（国际贸易学专业论文）基于XML统一身份认证技术研究.pdf

摘要 随着n 技术和网络技术的蓬勃发展，各种基于网络的应用系统已在当前 的商业环境中大量存在。因商业应用业务需要，用户每天可能需要登录到许多 不同的应用系统。为保证安全性，通常各系统均要求对用户进行身份验证。但 由于各应用系统的自治性，用户在访问不同的应用时，往往要进行频繁的登录 操作。如何提供一个能简化用户登录过程并保证整个商业应用环境安全的解决 方案，是当今认证系统面临的新挑战。 传统的统一身份认证技术如k e r b e r o s 和p k i 已经在一定的范围内得到了应 用。但是这些技术一方面要求对己有应用系统做出大量的更改，另一方面认证 系统本身比较复杂，这些在一定程度上阻碍了它们的普遍应用。而近年来出现 的具备完好封装性的、松散耦合的网络服务技术为统一身份认证技术的实现提 供了新思路。 本文提出了一个基于x m l 安全协议的统一身份认证实现框架，并给出该 框架的部分实现。该框架是建立在公钥基础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 之上，一方面使用x m l 密钥管理规范( x m lk e ym a n a g e m e n ts p e c i f i c a t i o n ， x k m s ) 实现对证书和密钥的有效验证，使得安全性基础设施易于管理；另一方 面使用安全性断言标记语言f s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ，s a m e ) 使得信 任可以移植，为在相互协作的各个不同实体之间传输认证声明提供一种机制， 从而实现单点登录功能。另外，利用x m l 和s o a p 完成异构数据库之间的数 据交换，实现了用户信息的集中管理。系统的各个层次相对独立，保证了系统 的松散耦合。同时，系统易于集成，新的应用系统可以不带自己用户系统，依 靠统一认证系统实现对用户的认证和授权，降低了开发难度。随着统一身份认 证系统的逐步完善，将在信息安全体系中发挥重要的作用，使网络管理更加简 单有效。 关键词：可扩展标记语言，x m l 密钥管理规范，安全性断言标记语言，公钥基 础设施 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , m a n yk i n d so fn e t w o r k b a s e d a p p l i c a t i o nc a nb cf o u n di nc u r r e n tb u s i n e s sw o r k s f o rr u n n i n gb u s i n e s sp r o p e r l y , u s e r sh a v et ol o g i nd i f f e r e n ta p p l i c a t i o n s c o n s i d e r a t et h es e c u r i t ya s p e c t ，t h e a u t h e n t i c a t i o no f u s e r si sar e q u i r e dp a r to fe a c ha p p l i c a t i o n ，d u et ot h ei n d e p e n d e n t a t t r i b u t eo fe a c ha p p l i c a t i o n ，u s e r sh a v et ol o g o na n dl o g o f ff o rv i s i t i n go t h e r a p p l i c a t i o n s i ti s ac h a l l e n g ef o rn o w a d a y sa u t h e n t i c a t i o ns y s t e mt op r o v i d ea s o l u t i o nt os i m p l i f yt h ep r o c e s s i n go fu s e r sl o g i n sa n dk e e ps e c u r i t yo fe a c h a p p l i c a t i o n t r a d i t i o n a lu n i v e r s a la u t h e n t i c a t i o ns y s t e m s ，s u c ha sk e r b e r o sa n dp k i ，h a v e b e e ni m p l e m e n t e di ns o m es i t u a t i o n b u t ，t h et o om u c hm o d i f i c a t i o nf o rt h ec u r r e n t a p p l i c a t i o n sa n dr e l a t i v e l yc o m p l i c a t e dt e c h n o l o g ys t o pt h e s ea u t h e n t i c a t i o ns y s t e m s u