（计算机软件与理论专业论文）基于pkipmi的web服务安全机制的研究.pdf

华北电力大学硕士学位论文摘要 摘要 随着互联网进一步加强其分布式计算特性，基于x m l 的w e b 服务也获得了极 大的发展，但其取得真正成功的关键因素取决于其能否在保持松散耦合、语言中立、 平台无关、开放性等自身特性的同时提供足够的安全性对服务进行保护。本文基于 公共密钥基础设施p k i 和权限管理基础设施p m i 构建了一个分层模块化w e b 服务 安全机制的总体结构。其中，设计并实现了通信安全模块，保证了w e b 服务通信应 用级的安全需求；提出了多域环境中基于属性的访问控制模型m d ，弥补了_abac r b a c 模型在多域环境中赋值工作量大以及不同域之间互操作所带来的角色映射等 问题。 关键词：公共密钥基础设施，权限管理基础设施，w e b 服务，安全，访问控制 a bs t r a c t x m lb a s e dw e bs e r v i c e sh a v ed e v e l o p e dg r e a t l ya si n t e r n e te n h a n c i n gi t s d i s t r i b u t e dc o m p u t i n gc h a r a c t e r s b u tt h es u c c e s so fw e bs e r v i c e sw i l ll i ei ni t ss e c u d t y a sw e l la s k e e p i n gi t s c h a r a c t e r so fl o o s ec o u p l i n g ，l a n g u a g en e u t r a l ，p l a t f o r m i n d e p e n d e n ta n do p e n n e s s t h es t r u c t u r eo fp k i p m ib a s e dl a y e r e da n dm o d u l a r i z e d w e bs e r v i c e s s e c u r i t ym e c h a n i s mh a sb e e nc o n s t r u c t e d , i nw h i c hac o m m u n i c a t i o n s e c u r i t ym o d u l eh a sb e e nd e s i g n e da n di m p l e m e n t e dt oi n s u r et h ea p p l i c a t i o nl e v e l s e c u r i t yr e q u i r e m e n t so fw e bs e r v i c e sc o m m u n i c a t i o n a t t r i b u t eb a s e da c c e s sc o n t r o l m o d e lf o rm u l t i d o m a i n ( m d _ a b a c ) i sp r e s e n t e dt om a k eu pt h er b a c si s s u e so f a s s i g n m e n ta n dr o l em a p p i n gd i f f i c u l t ym a d eb yt h ec o o p e r a t i n gi nm u l t i d o m a i n s w a n gl a n j i n g ( c o m p u t e rs o f t w a r ea n dt h e o r y ) d i r e c t e db yp r o f w a n gb a o y i k e yw o r d s ：p k i ，p m i ，w e bs e r v i c e s ，s e c u r i t y , a c c e s sc o n t r o l 声明 本人郑重声明：此处所提交的硕士学位论文基于i ，k i p m i 的w 曲服务安 全机制的研究，是本人在华北电力大学攻读硕士学位期间，在导师指导下进行 的研究工作和取得的研究成果。据本人所知，除了文中特别加以标注和致谢之处 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得华北电 力大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 学位论文作者签名： z 鹰希 日期： 伽占，2 ；j 关于学位论文使用授权的说明 本人完全了解华北电力大学有关保留、使用学位论文的规定，即：学校有 权保管、并向有关部门送交学位论文的原件与复印件；学校可以采用影印、缩 印或其它复制手段复制并保存学位论文；学校可允许学位论文被查阅或借阅； 学校可以学术交流为目的，复制赠送和交换学位论文；同意学校可以用不同 方式在不同媒体上发表、传播学位论文的全部或部分内容。 ( 涉密的学位论文在解密后遵守此规定) 作者签名：兰堑煎导师签名： 日期：竺! ! ! ：兰! 