统一管理认证

2024-08-19

统一管理认证（通用8篇）

统一管理认证篇1

随着学校信息化建设的不断推广和深入,数字化校园中的各类应用系统越来越多,校园网络用户的数量不断扩展。而不管哪种应用系统,都需要对用户的身份进行识别认证和授权。用户使用的应用系统越多,所必须记住的用户登录名称和密码就越多,造成客户出错、密码泄露等安全隐患的风险也就越大,影响系统的安全稳定。因此,在数字化校园建设中亟需建立一个统一的管理认证平台,对学校用户实行统一的管理、认证和授权。

1 基于目录服务的统一管理认证平台体系架构

数字化校园中有许多种类多样、功能各异的应用系统,学校教师、学生、管理者等用户往往需要使用多个不同的应用系统,如果各系统独立使用和存储管理一份不同的身份信息,分别进行身份认证,同一个用户就需要记忆多个不同的密码和身份,当他在使用不同的系统时就需要进行多次的登录,这对用户和系统管理来说都非常不便。通过建设统一的管理认证平台,就是要将分散的用户和权限进行统一、集中的管理,实现学校用户身份的统一认证和单点登录,用户只需通过一次身份认证,就可以进入具有相应权限的所有应用系统。

在目前比较先进的统一管理认证平台技术方案中,其后台数据库都采用了高效的LDAP(Lightweight Directory Access Protocol)轻量目录访问协议。LDAP是一种跨平台和标准的协议,具有数据存取速度快、几乎可以存储所有类型的数据,跨越平台和系统,同步复制和分布式服务,完善的安全控制等特点,并且因采用Internet的标准而得到业界的广泛认可。通过运用LDAP技术,可以构建分布式目录结构,存储各种类型的数据,并提供基于这些目录的高效访问。根据数字化校园中用户数据量大,具有统一管理认证系统的应用需求,以及LDAP的技术特点,在构建学校统一管理认证系统时采用LDAP目录服务是理想的技术方案。利用LDAP清晰的目录结构存放学校的组织结构、人员信息、资源和权限信息,以及作为数字证书的存放库,对学校用户认证信息进行有效组织和管理。

利用LDAP技术建立数字化校园统一管理认证平台,要着眼于各类应用系统的统一身份认证,如既要方便新建系统使用身份认证系统,又要兼顾已有的老系统,使老系统做尽可能小的改动就可以使用身份认证子系统,最大限度实现数据整合。统一管理认证平台建设的核心理念,是利用目录服务数据库来集中存储用户和各应用系统的信息,从而实现对用户的统一管理、统一认证和统一授权,同时实现对各类应用系统的访问控制,进而提高整个系统的整体性、可管理性和安全性。基于目录服务的统一管理认证平台总体上由目录服务、统一用户管理服务、统一身份认证服务和统一授权管理服务四大模块组成。该管理认证平台的体系结构如图1所示。

2 统一用户管理服务

统一用户管理服务主要管理学校用户的电子身份,通过它可以对所有信息系统中的人员进行统一管理,这是统一身份认证和授权管理的前提。数字化校园统一用户管理服务的目标,是完成学校各应用系统的用户信息整合,实现学校用户身份信息的集中统一管理,建立与各应用系统的同步机制,简化用户及其账号的管理复杂程度,降低系统管理的安全风险。

具体来说,数字化校园统一用户管理服务主要实现以下功能:

1) 注册管理。用户注册是指用户在统一管理认证平台中注册用户帐号,通过该帐号,可以对所有使用统一管理认证平台的学校应用系统进行登录。注册管理包括新用户注册和用户修改注册信息两部分。注册管理模块的功能主要包括启动、注册向导、登录、注销等。

2) 部门管理。部门管理即对部门信息进行统一管理,可以修改部门信息,增加、删除子部门。同时,将需要维护的部门信息,如部门的顺序号、名称、ID等数据同步到其他信息系统中。

3) 人员管理。人员管理即对人员信息进行管理,可以增加、删除和修改人员的信息,可以重置人员密码。同时将需要维护的人员信息,如人员的顺序号、姓名、ID、职务级别、所属部门等数据同步到其他信息系统中。

4) 人员信息查询。人员信息查询采用目录树的方式展示部门与人员的隶属关系,可以在相应的部门列表中按多种条件查询人员信息。列表中的人员姓名上有链接,可以链入查询用户的详细信息。

5) 用户自助服务。每个数字化校园登录用户都可以修改自己的通用信息,如电话号码、房间号等,这些信息条目由系统管理员设置。

6) 系统维护。系统维护对用户进行分组管理,包括维护组的信息,增加新组以添加一个新的用户分类方式;可以选择和配置系统同步方式,包括实时同步、定时同步;可以进行属性配置等。

3 统一身份认证服务

统一身份认证服务实现对校内所有用户的数字化身份认证,是数字化校园的安全门户入口。统一身份认证服务提供平台的核心基础服务,该服务建立在基于目录服务的统一用户管理的基础之上,用户在访问校园门户网站或各类应用系统时,将首先被指向统一身份认证中心进行认证。在整个认证系统中,其服务的对象包括数字化校园中接入统一管理认证平台的所有应用系统,统一身份认证能够提供快速、高效和安全的服务,已有应用系统接入改造小,系统具有灵活的扩展性、高可用性。

3.1 统一身份认证的特点

1) 提供统一的身份认证服务。统一身份认证可以为多个不同种类、不同形式的应用提供统一的认证服务,不需要应用系统独立开发、设计认证系统,为各类应用提供了统一的接入形式。

2) 支持多种认证方式。学校的不同应用系统的安全级别不同,使用环境不同,用户的习惯和操作熟练程度不同,统一认证服务具有很强的适应性,可以针对这些不同的应用特点,提供相适应的认证手段。

3) 统一与个性相结合的认证策略。统一身份认证针对不同的认证方式,既提供了统一的策略控制,各个应用系统也可以根据自身的需要进行个性化的策略设置,根据应用或用户类型的需求,设置个性化的认证策略,提高应用系统的分级管理安全。

3.2 身份认证服务方式的选择

统一管理认证平台通过定义符合学校特点的身份数据规范,并将其应用于每个用户身份,以管理这些用户对资源的访问。在此基础上实现单点登录(SSO),保证用户一次登录即可按照授权访问相应权限的所有资源。统一身份认证服务的设计,可采用认证方式与登录方式分层的设计,同时可平滑扩展多种登录方式,支持多级登录处理认证机制。目前主要有以下几种登录认证方式:

1) LDAP认证。LDAP认证方式是基于目录服务的统一管理认证系统的主要认证方式。使用该认证方式,用户的身份信息与口令存储在指定的LDAP目录中。当一个用户登录时,通过其提供的用户名称、口令与该LDAP目录中记录的该用户名称、口令信息进行比对,如一致则认证成功,反之则认证失败。

