（计算机应用技术专业论文）统一身份认证系统的设计与实现.pdf

摘要 随着计算机技术和网络技术的发展，在高校数字化校园环境下存在各种管理信息系统， 比如教务管理系统，科研管理系统、财务管理系统等。这些系统覆盖了学校大部分工作， 成为学校教学、科研和管理等日常工作中不可缺少的部分。用户如果访问不同的应用系统， 面对不同的登录界面，就必须记忆不同的账户信息，而系统管理员也不得不维护多个系统 中的用户信息。这样无论对用户使用，还是对应用系统的管理和维护都不方便，因此在数 字化校园中，建立统一的身份认证系统很重要，而单点登录是统一身份认证系统的重要组 成部分。 本论文的重点工作如下： ( 1 ) 研究目前单点登录技术，并分析它们的优缺点； ( 2 ) 研究j b o s ss s of r a m e w o r k 组件的功能和采用的技术手段，针对j b o s ss s o f r a m e w o r k 中身份认证模型的缺陷，提出利用) ( m l 加密签名、s a m l 认证机制和k e r b e r o s 协议等技术改进j b o s ss s of r a m e w o r k 模型，并采用b a n 逻辑对改进后的模型进行完备性 证明，验证结果表明改进后的模型达到认证目标，具有较强的安全性。 ( 3 ) 设计并实现了一个统一的身份认证系统，本系统采用分布式架构，在e j b 组件 中封装所有的处理逻辑，并利用j s f 技术实现基于浏览器的客户端。实验表明，开发的系 统不仅能够实现用户的统一管理和单点登录等功能，而且具有良好的扩展性、可移植性、 安全性和友好的用户界面。 关键词：l d a p ，j b o s ss s 0f r a m e w o r k ，s s o ，s a m l ，k e r b e r o s ，x m l ，s s l a b s 仃a c t w i mt l l e r a p i dd e v e l o p m e n to fc o m p u t 盯a n dn e t w o 咸t c c h l o l o g y m e r ca 化al o to f a p p l i c a t i o ns y s t e m si nt h ed i 舀t a l m p l l s ，f o r 强锄叩l em e c d u c a t i o n a lm 绷a g 锄e n ts y s t 嘲，m e s c i 髓t i f i cr 嚣黝f d hm a n a g i 锄1 e n ts y s t 锄龇i dt 量i ef i l l a n c em a n a g 锄e n ts y s t 锄觚d o i lt h e s y s t 印坞h a v e0 0 v e f e dam 旬o r i t ) ，o fs c h o l 觞t i cw o 出锄db c c o m en l ei n d i s p e 邶a b l ep a nf o r t e a c h i n 岛m a n a g 锄e n ta n ds c i e n t i f i cr 髓e 疵h i fau s 盯f a c e sm ed i 行b r e n ti n t e m c e o fl o g ：i l l h e h 硇t 0 彻【1 1 e l l l b e rd i 触e n ta c c o u n ti n f o n n a t i o n m l d 洳诚s 仃a t o r so fm e s es y s t e m sh a v et 0 m a i n t a i l lu s e r s i n f o 咖a t i o ni nt 1 1 ed i 侬f e n ts y s t e m s i ti sd i s 渊o d i o u sf o rm el l s e r s 锄d a d 倒| l i s t r a t o r s s o “i si m p o r t a n tt os e tu pau n j f i e di d e n t 毋a u m o r i z a t i o nm a l l a g e m ts y s t e mi n m ed i 百t a lc a m p u s h o w e v e rs m 西es i 秒o ni si m p o r tp a no fau i l i 矗e di d 饥t 时a u t h e n t i c a t i o n 1 f 1 1 ep a p e r 西v e st h ei m p o r tw o r ka sf o l l o w s ： ( 1 ) r - e s e 甜c hm es s ot e c h n 0 1 0 9 ) ，a tp r e s e i l t ，a 1 1 da i l a l y z em e i ra d v a i l t a g ea n dd i s a d v a n t a g e ( 2 ) r e s e a r c h t h ef i m c t i o na n d t e d l n o l o g yo f j b 