（计算机应用技术专业论文）java认证与授权服务及其在web系统中的应用.pdf

重庆邮电大学硕士论文 摘要 摘要 随着网络技术的飞速发展，w e b 应用系统得到了越来越多的应用。而每个应 用系统往往都有自己的一套用户认证和授权方法，为了对用户进行统一的认证和 授权管理，所以有必要将不同系统的各种认证方法集中到一个框架中，也就是需 要有一个独立的、高安全性和可靠性的身份认证及权限管理系统，来完成对整个 w e b 用户的身份认证和权限管理。因此建立一个统一的身份认证和权限管理系统， 对用户实现统一的认证、统一的管理和统一的授权已经成为w e b 信息安全系统建 设中的重要环节。 j a a s 是能够实现这种框架的j a v a 版本。j a v a 2 安全框架提供的是基于代码源 的存取控制方式，j a a s 在此基础上还提供了基于代码运行者的存取控制能力。论 文深入分析了j a a s 技术，并提出了一个基于j a a s 的w e b 应用框架原型。采用 这个w e b 应用框架原型可以解决传统w e b 系统中的应用程序和认证模块紧密偶 合、独立性较弱的问题，使得认证模块和应用程序各自相互独立，可以单独开发， 它们之间的联系通过配置文件来实现。 最后，设计和实现了一个安全、高效、易于维护的基于j a a s 技术的w e b 应 用软件系统。然后对系统进行认证授权测试，结果表明，所实现的w e b 应用系统 具有认证和授权的相应功能。因此，所提出的基于j a m s 的w e b 应用框架原型具 有合理性，符合软件设计思想，可以优化系统开发过程和提高系统开发效率。 关键词：j a a s ，j a v a 安全性，认证，授权，w e b 原型 重庆邮电大学硕士论文 a b s t r a c t a b s t r a c t a st h er a p i dd e v e l o p m e n to f n e t w o r kt e c h n o l o g y , w e ba p p l i c a t i o ns y s t e mh a sb e e n m o r ea n dm o r ea p p l i c a t i o n s e a c ha p p l i c a t i o ns y s t e m so f t e nh a v et l l e i ro w ns e to fu s e r a u t h e n t i c a t i o na n da u t h o r i z a t i o n m e t h o d s ，t o u n i f i e du s e ra u t h e n t i c a t i o na n d a u t h o r i z a t i o nm a n a g e m e n t ，i ti sn e c e s s a r yt od i f f e r e n ts y s t e m so fv a r i o u sa u t h e n t i c a t i o n m e t h o d st of o c u s0 1 1af y a f f l e w o r k , t h e r ei sn e e df o ra ni n d e p e n d e n t ，h i g hs a f e t ya n d r e l i a b i l i t yo ft h ea u t h e n t i c a t i o na n da u t h o r i z a t i o nm a n a g e m e n ts y s t e m ，t oc o m p l e t et h e e n t i r ew 曲u s e ra u t h e n t i c a t i o na n dp r i v i l e g em a n a g e m e n t t h e r e f o r et h ee s t a b l i s h m e n t o fau n i f i e di d e n t i t ya u t h e n t i c a t i o na n dp r i v i l e g em a n a g e m e n ts y s t e mt oa c h i e v ea u n i f i e du s e ra u t h e n t i c a t i o n , u n i f i e dm a n a g e m e n ta n du n i f i e da u t h o r i z a t i o nh a sb e c o m e w e bi n f o r m a t i o ns e c u r i t ys y s t e mc o n s t r u c t i o no f m a j o rl i n k s j a a si sc a nr e a l i z et h i sk i n do ff r a m ej a v ae d i t i o n t h ej a v a 2s e e u r i t yf r a m e p r o v i d e di sb a s e do i lt h ec o d es o u