2) 数字证书认证。数字证书(CA)是目前最常用的一种比较安全的身份认证技术。数字证书技术是在PKI体系基础上实现的,用户不但可以通过数字证书完成身份认证,还可以进一步进行安全加密、数字签名等操作。数字证书的存储方式非常灵活,数字证书可被直接存储在计算机中,也可存储在智能卡或USB Key中。

3) RADIUS认证。RADIUS认证是利用外部拨号认证系统的一种认证机制,如果学校用户通过了外部拨号认证系统的认证,系统则认为此用户认证通过。

4) 通行码认证。通行码是统一身份认证支持的一种特有认证方式,用户遗忘或者丢失其他认证信息时,可以向管理员申请一次性使用的通行码口令进行身份认证,主要满足安全应急服务。通行码具备时效性和一次性特点,当使用过或者超出使用时间范围,其认证效力自动失效,有效地保证了系统的安全性和可靠性。

上述各种认证方式在安全性、易用性和部署成本上各不相同,在实践中可以针对不同的用户群与不同的应用需要,对所采用的认证方式进行个性化的设置。如在单点登录系统中,可以根据角色、用户、服务指定不同的认证方式,也可以在认证时直接指定认证模块和个性化的认证选项。

3.3 统一身份认证服务的一般流程

在统一身份认证服务中,对用户进行统一认证服务的一般流程如下:

1) 学校用户通过统一信息门户登录到所要进入的应用系统;

2) 应用系统向统一认证服务系统提交请求进行认证的用户信息;

3) 统一认证服务系统对所申请的用户信息进行验证,确认所申请的用户信息的有效性,或否定用户信息的有效性;

4) 统一认证服务系统在用户信息申请通过认证后,将该用户所属组信息返回给应用系统;

5) 对通过认证的用户信息申请,应用系统根据用户所在组的级别,授予该用户相应的访问权限。

4 统一授权管理服务

统一授权管理服务是在统一用户管理实施的基础上进行的,在实现了各应用系统账号的统一管理之后,对系统用户的访问权限进行集中和统一管理。根据数字化校园安全策略,通常采用基于角色的访问控制技术,提供对学校多应用系统进行有效的访问控制和授权管理功能,提高系统管理的效率。统一授权管理服务主要包括以下功能:

1) 应用管理。即对应用系统的管理,实现对应用系统的添加、修改、删除和停用/启用操作等。

2) 角色管理。即对用户角色的管理,对用户角色的添加、修改、删除操作等。对角色进行归类,可以按所属部门归类,如教务处、学生处、科研处等;可以按用户的职务级别归类,如校领导、院领导、系领导、室领导等;可以按用户的职位归类,如教学岗、管理岗、服务岗等;可以按群组归类,如XXX教研组等。

3) 权限配置管理。即对用户访问资源的授权进行管理,通过对用户组和角色与应用系统的关联关系进行创建和维护,确定用户对应用系统访问的授权。授权管理分为两类:一类是实体级授权,指主账号代表的自然人可以访问哪些资源的授权,主要通过统一用户管理和统一认证、授权管理的整合完成。另一类是实体内授权,主要指包括基于角色的授权和细粒度权限授权,一般通过整合应用中的角色模块实现。

4) 分级授权管理。建立全校的分级授权机制,每一个部门、院系办公室都可以参与授权管理。学校管理员负责将权限分配到业务部门、院系,每一个部门、院系办公室需要配有一个信息员管理本部门的角色创建、用户授权工作。

5) 用户权限审计。提供用户管理、认证管理的审计信息,查询并审计用户的访问权限。

统一管理认证篇2

统一身份认证系统数字化校园建设方案

在数字化校园统一综合管理平台普及前，校园网各个应用系统相互独立存在，登录不同的应用系统都要设置登录密码并进行验证，造成应用系统认证资源的浪费，电子身份信息的重复、造假等弊端。多个应用系统重复认证的弊端日益显露，数字化校园建设方案的不断完善，单点登录技术应运而生，建设安全有序的数字化校园统一身份认证系统得到重视。安全有序的数字化校园统一身份认证系统通过集中身份认证，实现用户只需一次登录认证，就可访问所有相互信任的应用系统，实现对所有被授权的应用系统的无缝访问，保证了用户电子身份信息的唯一性、真实性、权威性。

数字化校园建设方案统一身份认证系统的工作机制

用户通过用户名及密码认证等多种认证方式将用户登录信息传递给各应用服务器。应用服务器在接收到用户提交的信息后。向认证前置机发出认证请求。认证前置机首先确认该应用服务器的应用是否是统一身份认证系统所认可的。如果应用服务器的应用是统一身份认证系统所认可的，则认证前置机与后台的认证服务器进行用户认证信息确认。在通过对用户身份认证的同时返回一个认证令牌给用户；否则，将直接返回失败信息，用户通过认证令牌即可访

益教教育科技有限公司——数字化校园建设方案

问应用系统，并可在其他统一身份认证系统所认可的应用系统间自由切换，无需再次认证。

数字化校园建设方案管理身份认证方案功能：

(1)通过对在校已注册用户身份的认证提高了用户信息的安全系数。

(2)通过身份认证可以对已注册用户信息访问、修改、增加和删除。

(3)该方案是实现一卡通的基础．会给高校的管理带来极大的便利。

以安全有序为目的建设的浙江大学统一身份认证系统

数字化校园建设方案统一身份认证系统建设目的在于构建浙江大学统一的数字身份管理与服务中心，保障学校信息资源的有序应用，确保学校信息资源和服务的安全。统一身份认证系统由身份数据库、身份管理与数据服务、资源管理与访问控制、PKI基础设施、电子签章及其应用等组成，能够向全校范围内所有部门、信息系统提供用户身份数据服务，能够为网上审批、网上支付等应用服务提供数字证书认证，能够为学校整合现有的各种应用系统提供支撑，能够满足师生“单点登录、多点漫游”的需求。

目前可用浙江大学数字化校园统一身份认证系统登录的网站和系统有29个，包括校级OA、益教教育科技有限公司——数字化校园建设方案

统一管理认证篇3

1 统一认证系统方案

无锡广电局域网统一认证管理选用终端PC接入的合法性和安全性进行甄别的方案,符合入网要求的便提供局域网接入服务,否则,系统拒绝用户接入网络。方案的基础是H3C智能管理中心(iMC),该中心中有一个端点准入防御(EAD)安全组,通过iNode智能客户端,利用dot1x上传用户信息至安全策略服务器进行用户身份认证,通过用户认证后再对用户使用计算机系统安全状态进行检查,全部符合安全要求,才能接入局域网。认证过程如图1所示。

