（计算机应用技术专业论文）eissp身份认证平台的研究与设计.pdf

摘要 e i s s p 身份认证平台的研究与设计 摘要 随着企业w 曲应用服务资源的不断增加，常用的静态口令身份认证 技术认证强度薄弱，易受到非法用户的攻击。同时，在访问多个应用服务 时，用户反复认证的弊端曰益突出。企业需要能为应用服务提供集中认证 管理的身份认证平台。 在分析身份认证技术和单点登录系统发展现状的基础上，本文研究了 构造身份认证平台时需要考虑的备种问题，设计了e i s s p ( e n t e 臻r i s e i d e n t i 够s e c 戚t ys e r v i c ep l a t f o 蚴) 身份认诞平台，实现对企业内的w 曲应 用资源进行集中认证。主要工作有提高身份认证平台的认证强度，设计实 现了基于i p l e _ d e s 算法的动态网令的生成和认证模块，有效的解决了 时钟偏移校正的问题，并给出随机密钥的产生方法；利用j a a s ( j a v a a u t l e 嫩i c a t i o na n da u t h o f i 2 贼i o 珏s e r v i c e 墩术研究羚发了具有可“插拔”特 性的认证框架，便于、认证方式的选择替换；采用基于r b a c ( r d l eb a s e d a c c e s sc o n 打0 1 ) 访问授权方式，构造s s p 身份认证平台的访问控制模型， 进行了数据的持久化设诗；采用基予经纪入和代理的技术方案，对 k e 内e r o s 协议进行改进，使其适用于w 曲应用，实现平台的单点登录的 功熊，并分析方案的安全性和可行性。随着e i s s p 身份认证平台的逐步 完善，将在企业的信息安全体系中发挥重要的作用。 登录 北京化工大学埘i 士论文 关键词：身份认证，动态翻令，j a a s ，基于角色的访阔控制，单点 n t h er e s 铭r c ha 娃dd e s 逛no f 德e 甄l s s pl d e 毪t i 略 a u t h e n t i c a t i o np l a t f b r m a b s t l j l a c t 撇t 1 1t h ei n c r e a s i n go fw e ba p p l i 硎o n si ne n t 唧r i s en e t w o r k ，妇d 至t 主o n a l 涟雒t i t ya u t 廷e n t i c 越i 瓣t e c h n o l o g y ，s u c ha ss t a t i cp a s s w o r d ，i sn o t b ea p p l i e d f o r 她n 咖o r ks y 呶山e c 麟eo fs e a 疆耐v u l n e 胁呈l 主毫主e s 棚舭u s e r w a n t i n gt o a c c e s sa p p l i c a t i o n s 删1 s tb ei d e n t i 矗e d s e r i a t i mb e c a u s ee v e r y a p p l i c a t i o 建 s y s 据m h a si t so w ni 如啦列弧e n 畦c a t i o n m e c h a l l i s m c _ o n s e q u e n t l y ，a ni d e n t i 妙a u t h e n t i c 撕o np l a t f o 】微m a t c 甜lp r o v i d eu n i f o 吼 a u t 融n t i c 越i o n8 l l dm a l l a g e m e n tf o re n 粥娥s e s 娓b a p p l i c 8 t i o n s i si n d e m a n d 。 0 nm eb a s 通o fa n a l y z i n g 墩ei d e n i t ya u 獭e n t i c a 畦o nt e c h n o l o 酉e sa i l dt h e c u f f e n td e v e l o p m e n t s h 鑫t i o no f m es i n g l es i g n o ns y s 睾e m ，髓i sp a p 嚣s 扭堪i 醋 v 积o u sp r o b l e m sn e e d e dc o n s i d e r i n gi n i d e n 脚a u t h e 越c a t i o np l a t f o 撇o f c o n s 锄c t n g ，d e s i g n e de 1 s s p ( e n t e r p r i s el d 础对s 。c 咖s e w i c 。p l a t f o 姗) i d e n t i t ya u t h e n t i c a t i o np l a t f o 滩，r e a l i z e dc e n 恤l i z e da u t h e n t i c a + i o n t ot h ew e b a p p l i c a t i o n si ne n t e i p r 主s e s t h em a j nr e s e a r c hw o r k sa s f o l l o w s ：i no r d e rt o i m d r o v et h ea u t h 。