（计算机应用技术专业论文）基于pmi的webservice权限管理模型.pdf

摘要 摘要 在互联网技术高速发展的今天，大部分应用程序的开发有一个共同的倾向： 基于浏览器的瘦客户应用程序。虽然瘦客户不能提供更好的用户界面，但是它能 够避免花在桌面应用程序发布上的高成本。 网络服务( w e b s e r v i c e ) 应运而生，它运用了w e b 网络技术和基于组件开发 的精华成分。可以使用标准的互联网协议，像超文本传输协议( h y p e r t e x tt r a n s f e r p r o t o c o l ，h 订p ) 和可扩展标记语言( e x t e n s i b l em a r k u pl a n g u a g e ，x m l ) ，将功能 纲领性地体现在互联网和企业内部网上。像d c o m 、r m i 、i i o p 等基于组件的 对象模型都是依赖于一个特定的对象模型协议。w e b s e r v i c e 扩展了这些模型，使 之可以和简单对象访问协议( s i m p l eo b j e c ta c c e s sp r o t o c o l ，s o a p ) 以及x m l 通信以根除特定对象模型协议带来的障碍。可将w e b s e r v i c e 视作w e b 上的组件 编程。 由于w e b s e r v i c e 的前所未有的优点再加上微软、i b m 、s u n 的支持，在今 后的软件市场中各种功能的w e b s e r v i c e 必将像雨后春笋般出现。不可避免的， w e b s e r v i c e 的安全性问题也将随着应用的普及而逐渐浮现。电子银行、电子政务 等服务领域提供的w e b s e r v i c e 都将可能成为攻击和伪造的目标，用以窃取银行 用户私人信息和行政机关的保密数据。 本文首先简要介绍了基于权限管理基础设旌( p r i v i l e g em a n a g e m e n t i n f r a s t r u c t u r e ，p m i ) 的w e b s e r v i c e 权限管理模型的相关技术背景，分析了建立 w e b s e r v i c ep m i 管理体系的必然性，并指出了本文的研究内容。 其次，本文综合介绍了作为基于p m i 的w e b s e r v i c e 权限管理模型的基础一 一公钥基础设施( p u b l i ck e yi n f r a s t r u c t u r e ，p k i ) 体系的组成、功能、信任模式、 相关标准等，并对当前p k i 的研究现状进行分析，指出当前p k i 体系存在的问 题。 第三，本文介绍了w e b s e r v i c e 权限管理模型的定义、组成、访问控制的框 架、策略规则以及属性权威和属性证书的有关内容。 最后，本文针对天创易盾可信w e b s e r v i c e 应用平台这一具体应用，提出了 种基于p m i 体系的解决方案，包括该系统的设计目标、实现方案的选择，体 系结构，给出了天创易盾可信w e b s e r v i c e 应用平台构建的详细设计过程，并结 合应用实例分析了本系统的特点，指出了系统的不足和今后的研究方向。 关键词：网络服务( w e b s e r v i c e ) 公钥基础设施( p k i ) 数字证书c a 权限管理 基础设施属性证书属性权威 摘要 a b s t r a c t i nr e c e n ty e a r s ，t h ei n t e r n e th a sm a d ea r a p i dp r o g r e s s ，a n dt h ed e v e l o p m e n to f m o s t a p p l i c a t i o n si n t e n d s t ob eb r o w s e r - b a s e dt h i nc l i e n ta p p l i c a t i o n s a l t h o u g ht h i n c l i e n tf a i l st op r o v i d eab e t t e ri n t e r f a c e ，i tc a na v o i dh i g hc o s t so nr e l e a s eo fd e s k t o p a p p l i c a t i o n s w e b s e r v i c ea p p e a r e d ，w h i c he m p l o y sw e bt e c h n o l o g ya n dc o m p o n e n t b a s e d t e c h n o l o g y i tu s e ss t a n d a r di n t e r a c tp r o t o c o l s ，s u c ha sh y p e r t e x tt r a n s f e rp r o t o c o l ( h t t p ) a n de x t e n s i b l em a r k u pl a n g u a g