利用EAD的相关功能,结合无锡广电传媒中心局域网使用情况,我们制定了对使用局域网用户采取用户和IP地址绑定策略、对接入的PC其防病毒软件和病毒定义进行检测、对接入PC的系统关键补丁进行检测等三项准入策略。在满足全部3项准入策略的PC方能接入局域网,不满足的PC将被定向到相应的服务进行升级,待升级完毕符合要求后方能接入局域网。

同时对与IP收录、素材上传设备共用一台接入交换机的其它PC进行流量控制,当其用户流量超过所规定伐值,将自动断网同时告知断网原因,实现网络流量管理。

2 统一认证支撑平台

考虑iCM和EAD对内存较高的要求,统一认证支撑平台服务器为双24线程CUP、32GB内存、硬盘采用RAID10+Hotspare,并部署微软最新服务器操作系统windows 2008 64位标准和最新数据库SQL 2008 64位企业版。服务器的4块网卡和交换机端口之间建立4Gb的链路聚合组,提高iMC平台的日常使用带宽。系统架构如图2所示[2]。

3 有线用户认证部署

有线局域网用户根据方案确定的用户名和IP地址进行一一绑定等准入策略认证入网。然而,无锡广电网络业务的不断增加,用户呈现一定的多样性,考虑如下情况用户进行,我们对有线局域网用户认证部署进行调整。

接PC的交换机端口启用dot1x认证服务,接独立网络应用设备例如网络打印机、网络存储等的交换机端口不启用dot1x服务[3]。

疏理用户,疏理出使用到多个IP地址用户,例如办公室终端和演播室终端。将此类用户设置成一个用户名对应多个IP地址。

修改准入安全策略,将病毒定义有效期由原来的3天更改为7天,避免PC准入机制要求就过高,特别是防病毒定义要求过高,导致很多用户在使用中频繁掉线。将无网络流量自动掉线的时间由30分钟内调整为120分钟,避免和减少用户的无故障掉线。

4 无线用户认证部署

根据方案规划,无线设备上网也要用inode客户端通过dot1x进行认证。

在部署过程中发现,使用无线网络的设备是笔记本电脑可以进行谁,但使用无线服务的掌上设备和智能手机,如iPad、iPhone等,此类设备上无法安装inode客户端。

经过反复试验和测试,我们将原先的iNode+dot1x的论证方式更改为三层portal+用户名的方式认证,利用无线控制器和iMC的联动配合实现规范无线管理和应用便利的平衡点,认证流程如图3所示。无线接入用户接入局域网首先通过AP上联到无线控制器AC,再由AC将用户强制登陆到iMC认证页面,用户只有通过认证后方才有权利访问局域网,否则AC将自动切断用户的各类连接请求,从而实现对无线用户认证的管理。

5 逃生舱建设

随着统一认证系统的投入使用,局域网所有用户都需依赖于此系统,不经过此系统认证就无法接入局域网,意味着最基本的网络应用都无法完成。整个认证系统的稳定性和可靠性显得尤为总要,虽然我们已经将系统平台搭建的比较健壮,但是一旦操作系统出现故障,iMC应用出现异常,将对局域网正常应用造成较大影响。

为此,我们引入“逃生舱”的概念,即部署一台装有逃生工具的iMC旁路服务器,该服务器通过实时监控IMC应用服务来判断服务运行状态。当出现诸如进程异常、数据库服务停止、性能下降等故障,导致用户无法处理认证请求时,逃生工具暂时替代iMC管理请求报文以保障用户的业务不中断。逃生工具不验证用户信息与用户口令,不做绑定、授权处理,也不启用安全认证,对于请求报文都直接回应成功。消除整个系统中最关键的单点故障,提高系统的健壮性和稳定性。

6 结束语

无锡广电局域网统一认证管理系统上线使用,随意更改IP地址的现象基本杜绝,网络应用带宽提高了20%,由各种网络病毒引起的带宽波动降低了34%,局域网的利用率全面提升,广电局域网管理更加科学、更加高效,有力地保障广电局域网各项业务的开展。

参考文献

[1]梁宇烨.广州电视台全台业务网络互联互通一体化改造[J].广播电视信息,2009(5):93-94.

[2]迪尤逊,董明.SQLServer2008基础教程[M].北京:人民邮电出版社,2009(5).

银行统一认证平台的设计与实现篇4

银行业在信息技术的发展下开辟了新的业务和服务方式, 同时也推动着信息技术的发展。在发展中, 各个应用系统依次开发, 分别应对了银行的不同需求, 然而由于开发的时间不同, 开发商家也不同, 用户界面繁多, 对于员工来说形成了较大的负担, 在系统内部, 也由于各系统的独立数据库, 造成了信息孤岛现象, 数据不具备共享性, 也就导致对这些数据的应用难以充分, 目前银行信息业务面临着挑战:

用户使用和管理的不便。多个系统和多种认证方式, 导致用户使用不方便, 银行管理者也面临工作的挑战。

目前银行业务系统大多出于安全性的要求, 往往没有采用统一认证平台, 这给银行业务带了了一些负面影响。对客户而言, 各个系统的独立, 导致多次重复登录, 同时要记忆多个账号密码, 影响服务效率, 并降低了安全性;对银行而言, 各个系统的用户信息和安全策略均是独立且分布存储的, 这样导致管理权限分配的复杂化, 安全策略和审计策略不易实施;对业务系统而言, 信息难以共享, 缺乏实时性, 降低了工作效率。

银行统一认证平台定义

统一认证平台的需求是因为在SOA (面向服务的体系结构) 架构下, 需要对银行内部数量众多的业务系统的用户身份管理和访问控制统一管理, 建立统一认证平台, 可以解决应用系统账号统一性问题, 实现账号、口令的统一, 降低用户管理成本, 保障人员信息安全。

身份认证, 就是判断一个用户是合法用户的过程, 统一身份认证就是对于统一网络的不同应用系统而言, 采用统一的用户电子身份判断用户的合法性。银行服务网络中各应用系统的功能不同, 如果均采用独立的身份认证, 则用户需要多个身份和密码, 而且需要反复登录才能进入不同系统, 这给客户带来极大不便的同时, 也为银行的安全性和实时性带来了挑战, 故而统一身份认证是银行身份认证的发展趋势。