n t i c a t i o ni n t e n s i 哆o f 饿ei d e n t i 移8 u 也e n t i c a t i o np l a t 如r m ， d e s i g n e da n dr e a l i z e dm cd y n 撕i cp a s s w o r da u t h e n t i c a t i o nm o d u l eb a s e d o n n i 出d 黾sa g o r i 也m ，c o f r e c t e d t 基ec l o 政s k e wp 础l 嘲e c t i v e l ya n d 链 l e 褒化丁：大学颤论文 p r o v i d e d t h er a n d o m k e yg e n e f 娃o r ；i k s e a r c h e da n dd e v e l o p e da n a _ u t h e n t ；c a t i o nf 搬ew h i c hh a st h e “p u s ha 撞dp u l l i u l l c t i o l li nu s eo fj a a s ( j a v aa u t h e n t i c a t i o na n da u m o r i z a t i o ns e i c e ) t e c h n o j o g l t s e a s y t o c h o o s ea n dr e p l a c et h e d i f r e r e n ta u t h e n t i c a t i o nt e c h n o l o g y ；b a s e do nr b a c ( r o l e b a s e 畦a c c e s sc o n t r 0 1 ) ，饿ea c c e s se o n t f o lm o d e lo f 毯王s s pi d e n t i t y a u t 圭l e n t i c a t j o np l a t 勤触i sc o n s t m c t e d ；i no r d e ft o 靶a l i z e 饿es i n 9 1 es i g n o n 如n c t i o n ，w ea d o p t e dm eb r o k e 卜b a s e d & a g e n t _ b a s e ds s o ( s i g 芏l l es i g n - o 毂) s o l u t i o 娃，i m p r o v e d 攮ek e r b e r o sp r o t o c o li no r d 髓硒a p p l y i n gi t 协w e b 印p l i c a t i o 建s ，a n dw e 毹s oa n a l y z e ds e c u r i 锣戤l df e 鼗s i b i l i t yo f 搬es s o 释扮d e l p u t t i n g f o r w a r d w i t 量l 也ee i s s pi d e n t 毋a u t h e n t i c a t i o np l a t 陆r 越b e 弧g p e r 怨c t e d ，i tw i l lp l a ya ni 瑚【p o r t a 峨r o 靶哟o n g 协ei n f 醣撒a 耄i o ns a f es y s t e mo f e n t e 攀r i s e 勰鼬。救 k 嚣yw o r d s ： i d e n t i 移a u m e h 蛀c 毹i o n ，d y n 蛳i cp a s s w o r d ， j a a s ， r o l e 坦8 s a c c e s sc o n 拄o lm o d e l ，s 堍l es i g no n 。+。+，。，。，。，!燃 持器谶黼 嚣满擎 蕊n 钯蜊辩i 嘲黼t 瓣器蜊姆s 麟甯溉p l 耐甄 s s 氢s 镕h s 融k y # 8 鞠0 器i 韩巷l 弗瓤姆犏 孽缝麟 科n 黼塾瓤酶翩睡瓣测雠畦。飘耐。巷稍e 目 霉程冒 莉盛妇g 穗撼i n 器骶馥巷耋 s 霄8 w # e 髑随 辍耩媳霏魏0 耙* 辕浅衡s se 删黼l 毒燃嚣墨i v 穆矗螨蘸赫黼蘸0 拽黼堪翩蛾磷潮融s 删j 髑 s p ls 瓣。争附d 群l 勰褥辫e 锱婷融嘲髓s s 融 乳鲑“辩a ls 黜g i 。喾l 躐 蕊鹱黪瞬螯惫黼努 赣垒鬻攮餍躲谶 单蕊鼗粱 霹黼擞讯瓣骥块 梨摄攘予藜瓣 鞭蚤诲随蘩瓣 蒸予霸愁赫娩瀚媳制 瀚v 诫迁翱援校勰磐 瓣葑勰骥翥捺瞄 惫褥蠹错 祷帮套话 鼢阁辩 j 匕京化王大学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导炳的指导下， 独立进行研究王作所取得的成果。