0 8 ss s of r 锄e w o r km o d u l e ，a i l dm a k e u s eo f s o m et e c l l i l o l o 蹦t 0m a l ( eu pm ed i s a d v 咖a g eo fj b o s ss s of r 锄e w o r km o d u l c ，f o re x 锄p l e m e ) 【1 1 1 l e n c r y p t ，) 【1 l l ls i g n a t l l r e ，s a m la u t h e n t i c a t i o na i l dk 咖e r o sp r o t o c o l a 1 1 ds oo n m o f e o v e rt h ea l t e r a l i o no fj b o s ss s of r a 】m e w o r km o d u l ei sp r o v e db yb a nl o 西c t h er e s u l to f a 1 1 a 1 ) ，z i n gi ti st l l a ti ta l r e a d yr e a c h e st om e 喇o f a l l l l i 矗e di d t 时a u m 础c a t i o n 肌di sb e t t e r o ft h es e c 嘶t yt l l a i lj b o s ss s of r 锄e w o r km o d u l e ( 3 ) d e s i 弘a n di m p l e m e n ta u n j f i e di d e 砸锣a u t h 饥t i c a t i o n nm a l ( e su po fj 2 e e 缸m e w o r k ， e j bi no m e rt oi n c l u d eo f l ea l lo p e r a t i o n s ，j s ft e c h l l o l o 舒t 0r e a l i z em ec l i e l l t 7 1 1 l ee x p e r i i n e n t s h o w sm a tn o to l l l ym es y s t 锄c 嘶e st h e 向n c t i o no ft h eu 1 1 i f i e di d e n t i t ym a n a g e m e n ta n d l e u i l i f i o di d e n t i 哆a u t h e n t i c a t i o 玛b u ta l s oi tb e l o n g st 0t h eb e t t e re x p a r l s i b i l i t y ，r e p l a n t ，s e c u r i t ya 1 i d i ，i k e y _ w o r d s ：l d a p ，j b o s ss s of r a m e w o r k ，s s 0 ，s 蝴l 融抽e r o s ，“l ，s s l 学位论文独创性声明： 本人所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果。与我一同工作的同事对本研究所做 的任何贡献均已在论文中作了明确的说明并表示了谢意。如不实，本人负全 部责任。 论文作者( 签名) ：蠢& 西一久幻男年5 月l ? 日 学位论文使用授权说明 河海大学、中国科学技术信息研究所、国家图书馆、中国学术期刊( 光 盘版) 电子杂志社有权保留本人所送交学位论文的复印件或电子文档，可以 采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文 的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅。论文 全部或部分内容的公布( 包括刊登) 授权河海大学研究生院办理。 论文作者( 签名) ：趟 州年5 月j 7 日 第一章绪论 1 1 选题背景 第一章绪论 “数字化校园”的核心是围绕学校的整个教学和管理，为教师和学生提供教学服务： 一方面是对教学资源的管理，另一方面是对教学资源的有效应用。建设数字化校园的目的 是促进教师和学生互动学习，实现资源的交流与共享。在数字化校园内存在许多应用系统， 比如教学管理系统、学籍管理系统，数字图书馆系统等，这些应用系统都各自建立有独立 的身份认证模块，使用独立的认证机制。这种认证模式存在不少的问题： ( 1 ) 用户信息的格式、命名与存储方式多种多样。当用户需要使用多个应用系统时就 会带来用户信息同步问题，用户信息同步会增加系统的复杂性，增加管理成本。 ( 2 ) 用户在使用各个应用系统时，都要先进行注册( 建立相应的帐号) ，然后登录。这 样用户不得不记忆不同的帐号信息，不仅给用户带来不便，而且还会因用户的密码泄漏影 响系统的安全性。 ( 3 ) 每个应用系统都拥有独立的用户信息管理，会造成数据重复管理、数据冗余等问 题。 ( 4 ) 每个应用系统都拥有独立的身份认证，而这些身份认证机制都与具体的应用服务 器基础类捆绑在一起，缺乏通用性、移植性和灵活性。 