日 确文 华北电力大学硕士学位论文 1 1 选题背景及意义 第一章引言 随着国际互联网进一步加强其分布式计算特性，基于x m l ( e x t e n s i v em a r k u p l a n g u a g e ，可扩展标记语言) 的w e b 服务( w e bs e r v i c e s ，w s ) 由于其所具有的松 散耦合、语言中立、平台无关性、开放性等特性而得到了极大的发展和广泛的应用。 由于w e b 服务采用了韭界广泛支持的x m l 、s o a p ( s i m p l e o b j e c t a c c e s s p r o t o c o l ， 简单对象访问协议) 、w s d l ( w e bs e r v i c e sd e s c r i p t i o nl a n g u a g e ，w e b 服务描述语 言) 和u d d i ( u n i v e r s a ld e s c r i p t i o n 。d i s c o v e r ya n di n t e g r a t i o n ，统一描述，发现和 集成) 等开放标准，克服了如c o r b a ( c o m m o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r c ， 公用对象请求代理程序结构) 等传统分布式技术的缺点，为分布式发展提供了新的 思路。 w e b 服务的一个显著特点即松散耦合，服务的可发现性、平台无关性、接口的 自描述性构成了w e b 服务的这一重要特点。而正是由于这个特点，w e b 服务被广泛 的应用于企业级的信息集成，其中既包括企业内部的信息集成( 企业内不同部门之 间，或是遗留系统和新系统之间的信息集成) ，也包括企业与企业之间的信息集成。 同样也是由于这个特点，使得通过服务与服务的组合而构成新的应用变得更加简单 和可行，这也正是在面向服务的体系结构( s e r v i c e o r i e n t e d a r c h i t e c t u r e 。s o a ) 中 w e b 服务广泛使用的原因之一。 虽然w e b 服务技术有着广泛的应用前景，但其安全性问题如果不能得到根本性 解决，就会制约其发展。尤其是涉及劲企业应用的时候，一个不得不关注的问题就 是安全。而w e b 服务的诸多优点反而使得安全问题变得比以往任何时候都更具挑战 性。由于w e b 服务被广泛的运用于企业问的交互，使得安全边界由i n t r a n e t 扩大到 了i n t e r n e t ，安全的风险也自然大为增加；w e b 服务的开放性和标准性在为其使用带 来方便性的同时，也给服务安全带来了极大的威胁，w e b 服务在提供其服务接口的 同时，很可能就把其系统结构、机密数据和业务流程等暴露给外部“1 ，这就必将会 带来各种随机或有目的的网络破坏行为，给w e b 服务的提供者带来极大的安全隐 患；s o a 中服务组合的思想，使得w e b 服务应用更具动态性，服务的创建者往往 无法预料服务将在何种环境下( 比如使用何种安全认证方式，携带何种认证信息) 被调用，在这种情况下对服务安全访问的控制就变得更为复杂；同时由于w e b 服务 使用的是基于x m l 的具有自描述能力的消息( 在恧向消息的方式中，消息甚至就是 业务实体) 进行通信，那么如何保证消息的安全性也成为w e b 服务安全中需要重视 的问题。 华北电力大学硕士学位论文 由于这些潜在的威胁，安全就必须成为w e b 服务实现的中心问题。w e b 服务的 普适性和平台不可知性都需要一个安全机制，使其能够在进行正常( 成功的w e b 服 务所必需的) 数据交换的前提下，不仅可以保障对应用程序和数据访问的安全，而且 还可以对访问进行控制，否则将会严重影响w e b 服务进一步的发展和应用。 但目前w e b 服务安全机制采用的多是已有网络和w e b 上的一些安全策略，如： 在传输层，s s l ( s e c u r es o c k e tl a y e r ，安全套接字层) 和t l s ( t r a n s p o r tl a y e r s e c u r i t y ，传输层安全协议) 可以提供点到点的安全，实现审计功能，保证数据完整 性、机密性的要求；在网络层，i p s e c 也提供了主机审计认证，数据完整性和机密 性的功能。然而这些机制对w e b 服务来说是远远不够的，w e b 服务自身的分布式、 异构等本质，使得其安全问题也变得异常复杂，从而有必要对适用于w e b 服务自身 特性( 如开放性、动态性等) 的安全机制进行研究。 p k i ( p u b l i ck e yi n f r a s t r u c t u r e ，公开密钥基础设施) 利用非对称密码算法原理， 并以公钥证书( p u b l i ck e yc e r t i f i c a t e ，p k c ) 为核心，提供了对身份的强认证服务， 并实现了信息交换的机密性、完整性、有效性和不可否认性等安全准则，是一个具 有通用性的安全服务设施。