s i n gw i d e l y w e bs e r v i c ea s t h en e wt e c h n o l o g yn o w a d a y s ，w h i c hi sl o o s e l y c o u p l e d ，i n d e p e n d e n tf r o mp l a t f o r ma n dp r o g r a m m i n gl a n g u a g ea n dc a p a b l eo f i n t e r o p e r a b i l i t y , g i v ean e wi d e af o rt h ec u r r e n ta u t h e n t i c a t i o ns y s t e m t h i sp a p e rp r o p o s e sar e a l i z e du n i f i e da u t h e n t i c a t i o nl a m e so nt h eb a s i so f x m ls e c u r i t yp r o t o c o l ，w h i c hu t i l i z e st e c h n o l o g yo ft h ec a t a l o g u et or e a l i z et h e u n i f i e dm a n a g e m e n tt ot h en e t w o r ku s e ra n dn e t w o r ka p p l i c a t i o n t h ef r a m e w o r ki s b a s i so nt h ep l d ，a n du s e st h ex m lk e ym a n a g e m e n ts p e c i f i c a t i o n ( x k m s ) w h i c h a l l o w sf o re a s ym a n a g e m e n to ft h es e c u r i t yi n f r a s t r u c t u r e ，w h i l et h es e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ( s a m l ) m a k e st r u s tp o r t a n e s a m lp r o v i d e sa m e c h a n i s mf o rt r a n s f e r r i n ga s s e r t i o n sa b o u ta u t h e n t i c a t i o no fe n t i t i e sb e t w e e n v a r i o u sc o o p e r a t i n ge n t i t i e sw i t h o u tf o r c i n gt h e mt ol o s eo w n e r s h i po ft h e i n f o r m a t i o n t h ed e s i g n e ds y s t e mc o m p l e t e sd a t ae x c h a n g eb e t w e e nd i f f e r e n c e c o n s t r u c td a t a b a s e sw i t hx m la n ds o a pt e c h n o l o g i e s ，a n dr e a l i z e st h ec e n t r a l i z e d m a n a g e m e n to fu s e r si n f o r m a t i o n e a c ht i eo ft h es y s t e mi sr e l a t i v e l yi n d e p e n d e n t ， w h i c hg u a r a n t e e st h el o o s ec o u p l i n go ft h es y s t e m ，i na d d i t i o n a l ，t h es y s t e mc a nb e i n t e g r a t e de a s i l y s o ，n e wa p p l i c a t i o ns y s t e mn e e dn o tr e l yo ni t so w n a u t h e n t i c a t i o n s y s t e mb u tu n i f i e da u t h e n t i c a t i o nt oc o m p l e t et h ea u t h e n t i c a t i o na n d a u t h o r i z a t i o no f u s e r s ，a n dr e d u c e st h ed e g r e eo fd i f f i c u l t yo fs y s t e md e v e l o p i n g w i t ht h eu n i f y i d e n t i