（计算机应用技术专业论文）校园网中统一身份认证系统的设计与实现.pdf

东北大学硕士学位论文摘要 校园网中统一身份认证系统的设计与实现 摘要 本论文是结合中国刑警学院校园网项目完成的。随着中国刑警学院校园网中各种应 用系统的增加，每个系统有自己的账号管理方案，并且它们互相不信任，给各个系统的 整合带来了巨大的负担。传统的认证机制是根据用户名密码的，这种认证机制很容易 受到黑客攻击。因此随着用户登录系统的增多，出错和受到非法截获可能型就增大。 基于统一身份认证技术的发展，针对上述一系列的问题，本论文设计了中国刑警学 院统一身份认证系统，并采用了l d a p ，w e b 服务和数字证书认证技术。该系统完成了 单点登录功能：并且通过账号关联集成了老的应用系统；由于把统一身份认证以w e b 服 务的形式发布，新的应用系统在注册后就可以方便地使用统一身份认证服务；并且利用 了数字证书认证方式保证了系统的安全性。 自从2 0 0 5 年9 月份本统一身份认证系统在中国刑警学院投入运行后，在校园网内 经过严格的功能测试和压力测试，取得基本满意的运行结果。不足之处在于当过多用户 同时使用本系统时，等待时间较长，有待进一步的优化和改进。 关键词：l d a p ；s o a p ；数字证书；w e b 服务 i i 东北大学硕士学位论文 a b s t r a c t d e s i g n & i m p l e m e n t a t i o n o fu n i f i e d i d e n t i t y a u t h e n t i c a t i o ni nc a m p u sn e t w o r k a b s t r a c t t h i sp a p e ri sf i n i s h e db a s e do nt h ep r o j e c to ft h ec h i n ac r i m i n a lp o l i c eu n i v e r s i t y c a m p u sn e t w o r k w i n lt h eg r o w t ho f d i v e r s i f i e da p p l i c a t i o ns y s t e m si nc h i n ac r i m i n a lp o l i c e u n i v e r s i t yc a m p u sn e t w o r k ，e a c ha p p l i c a t i o ns y s t e mh a si t so w na c c o u n tm a n a g e m e n t s c h e m ea n dd i s t r u s t se a c ho t h e r ，t h u sb r i n g i n gg r e a tb u r d e nt ot h ei n t e g r a t i o no fd i f f e r e n t s y s t e m s t h et r a d i t i o n a la u t h e n t i c a t i o nm e c h a n i s mi sb a s e do nt h ei n p u to f u s e ri d p a s s w o r d ， w h i c hi se a s yt ob ea t t a c k e db yh a c k e r s w i t ht h ei n c r e m e n to f u s e r s l o g g i n gi nt h es y s t e m ，i t i n c r e a s e st h ep o s s i b i l i t i e so f m a l f u n c t i o na n di l l e g a li n t e r c e p t i o no c c u r r e n c e o nt h eb a s i so ft h ed e v e l o p m e n to fu n i f i e da u t h e n t i c a t i o nt e c h n o l o g ya n da i m i n ga tt h e f o r e g o i n gp r o b l e m s ，t h i sp a p e rp r e s e n t st h eu n i f i e di d e n t i t ya u t h e n t i c a t i o ns y s t e mo fc h i n a c r i m i n a lp o l i c eu n i v e r s i t y t h es y s t e ma d o p t sl d a p , w e bs e r v i c ea n dd i e i nc e r t i f i c a t e a u t h e n t i c a t i o nt e c h n o l o g y 。