e ( x m l ) ，t oe m b o d yt h ef u n c t i o ni n t o i n t e m e ta n di n t r a n e t t h o s ec o m p o n e n t b a s e dm o d e l ss u c ha sd c o m ，r m ia n di i o p r e l yo nac e r t a i no b j e c tm o d e lp r o t o c 0 1 w e b s e r v i c ee x p a n d st h e s em o d e l s ，s ot h a t t h c yc a nc o m m u n i c a t e 埘t 1 1s i m p l eo b j e c ta c c e s sp r o t o c o l ( s o a p ) a n dx m l ，t h u s r e m o v et h eo b s t a c l ec a u s e db yt h ec e r t a i no b j e c tm o d e l p r o t o c 0 1 s ow e b s e r v i c ec a n b ev i e w e da sc o m p o n e n t p r o g r a m o nw e b d u et oi t s g r e a ta d v a n t a g ea n d t h e s u p p o r t o fm i c r o s o f t ，i b ma n d s u n ， w e b s e r v i c ew i t hav a r i e t yo ff u n c t i o n si ss u r et op o pu pi nt h es o f p c g a r em a r k e t w i t h i t s p o p u l a r i t y , w e b s e r v i c es e c u r i t yp r o b l e mi sc o m i n go u ti n e v i t a b l y w e b s e r v i c e p r o v i d e db ye - b a n k ，e - a f f a i r e t c i s l i k e l y t ob et h ea t t a c ka n df o r g e r y t a r g e t ， c o n s e q u e n t l y , t h ep r i v a t ei n f o r m a t i o na n d t h ec o n f i d e n t i a ld a t ao f g o v e r n m e n tw i l lb e s t o l e n i nt h i sd i s s e r t a t i o n ，w ef i r s ti n t r o d u c et h eb a c k g r o u n do f p r i v i l e g em a n a g e m e n t i n f r a s t r u c t u r e ( p m i ) 一b a s e d w e b s e r v i c e p r i v i l e g em a n a g e m e n tm o d e l ，a n a l y z et h e n e c e s s i t yo f e s t a b l i s h i n ga p m i s y s t e m ，a n do u t l i n et h em a i nw o r k so f t h ea u t h o r s e c o n d l y , c o m p o s i t i o n ，f i m c t i o n ，t r u s t m o d e la n ds t a n d a r do fp u b l i c k e y i n f r a s t r u c t u r ef p r d ) a r ep r e s e n t e d s t a t eo ft h ea r to fp k ii sd i s c u s s e d t h ep r o b l e m s o f p k ir e s e a r c ha r ea l s op o i n t e do u t t h i r d l y , d e f i n i t i o n ，c o m p o s i t i o n ，a c c e s sc o n t r o lf r a m e w o r ka n dp r i v i l e g er u l e so f p m ia r ei n t r o d u c e d t h ek e yc o n t e n t so fa t t r i b u t ec e r t i f i c a t ea n da t t r i b u t ea u t h o r i t y a r ea l s op r e s e