r c ea c c e s sc o n t r o lw a y , j a a sh a sa l s op r o v i d e di nt h i s f o u n d a t i o nb a s e do nt h ec o d em o v e m e n ta c c e 鹞c o n t r o la b i l i t y t h i sp a p e rh a s t h o r o u g h l ya n a l y z e dt h ej a a st e c h n o l o g y , p r o p o s e dap r o t o t y p eo fw e bs y s t e m f r a m e w o r k u s i n gt h ew e ba p p l i c a t i o nf r a m e w o r kp r o t o t y p ec a l lr e s o l v et r a d i t i o n a l s y s t e mo fw e ba p p l i c a t i o n sa n da u t h e n t i c a t i o nm o d u l ec l o s ec o u p l i n g , w e a k e r i n d e p e n d e n c e ，w h i c hh a sa u t h e n t i c a t i o nm o d u l ea n da p p l i c a t i o no ft h e i rr e s p e c t i v e i n d e p e n d e n to fe a c ho t h e r , c a ns e p a r a t ed e v e l o p m e n t ，t h el i n k a g e sb e t w e e nt h e m t h r o u 曲c o n f i g u r a t i o nf i l e s f i n a l l y , t h ed e s i g na n dr e a l i z a t i o no fas e c u r e ，h i 【g h e f f i c i e n t , a n de a s yt om a i n t a i n w e ba p p l i c a t i o ns o f t - w a r eb a s e dj a a si sc a r r i e do u t w h e r e a f i e r , t h er e a la u t h e n t i c a t e d a n da u t h o r i z e dt e s t i n g ，t h ep e r f o r m a n c ea n a l y z i n go nt h es y s t e ms h o wt h a ti th a s a c h i e v e dt h ef u n c t i o no fa u t h e n t i c a t i o na n da u t h o r i z a t i o n t h u s ，b a s e do nt h ej a a s w 曲a p p l i c a t i o nf r a m e w o r kp r o t o t y p ei sr e a s o n a b l e c o n s i s t e n tw i t hs o f t w a r ed e s i g n , c a no p t i m i z es y s t 锄d e v e l o p m e n tp r o c e s sa n di m p r o v et h ee f f i c i e n c yo ft h e d e v e l o p m e n t k e yw o r d s ：j a a s ，j a v as e e u r i t y , a u t h e n t i c a t i o n , a u t h o r i z a t i o n , w e bp r o t o t y p e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研 究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得重庞邮直太堂或其他教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡 献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：互斗签字日期：如p 7 年岁月岁，e l 学位论文版权使用授权书 本学位论文作者完全了解重庆邮电太堂有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查 阅和借阅。本人授权重废邮电太堂可以将学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：王覃导师签名： 签字日期：少0 年，月3 。日 旅嘲毫 签字日期：研，月；。