t h es y s t e mf i n i s h e ds i n g l es i g n - 0 nf u n c t i o na n di n t e g r a t e do l d a p p l i c a t i o ns y s t e mb yc o r r e l a t i o no fa c c o u n t s a st h eu n i f i e di d e n t i t ya u t h e n t i c a t i o ni s p u b l i s h e di nt h ef o r mo fw e bs e r v i c e ，t h en e wa p p l i c a t i o ns y s t e mc a nu s eu n i f i e di d e n t i t y a u t h e n t i c a t i o ns e r v i c ec o n v e n i e n t l ya f t e rr e g i s t r a t i o n ，a n dg u a r a n t e es e c u r i t yo ft h es y s t e mb y u s i n gd i g i t a lc e r t i f i c a t ea u t h e n t i c a t i o nm o d e s i n c es e p 2 0 0 5w h e nt h eu n i f i e di d e n t i t ya u t h e n t i c a t i o ns y s t e mw a sp u ti n t oo p e r a t i o ni n c h i n ac r i m i n a lp o l i c eu n i v e r s i t y , i th a sa c h i e v e ds a t i s f a c t o r yr e s u l t sa f t e rs e r i o u sf u n c t i o n t e s ta n dp r e s s u r et e s ti nc a m p u sn e t w o r k b u ti ta l s oh a sd e f e c t ，w h e ne x c e s s i v eu s e r sl o gi n t h es y s t e mc o n c u r r e n t l y ，t h es y s t e mw i l lr e s p o n ds l o w l y ，s oi tn e e d sf u r t h e ro p t i m i z a t i o na n d i m p r o v e m e n t k e yw o r d s ：l d a p ；s o a p ；c u g i t a lc e r t i f i c a t e ；w e bs e r v i c e i i i 独创声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的研究成果除加 以标注和致谢的地方外，不包含其他人已经发表或撰写过的研究成果，也不包括本人为 获得其他学位而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论 文中作了明确的说明并表示诚挚的谢意。 学位论文作者签名：酱毒幻中 签字日期： o 。占、t ，6 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论文的规定：即 学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人同意东北大学可以将学位论文的全部或部分内容编入有关数据库进行检索、交 流。 ( 如作者和导师同意网上交流，请在下方签名：否则视为不同意) 学位论文作者签名：导师签名： 签字日期：签字日期： 东北大学硕士学位论文第一章绪论 第一章绪论 1 。1 研究背景 随着高校信息化的发展，越来越多的高校独立开发了各种基于网络的应用系统，经 过多年的积累和改进，系统数量多，造成了用不同平台，技术以及语言开发的系统并存 的状况。每个系统都有自己的用户身份认证机制和访问控制机制，用户每次访问一个系 统，就必须输入不同的用户名和密码，很多时候用户总是会把密码给弄丢或者忘记，这 样就给用户带来诸多不便。用户有时为了方便起见，在多个应用系统中设置相同的用户 名和密码。由于不同的系统的安全级别的不同，这样一旦黑客截获并破解了一个安全级 别比较低的系统的用户名和密码后，就可以进入安全级别比较高的应用系统，这样会对 应用系统造成很大的威胁。 早期开发的应用管理系统的用户管理是直接利用数据库提供的安全机制，应用系统 中设置多个固定账号。账号可以直接连接到数据源上，可以直接对数据进行操作。每个 账号都代表一种功能权限集和数据权限集，它们的访问控制权被内置在程序代码中，这 些账号被提供给有使用权的用户。用户要使用某个应用系统时，输入用户名和口令，应 用系统根据输入的账号信息联系数据源，如果成功，方可进入应用程序进行操作。这种 权限管理方式的最大问题是不够安全，主要是多个用户可以共用一个登录名，造成工作 责任不清，出现问题很难追查；由于用户账号可以不通过应用程序直接登录数据源，直 接对数据进行操作，因此可以逃开应用程序中设置的权限控制。从而导致数据安全方面 的隐患。 