除文中已经注明弓l 用的内容外，本 论文不含任何其他个人或集体已经发表或撰写过的作晶成果。对本文 的研究傲磁重要贡献的个人和集体，均已在文中以明确方式标嘴。本 人完全意识到本声明的法律结果由本人承担。 作者签名：娩旌兰 霸期： 趣红纽卜 关于论文使用授权的说明 学位论文作者完全了解= l 艺京仡工大学番关保留鞠使用学位论文 的规定，郎：研究生禚校攻读学位期闽论文工佟的知识产权单位属= e 京化工大学。学校有权保窝弗向国家有关部门或机构送交论文的复印 辞和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全 部或部分内容，可以允谗采用影印、缩印或其它复铡手段保存、汇编 学位论文。 保密论文注释：本学位论文属予保密范围，在t 年解密后透粥 本授权书。非保密论文注释：本学位论文不满予保密范围，适用本授 权书。 作者签名：逮超鎏一 翩签轹。岛鳆 第一章绪论 1 1 研究背景 第一章绪论 隧着网络技术和企照信息纯建设豹发展，企渡网内部建立了许多w 曲瘦用系统， 提供有各种各样的应用服务，如电子邮件系统、办公m i s 系统、资源管理系统等等。 月户每天要登录到缀多不同豹系统程应用中。应用系统在遴行信息交互时，为防止主 体身份被伪造，首先需要鉴别访问主体的身份，并保证在访问客体时是以主体的真实 身份进行正确的访问，因此，身份认证是企业信息安全的第一关，在企业信患安全体 系中扮演着重要的角色。如果认诞机制安全强度较弱，非法用户能够以较容易的方式、 方法留用合法用户的身份访问信息系统，极大的威胁信息系统的安全，因此身份认证 对于僚障信惑系统安全非常重要。 一方面，目前企业中大部分业务系统采用静态口令的认证方式。尽管其实现简单、 成本甄、速度快，但是疆令的安全性较差，极易受到穷举攻击和字典攻击，丽辩网络 传输带来的安全隐患也不容忽视。这种薄弱身份认证机制不能满足核心商务系统对离 安全性的要求。 另一方面，在传统模式中，每个系统都拥有自己的认证过程，要求用户针对不同 的系统输入不同的用户名、口令。口令的过渡繁皴带来了工作效率的下降，密码被非 法截获的可能性增加等新的问题。用户需要进入的系统越多，用户出错的概率和安全 问题出现的可能性就越高。同时，由于每个系统都是独立维护自身的授权机制，并且 管理的方式形髟色色、各不相阉，随着系统数量的不断增加，用户授权的正确性将难 以保证，其维护成本以及维护难度也将会随之日益增加。 1 2 研究内容 为了更好的解决这些问题，在企业中搭建一个身份认诞平台，在提供强大的认涯 安全保证的基础上，对各个系统的认证和访问授权进行统一的管理，就显得十分必要 了。葵嚣的是方便焉户使用、籀纯登录操作工作，骰到每个用户只据有一个账号，系 统拥有唯一的入口，当用户在入口点一次性登录之后，就研以访问所有集成在身份认 汪平台下的各鞭子系统。 本课题旨在是研究构造e i s s p ( e n t e r p r i s ei d e 矾t ys e c l l r i 够s e r v i c ep l a t f o r n l ) 身份认 证平台，对企业内的w 曲应用资源进行集中认证，在j a a s 可掭拔认证框架的基础上， 设计实现动态口令的生成和认证模块，提出了一种改进的动态口令生成方案。在集中 认证和分散授权的基础上，对受保护的w 曲应用资源的访问授权采用r b a c 授权方 一一 垄室垡三奎鲎堡主堡塞 式。劳蹲k e r b e s 协议遴行改进，实现w 曲应用的单点鼗录的功能。 1 3 论文组织结构 本论文的组织结构如下： 第1 章：说明课题的研究背景和内容，说明弱口令认证和独立身份认证平台的局 限性，提出本文的研究内容，绘出论文的组织结构。 燕2 章：分桁了裳用的身份认证技术、安全套接屡s s l 锛议，并研究总结了荤点 登录的实现技术耱发展现状。 第3 章：提出了e l s s p 平台的设计思想和设计目标，分析了平螽架构过程中需要 考虑的荚键闯题，提如了e i s s p 身份认证平台的架构。 第4 章：绘出了双因素动态口令身份认证按术的认证原理，生成算法，说骥了随 机密钥的产生方法，弗对时钟偏移提出了很好的解决办法。 第5 章：分析j a a s 高级开发技术，实现了e i s s p 身份认诞平螽的身份认证模块 的“舔捶拔”特性。 第6 章：在r b a c 的基础上，构建了嚣i s s p 访问控制模型，并对数据进稽持久化 设计。 第7 章：在研究鼬r b e r o s 协议基础上，提出e i s s p 平台中w 曲应用资源的单点 登录功能的实现方案，并对方案的安全健稷可行性进行分析。 第8 章：总结全文工作，对未来的工作进彳亍展望。 2 第二章身份认证相关技术分析 第二章身份认证相关技术分析 2 1 身份认证技术概述 在企业环境中，对于特定的信息系统资源，应该只有经过授权的合法用户才能访 问，因此如何正确的鉴别用户的真实身份是企业信息安全的关键，是很多行业中解决 网络安全问题时遇到的首当其冲的问题。用户身份认证，也称用户身份鉴别或验证， 是用户向计算机系统以一种安全的方式提交自己的身份证明，由系统确认用户的身份 是否属实，最终拒绝或赋予用户一定权限的过程川。 