e l 重庆邮电大学硕士论文第一章绪论 1 1 研究背景 第一章绪论 在i n t e r n e t 技术蒸蒸日上的今天，我们不能够忽略的一个重要的方 面就是网络的安全性问题。安全是w e b 应用系统提供高质量服务的前 提和保证。安全的实施可以保证w e b 应用系统能够正常的运行，可以 使用户在高效、稳定的网络环境中访问资源。要想解决w e b 应用系统 中安全的问题，其实现的主要手段是使用者身份的认证。需要有一个独 立的、高安全性和可靠性的身份认证及权限管理系统，来完成对整个应 用系统的身份认证和权限管理。由于新的应用系统不断涌现，它们往往 都有自己的一套安全策略和用户认证方法，这给用户带来了极大的不便， 因此，有必要将这些认证方法集中到一个框架中。j a a s 就是这样的一 个框架 h 2 1 。在这个框架中，定义良好的接口使得无需改变或者干扰任 何现有的登录服务就可以加入多种认证技术和授权机制，应用程序可以 通过应用编程接口a p i p l ( a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e ) 方便地使用 框架提供的各种认证功能，而不必了解太多的底层细节。访问控制就是 通过某种途径显式地准许或限制访问权限及范围的一种方法。访问通过 控制用户可以访问的范围、功能、模块等，使系统提供的服务不被非法 使用。 1 2 发展现状 随着i n t e r n e t 技术和应用的飞速发展，对政治、经济、社会等各方 面都产生了巨大的影响，为资源共享、信息交换和分布处理提供了良好 的环境。以w e b 技术为代表的i n t e r n e t 网络技术的迅速发展，极大的改 变了人们的生活方式。 传统b s 模式的w e b 应用系统通过简单的用户名和口令验证身份， 己经不能完全满足目前对w e b 应用系统高安全性的要求，迫切需要通过 新的技术实现高安全性的w e b 应用系统，从而提高用户的满意度。 j a a s ( j a v aa u t h e n t i c a t i o na u t h o r i z a t i o ns e r v i c e ，j a v a 认证授权服务) 在此 种情况下应运而生，它强调通过验证用户身份和权限来保护应用系统免 受他人的攻击，同时还允许我们将一些标准的安全机制通过一种通用的， 重庆邮电大学硕士论文 第一章绪论 可配置的方式集成到应用系统中。从j 2 s e1 4 以后，j a a s 作为j a v a 的 标准安全模型被加入到核心开发包中。但在应用实践中并没有得到良好 的运用。原因之一是很多开发商和开发人员并没有意识到j a a s 良好的 扩展性给安全系统设计带来的好处，因此更习惯于采用编程方式实现安 全。另外一个原因是遗留系统问题，导致后续开发人员不愿意改动原有 设计架构。尽管如此，目前业界主流应用服务器还是对j a a s 进行了广 泛的支持。例如b e aw e b l o g i c 和i b mw e b s p h e r e 。而著名的开源项目 j b o s s 甚至以j a a s 模型为基础，扩展了一套功能更加强大的j a a s 安全 模型。 从上述分析情况来看，j a a s 的应用都远远没有达到应有的程度。 如何根据需求推广应用仍旧是值得研究的课题。 1 3 应用研究内容及意义 本课题的研究内容j a v a 认证与授权服务及其在w e b 系统中的应用， 在j a a s 的基础上使用r b a c 访问控制策略【4 】来解决w e b 系统中的统一 身份认证和授权问题。j a a s 技术是j a v a 2 的核心组成部分，是对标准 j a v a 2 安全模型【5 】的扩展。提供了对不同认证机制的支持并实现了多个认 证模块的堆叠登录。j a a s 还为运行时对资源的操作提供了授权框架， 提供一个接口来隐藏内部的验证和授权机制的复杂性。通过对j a a s 的 堆叠认证机制和访问控制机制的分析，可以理解j a a s 的基本原理和各 种相关技巧，掌握身份认证和授权技术的设计方法，并加以运用。还可 以在使用j a a s 所带来的便利的基础上适当加以扩展，给后续扩展工作 带来更大的便利。在网络迅猛发展的今天，本课题研究与设计的安全信 息管理子系统可带来良好的经济效益和社会效益。随着w e b 应用技术 在中国的飞速发展，对统一的用户身份认证和权限管理的需求将会不断 增加。 1 4 课题来源和主要工作 本课题为教研室自拟，以电信的号码百事通应用系统作为项目 背景，旨在跟踪国内外j a a s 技术的发展动态，了解和掌握j a a s 理系 统的理论、思想和技术，提出了一个w e b 应用系统原型并基于该原型实 现一个具有实用价值的号码百事通安全信息管理系统。 2 重庆邮电大学硕士论文第一章绪论 从2 0 0 6 年6 月进入课题开始，作者以“j a v a 认证与授权服务及其 在w e b 系统中的应用”为题，开始进行硕士论文准备工作。