从2 0 世纪8 0 年代提出至今，p k i 已经发展成为保障网 络安全的支撑系统。2 0 0 0 年，国际电信联盟r r u 公布的x 5 0 9 v 4 中提出的 p m i ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ，权限管理基础设施) 给出了解决授权问题的 基本模型。p m i 建立在p k i 提供的身份认证服务所确定“他是谁”的基础上，使用 属性证书( a t t r i b u t ec e r t i f i c a t e ，a c ) 将用户的身份和属性进行绑定，实现授权管 理，在网络应用中解决了“他能做什么”的问题，提供了一种有效的体系结构来管 理用户的属性。随着对w e b 服务安全研究的日益重视和深入，将p k i p m i 引入其 中，让其为w e b 服务安全也发挥出基础设施的作用，为其发展保驾护航，无疑具有 重要的意义。本课题就是在这样的背景下提出的。 1 2 国内外研究动态 w e b 服务是建立在现有互联网标准之上、可以自描述的模块化的应用程序，其 安全需求除了满足传统网络安全标准之外，还需要确保其自身所具有的松散耦合、 语言中立、平台无关、开放等特性。其中，i s o ( i n t e r n a t i o n a ls t a n d a r do r g a n i z a t i o n ， 国际标准化组织) 在网络安全标准i $ 0 7 4 9 8 2 中定义了5 个层次型安全服务： ( 1 ) 身份验证：验证主体( 人类用户、注册的系统实体或组件等) 与其所声 称的身份是否一致； ( 2 ) 访问控制：限制用户对资源的访问能力和范围； ( 3 ) 数据保密服务：保证数据对恶意第三方的不可知性； ( 4 ) 数据完整性服务：确保数据不能被篡改，而一旦被篡改也可以被检测到； 2 华北电力大学硕士学位论文 ( 5 ) 不可否认性服务：收发信息的双方不能否认其行为和信息内容。 另外，针对其自身的特性，w e b 服务的安全需求还应满足”1 ： ( 1 ) 确保端到端的安全，即需要保证每个w e b h 睦务从其发布到完成的安全性； ( 2 ) w e b 服务安全机制必须足够灵活和通用，以便保证建立在分布式环境中 w e b 服务的集成； ( 3 ) 必须能够在多个不同管理域之间传递安全上下文，从而为整个事务建立 起一个一致的安全上下文。 目前，w e b 服务安全采用的多是已有的网络和w e b 上的安全策略，例如 s s u t _ s 、i p s e e 、防火墙等，但这些现有安全技术大都和w e b 服务之间存在着技术 上的鸿沟，女d s s i d t l s 只能保证点到点的安全，无法实现w e b 服务所需的端到端的 安全需求。因此，w e b 服务的安全问题并不能依赖传统网络安全得到根本的解决”。 近年来，针对w e b 服务的安全需求，w 3 c ( t h ew o r l dw i d ew e bc o n s o r c i u m ， 万维网联盟) 、i e t f ( t h ei n t c m e te n g i n e e r i n gt a s kf o r c e ，互联网工程任务组) 和 o a s i s ( o r g a n i z a t i o nf o rt h ea d v a n c e m e n to fs t r u c t u r e di n f o r m a t i o ns t a n d a r d s ，结构 化信息标准促进组织) 等机构制定了有关x m l 和w e b 服务安全的一系列标准。“”， 如w 3 c 的煳l 加密、x m l 签名和x m l 密钥管理规范( x m lk e ym a n a g e m e n t ， x k m s ) 等；o a s i s 的安全断言标记语言s a m l 和访问控制标记语言x a c m l ； m i c r o s o f t 、m m 、v e r i s i g n 等提出的用来提高w e b 服务互操作性的w s s e c u r i t y 等。 这些标准的制定为w e b 服务安全的研究奠定了基础。 对w e b 服务安全的研究应对其需求进行综合考虑，比如访问控制之前需要先进 行身份验证；要实现传输数据的机密性、完整性和不可否认性，也需要在进行身份 验证时获取安全信息的支持。文献 2 】给出了考虑了访问控制、机密性和完整性这三 个安全需求的体系结构模式；文献【6 】给出了一个支持可信w e b 服务的应用框架，并 重点考虑了服务提供商的可信性、安全策略、授权及访问控制等，但都没有考虑组 合w e b m t 务情况下的安全问题；文献【7 】指出w e b 服务安全构架应该包含所有可能的 安全原语( 如验证、访问控制等) ，可以根据具体的安全需求来实现解决方案的自 由组合。文中给出的结构由一个中闻组件和多个安全模块构成，中间组件为所有的 安全模块都提供了接口。收到安全请求之后，首先由中间组件进行解释，并调用相 应的安全服务执行操作。但现有的研究只是考虑其中一个或几个安全因素，并不存 在一个对所有安全问题进行综合考虑的分布式的安全机制。