信息技术领域的身份认证是通过将一个证据与实体身份绑定来实现的，用户的识 别依赖的是系统验证接收到的证据。1 。因此验证面临这些考验：收集验证数据问题、 安全地传输数据问题以及怎样知道使用计算机系统的用户就是当前验证通过的用户 问题。近年来国内外有关身份鉴别的研究和应用非常热门，也发展很快。就国内而言， 出现有关身份认证的发明专利近百项。身份认证技术的实现技术也多种多样，目前常 见的有：静态口令、动态口令、智能卡和生物特征、x 5 0 9 数字证书0 3 等。 2 2 常用身份认证技术 2 2 1 基于静态口令身份认证技术 基于静态口令的认证是最简单、最易实现的一种认证技术，也是目前应用最广泛 的认证方法。静态口令的应用非常广泛，它可以用在所有的软件中，是绝大多数应用 和硬件设备的默认认证方式。其优势在于实现简单、成本低、速度快。但口令认证的 安全性较差，为了方便，人们往往选择一些易记口令，而穷举攻击和字典攻击对这类 弱口令非常有效。使用口令的另一个不安全因素来源于网络传输，许多系统的口令是 以未加密的明文形式在网上传送的，窃听者通过分析截获的信息包，可以轻而易举地获 得用户的账号和口令。另外，在大型企业环境中，对口令的管理也是一个难题，对于 用户来说在所有的应用中更新一个密码并不是一件简单的事情。对于安全性要求不是 很高的领域，静态口令认证仍然是一种可取的方式。 2 2 2 基于动态口令的身份认证技术 针对静态口令存在的诸多安全问题，安全专家提出了动态口令密码体制钔，以保 护关键的信息资源。动态口令产生的主要思路是：在登录过程中加入不确定变化因素 动态口令，以一次性动态口令登录，每次登录的认证信息都不相同。验证系统接收到 北京化工丈学硕士论文 登录口令后进行验算即可确认用户身份的食法性。由于每个正确的动态口令只能傻用 一次，即使非法用户截获了已经通过验证的正确令，再次提交到认证服务器也不能 通过验证，因此不必担心口令在传输认证期间被第三方监听到，从而提高登录过程的 安全性。 目前动态口令邑成为使用的较成熟的高强度的认证手段，具有广泛的应阁，其技 本实现方式主要有以下三类，基予时瓣同步动态曰令技术、莲于事件同步动态口令技 术和基予事件异步，也称挑战，应答方式的动态口令技术【5 。 基于时间同步的方式中，用户拥商的口令令牌会生成一个动态的，一次性墨令， 对于用户来说，进行2 步操作可以完成认证，其认证过程如图2 1 所示。动态口令的 生成是以用户登录时的时间作为变化因子，具有随机性。这种方式的缺点是需要进行 时钟同步的校正。 图2 - l 基于时间同步的动态口令 f i g 2 - io t pt i m eb a s e d 基于事件同步的方式中，用户按下令牌上的按钮之后，会产生动态口令，认证过 程如图2 2 新示。动态口令的产生依赖于一组的有序数剜中的下一个数据，这组有序 数列事先肉黉于臼令令牌中。这种方式豁弊端是数据不翼有隧梳性，安全性较差，容 易受到恶意蠲户的玫志。 第三章身份认证相关技术分析 圈2 _ 2 基于事件弱步豹动态口令 f i g 2 _ 2c r r pe v e n tb 勰e d 基于挑战威答的方式中，用户输入账号，等待服务器回传一个挑战数，用户肼 码解锁口令令牌，输入挑战数之后，令牌才会作为应答生成一个动态口令，客户端在 用户输入动态口令后把它传给认证服务器进行认证，其过程如图2 3 所示，对于用户 来说，进行一次身份认诞的操作多达5 个步骤。虽然认诞的可靠往的得到了提高，但 是也辔捆了客户端和认诬服务器的交互次数，认证过程复杂。当需要逶过网络进行远 程认涯时，餐易影响认诞的效率。 图2 3 基于挑战，应答的动态口令 f 蟾2 _ 3o t pc h a l i e n g e i r e p o n s eb a s e d 目前动态口令的令牌载体的实现形式w 以有硬件令牌、软件令牌和手机令牌等吼 借助于用户“拥有”的，郾令牌和用户“知道”的，霞爿码，可实现双因素强认证。 北京化工丈学硕士论文 2 。2 3 基于智能卡的身份认证技术 基于智能卡的认证方式也是种双因素的认证方式( p 刷码+ 智能卡) ，除非p 肼码 或智能卡被同时窃取，否则用户不会被冒充。智能卡般是形状与信用卡类似的矩形 塑料片，但也有许多其它的形式，其特点蹙：育一个内置的处理器，可编程豹，能够 安全地存储数据【8 】。智能卡具有硬件加密功能，有较离的安全性。每个用户持有一张 智能卡，餐能卡存镤用户个性纯豹秘密倍惑，翔对在验证服务器中也存放该秘密傣怠。 进行认诞时，用户输入p 肼码，智能卡认证尹删码成功后，即可读出智能卡中的秘密 信息，进而利用该秘密信息与主机之间进行认证。但对于智能卡认证，需要在每个认 证端添加读卡设备，增加了硬件成本，不如口令认证方便和易行。 2 。2 4 基手生物识别豹身份认涯技术 生物识嗣这种认证方式以人体其有的惟一的、可靠的、终生稳定的生物特征为依 据，利用计算机图像处理和模式谈剐技术来实现身份认证。生物特征识羽技术目前主 要利用指纹、声纹、虹膜、视网膜、脸部、掌纹这几个方面特征进行谈别【9 l 。从理论 上说，生物特镁凡乎无法被造假和冒羯，因此它具有其它的认证技术不可比拟的安全 性和可靠性。声纹、虹膜、视网膜、脸部特征识别，邦是非接触方式遴杼，易于被用 户接受。