由于各个系统独立认证的系统存在着一系列弊端，诸如： 消耗开发成本和延缓开发进度，因为每个应用系统都要开发一套基本安全系统，这 是对开发资源的极大浪费。 多个认证系统的出现使管理工作成本加大，并且越来越难以实施，随着用户登录系 统的增多，用户密码被截获的可能型也大大增大。 无法统一认证和授权策略，多个认证系统使安全策略必须在逐个不同的系统内进行 设置。当应用系统数量很多时，修改策略的进度可能跟不上策略的变化。 无法统一分析用户行为，日志格式不一致，使统一分析用户行为的策略无法实施。 用户信息无法统一，当一个用户的属性进行修改时，他的属性和身份信息等只在有 限的几个系统内被更新，其他系统内还是保存的原始的信息，这就造成了数据更新的不 东北大学硕士学位论文第一章绪论 i 司步。 用户数据冗余，由于每一个子系统都有自带的用户系统，所以同时可以有好多应用 系统访问权限的用户被很多系统重复存放，因此造成数据冗余，并且这将直接导致了用 户消息更新的无法同步，以及用户信息的维护困难。 应用系统无法整合，由于各个应用无法共享用户信息，并且都维护自己的身份认证 功能，各个应用无法做到信息共享，造成了应用系统无法整合的情况。 基于以上种种弊端，有必要建立一个统一身份管理和认证系统 1 2 1 ，统一身份认证的 思想就是在全校范围内用唯一的一个认证服务器来处理各个应用系统的认证和授权模 块，应用系统此时就不必直接处理用户的请求，用户的所有请求都交给认证服务器处理， 认证服务器通过用户的认证后，才会把请求转交给服务器，这样可以减轻应用系统的负 担，并且可以提高系统的安全性，所有的传输信息均使用基于公开密钥的加密机制来保 证数据的安全传输。 1 2 国内外研究现状 由于身份认证的重要性，所以近年来在技术上得到飞速发展。从一般的常用的静态 口令、动态口令和双因素身份认证，到近来在研究和开发上比较热的p k i 数字证书和生 物特征技术。但从国外的应用情况和我国的国情来看，与其他的几种技术相比较而言， 基于口令的身份认证技术使用的相对比较广泛，原因在于口令认证使用方便、管理简单、 成本低廉。而对于那些要涉及机密数据或者敏感数据的系统，就往往需要采用更高强度 的认证技术。 近年也出现一些统一身份认证的系统，其中一部分是基于l d a p 的c s 构架，利用 目录服务技术实现部分系统的统一认证。使用目录服务器来集中存储用户的个人身份信 息和权限信息，假设应用服务遵从统一的目录服务标准，可以和目录服务器交互，实现 统一认证。如图1 1 所示，其认证过程如下【5 j ： 图1 1 基于目录服务的统一认证过程 f i g 1 1p r o c e s s o f u n i f i e d i d e n t i t y a u t h e n t i c a t i o n b a s e do n d i r e c t o r y s e r v i c e ( 1 ) 用户u s e r 要使用s 1 的服务，向其传送自己的账号i d 和口令； ( 2 ) 将账号和口令发送给目录服务器d s 要求验证； 东北大学硕士学位论文笠二主壁堡 ( 3 ) 目录服务器验证用户u s e r 的账号和口令，将验证结果发给s 1 ； ( 4 ) s 1 根据验证结果决定是否响应用户u s e r 的服务请求，并将结果发给用户。 在这种方式下，应用系统可以不带自己的用户系统，所有对用户系统的管理均交给 目录服务器来处理，实现了用户的统一认证和管理。 但我们也看到，用户在登录系统时仍然要提供口令信息，并且应用系统s 1 和目录 服务器之间的信息交换是基于传统的c s 模式，这也存在着一些局限性，同时，仍需解 决以下几个问题【”】： ( 1 ) 单点登录的问题 在传统模式下，用户登录到每一个应用系统，都要输入一遍账号和口令信息，然后 交由统一身份认证系统来进行身份认证，即显得麻烦，也存在一些安全隐患。 首先，账号和口令在网络中重复传输，使得口令泄漏的风险增加。尽管可以采用一 些加密算法来避免口令在网上的直接明文传输，但仍不能保证不会被攻破。在统一认证 模式下，这种风险是可怕的，一旦泄漏，黑客分子就可以冒充该用户登录所有的应用系 统。 其次，用户和应用系统直接连接，假如应用系统是不可信的，或是该应用系统没有 足够的安全措旖来保护应用口令等信息，那么也有可能导致口令被不法分子窃取。 因此，统一认证系统还应实现单点登录功能。所谓“单点登录”，简单的说就是通 过用户的一次性鉴别登录，即可获得须访问应用系统的授权，在此情况下，管理员无需 修改或干涉用户就可以方便的实现安全控制。 单点登录的机制是“单点登录，全网漫游”，用户访问系统做一次身份认证，随后 就可以对所有被授权的网络资源进行无缝访问，而不需要多次输入认证信息。单点登录， 减少了在不同系统中登录所耗费的时间；避免了处理和保存多套系统用户的认证信息； 增加了管理的便利性，可以通过直接禁止和删除用户来取消该用户对所有应用系统的资 源的访问权限；大大提高了系统的安全性。 ( 2 ) 与现有应用系统的整合 由于采用了统一的身份认证模式，各个应用系统不需要使用自己的安全认证系统， 统一身份认证系统作为网络安全防护的第一道屏障，其他应用系统都需要从它那里得到 用户的认证和授权信息，以便实施对该用户的安全策略，或是统计分析该用户对网络资 源的使用情况。