w e b 服务安全应建立在 一个完整的安全机制之上，此机制可以灵活的实现应用层的各种安全需求。 现有国内外对w e b 服务安全的研究热点集中在访问控制问题上，访问控制用来 保证资源只能被授权用户所访同，对任何一个信息系统来说，进行访问控制都是必 不可少的一个安全需求。目前最流行的访问控制模型有自主访问控制模型 ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 、强制访问控制模型( m a n d a t o r ya c c e s sc o n t r o l ， 3 华北电力大学硕士学位论文 m a c ) 和基于角色的访同控制模型( r o l eb a s e da c c e s sc o n t r o l 。r b a c ) 。在d a c 模型中，访问权限是由资源所有者拥有，并且权限的授予是可以传递的，这将会导 致权限控制的困难，并会带来严重的安全问题；m a c 模型中，主体和客体都被赋予 了一定等级的安全标签，根据等级来确定访问权限；r b a c 模型通过引入角色实现 了用户和权限逻辑上的分离，它通过将访问权限分配给角色、给用户分配角色简化 了对权限的管理，但其是基于传统的分布式环境的，缺乏对主客体的动态描述”1 。传 统的访问控制模型不能简单的应用到w e b 服务体系结构中，因为其所处的分布式和 异构环境对访问控制提出了特定的要求”“”： ( 1 ) 基于断言：绝大多数情况下，交互双方都是一无所知的，所以用户的访 问信息要作为一个断言传递给w e b 服务提供者； ( 2 ) 机制无关的访问策略：访问控制必须要保证实时和动态决策的实现； ( 3 ) 策略管理：w e b 服务提供者应具有定义决策和控制访问的功能； ( 4 ) 访问控制集成：w c b 服务提供者必须可以对请求者的断言进行调整，以便 和其自身的访问控制策略达到一致； ( 5 ) 基于标准的实现：为了保证任意不可知的w e b 服务请求者同提供者之间的 互操作，一个基于标准的解决方案是必不可少的。 现在对于w e b 服务访问控制的研究主要集中在角色访问控制、细粒度等方面， 文献【9 】提出了一个基于工作流和服务的角色访问控制模型，在面向服务环境中更好 地满足了主客体的动态特性，适用于基于工作流的面向服务架构的企业计算、电子 政务和电子商务等系统；文献【1 1 】中提出了一个基于x m l 的r b a c 策略描述框架， 实现了针对x m l 文档的基于角色的授权，但未能解决对动态w e b 服务的访问控制问 题；文献 1 2 】中通过对w s d l 文档进行扩展来描述验证、授权和授权策略信息，实现 了使用属性证书对w e b 服务进行授权和访问控制，但对w s d l 文档的扩展将会影响 其通用性和可扩展性；文献d 3 中提出一个证书模式来支持主体属性的交换和验证， 并给出了一个细粒度的访问控制模型。但大都没有考虑到分布式多域环境中不同域 的服务请求者对w e b 服务进行访问的情况。p e r m i s 1 项目旨在建立一个通用的基 于角色的x 5 0 9 p m i ，使其可以适用于不同的应用，其通用性已经得到了验证，但由 于使用的是自定义的策略语言，使得其扩展性和互操作性受到了一定的限制。 1 3 本文的研究内容 本文的研究内容主要包含以下三个方面： ( 1 ) 针对w e b 服务的自身特点和安全需求，基于p k i p m i 平台采用分层和模 块化的思想对w e b 服务安全的总体结构进行研究和设计，使该结构具有开放性和可 扩展性； 4 华北电力大学硕士学位论文 ( 2 ) 对w e b 服务中的通信安全需求进行研究，并结合x m l 签名、x m l 加密 和w s s e c u r i t y 等安全规范和标准对安全组件层的w e b 服务通信安全模块进行设计 和实现，使其为应用层提供安全接口； ( 3 ) 针对w e b 服务所处的多域异构环境中的突出问题，即用户数目众多且来 源广泛，以及传统基于角色访问控制模型r b a c 对复杂角色进行用户一角色赋值效 率偏低和不同域之间互操作所带来的角色映射等问题，对多域环境中基于属性的访 问控制模型进行研究和设计，该模型既要保证多域环境中的访问控制和互操作，还 应实现细粒度、灵活的策略定义。 1 4 论文组织 按照课题研究和设计的总体思路，本论文采用了如下组织方式： 第一章介绍选题背景和意义，国内外研究现状，论文内容和本人所做工作。 并描述了论文的组织； 第二章对w e b 服务及其安全相关知识进行了介绍，包括x m l 签名、x m l 加 密和w s s e c u r i t y 等安全规范，以及p k i 和p m i 平台； 第三章引入p k i p m i 平台，并给出了基于p k i p m i 的分层模块化的w e b 服务 安全机制的整体结构； 第四章结合x m l 签名、x m l 加密和w s s e c u r i t y 等安全规范实现了安全组件 层中的w e b 服务通信安全模块，为应用层提供安全接口； 第五章提出了多域环境中基于属性的访问控制模型m d _ a b a c 。