者通过参考 与借鉴k e r b e r o s 、i t p a 、微软p 舔s p o r t 等模型的实现机制，设计了一种基于c o o k i e 票据的身份认证模型，使用h t t p 协议头部的c o o k i e 字段，携带包含加密的用户 验证信息的票据，在客户、应用服务器、认证服务器之间传递认证信息，并且 在i n e t 平台上进行了编码实现和测试，最终实现了同一门户下用户身份认证功 能。 1 5 研究方法 本文的主要研究方法为协议分析、模型试验和应用测试。首先从企业门户建 设中用户认证面临的实际问题出发，分析当前企业采用的认证方式的不足，通过 研究多种经典的身份认证协议模型、w 曲安全、c o o h e 技术、单点登录技术，提 出具有实用价值的身份认证解决方案c b a s 的设计模型，并做具体的项目开发； 然后在基于多台微机联网的开放式环境中进行认证试验，证明c b a s 的认证是合 理的、有效的，具有一定的安全性；最后在具体的工程项目中进行应用级别的测 试，证明c b a s 具有一定的实用价值，达到本文的设计目的。 本文研究的重点是认证协议的实现策略和在具体应用时的设计思路，难点在 于系统设计时采取什么样的方案更安全、部署维护的独立性更高、软件复用性能 更好。技术难点主要涉及三个方面：c 0 0 虹e 传输秘密消息的安全性、软件自动更 新的t c p 通信、w 曲容器的重启动策略，本文将针对这些难点分别从h r r p 通信 的安全机制、分布式多机通信、w 曲服务器等方面入手，将问题难点逐个突破， 最后将研究结果集成到c b 户s 的实现，保证c b a s 的开发和测试顺利进行。 1 6 论文的组织 本论文的章节分布如下： 第一章对论文的课题背景，论文的主要研究内容做了概括性的介绍。 第二章主要是对系统设计相关技术进行了深入的研究与分析。包括身份认证 基础理论、当前比较成熟的身份认证协议模型、单点登录技术等。 第三章是基于c o o l 【i e 票据的身份认证方案的设计部分。 第四章是基于c o o k i e 票据的身份认证方案的具体实现部分。 第五章对本论文所完成的认证系统在具体门户项目中进行了应用。 第六章对本论文所进行的研究工作进行了系统的总结。 1 矿襁搿 础帕t 瓷襁i ：j 物孕f j 西色霹? 厶) 劳川口 2 1 身份认证基础 砖据玖陟霸参?鲫卿 件、个人特有的生物学信息等特定信息进行识别，不可伪造的被认证方自己除外。 7 动函考知 大致可分为以下几种身份认证形式： ( 1 ) 根据用户所知道的某个信息，如口令、密码，安全性仅依赖于口令，口 令一旦泄漏或被截获，用户即可被冒充。 ( 2 】根据用户持有的合法的物理介质，如智能卡、身份证、密钥盘，采取智 能卡中存有的秘密信息加用户输入口令的认证。 ( 3 ) 根据用户所具有的某种生物特征，如指纹、声音、视网膜扫描等。 2 1 2 认证技术分类 目前主要有以下几种身份认证技术： 1 p a p 认证( p 船s w c l r da u m 即t i c a t i o np r o t o c 0 1 ) p a p 认证【3 】是最基本的安全认证协议，主要是口令核对，用户输入用户名、 密码的验证过程。用户与服务器建立连接后，服务器根据用户输入的信息判定是 否通过认证。密码以明文方式传输。 2 c h a p 认证( c h a l l e l l g eh 锄d s h a k e a u t l l e m i c a t i o np r o t o c 0 1 ) c h a p 认证p 堤一种被广泛接受的工业标准，通过三次握手方式周期性的对 被认证方的身份进行认证。其认证过程是，首先在通信双方链路建立阶段完成后， 验证方向客户发送一个请求字符串，由标识符i d ，随机数据，本地主机名或用 户名组成；然后，客户方以请求的m d 5 哈希值作为响应；最后认证方对发回的 值进行校验，接受认证，并返回成功与否的信息。在双方通信过程中系统将以随 机的时间间隔重复上述三步认证过程。 3 一次性口令认证 一次性口令认证( 5 l 在登录过程中加入不确定的因素，使每次登录过程中传送 的信息都不相同，以提高登录过程安全性。但是一次性口令认证只能防止在初次 登录到站点时的重放攻击。认证结束之后，如果再登录网内的其他机器时，口令 将以明文方式传输，此时口令的安全性就取决于企业内部网的安全性了。 