t ya u t h e n t i c a t i o ns y s t e mb e i n gg r a d u a la n dp e r f e c t ，i tw i l lp l a ya ni m p o r t a n t r o l e a m o n g t h ei n f o r m a t i o ns a f e s y s t e m o fc a m p u s n e t w o r k ，a n dn e t w o r k m a n a g e m e n tw i l lb es i m p l e ra n de f f e c t i v e k e y w o r d s ：x m lx k m s ，s a m lp k i i i i 缩略语表 a p 岫p l i c a t i o np r o g r a m m i n gi n t e r f a c e ，应用编程接口 a s - - - a u t h e n t i c a t i o ns e r v i c e ，认证服务 a s n 1 _ a b s t r a c ts y n t a xn o t a t i o no n e ，抽象语法符号 c a - - c e r t i f i c a t i o n a u t h o r i t y ，认证权威 c r l - - - c e r t i f i c a t i o nr e v o c a t i o nl i s t ，证书撤销列表 d e s - - d a t ae n c r y p t i o ns t a n d a r d , 数据加密标准 d r r d i r e c t o r yi n f o r m a t i o nt r e e ，目录信息树 h t t p - - h y p e r t e x tt r a n s p o r tp r o t o c o l ，超文本传输协议 i t s i n t e r s i t et r a n s f e rs e r v i c e ，站点间转移服务 l i ) a p 一_ i j g h t w e i 曲t d i r e c t o r y a c c e s sp r o t o c o l ，轻型目录访问协议 l d i f - - l d a pd a t ai n c h a n g ef o r m a t ，l d a p 数据交换格式 m d 5 - - m e s s a g ed i g e s t5 ，消息摘要算法 p k i - - p u b t i ck e yi n f r a s t m c t u r e ，公钥基础设施 r a r e g i s t r a t i o na u t h o r i t y ，注册机构 s a m l - - - s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ，安全声明标记语言 s h a - - s e c u r eh a s ha l g o r i t h m ，安全哈希算法 s o a p - - _ s i m p l eo b j e c t a c c e s sp r o t o c o l ，简单对象访问协议 s s l - - s e c u r es o c k e tl a y e r ，安全套接层 s s o - - - s i n g l es i g n o n ，单点登录 t g s - - t i c k e tg r a n t i n gs e r v i c e ，会话授权服务 w s d l - - w e bs e r v i c e sd e s c r i p t i o nl a n g u a g e ，w e b 服务定义语言 x 一s s _ x m lk e yi n f o r m a t i o ns e r v i c es p e c i f i c a t i o n ，x m l 密钥信息服务规范 x k m s - - x m l k e ym a n a g e m e n ts p e c i f i c a t i o n ，x m l 密钥管理规范 x m l , - - e x t e n s i b l em a r k u pl a n g u a g e ，可扩展的标记语言 此页若属实请申请人及导师签名。 独创性声明 本人声明，所星交的论文是我个人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢 的地方夕 ，论文中不包含其他人已经发表或撰写过的研究成果， 也不包含为获梅武汉理工大学或其它教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示了谢意。 研究生签名；盔鱼亟日期盘! ：竺 关于论文使用授权的说明 本人完全了解武汉理工大学有关保留、使用学位论文的规定， 即：学校有权保留送交论文的复印件，允许论文被查阅和借阅； 学校可以公布论文的全部内容，可以采用影印、缩印或其他复制 手段保存论文。 ( 保密的论文在解密后应遵守此规定) 研究生签 注：请将 武汉理工大学硕士学位论文 1 1 课题研究背景 第1 章绪论 近年来，随着信息技术和网络技术的飞速发展，各种应用服务的不断普及， 用户每天需要登录到许多不同的信息系统，如网络、邮件、数据库、各种应用服 务器等。而且企业应业务需要，逐渐实旖和部署多种企业应用。面对分布式系统 的系统安全和用户身份认证问题普遍采用的是分散登录、分散管理。各子系统 之间由于缺乏良好的通用性，频繁的身份注册和潜在的各种隐患成为突出问题。 在众多需要登录的管理系统中，我们最通常的方法是，注册通用的用户名和口令。 然而，由于不同系统的安全机制强弱不同，一旦用户在某个系统中的注册信息丢 失，则意味着其它系统的安全机制丧失。若不同系统存在不同的身份注册，则又 要记住太多的信息。这些情况往往让系统的管理和使用者大伤脑筋。因此，信息 系统急需有一个统一的、具有较高安全控制的身份验证系统，以保证数据安全和 用户操作的方便。由此看来，开发出具有统一身份认证的功能服务，是解决应用 集成中用户频繁认证问题的最佳方案。 所谓统一身份认证就是用户基于最初访问的一次身份验证，对所有被授权的 资源进行无缝访问。从而提高用户的工作效率，降低管理费用，并提高网络的安 全性。统一身份认证功能主要包括：用户身份认证和单点登录。身份认证主要指 鉴别用户的身份信息，证明他是谁的问题。单点登录( s i n g l es i g n 一0 n ) 则是指，当 用户提交身份信息通过一个应用系统的认证后，他就可以访问所有的授权的网络 资源，而不需要再输入身份信息进行认证。单点登录的机制就是用户作一次身份 认证，然后将这次认证映射到所有被授权的网络资源进行无缝的访问，而不需要 多次输入自己的认证信息。单点登录机制如图1 - 1 所示。 图1 - 1 单点登录机制 武汉理工大学硕十学位论文 建立了统一的身份认证系统，可以方便的实现对用户的统一管理。用户若要 访问各个信息系统，必须先到统一身份认证系统认证身份，然后才可以访问信息 资源。这样，就可以实现基于用户的统一身份管理。有了用户的认证信息，系统 管理人员可以清楚的了解用户使用了那些信息资源，有安全问题发生的时候，可 以很快的找到造成问题的用户，从源头上消除安全隐患。 1 2 国内外研究状况 统一身份认证作为一种减少在用户不同的系统登录次数的技术，并不是什么 新概念。但这种技术由于涉及到耗资巨大的系统集成、企业用户培训以及复杂的 系统管理等方面的因素，发展较为缓慢【钔。 近年来，随着密码技术、p k i 技术以及基于x m l 的w e b 服务技术的不断 发展与完善，为统一身份认证系统的实现提供了新思路。 在国外，与统一身份认证相关的一些工作己经在业界巨头之f l j j 有效展开，对 于身份认证和单点登录各巨头都提出了自己的解决方案，目前还没有形成一个统 一的标准。主要的有【5 】： ( 1 ) m i c r o s o f t n e tp a s s p o r t p a s s p o r t 身份验证是由m i c r o s o f t 提供的用户统一身份验证服务，是目前最 大的几个投入使用w e bs e r v i c e 之一。 当用户请求登录p a s s p o r t 单点登录的参与站点时，请求被重定向到n e t p a s s p o r t 的登录页面。通过认证后，认证服务器将认证信息作为参数写在h t t p q u e r ys t r i n g 中，重新定向回用户请求的w e b 站点。p a s s p o r t m a n a g e r 是服务器端 组件，负责对来自p a s s p o r t 服务器的信息进行解密，并将用户的认证信息作为 c o o k i e s 存放在用户的浏览器中。此外，p a s s p o r t m a n a g e r 还充当一个g a t e k e e p e r ， 来确认h t t p 是否通过了验证。 ( 2 ) i b mw e b s p h e r ep o r t a ls e r v e r 作为软硬件的领导厂商，i b m 对于统一身份认证提出了自己的解决方案， 使得在i b md e m i n o 、w e b s p h e r e 服务器之间能够实现单点登录。其中的关键概 念是服务器之问可以建立信任关系，使他们能够共享一个c o o k i e 。 这种信任关系是通过采用一种称为轻量级第三方认证l t p a ( l i g h t w e i g h t n l i r d p a r t ya u t h e n t i c a t i o n ) 的机制来实现的。l t p a 是一个所有参与的服务器共同 享有的密钥对，是对c o o k i e 中用户信息进行加密来保证服务器之间信任关系的。 当用户第一次访问应用时，他们必须要进行登录操作。如果验证通过，用 l t p a 私钥加密用户信息并写回用户的浏览器中。而其它参与的服务器由于共享 武汉理j ：人学硕士学位论文 这个l t t a 密钥，因此可以验证这个c o o k i e 的信息，并确定用户的身份。 ( 3 ) s u no n el d e n t i f ys e r v e r 由s u n 公司提出，i d e n t i f ys e r v e r 提供了一个开放的和综合的网络身份认证 管理解决方案，包括目录、策略和证书发放管理服务等多个功能，帮助管理用户 身份，并且对网络服务和基于w e b 的资源提供安全访问控制。i d e n t i f ys e r v e r 支 持“自由”( 1 i b e r t y ) 标准，这个标准是由自由软件联盟( l i b e r t ya l l i a n c ep r o j e c t ) 发 布的在线身份识别规范。 在国内，清华大学和中软经过了几年的研究，在统一认证系统( u n i t e a u t h e n t i c a t i o ns y s t e m ) 的构建和实施上，己经取得了一些初步的成果： ( 1 ) 清华大学的统一口令认证系统【8 j 该系统( 图1 2 ) 是基于简单认证机制中的口令认证机制，以用户名和密码为 确认用户身份的标志。具体功能包括： 提供内部认证接口，让各种应用系统可以方便地通过接口使用本认证系 统统一认证用户的身份。 用户密码在系统中加密存放，且不可逆；在认证过程中，明文密码绝不 能在网络上传输，防止窃听导致泄密，保证用户密码的安全。 可以实现认证客户端和认证服务器的双向认证，确保认证双方的身份。 能够抵抗重放攻击，即防止攻击者使用窃听到的过时的认证数据包再次 获得认证而冒充合法用户的身份。 支持分布式认证的方式。 统：舢“= h 胂熊黼库 ii4it l 一 r e b 口令 l 主目l 口令i h o t e s 口令 认证模块 ff 认证模块i 认证模块 w 曲服务器ii 主机服务器l h o t e s 服务器i lf t 用户 图1 2 统一口令认证系统结构 ( 2 ) 中软的g s o p o r t a ! 统一身份认证系统【9 武汉理工大学硕士学位论文 该系统是基于s s o 技术的安全认证平台，能够提供用户只需进行一次登录 就可以访问到所有的授权服务，实现了集中的身份认证方式、统一认证和授权策 略。主要特点是建立了w a t c h e r 与服务器间的加密通讯；w a t c h e r 与服务器的双 向认证；采用用户名口令安全机制。其中口令管理包含了口令安全性检查，设 置过期时间；结合x 5 0 9 证书和用户名口令认证；阻止用户的非法访问。不足 之处在于，采用用户名n 令认证方式，安全保障能力有限。 从上面的分析可以看出，虽然人们己经针对统一身份认证系统进行了不少研 究工作，但是仍存在很多问题有待解决： 系统的安全保障能力有限，未能采用更为安全的系统安全机制。 系统应用平台局限，未能达到跨平台应用的目的。 系统的通用性不足，未能为其它应用系统提供标准接口，系统集成能力 不足，应用范围有限。 1 3 本文主要研究工作 根据上节分析得出统一身份认证技术目前存在的问题，在研究x m l 安全认 证协议的基础上，提出一种基于x m l 的统一身份认证解决方案。利用x m l 跨 平台、可移植、灵活性等特性与传统p k i 相结合以实现统一身份认证技术的设计 思想。一方面构造基于x k m s ( x m l 密钥管理规范) 的p k i 认证体制，将x k m s 信任服务集中到p k i 系统中，以解决p k i 部署难应用复杂问题；另一方丽运用 s a m l ( 安全声明标记语言) 建立一种独立于协议和平台的认证和授权信息的交 换机制，也就是本文中提到的单点登录，并且可以部署在集中式的、分散式的以 及联合式的环境中。 本文的研究内容和主要工作包括以下方面： f 1 1 统一身份认证技术的分析总结。通过分析总结统一身份认证系统的需求 特点，找出其技术特征和必须的背景知识，为实现整个系统打下基础。 f 2 ) 对比现有的解决方案，分析各自的优势和不足，并在此基础上提出一个 针对企业的统一认证框架。 在这旱主要从安全性、实用性、可扩展性以及效率等方面考虑。 f 3 1 根据以上分析，设计了基于x m l 的统一身份认证系统。该系统主要采用 了x k m s 、s a m l 等技术。 ( 4 1 分析统一身份认证系统解决方案的优势和不足，以及下一步需要解决的 问题。 武汉理工大学硕- i ：学位论文 1 4 论文的体系结构 本文首先介绍系统提出的背景和需要，然后分析对比现有的解决方案。在此 基础上导出系统的组织结构，接着说明关键技术和实现机制。根据这个思路，本 文组织如下： 第1 章，绪论。主要介绍课题背景，国内外研究现状以及论文的目标和内 容。 第2 章， 第3 章， 第4 章 第5 章， 第6 章， 现有解决方案的分析研究。对比研究了几种典型的身份认证解决 方案：k e r b e r o s 、挑战应答以及基于p k i 的认证模型。 x m l 安全协议及相关技术。详细介绍了x m l 加密、x m l 签名、 x m l 密钥管理规范、安全断言标记语言s a m l 。同时还介绍到了 本系统使用到的s o a p 技术。 系统设计。在第2 章对现有常用的解决方案研究分析基础上提出 自己的解决方案，并对各个功能模块进行详细的论述。这是本文 的重点。 系统实现。详细介绍了系统部分实现细节，并给出应用实例。 总结和展望。 