实现了对细 粒度灵活的策略定义，并解决了在异构环境访问控制中由于用户来源广泛而带来的 互操作和映射困难等同题； 第六章对所作工作进行总结并给出了需要继续研究的问题。 5 华北电力大学硕士学位论文 第二章w e b 服务安全机制的关键技术 2 1w e b 服务安全性概述 2 1 1w e b 服务技术 w e b 服务“”是在分布式环境中出现的一种新的应用程序分支，是在集成现有的 各种系统框架和实现技术的基础上用来解决不同平台、不同协议、不同开发语言下 的应用系统的集成问题。它由u r i ( u n i v e r s a lr e s o u r c ei d e n t i f i e r ，通用资源标志符) 进行标识，将业务逻辑封装成i n t e r n e t 上的组件服务，并将此服务的描述和说 明进行发布供异构分布式环境中的用户进行查找和调用。对于分布式计算，w e b 服 务从过去“紧耦合”的集成技术，如公用对象请求代理程序结构c o r b a 、分布式 组件对象模型d c o m 等，发展到现在“松耦合”技术，这也标志着应用程序开发进 入了一个新的阶段。 表2 - 1c o r b a 、d c o m 和w e b 服务的技术对比 特性 c o r b ad c o m w e b 服务 r p c 机制 i n t e m e to r b 间协议 分布式计算环境的h t t p 协议 ( i n t e r n e ti n t e r o r b 远程过程调用 p r o t o c o l ，i i o p ) ( d c e r p c ) 编码j 晟用散据表不珐网络数据表示法x m l 和s o a p ( c o m m o nd a t a( n e t w o r kd a t a r e p r e s e n t a t i o n ，c d k ) r e p r e s e n t a t i o n , n d r ) 接口描述接口定义语言 i d lw s d l ( i n t e r f a c ed e f i n i t i o n l a n g u a g e ，i d l ) 发现方式名字服务和交易服务系统注册表 u d d i 是否能通过否否能 防火墙 协议的复杂性高高低 跨平台部分不能能 如表2 - 1 所示，通过c o r b a 、d c o m 和w e b 服务之间的技术对比，可以看出 w e b 服务具有如下特点： ( 1 ) 松散耦合客户程序仅使用自描述的、基于文本的消息与w e b 服务通信； ( 2 ) 方便的通信连接到i n t e m e t 上的任意系统或设备都可以同w e b 服务进行 通信： ( 3 ) 通用的数据格式和标准在这个松散耦合环境中进行描述、发布服务，以 6 华北电力大学硕士学位论文 查找和调用服务都是基于一系列标准协议，如x m l 、s o a p “”( s i m p l eo b j e c t a c c e s s p r o t o c o l ，简单对象访问协议) 、w s d l ( w e bs e r v i c e sd e s c r i p t i o nl a n g u a g e ，w e b 服务描述语言) 和u d d i “( u n i v e r s a ld e s c r i p t i o n ，d i s c o v e r ya n di n t e g r a t i o n ，统一描 述，发现和集成) 规范等开放标准。 w 。肌、鲨靠。l u d d i 、u d d i 查找发布 蘧哟 如图2 - 1 所示，在w e b 服务体系架构中存在三种角色： ( 1 ) 服务提供者( s e r v i c ep r o v i d e r ) ：是服务的所有者，将其服务放置在服务 器上供人使用，并将其描述信息发布到服务注册中心，用来供服务使用者进行查询； ( 2 ) 服务请求者( s e r v i c er e q u e s t e r ) ：是篙要完成某种特定功能，并寻找、 调用此服务的角色，可由浏览器、用户或是无用户界面的程序来担任； ( 3 ) 服务注册中心( s e r v i c e r e g i s t r y ) ：是可供发布和查询的服务描述注册中 心，服务提供者在此发布其服务描述，而服务请求者亦可在静态绑定开发或动态绑 定执行期间在此查找其所需的服务并获得服务的绑定信息。 在这三种角色之问，存在着发布服务描述、查询服务描述以及根据服务描述绑 定或调用服务三种行为，这三种行为存在于整个w e b 服务的生存周期，并遵循以下 三种标准： ( 1 ) 简单对象访问协议s o a p ：s o a p 是w e b 服务通信基础结构的主干，是一 种轻量级的、基于x m l 的协议，用于在w e b 中交换结构化和类型化的信息格式。 s o a p 本身并不定义任何应用语义，如编程模型或特定语义实现等，它只是定义了 一种简单的机制，定义了如何使用哪p 和x m l 以独立于平台的方式访问服务、 对象和服务器的协议。在w e b 服务领域，s o a p 消息是进行w e b 服务调用的基本 消息承载体。 ( 2 ) w e b 服务描述语言w s d l ：w s d l 是一种基于x m l 的语法，用于描述 w c b 服务及其函数、参数和返回值。