（计算机软件与理论专业论文）数字化校园平台中权限系统的设计与实现.pdf

东北大学硕士学位论文 摘要 数字化校园平台中权限系统的设计与实现 摘要 随着信息技术、网络技术的飞速发展，校园网的应用越来越广。校园内可以接入互 联网的计算机的数量已经达到了相当的规模。校园网内已经有一些站点向校内的师生员 工提供多样化的信息服务，如主页服务，b b s 服务，财务系统等。 随着校园网提供的信息服务质和量的提升，对信息安全的需要也越来越强烈。同时， 校园网提供更高层次服务的时候，对于用户的身份认证，服务权限管理的要求相应地提 高。这就必须要一个独立的、高安全性和高可靠性的身份认证及权限管理系统。该系统 可以完成对攘个校园网用户的身份和权限管理，同时让用户无需频繁登录，方便使用。 本文以“数字人大”项目作背景。分析了人民大学现有校园网的开发情况，研究了 目前几种流行的访问控制模型，针对学校的特殊性，提出了适合学校推广应用的权限系 统模型。并进行了数据库设计、类设计和具体的编码实现，系统具有权限管理、角色管 理、授权管理、身份认证、日志管理等功能，现在已经应用到人民大学的数字化校园网 中，在文中给出了在办公自动化子系统中应用的情况。 目前，数字化校园的开发及应用在国内正处在起步阶段，对于完善的权限管理也是 在探索阶段，有许多问题值得探讨和研究，本人在此实现了基于角色的权限管理的原型， 并在“数字人大”系统中得以实践应用，相信在此基础上进行完善，会形成一个比较完善 的用户角色权限管理组件，对以后的数字化校园开发提供更方便便捷的接口。 关键词；角色；权限；身份认证；r b a c ；l d a p ；a c l 东北大学硕士学位论文a b s t r a c t t h e d e s i g na n di m p l e m e n t a t i o no fp e r m i s s i o n s y s t e m i nd i g i t a lc a m p u sp l a t f o r m a bs t r a c t w i t hr a p i dd e v e l o p m e n to ft h ei n f o r m a t i o nt e c h n o l o g ya n dt h en e t w o r kt e c h n o l o g y , t h e e - c a m p u sa p p l i c a t i o nh a sb e c o m em o l ea n dm o r eb r o a d i nc a m p u s ，t h eq u a n t i t yo ft h e c o m p u t e r so ni n t e r a c ta c h i e v e sas u i t a b l es c a l e i nc a m p u s ，d i v e r s ei n f o r m a t i o ns e r v i c e s ，s u c h a sm a i np a g es e r v i c e ，b b ss e r v i c e ，a n df i n a n c i a ls y s t e ma n ds oo n ，h a sp r o v i d e dt ot h es t a f f a n dt h es t u d e n t sb ys o m es i t e s w i t ht h ea d v a n c e m e n to ft h ee c a m p u ss e r v i c e ，i n f o r m a t i o ns e c u r i t yi sm o l x ，a n dm o r e n e c e s s a r y a tt h es a n l et i m e ，c o r r e s p o n dt ot h eh i g h e rl e v e ls e r v i c e sp r o v i d e db yt h ee - c a m p u s ， t h ed e m a n d so fa u t h e n t i c a t i o na n dp e r m i s s i o nm a n a g e m e n tc o r r e s p o n d i n g l ye n h a n c e s i nt h i s w a y , a na u t h e n t i c a t i o na n dp e r m i s s i o nm a n a g e m e n ts y s t e m i sn e e d e d ，w h i c hm u s tb e i n d e p e n d e n t ，h i g hs e c u r i t y , a n dr e l i a b l e t h es y s t e mc a r la c c o m p l i s ht h ea u t h e n t i c a t i o na n d p e r m i s s i o n si nc a m p u s ，a tt h es a l n et i m ef a c i l i t a t et h eu s e w i t h o u tr e g i