5 - 武汉理工大学硕士学位论文 第2 章现有身份认证解决方案分析 由于身份认证的重要性，所以近年来在技术上得到了飞速的发展。从一般常 用的静态口令，动态口令，双因数字身份认证，到近来在研究和开发上比较热的 p k i 数字证书和生物特征技术等。而对于那些要涉及机密数据或者敏感数据的系 统，就往往需要采用更高强度的认证技术。 下面讨论几种常用的身份认证机制，并对他们的安全性进行分析。 2 1 基于k e r b e r o s 认证体制 k e r b e r o s 【3 9 - 4 0 】协议来源于m i t ( 麻省理工学院) 的a t h e n a 项目，它是一种 为网络通信提供可信第三方服务认证机制，是一个处于开放式互联网络之上对需 要网络服务的实体进行身份认证的重要实用的身份认证协议。k e r b e r o s 最大好处 是通过对实体和服务的统一管理实现单一注册，也就是说用户通过在网络中的一 个地方的一次登录就可以使用网络上他可以获得的所有资源。它利用传统密码学 中的共享密钥技术( v 4 之前版本使用d e s 算法，v 5 使用3 d e s 算法增强安全 性1 与网络上的每个实体和服务分别共享一个不同的秘密密钥，利用该密钥来进 行身份认证。微软的p a s s p o r t 就是使用k e r b e r o s 技术的。 2 1 1k e r b e r o s 体系结构 k e r b e r o s 的运行环境由以下三大部分组成： r m c ( 密钥分配中心 ：它是整个系统的核心部分，其中维护了所有用户的账 户信息。每个k d c 都提供了两种服务：认证服务( a s ) 和会话授权服务( t i c k e t g r a n t i n gs e r v i c e ，t g s ) 。a s 的工作是对用户的身份进行初始认证，若认证通过便 发放给用户一个称为t g t ( t t i c k e t g r a n t i n gt i c k e 0 的票据，凭借该票据用户可 访问t g s ，从而获得访问应用服务器时所需的服务票据。 k e r b e r o s 的应用服务器：它的功能在于接受用户服务请求，从票据中提取会 话密钥，解开加密信息来验证用户，并提供给合法用户所要求的服务。 k e r b e r o s 的客户端：它的主要功能是在用户登录时将登录密码转换为该用户 的长期密钥，发送各种请求信息，并接收从k d c 返回的信息。 武汉理工大学硕士学位论文 2 1 2k e r b e r o s 工作原理 客户端的最终目的是能够访问到服务器上提供给合法用户的某项服务，那么 在此之前必须经过以下几个步骤( 1 5 必选；6 在需要对服务器进行认证时使 用) 。认证过程如图2 - 1 所示。 图2 - 1k e r b e r o s 系统认证过程 首先，用户访问k d c ，k d c 为用户c 产生一个会话密钥k c r ，并发送给 用户一个可以访问t g s 的门票t t g s 。用户将获得的t t g s 连同自身的个人化信 息发送给t g s 。t g s 对用户身份信息认证后，发送给用户一个可以访问某个应 用服务器的门票t s 。用户利用t s 访问应用服务器，服务器对用户信息认证后， 给用户提供相应的服务。 具体认证过程如下： 用户c 从k d c 获得访问t g s 的门票t t g s 步骤1 ：c l i e n t - - k d c ：c ，t g s ，n ； 步骤2 ：k d c c l i e n t ： k c ，t g s ，n k c ， t t g s k t g s 用户c 从t g s 获得访问s 的门票t s 步骤3 ：c l i e n t - - t g s ： a c i k c ，t g s ， t t g s k t g s ，s ，n ； 步骤4 ：t g s - - c l i e n t ： k c ，s ，n i k c ，t g s ， t s k s ； 用户依据门票t s 访问s e r v e r 步骤5 ：c l i e n t - - s e r v e r ： a c k c ，s ， t s k s ； 步骤6 ：s e r v e r - - c l i e n t ： t s i k s 在上述认证过程用到的符号定义如下： c 一用户： s 应用服务器； 7 武汉理工人学硕士学位论文 n 由用户产生的随机数； t t g 譬一用户访问t g s 的门票； t s 用户访问应用服务器的门票； a c _ 一由用户产生的一次性使用的证( 证明确实拥有某个门票) k c _ 一用户与t g s 之间的共享密钥； k s 应用服务器与t g s 之间的共享密钥； k l g s t g s 自身的密钥； k c ，t g s _ 一t g s 为用户产生的临时会话密钥； k c ，s 应用服务器与用户之间的会话密钥； m k 表示用密钥k 对消息m 加密。 在验证完成后，客户机与服务器利用k s 来进行服务数据的传递。注意客户 机在t t g s 有效期内申请新服务时，将跳过1 、2 步直接从第三步开始用t t g s 向 t g s 证明自己的身份。 