统一认证平台的相关技术

1.单点登录

单点登录 (Single Sign On) , 是目前企业业务整合的解决方案中较为常见的一种。SSO的定义是在多个应用系统中, 用户只需要登录一次就可以访问所有相互信任的应用系统。具体的过程可以简述为:用户访问系统1, 系统会进入登陆界面, 将用户导入认证系统, 而用户通过身份验证后, 系统会返回一个认证凭据, ticket, 该凭据会伴随用户访问其他系统, 而系统2、3等会对凭据ticket进行检验, 这样用户就无需多次登陆不同系统。该技术的具体规范有NET Passport和Liberty等。

2.联邦数据库技术

联邦技术 (Ferderation) 是指用户对多个数据库进行查询, 在数据源保持独立性和完整性的情况下, 只需像对一个数据库一样进行操作。该技术的主要推动者是IT巨头IBM, 联邦技术为异构数据提供统一的接口, 便于银行对合并账户的操作。高级的数据库联邦技术, 首先, 能够掩盖底层数据源的差异, 对用户而言无需知道数据的存储位置或者程序接口, 也就是透明性。其次数据源具备异构性, 数据存在于不同的硬件和网络协议上, 将种种不同的数据库封装在联邦体中。另外该技术应该具有扩展性和开放性, 便于应对更多的需求和技术。

统一认证平台的设计

根据以上的需求和技术, 我们提出该认证平台的设计方案。统一认证的核心在于, 将分布于不同系统的认证变成统一的认证。首先需要对银行系统的数据库通过联邦技术进行结合, 使异构数据库成为一个透明的, 具备开放性和可扩展性的整体, 并且提供一个合适的信息安全系统来进行集中管理。同时利用单点登录系统对用户登录提供方便。

具体的系统流程是:用户进入登录界面或者其他服务页面, 提交登陆要求, 该要求调用认证服务器, 由认证服务器对用户输入的账号和密码进行校验, 确认正确后, 产生凭据ticket, 认证请求回应传到代理服务器, 代理服务器将用户进入的不同系统提出的认证方式, 提供不同的登录通道, 客户提供的口令信息产生相应的声明, 传到认证服务器上, 认证服务器进行认证之后, 通过则提取账号和密码, 创建访问权限, 传至代理服务器, 代理服务器便通过相关信息提供给用户相应界面, 便于访问。而用户访问数据库时, 一个安全信息共享机制可以确保用户能够获得合适的授权, 对不同应用系统实现信息共享。

统一认证平台的实现

有了设计方案, 我们进行了具体的实现。

统一认证平台包括三个部分。第一部分是单点登录代理, 由代理服务器实现, 该部分是应对用户不同请求时的快速接入, 提供相应页面, 同时伴随着对用户的服务提供访问控制以及各个具体应用系统的入口。该部分按功能可以分为认证代理和策略代理两部分, 前者用于针对客户的认证并传递结果, 后者用于控制用户的访问。

第二部分是统一认证中心, 该部分采用统一认证服务器实现, 按照sso部分进行统一的身份认证服务, 并且为通过认证的用户提供授权服务。可以分为四个模块, 认证模块——为用户提供不同认证机制的身份认证服务, 授权模块——提供基于角色的访问控制策略, 为合法用户建立平台级的权限, 管理模块和审计模块——增强的系统功能, 便于管理者的控制和策略制定。

第三部分是综合信息库, 即中央数据库, 对用户信息, 安全策略和审计日志进行综合存储, 为整个系统的合理运行提供数据基础。对于该数据库, 采用了IBM的联邦数据技术, 这样有效降低数据库的管理维护成本, 提高安全性。中央数据库可分为本地数据库和各系统中的数据库, 本地数据库是物理数据库的实现形式, 可以分为平台用户、角色、平台角色对应权限、平台审计日志四个分支, 而各个系统的数据库则分散在系统中, 这样形成一个逻辑上集中, 物理上分布的中央数据库, 实现安全高效的数据管理。

总结

统一身份认证系统的技术研究篇5

我们对信息安全的定义, 是关系到信息系统生存的根本所在, 随着军工企业的信息安全形势将会日趋紧迫。为保障信息安全, 首先需要采取严格的用户身份认证措施, 以防止非授权用户对信息系统的入侵, 基于PKI (公钥密码体制) 体系的统一身份认证系统正是适应这一需要发展起来的身份认证技术, 目前已广泛应用于各行业。

2 PKI体系

2.1 PKI体系简介

PKI的定义是由斯坦福大学的研究人员Diffie和Hellman在1976年所提的[DIFF76]。而公钥的密码体系, 可以使用不同的加密密钥和解密密钥。

对于公钥密码体制的产生, 主要由于以下两个方面原因, 一方面, 在对称密钥密码体制中, 密钥分配会产生一系列问题, 另一方面, 数字签名的需求可应用于许多需求中, 人们有对纯数字的电子信息进行签名的需求, 说明本信息具体是某个特定的人所对应。

PKI借取公钥密码算法技术来确立可确定的数字身份信息。通常对称密码算法中的公钥密码算法来说, 也可称为非对称密码, 非对称加密密钥与解密密钥不同, 其中一个密钥是公开的, 即公开密钥, 而另一个是保密的, 即为私用密钥。

2.2 PKI系统的安全特点

PKI主要依靠两大基础。第一是在权威认证机构中, PKI机构可以自行制造一个可信赖的身份, 这种身份可被证实并与一个数字证书的相互联系;第二是私钥中的信息, 其持有的数字证书能够所决定特定用户。

客户普遍共识到私钥的重要性, 他的访问可以关系到PKI的安全性能。私钥具有私密性, 公/私密钥发表后, 就会涉及着如何保证私钥的安全性。

密钥 (公钥/私钥) 具有一定的长度, 并存在于一个特定的密钥存储区内。l 024比特编码在计算机中体现出来, 对于强密钥保护方案, 在智能卡或USB key等特殊硬件中, 通常存储密匙。

2.3 USB Key技术

对于USB Key的定义, 就是我们所谓的USB接口设备, 单片机或者智能卡芯片内置在接口中, 设定了单项列函数在设备中, 他具有密码运算的处理功能。在认证过程中, USB Key不用将密钥读到计算机的内存或发送到网络上, 黑客的木马程序无法攻击用户的密钥。USB Key私钥存储区具有抗复制功能。另一方面, USB Key不需要专门的读卡器支持, 给用户带来便捷。

USB Key能够存储用户的密钥。USB Key硬件有PIN密码, 他可支持双因子认证。由于USB Key具有安全可靠, 携带方便, 简单易用的特点, USB Key存储和保护私钥功能已经成为PKI最重要的密钥管理方式。

3 统一身份认证系统

统一身份认证是一种特殊认证方式, 他基于目录的服务, 并利用PKI/CA (公钥密码体制/认证中心) 、动态口令、数字证书、智能卡和生理特征, 对所期业务应用系统的用户提供统一的身份鉴别和统一用户授权的安全机制。