n t e d f i n a l l y , ap m i - b a s e ds c h e m e t ot ie a s ys e c r u i t yf o rw e b s e r v i c ei sd e s c r i b e di n d e t a i l ，i n c l u d i n gt h es y s t e md e s i g ng o a l ，t h es c h e m es e l e c t i o n ，t h ea r c h i t e c t u r ea n d d e t a i l e d d e s i g np r o c e s s a ni n s t a n c e o ft h e s y s t e ma p p l i c a t i o n i s g i v e na n dt h e c h a r a c t e r i s t i co ft h ep m i - b a s e d s y s t e m i s a n a l y z e d a t 1 a s tw es u m m a r i z et h e d i s a d v a n t a g eo f t h es y s t e ma n d t h ef u t u r ew o r k k e yw o r d s ：w e b s e r v i c e ，p u b l i ck e yi n f r a s t r u c t u r e ( p r d ) ，d a t ac e r t i f i c a t e ，p r i v i l e g e m a n a g e m e n t ，a t t r i b u t ec e r t i f i c a t e ( a c ) ，a t t r i b u t ea u t h o r i t y ( a a ) 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得叁茎盘鲎或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论 文中作了明确的说明并表示了谢意。 学位论文作者签名：徐泵至签字日期：) 归牛年月一7 日 学位论文版权使用授权书 本学位论文作者完全了解墨鲞盘鲎有关保留、使用学位论文的规定。 特授权墨鲞盘茔可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学 校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：徐豪莹 导师签名： 赵敞 签字日期：砌睥1 月7 日 签字日期： o ) 年f 1 月 日 第一章绪论 1 1 研究背景 第一章绪论 1 1 1 w e b s e r v i c 6 技术背景 1 1 1 1 什么是w e b s e r v ；c e w e b s e r v i e e 就是使用标准国际互联网协议可访问的可编程的应用程序逻辑。 w e b s e r v i c e 综合了基于部件开发和w o r l dw i d ew e b 的最好方面。就像部件， w e b s e r v i e e 表现出黑箱功能性，它可以被重复使用而不用担心服务是怎样实现 的。w e b s e r v i c e 提供了一个定义得很好的接口，或约定，它描述提供的服务。 1 1 1 2w e b s e r v i c e 产生的背景 随着分布式计算技术的迅速发展，企业的商务活动和政府的政务活动将越来 越多地依靠i n t e r a c t 。传统的分布式对象模型c o r b a ( c o m m o no b j e c t 如q u e s t b r o k e ra r c h i t e c t u r e ，公共对象请求代理体系结构) 、d c o m ( d i s t r i b u t e dc o m p o n e n t o b j e c tm o d e l ，分布式组件对象模型) 、r m i ( r e m o t em e t h o di n v o c a t i o n ，远程方法调 用) 不适用于极端异构的i n t e m e t 环境。因为：( 1 ) 它们各自有一套独立的体系结 构和私有协议，不同模型的应用系统之间通信十分不便。( 2 ) 客户端与服务端必 须紧密耦合，一旦服务端的接口或执行方式发生变化，客户端将无法执行。( 3 ) 客户与服务器之间有较大的网络通信量与交互信息。 w e bs e r v i c e s 是近两年提出的一种新的面向服务的体系结构，其中定义了一 组标准协议，用于接口定义、方法调用、基于i n t e m e t 的构件注册以及各种应用 的实现。同传统的分布式模型相比，w e bs e r v i c e s 体系的主要优势在于：( 1 ) 协议 的通用性。w e bs e r v i c e s 利用标准的i n t e m e t 协议( 如h t t p 、s m t p 等) ，解决 的是面向w e b 的分布式计算；而c o r b a 、d c o m 、r m i 使用私有的协议，只 能解决企业内部的对等实体间的分布式计算。