（计算机软件与理论专业论文）数据交换平台安全机制的研究与设计.pdf

西北工业大学硕士学位论文摘要 摘要 当前，随着信息技术和网络技术的飞速发展，为了适应企业需要，有越来 越多的应用系统被开发和应用，我们周围可获取的信息越来越多，人们也越来 越认识到这些数据的价值，但是这些资源有时却不能被有效地利用数据以 不同的格式分散存放在不同的数据库、不同的系统中，很难把它们有效地集中 起来进行分析和展现。在这种环境下，跨企业级数据整合应运而生。 数据交换平台的提出和发展为异构的信息系统间，交换和共享数据提供了 一个很好的解决方案。但与此同时，也为各个信息系统带来了巨大的安全挑战。 如何保证和维护被交换信息的完整性和机密性，以及如何在异构的信息系统间 实现访问控制的协同等安全问题，都是整个数据交换平台亟待解决的问题。概 括来讲，涉及到的安全问题主要包括：身份认证、访问控制、数据机密性、数 据完整性和非否认性，它们是整个数据交换平台的安全基础，只有很好地解决 了这些问题，才能真正地实现安全的数据交换和共享。与此同时，为了能够有 效控制共享资源，数据交换平台的安全机制还应着重解决如下问题： ( 1 ) 如何与现有信息系统的安全机制很好地集成； ( 2 ) 如何通过w e bs e r v i c e s 提供安全服务。 文章在总结了现有的安全机制和安全技术后，结合数据交换平台中的安全 需求，提出了单交换中心的安全模型。文章详细地研究和实现了数据交换平台 中安全的各个方面，在有效地保证数据交换中心和适配器安全的同时，针对平 台的特殊需求和特点，提出了对称加密和非对称加密相结合，密文携带密钥发 送的密钥分发机制，这样既减少了密钥的数目，也增强了安全性。 最后，文章根据多交换中心的特点和安全需求，提出了多交换中心的安全 模型，特别是在多交换中心f 安全策略协同和权限的计算模型。结合项目的丌 发和验证，该安全模型的实现很好地满足了平台的安全需求，与其同时，希望 通过所做的工作，能为目前国内数据交换平台的安全，起到一定的借鉴作用。 关键词：数据整合，身份认证，访问控制，公钥基础设施，w e b 服务 曲北l 业大学硕士学位论文 a b s t r a c t a b s t r a c t t o d a y ，w i t ht h eh i g h s p e e dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g ya n dn e t w o r k t e c h n o l o g y ，i ti sm o r ea n dm o r en e c e s s a r yf o re n t e r p r i s e st oo p t i m i z et h e i re x t e r n a l a n di n t e r n a lb u s i n e s sf l o wm a n a g e m e n ta n dr e a l i z et h ea u t o m a t i o no ft h ed a t af l o w a n db u s i n e s so p e r a t i o n s t ob ea d a p t e dt ot h ee n t e r p r i s e s r e q u i r e m e n t ，m o t ea n d m o r ea p p l i c a t i o ns y s t e mi sd e v e l o p e d w i t ht h ed e v e l o p m e n to fd a t ae x c h a n g ep l a t f o r m ，t h es e c u r i t yi sr e q u i r e di n e v e r ya s p e c t i ne x l s t a b cs y s t e m s d i s t r i b u t e da r c h i t e c t u r e ，t h ee x c h a n g i n g a d a p t o ra c t sa st h es e r v e ra n dt h ea d a p t e ra c t sa st h ec l i e n t w e bs e r v i c e sa r eu s e da s t h ew a yo fs e r v i c ei n t e r a c t i o n t h es y s t e mm a k e su s eo fu s e rm a n a g e m e n tm o d e la n dr e s o u r c em a n a g e m e n t m o d e lb a s e do nl d a pt oi m p l e m e n ts y s t e mm a n a g e m e n ts e c u f i t gw h i c hf a c i l i t a t e s t h es y s t e m si m p l e m e n t a t i o no fr o l e b a s e da c c e s sc o n t r o l ( r b a c ) t h es y s t e m u s e sp u b l i ck e yi n f r a s t r u c t u r ef p r - a ) t oi m p l e m e n ts t r o n ga u t h e n t i c a t i o na n d p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ( p m i ) t oi m p l e m e n ts t r o n ga u t h o r i z a t i o n r b a ci su s e dt oi m p l e m e n ts y s t e m sa c c e s sc o n t r 0 1 t h et h e s i sm a k e sas t u d yo ft h e a b o v et h r e et e c h n o l o g i e sa n d ad e t a i l e d d e s c r i p t i o n o nt h e d e s i g n a n d i m p l e m e n t a t i o no fr b a c b a s e do np m i a tl a s t ，t h et h e s i sm a k e sar e s e a r c ho nt h ew e bs e r v i c e sa n di t s s e c u r i t y t e c h n o l o g i e s t h es y s t e m sw e bs e r v i c e ss e c u r i t y i s i m p l e m e n t e dw i t hx m l s i g n a t u r e ，x m le n c r y p t i o na n ds o a ps e c u r i t ye x t e n s i o n s ，w h i c he n s u r et h ed a t a s c o n f i d e n t i a l i t ya n di n t e g r i t yi nt h ep r o c e s s o fs e r v i c ei n t e r a c t i o n k e y w o r d s ：d a t ai n t e g r a t i o n ，a u t h e n t i c a t i o n ，a c c e s sc o n t r o l ，p i g ，w e bs e r v i c e s 堕! 型：些盔堂塑主兰堡堡壅 笙二童笪堡 1 1 选题背景和意义 第一章绪论 在高速发展的现代信息社会，政府和企业对信息管理的需求愈加复杂，市 场的压力要求决策层更快、更准确地做出决策。为了适应企业需要，有越来越 多的应用系统被开发和应用，我们周围可获取的信息越来越多，人们也越来越 认识到这些数据的价值，但是这些资源却不能被有效地利用数据以不同的格 式分散存放在不同的数据库、不同的系统中，很难把它们有效地集中起来进行 分析和展现，查找和处理数据需花费大量的时问和人力，有效信息的整理和传 递工作比以往任何时候都要困难，系统多样、信息分散等问题也更为突显。面 对数据资源的急剧膨胀，我们面临更加严峻的挑战： ( 1 ) 大量的数据没有标准和规范的接口，无法共享通用的数据源，信息相 对封闭，共享程度低； ( 2 ) 信息加工、处理还在采用半手工方式，影响信息质量。无法赢接从各 信息系统或业务系统采集数据并加以综合利用； ( 3 ) 业务产生的大量数据无法提炼升华为信息，并及时提供给决策部门； ( 4 ) 己有的业务信息系统平台及开发工具互不兼容，无法在大范围内应用； ( 5 ) 无法对分散异构的多数据源实现实时的统一访问。 面对大片分散的信息孤岛，如何去改变昵? 改变的途径当然不是推倒重来， 因为这不现实，代价也太大。目前迫切需要的，是在以往的基础上，对现有的 系统加以有效的整合和提升。什么是数据熬合? 就是对分散的异构的多数据源 实现统一的访问，实时地、智能地将有价值的数据传递给分析系统或其他应用 系统，进行信息的进一步加工。通过数据的整创”，企业可以降低投入成本， 充分利用现有系统，达到最大的资源利用，从而提高企业人员的工作效率，提 升企业自身的综合能力，强化核心竞争力。 在满足这一需求的过程中，信息集成技术1 2 】扮演了极其重要的角色。利用 信息集成技术可实现对传统和新兴数据源的统一、实时访问，还可进行信息转 换来满足业务分析人员的需要，并能对数据安排进行管理，提高性能、现时性 和可用性。这样一来，实现对面向客户的电子商务解决方案的快速、持续、轻 松的访问也就顺理成章了。 詹息化建设过程中，各职能部门通常采用不同的技术和体系结构来构建自 身的信息系统，使得跨平台数据共享与访问成为困难。目前异构系统之问的数 据交换与共享主要有两种方式来实现，比较常见的是使用消息中问件( m s m q 、 堕! 坚：些查堂塑主堂垡丝壅 蔓二童堕堡 i b mm q 等) 或者类似j m s 束实现在异构系统之间传递封装后的数据，从而达 到数据的交互与共享 3 】【4 1 。