在导师的悉 心指导下，确定了课题研究的主要内容，在课题研究这段时间里，完成 了以下工作： 阅读并分析了大量有关j a a s 技术的资料及相关学术论文，对 j a a s 技术的概念、特点进行详细的讨论和分析； 总结归纳了若干开源的j a a s 项目，吸取了不同项目在平台搭建、 采用理论套路和底层实现技术等方面的经验，基于电信的号码百事通 应用系统的业务需求，确立了系统的技术框架和实现思路； 运用掌握的j a a s 系统的理论和实现机制，提出一个w e b 应用系 统原型，基于该原型，设计和实现了号码百事通安全信息管理系统； 着重解决了j a a s 的可插拔性，以及其在w e b 实际应用的可扩展 性。 1 5 论文结构 全文共分六章，各章内容如下： 第一章为绪论，介绍了论文研究背景、研究现状、研究内容及意 义。 第二章介绍了认证与授权的相关技术，包括各种身份认证机制、 访问控制策略，数据加密技术。 第三章对j a a s 技术理论进行研究，对j a a s 技术的认证与授权机 制进行了深入剖析，并提出了基于j a a s 的w e b 应用框架原型。 第四章基于j a a s 技术的w e b 系统应用设计。 第五章基于j a a s 技术的w e b 系统应用设计实现。 第六章系统的测试及性能分析，内容包括测试环境，系统测试和 性能分析。 第七章总结和展望。 重庆邮电大学硕士论文第二章身份认证与授权的相关技术 第二章身份认证与授权的相关技术 2 1 身份认证机制 身份认证又叫身份识别，它是通信和数据系统正确识别通信用户或终端的个 人身份的重要途径。身份认证是安全系统中的第一道关卡，用户在访问安全系统 之前，首先经过身份认证系统识别身份，实质上是查明用户是否具有对他所请求 的资源的使用权，是保证系统安全的重要措施之一，同时也是授权控制的基础。 身份认证必须做到准确无二义地将对方辨认出来，同时还应该提供双向的认证， 即相互证明自己的身份。目前常用的身份认证方法【6 l 主要有基于用户口令的认证方 法、基于挑战应答机制的认证机制、r a d i u s 认证方法、数字证书认证方法、基 于智能卡( 硬件实现) 和生物特征的用户身份认证、k e r b e r o s 认证方法等。 2 1 1 基于口令的认证机制 鉴别用户身份最常见也是最简单的方法就是基于口令的认证机制：系统为每 一个合法用户建立一个用户名e l 令对，当用户登录系统或使用某项功能时，提示 用户输入自己的用户名和口令，系统通过核对用户的用户名、口令与系统内登记 的合法用户名，口令对( 这些用户名，口令对在系统内是加密存储的) 是否匹配，如与 某一项用户名口令对匹配，则该用户的身份得到了认证。最常用的身份认证技术 是依靠静态口令字来鉴别用户身份的合法性。这种机制虽然能够为系统提供一定 的安全保护，但也存在如下缺陷：为了便于记忆，大多数网络用户选择常用词作 口令，很容易被猜到。一个口令多次使用，容易造成泄露和被黑客或心怀叵测的 人猜测到。黑客还可以通过网络嗅探( s n i f f e r i n g ) 技术从网上截获口令。口令自动破 译工具使猜测口令的时间大大缩短，甚至克服了口令加密的问题。只能进行单向 认证，即系统可以认证用户，而用户无法对系统进行认证。攻击者可能伪装成系 统骗取用户的口令。同时，在网络环境下，明文传输的缺陷使得这种身份认证方 案变得极不安全，一些网络环境中的服务，如f t p ，虽然仍然使用了明文传输的 用户名，口令身份认证方案，但多数时候这种服务己经退化为无需口令( 或口令公开) 的匿名文件传输服务。将口令加密传输，虽然可以在一定程度土弥补明文传输的 缺陷，但攻击者仍可以采用离线方式对口令密文实施字典攻击。 4 重庆邮电大学硕士论文 第二章身份认证与授权的相关技术 2 1 2 基于k e r b e r o s 的身份认证机制 k e r b e r o s t ”是一种受托的第三方认证服务( t r u s t e dt h i r dp a r t ya u t h e n t i c a t i o n s e r v i c e ) ，它是建立在双向认证的模型基础上的，k e r b e r o s 要求信任第三方，即 k c r b c r o s 认证服务器，k c r b c r o s 提供了一种在开放式网络环境下进行身份认证的方 法，它使网络上的用户可以相互证明自己的身份。k c r b e r o s 利用随机产生的入场券 ( t i c k e t ) 来获取会话密钥，避免了用户的口令在网络上的传播，它将认证从不安全 的工作站移到了集中的认证服务器上，为开放网络中的两个主体提供身份认证， 并通过会话密钥对通信进行加密。目前，k e r b e r o s 认证系统有两个公开版本( v 4 和 v 5 ) 。其中，版本5 是r f c l 5 1 0 指定的一种i n t c r n c t 标准，受到广泛支持。k c r b c r o s 缺点：认证码的正确性是基于网络中所有的时钟保持同步，如果主机的事件发生 错误，原来的认证码就可以被替换的。而大多数网络的时间协议都是不安全的， 在分布式系统中这将导致极为严重的问题。此外，还可能导致合法用户因网络延 迟而无法访问服务。k c r b c r o s 防止口令猜测攻击的能力很弱，攻击者可以收集大量 的许可证，通过计算和密钥分析进行口令猜测。当用户选择的口令不够强时，更 不能有效的防止口令猜测攻击。 