( 2 ) 完全的平台、语言独立性。w e b s e r v i c e s 进行了更高程度的抽象，只要遵守w e bs e r v i c e s 的接口即可进行服务的 请求与调用。而c o r b a 、d c o m 、r m l 等模型要求在对等体系结构间才能进行 通信。如c o r b a 需要每个连接点都使用o r b ( o b j e c tr e q u e s tb r o k e r ，对象请求代 理) ，d c o m 需要每个连接点都使用w i n d o w s 平台，r m i 需要每个连接点都使用 j a v a ，否则双方是不能通信的。 在电子商务市场中，要求所有的参与者都采用同一个基于某种语言和平台的 第一章绪论 模型是不现实的。而w e bs e r v i c e s 结合了面向组件方法和w e b 技术的优势，利 用标准网络协议和x m l 数据格式进行通信，具有良好的普适性和灵活性，在 i n t e m e t 这个巨大的虚拟计算环境中，任何支持这些标准的系统都可以被动态定 位以及与网络上的其它w e bs e r v i c e s 交互，任何客户都可以调用任何服务而无论 它们处在何处，突破了传统的分布式计算模型在通信、应用范围等方面的限制， 允许企业和个人快速、廉价建立和部署全球性应用。 1 1 1 3w e b s e r v i c e 体系结构 图1 1 w e bs e r v i c e s 结构图 w e bs e r v i c e s 是一种能够被描述并通过网络发布、发现和调用的自包含、自 描述、松散耦合的软构件。在w e bs e r v i c e s 体系中( 如图1 ) ，所有的应用实体都 被抽象成服务。其中包括三个实体和三种操作。( 1 ) 服务提供者( s e r v i c e p r o v i d e r ) 。 从商务角度看它是指服务的所有者，从体系结构上看它是指提供服务的平台。f 2 】 服务请求者( s e r v i c er e q u e s t e r ) 。从商务角度看它是指需要请求特定功能的企业， 从体系结构上看它是指查找和调用服务的客户端应用程序。( 3 ) r 务代理( s e r v i c e b r o k e r ) 。它是指用来存储服务描述信息的信息库( r e p o s i t o r y ) 。服务提供方在这 里发布他们的服务；服务请求方在这里查找服务，获取服务的绑定信息。 与w e bs e r v i c e s 有关的操作主要有以下三种：( 1 ) 发布。服务提供者需要首先 将服务进行一定描述并发布到注册服务器上。在发布操作中，服务提供者需要通 过注册服务器的身份验证，才能对服务描述信息进行发布和修改。( 2 ) 查找。服务 请求方根据注册服务器提供的规范接口发出查询请求，以获取绑定服务所需的相 关信息。在查找操作中，一般包含两种查找模式：一种是浏览模式( b r o w s ep a t t e r n ) 。 即服务请求方可以根据通用的分类标准来浏览或者通过一些关键字来搜索，并逐 2 第一章绪论 步缩小查找的范围，直到找到满足需要的服务，查找结果是一系列服务的集合；另 一种是直接获取模式( d r i l ld o w np a a e m ) ，即通过唯一的关键字直接得到特定服务 的描述信息，其查找结果是唯一的。( 3 ) 绑定( b i n d i n g ) 。服务请求方通过分析从注 册服务器中得到的服务绑定信息，包括服务的访问路径、服务调用的参数、返回 结果、传输协议、安全要求等，对自己的系统进行相应配置，进而远程调用服务提 供者所提供的服务。 1 1 2 数字证书与p k 1 1 2 1 数字证书 在如电子政务、电子商务此类在互联网中有关键数据传输的应用中， w e b s e r v i c e 的安全措施可以围绕着数字证书展开。数字证书( c e r t i f i c a t e ) 提供的是 网络上的身份证明。在数据传输的各个环节中，对安全要求不是很高的情况下( 如 用户查询自己账户中剩余的资金数额) ，只要求验证w e b s e r v i e e 的数字证书的有 效性，而用户只需提供自己的用户名及口令即可。对安全要求很高的情况下( 如 从用户帐户向其它帐户转帐) ，w e b s e r v i c e 和用户都需要拥有数字证书，并验证 对方证书的有效性，从而解决相互间的信任问题。 从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用 于对w e b s e r v i e e 和w e b s e r v i c e 调用方的信息进行签名，以保证信息的不可否认 性，出现问题后便于追查责任方；加密证书主要用于对w e b s e r v c i e 及其调用方 之间传送的信息进行加密，以保证信息的真实性和完整性。 