另外，随着s o a p ( 简单对象访问协议) 和w e bs e r v i c e s 技术的出现，提供了一种简单通用的，穿透力较强的，在松耦合、分布式的系 统之间的对象访问能力，在此基础之上进行数据的交换与共享。 数据交换平台的提出和发展为异构的信息系统间，交换和共享数据提供了一 个很好的解决方案。但与此同时，由于当前的企业计算环境变的日趋复杂，系统 及其网络结构变得更加庞大和开放，因此在系统的各个环节和领域产生了各种各 样的安全威胁，也为各个信息系统带来了巨大的安全挑战。如何保证和维护被交 换信息的完整性和机密性，以及如何在异构的信息系统间实现访问控制的协同等 安全问题，都是整个数据交换平台亟待解决的问题。概括来讲，涉及到的安全问 题主要包括： n 1 认证，对通信的对等实体和数据来源的验证； ( 访问控制，防止对资源未经授权的访问和使用： ( 3 ) 数据机密性，对数据进行加密，防止未经授权的泄漏； h ) 数据完整性，保证数据的完整性，防止被恶意篡改或受到意外破坏； ( 5 ) 非否认性，防止数据的发送者和接收者对其行为的抵赖。 今天，市场上充斥着各种各样的解决方案和工具，但他们都普遍具有以下不足 之处或者仍有待考虑的问题： ( 1 )平台支持 数据交换平台运行的环境是整个其安全的基础。只有在一个安全的运行环境 下，数据交换平台自身的安全机制才有保障。在现今许多的产品中，对其运行环 境安全性的考虑和有机集成是一个薄弱的环节。 ( 2 )策略协同 在很多情况下，为一个应用制定的安全策略，往往不能被其他应用中的安 全机制所理解和支持，这样就不能有力地支持用户身份的漫游和访问控制信息 的映射。鉴于此，就需要认真地考虑和解决这一问题。 ( 3 )支持打包应用的高级应用 对于一个安全解决方案来说，与现有应用和e r p 中的安全机制连接是非常重 要的，只用这样才能使数据交换平台与现有的应用有机地集成，更容易为用户所 接受。 ( 4 )移植性 许多数据交换平台下的安全解决方案是为卟特定的平台所写，在需要的时 候，再被移植到其他环境。这个过程中，一些特色和功能将会丢失并需要对产品 做一些修改来支持新的硬件环境。无论是产品的行为还是可靠性都可能发生变 西北f ：业大学硕十学位论文 第一章绪论 化，从而造成一些问题。 上述的各个安全方面是整个数据交换平台的安全基础，只有很好地解决了这 些问题，才能真正地实现安全的数据交换和共享。与此同时，为了能够有效地共 享资源，数据交换平台的安全机制还将着重解决如下问题： ( 1 1 异构系统间安全策略的协同； ( 2 ) 如何与现有的信息系统有机地集成； ( 3 ) 如何通过w e bs e r v i c e s 提供安全服务； ( 4 ) 企业信息系统自身存在的安全问题； f 5 1 系统管理问题。 1 2 国内外发展现状 1 2 1 技术规范和标准 ( 1 ) 由i s o 制定的开放系统下的安全框架标准：i s o i e c1 0 1 8 1s e c u r i t y f r a m e w o r k si no p e ns y s t e m s ； ( 2 ) 由i t u 提出的公钥和属性证书框架：u t r e c x 5 0 9 i s o i e c 9 5 9 4 - 8 ， t h ed i r e c t o r y ：p u b l i c - k e ya n da t t r i b u t ec e r t i f i c m ef r a m e w o r k s 【s 】； ( 3 ) 由o p e ng r o u p 于1 9 9 5 年1 2 月发布的c a e 规范：g e n e r i cs e c u r i t y s e r v i c e a m ( g s s - a p o 。浚规范所定义的a p i 以独立于平台和语言的方 式向调用者提供安全服务，并支持应用程序在不同环境问的源代码级 移植； ( 4 ) 由w 3 c ( w o r l dw i d ew e bc o n s o r t i u m ) 于2 0 0 2 年发布的x m l 签名推 荐标准：x m l - s i g n a t u r es y n t a xa n dp r o c e s s i n g ； ( 5 ) 由w 3 c 于2 0 0 2 年发布的x m l 加密推荐标准：x m le n c r y p t i o ns y n t a x a n dp r o c e s s i n g ； ( 6 ) 由i b m ，m i c r o s o f t ，v e r i s i g n 等厂商联合提出的w e b 服务安全标准： w e bs e r v i c e ss e c u r i t y ( w s - s e c u r i t y ) 。 1 2 2j 2 e e 安全计算开发平台 j 2 e e ( j a v a2e n t e r p r i s ee d i t i o n ) 是一个利用j a v a 2 平台来进行企业信息系 统开发、部署和管理的体系结构。j 2 e e 技术的基础是核心j a v a 平台，它在j a v a 语言本身的安全特性之上，构建了框架自身的安全体系。 