4 、基于挑战应答( c h a l l e n g e 凰s p o n s e ) 方式的身份认证机制 每次认证时认证服务器都给客户端发送一个不同的“挑战”字符串，客户端 收到后做出相应的应答。融蝴i u s 限e r n d t ea u m e n t i c a t i o nd i a i i nu s e rs e “i c e ) 认 证1 6 】就是采用这种方式，是目前拨号业务中较为成熟的一种远程认证技术。r a d i l i s 系统只加密用户口令，用户其他信息以明文方式发送。 5 k e 舭r o s 认证 k e r b e r o s l 7 j 是基于可信赖第三方认证协议，是较为成熟的身份认证机制。它 利用随机产生的票据来获取会话密钥，避免了用户口令在网络上的传播，将认证 从不安全的工作站转移到集中的认证服务器上，为开放网络环境中的两个主体提 供身份认证，并通过会话密钥对通信进行加密。本章2 2 节将对此协议详细分析。 6 x 5 0 9 基于x 5 0 9 证书嘲的认证技术类似于k e r b e r o s 技术，它也依赖于共同依赖的 第三方来实现认证，这里可依赖的第三方是指c a ( c 枷f i c a t ca u d l o r i t y ) 的认证机 构。该认证机构负责认证用户的身份并向用户签发数字证书。数字证书遵循x 5 0 9 标准所规定的格式，因此称为x 5 0 9 证书。持有此证书的用户就可以凭此证书访 问那些信任c a 的服务器。基于x 5 0 9 证书的认证实际上是将个体之间的信任 转化为个体对组织机构的信任，因此这种认证系统需要有c a 的支持。 2 2 认证模型研究 本文的认证模型是指在身份认证的设计中所采取的设计结构、认证方法、安 全策略等一系列身份认证相关措施和实施方案的集合。认证模型分为协议模型和 设计模型，协议模型是指在身份认证发展过程中某些组织结构约定俗成的认证方 案，设计模型依赖于协议模型，在某种协议( 或多种) 模型的基础上可以设计出适 合具体环境的认证系统模型。c b a s 的设计参考了本节将要介绍的4 种协议模型。 2 2 1k e r b e i m s 认证模型 k 沛e r o s 是一种基于可信赖的第三方认证的面向开放系统的认证机制，它是 由美国的麻省理工学院( m i d 为a ：1 1 1 髓a 项目而开发的。k e r _ b e m s 是在c s 结构 的环境中，应用服务器限制没有经过授权的用户的访问，并且能够使用认证服务 器对用户进行身份认证服务。 每当客户端( c l i e m ) 请求得到某服务器( s e “神上的服务时，客户端和应用服 务器首先会向融曲e m s 要求认证对方的身份，认证建立在客户端( c l i 曲t ) 和应用 服务器( s e n ，砷对k e r b c m s 认证中心信任的基础上，c l i e m 和s e n r 盯统一看成是 k e r b e r o s 认证服务的用户。k e r b e r o s 依赖于可信赖的第三方认证，采用对称密钥 体制对信息进行加密。 时间戳( 代表时间的大数字) 技术被应用于k e r b e r o s 中来防止重放攻击。 龇r o s 服务器上保存有它的用户和此用户秘密密钥的数据库，私钥只有 k e r b e r o s 和密钥持有人知道，并且是用户在k e r b e r o s 服务器上初始注册时通过协 商生成的。k e r b e r o s 使用用户秘密密钥来加密信息，来保证客户端和服务器端的 真实性。k e r b e m s 还生成另外一种临时的会话密钥，供通信双方在具体的会话当 中使用。 k e r b e r o s 系统组成? k e r b e m s 数据库( d bl i b 记录每个用户名字，秘密密钥，截止信息( 记录的有效时间) 。 k d b m 服务器( k d b ms e r v e r ) 数据库管理服务器 认证服务器( a u t l l e n t i c a t i o ns c 哪 存放数据库的只读副本，完成对用户的认证，随机生成会话密钥。 票据许可服务( t i c k e tg r a l l t i n gs e r v i c e ，t g s ) 认证服务器验证通过的客户端会得到一个许可票据( t g d ，用来和t g s 通信。如果客户端需要和某服务器通信，必须从t g s 中申请一张票据。 