s t e rf r e q u e n t l y t h et h e s i si sb a s e do nt h e “d i g i t a lr e n m i nu n i v e r s i t y ”p r o j e c t t h et h e s i sa n a l y s e st h e n e t w o r kd e v e l o p m e n ta c t u a l i t yo fr e m n i nu n i v e r s i t y , r e s e a r c h e ss o m ep o p u l a ra c c e s sc o n t r o l m o d e l sa tp r e s e n t ，c o n s i d e r i n gt h ep a r t i c u l a r i t yo ft h eu n i v e r s i t y , d e s i g n st h ep e r m i s s i o n s y s t e mm o d e l w h i c ha d a p t st ot h ea p p l i c a t i o no f u n i v e r s i t y t h e ni td e s c r i b e st h ed e s i g no f t h e d a t a b a s ea n dc l a s s e sa n dt h ed e t a i l e di m p l e m e n t t h es y s t e mh a sf u n c t i o n ss u c ha sp e r m i s s i o n m a n a g e m e n t ，r o l em a n a g e m e n t ， a c c r e d i tm a n a g e m e n t ,a u t h e n t i c a t i o nm a n a g e m e n t ，l o g m a n a g e m e n ta n ds oo n t h es y s t e mh a sa p p l i e dt ot h en e t w o r ko fr e n m i nu n i v e r s i t y t h e t h e s i sd e s c r i b e st h ea p p l i c a t i o ns t a t u e si no f f i c ea u t o m a t i cs u b s y s t e m a tp r e s e n t ，t h ed e v e l o p m e n ta n da p p l i c a t i o no fd i g i t a lc a m p u si si nt h ei n i t i a ls t a g e ，a n d t h ed e v e l o p m e n to f p e r m i s s i o ns y s t e mi si nt h ee x p l o r a t i o ns t a g e t h e r ea r eal o to fq u e s t i o n s w o r t ho fd i s c u s s i n ga n dd e v e l o p i n g i nt h i sa r t i c l e ，ih a v ei m p l e m e n t e dap r o t o t y p eo ft h e r o l e - b a s e dp e r m i s s i o ns y s t e m ，a n dh a v ea p p l i e di ti nt h e d i g i t a lr e n m i nu n i v e r s i t y ”p r o j e c t ib e l i e v e di tw i l lb e c o m eam o r ec o n s u m m a t ec o m p o n e n to fp e r m i s s i o nm a n a g e m e n t , w h i c h c a np r o v i d eam o r ee o n v e n i c n ti n t e r f a c et ot h ed i g i t a lc a m p u sd e v e l o p m e n t k e yw o r d s ：r o l e ；p e r m i s s i o n ；u s e r sa u t h e n t i c a t i o n ；r b a c ；l d a p ；a c l i u 独创性声明 本人声明，所呈交的学位论文是在导师的指导下完成的。论文中取得 的研究成果除加以标注和致谢的地方外，不包含其他人己经发表或撰写过 的研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工 作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 意。 