西北1 ：业大学硕士学位论文 第一章绪论 ( 1 ) j 2 e e 平台提供了基于容器的安全，由容器来负责组件的安全，这种安 全逻辑和业务逻辑相对独立的架构使得企业级应用系统具何更好的灵 活性和扩展性： ( 2 ) j 2 e e 平台根据客户端类型的不同定义了两种验证：w e b 客户端验证和 a p p l i c a t i o n 客户端验证。有些j 2 e e 产品厂商把容器的验证服务和本地 系统的验证服务或其他应用系统产品的验证服务集成起来，从而在 定的应用系统范围内实现单点登录能力： ( 3 ) j 2 e e 平台定义了一套授权模型，其中包括代码授权，调用者授权，安 全角色引用等。 目前越来越多的企业应用构建在j 2 e e 平台上，其安全性能也在工程实践中 逐步得到了验证。 1 3 课题内容 本课题的主要研究内容涵盖以下六个方面的内容： ( 1 ) 0 s i 安全体系提供的安全机制 主要包括：数据加密、数字签名、访问控制、数据完整性、认证交换。 ( 2 )访问控制模型 访问控制是指系统依据某些策略对主体访问客体所进行的控制，访问控制 模型是对这一过程的模型化研究方法。传统的访问控制模型有：强制访问控制 模型、自主访问控制模型和基于角色访问控制模型。课题将从保密性约束和结 构化需求的安全标准出发，研究它们在数据交换平台下的实现，分析这些它们 各自的优缺点，重点考虑如何将数据交换平台的访问控制模型与安全操作系统 的访问控制模型进行有机地结合。 ( 3 ) 用户管理模型 在数据交换平台中，为了能够有效地进行认证、授权、访问控制和审计， 并且，为了支持用户一次登录，多次授权的实现，以及用户身份的自动漫游， 都需要认真考虑和设计用户的管理模型。 ( 4 )资源管理模型 在数据交换平台中，资源是一个很广的概念，主要指被交换的数据。作为 被交换和共享的对象，如何对这么多不同种类的资源进行有效的统一管理，为 访问控制提供有力地支持，也是课题研究的一个重点。另外，管理模型还需要 考虑对语义的支持，这样的结构包含了机器可读的分类信息，可以自动地对资 源进行语义查询检索和分析操作。 ( 5 )用户身份的自动漫游 西北1 1 业大学硕士学位论文第一章绪论 用来支持用户的身份信息在平台中透明地传输和映射，用户只需一次登录， 当他访问不同的信息系统时，自动完成用户身份的映射和转换，从而免除了用 户在不同的信息系统多次登录的麻烦。 ( 6 )安全策略的协同 用以在信息系统间，有效地实现访问控制信息的映射、用户身份的映射和 协同等。 曲北：i ：业大学硕十学位论文 第二章数据交换平台安全技术概述 第二章数据交换平台安全技术概述 2 1 密码技术 2 1 1 对称密码体制 对称密码体制的特征是用于加密和解密的密钥是相同的或容易相互推出【“。 为了提供机密性，a 和b 通过某种方式获得一个共享的秘密密钥，该密钥只有 a 和b 知道，其他人都不知道。a 或b 通过使用该密钥加密发送给对方的消息 以实现机密性。只有对方可以解密信息。 对称密码体制的安全性依赖于以下两个因素： ( 1 ) 加密算法必须是足够强的，使得仅仅基于密文本身去解密信息在实践 上是不可能的； ( 2 ) 加密方法的安全性依赖于密钥的秘密性，而不是算法的秘密性，因此， 我们没有必要确保算法的秘密性，而需要保证密钥的秘密性。 对称加密系统的算法实现速度极快，但对称加密系统最大的问题是密钥的 分发和管理非常复杂，代价高昂。比如对于具有n 个用户的网络，需要n ( o 一1 ) 2 个密钥；对于大型网络，当用户群很大，分布很广时，密钥的分配和保存就成 了问题。 2 1 2 非对称密码体制 非对称密码体制是建立在密匙对的基础上的，它使用两把相关联的钥匙对， 公钥用于发件人加密报文，私钥由收件人保存，用来解开由公钥加密的信息。 有两种不同的方式使用密匙： ( 1 ) 发送者使用接收者的公钥来加密信息，这时只有接收者使用自己的私 钥才能解开信息，这样可以保证信息传递的机密性； f 2 1 发送者使用自己的私钥对信息进行加密，接受者可以用发送者的公钥 进行解密，因为私钥只有发送者才有，这样可以确定发送者身份的真 实性。 r s a 算法属于非对称密码算法。该算法利用了数论领域的一个事实，即“虽 然把两个大素数相乘生成一个合数是很容易的事情，但是要把一个合数分解为 两个素数却十分困难”。该算法无须收发双方同时参与加密过程，因此非常适合 西北f 业大学硕士学位论文第二章数据交换平台安全技术概述 于电子邮件系统。 2 2 数字签名 所谓数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的 密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和 数据单元的完整性并保护数据，防止被人f 例如接收者) 进行伪造。它是对电子 形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。基 于对称密码体制和非对称密码体制都可以获得数字签名，目前主要是基于公钥 密码体制的数字签名，包括普通数字签名和特殊数字签名。普通数字签名算法 有r s a 、e l g a m a l 、f i a t s h a m r 、s c h n o r r 、o n g - s c h n o r r - s h a m i r 数字签名算法等。 