拥有数字证书的w e b s e r v i c e 可以将其证书提供给其他人、w e b 站点及网络 资源，必要时调用w e b s e r v c i e 的用户( 个人、组织) 也应该向需要调用的 w e b s e r v c i e 提供自己的数字证书，以证实网络服务提供方和调用方的合法身份， 并且与对方建立加密的、可信的通信。证书除了用来向其他实体证明自己的身份 外，还同时起着公钥分发的作用，每份证书都携带者持有人的公钥，签名证书携 带的是签名公钥，信息加密证书携带的是信息加密公钥。所有实体的证书都是由 一个权威机构一c a 机构( c e r t i f i c a t ea u t h o r i t y ) 发行的，人们可以在交往中来 识别对方的身份。 简单地说，数字证书是一段包含用户身份信息、用户公钥信息以及c a 机构 数字签名的数据。c a 机构的数字签名可以确保证书信息的真实性。证书格式及 证书内容遵循x 5 0 9 标准。 第一章绪论 1 1 2 2 公钥基础设施p k l 计算机网络的发展，使信息共享应用日益广泛与深入。但是信息在公共通讯 网络上存储、共享和传输，会被非法窃听、截取、篡改或毁坏而导致不可估量的 损失。尤其是银行系统、商业系统、管理部门、政府或军事领域对公共通信网络 中存储与传输的数据安全问题更为关注。如果因为安全因素使得信息不敢放进因 特网这样的公共网络，那么办公效率及资源的利用率都会受到很大的影响，甚至 使人们丧失了对因特网和信息高速公路的信赖。 p k i 即p u b l i ck e yi n f r a s t r u c t u r e ，意为公钥基础设施，是网络安全问题的一套 相对完整的解决方案。p k i 不是单纯的公开密钥技术，而是基于公开密钥技术的 体系架构，是以公开密钥技术为主的多种安全技术的组合体。p k i 是一种能提供 公钥证书的产生、发布、审计、撤销、更新、管理等功能的框架和服务，对网络 上的应用提供了身份认证、机密性、完整性和不可否认性的安全服务。p k i 用非 对称密码算法原理和技术实现并提供了具有通用性的安全基础设施，并遵循相关 标准，利用公钥加密技术为网上电子商务、电予政务的开展提供了一整套安全的 基础平台。用户利用p k i 平台提供的安全服务进行安全通信。p k i 这种遵循标准 的密钥管理平台，能够为所有网络应用透明的提供采用加密和数字签名等密码服 务所需要的密钥和证书管理。 1 1 3 嗍i 体系技术背景 1 1 3 1 基于p k i 的p m i 系统的出现背景 在过去的几年中，p k i 已经成为网络应用中不可缺少的安全支撑系统。但随 着网络应用的扩展和深入，仅仅能确定“他是谁”已经不能满足需要，安全系统 要求提供一种手段进一步确定“他能做什么”。 1 1 3 2 访问控制 访问控制是阻止非法访问的最重要的措施之一。访问控制的作用是对想访问 系统和数据的人进行识别，并检验其身份。对一个系统进行访问控制的常用方法 是对没有合法权限的任何人进行限制。更一般的，访问控制可以描述为控制对网 络信息资源的访问方法。如果没有访问控制，任何人都可以进入别人的计算机系 统并作他们想做的任何事情。 访问控制的机制主要分为以下三种： ( 1 ) 强制访问控目6 1 j ( m a n d a t o r y a c c e s s c o n t r 0 1 m a c ) m a c 指系统强制主体服从事先制定的访问控制政策。它主要应用于多层次 4 第一章绪论 安全级别的军事应用中，预先定义用户的可信任级别及信息的敏感程度( 安全级 别) ，当用户提出访问请求时，系统对两者进行比较以确定访问是否合法。其缺 点在于客体访问级别和主体安全级别的划分与现实要求无法一致，在同级别间缺 乏控制机制。 ( 2 ) 自主访问控带l j ( d i s c r e f i o n a r y a c c e s sc o n t r o l ，d a c ) d a c 是在确认主体身份及所属组的基础上，对访问进行限定的一种控制策 略，访问控制策略保存在一个矩阵中，行为主体，列为客体。为了提高效率，系 统不保存整个矩阵，在具体实现时是基于矩阵的行或列来实现访问控制的策略。 目前以基于列( 客体) 的访问控制列表a c l 采用得最多。a c l 的优点在于表述 直观，易于理解，而且容易查出对某一特定资源拥有访问权限的所有用户，有效 的实施授权管理。但应用到网络规模较大、需求复杂的企业内部网络时，需要在 a c l 中设定大量的表项，而且当用户的职位、职责发生变化时，为反映这些变 化，管理员需要修改用户对所有资源的访问权限，使得访问控制的授权管理需要 花费大量的人力，且容易出错，也无法实现复杂的安全政策。 ( 3 ) 基于角色的访问控锘l j ( r o l e b a s e d a c c e s sc o n t r o l ，r b a c ) r b a c 是美国n i s t ( n a t i o n a li n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ) 于2 0 世纪 9 0 年代初提出的一种新的访问控制技术。该技术主要研究将用户划分成与其在 组织结构体系相一致的角色，以减少授权管理的复杂性，降低管理开销和为管理 员提供一个比较好的实现复杂安全政策的环境而著称。r b a c 可以嵌入到操作系 统或数据库系统中，也可在应用级实现。 