它将w e b 服务描述定义为一组服务访同点，客 户端可以通过这些服务访问点对包含面向文档信息或面向过程调用的服务进行访 问( 类似远程过程调用) 。w s d l 首先对访问的操作和访问时使用的请求响应消息 7 华北电力大学硕士学位论文 进行抽象描述，然后将其绑定到具体的传输协议和消息格式上，以最终定义具体部 署的服务访问点。相关的具体部署的服务访问点通过组合就成为抽象的w e b 服务。 ( 3 ) 通用描述、发现与集成u d d hu d d i 是一种w e b 服务的注册库规范，支 持企业注册与w e b 服务有关的共享信息，以便其他企业能够动态查找和处理这些信 息。u d d i 便于定位特定基于s o a p 的w e b 服务的w s d l 格式化协议描述。u d d i 是一个业务注册中心，它允许企业在u d d i 的不同目录下注册服务，允许公司和开 发人员编程定位其他组织提供的w e b 服务相关信息。 整个w e b 服务交互涉及到如下步骤： ( 1 ) 服务提供者首先需要在u d d i 注册中心注册w e b 服务定义( w s d l ) ； ( 2 ) 客户应用程序根据所需的服务描述来查询u d d i ； ( 3 ) 如果查找到合适的w e b 服务，u d d i 就会提供描述这个w e b 服务的w s d l 文档的链接； ( 4 ) 客户使用该链接请求用于这个w e b 服务的w s d l 文档； ( 5 ) w e b 服务返回w s d l ，它描述了用于调用这个w e b 服务的接口； ( 6 ) 客户发出一个根据w s d l 格式化的s o a p 请求； ( 7 ) w e b 服务基于这个请求并返回一个s o a p 响应。 2 1 2w e b 服务安全规范 2 1 2 1x m l 签名 x m l 数字签名“”是由w 3 c 和i e t f 联合提出的，可以对x m l 文档进行签名， 确保通过w e b 服务传输的x m l 数据的不可否认性和消息完整性。 x m l 签名本身就是一个x m l 文档，具有规范化的x m l 文档具有的一切特性； 它与其他签名技术的不同之处在于：将签名作为原始x m l 文档的一部分，从而消 除了在管理和保存数字签名时所需的专用方法，并提供了一个灵活、标准的框架， 使得不同的代理可以对文档中的不同内容进行签名和验证。 在x m l 签名中，要进行签名的内容首先需要进行摘要处理并被放置在x m l 元 素中，随后对此元素进行摘要并签名。x m l 签名表示签名后的x m l 元素而不是原 始的内容。摘要处理是一个应用哈希算法( 如s h a 1 ) 来计算数据的摘要值( 或散 列值) 的过程，此过程可以把一定的输入内容映射为某一固定长度的内容。散列算 法满足抗碰撞性( 很难找到两个不同的输入值会产生相同的输出值) 和不可逆性( 不 能反向由输出值推断出输入值) 两个重要特性。签名就是作用于这个摘要值之上的。 x m l 签名是由元素 进行标识，其外部结构和框架如图2 2 所示，其 中的基数操作符( 含义如表2 2 所示) 表明在父元素 中每一个元素出现 的次数，如果属性或元素没有基数操作符，则表明该元素必须且仅出现一次。当接 8 华北电力大学硕士学位论文 规范化法则 ，数字签名算法 ( ( ) ? ) + ( ) ? ，签名者公钥信息 ( ) o 图2 2x m l 签名的外部结构和框架 收方收到含有 ：元素的签名信息后，首先采用相同的规范化法则对数据进行规 范化处理，再从 中获取创建签名的签名算法和摘要方法对 ：元素运算得到的消息摘要；随后利用) , 叭 中获取签名者的公钥信息 或数字证书对记录：e 元素中的信息解密并得到的消息摘要，将两种消息摘 要进行比较，看结果是否一致，这不但可以确定数据的完整性而且也可以对签名者的身 份进行验证。 表2 - 2 基数操作符的含义 f操作符 描述 零个或多个出现 i + 一个或多个出现 l ? 零个或一个出现 2 1 2 2x m l 加密 虽然x m l 文档可以使用原有的加密技术来进行加密，并可以被发送到一个或 多个接收方，但使用x m l 加密有其自己的优势：如只针对文档的特定部分进行加 密，对文档进行多重加密，还可以提供持久的安全性。2 0 0 3 年，w 3 c x m l e n e r y p t i o n w o r k i n gg r o u p 制定了x m l 加密”标准和规范，规定了用于x m l 的加密算法和加 密整个或部分x m l 文档的方法。 x m l 加密语法如图2 - 3 所示，其中的主要元素是 元素，此元素 和 元素一起被用于从密钥创建者向已知接收方传输加密密钥。接收 方收到含有 指定的u r i 中获取 9 华北电力大学硕士学位论文 e n e r y p t e d d a t ai d ? t y p e 恰 ? d s ：k e y i n f o 扫 ? 7 ? ? ? 加密算法 密锅信息 ? 7 加密的数据内容 图2 - 3x m l 加密的外部结构和框架 解密所需的加密算法；随后从 中获取双方事先约定的密钥参数，如密钥名称、 密钥值、数字证书，或是密钥转换方法的描述信息，将存放在 的加密信 息内容进行解密，从而获取发送方的真实数据。