学位论文作者签名：地 日期：洌卜蹦 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 ( 如作者和导师不同意网上交流，请在下方签名；否则视为同意。) 学位论文作者签名； 签字日期： 导师签名： 签字日期： 东北大学硕士学位论文第一幸绪论 1 1 问题分析 第一章绪论 遍布全球的互联网络正在无时无刻、无所不在地渗透到人们工作、生活和学习中， 成为推动社会发展的强大动力。在商业化的世界中，众多企业正在把自己转变成一种称 为“数字神经系统”的新型组织，让企业能够以数字神经系统的方式对内部业务流程、知 识共享和网络商务进行整合，快速响应全球化的竞争。同样，作为培养和造就新世纪人 才的教育系统和学校，也面临同样的社会环境变化趋势。面对知识全球化和民族素质提 高的教育要求，以及一系列的教育市场化竞争的挑战，数字化校园成为一个必然的趋势。 将学校的办公、教学、人事、科研等信息在网络上进行共享和操作，安全就是一个 大的问题。要保障各种网络资源稳定、可靠地运行及受控、合法地被使用。除了从防火 墙等方式来进行保护外，还有一个很重要的方面就是人，包括用户登录，权限划分，访 问控制等。实施允许被授权的主体( 单个用户或团体组织) 对某些资源的访问，同时拒绝 向非授权的主体提供服务的策略，就是对于大型分布式网络系统特别是w e b 应用访问 控制成为一个应用层必不可少的基本安全技术，雨且由于其复杂性使得权限控制成为一 个富有挑战性的问题。进行权限控制管理的最终目的是要加强信息有效、安全的使用， 同时对不同用户实施不同访问许可，它是系统保密性、完整性、可用性和合法使用性的 基础。通常为了提高服务器的信息安全访问，用户在进行正常的访问前服务器往往都需 要认证用户的身份、确认用户是否被授权，但是随着网络规模和应用系统的扩大，用户 通常要访问许多不同的服务器，而每个服务器的认证功能重复而且授权策略各不相同， 用户访问时需要记住许多不同的用户名、口令等，造成了极大的不便，而且现有的w e b 运行环境也存在着极大的安全隐患。例如，网络中的信息以明文传输、没有或很弱的身 份认证功能、没有统一的授权管理功能、缺少面向应用分析的日志等等。怎样设计出来 一套组件化的权限角色体制，保证网络化校园的数据安全，实现正确合理的权限角色分 配，并且使得开发人员在进行开发的时候能够专注于业务，这是目前迫切的需要。 随着国家对教育信息化建设的大力度投入，各个高校分别根据自身实际情况与实际 需求。构建了许多的应用系统。高校门户平台用来将这些分散、孤立的应用系统，有机 地整和到一个统的平台，为最终用户提供更加方便、安全的应用。为了达到这一目标， 必然要使用s i n g l es i g n - o n 技术来解决多个应用系统多次认证的问题。另外一个完善健 全的权限体制也是必须的，限制用户可以查看哪些应用的数据，可以操作哪些应用的数 据，这个权限体制应该是和业务系统分开的，组件化的，这样不会导致耦合性太大。为 了保证安全性，对于密码的传输、产生方式都要进行周全的考虑。 东北大学硕士学位论文 第一章绪论 本文主要是以人民大学的数字化校园项目为背景，设计的权限系统主要应用于数字 人大项目。人民大学的现状是，自1 9 9 6 年开始校园网建设一期工程以来，在校园信息 化建设方面取得了一定的进展，基本建成了比较完善的“数字人大”网络基础平台，开发 了部分应用系统，如：研究生管理系统、学生选课系统、学生管理系统、人事管理系统 等，积累了一定量的数字化信息资源，但是目前，信息化建设的总体水平与“数字人大 应用建设要求相比较，在很多方面还存在着问题。 首先这几个系统都各自为阵，拥有独立完整的信息系统，独立运行，信息资源分散 予备业务系统之中，这种信息孤岛的出现，致使整体信息资源优势不明显，整体优势无 法显现，数据之间没有建立必要的联系，有很多重复建设的模块，缺少统一的规划。 这样用户要查询某个方面的数据，就要拥有几个系统的用户名和密码，登录相关的 系统，极不方便。并且用户名口令很多不是分配到人，通常是一个科室或者一个办公室 使用一个账号，很难监控到对数据库的某个修改具体是谁来操作的。这在系统有变故的 时候，就不能很快定位到是哪个用户的误操作，管理上有很大漏洞。 而且整个学校的数据没有实现共享，所以不一致的地方有很多，没有统一的信息标 准。 1 2 项目背景 “数字人大”就是要建成一个先进的数字校园，在一个平台上实现这几个业务系统的 整合，通过一个统一的、开放的、可提供信息发布与共享的以及提供多种应用服务的， 用户通过一个唯一标识身份的用户名口令登录系统，操作和查看自己有权限操作的功能 和数据。实现一个具有高可靠性、高可用性、高运行性、高安全性和高可管理性的门户 中心，以门户的方式提供服务。 建成的数字人大将服务于学校的教学、学生的教育、各院系和行政部门的交流和管 理等方面。通过门户应用、应用系统集成、数据库集中、数据同步、组建化建设等方式 满足学校老师、学生、行政人员、公众、校友等访问和应用。 在这个数字化校园平台上： ( 1 )学校的学生可以不受时间、地点的限制访问学习资源，或与来自其它学校， 甚至其它国家的同学、老师进行交流和协作； ( 2 )教师可以利用网络进行广泛交流，及迸彳亍办公管理等； ( 3 )管理员利用网络提高工作效率，并且通过数据中心汇总的数据，给校、院、 系领导提供更有效的决策依据； ( 4 )各级领导及行政管理人员可以通过这个平台快速地访问相关的信息，并迅速 地处理邮件、公文、信息等，进行数字化办公。 