权限管理访问控制实质上是对资源使用的限制，决定主体是否有权对客体执 行某种操作。只有经授权的用户，才允许访问特定的系统资源。以用户认证作为 访问控制的前提，将各种安全策略相互配合才能真正起到系统资源的保护作用。 在过去的五年中，权限管理作为安全的一个领域得到快速发展，也提出了几种权 限管理的方案，如k e r b e r o s ，基于策略服务器方案，但目前应用和研究的热点集 中于基于p 的p m i 研究。 1 1 4 建立p m i 体系的必要性 p m i 即p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ，意为权限管理基础设施，是属性 证书、属性权威、属性证书库等部件的集合体，用来实现权限和证书的产生、管 理、存储、分发和撤销等功能。 应用p k 的目的是管理密钥并通过公钥算法实现用户的身份验证。但在实际 应用中却存在一个问题：如果用户数目很大，通过身份认证仅可以确定用户身份， 却不能区分出每个用户的权限。这就是p m i 体系产生的原因。建立在p k i 体系 5 第一章绪论 基础上的p m i 体系通过引入属性证书，从而解决了用户权限的管理问题。 既然p m i 建立在p k i 的基础之上，为什么不直接基于p k i 进行权限管理和 访问控制呢? 最原始的x 5 0 9 公钥证书比较简单，它针对个人提出了不容更改的 身份标识。但在某些特殊场合中，特别是通信双方未曾有过交往经历的情况下， 还需要更多的信息，这时知道一个人的权限比仅仅知道这个人的身份更加重要。 为加入上述附加属性等信息，在保持原来公钥证书传统格式的同时，x 5 0 9 v 3 引入扩展数据块的概念，在其中可以根据需要定义数据附加项。由此，应用系统 可以引入专用定义来满足局部需要。不幸的是，专用扩展项的滥用很快带来一些 问题，如互操作性，权限和有效期等方面。 ( 1 ) 互操作性 标准化的主要目的是为了使来自不同供应商的全异的系统可以相互协同工 作。当x 5 0 9 证书是一个具有清晰定义说明的标准时，这一点是完全可以满足的。 但当引入专用扩展项后，这变成了一个非常遥远的目标，因为不同的系统可以定 义实现他们自己的专用扩展项。 ( 2 ) 权限 公钥证书和属性证书的管理颁发部门有可能不同。公钥证书由身份管理系统 进行控制，而属性证书的管理则与应用紧密相关：什么样的人享有什么样的权利， 随应用的不同而不同。一个系统中，一个用户只有一张合法的公钥证书，而属性 证书则灵活得多。多个应用可以使用同一个属性证书，但也可为同一应用的不同 操作颁发不同的属性证书。 ( 3 ) 有效期 身份和属性的有效时间有很大的差异。身份往往相对稳定，变化较少；而属 性如职务、职位、部门则变化较快。因此，属性证书的生命周期往往远低于用于 标识身份的公钥证书，维护授权信息的代价相对维护身份信息要商的多。 基于以上原因，可以把x 5 0 9 证书和它的扩展项分离成两个独立的证书，一 个包含身份标识，而另一个包含属性信息。包含身份标识的是p k i 体系中的公钥 证书，而包含属性信息的则是p m i 体系中的属性证书。 1 1 5 p m l 体系的优点 在p i g 得到较大规模应用以后，人们已经认识到需要超越当前p k i 提供的 身份验证和机密性，步入授权验证的领域，通过建立p m i 体系，借助属性证书 对应用中的资源进行访问控制，从而实现信息环境的权限管理。在p i g 的基础上， p m i 实际提出了一个新的信息保护基础设施，能够与p k i 和目录服务紧密的集 成。p m i 作为一个基础设施能够系统的建立起对认可用户的特定授权。p m i 通过 6 第一章绪论 结合授权管理系统和身份认证系统弥补了p k i 的弱点，提供了将p i e d 集成到商 业计算环境的应用模型，而不只是将p k i 的应用限制在用户安全解决方案上。建 立在p i g 基础之上的p m i ，对权限管理进行了较为系统的定义和描述，将权限 管理研究推到了应用的前沿。 1 1 6 当前p m i 体系的主要研究水平 p m i 体系是p k i 体系发展的一个新方向，它为网络安全系统授权的实现提 供了一个很好的思路。但由于p m i 比较新也比较复杂，关于p m i 系统的研究和 开发方面，还处在验证阶段，并没有统一的标准。 很多国外著名的信息安全公司如r s a ，e n t r u s t ，b a l t i m o r e 等公司在p m i 研 究方面进行了大量的工作，很多p k i 开发商已提供了一些p m i 产品；政府方面 也进行了相应的研究，例如，e u ( e u r o p e a n u n i t e d ) 资助下的p e r m i s ( p r i v i l e g e a n d r o l em a n a g e m e n ti n f r a s t r u c t u r es t a n d a r d sv a l i d a t i o n ) 项目正在进行中，并提出了一 些草案，目的是验证该p m i 的适用性和可用性，并尝试标准化电子商务应用中 所需的权限，以及制定描述这些权限和p e r m i sa p i 的r f c ；加拿大对p m i 的 研究也从纸面转向了电子验证。 