2 1 3k e r b e r o s 分析 在k e r b e r o s 身份认证系统中，参与认证的双方不需要事先共享任何密钥， 所有的用户( 包括c l i e n t 和s e r v e r ) 都与认证服务器共享密钥。对于企业来讲， 可以将安全方面的投入尽可能的放在认证服务器上，给密钥的管理带来了方便。 因此，根据k e r b e r o s 认证机制，可以得出k e r b e r o s 有如下优势： 实现了一次性签放的机制，著且签放的票据都有一个有效期。 支持双向的身份验证，同时也支持分布式网络环境下的认证机制。 但是在k e r b e r o s 也存在下面一些安全问题【4 卜4 3 】 旧的鉴别码有可能被存储和重用。尽管时间标记可用于防止这种攻击， 但在票据有效时间内仍有风险，典型的票据有效时间是a d , 时。 鉴别码还基于一个假设，即网络中的所有时钟基本是同步的。如果能够 欺骗主机，使它的正确时间发生错误，旧的鉴别码就能够被重放。大多数网络时 间协议是不安全的，因此将可能导致严重问题。 在k e r b e r o s 中的认证仅仅基于口令，这样使系统在口令猜测面前显得很脆 弱。攻击者收集到大量的票据，则会有很大的可能性找到口令。 k e r b e r o s 假设c l i e n t 已被信任，而恶意的k e r b e r o s 软件可以完成k e r b e r o s 协泌并记录口令来替代所有客户的k e r b e r o s 应用。任何一种安装在不安全的计 算机环境中的密码软件都会面临这样的问题。 武汉理工大学硕士学位论文 2 2 基于挑战应答的认证机制 顾名思义，基于挑战应答( c h a l l e n g e r e s p o n s e ) 方式的身份认证机制就是 每次认证时认证服务器端都给客户端发送一个不同的“挑战”字串，客户端程序 收到这个“挑战”字串后，做出相应的“应答”。著名的r a d i u s 认证机制就是采 用这种方式。 2 2 1 挑战应答的工作原理 r 磊弋逃丝堕r 函磊i 、 、 r ：3 2 位随机数h ：单向h a s h 函数k u s e r ：用户的密钥 图2 2 基于挑战应答的认证机制 具体认证过程为： 客户向认证服务器发出请求，要求进行身份认证。 认证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不 做进一步处理。 认证服务器内部产生一个随机数，作为“提问”，发送给客户。 客户将用户名字和随机数合并，使用单向h a s h 函数( 例如m d 5 算法) 生 成一个字节串作为“应答”。 认证服务器将应答串与自己的计算结果比较。若二者相同，则通过一次 认证；否则，认证失败。 认证服务器通知客户认证成功或失败。 2 2 2 挑战应答认证分析 这种认证机制的一个特点就是认证过程中，用户需定时的向认证服务端验证 自己的身份，证明自己在线。在用户的使用过程中，可以将用户和他使用的i p 武汉理t 大学硕士学位论文 地址绑定，防止i p 盗用。用户只要安装个客户端，使用自己的账号和1 ：3 令登 录就可以安全的使用网络资源。由于每次认证的“挑战”和“应答”都是不同的， 可以有效的防止重放攻击。 但是，该认证体制存在着某些条件限制。比如，以后的认证由客户不定时地 发起，过程中没有了客户认证请求一步。两次认证的时间间隔不能太短，否则就 给网络、客户和认证服务器带来太大的丌销；也不能太长，否则不能保证用户不 被他人盗用i p 地址，一般定为1 2 分钟。 2 3 基于p k i 的认证机制 p k i 即公开密钥基础设施，采用了公钥加密技术，使用公钥证书将用户的身 份和公钥进行绑定，实现了信息交换的机密性、完整性、有效性和抗抵赖性等安 全准则。总的来说，p k i 在网络应用中解决了“他是谁”的问题。 2 3 1p k l 的体系结构 一个典型的p k i 系统至少应包括p k i 策略、软硬件系统、证书机构c a 、注 册机构r a 、证书发布系统和p k i 应用等。p k i 的基本结构如图所示： 图2 3p k i 基本结构图 认证中心c a ：就是一个负责发放和管理数字证书的权威机构，其作用至关 重要。同时，c a 也允许管理员撤销发放的数字证书，在证书废除列表c r l 中 武汉理二l 火学硕十学位论文 添加新项并周期性地发布这一数字签名的c r l 是p k i 的信任基础。它管理公钥 的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废 除列表确保必要时可以废除证书。 注册机构r a ：是用来提供用户和c a 之问的一个接口，它获取并认证用户 的身份，向c a 提出证书请求。它主要完成收集用户信息和确认用户身份的功能。 这里指的用户，是指将要向认证中一c 4 b g c a ) 申请数字证书的客户，可以是个人， 也可以是集团或团体、某政府机构等。 证书资料库：证书资料库存储c a 签发的证书和c r l ，便于用户方便的取得 证书和c r l 詹息。证书资料库可以采取关系型数据库或目录服务实现。 p i g 策略：p i g 的策略定义证书管理过程和证书使用过程中的规则和约束。 p k i 的设计和实现不仅仅是一个技术上的问题，也是一个策略问题。