2 3 访问控制 访问控制是指系统依据某些控制策略或权限对主体访问客体所进行的控制 【6 】。访问控制模型是对这一过程建立的模型化的研究方法。访问控制包括三个 要素： ( 1 ) 主体( s u b j e c t ) ：是可以对其它实体施加动作的主动实体； f 2 1 客体( o b j e c t ) ：是接受其他实体访问的被动实体； ( 3 ) 策略( p o l i c y ) ：是主体对客体的操作行为集和约束条件集。 2 3 1 自主访问控制 自主访问控制模型( d a c ，d i s c r e t i o n a r ya c c e s sc o n t r o lm o d e l ) 是根据自主 访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略 规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所 拥有的客体访问权限授予其它用户。其特点是授权的实施主体自主负责赋予和 回收其他主体对客体资源的访问权限。d a c 模型一般采用访问控制矩阵和访问 控制列表( a c c e s sc o n t r o ll i s t ) 来存放不同主体的访问控制信息，从而达到对主 体访问权限的限制目的。 l i n l i x 、u n i x 、w i n d o w s n t 等操作系统都提供自主访问控制的功能。由 于用户可以任意传递权限，那么，没有访问权限的用户a 就能够从具有访问权 限的用户b 那里得到访问权限，因此，d a c 模型提供的安全防护相对比较低， 不能给系统提供充分的数据保护。 西北工业大学硕十学位论文 第二章数据交换平台安全技术概述 2 3 2 强制访问控制 强制访问控制( m a c ，m a n d a t o r y a c c e s sc o n t r o lm o d e l ) 是由安全管理员按 照安全策略将主体和客体赋予不同的安全标记，然后根据主体和客体的安全标 记来决定访问模式，如可以分为绝密级、机密极、秘密级等。这样就可以利用 向下读、向上写来保证数据的保密性，并且通过这种梯度安全标记实现信息的 单向流通。在m a c 访问控制中，用户和客体资源都被赋予一定的安全级别，用 户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权 限。和d a c 模型不同的是，, m a c 是一种多级访问控制策略，它的主要特点是系 统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象 分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象 的安全级别属性进行比较，再决定访问主体能否访问该受控对象。 2 3 3 基于角色访问控制 基于角色访问控制( r b a c ，r o l e b a s e d a c c e s sc o n t r o lm o d e l ) 的核心思想是 在访问的主体和权限之间提供了角色概念用，权限被绑定在角色上，而用户则 被赋予不同的角色。r b a c 的基本模型如2 1 图所示： r o l eh 咛旧曲v 幽2 - 1r b a c 基本模型 在上图中，用户u 被赋予角色r ，权限p 被绑定在角色r 上。用户可以在一 次会话中激活他所关联的角色集中的一个角色子集，行使这个集合中角色所对 应的权限。限制( c o n s t r a i n t s ) 可以用来实现更高层次的控制策略【8 1 ，对整个系 统的运行施加一些特定于组织环境的限制。用户和角色之问是多对多的关系， 而权限和角色之问同样也是多对多的关系。角色支持继承，在继承层次关系中 下层的角色自动继承所有的祖先角色对应的权限。 r b a c 模型很好的模拟了现实世界【9 】【1 0 l 。在个组织中，每一个组织成员都 在自身的业务岗位上工作，而根据组织的业务需求，不同的岗位具有不同的职 能和权利，这些在组织的计算环境中则表现为：系统根据不同的职能部门没定 幽北工业大学硕士学位论文第二二章数据交换平台安全技术概述 不同的角色，根据部门的权利为其对应的角色分配特定的系统操作权限。 2 4 身份认证 身份认证是系统安全的基础，目前公钥基础设施p k i ( p u b l i ck e y i n f r a s t m c t u r 曲正逐渐成为网络环境下系统身份认证的主流。它是世界安全领域 的学者和科研机构为解决i n t e r n e t 安全问题，经过多年研究所形成的一套完整的 安全解决方案。它采用证书管理公钥，通过可信任的第三方机构：c a 认证中 心，把用户的公钥和用户的其它标识信息捆绑在一起，在i n t e r a c t 网上验证用户 的身份。 通常认为，一个典型、完整、有效的p k i 应用系统至少应包括： f 1 、认证机构( c a ) ； 证书库： 伶) 证书的撤销： ( 4 ) 密钥的备份和恢复； ( 5 ) 自动密钥更新； ( 6 ) 密钥历史档案； ( 力交叉认证； ( 8 ) 支持非否认服务； 时间戳。 