但目前多数仍处予研究蜜验或小范围应用阶段，由于识别设备成本麓、对识 别正确率没有确切结论、采取的特征会由予某些因素量现不稳定性等原因，目前还缀难 真正推广到应用中。 2 。2 ，5 基于x s 0 9 数字证书的身份认证技术 x 5 0 9 数字证书的认证技术是依赖于通信双方共同信赖的第三方来实现认 正。 x ，5 0 9 认证是基子公开密钥的，在实现上相对于私钥方式更细简单明了，能够让透信 双方容易共享密钥，而且它乖j 用了公锈密码系统中数字签名的功能，强化了网络上远 程认证的能力。这里可信赖的第兰方是被称为c a ( c e 棚f i e a t e a u 地o r i t y ) 的认_ | j e 机构。 该认涯橇构负责认证用户的身份弗向翔户签发数字证书”雠。 数字诞书包含用户身份信息、用户公钥信息以及诞书发行机构对该证书的数字签 名信息。诞书发彳子机构的数字签名可以确保证书信息豹奏实性、用户公钥傍感可以保 证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可抵赖性i j ”。 数字证书是x 5 0 9 的核心，遵循x 5 0 9 标准所规定的格式，称为x ，5 0 9 数字证 书。x 5 0 9 目前有三个版本：v l 、v 2 和v 3 。v 3 版本的证书通过增加扩展项对v l 和 v 2 证书进行了扩展，使其能够附带额外的信息。其证书结构如图2 4 所示。 6 第二章身份认证相关技术分析 证书版本母 证 签名算法标识符 签发机构名 有 证书用户名 证书持有者公钥信息 签发者唯一标识符 类型i 重要字段l 数壤 类型i 重要字段| 数值 扩震璞 图2 x 5 0 9 v 3 证书结构 f i g 2 4x 5 0 9 v 3c e n 撼c 8 t i o nf 掰媳e 持鸯x 5 0 9 诞书的用户就可以凭此证书访问那些信任c a 戆殷务器。当用户向某 一服务器提出访问请求时，服务器要求用户提交数字证书。收到用户的证书后，服务 器利翊c a 的公开密钥对c a 的签名进行解密，获得信息的散列鹅。然后服务器用 与c a 相同的散列算法对诞书的信息部分进行处理，得到一个散列码，将此散列码与 对签名解密所 寻到的散到码进行比较，若相等则表明照迁书确实是c a 签发的，而且 是完熬的来被篡改的证书。这样，瘸户馒通避了身份认证。服务器觚证书的信惑帮分 取出用户的公钥，以后向用户传送数据时，便以此公钥加密，对该信息只有用户可以 进毒亍解密。 基予x 5 0 9 证书的认证技术适用于开放式网络环境下的身份认证，该技术已被 广泛接受，谗多嘲络安全程序都可以使用x 5 0 9 诞书( 如：i p s e c 、s s l 、s e t 、s m i m e 等1 。但它不可避免地存在着某冀缺陷，如：在发布最初的证书时，c a 如何验证一个远 程用户提供的信怠的真实性阔寇；篇户私有密钥保存的安全闯题；溺户用于墩出私钥 的通行字的质量问题等等。此类问题在理论土虽不难解决，健在具体实施中却很困难 f 2 ，毗 2 3s s l 安全套接层协议 s s l ( s e c u r es o c k e tl a y e r ) 协议最初由n e t s c a p e 企业发展，现己成为网络用来鉴别 网站和网页浏览者身份，以及在浏览器使用者及网页服务器之闯进行加密通讯的全球 亿标准。由予s s l 技术己建立到所有主要的浏览器和w e b 服务器程序中，因此，仅 需安装数字涯书，或服务嚣证书裁霹以激活服务器功能嘲。 l e 意纯王大学碗士论冀 2 3 ，ls s l 协议撼系结搀麓逮 安全套接媛镪谈位予哥靠翁爱自连接簿络层协议( 即t e p 艚) 鞠成蠲层协议( 辩t w ) 之间，它在客户端和服务器之问提供安全通信：允许卫方相互认证、使用消息的数字 篓名寒提供完敲鼗、通过身嚣密褥供漓惠静保密性。 s s l 出雾巾协议缝成，袋翊两瑶协议棒系绩掇，奶凝2 5 瓣拳。 圈2 d s s l 协议橇 晦2 s s l 芦。栅ls 钰出 s s l 协潋包括两个予协议；s s l 记录协议和s s l 握手协议椰j 。s s l 记录协议规定 了数耀转耱格式，握手协议搜褥服务器酾客户能够辎甄试诬对方酌赛份，姆翡赧密露 m a c 算法娃及用来缳护s s l 0 录中发送驹数据静翱密裙镅。这中间，客户和服务器 之润需要交换大蘸信息。信崽变换的嚣前燕为了实现s s l 酶下述功黼： 认 正服务器身份； 认证客户端身静； 毽耀公镪趣赛鼗术产璧i 共事耘磐溢患； 建立加糍的s s l 连接 s s l 酶议支掩多释掬密，咯希耱签名冀洼，搜镯暇务器在选择冀法时膏锻 大的灵 添性，可以根据以往的算法、进出口阻制域最初拜发的箕法进行选群。具体选择付么 样的算法，双方可在建立协泌会话之柳进行协商。 1 3 0 s s l 谗袭协议 s s l 记聚协议是s s l 辫议的底臻，在客户杭藕服务器之间传输j 霞用数据和s s l 控制数据，其阀有可毙对数据进行分段或器把多个莲鼹协议数掇缝台戒单个数攥翠 元。它最多能传送i 6 3 8 4 个字节豹数摆块。 