比如，网络安全系统可能需要知道用户登录的资料，以便在出现安全问 题时能很快的找到导致安全问题的用户，从根本上杜绝大安全隐患。 东北大学硕士学位论文第一章绪论 因此，如何实现统一身份认证系统与其他系统之间的无缝整合，使双方能方便的交 换信息是另一个需要解决的问题。另外，为防止对应用系统做大量的改动，应将统一身 份认证系统封装为一个服务，其他应用系统只需按照一定规范调用这个服务就行了。 ( 3 ) 对新的应用系统的集成能力 当一个新的应用系统被建立后，它希望利用现有的统一身份认证系统对所属用户群 进行身份鉴别和授权。在现有模式下，它可能需要和这个认证系统的管理方进行协商， 建议管理人员对目录数据库作出相应的改变以集成该应用系统，但这样做往往费时费 力。 一个比较好的做法是，统一身份认证系统提供一个应用系统集成的接口，新的应用 系统只要提供特定用户群的信息和用户授权策略，认证系统就可以对目录数据库作出相 应的改动以支持新的应用系统 2 0 1 。 ( 4 ) 系统间的耦合度的问题 由于现有的大多数认证系统采用c s 结构的认证模式，这样带来的一个问题是，一 旦服务器端的系统结构发生了变化，客户端必须重新调整自己的系统以适应这种变化。 如果调用该服务的应用系统数量比较多的话，那么服务器端的改变所带来的代价是巨大 的和不可接受的。 因此，应尽可能地降低统一身份认证系统和其他应用系统间的耦合度，实现松散耦 合，保证服务端的修改不会影响到其他应用系统对该服务的调用。 目前，为解决上述问题，微软和自由联盟( l i b e r t ya l l i a n c e ) e 在致力于基于w e b 方 式的统一身份认证服务的研究，如微软的n e tp a s s p o r t 和s u n 的i d e n t i t ys e r v e r 。n e t p a s s p o r t 是微软倡导的n e t 框架的核心组件之一，是一组联机验证服务的集合。其目 的是让用户使用网络和在线购物等电子商务活动更加简单和快速2 9 1 。n e tp a s s p o r t 是一 套基于w e b 的服务，它们的设计目标是简化对安全数据的访问和传输。它把用户的个 人注册信息全部存储在微软的服务器上。所有的p a s s p o r t 验证都是通过微软自己的服务 器来完成。自由联盟是用户认证技术的标准化团体，致力于身份鉴定技术【5 1 。l i b e r t y 反 映出两个或多个企业形成一个信任关系。这种信任可通过企业安排和合同来缔结。微软 和自由联盟主要是为i n t e m e t 大环境中进行的商务活动和个人在网上冲浪而设计的。对 于校园网这种小环境不适用。一方面，校园网中很多应用系统不是面向大众的，比如人 事工资系统，档案管理系统，所以这些专用系统不能加入l i b e r t y 和p a s s p o r t 中，另一 方面，有很多应用系统都是非w e b 方式的应用，如果使用现有的统一认证服务来集成， 4 东北大学硕士学位论文第一章绪论 其移植成本和整合难度非常高。 1 3 本文的主要工作 本论文的研究足基于中国刑警学院校园网的统一身份认证系统的设计与实现。这个 统身份认证系统利用单点登录技术来解决备个应用系统集成中碰到的问题。实现一个 方便用户和管理员的统一身份认证系统，并达到以下要求： ( 1 ) 支持w e bs e r v i c e s 框架，使得各个应用系统可以方便地使用统一身份认证系统； ( 2 ) 方便使用，尽量少对现有系统进行改动，利用现有系统的用户设置和权限设 置： ( 3 ) 良好的可扩展性和可集成性，使得当新的系统加入时，可以方便的调用w e b 服务来使用统一身份认证系统，而不用自带用户和权限系统，这样就可以减少开发的工 作量。便于维护用户系统； ( 4 ) 统一认证服务必须实现用户注册和用户认证以及应用系统注册和认证功能， 并且迩需要实现单点登录功能； ( 5 ) 保证统一身份认证系统的安全性，利用p k i 技术来验证用户的身份。 基于以上这些需求的深入了解，本文提出了一个集中w e bs e r v i c e s ，l d a p 和p k i 等技术为一身的统一认证框架，保证了系统的安全性，可扩展性，可管理性。 1 4 论文结构 本文以中国刑警学院校园删建设工程为背景，结合了统一身份认证的当前各种成熟 技术，建立了统一身份认证系统，集成了校园网内各个系统的身份认证。 论文共分为6 章，第一章为绪论部分，介绍了现有的统一身份认汪的现状以及论文 所作的工作；第二章简要介绍了本统一身份认证系统所用的主要技术；第三章在第一章 的基础上根据项目要求提出统一身份认证系统的硬件架构和软件架构。第四章具体给出 了统一身份认证系统的详细设计，包括系统用例流程和目录服务结构和基于数字证书认 证的过程；第五章给出了统一身份认证的应用实例和测试效果：第六章在对已经实现的 统一身份认证系统的各种功能进行了分析和总结。 统一身份认证系统的各种功能进行了分析和总结。 东北大学硕士学位论文第二章统一身份认证技术 第二章统一身份认证技术 2 1 统一身份认证的几种模式 2 1 1 身份认证组件模式 统一身份认证服务的一个基本应用模式是以应用系统的身份认证组件的形式工作， 在这个应用模式下，主导地位的是应用系统【3 l 】。