数据库复制软件( d bp m p a g a t i o ns o f i 、a r e ) 管理数据库从) b m 所在机器到认证服务器所在机器的复制工作。 用户程序( u s e rp r o 蹦瑚) 完成k e r b e r o s 登录，k e r b e r o s 密码修改，显示和销毁k e r b e r o s 票据。 在k c 曲e r o s 的认证过程中会用到两种证书( c r e d e m i a l s ) ：票据( t i c k e t ) 和鉴别 符( a u t h e n t i c a t o r ) ，这两种证书分别使用不同秘密密钥来加密。 票据用来在认证服务器和用户请求的服务器之间安全的传递用户的身份，同 时也传递附加信息用来保证使用票据的用户必须是票据中指定的用户。票据中的 信息由下列几个部分组成：客户端的名字、服务器的名字、客户端的地址、时间 标记( 包括时间戳和生存时间) 、会话密钥，k e r b e m s 票据的具体格式为： t c ，s - c ，s ，a d 血t i 舭s t a f n p ，l i f e ，k c ，s k 童。票据在指定的生命周期内可以被用户多次使 用来申请同一个服务器的服务。 而鉴别符中的信息用来同票据中的信息进行比较，以保证票据中指定的用户 确实是发出票据的用户，鉴别符格式为：a c = c ，a d 血t h t i e s t a i i l p ) k c ，s 。针对用户 的每一个请求产生一个鉴别符，用客户端与服务器共享的会话密钥加密，并且只 能使用一次。 图2 1k e r b e r o s 认证示意图 针对验证流程的主要交互过程进行分析： ( 1 ) 客户端c 获取初始化验证票据t c ，蟾s ( 即t g t ) 获取初始化票据在用户登录时进行，应用系统会向认证服务器发送一条包含 用户和t g s ( ，n c k c tg r a m i n gs e r v 神服务两者名字的请求。认证服务器检查用户是 否有效，如果有效，则随机产生一个用户可以用来和t g s 通信的会话密钥k c ，t g s ， 然后创建一个票据t c ，儋s ，票据中包含有用户名、t g s 服务名、用户地址、当前时 间、有效时间以及刚才创建的会话密钥。并且将票据用k t g s 加密。认证服务器 然后向用户发送用用户的秘密密钥k - c 加密过的票据 t c t g s ) k t g s 和会话密钥 k c ，t g s 。客户端收到回应后，要求用户输入口令，将口令转化为d e s 密钥k c ， 然后将认证服务器发回的信息解开，将票据和会话密钥保存用于以后的通信。 ( 2 ) 客户端c 从1 g s 获取所请求服务的票据t c ，s 一张票据对应一个特定服务，客户端必须从1 g s 为每一个请求的服务申请 新的票据。客户端首先向t g s 发出申请票据的请求，信息中包含所请求服务的 名字以及上一步中得到的请求t g s 服务的加密票据 t c t g s ) k t g s ，还有加密过的 鉴别符 a c ，t g s ) k c ，t g s ，以及上一步得到的会话密钥k c ，培s 。t g s 收到请求后，分 别用秘密密钥和会话密钥解开请求得到t c ，t g s 和a c ，根据两者的信息鉴定用户身 份是否有效。如果有效，1 g s 生成用于c 和s 之间通信的会话密钥k c ，s ，并生成 用于c 申请得到s 服务的票据t c ，s ，其中包含c 和s 的名字，c 的网络地址，当 前时间，有效时间和刚才产生的会话密钥k c ，s 。票据t c ，s 的有效时间是初始票 据t c ，t g s 剩余的有效时间和所申请的服务缺省有效时间中最短的时间。t g s 最后 将加密后的票据 t c ，s k s 和会话密钥k c ，s 用c 和1 g s 之间的会话密钥加密后发 送给客户端。客户端收到应答消息后，用k c ，t g s 解密，得到所请求的票据和会话 密钥。 ( 3 ) 客户端c 利用上一步收到的票据t c ，s 向应用服务器s 申请服务 客户端首先向s 发送包含加密票据 t c ，s ) 酗和鉴别码 a c ，s k c ，s 的请求，s 收到请求后将其分别解密，比较得到的用户名，网络地址，时间等信息，判断请 求是否有效。用户和服务程序之间的时钟必须同步在几分钟的时间段内，当请求 的时间与系统当前时间相差太远时，认为请求是无效的，用来防止重放攻击。