s s l 记录协议薛整个攥馋进程势为五个步骤，如塑2 6 掰示a 第二章身份认证相差技术分析 虚阁数据 分段鳃 合 压缩 计瓤a e 加密 附加s 乩 记录协议 头 图2 - 6 s s l 记录协议 f i g 2 6s s lf e c o r dp 蛳o e o l 这竖m a c 运算使用的公式如下： h a s h ( m a c 确t 9 e c f e l 却a d 曲l a s h 洲a c j 哺t e j e c r e 件辨d - l + s 鹎n l 蹴十s s l c o m p f e s s e d + l 班蚺s s l e o m 辫s s e d 沁n g f h + s s l c o 撒脚s s 醛如g m e 嘞：其中“+ ”表示连接操 乍；m a c 、? r ；i t e _ _ s e c r e t 是客户服务器共享密钥；p a 虹l 是字符o x 3 6 熏复4 8 次( m d 5 ) 或4 0 次( s 执) ；p a d _ 2 是字德o x 5 c 重复4 8 次( m d 5 ) 或4 0 次( s 辑a ) ；s s 毛c o m p 糟s s e d t 弹e 是处理分段的熹层协议类溅；s s 王_ c o m p f c s s e d 1 c n g 出是压缩分段豹长度； s s l e o m p r e s s e d 盘a g 瞻e 玎t 是压缩分段。 添鸯口到s s l 记录挤议的报头包含一下字段： 内容类型( 8 位) ：所封装的高蘑协议类裂。 主版本( 8 位) ：使用s s l 协议豹恚要版本号。 次版本( 8 位) ：使用s s b 协议的次要版本碍。 压缩长度( 1 6 位) ：分段的字节长度，不能超过2 1 4 + 2 0 4 8 。 2 3 + 3s s 毛握警协谈 握手挤议允许客户和服务器媚互验证、协商加密和m a c 算法以及保密密锈， 用来保护s s l 记录发送的数据。握手协议由一系列客户机和服务器的交换消息来实 觋。该过程根撂服务器是否需要服务器诞书或请求客户端涯书以及是否需要管理密码 9 凰 北京化工大学硕士论文 售息藤有所不同。一般的握手过程如图2 7 熙示： 窖户服务器 二堕至垂至 圉2 4 简他的握手过程 f 酶2 - 7s 弧p j eh d s h a k em e t l l o d 第步：客户和服务器交换h o l l o 消息。善先盎客户端发起交换。 毛e l l o 漕息的功 能是建立包括扔议版本、会话、密码缀署珏压缩方法豹安全参数以及双方产生豹一些 随机数。密码组协商允许客户端和服务器选择它们都支持的某个密码组。s s l 3 ，o 协议 规范定义了3 1 稚密码组【眨】。密码组包禽的部件肖：密钥交换豹方法，数据传输加密 算法和计算消息认证码的消息摘要方法。其中密钥交换方法定义了如何得到加密客户 和服务器之阔传输的应用数据的对称密码学密钥，s s l 3 o 支持使用数字证书的r s a 密钥交换| 冀及无数字证书豹d i m 争h e l l m a l l 密钥交换。同时还需要考虑是否使用数字 签名来验涯交换消惠。用私钥进弦签名可以确保产生共享密镝的交换消息兔遭中润入 攻击。 第二步：进行实际的密钥交换。在这一过程中，客户端先对服务器的诞书避镗验 证，并拯取服务器的公用密钥。产生一个髓枫密礤串，并使用服务器的公钥进镗加密。 然后向服务器发送c l i e n tk - e ye x c h a l l g e 消息，此消息的具体内容依赖在h e l l o 消息所 选择的密钥交换类型。如果客户发送的楚一个其有签名能力的证书，则用户可以明确 发送一条证书确认消息来验证。 最盾客户枫发送c h a n g 吖i 出u p e c 漓惑，并改变自身状态。l 匕时衙继消息都将 使用新的密码组规范进行操作。然后客户机用新密确规范发送嚣n i s h e d 消息。同样服 务器发送自身的c h a n g u i p h e u p e c 消惠，拷贝来决状态密码缀到当前密码缀，并发 送曩n i s 蜘d 消惠。这样客户枧和服务器处于露步状态，完成熬个握手避程，以开始 交换应用层的数据。 1 0 第二章身份认证相关技术分析 2 4 单点登录 单点登录，即s s o ( s i n 西es i g n o n ) ，简单说，就是通过用户的一次性茶别登录， 即可获得需访问系统和应用软件的授权，不再需要参与其它的身份认证避程【1 。在此 条件下，管理员无需修改或于涉用户登岽就能方便的实施希望得到的安全控翩话j 。这 是一个为了能够在分布式计算机环境中，安全方便地签别用户身份丽产生的课题。 2 4 1 肇点登录的实现技术 当兹流行的s s o 实现模型主要有基于经纪人、基予代理、基于经纪人和代理混合 等技术f 1 6 _ 18 1 。 2 4 1 1 基予b r o k e r 的s s o 模型 在基于经纪人模型中，有一个完成集中议证、用户帐母管理的服务器和一个公共、 统一的用户数据痒，如图2 _ 8 所示。b r o k e r 为用户提供一个能够被用户迸一步访问请 求的电子身份凭证。其主要优点是膏一个中央羯户数据库，易于对用户数据进行管理。 魏类模型的解决方案类似与k e r b e r o s 的认证方式，需要确定哪些应用程序需要被修 改，或者“k e r b 积z e d ”化) 以便予接受票据。