国内对p m i 的研究已经开始，也开始有类似的产品出现，但是还没有相应 的应用实例。国内的有些公司，例如：吉大正元信息技术股份有限公司的j i t - 一s s o 在p m 产品探索和研究上进行了一定的工作。该产品使用了基于角色的权限管 理模型，集中的进行权限管理，支持资源信息的自动获取，具有完善的审计功能， 并实现了基于证书的单点身份验证。 本文将对基于p i g 的p m i 系统进行研究，针对目前新出现的w e b s e r v i c e s 分 布式服务体系，提出一个基于p m i 体系的w e b s e r v i c e s 权限管理解决方案，是对 p m i 应用研究的一个有益探索。 1 2 项目背景 本研究课题的工程实践是以天创w e b s e r v i c e s 安全应用平台及计费认证网 关为背景的。针对2 0 0 1 年各大厂商纷纷将w e b s e r v i c e s 作为今后技术发展的发 展方向，而w e b s e r v i c e s 由于采用明文传送信息所带来的安全问题，天创公司提 出了天创w e b s e r v i c e s 安全平台及计费认证网关建设的总体设计思想：建立一套 安全的、高效的、易用的、完善的w e b s e r v i c e s 安全认证解决方案，以身份认证 为核心，计费等应用为扩展，为w e b s e r i v c e s 在实际中的应用奠定坚实的基础。 在系统总体设计思想的指导下，平台的建设取得了很大的进步，但在已建成的平 7 第一章绪论 台中，还存在下列主要问题：平台中各w e b s e r v i c e s 垂直分割，信息共享程序较 低；w e b s e r v i c e s 之间结构不统一，资源使用不合理；w e b s e r v i c e s 整体功能不 完善。 为更好的完善天创w e b s e r v i e e s 安全应用平台，将其发展成为真正的跨企业 级w e b s e r v i c e s 安全应用整合平台，天创公司提出将现有平台扩展为 “w e b s e r v i c e s 安全应用支撑平台”的要求，该平台目标为： 实现一个可信的信息安全机制：以建立公开密钥基础设施( p k i ) 为基础向 应用系统提供身份认证、访问控制和安全审计功能，可实现用户端单点 登录和全网享受服务。 实现跨应用w e b s e r v i c e s 用户端和服务端的安全传输和权限管理的透明 操作：为各类w e b s e r v i c e s 安全应用提供一个统一的、规范的、方便实 用的数据交换系统，使之成为实现分布在网络上各个w e b s e r v i c e s 安全 应用服务共享和数据整合的手段，达到跨企业、跨部门的服务共享，解 决“服务孤岛”问题。 提供一套应用支撑平台建设的技术规范，促进w e b s e r v i e s 安全应用建设 规范化。 采用一系列成熟先进的技术，包括x m l 技术、数据仓库技术、目录服 务技术，保证w e b s e r v i e s 安全应用平台的先进性、结构的统一性、运行 的可靠性，以利于平台的开发、应用和发展。 作者通过对天创公司“w e b s e r v i c e s 安全应用支撑平台”目标的仔细研究， 逐步认识到p m i 技术在该平台中的重要作用。p m i 体系的功能、结构可以解决目 前w e b s e r v i e s 安全应用平台中存在的问题，并满足“w e b s e r v i c e s 安全应用支 撑平台”的要求。通过p m i 体系与p k i 体系相结合，建立全网统一集中管理的身 份认证系统与权限管理系统，实现“单点登录，全网享受服务”，达到真正的服 务共享与访问控制。 1 3 论文作者的主要工作 论文期间作者所做的主要工作： i 对p m i 体系在w e b s e r v i e s 安全应用平台中的应用进行研究，提出了一个 基于p m i 的权限管理解决方案。 2 设计w e b s e r v i e s 安全应用平台中的权限策略模型。 3 设计实现p m i 体系中属性证书的撤销算法。 4 设计实现p m i 体系中属性权威的交叉认证模型。 5 对p m i 体系中属性证书的发放过程进行详细设计，并采用面向对象的 8 第一章绪论 j a v a 语言实现。 9 第二章公钥基础设施p k l 第二章公钥基础设施p k i 随着计算机和网络技术的飞速发展，电子商务、电子政务和网上银行业务正 在改变人们的工作效率和生活方式，开放网络环境中的信息安全问题越来越受到 人们的广泛关注。传统的基于用户名和口令的安全机制已不能满足当今网络安全 的要求。为了解决这一问题，人们不断探索如何构建全面、完整的安全解决方案。 经过多年的研究与探索，初步形成了一套相对完整的解决方案，即目前被广泛使 用的公钥基础设施( p k i ) 技术。 2 1 p k i 综述 p k i 即公钥基础设施，是利用公钥加密技术为网上电子商务、电子政务等业 务的开展提供了一套安全的基础平台，用户利用p k i 平台提供的安全服务进行安 全通信。 