p k i 在实际 应用中的性能很大程度上取决于策略的制定。 用户管理中心：是用来管理p k i 终端用户的。p k i 的终端用户包括证书的主 体和使用证书的用户。其中使用证书的用户不仅包括人类用户，还包括使用证书 的应用程序。 密钥管理：主要是指密钥对的安全管理，包括密钥产生、密钥备份和密钥恢 复等。 安全中间件：是p k i 系统与应用系统的桥梁。各个应用系统通过安全中间件 与底层的p k i 服务组件相互作用，协同工作，从而保证整个i t 系统的安全性。 2 3 2p k l 的工作原理 p k i 是一个全球性的公开密钥管理平台，能够为所有的网络应用透明地提供 采用的密钥服务所必需的密钥和证书管理。p k 把用户的公钥和用户的其他标识 信息( 如用户名、身份证号和e m a i l 等) 捆绑在一起，以便在i n t e r n e t 网上验证用 户的身份。目前，通常的办法是采用建立在p k i 基础之上的数字证书，通过把要 传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不 可否认性，从而保证信息的安全传输。p k i 的构建主要围绕着认证机构、证书库、 密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本部分来进 行。建立p k i 这样的基础设旌是一项非常庞大的工程。它不仅涉及到一些技术问 题，而且涉及到诸多的政策性及政治性问题，因为它要求参与的各方在一个共同 点上达成信任。 首先，当用户向某一服务器提出访问请求时，服务器要求用户提交数字证书。 收到用户的证书后，服务器利用c a 的公开密钥对c a 的签名进行解密，获得信 息的散列码。然后服务器用与以相同的散列算法对证书的信息部分进行处理，得 武汉理t 大学硕十学位论文 到一个散列码，将此散列码与对签名解密所得到的散列码进行比较，若相等则表 明此证书确实是以签发的，而且是完整的未被篡改的证书。这样，用户便通过了 身份认证。服务器从证书的信息部分取出用户的公钥，以后向用户传送数据时， 便以此公钥加密，对该信息只有用户可以进行解密。 2 3 3p k i 认证体系分析 p k i 似乎可以解决绝大多数网络安全问题，并初步形成了一套完整的解决方 案。它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的 具有普适性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供在 线身份认证，是c a 认证、数字证书、数字签名以及相关安全应用组件模块的集 合。作为一种技术体系，p k i 可以作为支持认证、完整性、机密性和不可否认性 的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖性等安全问题， 为网络应用提供可靠的安全保障。 尽管p k i 在相当程度上解决了许多安全问题，但它在技术上仍存在一定不 足，在应用范围内上也存在着一些不利因素。 p k i 标准主要是基于抽象语法符号( a b s t r a c ts y n t a xn o t a t i o no n e ，a s n 1 ) 编码的，实现比较困难，在客户端这一点尤为突出。 互操作性差：传统的p k i 存在多种体系，如p k i x 、s p k i 和p g p 等。一 个应用程序要想与其他应用程序对话，它必须知道自身以及其他应用程序使用的 p k i 体系以及这些p k i 的语法和语义，而其他应用程序又可能使用与该应用程序 不同的其他可用的p k i 解决方案。 部署困难：客户端需要安装繁杂的p k i 工具集用于开发应用。这些工具 集虽然功能强大，却增加了客户端软件的复杂度，而其强大的功能中有很大一部 分也许并不是应用所必需的。而且这些工具集通常只适用于某一特定p k i 产品， 当客户端需要使用多种p k i 产品时，就需要安装多个不同的工具集，大大增加了 成本，而且加大了客户端的负担。 系统维护难度大：p k i 将所有的信任决定统统抛给了用户，客户端需要 在本地处理各种证书和密钥信息，这就要求安装特定的工具集以获得p k i 服务。 当p k i 服务提供者进行升级时，客户端也需要升级相应的工具集才能继续获得密 钥证书服务。而这些工具集的配置相当的繁杂，这就使维护工作过程复杂，开 销大，有时甚至需要改写客户端代码。 以上的缺点与不足都严重地制约了p k i 产品的部署与应用，成为p k i 得以普 遍应用的瓶颈，并给分布式应用的发展带来负面影响。 武汉理二r 大学硕士学位论文 第3 章x m l 安全协议理论 在本章中，将会就统一身份认证系统中用到的x m l 相关安全认证技术，如 x m l 签名，x m l 加密、x k m s 、安全标准s a m l 和x m l 的传输格式s o a p 等 作一介绍。 3 1x m l 签名 x m l 签名是一种在x m l 传输中使用的数字签名。这种签名得到的是施加 在二进制数据上的签名结果，因此x m l 签名可以应用于任何数字内容上，而不 仅限于x m l 。x m l 签名支持检测数据的完整性，消息认证和签名者身份认证， 这些服务适用于任何数据类