这个平台能建立各种基于组织和角色的应用，从而满足各个角色用户的个性化应 一2 东北大学硕士学位论文 第一幸绪论 用；各角色用户在自己的办公环境通过所属的应用系统或者通过如上的访问工具来进行 办公、交流等。 国内完善的权限系统的解决方案并不多，尤其在数字化校园应用上，并且学校有特 殊的情况，比如兼职情况、组织变动等。研究和开发适合学校具体情况的权限系统解决 方案，对于校园的信息化建设是非常必要及有意义的。 一j 一 东北大学硕士学位论文 第二章项目背景及相关技术 第二章项目背景及相关技术 2 1 项目背景 图2 1 给出了人民大学数字化校园及公共数据库大平台的软件分层设计构架。整个 构架包含了：表示层；应用门户层( 门户应用、业务应用层、平台服务层、平台支撑层) ； 资源层。 图2 1 数字人大系统体系图 f i b ，2 1s y s t e md i a g r a mo f d i g i t a jr e n m i nu n i v e r s i t y 系统技术架构基于“n t i e r ”模型，分为“表示层、应用服务层和资源层”三个基 本层，每层里根据实现的需要又可以细化为若干层。 ( 1 1表示层 一d 一 东北夫擘硕士擘住论文 第；章项目背景厦相关技术 第二章项目背景及相关技术 2 1 项目背景 图2 1 给出了人民大学数字化校园及公共数据库大平台的软件分层设计构架。整个 构架包含了：表示层；应用门户层( 门户应用、业务应用层、平台服务层、平台支撑层) ； 资源层。 图2 1 数字人大系统体系圈 f i g 2 1s y s t e md i a g r a mo f d i g i t a lr e n m i nu n i v e r s i t y 系统技术架构基于“n t i e r ”模型，分为“表示层、应用服务层和资源层”三个基 本层，每层里根据实现的需要又可以细化为若干层。 本层，每层里根据实现的需要又可以细化为若干层。 f 1 1 表示层 d 东北大学硕士学位论文第二章项目背景及相关技术 考虑到数字化校园实际应用情况，支持多种交互手段。 ( 2 )应用服务层 应用服务层是这次项目的重点，可以看出应用服务层包含门户应用层、业务应用层、 平台服务层、平台支撑层四方面。 门户应用层该部分包含系统的单一身份认证、日历、公告、新闻等方面建设。 它提供给用户以个性化的应用，根据用户的角色系统分配给其相应的应用及信患。门户 应用层充分的与业务层进行了集成，是访问公共数据库平台的统一入口。 业务应用层一该部分实现了学校的主要业务，对一些系统的应用集成，根据用户 的角色系统分配给其相应可以访问的业务功能。 平台服务层该部分包含系统中用到的服务子系统，如报表工具，灵活查询、用 户权限管理，身份认证服务，数据交换等。 平台支撑层该部分是系统底层的大型服务器，采用w e b l o g i c 服务。 ( 3 ) 资源层 资源层包括关系数据库和学校原有的一卡通系统。 本文主要研究并实现平台服务层中的用户权限管理和身份认证部分，提供可靠的用 户管理，保障用户登录后根据权限显示正确的功能范围，使得系统管理员能灵活定制系 统权限，减少开发人员对权限部分的考虑，专心与业务的开发。 2 2s s l 技术 为了保护敏感数据在传送过程中的安全，全球许多知名企业采用s s l ( s e c u r i t y s o c k e tl a y e r ) 加密机制。s s l 是n e t s c a p e 公司所提出的安全保密协议。在浏览器( 如 i n t e m e te x p l o r e r 、n e t s r m p en a v i g a t o r ) 和w e b 服务器( 如n e t s c a p e 的n e t s e a p ee n t e r p r i s e s e r v e r 、c o l df u s i o ns e r v e r 等等) 之间构造安全通道来进行数据传输，s s l 运行在t c p i p 层之上、应用层之下，为应用程序提供加密数据通道，它采用了r c 4 、m d 5 以及r s a 等加密算法，使用4 0 位的密钥，适用于商业信息的加密。同时，n e t s c a p e 公司相应开 发了h t t p s 协议并内置于其浏览器中，h t t p s 实际上就是s s lo v e rh t t p ，它使用默 认端口4 4 3 ，而不是像h t r p 那样使用端口8 0 来和t c p i p 进行通信。h t t p s 协议使用 s s l 在发送方把原始数据进行加密，然后在接受方进行解密，加密和解密需要发送方和 接受方通过交换共知的密钥来实现，因此，所传送的数据不容易被网络黑客截获和解密。 一般人认为s s l 是保护主机或者只是一个应用程序。这是个误解。s s l 不是设 计用来保护操作系统的。s s l 是s e c u r es o c k e t sl a y e r 通讯协议的简称，它是被设计用来 保护传输中的资料，它的任务是把在网页以及服务器之间的数据传输加密起来。这个加 密( e n e r y p f i o n ) 的措施能够防止资料窃取者直接看到传输中的资料，像是密码或者信用 卡号码等等。