在这种情况下，应用系统自身没有用户 系统，因此本模式下涉及的帐号一定是统一身份认证服务的用户帐号。这种身份认证模 式的流程描述如图2 1 ( 仅描述正常流程) ： ( 1 ) 用户使用在统一认证服务注册的用户名和密码( 也可能是其他授权信息，比 如数字签名等) 登录应用系统a ； ( 2 ) 应用系统a ，将用户名和密码连同自己的标识( 应用系统a 的标识) 一起转发 给统一认证服务，要求统一认证服务完成登录操作： ( 3 ) 统一认证服务核查自己的应用系统注册库看看应用系统a 是否已经是统一认 证服务的用户系统。同时在用户注册库中核查由应用系统a 转发过来的用户名和密码； ( 4 ) 待核查完毕后，统一认证服务响应应用系统a ，登录完成； ( 5 ) 应用系统a 创建一个系统会话( s e s s i o n ，系统a 自己的机制) ，并将应用系统 a 自己的权限令牌返回给用户，以后用户端可以通过这个权限令牌持续访问应用系统a ， 直至登出系统或是会话超时。 回囤圈回 靶n 目删i g n “f v d 脚 a u 日1 e f t i c 咖d 一一 t o k e n 一一一 _ 一一一 a c c e 图2 1 身份认证组件模式流程 f i g 2 1i d e n t i t ya u t h e n t i c a t i o nm o d e 2 1 2 统一认证模式 统一认证模式是以统一身份认证服务为核心的服务使用模式3 1 1 。用户登录统一身份 认证服务后，即可使用所有支持统一身份认证服务的应用系统。它的流程描述如图2 2 东北大学硕士学位论文 第二章统一身份认证技术 ( 仅描述正常流程) ： 臣习匡固囤 a o $ s 1 0 h ，群融a e e 8 t o k e n ； 图2 2 统一认证模式流程 f i g 2 2u n i t i v ea u t h e n t i f i c a t i o nm o d e ( 1 ) 用户使用在统一认证服务注册的用户名和密码( 也可能是其他的授权信息，比 如数字签名等) 登录统一认证服务； ( 2 ) 统一认证服务创建了一个会话，同时将与该会话关联的访问认证令牌返回给 用户； ( 3 ) 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统； ( 4 ) 该应用系统将访问认证令牌传入统一身份认证服务，认证访问认证令牌的有 效性； ( 5 ) 统一身份认证服务确认认证令牌的有效性； ( 6 ) 应用系统接收访问，并返回访问结果，如果需要提高访问效率的话，应用系 统可选择返回其自身的认证令牌已使得用户之后可以使用这个私有令牌持续访问。 此外，关于访问认证令牌的失效，有两个策略，一个是由用户主动发起声明，声明 其拥有的访问认证令牌不再有效，这类似注销的操作，另一个是用户一段时间内没有使 用这个认证令牌，认证令牌自动失效，这类似超时的处理。 2 1 3 信任代理模式 在i n t e m e t 应用环境下，安全性和信任的重要性是显而易见的，对于商用系统而言， 避免非法访问和入侵是他所需要考虑的几个重要问题之一，没有比商用数据丢失或是商 用系统被违规使用更糟糕的了。 在信任代理模式下，一个组织可以为他所有需要提供安全信任保障的应用系统设置 一个统一身份认证服务，对这些应用系统的访问全部由统一身份认证服务代理1 3 ”。它的 流程描述如图2 3 所示( 仅描述正常流程) ： 一1一 东北大学硕士学位论文第二章统一身份认证技术 国国匝固圈 iil a c c d 醛t o b n l 脚怕j 磷h y 、 f o w 懵f d 日c c 日s r # 日n 。 _ 一 图2 3 信任代理模式流程 f 蟾2 3b e l i e v ei na g e n tm o d e ( 1 ) 用户使用在统一认证服务注册的用户名和密码( 也可能是其他的授权信息，比 如数字签名等1 登录统一认证服务； ( 2 ) 统认证服务创建了一个会话，同时将与该会话关联的访问认证令牌返回给 用户； ( 3 ) 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统，不 过用户并不将请求消息直接交给应用系统，而是传给统一身份认证服务，在消息中标识 了最终的应用系统的i d ； ( 4 ) 统一认证服务访问应用系统注册库( u d d ir e g i s t r y ) ，获取了应用系统的访问 入口( 统一认证服务可以将这个访问入口缓存在本地，以减少以后与应用系统注册库的 交互次数) 。并确认这个应用系统的确是支持统一身份认证服务的； ( 5 ) 统一认证服务将请求消息转发给指定的应用系统，如果该应用系统使用自己 的用户系统的话，那么该消息应当包含了预先定义好的相关联的用户名和密码等； ( 6 ) 应用系统将请求结果返回给统一认证服务，最后统一认证服务将响应消息返 回给用户，完成调用。 2 2 认证系统实现机制 网络认证技术是网络安全技术的重要组成部分之一。认证是指证实被认证对象是否 属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被 认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者象指纹、 声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份，以保证通信的 安全。