2 4 1 眯i 组成 i t u tx 5 0 9 标准定义了公钥基础设施p k i 体系结构，它包括了认证机构 注册机构，和证书库等几部分，具体如下图2 2 所示： 8 认证回答 幽2 2p k i 的组成 ( 1 ) 认证机构c a ( c e i t i f i c a t ea u t h o r i t y ) 1 0 两北工业大学硕士学位论文 第二章数据交换平台安全技术概述 c a 中心，又称为数字证书认证中心，它负责确认身份和创建数字证书以建 立身份和公私密钥之间的绑定关系。它涵盖了实施这过程中所涉及到的软 件、硬件、服务、策略等。c a 中心作为受信任的第三方，负责为各个实体颁 发数字证书，以证明各实体身份的真实性，并负责检验和管理证书。c a 豹核 心功能就是发放和管理数字证书。概括地说，c a 认证中心的功能【1 2 】主要有： 证书发放、证书更新、证书撤销和证书验证。 ( 2 ) 注册机构r a ( r e g i s t r ya u t h o r i t y ) r a 负责对申请者进行注册和初始鉴定。证书申请者向r a 提出注册请求并 在请求被批准之后被授予证书，同时r a 还将提供包括证书撤销在内的其他服 务。r a 可以被实现为证书服务器的一部分，也可以形成一个独立组件。 ( 3 1 证书库( c e r t i f i c a t er e p o s i t o r y ) 用户在注册之后，其证书和公钥都需要被公布出去，证书库就是用来提供 公布机制以支持证书的公开分发的地方。通常证书库采用目录来实现，比较常 见的是l d a p ( l i g h t w e i g h td i r e c t o r y a c c e s sp r o t o c 0 1 ) 目录。 2 4 2p k i 信任模型 p 信任模型提供了建立和管理信任关系的框架，多个认证机构( c a ) 之间 的信任关系保证了所有的p k i 用户不必依赖和信任单一c a ，否则将无法扩展 对证书的管理。信任模型的建立确保一个c a 签发的证书能够被另一个c a 的 用户信任。p k i 中主要有如下几种信任模型： ( 1 1 认证机构的严格层次结构 该结构可以描述为一棵倒置的树，根代表一个对整个p k i 域内的所有实体 都有特别意义的c a 通常被叫做根c a ，其作为信任的根。在根c a 的下面的 是零层或多层的中间c a ，这些c a 有中间节点代表，从中间节点再伸出分支。 零 终端实体 图2 - 3 认证机构的严格层次结构 在多层的层次结构中，终端实体直接被在其上面的c a 认证( 更准确地说 是颁发证书) ，但是它们的信任锚是另个不同的c a 。对没有子c a 的较浅的 层次结构，列所有的终端实体来说根和证书颁发者是相同的。 1 1 西北，i ：业大学硕士学位论文 第二章数据交换平台安全技术概述 ( 2 ) 分布式信任结构 与在p k i 系统中的所有实体都信任唯一一个c a 的严格层次结构相反，分 布式信任结构把信任分散到两个或更多c a 上。 7 入j f ；干天 ；土土工i；i 图2 4 分布式信任结构 如果这些层次结构都是浅层的可信颁发者层次结构，那么该总体结构被称 作完全同位体结构，因为所有的c a 实际上都是相互独立的同位体。而另一方 面，如果所有的层次结构都是多层结构，那么最终的结构就被叫做满树结构( 注 意根c a 之间是同位体，但是每个根又是一个或多个子c a 的上级) 。混合结构 也是可能的。 f 3 ) w e b 模型 这种模型初看与分布式信任结构模型相似，但从根本上讲其与c a 的严格 层次结构模型更相像。w e b 模型通过与相关域进行互连而不是扩大现有的主体 群体。实际上，每个浏览器厂商都由自己的根，并且有厂商嵌入到浏览器中的 “根”c a 。唯一不同的是根c a 并不被浏览器厂商的根所认证，而是物理地嵌 入软件来发布，作为对c a 名字和它的密钥的安全绑定。实质上，这是一种有 隐含根的严格层次结构。 图2 - 5w e b 模型 ( 4 ) 以用户为中心的信任模型 在以用户为中心的信任模型中，每个用户都对决定信赖哪个证书和拒绝哪 个证书直接完全地负责。尽管最初的可信密钥集通常包括一个特定用户个人认 识的朋友、家人或同事的密钥，但这个决定可以被许多因素所影响。 旧北1 ：业大学硕士学位论文 第二章数据交换平台安全技术概述 a 1 i c e 的同事 v i d 图2 - 6 以用户为中心的信任模型 以用户为中心的信任也许用著名的安全软件程序p r e t t y g o o d p r i v a c y ( p g p ) 能最好地给予说明，特别是对它的更新实现。在p g p 中，一个用户通过担当 c a 和使他她的公钥被其他人所认证来建立所谓的“信任网”。当a l i c e 收到一 个号称属于b o b 的证书时，她将发现这个证书是由她不认识的d a v i d 签署的， 但是d a v i d 的证书是由她认识并且信任的c a t h e r i n e 签署的。a l i c e 然后就可以 决定是否信任b o b 的密钥。 ( 5 ) 交叉认证 交叉认证是一种把以前无关的c a 连接在一起的机制，从而使得在它们各 自主体群之间的安全通信成为可能。交叉认证的实际构成法除了最后交叉认证 的主体和颁发者都是c a 外与认证是相同的。 