2 1 3 基于数字证书的身份认证机制 数字证书是一个经证书授权中心( 也叫认证中心，简称c a ) 数字签名的包含公 开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称 以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证 机关( 证书授权中心) 的名称，该证书的序列号等信息，证书的格式遵循删x 5 0 9 国际标准。 一个标准的x 5 0 9 数字证书包含以下一些内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法： 证书的发行机构名称，命名规则一般采用x 5 0 0 格式； 证书的有效期，现在通用的证书一般采用u t c 时间格式，它的计时范围为 19 5 0 2 0 4 9 ： 证书所有人的名称，命名规则一般采用x 5 0 0 格式； 证书所有人的公开密钥； 重庆邮电大学硕士论文第二章身份认证与授权的相关技术 证书发行者对证书的签名。 当用户向某一服务器提出访问请求时，服务器要求用户提交数字证书。收到 用户的证书后，服务器利用c a 的公开密钥对c a 的签名进行解密，获得信息的散 列码。然后服务器用与c a 相同的散列算法对证书的信息部分进行处理，得到一个 散列码，将此散列码与对签名解密所得到的散列码进行比较，若相等则表明此证 书确实是c a 签发的，而且是完整的未被篡改的证书。这样，用户便通过了身份认 证。服务器从证书的信息部分取出用户的公钥，以后向用户传送数据时，便以此 公钥加密，对该信息只有用户可以进行解密。基于x 5 0 9 证书的认证技术适用于 开放式网络环境下的身份认证，该技术己被广泛接受，许多网络安全程序都可以 使用x 5 0 9 证书( 如：i p s e c ，s s l s e t 等) 。由于这种认证技术中采用了非对称密码 体制，c a 和用户的私钥都不会在网络上传输，避免了基于口令的认证中传输口令 所带来的问题。攻击者即使截获了用户的证书，但由于无法获得用户的私钥，也 就无法解读服务器传给用户的信息。基于x 5 0 9 证书的认证实际上是将人与人之 间的信任转化为个人对组织机构的信任，因此这种认证系统需要有c a 的支持。 c a 在确信用户的身份后才为用户签发证书，而c a 对用户身份的确认则遵循c a 自己定义的称为c p s ( c c r t i f i c a t i o np r a c t i c es t a t e m e n t ) 的规则，c a 通过这些规则来 判定用户是否存在和有效。证书将用户的唯一名称与用户的公钥关联起来。但这 种关联是否合法，却不属于x 5 0 9 所涉及的范畴。x 5 0 9 规定：凡是与语义或信任 相关的所有问题都依赖于c a 的证书常规声明c p s ，即关联的合法性取决于c a 自 己定义的c p s 规则。显然，这种做法会导致各个c a 对用户的确认方法和确认的 严格程度上的差异。因此，建立全球性的统一的认证体系以及相关的规范就显得 非常必要。全球公钥基础设施( ( p k i ) i8 】就是一个全球范围的相互信任的基础设施， 它是一种遵循标准的密钥管理平台。p i g 的构建主要围绕着认证机构、证书库、密 钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本部分来进行。 2 1 4 基于挑战应答机制的认证机制 基于挑战应答( c h a l l e n g e r e s p o n s e ) 的认证机制就是每次认证过程服务端给客 户端发送一个不同的“挑战”字串，客户端基于自己和服务端共享的知识( 一般是 用户的口令) 对“挑战”做出相应的“应答”。著名的r a d i u s 就是采用这种认证机 制。 6 重庆邮电大学硕士论文第二章身份认证与授权的相关技术 2 1 5 基于r a d i u s 认证机制 r a d i u s ( r e m o t e a u t h e n t i c a t i o n d i a l i n u s e r s e r v i c e ) 是一种在网络接入服务 器( n e t w o r ka c c e s ss e r v e r ) 和共享认证服务器间传输认证、授权和配置信息的协 议。r a d i u s 协议最初是由l i v i n g s t o n 公司提出的，r a d i u s 认证要用到基于挑战 ，应答( c h a l l e n g e r e s p o n s e 的认证方式。r a d i u s 是一种c s 结构的协议，它的客 户端最初就是n a s ( n e ta c c e s ss e r v e r ) 服务器，任何运行r a d i u s 客户端软件的 计算机都可以成为r a d i u s 的客户端。r a d i u s 协议认证机制灵活，可以采用p a p , c h a p 或者u n i x 登录认证等多种方式。r a d i u s 是一种可扩展的协议，它进行的 全部工作都是基于a t t r i b u t el e n g t hv a l u e 的向量进行的。