要全面了解s s l ，就必须首先了解数字证书( d i g i t a lc e r t i f i c a t e s ) 的概念。 数字证书是一种能在完全开放系统中准确标识某些主体的机制。一个数字证书包含 一，一 东北大学硕士学位论文 弟= 章硬目背景度相关技术 的信息必须能鉴定用户身份，确保用户就是其所持有证书中声明的用户。除了唯一的标 识信息外，数字证书还包古了证书所有者的公共密钥。数字证书的使用允许s s l 提供认 证功能一保证用户所请求连接的服务器身份正确无误。在信用卡号或p i n 号码等机 密信息被发送出去前让用户确切知道通讯的另一端的身份是毫无疑问的重要的。很明显 的，s s l 技术提供了有效的认证。然而大多数用户并未能正确意识到通过s s l 进行安全 连接的必需性。除非越来越多的用户了解s s l 和安全站点的基本知识，否则s s l 仍不 足以成为保护用户网络连接的必需技术。除非用户能够充分意识4 访问站点时应该注意 安全连接标识，否则现有的安全技术仍不能称为真正有效。 目前几乎所有处理具有敏感度的资料，财务资料或者要求身分认证的网站都会使用 s s l 加密技术( 当你看到1 1 札邮在你的网页浏览器上的u r l 出现时，你就是正在使用具 有s s l 保护的网页服务器) 。在这里我把s s l 比喻成是一种在浏览器跟髓络服务器之间 “受密码保护的导管”( e r y p t o g r a p h i cp i p e ) ，也就是我们常说的安全通道。这个安全通道 把使用者以及网站之闻往返的资料加密起来。但是s s l 并不会消除或者减弱网站所将受 到的威胁性。在s s l 这个安全通道的背后，一般没有受到s s l 防护的网站一样具备了 相同的网页服务器程序，同样的网页应用程序，c g i 的s c r i p t 以及后端数据库。目前普 遍存在这么一个错误的认识：很多系统管理者却认为，受到s s l 防护的网页服务器自动 就变得安全了。其实不然，事实上，受到s s l 防护的网页服务器同样还是会受到与一般 其它网站服务器遭受攻击的威胁，受到s s l 防护的网页服务器不定是万无一失的。 采用s s l 技术，在用户客户端( 即浏览器) 和w e b 服务器之间建立安全的s s l 通 道m 】。在s s l 会话产生时： 首先，服务器会传送它的服务器证书，客户端会自动的分析服务器证书，来验证服 务器的身份。其次，服务器会要求用户出示客户端证书( 即用户证书) ，服务器完成客 户端证书的验证，来对用户进行身份认证。然后，会产生4 0 位或1 2 8 位的会话密镅， 用于对客户端和服务器之间传输的信息进行加密。晟后，服务器会解析客户端证书，获 取用户信息，井根据用户信息套询访问控制列表来决定是否授权访问。所有的过程都会 在几秒钟内自动完成，对用户是透明的。如图2 2 所示。 客户端 w e b 服务器 制览嚣 j s a j i 证书解 s s l 客户l 征书 图2 2 基于s s l 的身份认证和访问控制原理图 f i g 2 2p r i n c i p l eo f a u t h e n t i c a t i o na n d 口c c e s sc o n t r o lb a s e ds s l 一6 一 东北大学硕士学位论文 第二章项目背景及相关技术 具体步骤如下： ( 1 )用户使用浏览器，访问电子政务平台w e b 服务器站点。发出s s l 握手信号； ( 2 )w e b 服务器发出回应，并出示服务器证书，显示系统w e b 服务器站点身份， 并要求浏览器提交客户端证书； ( 3 )浏览器验证服务器证书，验证服务器身份，并弹出对话框，让用户选择、提 交客户端证书； ( 4 )用户选择自己的数字证书，进行提交： ( 5 )w e b 服务器对客户端证书进行验证，包括验证证书是否可信( 客户证书的根 是否服务器所信任的) ，验证证书是否有效( 客户证书是否在有效期内，查询c r l 或 o c s p 来验证客户证书是否被吊销) 。 ( 6 )验证通过，客户端和w e b 服务器之间将建立s s l 安全通道； ( 7 ) w e b 服务器调用证书解析模块解析客户端证书，获取用户信息； ( 8 )w e b 服务器根据用户信息，查询访问控制列表，获取用户的访问权限： ( 9 ) 如果用户具有访问权限，服务器发出响应，显示用户访问的系统资源； ( 1 0 ) s s l 双向身份认证和访问控制流程结束。 如图2 1 所示，除了系统中已有的客户端、w e b 服务器外，实现此方案的设计目标 还需要下列模块： ( 1 )w e b 服务器证书 要利用s s l 技术，在w e b 服务器上必需安装一个w e b 服务器证书。用来表明服务 器的身份，并对w e b 服务器的安全性进行设置。这样，在客户端和w e b 服务器之阃建 立一条s s l 安全通道来保证双方传递信息的安全性，而且用户可以通过服务器证书验证 他所访问的网站是否真实可靠。采用全球服务器证书，可以保证客户端和w e b 服务器 之间能够建设1 2 8 位的安全链接。 佗1 客户端证书 客户端证书即用户的个人数字证书，其中包含了用户的名字以及其他相关信息，用 来表明用户的身份。建立s s l 通道时，服务器会要求客户端提交客户端证书。提交后， 服务器会验证客户端证书的有效性，来验证用户身份的真实性。 ( 3 )证书解析模块( c p m ) 证书解析模块以动态库的方式提供给各种w e b 服务器，它可以解析证书中包含的 信息，用于提取证书中的用户信息。在用户电子政务平台时，用户提供的客户端证书在 服务器中被解析，得到用户信息，w e b 服务器根据用户信息查询访问控制列表( a c l ) ， 获取用户的访问权限，实现系统的访问控制。 ( 4 )访问控制列表( a c l ) 在数据库中建立访问控制列表，整个列表中设定了用户的访问权限。访问控制列表 由电子政务平台提供，根据电子政务平台的需求进行设置。 一1 东北大学硕士学位论文 第二章项目背景及相关技术 采用s s l 技术，可以实现电子政务平台的身份认证和访问控制。此外，还可以保证 用户浏览器和w e b 服务器之间传输的数据是安全的。因为，一旦在用户浏览器和服务 器之间建立s s l 连接，它们之间会协商出一个1 2 8 位的会话密钥，用此会话密钥来对浏 览器和服务器之间传输的数据进行加密。因此，采用s s l 技术还可以保证企业应用系统 信息传输的机密性。 然而，加密和解密过程需要耗费系统大量的开销，严重降低机器的性能，相关测试 数据表明使用h t t p s 协议传输数据的工作效率只有使用h t t p 协议传输的十分之一。 假如为了安全保密，将一个网站所有的w e b 应用都启用s s l 技术来加密，并使用h t t p s 协议进行传输，那么该网站的性能和效率将会大大降低，而且没有这个必要，因为一般 来说并不是所有数据都要求那么高的安全保密级别，所以，我们只需对那些涉及机密数 据的交互处理使用h t t p s 协议，这样就做到鱼与熊掌兼得。 2 3 身份认证的几种方式 身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成 了一个虚拟的数字世界。在数字世界中，一切信息包括用户的身份信息都是由一组特定 的数据表示，计算机只能识别用户的数字身份，给用户的授权也是针对用户数字身份进 行的。而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身 份。如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者，即如何保 证操作者的物理身份与数字身份相对应，就成为一个重要的安全问题。身份认证技术的 涎生就是为了解决这个问题。 如何通过技术手段保证物理身份与数字身份相对应呢? 在真实世界中，验证一个人 的身份主要通过三种方式：一是根据你所知道的信息来证明身份( w h a ty o uk n o w ) ，假 设某些信息只有某人知道，比如暗号等，通过询问这个信息就可以确认此人的身份；二 是根据你所拥有的物品来证明身份( w h a ty o uh a v e ) ，假设某一物品只有某人才有，比如 印章等，通过出示该物品也可以确认个人的身份；三是直接根据你独无二的身体特征 来证明身份( w h oy o ua r e ) ，比如指纹、面貌等。 不过，你所知道的信息有可能被泄鳝或者还有其他人知道，因此仅凭一个人拥有的 物品判断其身份是不可靠的，这个物品有可能丢失，也有可能被入盗取，从而伪造此人 的身份。 从是否使用硬件，身份认证技术可以分为软件认证和硬件认证1 2 1 。从认证需要验证 的条件来看，身份认证技术还可以分为单因子认证和双因子认证。这里需要对单因子认 证和双因子认证多说几旬。仅通过一个条件来验证一个人的身份的技术称为单因子认 证。由于只使用一种条件判断用户的身份，单因子认证很容易被仿冒。双因子认证通过 组合两种不同条件( 如通过密码和芯片组合) 来证明一个人的身份，安全性有了明显提 高。r s as e c u r i d 以及s a f e n e t i k e ：y 2 0 0 0 等都是双因予认证技术的代表产品。从认证信息 一8 东北大学硕士学位论文 第二章项目背景及相关技术 来看，身份认证技术还可以分为静态认证和动态认证。现在计算机及网络系统中常用的 身份认证方式主要有以下几种。 ( 1 )用户名，密码方式 用户名密码是最简单也是最常用的身份认证方法，是基于“w h a ty o uk n o w 的验证 手段。每个用户的密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入 密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码， 经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放 在一个自认为安全的地方，这样很容易造成密码泄漏。即使能保证用户密码不被泄漏， 由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证 使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听 设备截获。因此用户名密码方式种是极不安全的身份认证方式。 ( 2 ) i c 卡认证 i c 卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，i c 卡由专 门的厂商通过专门的设备生产，是不可复制的硬件。