为了解决数字化校园中各个应用系统都要进行身分认证的弊端，因此建立统一身份认 证系统是完全必要的。在统一的身份认证系统环境下，管理员就可以在整个网络内实现单 点管理，用户可以实现一次登录，各种应用系统可以通过统一的接口接入信息平台。 1 2 研究现状及分析 1 2 1 单点登录概述 s s o ( s i n 舀es i 盟一o i l ，单点登录) 【1 1 是指用户只需要在某个网络中进行一次身份认证，随后 该用户便可访问网络中被授权的所有网络资源，而不需要再次主动或被动地参与身份认证 的过程。单点登录系统把原来分散的用户集中管理，各系统之间依靠相互信赖的关系进行 身份自动认证，目前单点登录系统中常采用三种单点登录模式【2 】。 ( 1 ) 断言构造器模式：在单点登录环境中，客户首先向单点登录提供者认证，然后要 l 河海大学硕士学位论文 求访问目标站点的资源。当用户首次访问目标站点时，目标站点先发出s a m l 请求，要求 源站点提供认证断言，源站点和目标站点将使用断言构造器组装登录信息和用户凭证，以 生成s j 蝴l 断言声明，目标站点再将对客户访问资源的请求做出响应，并将处理授权决策 和属性声明，决定客户的访问权限。 ( 2 ) 单点登录代理：单点登录代理位于客户端和身份管理服务组件之间的中间层，它 将服务请求转交给远程服务组件。单点登录代理分离了物理安全服务接口，对客户端隐藏 了服务调用、服务配置检索和凭证令牌处理等细节，客户端并不直接与身份管理服务接口 进行交换。单点登录代理负责完成单点登录的准备工作、配置安全会话、查询安全服务接 口、调用合适的安全服务接口以及执行全局退出。这种松偶合的应用框架对客户端的变化 影响降低到最小。 ( 3 ) 凭证令牌化器模式：使用凭证令牌化器，将不同类型的用户凭证封装成可被安全 提供者重用的安全令牌i 凭证令牌化器模式是一种安全a p i ( 应用编程接口) 抽象，它根据 用户凭证创建和检索用户身份信息( 如x 5 0 9 证书) ，每种安全规范处理用户身份和凭证信 息的语义或机制都有所不同。在凭证令牌化器模式中有两个主要对象，即se c _ i l r i t y t 0 k e i l 和 t o k c l l c o n t e x t 。s e c 嘶r o k e n 是用于封装任何令牌的基类，比如用户名令牌、二进制令牌 和证书令牌；t o k e n c o n t e x t 类是用于创建安全令牌的环境，它包含如安全令牌类型、服务 配置和安全令牌的协议绑定等信息。 1 2 2 单点登录技术分析 单点登录技术( s i n 蓟es i 髓o nt e c h n o l o g y ) 因具有方便用户使用、方便网络管理员 维护、更好的网络安全性等特点，近年来在国际国内均是个热门研究课题。目前利用单 点登录技术已开发出了一些有价值的应用系统，最为著名的系统有：c a s ( c 锄砌 a u t h e n t i c 撕o ns e r v i c e ) 耶鲁大学开发的单点登录系统，s u n 开发的身份管理产品，i b m w 曲s p h e r e 门户以及j b o s s 开发的j b o s ss s of r a m e 、o r k 身份认证等。这些系统大部分采取三 种技术方式来实现单点登录功能，即自动化登录、具有s s o 功能的协议和具有s s o 功能的 技术。 ( 1 ) 自动化登录技术 自动化登录技术就是屏蔽掉用户登录目标系统的过程。原来用户在使用目标系统时， 需要输入用户名和密码( 或其它认证方式) ，自动登录技术能通过技术手段为用户自动输入 用户名和密码，但是对用户的专业水平要求比较高。 2 第一章绪论 ( 2 ) 具有s s o 功能协议的技术 具有s s o 功能协议的典型代表是k l 枷s 协议，k e f b e r o s 协议【3 1 是根据密钥分配中心 ( d c ) 的第三方服务来验证计算机相互的身份，并建立密钥以保证计算机安全连接。 l 沁两e f 0 身份验证过程： 用户使用密码或智能卡向k d c ( 密钥分配中心) 进行身份验证； k d c 向此客户端颁发一个特别的授权票证t g t ，客户端使用该t g t 访问t g s ( 票 据授权服务器) ： t g s 接着向客户端颁发服务票证； 客户端向所请求的网络服务出示服务票证，服务票证向此服务证明用户的身份， 同时也向该用户证明服务的身份。 k c 曲e r o s 认证技术优点： 采用相互认证机制，提高系统的安全性，防止非法服务器来攻击目标站点； 由于每次会话的密钥都不相同，增强系统的安全； ：与授权机制紧密的结合； 实现了一次性签放，并且签放的票据都有一个有效期： 支持分布式网络环境下的认证机制，通过交换“跨域密钥”来实现； k e r b e r o s 认证技术缺点： 系统实现比较复杂，原因在于密钥存储问题，随着网络用户数量的积累和增加， 密钥的管理与分配较复杂； k e l b e r o s 防止口令猜测攻击的能力很弱，攻击者只要收集大量的许可证，通过密钥 分析就可进行口令猜测； 时钟同步的问题，如果客户机的时间与k e r b e r o s 服务器的时间不一致，那么过期的 时间戳可能被非法重用。 ( 3 ) 具有s s o 功能的技术 实现s s o 功能的技术主要有基于c o o k i e s 实现s s 0 ( 单点登录) 、b r o k * b a s e d ( 基于经纪人) 实现s s o 、a g e n t b a s e d ( 基于代理人) 实现s s o 、基于网关实现s s o 和s a m l ( 基于安全断言 标记语言) 实现s s o 基于c o o k i 懿的技术 基于c o o 垴e s 的技术【4 】就是用户信息首先被注册到数据库服务器中，由服务器生成相关的 河海大学硕士学位论文 c o o l ( i e s ，并写到用户硬盘中。当用户访问目标站点时，服务器取回客户端所对应的服务器 中c o o k i 髓，然后依据c o o k i e s 中的认证标志验证用户的身份。 基于c o o l c i e s 的技术缺点在于不能跨域共享，因此在不同域下的单点登录是不能使用 c o o k i e s 。 b r o k e r b 嬲c d ( 基于经纪人) 的技术 b r o k e r b a s e d 技术采用一个集中的认证和用户帐号管理的服务器，经纪人从中央数据库 取得用户的身份信息，并为认证提供一个公共和独立的“第三方。但是b r o k e r b a s e d 技术 预防欺骗性攻击能力脆弱，而且它采用k e 曲e r o s 认证模型存在安全隐患。 a g e n t - b a s c d ( 基于代理人) 的技术 a g e n t j b a s e d 技术利用代理程序自动地为不同的目标站点验证用户身份，一般代理人都 存放在服务器上，在服务器的认证系统和用户端之间充当“翻译。a g e n t - b a s e d 技术保证 了通道的安全性和单点登录，具有良好的可实施性和灵活性，但是它将用户登录凭证存储 在本地，增加了口令泄漏的危险。 基于网关的技术 基于网关的技术利用一个类似于“门 一样的网关，用以安全地接入可信的网络服务。 基于网关的技术使应用程序的修改和应用变得容易5 1 ，但是网关认证模型很难根据不同的 管理要求和用户认证的集中需要来建立和配制适当的安全策略，而且适用范围也比较小。 s a m l ( 基于安全断言标记语言) 的技术 s a m l 技术【6 】采用令牌来访问目标站点，当用户登录时，产生s a m l 请求，源站点收 到s a m l 请求后解析s a m l 请求，再到用户信息库中查询属性声明( 角色) ，生成s a m l 令牌。 用户在访问目标站点时，首先目标站点将令牌送到源站点解析令牌，如果令牌有效，则将 服务的结果重定向到客户端。 s a m l 技术的优点： i 、s 蝴l 是一种x m l 安全信息共享的认证，可以在不同安全系统产生的信息进行交 换： i i 、s a m l 为开发者提供了一个与平台无关的安全服务框架，具有灵活的扩展性： 4 第一章绪论 、客户端不需安装任何软件，用户通过浏览器向服务器发送请求，产生的s a m l 请求 可以通过各种标准的传输协议传输，具有较高的互操作性。 s a m l 技术的缺点：s a m l 技术没有对删l 进行信息安全处理，因此在x m l 数据传 输中易受到窃听、消息篡改和中间人攻击等危险。 1 3 本文工作 通过以上单点登录技术的分析，它们都存在着一些缺陷。目前利用j b o s s 技术实现单 点登录功能比较普遍，因为j b o s s 技术是一个开源代码、遵循j 2 e e 规范的应用服务器软件， 具有面向服务的架构，并能实现应用的热部署、热卸载、用户管理和身份认证等功能。因 此本文在研究单点登录技术、分析了当前身份认证的需求与实际安全需求的基础上，分析 研究了j b o s s 技术j b o s ss s of 嘲n e w o r k 组件，针对j b o s ss s 0f r a i i l e w o r k 组件的不足进行 模型改造，使其更能够满足数字化校园所需的统一身份认证系统。 论文主要工作如下： ( 1 ) 用户信息存储格式l d i f 和l d a p 目录树的设计。为方便今后的管理和维护，系统的 可扩展能力、适应性、以及可靠性是研究的关键。 ( 2 ) 研究j b o s ss s 0f r 锄e w o r k 组件的功能和所采用的技术手段，本文结合x m l 加密 签名、s a m l 认证机制和k e r b e r o s 协议等技术对j b o s ss s of r a m e ，o r k 的身份管理和身份认 证模型进行改进，并采用b a n 逻辑对改进的模型进行完备性证明。 ( 3 ) 对w 曲s e r v i c e s 的安全性进行了研究，通过信息加密签名和s s l 连接来保证用户信 息的完整性，并防止被第三方进行窃听或者攻击。 ( 4 ) 设计并实现了一个具有良好扩展性、能移植的身份认证系统。 1 4 本论文组织结构 第一章绪论 介绍了论文的研究背景和单点登录的现状，然后重点介绍目前单点登录技术和主 要功能，最后对本篇论文的组织结构予以介绍。 