认证可采用各种方法进行。 东北大学硕士学位论文 第二章统一身份认证技术 2 2 1 基于口令的传统认证 传统的认证技术主要采用基于口令的认证方法。当被认证对象要求访问提供服务的 系统时，提供服务的认证方要求被认证对象提交该对象的口令，认证方在收到口令后， 将其与系统中存储的用户口令进行比较，以确认被认证对象是不是合法访问者。 这种认证方法的优点在于：一般的系统( 如u n i x ，w i n d o w sn t ，n e t w a r e 等) 都 提供了对口令认证的支持，对于封闭的小型系统来说不失为一种简单可行的方法。 然而，基于i z i 令的认证方法存在下面几点不足【1 7 】： ( 1 ) 用户每次访问系统时都要以明文方式输入口令，这时很容易泄密( 如被“肩 部冲浪者”即窥视者看见) ； ( 2 ) 口令在传输过程中可能被截获； ( 3 ) 系统中所有用户的口令以文件形式存储在认证方，攻击者可以利用系统中存 在的漏洞获取系统的口令文件； ( 4 ) 用户在访问多个不同安全级别的系统时，都要求用户提供口令，用户为了记 忆的方便，往往采用相同的口令。而低安全级别系统的口令更容易被攻击者获得，从而 用来对高安全级别系统进行攻击； ( 5 ) 只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。攻 击者可能伪装成系统骗取用户的口令。 对于第( 2 ) 点，系统可以对口令进行加密传输。对于第( 3 ) 点，系统可以对口令 文件进行不可逆加密。尽管如此，攻击者还是可以利用一些工具很容易地将口令和口令 文件解密。 2 2 2k e r b e r o s 认证 k e r b e r o s 是由美国麻省理工学院提出的基于可信赖的第三方的认证系统。k e r b e r o s 提供了一种在开放式网络环境下进行身份认证的方法，它使网络上的用户可以相互证明 自己的身份。 k e r b e r o s 采用对称密钥体制对信息进行加密。其基本思想是：能正确对信息进行解 密的用户就是合法用户口8 1 。用户在对应用服务器进行访问之前，必须先从第三方 ( k e r b e r o s 服务器) 获取该应用服务器的访问许可证( t i c k e t ) 。 k e r b e r o s 密钥分配中心k d c ( 即k e r b e r o s 服务器) 由认证服务器a s 和许可证颁发 服务器t g s 构成。 9 东北大学项士学位论文 第二章统一身份认证技术 k e r b e r o s 的认证过程如图2 4 所示1 2 引。 图2 4k e r b e r o s 认证过程 f 远2 4k e r b e r o sa u t h e n f i f i c a f i o np r o c e d u r e ( 1 ) 用户想要获取访问某一应用服务器的许可证时，先以明文方式向认证服务器 a s 发出请求，要求获得访问t g s 的许可证； ( 2 ) a s 以证书( c r e d e n t i a l ) 作为响应，证书包括访问t g s 的许可证和用户与t g s 间的会话密钥。会话密钥以用户的密钥加密后传输； ( 3 ) 用户解密得到t g s 的响应，然后利用t g s 的许可证向t g s 申请应用服务器 的许可证，该申请包括t g s 的许可证和一个带有时间戳的认证符( a u t h e n t i c a t o r ) 。认证 符以用户与t g s 间的会话密钥加密； ( 4 ) t g s 从许可证中取出会话密钥、解密认证符，验证认证符中时间戳的有效性， 从而确定用户的请求是否合法。t g s 确认用户的合法性后，生成所要求的应用服务器的 许可证，许可证中含有新产生的用户与应用服务器之间的会话密钥。t g s 将应用服务器 的许可证和会话密钥传回到用户； ( 5 ) 用户向应用服务器提交应用服务器的许可证和用户新产生的带时间戳的认证 符( 认证符以用户与应用服务器之间的会话密钥加密) ； ( 6 ) 应用服务器从许可证中取出会话密钥、解密认证符，取出时间戳并检验有效 性。然后向用户返回一个带时间戳的认证符，该认证符以用户与应用服务器之间的会话 密钥进行加密。据此，用户可以验证应用服务器的合法性。 至此，双方完成了身份认证，并且拥有了会话密钥。其后进行的数据传递将以此会 话密钥进行加密。 k e r b e r o s 将认证从不安全的工作站移到了集中的认证服务器上，为开放网络中的两 个主体提供身份认证，并通过会话密钥对通信进行加密。对于大型的系统可以采用层次 化的区域( r e a l m ) 进行管理。 1 0 东北大学硕士学位论文第二章统一身份认证技术 k e r b e r o s 也存在一些问题：k e r b e m s 服务器的损坏将使得整个安全系统无法工作； a s 在传输用户与t g s 问的会话密钥时是以用户密钥加密的，而用户密钥是由用户口令 生成的，因此可能受到口令猜测的攻击；k e r b e r o s 使用了时间戳，因此存在时间同步问 题；要将k e r b e r o s 用于某一应用系统，则该系统的客户端和服务器端软件都要作一定的 修改。 