r a d i u s 的基本工作原理 是用户接入n a s ，n a s 向r a d i u s 服务器使用a c c e s sr e q u i r e 数据包提交用户信 息，包括用户名、密码等相关信息，其中用户密码是经过m d 5 加密的，双方使用 共享密钥，这个密钥不经过网络传播；i 队d i u s 服务器对用户名和密码的合法性 进行检验，必要时可以提出一个“挑战”，要求进一步对用户认证，也可以对n a s 进行类似的认证；如果合法，给n a s 返回a c c e s s a c c e p t 数据包，允许用户进行下 一步工作，否则返回a c c e s s r e j e c t 数据包，拒绝用户访问。 m d n j s 服务器和n a s 服务器通过u d p 协议进行通信，采用u d p 的基本考 虑是因为b i a s 和r a d i u s 服务器大多在同一个局域网中，使用u d p 更加快捷方 便。r a d i u s 协议还规定了重传机制。如果n a s 向某个r a d i u s 服务器提交请求 没有收到返回信息，那么可以要求备份黜如i u s 服务器重传。由于有多个备份 黜心i u s 服务器，因此n a s 进行重传的时候，可以采用轮询的方法。如果备份 r a d i u s 服务器的密钥和以前r a d i u s 服务器的密钥不同，则需要重新进行认证。 2 1 6 基于智能卡的身份认证机制 上述身份认证机制依赖于用户知道的某个秘密的信息，而基于智能卡的身份 认证机制依赖于用户持有的特定硬件。智能卡主要分为两类：一类是包含有微处 理器并具有读、写和计算功能的智能卡；另一类为没有微处理器的内在卡，它只 能存储信息。现在智能卡的主要应用于移动通信、银行业、金融业和交通业，随 着智能卡技术的发展其应用范围将越来越广泛。 重庆邮电大学硕士论文第二章身份认证与授权的相关技术 2 1 7 基于生物特征识别的身份认证机制 生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。 常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认 证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具 有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。生物特征认证 基于生物特征识别技术，受到现在的生物特征识别技术成熟度的影响，采用生物 特征认证具有较大的局限性。首先，生物特征识别的准确性和稳定性还有待提高， 特别是如果用户身体受到伤病或污渍的影响，往往导致无法正常识别，造成合法 用户无法登陆的情况。其次，由于研发投入较大和产量较小的原因，生物特征认 证系统的成本非常高，目前只适合于一些安全性要求非常高的场合如银行、部队 等使用，还无法做到大面积推广。 2 2 访问控制 访问控制是为了限制访问主体如用户、进程、服务等对访问客体( 文件、系 统等) 的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么， 也决定代表一定用户利益的程序能做什么。访问控制主要包括自主访问控制d a c ( d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 1 9 1 、强制访问控制m a c ( m a n d a t o r y a c c e s sc o n t r 0 1 ) 和基于角色的访问控制r b a c ( r o l eb a s e d a c c e s sc o r 衄0 1 1 三种策吲”1 。 2 2 1 自主访问控制 自主访问控制是根据主体的身份和授权来决定访问模式。d a c 的主要特征体 现在有访问许可的主体可以自主地把自己所拥有的访问权限( 或其子集) 授予其它 主体或者从其它主体收回所授予的权限。访问控制表( a c l ) 是d a c 中通常采用的 一种安全机制，a c l 是带有访问权限的矩阵。安全管理员通过维护a c l 控制用户 访问企业数据。对每一个受保护的资源，a c l 对应一个用户列表或由用户构成的 组列表，表中规定了相应的访问模式。这种访问方式灵活性高，并被大量采用。 2 2 2 强制访问控制 强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 就是依据主体和客体的安全级 重庆邮电大学硕士论文 第二章身份认证与授权的相关技术 别匹配原则来决定主体是否有对客体的访问权。在自主访问控制的基础上，m a c 增加了对资源的属性划分，规定不同属性下的访问权限。一般安全属性可分为四 个级别：绝密级，秘密级，机密级和无密级。这种策略具有层次性的特点，高级 别的权限可以访问低级别的数据。系统对主体和客体都分配一个特殊的安全属性， 而且这一属性一般不能更改，系统通过比较主体和客体的安全属性来决定一个主 体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的安全属 性。强制访问控制还可以阻止某个进程共享文件，并阻止通过一个共享文件向其 它进程传递信息。m a c 一般规定了如下的四种强制访问控制策略：下读：用户级 别大于文件级别的读操作；上写：用户级别低于文件级别的写操作；下写：用户 级别大于文件级别的写操作；上读：用户级别低于文件级别的读操作；这些策略 保证了信息流的单向性，上读下写方式保证了数据的完整性，上写下读的方式则 保证了信息的安全性。