3.1 系统结构

统一身份认证系统的组成部分, 有密钥管理中心 (KMC) 、管理中心 (CA) 、证书注册审核中心 (RA) 、证书目录服务系统 (LDAP) 、加密机。

身份认证系统逻辑结构如图1所示:

管理中心 (CA) 是园区网认证系统的核心, 负责签发管理证书。采用加密机作为系统密钥的安全存储设备及用于实现系统间的通讯加密, 管理中心系统采用密钥管理系统上的数据库进行数据存储。

密钥管理中心 (KMC) 为管理中心提供密钥托管和加密密钥服务, 采用加密机作为密钥生成设备, 并作为系统密钥的安全存储设备及用于实现系统间的通讯加密。

证书注册审核中心 (RA) 主要提供证书申请、审核、制证等证书业务服务。

证书目录服务系统 (LDAP) 由主、从目录服务系统组成, 设计分别运行在两台服务器上。其中, 主目录服务系统接收管理中心系统的数据更新, 并将更新的数据实时同步到从目录服务系统中;从目录服务系统负责对外进行信息发布, 为业务应用系统提供证书信息查询服务。

3.2 用户身份认证

(1) 用户登录验证。统一身份认证系统中, 用户加入域以后登录验证过程如下:

首先在本地计算机上安装PC安全登录系统, 绑定数字证书与用户帐号的唯一关系, 当用户插入USB Key登录操作系统时, 会先验证USB Key中的数字证书, 再通过证书与本地用户帐号的关联项, 验证用户帐号的权限。

在内部园区网中部署完成身份认证系统后, 通过管理中心将证书和证书吊销列表 (CRL) 发布到Active Directory服务器。在域控制器中正确配置证书的信任链, 并设置组策略来指定智能卡的使用策略。

然后, 由管理员选择“域控制器”证书模版, 为每台域控制器签发证书, 在域控制器证书中绑定域控制器的计算机名、GUID、CRL发布点等信息。

最后, 在客户端安装USB Key驱动以及USB Key管理软件, 通过CA服务器的申请页面, 用户可以在管理员的配合下, 选择“智能卡登录”证书模版自主申请并下载智能卡登录证书, 智能卡登录证书会绑定用户的登录名、CRL发布点等信息。

这样, 用户就可以使用USB Key登录到域, 由域控制器验证用户证书的有效性, 如果用户证书被域控制器信任并有效, 则允许登录, 否则拒绝。

在Windows域中部署数字认证中心 (CA) 的同时, 域控制器会通过组策略机制刷新域内所有客户机的组策略, 将智能卡证书的信任信息复制到客户机, 这样客户机在无法连接到域控制器时, 也可以使用智能卡证书登录本机。用户登录AD域验证如图2所示:

用户登录过程中证书链的验证可以采用工具软件进行测试, 以判断验证是否成功, 验证过程如图3所示:

(2) 密钥生成及传递。用户密钥生成及传递叙述:

(1) 终端可对将用于可生成签名成为注册证书。终端程序只为其使用该密钥对的构造CKP#01的证书需要, 发送后的证书注册审核中心, 存储于系统服务器之中; (2) 证书注册审核中心系统服务器验证用户可将证书用户发送至服务器中, 请求发送给管理中心系统服务器的信息可注册与中心内部, 从而给服务器管理中编辑获得密匙, 并可得到真实有效的指令; (3) 管理中心系统服务器向密钥管理中心请求来生成用户加密密钥对, 之前验证该证书请求中的签名, 最后该请求通过使用加密机进行签名, 且使用密钥管理系统公钥进行加密; (4) 密钥管理中心接到请求后, 通过加密机解密该请求信息, 并使用管理中心系统公钥验证该请求, 验证通过后, 密钥管理系统生成加密密钥和一个密钥ID。并保存私钥Key A。 (5) Key C是密钥管理系统构造临时对称密钥, 加密私钥Key A——Key B, 使用用户签名证书中的公钥加密对称密钥之后, Key C——Key D。并最终在密钥管理中心给管理中心系统之后, 返回Key B—到—Key D及其相应公钥。 (6) 管理中心系统即可签发用户签名证书, 管理中心系统服务器将给证书注册审核中心系统服务器回馈加密证书、签名证书、Key B和Key D。 (7) 客户端回馈给证书注册审核中心系统服务器, 并返回加密证书、签名证书、Key B、Key D。 (8) 客户端使用签名证书私钥解密Key D得到Key C, 然后使用Key C解密Key B得到Key A, Key A即用户加密证书私钥。客户端安装加密证书私钥及加密证书、签名证书。 (9) PKI系统可进行日志记录及证书处理, 日志记录过程包括证书的签发时间, 证书的所有者以及证书请求。

图4给出了用户身份认证密钥生成及传递过程。

4 结语

在系统框架中, PKI提供了一个可信的安全体系, 为应用系统提供兼具完整性和保密性以及不可否认性的安全基础设施。由于PKI体系在开放网络中的安全性、灵活性的优势能力, PKI将被广泛地应用于各类应用系统领域。

参考文献

[1]谢希仁.计算机网络 (第2版) .北京:电子工业出版社, 1999, 4.

[2]赖建华, 汪宏伟.PKI体系私钥保护机制研究.福州:情报探索, 2006, 1.

统一资源认证服务系统的研究篇6

职业教育行业的发展与进步带动了职业院校信息化的飞速发展, 伴随着各个资源管理系统的诞生, 也出现了一个个信息孤岛, 各个教育系统有着各自不同的认证系统与资源访问方式, 而且方式各异、孤立不成体系。各个系统之间分散而又浪费管理资源, 不能很好发挥信息资源集约化的优势。统一资源认证系统 (URAS) 就很好的解决了这个问题, 其把各个孤立的教育资源进行整合, 使用LDAP目录访问的方式对用户进行访问验证, 采用单点登录的方式实现了一点登录就可以访问权限内的所有资源, 而不用在多个系统之间进行切换。

1 统一资源认证系统 (URAS) 的设计

教育行业的统一资源认证系统 (URAS) 主要以老师、学生可发布使用的资源为核心, 针对已经发布的资源进行访问权限配置, 使单个登录的老师或学生用户在特定的时间于权限结构下访问自己有权限访问的资源,

系统体系结构如图一。

其中Server提供各种访问接口服务, 同时提供用户的认证与授权机制, 它与LDAP服务器相连接, 主要用户数据从LDAP服务器中获取, 为资源各种服务提供认证和操作接口, 也提供访问控制功能, 同时其向cas提出申请数字证书与废除证书的功能。LDAP服务器存放组织、人员、资源关系信息, 其为整个资源认证系统的核心, 所有的认证服务都围绕LDAP服务器展开。而作为认证基础的cas服务器则用来管理与数字证书相关的服务, CA进行数字证书的发放与取消, RA提供证书的发起活动, 利用LDAP服务作为证书库, 提供证书的管理功能。