第二章身份认证的相关技术 在身份认证中，都要实现五个基本目标：保密性、数据完整性、不可否认性、认 河海大学硕士学位论文 证和授权，本章主要介绍要实现以上目标所涉及到的相关技术和规范，如安全技 术、s s l 协议、安全标记语言s a m l 和身份认证技术等。 第三章j b o s ss s of r a m e 、0 r k 模型改进 本章重点介绍j b o 豁s s of r 跚e w o f k 的功能、所采用的技术手段以及存在的缺陷， 并针对j b o s ss s of r 锄e w o r k 的模型中的缺点进行改进，同时采用b a n 逻辑对改 进后的身份认证模型进行完备性证明。 第四章系统设计 这一章是本文的重点，详细描述了身份认证系统的总体框架、主要功能，及系统 要达到的设计目标，重点介绍了本系统的三大模块( 即目录信息树、身份管理和身 份认证) 的设计。 第五章系统实现 本章首先阐述了要实现本系统所涉及到的关键技术，然后详细介绍了各个模块的实 现方法，最后通过实验测试各个模块的功能。 第六章总结和展望 对全文工作进行总结，并且对今后的研究工作进行了展望。 6 第二章身份认证的相关技术 第二章身份认证的相关技术 对于任何一个身份认证系统，都要考虑到以下因素：( 1 ) 数据完整性( 保证数据在传输 或存储过程中没有被修改) ( 2 ) 保密性( 保证所交换信息不被窃听) ( 3 ) 不可否认性( 保证消 息的发送方无法否认其发送过的消息) ( 4 ) 认证( 保证只有合法用户才能访问特定的服务) ( 5 ) 授权a 1 1 t h o r i z a t i o n ( 保证为用户身份提供对系统资源的访问权限) 。要做到这些，目前 主要采用以下一些相关技术。 2 1 安全技术 为了防止重要的信息被一些别有用心的人所看到或破坏，客观上就需要一种强有力的 安全措施来保护机密数据不被窃取或篡改，用来保证机密数据安全的基本技术之一就是数 据加密技术。数据加密是指在数据处理过程中将重要的数据转换成不能识别的乱码，还原 的过程称为解密。 2 1 1 对称密钥加密技术 在网络中，当用户之间进行通讯时，为了保护信息不被第三方窃取，必须采用各种方 法对数据进行加密。最常用的方法之一就是对称密钥加密【7 】，对称加密技术对文件进行加 密传输的过程分为三步： ( 1 ) 通信双方利用绝对安全的渠道，协商确定共有密钥，并妥善保管； ( 2 ) 发送方对需要传输的文件用自己的密钥进行加密，然后通过网络把加密后的文件 传输到接收方； ( 3 ) 接收方用自己的密钥( 实际上与发送方的密钥相同) 对收到的密文进行解密，最 后得到发送方的明文。 对称算法最主要的问题是：由于双方都要使用相同的密钥，因此在发送、接收数据之 前，必须完成密钥的分发，但是密钥分发成为对称加密体系中最薄弱的地方。 2 1 2 非对称密钥加密技术 非对称加密就【8 1 是加密和解密所使用的不是同一个密钥，通常有两个密钥，即“公钥 7 河海大学硕士学位论文 和“私钥”。“公钥 是对外公布的，“私钥却只能由持有人知道。非对称加密技术能 安全、简单的管理密钥，但是当密钥较长时，加密、解密花费时间长，而且速度慢。因此 不适合对数据量较大的文件加密。 目前典型的非对称加密算法是r s a 算法，它的数学原理是大素数的分解，密钥是成对 出现的，一个为公钥，一个是私钥。公钥是公开的，可以用私钥去解公钥加密过的信息， 也可以用公钥去解私钥加密过的信息。r s a 算法对数据的加解密的过程如图2 1 所示。 明 明 文 r s a 密 r s a 文 露 天 臣 骂- 三亨x 回 发送方卜一二争1 r 爿接受方1 。 公开通道s p 、- p l i 接受方 图2 1 非对称加密解谜的过程图 r s a 算法需要其密钥长度为1 0 2 4 位，加解密的速度比较慢是它的弱点。 2 1 3 数字签名技术 ( 1 ) 数字签名概念 数字签名( d i 垂t a ls i 伊a t u r e ) 【9 1 是将摘要用发送者的私钥加密，与原文一起传送给接收 者，接收者只有用发送者的公钥才能解开被加密的摘要。采用数字签名，能确认以下两点： 信息是由签名者发送的； 信息自签发后到收到为止未曾作过任何修改。 ( 2 ) 数字签名的过程 原文用对称密钥加密传输，而对称密钥用收方公钥加密发送给对方，收方收到电子信 封，用自己的私钥解密信封，取出对称密钥解密得原文。其详细过程如下： 发方a 将原文信息进行哈希( h a s h ) 运算，得到哈希值( 即数字摘要m d ) ； 发方a 用自己的私钥p v a ，采用非对称r s a 算法，对数字摘要m d 进行加密，即 得数字签名d s ； 发方a 用对称算法d e s 的对称密钥s k 对原文信息、数字签名s d 及发方a 证书 的公钥p b a 采用对称算法加密，得加密信息e ； 发方用收方b 的公钥p b b ，采用r s a 算法对对称密钥s k 加密，形成数字信封 r 第二章身份认证的相关技术 d e ，就好像将对称密钥s k 装到了一个用收方公钥加密的信封里： 发方a 将加密信息e 和数字信封d e 一起发送给收方b ； 收方b 接受到数字信封d e 后，首先用自己的私钥p v b 解密数字信封，取出对称 密钥s k ； 收方b 用对称密钥s k 通过d e s 算法解密加密信息e ，还原出原文信息、数字签 名s d 及发方a 证书的公钥p b a ； 收方b 验证数字签名，先用发方a 的公钥解密数字签名得数字摘要m d ：收方b 同时将原文信息用同样的哈希运算，求得一个新的数字摘要m d ； 将两个数字摘要m d 和m d 进行比较，验证原文是否被修改。