强制访问控制措施安全性很高，给用户施加了严格的限制， 从而避免了自主访问控制方法中出现的访问传递问题。 2 2 3 基于角色的访问控制 r b a c 的基本思想是在用户和访问权限之间引入角色的概念，将用户和角色 联系起来，通过对角色的授权来控制用户对系统资源的访问。所谓“角色”，就是 访问权限的集合，用户通过赋予不同的角色来获得角色所拥有的访问权限。一个 用户可拥有多个角色，一个角色可授权给多个用户；一个角色可包含多个权限， 一个权限可被多个角色包含。用户通过角色享有权限，它不直接与权限相关联， 权限对存取对象的操作许可是通过活跃角色实现的。在r b a c 模型系统中，每个 用户进入系统时得到一个会话，一个用户会话可能激活的角色是该用户的全部角 色的子集。对此用户而言，在一个会话内可获得全部被激活的角色所包含的访问 权限。角色之间也可存在继承关系，即上级角色可继承下级角色的部分或全部权 限，从而形成了角色层次结构。r b a c 模型】还非常适用于数据库应用层的安全 模型，因为在应用层内，角色的逻辑意义更加明显和直接。 在一个组织中，针对各种工作职能定义不同的角色，同时，根据用户的责任 和资格来分配其角色。这样可十分简单地改变用户的角色分配，当系统中增加新 的应用功能时可以在角色中添加新的权限。此外，可撤销用户的角色或从角色中 撤销一些原有的权限。r b a c 的基本思想如图2 1 所示。 图2 1 用户角色权限图 重庆邮电大学硕士论文第二章身份认证与授权的相关技术 迄今为止已发展了四种r b a c 模型： r b a c 0 ( 基础模型) ，该模型指明用户、角色、访问和会话之间的关系； p a a c i ( 层次模型) ，该模型是偏序的，上层角色继承下层角色的访问权： r b a c 2 ( 约束模型) ，该模型除了包含r b a c 的所有基本特性外，增加了对 r b a c 的元素的约束检查，只有拥有有效值的元素才可被接受； r b a c 3 ( 层次约束模型) ，该模型兼有r b a c l 和r b a c 2 的特点。 2 3 数据加密技术 所谓加密是指将一个明文经过加密钥匙及加密函数转换，变成无意义的密文， 而接收方则将此密文经过解密函数、解密钥匙还原成明文。加密技术是网络安全 技术的基石。现代密码的设计是建立在解某个已知数学难题的基础上的，密码体 制的加密、解密算法是公开的，算法的可变参数( 密码) 是保密的，密码系统的安全 性仅依赖于密钥的安全性，密钥的安全性由攻击者破译时所耗费的资源所决定。 2 3 1 对称加密 对称加密是加密技术中最简单的一种。对称密钥密码体n t l 2 1 是一种经典的密 码体制，它将明文数据变换成密文数据。信息的通信双方需共享同一个密钥，加 密的强度依赖于密钥的长度。加密数据时，用密钥初始化密码算法，密码算法对 经过它的数据进行加密。解密过程与此类似，密码算法用同一密钥初始化，密码 算法对经过它的数据进行解密。它的使用过程可用图2 2 说明。 图2 2 对称密码加密 对称加密解密可以用在许多领域中。它比非对称加密，解密速度快得多，因此 主要用在大量数据要转换的情况下。文件加密、网络加密、数据库加密和解密都 使用相同的密钥，如果你要发送一个用对称加密算法加密过的信息，发放和收方 必须事先同意使用同一密钥。因此，通常使用对称加密算法对数据进行加密，使 用非对称加密算法对密钥进行加密。属于对称密钥密码体制的算法很多，如d e s 。 i d e a , r c 6 ，b l o w f i s h ，t r i d e s 和r i j n d a e l 等。 1 0 重庆邮电大学硕士论文第二章身份认证与授权的相关技术 2 3 2 非对称加密 非对称加密算法使用了一对密钥，一个用于加密信息，另一个则用于解密信 息，通信双方无需事先交换密钥就可进行保密通信。这两个密钥之间存在着相互 依存关系：用其中任一个密钥加密的信息只能用另一个密钥进行解密。 非对称加密算法中的密钥依据性质划分，可分为公钥和私钥两种。用户产生 一对密钥，将其中的一个向外界公开，称为公钥。另一个则自己保留，称为私钥。 凡是获悉用户公钥的任何人若想给用户传送信息，只需要用户的公钥对信息加密， 将信息密文传送给用户便可。因为公钥与私钥之间存在的依存关系，在用户安全 保存私钥的前提h ，只有用户本身才能解密该信息，任何未受用户授权的人包括 信息的发送者都无法将此信息解密。非对称加密体制模型如图2 3 所示。 图2 3 非对称加密体系模块 非对称密钥分配协议简单，极大简化了密钥管理。但非对称密码算法与对称 密码算法相比，处理速度较慢。r s a 算法【l3 】是一种公认十分安全的非对称密码算 法。它的命名取自三个创始人：r i v e s t ，s h a m i r 和a d e l m a n o 。r s a 算法是目前网 络上进行保密通信和数字签名的最有效的安全算法。l i s a 算法的安全性基于数论 中大素数分解的困难性，所以，r s a 需采用足够大的整数。因子分解越困难，密 码就越难以破译，加密强度就越高。 2 3 3 消息摘要 消息摘要是使用散列函数来创建摘要的算法。