因 为过去的票据的时间标记可能仍然有效，所以s 通常保存一份最近收到的有效请 求的列表，当收到一份请求与已经收到的某份请求的票据和时间完全相同时，认 为此请求无效。当c 也想验证s 的身份时，s 将收到的时间戳加l ，并用会话密 钥加密后发送给用户，用户收到回答后，用会话密钥解密来确定s 的身份，并且 通过验证后的通信都将基于会话密钥加密得到保护。 本节使用的相关标记的说明： 2 2 2 轻量级第三方认证l t p a 表2 1 相关标记说明 i b mw 曲s p h e r e p o r t a l 和l o t u s d o m i n o 之间的单一认证是通过一种称为轻量 级第三方认证l t p a ( l i g l l 脚e j g h t1 1 l 们p a 啊a u t h e n t i c a t i o n ) 的机制来实现的。之所以称 之为“轻量级”，有三个原因：i 肌) a 仅适用于小型网络环境( 局域网) ；且使用 c o o h e 票据传输认证消息，服务器问交互工作量小；也不用专门的认证服务器 支持，实施和维护非常方便。 i t p a 是利用域内c o o l 【i e 共享认证信息的一种单一认证机制。这种经过加密 的会话c o o h e 被放置在用户浏览器中，并包含了一些认证信息，w 曲s p h e r e 或 者d o m i n o a p p l i c a t i o n 服务器可以加密这些信息，并使用这些信息来说明用户已 经通过了认证，该认证的受信范围是该c o o 虹e 所覆盖的d n s ( d o m a i l ln 锄i n g s e r v i c e ，域名服务) 域。当用户从w 曲s p h e r e p o r 锄界面打开一个i d n l sn o t c s 文 档，或者在i f 舢ep o n l e t 中打开任何d o l i l i n o 应用程序时，用户的身份就是通过 u 甲ac 0 0 峪e 来传递的，这个u 阻c 0 0 虹e 是在用户通过w 曲s p h e r ep o r t a l 的认 证时创建的。经过加密的l 1 p ac o o k i e 信息连同h t l 甲请求一起传递到d o m i l l o 服务器。 2 2 3l i b e r t y l i b e r 哆联盟帮助来自不同服务提供者的用户认证，并且使用该联盟的网络 认证机制来授予用户访问多个w 曲服务的权利。目标是提供一种w 曲服务基础 机制，以便因特网上的多个服务站点能够自动合作运行。只需登录一个站点，多 个站点的服务就会自动连接起来作为同一个服务来使用。l i b e n y 依赖于成文的 x m l 标准、s a m l ( s e c 州t ya s s e f t i o nm a c i l pl g u a g e ，安全断言认证语言) 来定义和 交换服务提供者之间的认证信息。假如在两个服务提供者) o 【c o m 和y y c o m 上创 建简单的联盟，双方都可以作为认证提供者。有了特定的服务提供者之间的联盟 的认证，一旦用户登录上了) ( ) 【c o m ，他自动的被授予也可以访问y y c o m 的权利， 反之也成立。工作过程如下： “) 用户访问) 【) 【c 咖站点并在此注册它的账号。在所有的服务提供者中， x x c o m 优先具有信任关系，并且提供给用户哪些服务提供者联合了它的 认证，假设y y c 咖就在此信任关系列表上，并且用户选择：他愿意将他 所在的殛c o m 站点的认证与y y c 嘲进行联合。 ( 2 ) 用户被要求注册进入y y c o m ，这样该用户就选择了x x 姗和) 可c o m 形 成了一个对于该用户自己的信任联盟。当用户下次访问骚c o m 时，x x c o m 上的认证服务提供者对用户认证通过后将发布一个认证断言，如果认证 服务提供者同用户浏览器之问处于一个认证会话期( s e s s i o n ) 内，y y c o m 由于是) c 伽的认证联盟就会信任】【) 【c o m 对用户的认证断言，则用户 无须再次认证即可在y y c o m 上进行受限操作。 2 2 4 微软护照协议p a s s p o r t n e tp 鹊s p o r t 是m i c f i 中一个独立的登录身份认证系统，它使用通用的 w 曲协议( 包括c 0 0 虹e 和h r r p 重定向) 把用户记录到任何支持n e tp 嬲s p o n 的 站点。