如果二者相等，说 明数据没有被篡改，是保密传输的，签名是真实的；否则拒绝该签名。 这样就做到了重要信息在数字签名的传输中不被篡改，未经认证和授权的人看不见原 数据，起到了在数字签名传输中对重要数据的保密作用。 2 2s s l 协议 2 2 1 概念 安全套接层协议【1 0 】( s e c u r es o c k e t sl a y e r ，简称s s l ) 是在网络传输层之上，为浏览器和 w e b 服务器之间提供一种安全连接的技术，它被视为h l t 锄e t 上w c b 浏览器和服务器的 标准安全性措施。s s l 协议在应用层收发数据之前，先要协商加密算法、通讯密钥，并认 证通信双方，从而为应用层提供了安全的传输通道；在该通道上可加载任何高层应用协议 ( 如h 1 v r p 、f t p 、t e l n e t 等) 以保证应用层数据传输的安全性。 2 2 2 工作流程 安全套接层协议( s s l ) 是一个保证计算机通信安全的协议。当客户机与服务器要进行通 讯时，s s l 协议采用以下方式进行： ( 1 ) 接通阶段，客户通过网络向服务器打招呼，服务器回应 ( 2 ) 密码交换阶段，客户与服务器之间交换双方认可的密码。 ( 3 ) 会谈密码阶段，客户与服务器间产生彼此交谈的会谈密码 ( 4 ) 检验阶段，检验服务器取得的密码。 9 河海大学硕士学位论文 ( 5 ) 客户认证阶段，验证客户的可信度。 ( 6 ) 结束阶段，客户与服务器之间相互交换结束的信息。 2 2 3 优点 s s l 技术使三项服务( 即身份认证服务、信息加密服务和数据的完整性服务) 达到了高安 全性，因此s s l 技术的优点就体现在这三项服务中。 ( 1 ) 用户和服务器的合法性认证 客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了 验证用户是否合法，安全套接层协议要求在握手交换数据进行数字认证，以此来确保 用户的合法性。 ( 2 ) 加密数据来隐藏被传送的数据 在客户机与服务器进行数据交换之前，交换s s l 初始握手信息，在s s l 握手过 程中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证 书进行鉴别。 ( 3 )保护数据的完整性 安全套接层协议采用h a l s h 函数和机密共享的方法来提供信息的完整性服务，建 立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过 程中能全部完整准确无误地到达目的。 2 3s a m l ( 安全标记语言) 2 3 1s a m l 简介 2 0 0 0 年1 1 月，国际标准化组织的安全服务协会( s e c 嘶t ys e r v i c et e c i l i l o l o g ) ，c o m m i t t e e ) 提出安全声明标记语言参考标准s a m l 。s a m l ( s e c 血t y a s s e r t i o nm 砌( u pl a i l g u a g c ，安全 性断言标记语言) 【i l 】是一种基于x m l 的框架，主要用于在各安全系统之间交换认证、授权 和属性信息。在s a m l 框架下，只要满足s a m l 的接口、信息交互定义和流程规范，相 互之间就可以无缝集成。s a m l 的完整框架和有关信息交互格式使得现有的各种身份鉴别 机制( 比如公钥密钥体系p 、k e r b e r o s 和口令) 、各种授权机制( 比如访问控制列表a c l 、 l o 第二章身份认证的相关技术 凡慨s 的访问控制) 通过使用统一接口实现跨信任域的互操作，有利于分布式应用系统 信任和授权的统一管理。 2 3 2s a m l 框架 s a m l 采用与主体相关的断言形式表达，主体是指一个实体( 人或计算机) ，这个实 体在某个安全域中拥有一个特定身份，断言可传递主体执行的认证信息、属性信息及关于 是否允许主体访问其资源的授权决定。依据不同目的，s a m l 提供以下几种不同类型的安 全断言【1 2 】： ( 1 ) 认证断言：用来声称消息发布者已经认证特定的主体。 ( 2 ) 属性断言：用于声称特定主体具有的属性。 ( 3 ) 决定断言：用于报告了一个具体授权请求的结果。 ( 4 ) 授权断言：用于声称一个主体被给予访问一个或多个资源的特别许可。 2 3 3s a m l 工作流程 s 蝴l 基本工作过程主要分为认证、生成s a m l 标记和授权3 部分，其基本流程【2 3 】如 下所示： ( 1 ) 终端用户向认证机构提交用户凭证； ( 2 ) 认证机构对用户的凭证进行断言，并且产生一个认证断言以及一个或多个属性断 言( 例如用户资料信息) ，随后用户立即就会得到s a m l 令牌； ( 3 ) 用户使用这个s a m l 令牌尝试访问一个受保护的资源： ( 4 ) 终端用户对受保护资源的访问请求被策略执行点截取，同时终端用户的s a m l 令 牌( 认证断言) 被策略执行点提交给属性管理； ( 5 )属性管理或策略决定点基于自身的政策标准产生一个决定，一旦批准最终用户对 保护资源进行访问，就会产生一个附加在s a m l 令牌上的属性断言。 