i c 卡由合法用户随身携带，登录时 必须将i c 卡插入专用的读卡器读取其中的信息，以验证用户的身份。i c 卡认证是基于 “w h a t y o u h a v e ”的手段，通过i c 卡硬件不可复制来保证用户身份不会被仿冒。然而由于 每次从i c 卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取 到用户的身份验证信息，因此还是存在安全隐患。 ( 3 ) 动态口令 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用 一次的技术。它采用一种叫做动态令牌的专用硬件，内置电源、密码生成芯片和显示屏， 密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显 示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令 牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须 由动态令牌来产生，只有合法用户才持有该硬件，所以只要透过密码验证就可以认为该 用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也 无法利用这个密码来仿冒合法用户的身份。 动态口令技术采用一次一密的方法，有效保证了用户身份的安全性。但是如果客户 端与服务器端的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问 题。并且用户每次登录时需要通过键盘输入一长串无规律的密码，一旦输错就要重新操 作，使用起来非常不方便。 ( 4 )生物特征认证 生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的 有指纹识剐、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为 9 东北大学硕士学位论文第二章项目背景及相关技术 它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有不同的生物特征， 因此几乎不可能被仿冒。 生物特征认证基于生物特征识别技术，受到该技术成熟度的影响，采用生物特征的 认证技术具有较大的局限性。首先，生物特征识别的准确性和稳定性还有待提高，特别 是如果用户身体受到伤病的影响，往往导致无法正常识别，造成合法用户无法登录。其 次，由于研发投入较大和产量较小等原因，生物特征认证系统的成本很高，目前只适合 于一些安全性要求非常高的场合，如银行、部队等使用，目前还无法做到大面积推广拼。 ( 5 ) u s b k e y 认证 基于u s bk e y 的身份认证方式是近凡年发展起来的一种方便、安全的身份认证技 术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用 性之间的矛盾。u s bk e y 是一种u s b 接i = i 的硬件设备，它内置单片机或智能卡芯片， 可以存储用户的密钥或数字证书，利用u s bk e y 内置的密码算法实现对用户身份的认 证。基于u s bk e y 身份认证系统主要有两种应用模式；一是基于冲击响应的认证模式， 二是基于p k i 体系的认证模式。 每个u s bk e y 硬件都具有用户p i n 码，以实现双因子认证功能。u s bk e y 内置单 向散列算法( m d 5 ) ，预先在u s bk e y 和服务器中存储一个证明用户身份的密钥，当 需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此 请求后生成一个随机数并通过网络传输给客户端( 此为冲击) 。客户端将收到的随机数 提供给插在客户端上的u s bk e y ，由u s bk e y 使用该随机数与存储在u s bk e y 中的密 钥进行带密钥的单向数列运算( h m a c m d 5 ) 并得到一个结果作为认证证据传送给服 务器( 此为响应) 。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户 密钥进行h m a c m d 5 运算，如果服务器的运算结果与客户端传回的响应结果相同，则 认为客户端是一个合法用户，原理如图2 3 所示。 函s c r i ri r h m a c - m d s ( r , ) i = x ? 1 h m a c m d s o l ) l x 图2 3u s bk e y 进行身份认证的原理 f i g 2 3p r i n c i p l eo f a u t h e n t i c a t i o nw i t hu s bk e y 图中“r ，代表服务器提供的随机数，“k e y 代表密钥，x 代表随机数和密钥经过 h m a c m d 5 运算后的结果。通过网络传输的只有随机数r 和运算结果x ”，用户密钥 “k e y ，既不在网络上传输也不在客户端电脑内存中出现，网络上的黑客和客户端电脑中 一1 0 一 东北大学硕士学位论文第= 幸项目背景及相关技术 的木马程序都无法得到用户的密钥。由于每次认证过程使用的随机数r 和运算结果“x ” 都不一样，即使在网络传输的过程中认证数据被黑客截获，也无法逆推获得密钥。