交叉认证可以是单向的，也可以是双向的。也就是说，c a l 可以交叉认证 c a 2 而c a 2 没有交叉认证c a l ；这种单向交叉认证导致了单个交叉证书，前 面提到的c a 层次结构是一个典型的实际应用。相反，c a l 和c a p 可以相互交 叉认证；这种相互交叉认证导致了两个不同的交叉证书并且这可能是更常见的 情况。 2 5 授权管理基础设施p m p m l ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ) 目标是向用户和应用程序提供授权 管理服务【”1 ，提供用户身份到应用授权的映射功能，提供与实际应用处理模式 相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体 应用系统的开发与维护。授权管理基础设施p m i 是一个由属性证书、属性权威、 属性证书库等部件构成的综合系统，用束实现权限和证书的产生、管理、存储、 西北工业人学硕士学位论文 第二章数据交换平台安全技术概述 分发和撤销等功能。p m i 使用属性证书表示和容纳权限信息，通过管理证书的 生命周期实现对权限生命周期的管理。属性证书的申请，签发，注销，验证流 程对应着权限的申请，发放，撤消，使用和验证的过程。而且，使用属性证书 进行权限管理方式使得权限的管理不必依赖某个具体的应用，而且利于权限的 安全分布式应用。 2 6x m l 技术 x m l 是e x t e n s i b l em a r k u pt a a g u a g e ( 可扩展的置标语言1 的缩写。1 9 9 6 年 1 1 月，波士顿s g m l 年会上，新的数据描述语言x m l ( e x t e n s i b l em a r k u p l a n g u a g e ) 可扩展标识语言公布于世，并向w 3 c ( w o r l dw i d ew e bc o n s o r t i u m ) t 式提案。w 3 c 组织于1 9 9 8 年2 月正式发布了关于x m l 的标准。 x m l 是个开放式的标准，它包括三个相互联系的标准： ( 1 ) x l v l u 可扩展的标识语言，e x t e n s i b l em a r k u pl a n g u a g e ) ； ( 2 ) x s l ( 可扩展的样式语言，e x t e n s i b l es t y l el a n g u a g e ) ； ( 3 ) x u 可扩展的链按语言，e x t e n s i b l el i n k i n gl a n g u a g e ) 。 这三个标准相辅相成，使x m l 语言在数据标记、显示风格和超文本链接方 面功能强大，对数据交换十分有利【1 4 j 。 x m l 作为现代计算机发展的一种新兴技术，已经成为一种潮流和标准，尤 其在商业领域，随着各种主流的编程语言及软件平台纷纷提供对x m l 的支持， 使得我们可以快速地开发出基于x m l 的各类商业应用。具体在我们的数据交 换平台开发中，采用x m l 来传递与处理信息【1 5 l ，可以为开发者和使用者带来 如下好处： ( 1 ) x d l 是面向数据的，与具体应用无关，因此在一个应用领域模块中引 用x m l 不会影响到其他应用： ( 2 ) 数据的定义与实际应用相互独立，有利于模块化开发和测试工作； f 3 ) x m l 的编程接口是一套中性的a p i ，常用的编程语言如ja _ 、，a 、c + + 、 v b 等都可以对x m l 数据进行编辑，检索： f 舢通过外部定义的不同规格的d t d 或s c h e m a ，可以对同套x m l 数 据做出不同的与环境相适宜的解析l l q ； f 5 ) 系统将来若要与外部另一使用不同d t d 定义的应用平台进行数据交 换，只要做一d t d d t d 的映射即可( 通过x s l t ) ； 且前所有的主流数据库管理系统都丌始支持x m l ，比如o r a c l e8 以上，d b 27 0 以上都直接支持x m l 文档到数据库的双向数据读写： ( 7 1x m l 采用了典型的树型结构，因此对一个x m l 对象的操作如遍历、 1 4 西北l ：业人学硕士学位论文第：章数据交换平台安全技术概述 查询、删除、添加等只要遵循的树操作便可。 2 7w e bs e r v i c e s w e bs e r v i c e s 是慕于网络的、分布式的模块化组件，它执行特定的任务，遵 守具体的技术规范，这些规范使得w e bs e r v i c e s 能与其他兼容的组件进行互操 作。它可以使用标准的互联网协议，如h ，r r p 和x m l ，将功能体现在互联网和 企业内部网上。w e bs e r v i c e s 平台是一套标准，它定义了应用程序如何在w e b 上实现互操作性【1 7 1 。 图2 7w e bs e r v i c e s 模型 w e bs e r v i c e s 平台必须提供一套标准的类型系统，用于沟通不同平台、编程 语言和组件模型中的不同类型系统。