2 4 认证技术 目前的身份认证技术很多，典型的认证技术有以下几种： ( 1 ) 基于时间同步认证技术 基于时间同步认证技术是属于动态口令身份认证的种，动态口令身份认证f 1 3 】就是指 l l 河海大学硕士学位论文 用户登录系统! 验证身份过程中，送入系统的验证数据是动态变化的。 基于时间同步认证技术是把以用户登录时间作为时间同步令牌，时间同步令牌每分钟 动态生成一个一次性有效的口令。用户在访问系统时，需要将令牌生成的动态口令和静态 口令结合在一起作为口令送到中心认证系统。认证中心不仅要核对用户的静态口令，同时 还需要根据当前时间和该用户的密钥计算出该用户当前的动态口令，一起来判断用户是否 合法。由于每个用户的密钥不同，因此不同用户在同一时刻的动态口令也不同，因此具有 很高的安全性，但是从技术上很难保证用户的时间同步令牌在时间上和中心认证系统同 步，因此即使正常用户登录也会造成认证失败。 ( 2 ) 挑战应答技术 挑战应答认证技术【1 4 】【1 5 1 f1 q 是也属于动态口令身份认证，当用户通过客户端程序登录 时，客户向认证服务端提出认证请求，并提供自己帐号和口令；服务端验证客户的帐号和 口令信息时，服务端的内部产生一个随机数r ，作为“挑战”发给客户端；客户端将收到 的随机数和自己口令合并，并使用安全h a s h 函数( 通常是m d 5 ) 进行处理，生成一个字符串 作为对服务端“挑战 的“应答”；服务端收到“应答 后，将存储的随机数和用户口令 合并，使用相同的h a s h 函数进行处理，并将结果和客户端的“应答”比较，如果一致则表 示通过认证，该用户合法，如果不一致，则表示用户不合法。 挑战应答认证技术的优点在以下几方面： 用户每次认证的“挑战 和“应答 不同，可以有效的防止重放攻击； 具有较高的安全性：由于每个用户的密钥不同，因此不同用户对同样的挑战数 却计算出不同的应答数，只有用户持有指定的挑战应答令牌才能计算出正确的应答数，从而 保证用户是持有指定挑战应答令牌的合法用户。 挑战应答认证技术的缺点主要在以下几方面： 增加认证系统的成本：挑战应答认证技术需要特殊硬件的支持； 用户的身份标志直接在网络上明文传输，攻击者很容易地截获它，留下了安全隐 患。 ( 3 ) 用户名口令身份认证技术 用户名口令身份认证技术是将用户名、口令存放在一个数据库中，当用户要访问某些 受限制的资源时，要在某一个页面中输入用户名和口令，程序将用户输入的用户名和口令 1 2 第二章身份认证的相关技术 与数据库存放的“用户名口令一相比较，如果输入正确，则正常使用资源，否则资源访问 被拒绝。为了防止非法人员恶意破坏系统数据，一般采用以下两种方式进行改进： 单因素认证技术：当用户访问系统资源时，系统提示用户输入用户名和口令。系 统采用加密方式或明文方式将用户名和口令传送到认证中心，并和认证中心保存的用户信 息进行比对。如果验证通过，系统允许该用户进行随后的访问操作，否则拒绝用户进一步 的访问操作。这种方法在一定程度上提高了系统的安全性，但是仍然存在安全隐患。 双因素静态身份认证：单一的记忆因素( 比如固定口令) 认证基础上结合第二物理认 证因素( 比如磁卡、条码卡、m e l n 0 珂i c 卡、指纹等) ，会提高认证的安全性，但是最明显 的缺陷是需要物理介质。 ( 4 ) p ( 公钥密钥体系) 技术 p 技术采用证书进行公钥管理，通过第三方的认证中心c a ，把用户的公钥和用户的 其他标识信息捆绑在一起，其中包括用户名和电子邮件等信息，以在i n t e n l e t 网上验证用户 的身份，它能够为所有网络应用提供加密和数字签名等密码服务及所需的密钥和证书管理 体系【1 7 1 ，但是p 技术采用静态的身份认证方式，因此容易受到黑客的字典式攻击。 2 5 本章小结 在身份认证系统中要做到保密性、数据完整性、不可否认性、认证和授权这五个因素。 本章首先介绍了常用的安全技术和s s l 协议，然后重点介绍了s a m l 规范和典型的身份 认证技术。 河海大学硕士学位论文 第三章喝o s ss s 0f r a m e w o r k 模型改进 j b o s s 是一个用j a v a 编写、开放源代码、遵循j 2 e e 规范的应用服务器，利用面向服务 的j m x 架构提供以下功能：热部署功能：可以动态地添加或删除诸如e j b 服务，不用 重新启动服务器，使得开发新的应用更加容易：热插拔服务：j b o s s 包含一系列的基于 微内核的服务组件比如事务组件、消息队列组件、邮件服务组件、安全服务组件或连接服 务组件等，可以用打包的形式进行热部署；身份管理和身份认证：j b o s s 利用j b o s ss s o 胁啦e w o r k 组件实现身份管理和具有单点登录功能的身份认证。 