使用基于公钥技术系统的用户建立安全通讯信任机制的基础是：网上进行的 任何需要安全服务的通信都建立在公钥的基础之上，而与公钥相对的私钥只掌握 在他们与之通信的另一方。这个信任的基础通过公钥证书的使用来实现。公钥证 书即一个用户的公钥和身份的绑定，在绑定之前由一个可信任的c a ( c e r t i f i c a t e a u t h o r i t y ) 来证实用户的身份，然后由这个可信任c a 对证明该绑定的证书进行数 字签名。 p k i 指一种框架或服务，它能提供公钥证书的产生、发布、审计等功能，对 网络上的应用提供身份认证、机密性、完整性和抗抵赖性的安全服务。 2 2p k i 理论基础 p k i 理论是以密码学为基础的。密码技术通过信息的变换或编码，将机密的 敏感消息变换成黑客难以读懂的乱码型文字，以此保证信息的机密性和完整性。 目前的密码技术多种多样，如果以密钥为标准，可以将密码技术分为对称密钥密 码技术和非对称密钥密码技术( 也称公钥密码技术) 。p k i 技术虽然主要是基于 非对称密钥密码技术，但同时也交叉使用对称密钥密码技术，二者相辅相成，使 p k i 能够成为方便灵活地提供安全服务的安全基础设施。 1 0 第二章公钥基础设施p k i 2 2 1 对称密钥密码技术 对称密钥密码技术的特点是无论加密还是解密都使用同一个密钥，因此，此 密码体制的安全性就是密钥的安全。如果密钥泄漏，则此密码系统便被攻破。 对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。在p k i 中常用的是分组密码算法。 分组密码的加密方式是首先将明文序列以固定长度进行分组，每一组明文用 相同的密钥和加密函数进行运算。为了减少存储量和提高运算速度，密钥的长度 般不大，因而加密函数的复杂性成为系统安全的关键。分组密码设计的核心是 构造既具有可逆性又有很强的非线性的算法。加密函数重复地使用代替和置换两 种基本的加密变换。 在所有的分组密码中，数据加密标准( d e s ) 是最著名的。d e s 是一种对称密 码算法，它是一种典型的按分组方式进行工作的密码。d e s 对6 4 b i t 的明文进行 操作。通过一个初始置换，将明文分组分成左半部分和右半部分，各3 2 b i t 长， 然后进行1 6 轮相同的运算，在运算过程中数据与密钥结合，构成函数。经过1 6 轮，左右半部分合在一起，经过一个末置换( 初始置换的逆置换) ，此时算法完 成。 在每一轮中，密钥先移位，然后再从密钥的5 6 b i t 中选出4 8 b i t ，并通过一个 异或操作与4 8 b i t 数据结合，然后通过8 个s 一盒将这替代成新的3 2 b i t 数据，再 进行p 一盒置换，构成函数f a 最后，通过另一个异或运算，函数f 的输出与左半 部分结合，其结果即成新的右半部分，原来的右半部分成为新的左半部分。将该 操作重复1 6 次，便实现了d e s 的1 6 轮运算。 假设b i 是第i 次迭代的结果，l 。和r i 是b i 的左半部分和右半部分，k i 是第 i 轮的4 8 b i t 密钥，且f 是实现代替、置换及密钥异或等操作的函数。那么每一轮 就是： l i = r i i r i = l i 一1 e f ( r j l ，k i )公式( 2 1 ) d e s 使用与加密相同的函数进行解密，唯一不同之处是密钥的次序相反。如果 每轮的加密密钥是k l ，k 2 ，k 1 6 ，并向左移动，那么解密密钥为k 1 6 ，k 1 5 ， k l ，密钥向右移动。 d e s 是应用最广泛的对称密码算法，但由于计算能力的快速发展，d e s 已 不再被认为是安全的。3 d e s 算法是d e s 算法的变形，由于采用三重加密形式， 攻击的复杂度大大增加了。 第二章公钥基础设施p k i 2 2 2 非对称密钥密码技术 公钥体制于1 9 7 6 年由w d i f f i e 和m h e l l m a n 提出，采用两个密钥将加密和 解密能力分开：一个公钥作为加密密钥，一个私钥为用户专有，作为解密密钥， 通信双方无需事先交换密钥就可以进行保密通信。而要从公钥或密文分析出私 钥，在计算上是不可能的。若以公钥作为加密密钥，以用户私钥作为解密密钥， 则可实现多个用户加密的信息，只能由一个用户解读；反之，以用户专有的私钥 作为加密密钥，而以公钥作为解密密钥则可实现由一个用户加密的信息，而使多 个用户解读。前者可用于保密通信，后者可用于数字签名。公钥体制是p k i 发展 的理论基础。 公钥加密算法也称非对称密钥算法，用两个密钥：一个公共密钥和一个专用 密钥。用户要保障专用密钥的安全；公共密钥则可以发布出去。公共密钥与专用 密钥是紧密联系的，用公共密钥加密的信息只能用专用密钥解密，反之亦然。由 于公钥算法不需要联机密钥服务器，密钥分配协议简单，所以极大简化了密钥管 理。除加密功能外，公钥系统还可以提供数字签名。最著名的公钥算法是r s a 算法。 r s a 体制是第一个公钥密码体制，也是迄今为止理论上最为成熟完善的一 种公钥密码机制。它的安全性是基于大整数的分解，而体制的构造是基于e u l e r 原理。由于r s a 涉及到高次幂运算，所以用软件实现速度较