很大意义上，p 硒s p o r t 身份认证可以避免我们亲自处理身份认证问题。如 果我们使用可以把用户资料保存在应用程序外部的安全的授权过程，那么就能够 降低用户名和密码受到攻击的风险。如果使用n e tp 鹊s p o n ，那么就会由 m i c r o f i 来负责用户名和密码的管理和存储，这样就可以减轻许多站点的创建、 维护工作以及账户管理工作。 基于n e tp 雒s p o r t 可以利用像h n 甲g e t 重定向和客户端c o o l 【i e 这样的通 用w 曲协议，把用户信息和身份认证集中到一起。它会对多个w 曲站点进行无 缝集成，因为对于实现n e t p 鹊s p o r t 的所有站点来说，用户只需要一个用户名和 密码。j 咂tp 嬲s p o r t 的特点有以下几个方面： 对于每个浏览器会话，用户只用登记一次。 用户不用费心去记所有站点的不同用户名和密码。 站点能够快速继承所有n e t p 髂s p o r t 账户持有者，将其作为潜在用户。 任何实现n e tp 勰s p o r t 的站点都能够在不填写交互式表格的情况下，迅 速识别用户并为用户创建一个配置文件。 能够快速查出用户的标识( 前提为选择了信息共享) 。即便用户没有输入 信息，信息共享仍然可以使w e b 站点获取用户的配置文件。 站点也将会继承n e tp 鹊s p o r t 的所有优点。 n e tp 船s p o r t 由于是集中式服务，一旦p a s s p o r t 认证服务器出现事故或 遭恶意攻击，用户就无法登录提供应用服务的站点。 n e tp 勰s d o n 基于用户对它的信任，愿意提交个人信息，信赖它提供的 身份认证机制，接受它特有的用户数据管理方式。 n e tp a s s d o n 的工作原理依赖于h t t p 重定向和c 0 0 1 【i e 之间的结合。每一 个实现n e tp a s s p o r t 的w 曲服务器肯定都具备几个服务器软件，用以保证它 和n e tp a s s p o r t 进行对话、并处理所有的n e tp a s s p o r tc o o k i e 。客户端应用程序 必须能够处理、存储并检索可以被p a s s p o n 识别的c o o 虹e s 。当用户登录一个支 持n e tp a s s p o r t 的w 曲站点时，用户、支持n e tp 船啪r t 的w 曲站点和n e t p a s s p o r c 之间会发生大量的交互作用： 图2 2p a s s p o r t 模型结构图 对图2 2 的交互流程解释如下： ( 1 ) 用户从支持n e tp a s s p o n 的w 曲站点请求一个特定页面。 ( 2 ) 发送到用户浏览器的是h 兀p 3 0 2 重定向，定位题头会把它重定向到u l 也 h t t p ：a 】n 即t - l o g i n p a s s p o n 跚。在p 嬲s p o r t 站点中，提供给用户的是一 个h n 仉格式的登录页面。 ( 3 ) 把详细资料成功输入到注册页面将会为用户生成n e tp 鹤s p o r t 域 ( p 鹤s p o n c o m ) 的c o o 妊e 集。这将成为p 勰s p o n 会话的绑定机制，它可以 使后来的请求不必重新登记就可以直接进行肥tp 勰s p o r t 身份认证。 ( 4 ) 在支持p 船s p o r t 的w 曲站点内，被返回的u i 也会产生m 1 p 3 0 2 重定向。 这时用户也将获取一个支持p 船s p o r tw 曲站点的域的c o o l d e 集。 当用户登录支持p 邪s p o r t 的站点时，登录机制会为p 船s p 0 咀域( p 勰s p o r t c o m ) 和支持p a s s d o r t 的站点的域设置一个c o o l i e 。然后用户可以从另外一个支持 p 嬲s p o r t 的站点请求页面，登录机制将用户重定向到登录页面 h t t p ：c u r r e m 1 0 9 i n p 嬲s p o r t c o m 。这个位置的p 嬲s p o ns e n r e r 将自动找出先前设置 的c o o k 顿为n e t p 硒s p o r t 域即p 嬲s p o n c o m 设置的) ，并把重定向到支持p 嬲s p o r t 的站点，这样用户就不必再次输入凭证。