2 2 3x 5 0 9 证书及认证框架 国际电信联盟的x 5 0 9 建议( 已成为事实上的标准) 定义了一种提供认证服务的框 架 6 1 。 采用基于x 5 0 9 证书的认证技术类似于k e r b e r o s 技术，它也依赖于共同信赖的第三 方来实现认证。所不同的是它采用非对称密码体制( 公钥制) ，实现上更加简单明了。 这里可信赖的第三方是指称为c a ( c e r t i f i c a t ea u t h o r i t y ) 的认证机构。该认证机构负责 认证用户的身份并向用户签发数字证书。数字证书遵循x 5 0 9 标准所规定的格式，因此 称为x 5 0 9 证书。持有此证书的用户就可以凭此证书访问那些信任c a 的服务器。 当用户向某一服务器提出访问请求时，服务器要求用户提交数字证书。收到用户的 证书后，服务器利用c a 的公开密钥对c a 的签名进行解密，获得信息的散列码。然后 服务器用与c a 相同的散列算法对证书的信息部分进行处理，得到一个散列码，将此散 列码与对签名解密所得到的散列码进行比较，若相等则表明此证书确实是c a 签发的， 而且是完整的未被篡改的证书。这样，用户便通过了身份认证。服务器从证书的信息部 分取出用户的公钥，以后向用户传送数据时，便以此公钥加密，对该信息只有用户可以 进行解密。 由于这种认证技术中采用了非对称密码体制，c a 和用户的私钥都不会在网络上传 输，避免了基于口令的认证中传输口令所带来的问题。攻击者即使截获了用户的证书， 但由于无法获得用户的私钥，也就无法解读服务器传给用户的信息。 基于x 5 0 9 证书的认证实际上是将人与人之间的信任转化为个人对组织机构的信 任，因此这种认证系统需要有c a 的支持。目前互联网上已有一些这样的认证机构，如 v e r i s i g n 、u s p o s t a ls e r v i c e 和c o m m e r c e n e t 等。 c a 在确信用户的身份后才为用户签发证书，而c a 对用户身份的确认则遵循c a 自己定义的称为c p s 的规则，c a 通过这些规则来判定用户是否存在和有效。证书将用 户的唯一名称与用户的公钥关联起来。但这种关联是否合法，却不属于x 5 0 9 所涉及的 范畴。x 5 0 9 声明：凡是与语义或信任相关的所有问题都依赖于c a 的证书常规声明c p s 1 1 东北大学硕士学位论文g _ - 章统一身份认证技术 ( c e r t i f i c a t i o np r a c t i c es m t e m e m ) ，即关联的合法性取决于c a 自己定义的c p s 规则。 显然，这种做法会导致各个c a 对用户的确认方法和确认的严格程度上的差异。因此， 建立全球性的统一的认证体系以及相关的规范就显得非常必要。 基于x 5 0 9 证书和c a 的认证系统将可能是未来认证系统发展的主要方向。 2 2 4 基于挑战应答的认证机制 顾名思义，基于挑战应答( c h a l l e n g e r e s p o n s e ) 方式的身份认证机制就是每次认 证时认证服务器端都给客户端发送一个不同的”挑战”字串，客户端程序收到这个”挑战” 字串后，做出相应的”应答“”4 1 。 一个典型的认证过程如图2 5 所示： 图2 5 挑战，应答认证机制 f i g 2 5c h a pa u t h e n t i c a t i o np r o c e s s 认证过程为： ( 1 ) 客户向认证服务器发出请求，要求进行身份认证； ( 2 ) 认证服务器及用户数据库中查询用户是否是合法的用户，若不是，则不做进 一步处理： ( 3 ) 认证服务器内部产生一个随机数，作为”提问”，发送给客户； ( 4 ) 客户将用户名字和随机数合并，使用单向h a s h 函数( 饲如m d 5 算法) 生成 一个字节串作为应答； ( 5 ) 认证服务器将应答串与自己的计算结果比较，若二者相同，则通过一次认证； 否则，认证失败； ( 6 ) 认证服务器通知客户认证成功或失败。 以后的认证由客户不定时地发起，过程中没有了客户认证请求步。两次认证的时 间间隔不能太短，否则就给网络、客户和认证服务器带来太大的开销；也不能太长，否 则不能保证用户不被他人盗用口地址，一般定为l 乞分钟。 密钥的分配和管理： 密钥的分配由维护模块负责，当用户进行注册时，自行设定自己的口令字。用户的 东北大学硕士学位论文第二章统一身份认证技术 密钥由口令字生成。 一个口令字必须经过两次口令字检查。第一次由注册程序检查，强制口令字必须有 足够的长度( 如8 个字符) 。口令字被加密后送入数据库中，这个口令字标记为未检查 的。第二次，由离线的口令字检查工具进行检查，将弱口令字进行标记，当下一次用 户认证时，认证服务器将强制用户修改口令字。 密钥的在线修改由认证服务器完成，它的过程与认证过程基本类似。 2 3 相关技术简介 2 3 1 目录服务简介 l d a p ( l i g h t w e i g h t d i r e c t o r y a c c e s s p r o t o c 0 1 ) 轻型目录访问协议是目录访问协议的 一种。