这种模型对于就系统的改造，是顼艰 巨的工作。 圈2 8 基于经纪人的s s o 方案 f 蝽2 3a 转k e 岫嗽ds s o s o l u 畦o n 北京化工大学硕士论文 2 4 1 2 基于a 窖e n t 的s s o 模型 在基予a g e n t 的s s o 方案中，肖一个代理程序自动为不同的应用程序认证用户。 代理穗序可以用不同的方式实现。若a g e n t 部署在客户端，它能装载获得用户名口令 列表，自动替用户完成登录过程，减轻客户端稷謦的认 芷受据。若a g e n t 部署在服务 器端，它就是服务器的认证系统和客户端认证方法之间的“馥译”。当软件供应商提 供了大量的与骥有应用程序通信的a g e n t 对基于a g e n t 的s s o 方案可饺应用迁移变 得十分容易。s s h 是个基于代理人的解决方案的典毅例子。 2 4 1 3 基于g a t e w a y 的s s o 模型 在基于g a t e w a y 的s s o 方案中，用户对受限网络服务的访问都必须通过网关。网 关可戳是防火墙，或者是专门用于通信加密的服务器。所有需要保护的网络服务器都 放在被鞠关隔离的受信网段里，如图2 9 掰示。客户道过网关认诞盾获褥访问服务的 授权。如采在网关后的服务能够通过译地址迸行识别，就可以在网关上建立一个慕 于矛的规则袭。将规则表与网关上的用户数据霹相结合，网关就可以被用于孽点建 景。由于网关可以监视并改变传绘疲属服务的数攒流，所以它能够改变认诞信息以适 应适当的访闻控制，丽不用修改应用服务嚣。网关作为一个分离的部伟，安装和设鬟方 便；但是盍i 】果存在多个安全网关，那么用户数据库并不能自动遗被同步。基予g a t e w a y 的s s o 方案魂不适用于用户端使用代理的情况。 篷2 9 蒸予网关的s s o 方案 f 垃2 * 9ag 越蹦a y _ b 8 s e ds s os o l 娟o n 2 4 1 4 綦于a g e 疵和b r o 沁r 的s s o 模型 基于a g e n t 和b r o k e r 的s s o 方案综合了基于a g e n t 的s s o 方案和基于b r o k e r 的s s o 方案，如图2 1 0 所示，还方案充分利用了前者豹灵活性和质蠹的集中管理两 方强酌优势。这样裁减少了改变网络应用程序豹代价。 第二章身份认证相关技术分析 图2 - l o 基于代理和经纪入的s s o 方案 f 姆2 _ 1 0a n a g e n t _ b a s e da n db f o k e r b 鹊e ds s os o l t 畦曲 2 4 2 单点登录的发展状况 随若网络应用的不断增多，s s o 哥以提高网络用户的工作效率，提高网络的安全 性，降低应用系统出错的概率，单点登录的技术迸年内得到了迅猛的发展。由于j 2 e e 平台支持简化的、基手维传开发模型，具有随处运行的可移撩性，支持异构环境，即 不依赖任何特定操作系统、中间件或硬件，重用性好等优点。许多研究者都采用j 2 e e 规范来开发单点登录产晶，但是j 2 e e 没有定义s s o 的具体实现方法，所以隧前出现 了众多的s s o 产品，例如：m i c r o s o f 【公司的n e t p 懿s p o r t 、i b m 的w 曲s p h e r e p o n a l s e r v e r 、n e t e g r i t vs i t e m i n d e r 、0 r a c l e9 i a s p o r 舡ds e r v e r 等，务个s s o 产品的实 现机制都不尽相同 m i c r o s o f t 在免费的h o n i l a i l 服务的基础上，收集l s o 万用户的身份信息，以此为 依据设计了用予统一身份验证服务的 e tp a s s p o f t 【1 9 # 。结合w i n d o 粥的操作系统和 i n t c m e te x p l o r c rw 曲浏览器，n e tp a s s p o r t 网络服务理所当然成为m i c r o s o f l 的网络 门户，因此p 黯s p o r t 是拥有注册用户最多的网络服务。n e tp a s s p o n 技术实现的关键 是h t t p 重定向： 1 尚未通过认诞的。n e t p a s s p o 牲注腮用户在点击n e t p a s s p o ns s i ( s i n g l es i g n _ i n ) 页 面中的单点登录链接时，h t t p 重定向到m i c r o s o f t 的n e t p 船s p o r t 单点登录页面。 2 在单点登裂页恧用户输入n e tp a s s p o r t 用户名和密码，n e tp a s s 舯n 认证该用户 后向用户的浏览器写迸一个c o o k i e 。 3 。m i c r o s o 矗的p a s s s p o r t 服务器重定向浏览嚣到合作站点的w 拈服务器，认涯的 信惠附加在 t t p 请求参数中。 