J2EE核心技术.doc

J2EE核心技术 对身份验证的研究与应用班级：093301 学号：20093278 姓名：李真珍身份验证的研究与应用身份验证的研究 网络的普及使任何人都可以试图登录进入系统.确定用户合法身份，是进入网络和系统的第一道安全关口，也是用户获取权限的关键。身份验证就是辨别用户身份并根据他们的身份为其提供网络服务的行动。大多数类型的身份验证需要用户向身份验证防火墙或服务器提供下列信息中的一项：1）一段信息，如口令。2）物理上拥有某物的证据，例如智能卡（一种内嵌了用来存储用户数据的微芯片的塑料卡）3）身体特征部分信息，如指纹、语音识别或视网膜扫描。在网络计算领域中，身份验证主要采用下列三种特定形式中的一种（按最低到最高安全级别的序列列出）： a）基本身份验证：服务器维护一个包含用户名和口令的本地文件，并根据它来匹配由客户端提供的 用户-口令对。这是最常见的身份验证方式，它的缺点是口令会经常被忘记、盗窃或意外的暴露。b）质询-响应身份验证：身份验证计算机或防火墙产生一个随机的代码和数字（即质询），并将它发送给希望接受身份验证的用户。用户加入他获他的秘密PIN或口令后再提交该代码或数字。 c）集中式身份验证服务：一台集中服务器负责处理三个相互独立的基本身份验证过程：身份验证、授权和审核。这些类型的的身份验证中的每一种都要求用户在某个时刻输入口令。因此他们也可以称为单因子身份验证：用户仅需知道一项内容（口令）来启动身份验证过程。像智能卡那样的物理对象或者其他类型的物理令牌则提供了更为严格的双因子身份验证方式，在这种情况下，用户不仅需要拥有某种东西（令牌），而且要知道某些东西（PIN或口令），才可获得访问权限。防火墙实现身份验证过程的方式 大多数系统配备有身份验证方案。WEB服务器可以被设置为对需要访问某些受保护内容的客户端进行身份验证。同样，防火墙也能够进行用户身份验证。事实上，很多企业也是依靠防火墙来提供比一般的系统更安全的身份验证。身份验证是防火墙 的一项重要功能。当调用防火墙的规则，将它应用到特定的个人或用户组时，就需要启用身份验证。 防火墙可识别具有特定IP地址的用户，在用户经过授权后，该IP地址然后就可以在内部网络主机上用来发送和接收信息。防火墙执行身份验证的确切步骤可能会相互不同，但通常的过程是一样的：1）客户端请求访问一种资源2）防火墙解释请求，并提示用户输入用户名和口令3）用户提交信息给防火墙4）用户通过身份验证5）根据防火墙的规则集检查请求6）如果请求与一条存在的规则相匹配，那么允许用户的访问7）用户访问请求的资源防火墙身份验证的类型用户身份验证用户身份验证是最简单的身份验证类型。程序在接收到请求时，会提示用户输入用户名和口令。用户提交这些信息后，该软件就根据其数据库中的用户名和口令来检查该信息，如果匹配，那么就允许用户通过身份验证。客户端身份验证客户端身份验证与用户身份验证相似，但附加了使用权限的限制。用户身份验证通过向防火墙提供一对包含在数据库中的用户和口令对来获得通过，然后防火墙就允许用户对所请求的资源访问一段时间（3个小时）或者是一定的次数（3次）。在配置客户端身份验证的过程中，需要创建两种类型的身份验证中的任何一种：1）标准的登录系统，该系统中，客户端通过身份验证后，被允许访问用户需要的任何资源，或是执行任何需要的功能，例如传输文件或查看Web页。2）特殊的登录系统，在系统中，用户每次想访问受保护网络上的服务器或服务时，客户端都需要身份验证。会话身份验证无论什么时候客户端需要连接到一个网络资源并建立会话（交换信息的一段时间）时，会话身份验证都需要进行身份验证。会话身份验证可用于任何服务。需要被身份验证的客户端包含一个软件代理来提供身份验证信息；当请求建立连接时，服务器或防火墙会检测该代理。如果必要，防火墙截获连接请求，并与该代理联系。该代理执行身份验证，而防火墙则允许对请求资源的连接。集中式身份验证集中式身份验证服务器为用户维护身份验证信息，而不管用户处于哪个位置、通过什么方式连接到网络。在集中式身份验证服务器设置中，服务器有时也称为访问控制服务器，它缓解了为网络上每台服务器提供一个独立的用户名和口令数据库的需要，从而使得用户改变口令数据库的需要，从而使得用户改变口令或添加新用户时无需单独地更新服务器。