由美国密歇根大学所发明，它是基于x 5 0 0 标准的协议，但是比x 5 0 0 又简单多 了，并且它是可以根据需要定制的一种目录协议。与x 5 0 0 不同的是，l d a p 支持t c p i p ， 这对访问i n t e m e t 是必须的。现在l d a p 的发展也是激动人心的，在企业范围内实现 l d a p 可以让运行在几乎所有计算机平台上的所有应用程序从l d a p 目录中获取信息， l d a p 目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、 公用密钥、联系人列表等等。通过把l d a p 目录作为系统集成中的一个重要环节，可以 简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。l d a p 协议是跨平台和标准的协议，因此应用程序就不用为l d a p 目录放在什么样的服务器上 而操心了。总的来说，l d a p 有以下几个特点【1 】： ( 1 ) 结构化的信息框架( 面向对象的信息存储方法) ，采用树型层次式的结构表示： ( 2 ) 在系统中的单点集中( 不指物理位置) 管理资源，可实现单一登录点； ( 3 ) 读多于写； ( 4 ) 标准的访问协议l d a p ； ( 5 ) 强大的搜索功能，允许用户组织复杂的查询要求； ( 6 ) 动态添加和修改信息； ( 7 ) 自动更新和维护存储的信息； ( 8 ) 方便的备份和回复功能； ( 9 ) 安全访问和信息传输的安全。 l d a p 对于这样存储这样的信息最为有用，也就是数据需要从不同的地点读取，但 是不需要经常更新。例如，以下这些信息存储在l d a p 目录中是十分有效的： 东北大学硕士学位论文第二章统一身份认证技术 ( 1 ) 公司员工的电话号码簿和组织结构图； ( 2 ) 客户的联系信息； ( 3 ) 计算机管理需要的信息，包括n i s 映射、e m a i l 假名，等等； ( 4 ) 软件包的配置信息； ( 5 ) 公用证书和安全秘匙。 l d a p 定义了四种模型：信息模型、命名模型、功能模型、安全模型。下面分别介 绍一下这四个模型。 2 3 1 l d a p 信息模型 目录信息树( d i r e c t o r yi n f o r m a t i o nt r e e ，简称d i t ) 及其相关概念构成了l d a p 协 议的信息模型1 2 。目录信息树是以层次化的树型结构来组织的。d i t 类似文件系统的树 模型，由根节点和子树构成。 图2 6 目录信息树的结构 f i g 2 6s t r u c t u r eo f d i r e c t o r yi n f o r m a t i o nt r e e 在图2 6 中，“d c = e x a m p l e ，d c = c o m ”是根节点，其他子树表示组织间的层次关系。 其中，d c 表示这个企业的域名，o n 表示单位组织( o r g a n i z a t i o n a l ) 或者是组( g r o u p ) ，u i d 表示一个用户对象的i d ，c n 表示目录服务器中对象的通常名称( c o m m o nn a m e ) 。 树中的任意一个节点成为条目( e i 奶，) ，用来存储数据。对应于现实世界中的对象。 条目由描述一组对象的一组属性( a t t r i b u t e ) 组成，每个属性有一个属性类型和若干个值。 属性类型用名称或者点分十进制构成的对象标识符( o i d ) 来识别。每个条目都包含一个 对象类( o b j e c t c l a s s ) 类型的属性，用来确定该条目应该包含哪些属性。大多数属性的取 值对于服务器并无意义，而由客户去解释和使用，但某些属性( o p e r a t i o n a la t t r i b u t e ) 被 目录服务器用来管理目录系统，它们往往由服务器自动产生和修改而无需用户参与。属 性的定义包含了属性取值应遵守的文法和对属性查询时应用的匹配规则 ( m a t c h i n g , r o l e ) 。 使用l d i f ( l d a pd a t ai n t e r c h a n g ef o r m a t l d a p ，数据交换格式) 文件，代表在l d a p 1 4 东北大学硕士学位论文第二章统一身份认证技术 目录服务器间导入导出目录信息，或描述应用于目录的一系列改变。l d i f 格式用于传 送目录信息，或描述一组对目录条目的修改，l d i f 文件包括被行分隔符分割的一系列 记录。一条记录包括一系列的描述目录条目的行为或一系列描述一组目录条目变化的 行。一个l d i f 文件指定一组目录条目，或一组应用于目录条目的修改，但两者不能兼 顾。 在l d a p 中把对象类、属性类型、语法、匹配规则、目录信息树的内容规则和目录 信息树的结构规则以及命名形式通称为模式( s c h e m a ) ，在l d a p 中有许多系统对象类、 属性类型、语法和匹配规则，这些系统模式在l d a p 标准中进行了规定，不同的应用领 域也定义了自己的模式，同时用户在应用时，也可以根据需要自定义模式。目录中包含 一种条目s u b s c h e m a ( 又称s