目前这些协议有： ( 1 ) x m l 可扩展的标记语言x m l 是w e bs e r v i c e s 平台中表示数据的基本格式。除了 易于建立和易于分析外，x m l 主要的优点在于它既与平台无关，又与厂商无关。 ( 2 ) s o a p s o a p 即简单对象访问协议( s i m p l eo b j e c ta c c e s sp r o t o c 0 1 ) 1 8 1 ，它是用于交 换x m l 编码信息的轻量级协议。它有三个主要方面：x m l - e n v e l o p e 为描述信 息内容和如何处理内容定义了框架，将程序对象编码成为x m l 对象的规则， 执行远程过程调用( r p c ，r e m o t ep r o c e d u r ec a l l ) 的约定。s o a p 可以运行存任何 其他传输协议上。 堕! ! ：兰些查堂堡主堂堕堡壅 塑三童塑塑窒垫! 鱼室全垫查塑堕 ( 3 ) w s d l w e bs e r v i c e s 描述语言w s d l ( w e bs e r v i c ed e s c r i p t i o nl a n g u a g e ) ，就是用机 器能阅读的方式提供的一个描述文档的语言，用于描述w e bs e r v i c e s 及其函数、 参数和返回值。因为是基于x m l 的，所以w s d l 既是机器可阅读的，又是人 可阅读的。 ( 4 ) u d d i u d d l ( u n i v e r s a ld e s c r i p t i o n ，d i s c o v e r ya n di n t e g r a t i o n ) 的目的是为电子商务 建立标准；u d d i 是一套基于w e b 的、分布式的、为w e bs e r v i c e s 提供的、信 息注册中心的实现标准规范，同时也包含一组使企业能将自身提供的w e b s e r v i c e s 注册，以使别的企业能够发现的访问协议的实现标准。 ( 5 1 远程过程调用r p c 与消息传递 w e bs e r v i c e s 本身就是在应用程序间实现通信。我们现在有两种应用程序 通信的方法：r p c 远程过程调用和消息传递。使用r p c 的时候，客户端的概念 是调用服务器上的远程过程，通常方式为实例化一个远程对象并调用其方法和 属性。r p c 系统试图达到一种位置上的透明性。 w e b s e r v i c e s 的主要目标是跨平台的可互操作性。为了达到这一目标，w e b s e r v i c e s 完全基于x m l 、s o a p 等独立于平台、独立于软件供应商的标准，是 创建可互操作的、分布式应用程序的新平台。在以下三种情况下，使用w e b s e r v i c e s 会带来极大的好处。 ( 1 )跨越防火墙的通信 “客户端一应用服务器一后台数据库”的三层结构的应用程序的发展要求 能通过i n t e m e t 让客户程序和服务器能分布在世界各地，那么客户端和服务器之 间的通信将是一个棘手的问题，因为客户端和服务器之间通常会有防火墙或者 代理服务器。如果中间组件换成w e bs e r v i c e s 的话，就可以从用户界面直接调 用w c bs e r v i c e s ，利用h r r p 上的s o a p 消息可以穿越防火墙的特性，实现跨 防火墙的通信。 ( 2 ) 应用程序集成 把不同语言写成的、在不同平台上运行的各种程序集成起来，这是需要花 费很大的开发力量的。通过w e bs e r v i c e s ，应用程序可以用标准的方法把功能 和数据“暴露”出来，供其他应用程序使用，从而完成跨平台的系统集成。 ( 3 ) 软件重用和数据共享 使用w e bs e r v i c e s ，再也不必像以前那样，要先从第三方购买、安装软件 组件，再从应用程序中调用这些组件；只需要直接调用远端的w e bs e r v i c e s 就 可以，实现了代码重用。w e bs e r v i c e s 在允许重用代码的同时，也可以罩用代 1 6 西北 业大学硕十学位论文 第二二章数据交换平台安全技术概述 码背后的数据。这是因为，当w e bs e r v i c e s 提供者的数据库更新后，调用w e b s e r v i c e s 的数据也得到了更新。 目前，w e b 服务技术还处于发展中，它的技术标准还不够完善，还存在技 术的局限性： ( 1 )可靠性和安全性 w e bs e r v i c e s 实现的往往是核心的事务逻辑，信任和安全问题成为必须解 决的重要问题。一方面，用户可以通过w s d l 和u d d ir e g i s t r y 知道存在的可 用服务及调用服务的方法，但并不了解服务提供者的身份；另一方面，服务提 供者借助w s d l 和r e g i s t r y 描述了技术和联系细节，可是无法决定哪些用户是 可以信任的。w 3 c 正在建立一些标准，当然也可以依靠一些专业的服务网络或 者使用第三方的解决方案。 ( 2 )事务性 传统的事务处理系统使用两阶段提交的方式，所有参与的资源都被集中起 来，并在整个事务发生之前被锁定，等到事务发生后，资源才被释放。这种方 式在事务生存时间很短的封闭环境中