集中式身份验证的过程：局域网上的客户端请求访问位于应用服务器上的程序时，它首先必须使用身份验证服务器进行身份验证，这基于两个层次的信任关系：客户端信任身份验证服务器保存了正确的身份验证信息；应用服务器信任身份验证服务器能够正确地辨别和验证客户端。验证系统技术的发展验证系统是身份鉴别技术的具体应用，身份验证技术是在计算机中最早和最广泛应用的安全技术，是用户能够进入应用系统的一道屏障。身份验证(Identification)是用户向系统出示自己身份证明的过程。身份验证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节，人们常把这两项工作统称为身份验证(或身份鉴别)。常用的验证技术有以下三种： 报文鉴别、身份鉴别、数字签名。1、报文鉴别报文鉴别的一种方法是使用报文鉴别码MAC（Message Authentication Code）。报文鉴别码是用一个密钥生成的一个小的数据块追加在报文的后面。这种技术是假定通信双方（例如用户A和用户B）共享一个密钥K。当用户A向用户B发送报文M时，就根据此密钥和报文计算出报文鉴别码MACF（K，M），这里F就是加密算法的某一函数。此报文的鉴别码一起传送到用户B。用户B用收到的报文（不包括报文鉴别码），使用同样的密钥K，再计算一次报文鉴别码，并与收到的报文鉴别码相比较。如一致，则鉴别此报文时真的。值得注意的是生成报文鉴别码的过程与加密过程十分相似。但区别是，鉴别算法不进行反向的计算。也就是说，对MAC不进行类似加密过程的反向计算。由于鉴别函数的这一特点，鉴别是较难被攻破的。2、身份鉴别身份鉴别是用户信息可认证的过程，即用户必须提供他是谁的证明，例如，要使服务器操作系统识别要入网的用户，那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较，如果相符口令，就通过了验证，可以进行下一项操作。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。认证服务是运行在一个安全机器上的一个程序，通过发出一个需求、给出一个响应这样一个过程在网络上进行验证。3、数字签名数字签名是基于公共密钥的身份验证，公开密钥的加密机制虽提供了良好的保密性，但难以鉴别发送者，即任何得到公开密钥的人都可以生成和发送报文，数字签名机制则在此基础上提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。数字签名的签名算法至少要满足以下条件：签名者事后不能否认；接受者只能验证；任何人不能伪造（包括接受者）；双方对签名的真伪发生争执时，有第三方进行仲裁。目前数字签名技术的研究主要是基于公钥密码体制。比较著名的数字签名算法包括RSA数字签名算法和DSA。身份验证的应用现阶段校园网的应用系统均有自己的用户验证系统，这样导致一个用户拥有众多的用户认证信息（帐号、密码等信息），既增加了用户记忆的复杂性，又消耗了不少的系统资源，还极易造成泄密和丢失，导致应用系统不安全。因此，校园网急需有一个统一的、具有较高安全控制的用户验证系统，以保证校园网应用系统的安全使用和方便用户操作。校园网统一验证系统要求通过对客户机和用户进行身份认证，控制用户通过哪些客户机可以对哪些服务器提供的哪些服务进行访问，系统采用安全可靠的手段保证数据传输的安全性（即通过安全加密方式进行验证信息的数据传输）。其主要功能为：双重身份认证、超时认证、分组管理。1、双重身份认证校园网中的有些应用系统需要采取双重身份验证机制。即用户通过指定的客户端向服务器发出请求，只有已注册的用户才能登录成功，只有登录成功的用户才有访问服务器规定权限范围内的服务。用户在登录时需要进行客户机和用户双重身份验证，即只有当此用户和此客户此服务器都有访问权限时才能进行访问，否则被服务器所拒绝。2、超时认证为了防止合法用户在操作过程中临时离开或操作时间过长，防止合法用户的不正常使用或非法用户对应用系统的使用，以适应有的应用系统对授权用户在验证通过后有超时限制的要求机制，设计用户超时验证。即当授权用户验证通过后，在一定时间范围内（该时间段是可以根据应用系统的安全级别自行定义）未对服务器作任何操作时，超时后系统将用户重新验证。3、分组管理本系统要求将用户、客户端和应用系统进行分