另外通过元素 提 供的时间戳、加密序列号等附加信息，可对数据的真实性与完整性进行辅助验证。 2 。1 2 3w s s e c u r i t y w s s e c u r i t y ”规范是在2 0 0 2 年由i b m 和m i c r o s o f t 联合发布的s e c u r i t yi na w e bs e r v i c e sw o r l d ：ap r o p o s e da r c h i t e c t u r ea n dr o a d m a p 文档中发布的。作为一个 基准规范，w s s e c u r i t y 的目标就是使应用程序能够进行安全的s o a p 消息交换，定 义了如何在s o a p 消息中封装安全令牌的x m l 元素和属性，并且描述了如何利用 x m l 签名和x m l 加密确保s o a p 消息中这些令牌( 和其他内容) 的完整性和机密 性。w s s e c u r i t y 在s o a p 消息的消息头h e a d e r 中定义了一个 元素用来包 含与安全相关的各种信息，并由a c t o r 属性来指明接收方。一个s o a p 消息中可以 包含多个 元素，但是针对不同接收方的安全性信息必须出现在不同的 元素中。如果 元素中不包含a c t o r 属性，则w e b 服务的任何一 方都可以便用 元素中的信息，但不可以删除。 w s s e e u r i t y 中的s o a p 消息格式如图2 - 4 所示，规范包含以下3 种主要机制： ( 1 ) 安全性令牌传送( s e c u r i t y t o k e n ) ：指的是将安全性令牌( 一组声明的集合) 从发送方传送到接收方，其中，定义了 元素用来在s o a p 消息的h e a d e r 元 素中传送安全令牌信息，包括用户名密码令牌 、k e r b e r o s 票据安全令 牌以及x 5 0 9 证书安全令牌 元素。 华北电力大学硕士学位论文 图2 4w s s e e u r i t y 中的s o a p 消息格式 ( 2 ) 完整性( i n t e g r i t y ) w s - s e c u r i t y 定义了一种接收者能够确认消息是否来源于 正确发送方以及消息在传输期间未被篡改的机制。使用了x m l 签名规范，结合 和 元素引用在 s o a p 头中指定的安全性 令牌。根据s o a p 消息的内容和安全令牌即可采用密码术方式计算出x m l 签名；随后， 消息接收者可通过密码解码算法来验证签名的有效性。在s o a p 消息中使用x m l 签名 可以起到三个方面的安全作用： 可以验证消息发送者的身份( 身份验证) ； 可以验证消息在传输过程中没有被篡改( 完整性) ； 可以防止消息发送者对所发送消息的抵赖( 不可否认性) 。 ( 3 ) 机密性( c o r t f i d e n t i a t y ) ：可以确保在发送方和接收方之间s o a p 消息的机密 性，使用x m l 加密标准来加密s o a p 消息，描述了如何在 头中使用x m l 加 密所定义的 、 、 和 元素。 w s s e c u r i t y 规范将x m l 加密应用于s o a p 消息中最大的益处是可以保证持久加密性， 即s o a p 消息即使跨越多个中间节点，x m l 加密可以实现部分加密，保证原始数据的 机密性，提供端到端的安全保障。 2 2 公共密钥基础设施p k i 公共密钥基础设施p k i 托2 1 是一个利用非对称密码算法原理和技术实现并提供安 全服务的具有通用性的安全基础设施，它遵循一种标准利用公钥加密技术为电子商 务、电子政务等的安全通信提供了一整套基础设施，能够为所有网络应用透明地提 供采用加密和数字签名等密码服务所需要的密码和证书管理。 使用基于公钥技术平台的用户建立安全通信信任机制的基础是，网上进行的任 华北电力大学硕士学位论文 何需要提供安全服务的通信都是建立在公钥基础之上的，而与公钥成对出现的私钥 只属于与他们进行通信的对方；这个信任的基础正是通过公钥证书的使用来实现 的。公钥证书提供用户的身份和公钥的绑定，在颁发证书之前，首先需要由一个可 信任的权威机构( 认证机构c a ) 来证实用户的身份，然后由可信任的c a 对该用户 身份及对应公钥相结合的证书进行数字签名，来证明证书的有效性。在r r u t x 5 0 9 标准中定义的p k i 的体系结构如图2 - 5 所示： 图2 - 5 p k i 的体系结构 构建一个p k i 系统主要包括以下部分： ( i ) 认证机构c a ：c a 是p k i 应用中可信的第三方机构，主要负责确认身份 和创建数字证书来建立身份和一对公私钥之间的绑定关系； ( 2 ) 注册机构r a ：r a 负责对申请者进行注册和初始鉴定； ( 3 ) 证书库：证书库是证书的一个集中存放地，并提供公众查询的机制。