这就 从根本上保证了用户身份无法被仿冒。 冲击响应模式可以保证用户身份不被仿冒，却无法保护用户数据在网络传输过程中 的安全。而基于p k i ( p u b l i c k e yi n f r a s t r u c t u r e ，公钥基础设施) 构架的数字证书认证方 式可以有效保证用户的身份安全和数据安全。数字证书是由可信任的第三方认证机构颁 发的一组包含用户身份信息( 密钥) 的数据结构，p k i 体系通过采用加密算法构建了一 套完善的流程，保证数字证书持有人的身份安全。然而，数字证书本身也是一种数字身 份，还是存在被复制的危险。使用u s bk e y 可以保障数字证书无法被复制，所有密钥 运算由u s bk e y 实现，用户密钥不在计算机内存出现也不在网络中传播，只有u s bk e y 的持有人才能够对数字证书进行操作，安全性有了保障。 由于u s bk e y 有安全可靠，便于携带、使用方便、成本低廉的优点，加上p k i 体 系完善的数据保护机制，使u s bk e y 存储数字证书的方式成为目前主要的认证模式。 未来，身份认证技术将朝着更加安全、易用、多种技术手段相结合的方向发展。u s b k e y 将会成为身份认证的主要发展方向，u s bk e y 的运算能力和易用性也将不断提高。 随着指纹识别技术的不断成熟和成本降低，u s bk e y 将会使用指纹识剐技术以保证硬 件本身的安全性。 图2 4 是各种身份认证技术的部署示意图。 用户名 i c 卡 u s b k e y 密码 口夸 虹膜 指纹 图2 4 身份认证技术的部署示意图 f i g 2 4s k e t c h m a p o f a u t h e n t i c a t i o n t e c h n o l o g y 表2 1 中是以上提到的几种身份认证技术特点的比较。 东北大学硕士学位论文 第二章项目背景及相关技术 表2 i 几种身份认证技术特点的比较 t a b l e2 is p e c i a l t yc o m p a r i s o no f t h ea u t h e n t i c a t i o nt e c l m o l o g i e s 本系统设计使用用户名密码方式作为最基本的身份认证方式，视具体情况采用 u s b k e y 认证的方式进一步保证安全。 2 4 统一身份认证 随着高校、政府、企业信息化建设的不断发展，基础设施的不断投入与升级，基于 w e b 的应用系统的开发也得到迅速开展，但是按照传统的开发模式，每个应用系统都 必须开发各自独立的用户认证模块。比如，办公自动化系统、财务管理系统、人事管理 系统等应用系统都需要验证用户的用户名及密码，这样，一方面会造成用户认证信息在 多个应用系统的数据库中的重复放置，带来大量的数据冗余，也造成了各个应用系统的 重复开发，另外也给系统的用户认证信息管理和用户的使用造成诸多不便，比如，用户 需要注册获更改自己的认证信息，就必须在所有的应用系统中逐个注册或更改；另一方 面，用户在不同应用系统之间切换时，必须重复多次登录。另外，传统的开发模式都是 基于关系型数据库的用户认证信息管理模型，读取速度慢，可移植性差。显然，这些传 统的开发模式的诸多弊端已经严重影响了基于w e b 的应用系统的性能和使用的方便 性。 统一身份认证服务就是为了解决这一应用集成中碰到的用户认证问题。这个服务需 要达到以下功能和目标： ( 1 )支持w e b 服务技术框架，使得在对各个应用系统实施基于w e b 服务的应用集 一1 2 东北大学硕士学位论文第二幸项目背景及相关技术 成( e a i b 2 b i ) 的时候，能够使用这个统一身份认证服务，进行身份认证。 ( 2 )方便使用，能够尽可能地利用现有系统的身份认证模块及现有的用户设置和 权限设置，尽量保护现有的投资，减少新用户设置和权限设置的费用。同时避免对现有 系统进行大规模的修改。 ( 3 )具有良好的扩展性和可集成性，不仅能支持现有的应用系统及用户系统，当 有新的企业应用被部署或开发的时候，这个统一身份认证服务还可以作为其身份认证模 块的形式工作。也就是说，新的企业应用可以不自带用户系统，可以通过集成该服务的 形式来实现等价的功能。 ( 应当具备灵活和方便的使用模式，使用者可以通过多种方式自由地使用该统 一身份认证服务。 解决方案： 根据这个统一身份认证服务的目标和初步的功能定义，将这个服务设计为图2 5 所 示f 4 1 。 。偷 0 幺 1 ， 、 彳 弋竺夕 酗 图2 5 统一身份认证 f i g 2 5s i n g l es i g no n 该服务主要需要具备三项功能： ( 1 )用户注珊，用户在统一身份认证服务中注册账号。以后这个账号可以在所有 使用统一身份认证服务的应用系统中使用。 一1 3 一 东北大学硕士学位论文 第二章项目背景及相关技术 ( 2 ) 账号关联。如果用户之前已经在相关的应用系统中拥有账号，同时也已经设 置了相应的权限，那么用户能够将这些应用系统的账号与统一身份认证服务的账号进行 关联，使得用户登录统一身份认证服务之后，就能够自动使用相关的应用系统用户来访 问应用系统。 ( 3 )用户认证。为应用系统提供用户身份认证，应兼顾以下两个应用方式： ( a ) 应用系统使用统一身份认证服务作为它的用