北京纯= 大学硕士论文 4 合作站点的w e b 服务器接收到请求愿，m i c f o s o r 的p a s s p o r t 管理器解密从 m i c s 醴的p a s s s p o r t 服务器接收到信息茅日缓存到用户浏览器c o o 虹e 中存储的用户信 息。 i b m 的s s o 设计模式基予企业级的架构，具有很好的开放性，其实现的关键是 在网络安全域内共享c o o k i e 【2 n 。l b m 豹s s o 体系结构中剖建了一组簸务器加密密 钥，然矮把它销导出运行瘦用程序的所有服务器上。用户曹次访问茭齑时，必须用用 户i d 和密码登录。通过验证后，一个加密的c o o k i e 会写目测览嚣。由于合作站点的 涨务器共享c o o k i e ，用户在访润闻域内的其他服务器时利用c o o k i e 中信怠建立用户 的身份标识。 n e t e g r i t ys i t e 撕以铡支持跨域的单点鼗录，它的实现原理是在各茅中w 曲服务器上 以插件形式安装s i t 。m i n d e r 的代理，这曩代理负责拦截所有的h t t p 请求。另外 s i t e m i n d e r 也支持代理服务配置，代理服务器相当予网关，过滤所有闫户访闻w 拈服 务器的请求，但是这种方案的花费稳当高1 2 2 】。 s u n o n e 的i d 。州移s e r v e r 支持自由联盟计划 i b o 啊a l l i a n c ep 喇e c t ) 发布的在线 身份识粥规范，即“自由”( l i b e r t y ) 标准【2 4 1 ，提供了1 个开放的稀综合性的网络身份认 证管理解决方案，包括目录、政策和证书发放管理服务等多个功能，镪助管理用户身 份，并且对网络服务和基于w 秘的资源提供安全访问控锘。 芷因为j 2 e e 规范没有就单点鼗泶制定标准，因此可以有多种实现方式。既可以根 据自蠢应用的癸求和软硬件的配置，选用已煮厂家提供的现成的身份认辽和单点登录 服务产品，墩可以自己开发更适会自身要求韵应用。选用第三方单点登录产品的主要 问题是软件价格昂贵，大多数产品只能在嚣个公司自己系列产品环壤中提供单点登录 功隧。霞此应鼹范围都具有一定的局限性。 1 4 第三章e i s s p 身份认证平台的设计 第三章e i s s p 身份认证平台的设计 3 。le l s s p 身份认证平台的设计思想 随着计算枫技术和网络技术豹发展，企业内部备转业务系统豹增多以及大型涮终 系统辩身份认疆，资源访阉的安全需求的遴一步提裹，企业信息系统的安全管理逐渐 成为关键部分。另一方面现有的身份认证管理机制已经不适台目前的企业应用【2 5 1 ，传 统的解决方案如图3 1 所示，在当前企业应用环境中的弊端鞘益突现，具体表现为： 1 认证方式简单。多数应用系统采用的是“用户名”+ “口令”的静态口令方式， 安全性弱，不能满足核心应用系统鼹嵩安全性的簧求。 2 用户多次登录，工作效率低。用户为了正常工作登录各个应用系统，需要多 次输入繁多的目令，造成工诈效攀降低，闷时增加了系统管理员麴维护任务。 3 。身份管理模块霪复开发。各应用系统各自维护一套用户数据，造成系统闻豹 数据冗余，维护繁琐。 。一一一+ 一。”+ 。1 图3 - l 传统的认证平台解决方案 f i g l 3 一l 锕成拄o n a ls o l m i o f 汝l l t i l y a u m e n 畦c 嬲o np l 躺1 1 l l 因此，信息系统需要一个具有较黼安全控制的统一身份认证平台，以保 雁数据 致、安全、使用和管理方便。通常一个理想的统一身份认涯平台，要具备以下条件： 1 从用户的角度看，即使是在复杂的企业应用环境中，该统一身份认证平台不会 影响弱业务过程、响应效率、麴络吞致薰等阂越，并褥交互操作减至最少。墨该统 身份认 芷系统被翔入使用，蠲户迁移应该容易实现。 2 从管理员的角度藿，计算机和网终环境在各个方蕊必须能被管理，灏管理应该 不引起额外豹工作或安全漏漏。管理遭程应该适合组织豹结掏和策略。这意味着权利 和控制需要有一定的层次结构。 3 + 认证的方法应能够很容易在分布式的组织环境中褥到全面地部署两不用付出 额外的代价。所有的应用程序，无论新旧。可以不需要或只需极少的改动即可适应新 北京化工大学硕士论文 的认证方式。 然而在实际应用中，这个理论上方案在实际中却很难实现，主要有三个方面的问 题：计算环境穗关的瓣题、组织结构的阉题和身份认证方法的溺题。 当前计算机环境的主要问题是，很少有系统在进行安全设计的时候参考了那些普 遍通用豹认证方法。所以当新的系统实璩了宾已的认证移访阅控制瘊，与旧有的认诞 和访问控制机制毫无互操作性可吉。 在所有的安全解决方案里，“信任”是主要的元素。但是，当前的计算机系统要 么有严重的安会漏洞和错误，要么不能经受恶意攻击，不能被信任。在不可靠的部件 上运行安全软件，构筑安全的平台，本身就是一个艰巨的任务。 与组织结梅相关的主要溷题是，谤闳授权的规剐需要麓定个体用户对稻烂资源有 访问权利。为简化管理，将对用户中有类似需要的或是有同等权利的划分为组。管理 不同组的用户是传缀费力的事媾，比如嗣户转移到别豹部门，那么他的访阚控制的投 限也应得到及时的反映。尤其在一些基于小组进行活动