通 常证书库采用目录来实现，常用的有l d a p ( l i g h t w e i g h t e dd i r e c t o r ya c c e s sp r o t o c a l ， 轻量级目录访问协议) ； ( 4 ) 密钥备份及恢复系统：负责对用户的解密密钥进行备份和恢复，防止用 户的密钥丢失时加密文件无法恢复。签名密钥不能备份和恢复； ( 5 ) 证书撤销处理系统：证书由于某种原因需要作废和终止使用时，将通过 证书撤销列表c r l ( # e r t i f i c a t er e v o c a t i o nl i s t ) 来实现。 p k i 体系结构中是以对公钥证书( 证书内容如表2 - 3 所示) 的管理为核心的， 实现的具体功能包括绑定证书持有者的身份和相关密钥对，为用户提供方便的直接 或问接获取证书的途径，证书发放的访问途径，证书作废的直接或间接的宣告途径， 并进而利用数字证书及相关的各种服务( 证书发布、黑名单发布、时间戳服务等) 1 2 华北电力大学硕士学位论文 标识含义 v e r s i o n 版本号 s e r i a ln u m b e r 证书序列号 l s s u e t c a 的标识名 v a l i d i t yp e r i o d证书有效期 s u b j e c t证书申请者的标识名 p u b l i ck e y 申请者公钥、公钥算法信息 i s s u e ru n i q u ei d 证书签发者标识符 s u b j e c tu n i q u ei d证书申请者标识符 e x t e n s i o n s 扩展项 s i g n a t u r ea l g o r i t h m c a 签发证书的签名和h a s h 算法 s i g n a t u r ev a l u e c a 对该证书的签名信息 实现通信中各实体的安全服务： ( 1 ) 认证性：确认一个实体确实是他向对方声明的那个实体，在应用程序中 包括实体鉴别和数据来源鉴别两种形式。其中，实体鉴别指的是服务器只是认证实 体的身份以及实体所要进行的活动，鉴别会产生一个明确的结果，并与访问控制中 的权限进行关联，判断是否允许此实体进行相应的访问；数据来源鉴别是判断某个 指定的数据是否来源于某个特定的实体，也就是对特定的数据和实体之问的关系进 行鉴定，这样的过程用来支持不可否认性服务； 。 ( 2 ) 完整性：是确保数据在传输和存储过程中都没有被修改，即使数据被恶 意第三方篡改，数据接收方也可以获知所得到的数据并非原始数据，数据的完整性 是由数据发送方的签名来保证的； ( 3 ) 机密性：确保数据的机密性，也就是除了指定的实体外，无人能读出这 段数据。所有的机密数据都是由加密技术来提供机密保护的。p k i 的保密性服务是 一个框架结构，通过它可以完成算法协商和密钥交换，而且这一过程对参与通信的 实体都是完全透明的，而无需实体在某些级别上进行密钥的交换。 综上所述，p k i 作为一种全面的安全基础设施，与其他特定应用程序或设备的 点对点的解决方案相比，有如下优势： p k i 是一个基于开放的、国际标准公认的基础设施技术，可以为所有的应用程 序和设备提供一致的解决方案，这也就保证了无论是企业内部还是企业问的系统都 具有良好的互操作性，避免了互不兼容的操作流程和点对点的技术方案不能处理的 多域间的复杂性问题，同时，实施、维护和操作单一的解决方案和多个点对点的解 决方案相比，工作量和开销都要低的多。 2 3 权限管理基础设施p m i 1 3 华北电力大学硕士学位论文 p k i 虽然可以提供身份认证、完整性和机密性服务，但对于网络安全服务中的 访问控制却是心有余而力不足，尽管可以在公钥证书的扩展项e x t e n s i o n s 中置入授 权信息，但这样却存在两个问题，一是授权信息的有效期比公钥证书的有效期要短 的多；二是公钥证书的颁发机构c a 不一定是掌握用户授权信息的权威部门。在这 种情况下，x 5 0 9 v 4 中提出了权限管理基础设施p m i 的概念，定义了属性证书a c 用来负责授权信息的管理，将授权信息即属性信息同属性证书的持有者进行绑定。 p m i 似”1 建立在p k i 身份认证的基础上，对经过p k i 安全身份认证的实体进行安全 授权，以属性证书的形式实现授权管理，为访问控制决策提供授权信息。p m i 体系 的核心内容是实现属性证书的有效管理，包括属性证书的产生、使用、撤销等。p m i 图2 - 6p m i 的结构图 的结构如图2 6 所示，其中： ( 1 ) 属性权威源s o a 是授权管理体系中的中心业务节点，相当于p k i 系统中 的根c a ，对整个系统的特权分发具有最终责任。s o a 最主要的职责是授权策略管 理、应用授权受理、a a 中心的设立审核及管理等； ( 2 ) 属性权威a a 是授权管理体系中的核心业务节点，是对应于具体应用系统 的授权管理分系统，由各应用部门管理，s o a 授权给它管理一部分或全部属性的权 利。从中心的主要职责是应用授权受理，把一组属性同属性证书的持有者进行绑 定。从可以有多个层次，上级a a 授权给下级a a ，下级a a 授权管理的范围不超 过上级从； ( 3 ) 权限持有者( p r i v i l e g eh o l d e r ) 是使用属性证书的