j b o s s 提供的功能充分体现了它的优越性，但是j b o s ss s of r a m e w o r k 模型的设计中有 其局限性和缺陷，本章重点研究j b o s ss s of r 锄e w o r k 模型中用户身份管理和身份认证模 型及其采用的技术手段。在此基础上，针对模型不足之处进行改进，并采用b a n 逻辑证 明改进后的模型更具有安全性。 3 1j b o s ss s of r a m e w o r k 模型中的身份管理模型 3 1 1 模型和技术简介 在开放式网络环境下，一般存在多种硬件系统软件( 比如p c ，工作站，小型机等) ， 而且在这些硬件平台上又存在多种多样的系统软件，为了解决分布异构问题，j b o s s 提供 了i d e f l _ t i 锣m a n a 蓼m 钰tf r 锄e w o r k 模型【18 1 ，它采用中间件来组成三层结构的体系结构如图 3 1 所示，三层结构应用体系将业务逻辑放在应用服务层，应用服务层接收客户机的业务请 求，根据请求访问l d 印数据库，做相应处理，将处理结果返回客户机。 图3 1i d e n t i t ym a n a g e m e n tf r 硼e 们r k 模型 1 4 第三章j b o s ss s 0f r 踟e w o r k 模型改进 i d e n t i t ) ，m 觚a g e m 饥tf r 锄e 、o 呔模型采用以下技术： ( 1 ) l d a p 目录服务访问协议 l d 印目录服务访问协议1 1 9 】( l i g l t w e i g h td i r e c t o 巧a c c e s sp r o t o c o i ) 基于x 5 0 0 标准，支 持t c p d 。目录服务是一种特殊的数据库，用以存储基于属性的信息 ( 2 ) 中间件i d e n t i 勺，m a n a g e m 饥t 中间件i d e l l t i t y m 锄a g e m 朗t 实质就是m b e 锄对象中间件，它位于客户机服务器的操作 系统之上，管理用户基本信息、角色等资源。 ( 3 ) j 2 e e 的框架 j 2 e e 框架2 0 1 是一个j a v a 的分布式计算机环境，定义了最适合构建企业应用的多层应用 架构。j 2 e e 为开发和部署提供了多层应用基础设施解决方案： ( 4 ) j s p 技术 客户端采用j s p 技术实现页面浏览，j a v a s 帆rp a g e s ( j s p ) 是一种基于w e b 的脚本编 程技术，默认的脚本采用j a v a ，但也可使用其它的语言( 比如j a v a s 翻p t 和v b s c r i p t ) 。 3 1 2 模型的缺陷 i d t i t ym a j l a g e m e n tf r 锄e w o r k 模型主要功能是实现对身份的管理，但这个m b e a j l 存 在几方面的缺陷： ( 1 ) i d c n t 埘m a n a g e m e n tf r 跏e w o r k 中用户信息的描述只能使用r f c 2 7 9 8 ( 轻量级目录 协议) 定义的i n e t o 啦e r s o n ( 描述用户基本信息的对象) 模式，不能使用自定义的模式，缺乏 扩展性。 ( 2 ) l d e n t i t ym a n a g e m e n tf r a m e w o r k 组件不能实现以下功能：对用户分级管理；对 账户到期的用户成批的删除；对部门信息管理；对应用系统的相关信息( 比如项目负责 人，接口等) 管理； ( 3 ) i d e n t i t ) rm a i l a g e m e n tf r 姗e w o r k 组件利用m b e a n 来实现的，其灵活性和通用性差。 3 1 3 模型改进 针对i d e n t i t ym a l l a g e m e n tf r 锄e 、阳r k 模型中的缺陷，本文对i d e n t i t ym a l l a g e m e n t f f a m e w o d 【模型进行如下改进： ( 1 ) 根据数字化校园信息集成的需求，不仅要使用l d a p 系统默认的模式，而且还要使 河海大学硕士学位论文 用自定义的模式来描述信息，并将其集成到目录数据库中； t g s ： i d 。，p w 。 用户向受保护的应用系统s 发出请求，应用系统s 首先判断用户是否有合法的令牌 s 剐i 汀o k e n c ，如果用户没有合法的令牌s a m l ，t o k e n c ，则应用系统s 的s e r v l e t 拦截器解 析用户w e b 请求所在的域，然后由网络路由器将用户请求发给在同一个域的认证伙伴 p a m l ，并将用户帐号密码生成的s a m l 认证请求再发到认证服务器t g s 。 用户向认证服务器t g s 发出s 砧v i l 认证请求，请求以x m l 数据格式明文形式发送， s 剐l 认证请求中包括用户的有效帐号i d 。，密码p w 。 ( 2 ) t g s c ：s a m u o k e m ， 其中，s a m l l o k e 芏l c = i d 。，豁s e 朋r o k e i l ，p e r s o n s