系统采用PKI作为统一资源认证系统的安全认证基础来加强系统的资源认证的安全性与扩展性, 来建立自身的认证系统, 同时生成一个自签名的数字证书作为一个CA的证书。

2 统一资源认证系统 (URAS) 的实现

2.1 用户信息库的设计

在体系平台中, LDAP目录服务器主要存储用户信息和资源信息, 同时目录中的数据以高职院校的人员组织结构设置 (如图二) 。

其中User组用以存放用户及用户组信息, APPLICATION用于存放纳入统一资源认证系统的应用系统比如考核系统、资源库系统、评价系统

在形成的目录树结构中根节点之上的叶节点作为入口用于存放数据, 入口以属性名组合命名用来唯一标示该入口。目录中的每个条目均有对应的属性, 各种属性都标记有对应的访问模式与访问权限。

2.2 认证系统的实现

统一资源认证系统在入口认证上分为两个步骤, 一个是登录认证、另外一个是资源访问认证。在登录认证阶段, 统一身份认证系统主要负责将用户与用户有权限的系统账号进行关联, 表明该用户到底可以登录哪些系统, 可以访问哪个系统所对应的应用, 有什么样的权限。

在资源访问认证阶段由子应用系统本身来控制, 由于用户信息存储于目录数据库中, 统一资源认证系统根据用户身份查找该用户在系统中所属的用户组, 并将信息返回给应用系统, 应用系统根据该组所具备的权限决定用户的权限。

2.3 统一资源访问的实现

当用户访问在权限内的资源地址, 系统需要对其进行身份认证, 同时把访问服务的ID发送到服务器端, 如果用户是第一次访问, 则需要提交用户名和密码, 同时产生一个登陆票 (Login Ticket) , 认证中心服务器CAS通过后端LDAP服务器进行身份和密码的验证, 如果验证成功则返回一个授权票据 (TGT) , CAS使用客户端的COOKIE记录授权票据, 在用户端和服务器端都记录了用户的身份则表示用户已经登录成功。如果在客户端没有记录用户的有效信息则每次访问该资源都要求登录。当用户成功登录CAS则记录用户所访问的资源, 用户访问一个资源就会重定向到CAS, CAS通过TGT验证用户的可靠性, 如果是可靠的用户则通过LDAP目录服务器获取用户的角色和权限, 如果用户有访问的权限则CAS产生一个ST, ST联合所要访问的信息发送给要访问的资源。CAS来查找用户是否曾经访问过这个资源, 如果已经访问过了就可以直接访问, 如果没有访问过则进行再一次验证服务。

结束语

统一资源认证系统面对的是各种各样的信息化资源, 本文提出了基于资源二次认证以及LDAP目录存储的系统设计方案, 实现了资源的整合, 在统一入口、统一登录机制、统一访问控制, 统一权限认证的机制之下实现资源的统一管理与使用, 节约了系统管理成本, 提高了资源的有效管理水平。

摘要：伴随着教育行业的发展, 信息化已经成为各个职业院校提高教育管理水平以及资源合理决策分配的有效手段。一个个信息化系统应运而生, 但问题也随之出现, 有了信息化资源, 但是各个信息化资源分别被部署到所对应的系统中, 各司其职。同时各个系统由不同的人进行管理, 有时也出现一个资源被不同的系统重复管理。针对以上问题我们对这些“孤岛”系统进行资源级别的研究, 提出了统一资源认证服务的概念, 其目的在于把各个系统的有效资源存储于同一个系统进行保护性认证管理, 提高各个系统的整合程度, 减少人为操作的烦扰, 节约资源配置的时间, 将所有系统整合为资源统一管理、统一授权、统一审计的“统一资源认证服务系统” (United Resource Authentication System) , 简称URAS。

关键词：统一资源,认证,OSS,LDAP

参考文献

[1]王华东, 胡光武.教学资源门户统一认证系统设计与实现.郑州轻工业学院学报, 2007, 22 (1) .

[2]徐鑫, 苏新宇, 姚毅.数字化校园中统一身份认证系统的分析[J].现代图书馆情报技术, 2005.

数字化校园统一身份认证探讨篇7

目前, 高校数字化校园建设, 普遍是运用层次化、整体化的观点来建设信息化校园, 将校园网上的信息进行系统组织和分类, 使用户在网上能快速搜索需求的信息, 从而为师生提供网上信息交流环境;让管理人员方便地对信息进行管理;在传统校园管理基础上运用信息化手段和设备, 实现全部“数字化”, 构建“数字空间”。可以预测, 数字化校园必将大大地助推现代教育。

高校数字化校园是数字化、信息化、智能化诸项技术的统一, 是在网络和数字化信息技术基础上, 利用计算机技术、网络技术和通信技术, 对校园教学、科研、信息资源进行统一规划和管理, 在传统校园管理基础上构建数字化平台, 以便更好地为教学、科研、管理等服务。

在当今时代, 校园网建设水平是衡量高校综合办学实力的重要标志。高校教学、科研、图书管理、学生管理、办公等都与校园信息网紧密相连。各应用系统以校园网络中心系统为核心, 构成星型分布。

建设数字化校园着眼点在于:充分利用计算机信息技术, 提升高校教学、科研、图书管理、学生管理和办公管理水平, 实现高校全面信息化管理;在数字校园建设中, 使用统一接口、统一信息服务平台、统一身份认证系统大综合势在必然。尤其是建立统一身份认证系统, 对用户身份集中统一管理, 保证用户电子身份真实性、唯一性和权威性, 也大大提高数字化校园应用系统的安全性。

2 统一身份认证系统是创建优良数字化校园的必然趋势

身份认证指:判断某一用户是否为合法用户的认可过程;统一身份认证指:针对同一网络不同应用系统, 采用统一的用户电子身份, 从而确定用户的合法性。

在高校数字化校园网络中, 各应用系统的服务功能各不相同, 有些应用系统还具有较高的独立性 (如采购、财务、账务及审核系统等) , 有些应用系统需要多系统协同才能完成某特定任务 (如教学和科研系统等) 。由于上述某些应用系统彼此间具有某种特定关系, 各应用系统的建立难以遵循统一的数据标准和数据格式, 在各应用系统之间难以实现有效的数据共享, 有人将这种现象定义为“网络环境下的信息孤岛”。

对于需使用多个不同应用系统的用户来说, 若各系统各自存储管理一份不同的身份认证方式, 用户就得记忆多个不同的密码和身份, 而且用户在进入不同的应用系统时, 还需要进行多次登录, 这给用户和系统管理方面都带来不便。