消息摘要的目的就是确认消息 是否被修改过。为了检查摘要的完整性，它必须和原始摘要比较，原始摘要必须 是接收者相信没有被篡改过的。不管数据的长度有多大，消息摘要的长度通常只 有1 6 或2 0 个字节长。消息摘要计算起来比较简单，利用消息摘要算法对数据进 行处理既可得到消息摘要【1 4 l 。其过程如图2 4 所示。 习 哼 第一 爨 日 重庆邮电大学硕士论文 第二章身份认证与授权的相关技术 名翌翌嘲 匝) 一鍪卜至 i 鲎皇卜霎薹h 兰一竺要一 2 3 4 消息认证码 图2 4 摘要产生过程 消息认证码可以验证来自一组持有保密密钥的用户的消息。m a c 技术验证保 密密钥的用户创建了消息，要把保密密钥传递给其它用户，就会发生密钥交换。 消息认证码通常用于不安全的网络，如i n t e r a c t 上鉴别传送的数据。通信的双方交 换密钥，然后用这个密钥对数据进行验证。因为是通过密码的方法利用共享密钥 来保护消息摘要，所以m a c 解决了如何在不安全的网络环境中传送消息摘要的问 题。产生消息认证码的过程见图2 5 。 2 3 5 数字签名 图2 5 消息认证码的产生过程 公开密钥算法与杂凑函数的结合，可以完成数字签名的功能。数字签名1 5 1 是 一种重要的消息摘要，它是用自己的私钥进行处理的。可以先将要签名的数字发 送到消息摘要算法，然后消息摘要和私钥送给签名算法。所得到的数据就是所要 得到的数字签名，它是用私钥签名的。签名数据与原始数据一起传送，以此证明 该数据是由持有私钥的人签署的。签名过程如图2 6 所示。 1 2 重庆邮电大学硕士论文第二章身份认证与授权的相关技术 图2 6 数字签名过程 为了验证签名，必须使用签名者的公钥，然后比较数据的消息摘要，如果相 同，就可以知道该数据是用对应的私钥签名的，因此可以通过这个结果知道，数 据自签名后没有被修改。签名验证的过程如图2 7 所示。 厂五；n一墓笋m i 自i ) r _ 1 # 豳 i 2 4 本章小结 本章介绍了身份认证与授权的相关技术的基本知识和基本操作，对身份认证 机制、访问控制机制和数据加密技术分别进行了介绍。 重庆邮电大学硕士论文第三章j m s 技术理论研究 3 1j a a s 概述 第三章j a a s 技术理论研究 j a v a 验证和授权服务( j a a s ：j a v a a u t h e n t i c a t i o n a u t h o r i z a t i o ns e r v i c e ) t 1 6 1 是一 个能让您在j a v a 中验证用户和给用户授权的可移植性接口。简而言之，它能使您 登录一个系统而无需知道底层所采用的安全系统是什么。由j a a s 中的后台实现 ( 例如一个应用服务器) 来决定您所提交的凭证是否真实。j a a s 是s u n 公司为了进 一步增强j a v a 2 安全框架的功能而提供的编程接口，它是j d k l 3 的标准扩充，并成 为j d k l 4 的一个组成部分，是j a v a 安全编程的一个重要补充。j a v a 2 安全框架提 供的是基于代码源的存取控制方式，而j a a s 还提供了基于代码运行者的存取控制 能力。随着i n t e m e t 的安全问题日益受到重视，j a a s 编程接口和安全服务作为j 2 e e 1 4 标准的一部分，必将会在j a v a 应用编程中得到更广泛的应用。事实上，很多的 j 2 e e 应用服务器，如w e b l o g i es e r v e r ，己经采用j a a s 作为安全编程的基础。j a a s 主要由认证和授权两大部分构成。不管j a v a 代码是作为a p p l i c a t i o n i ”1 a p p l e t b e a n 还是s e r v l e t 运行，j a a s 认证部分都能提供安全可靠的方法，决定谁可以执行哪 些j a v a 代码。j a a s 授权部分是对以前j a v a 2 安全框架的补充，它可以限制某些j a v a 代码执行敏感任务，这种限制除了取决于和j a v a 2 安全框架相似的代码源外，还取 决于被认证者。j a a s 认证通过插件的形式工作，这可以使j a v a 应用程序独立于底 层的认证技术，应用程序可以使用新的或经过修改的认证技术而不需要修改应用 程序本身。应用程序通过实例化一个登录上下文对象来开始认证过程，这个对象 根据配置决定采用哪个登录模块，而登录模块决定了认证技术和登录方式，比较 典型的登录方式可能是提示输入用户名和口令，还有的可能是读入并核实声音或 指纹样本。代码执行者被认证后，j a a s 的授权部分就和j a v a 2 存取控制模型一起 保护对敏感资源的访问。j a a s 的存取控制既基于代码源，也基于代码的运行者， 它们在逻辑上构成了同一个策略。图3 1 给出了j a a s 的概览。应用程序层的代码 只需要和l o g i n c o n t e x t 打交道。在l o g i n c o n t e x t 之下是一组动态配置的 l o g i n m o d u l e 对象，这些对象使用相关的安全基础结构进行验证操作。图3 1 描述 了j a a s 的概述。 1 4 重庆邮电大学硕士论文 第三章j m s 技术理论研究 二二蔓堕互二