如果c o o l 【i e 中的票据期满( 默认有效期 为4 个小时) ，用户就要重新登录，此时另外一个具有有效票据的c 0 0 k i e 就会被 放置到客户端机器。c o o 虹e 中的信息既经过编码( 压缩) 又被加密，保证了用户信 息的安全。 2 2 5 模型分析与借鉴 1 模型特点分析 茹志麓篓 k l 黼e ；阮略e 默。 珊到r ，y黝s 鲥暂瓣j 系统结构c s 模式b s 模式 b s 模式b s 模式 数据管理方式集中存储分散存储分散存储集中存储 消息传输机制t g s 加密票据c 0 0 k i e 加密票据加密认证断言c 0 0 k i e 加密票据 第三方专有服域内服务器均可担负认 联盟中服务器均 p a s s p o r t 认证服 认证服务器可进行认证、发认 务器认证证务器的收费认证 证断言 频繁、复杂的加认证断言的加密 安全性 s s l 加密通信信道 s s l 加密通信信道 密解密交互解密交互 b s p h e r e 和d 0 i n o 服p a s s p 0 盯服务器 适用环境c s 网络环境多域联盟网络 务器组成的网络为中心的网络 密钥分发困难、 消息验证复杂、 实施过程较为复微软一手操控，技 其他特点 仅适用于特定网络环境 杂，依赖于企业问术细节不公开，限 要求c 和s 的时 合作 制其推广 钟同步 表2 2 模型特点分析和比较 从表2 2 的模型特点分析可以得出以下设计经验： ( 1 ) 数据集中管理，降低入侵风险； ( 2 ) 第三方认证，减轻应用服务器负担； ( 3 ) 使用加密票据传输认证信息、选择恰当的消息交互方式，提高认证和访 问的安全性； ( 4 ) 根据网络环境的特点选择系统实现模式。 2 模型的不足、应用局限性及对c b a s 设计的启发 从上面各认证模型的特点分析可以看出，基于第三方认证的方式是实现 网络身份认证的主流，事实证明它是一种稳定的、安全高效的认证模式。使 用加密票据传输和记录认证信息是一种安全性较高的操作方式。基于加密的 c o o k i e 承载认证消息，为设计第三方认证系统提供了一种非常有效的消息传 输机制模型。但是在本文中这几种认证模型都不能直接使用，这是由门户整 合的实际需求决定的： 门户系统中的信息系统均位于同一个域内； 一 门户系统中的信息系统均采用b s 结构或具有w 曲前端的c s 结 构； _ 系统整合的成本和效率要求一种较为简洁、高效的认证模式； _ 整合后系统的维护工作要求简单易行。 所以在研究经典认证模型时，必须规避掉不利因素，借鉴与参考认证模型中 较为成熟的设计特点，设计出适合门户整合实际需要的认证模型。其中， k e r b e r 0 s 基于第三方的认证、基于票据的消息传输手段和用户集中管理的机 制值得借鉴，其认证消息的严格保密和验证措施值得学习；u 儆和p a s s p o r t 中消息传输的载体c o o 垴e ，功能强大、使用灵活，在设计认证模型时参考使 用必将在很大程度上降低整个认证过程中消息安全交换的复杂性。使用c o o 虹e 可以避免在每一次请求中都要携带认证信息的事实，减轻认证服务器的负担，同 时可以降低因多次传输认证信息而产生的泄密风险。 2 3 单点登录技术 企业信息门户中解决多系统、多次登录的问题需要单点登录技术的支撑。本 节首先介绍传统登录模式和单点登录模式，通过比较进一步阐述单点登录相对于 传统登录模式所具有的明显优势，这也是目前大部分门户服务器对单点登录支持 的重要原因，然后对单点登录常用的实现方法进行了分析。最后介绍了实现单点 登录的相关技术及技术实现机制。 2 - 3 1s s o 与传统登录 单点登录( s i n g l es i 弘o n ， s s o ) 是指用户只需要进行一次登录，就可以访 问到所有的授权服务，是一种方便用户访问系统的技术1 9 j 。它允许用户通过一次 性登录，便可自动访问所有已授权的应用和系统，从而增强了总体的安全性，提 高了效率。未采用单点登录以前，由于交互操作的可操作性和安全问题，需要给 每一个应用准备一套用户管理系统和系统用户授权策略，而s s o 可将一个企业 内部所有子域中的用户登录和用户管理集中到一起l l 。 在采用单点登录以前，网络用户和系统管理员不得不面对如下现实： 1 用户在需要使用任何一个企业应用的时候都需要做一次身份认证，而且 每一次认证使用的认证信息( 用户名和密码) 不能保证一致； 2 系统管理员需要对每一个系统设置一种单独的安全策略，而且需要对每 个系统中的用户单独授权以