随着现代信息技术的高速发展和高校校园网络提供信息服务质量的不断提升, 人们对信息安全性的要求也越来越高, 同时对用户身份认证、权限管理的要求也随之提高。这就必须打破原来各应用系统的身份认证方式, 必须产生统一、高可靠性和高安全性的身份认证及权限管理系统。该系统能完成对整个校园网用户的身份认证和权限管理, 保证各应用系统基于统一模式、集中的环境开发与升级。这样既降低了系统整体运行维护成本, 又能保证整个校园系统随平台的升级而同步升级, 方便了使用和管理, 保证了整个系统的先进性与安全性。

3 统一身份认证系统基本构思

在统一编制和信息服务平台基础上, 统一身份认证系统提供统一的用户认证、用户管理和安全保障服务, 借助一个统一的应用系统用户管理接口, 实现用户认证的集中化管理, 做到真正意义上的集中认证。

统一编制使得数字化校园有一个总入口, 可以形象地称之为“大门”。各类用户通过“大门”进入高校应用系统, 用户的信息管理采用集中式或者分布式, 对“中央用户资料数据库”进行统一管理。系统管理员可将访问权限下放到各个“级”, 通过管理权限的下放分“派”, 不必再通过统一的窗口, 就可以简化应用系统用户管理模块的设置规模, 从而能快速实现对用户资料的更新, 减少用户管理工作量。用户通过认证系统可获与其身份相对应的信息与服务。

4 统一身份认证系统服务

统一身份认证系统采用的应用模式是统一认证模式, 它是以统一身份认证服务为核心的服务模式。统一身份认证服务负责管理和分发用户的权限和身份, 为不同的应用系统提供用户和权限管理服务。通过该系统提供的用户统一的登录界面, 在完成身份认证后无须再登录就可使用所有支持统一身份认证服务的其它信息服务系统提供的服务。

5 结论

在当今数字化、信息化、智能化校园网络建设时代, 传统校园网络中各行其是的各应用系统已大大滞后校园信息化建设的发展, 如何保证用户电子身份的唯一、资源的共享和数据的安全, 显得越来越重要, 校园网络统一身份认证系统便成为数字化校园建设至关重要的一环。本文结合我院数字化校园建设实际及规划, 对统一用户管理及认证服务系统的数字化校园建设进行了实施和深一步的探讨。现今校园信息化建设正处于大力发展阶段, 随着现代技术发展与网络建设逐步深入, 校园一卡通也在迈步发展, 基于校园信息化建设的身份认证技术必将渐趋臻美。

参考文献

[1]刘锋, 吴华光.数字校园统一身份认证系统的研究.南工科技, 2005, 4.

网格环境下统一身份认证的研究篇8

网格是继传统Internet和Web之后的下一代互联网技术, 它以互联网为基础提供了共享和协调分布资源的机制。网格的出现使得资源可以充分共享, 消除了信息孤岛和资源孤岛等问题, 实现了真正的全球资源共享。与此同时, 由于网格环境的异构性、动态性、跨组织性等特点, 与传统网络相比, 网格要实现更大范围和更深层次的资源共享, 必须面临系统的安全性、资源的有效控制等各种新的挑战。

身份认证对网格的安全起到了至关重要的作用, 只有通过身份认证的用户才能访问网格中的资源。在网格环境中, 为了实现动态的、跨组织的资源共享, 身份认证面临单次登录、委托代理等问题。

单点登录是指用户只需主动地进行一次身份认证, 随后便可以访问其他被授权的资源, 而不再需要主动参与其他的身份认证过程。用户要使用网格资源, 必须先通过网格门户站点的身份验证。这样既可以实现基于用户的网格管理, 也提高了用户的工作效率。

1 身份认证技术

1.1 Kerberos认证

Kerberos是使用对称加密算法来实现通过可信第三方密钥分发中心 (KDC) 的认证协议, 提供了网络通信方之间相互的身份认证手段。用户通过在KDC认证身份, 获得一个Kerberos票据, 以后则通过该票据来认证用户身份, 不需要重新输入用户名和口令。Kerberos的目的是解决分布式网络环境下用户访问网络资源时的安全问题。

Kerberos协议中一个基本的认证过程包括三个阶段的信息交换:第一阶段是为了避免用户口令直接在网络上传输, 同时用户获得访问TGS的会话密钥和票据;第二阶段是TGS验证第一阶段中生成的票据, 并发放给用户访问目标服务器的新的会话密钥和票据;第三阶段实现用户和资源服务器之间的相互身份认证。

1.2 挑战/应答认证

挑战/应答认证是动态口令认证的一种, 用户每次登录时的验证口令都是动态变化的。其基本认证过程如图1所示。

(1) 向服务器提交用户名和PIN码;

(2) 为合法用户生成挑战数;

(3) 根据挑战数和key生成应答字符串plogin;

(4) 提交用户名和应答字符串plogin;

(5) 服务器根据系统中相应用户key, 挑战数计算出同样的字符串pcurrent, 并与plogin进行比较返回结果。

1.3 公开密钥加密认证

所有参加通信的各方都持有身份证书。证书由专门的认证机构所签发, 它包含证书持有者的公钥以及身份标志信息, 私钥由持有者自己保管。通信前, 被认证方用自己的私钥签名, 认证方用被认证方的公钥来验证其身份的合法性, 以此来实现双向认证。

基于公开密钥加密的认证过程如图2所示。

符号含义:User_id用户标志号;Certificate (PKu) 用户证书;Certificate (SKc) 服务端证书;PKu用户公钥;PKc用户私钥;SKc服务端私钥;SKu服务端公钥;Ru用户端生成的随机数;Rc服务端生成的随机数。

1.4 SSL

SSL (Secure Sockets Layer, 安全套接层) 是目前Internet上点到点之间尤其是Web浏览器和服务器之间进行安全数据通讯所采用的最主要的协议。

SSL提供了客户端和服务端都被认证、单向服务端认证和完全匿名三种可选的身份认证模式, SSL协议中基于公钥证书的相互认证模式能够解决网格环境中跨域的安全信任关系问题。

2 统一身份认证

2.1 统一身份认证方案

网格是以互联网为基础的。而网格环境的复杂性决定了网格认证除具有网络认证的普遍特征外, 还需要满足一些基本要求, 如单点登录、代理等等。现有网格环境下的资源大都以Web服务的形式对外开放, 使用户可以方便地应用互联网技术访问和使用。而Web浏览器是一种流行而且使用方便的客户端工具, 用户使用它可以方便快捷地访问和获得他们需要的资源。Cookie是一种比较成熟的基于Web浏览器的技术, 使用它可以实现网格环境下的单点登录。

网络环境下的各种安全技术经过发展已经变得相当成熟, 而网格环境下现有的各种认证方案都是整合各种安全技术建立起来的, 本方案的提出也是建立在各种安全技术之上的。为了提高用户认证的安全性, 采用了基于挑战应答的动态口令认证机制和基于公钥的公开密钥加密机制, 避免了用户口令在网络上传输, 通过认证的用户在服务端生成一个惟一的标志用户的标志符, 写入到Cookie中实现单点登录。为了实现跨域的资源请求和身份认证, 采用基于证书的代理票据, 避免用户重复输入口令请求资源。

统一身份认证方案主要由三部分组成: (1) 单点登录服务器, 也称门户站点服务器:验证用户身份后, 向用户浏览器中发布Cookie信息, 标志用户身份以提供单点登录功能;并向应用服务器提供基于代理票据的认证信息。 (2) 应用服务器, 亦即资源服务器:验证由登录服务器传过来的请求资源的用户的认证信息;创建并发布Cookie以维护被认证过的应用会话, 向应用提供用户认证信息。 (3) Web浏览器:客户端工具, 用来和服务端进行通信。统一身份认证方案如图3所示。

2.2 身份认证过程

用户若要访问网格环境下的资源站点, 首先要登录门户站点服务器进行身份认证。认证通过后, 用户即可访问他授权范围内的所有资源, 而不需要再次主动参加节点的认证。认证过程如下:

(1) 用户与门户站点建立Https连接, 亦即单向服务端认证的SSL保密通信连接。

(2) 门户站点服务器Cookie验证模块检查用户浏览器中的认证码Cookie信息, 若Cookie为空, 要求用户进行登录认证, 验证通过后由Cookie发放模块将认证码Cookie写入到用户端。若Cookie不为空, 验证Cookie的有效期, 判断是否过期;若过期, 则要求用户重新进行登录认证, 验证通过后由Cookie发放模块将认证码Cookie写入到用户端, 否则修改用户的认证码Cookie的有效期后发送到用户端, 并且由代理票据生成模块生成用户代理票据随请求一起发送到用户请求的资源站点服务器。

(3) 资源站点服务器收到用户的请求后, 首先用自己的私钥解密代理票据, 判断代理票据中的资源号是否为本资源站点的资源号;其次验证用户的代理票据, 用门户站点服务器的公钥验证票据的有效性和合法性, 判断票据是否在有效期范围之内, 并且将票据的时间戳和资源站点本地的时间比较, 以防止非法用户重放攻击;最后读取用户的IP, 发放本地的认证码Cookie, 以实现本地局部的单点登录, 并且根据用户代理票据的Urole属性值将请求用户映射到本地账号, 由本地账号代理完成所请求的任务。

(4) 资源站点在任务执行过程中, 若还需要请求其他资源站点的资源, 则由用资源站点的私钥对票据签名, 并用要请求的资源站点的公钥加密生成新的代理票据发送到其他受信任的资源站点, 完成代理请求;否则跳过此步, 将执行结果返回到用户端。

如果用户不经过门户站点服务器直接在浏览器链接栏中输入资源站点服务器地址访问资源, 则资源站点服务器将用户直接重定向到门户站点服务器, 并附带用户所请求的资源站点编号。

2.3 方案分析与评价

本节主要分析方案中用到的关键技术, 并提出方案中存在的不足。

(1) 传统方式下, Cookie以明文在网络上传播, 极易被黑客截获后进行修改, 影响正常的认证, 采用SSL协议传输可以避免这个问题;同时, Cookie保存在客户端, 安全性也得不到保障, 为了防止非法用户修改Cookie, 在服务端对C o o k i e加密后再发送到客户端;为了防止非法用户获得Cookie后进行重放攻击, 将Cookie和用户的IP地址进行绑定, Cookie的有效期不应该太长, 通常为1小时。认证码Cookie的构造如图4所示。

(2) 由于网格资源的动态变化性, 用户请求的任务在某一资源站点执行的过程中, 可能还需要请求其他资源站点的资源。而这些资源站点处在不同的域中, 使用Cookie无法解决跨域信任的问题, 因为Cookie本身是不能跨域使用的。

本方案借鉴Kerberos认证中票据的思想, 采用代理票据实现了跨域的身份认证问题。代理票据可以代表资源站点完成对其他资源站点的资源请求。

用户在通过单点登录服务器的认证后, 由代理票据生成模块生成用以标志用户身份的代理票据, 然后随请求一起发送到请求的资源站点服务器A。资源站点服务器A用自己的私钥解密认证票据, 从数据库中取出单点登录服务器的公钥, 验证签名判断代理票据的合法性, 然后将代理票据保存在本地数据库中。

资源站点服务器A在执行用户请求任务的过程中, 若还需要请求资源站点服务器B上的资源, 则从本地数据库中取出旧的代理票据, 修改票据有效期和资源号 (资源站点B) , 加上自己的标志Rid, 然后用自己的私钥签名, 资源站点服务器B的公钥加密后生成新的代理票据, 发送到资源站点服务器B, 同时销毁保存在本地数据库中的代理票据。资源站点服务器B接到请求后, 用自己的私钥解密认证票据, 根据标志Rid判断是否在自己的信任域中, 若存在, 则从数据库中取出资源站点服务器A的公钥, 验证签名判断代理票据的合法性, 然后将代理票据保存在本地数据库中, 执行请求;否则拒绝请求, 返回错误信息。以上过程级联执行, 直到完成用户的请求, 将处理结果返回到用户端。

用于实现代理请求的代理票据的构造如图5所示。

在本方案中, 尚存在以下问题没有得到很好地解决:

(1) Cookie成为了用户整个身份的代替, 而Cookie存储于客户端, 容易遭到不法分子的删除, 造成合法用户的请求中断。

(2) 在认证过程中采用了时间戳, 必须保证网格中的各个实体保持高度的时间同步。但要保证时间的高度同步并不是一件比较容易的事情, 而非法用户则可以通过修改时间来破坏认证端对合法用户的身份认证。

(3) 不同资源域之间的相互信任问题虽可以通过使用代理票据的签名和加密得到认证, 但这样执行效率比较低, 影响了系统性能。

3 结束语

安全问题一直以来都是网络通信中的一个重要的问题, 对于网格环境同样也不例外。认证和授权技术是网格安全中的核心技术, 而现在国内网格技术研究正处于一个发展阶段, 还不成熟、不完善, 再加上网格环境相比现在已经发展成熟的网络环境的复杂性, 无疑使网格下的身份认证面临一个新的挑战。

认证和授权是不可分割的两个部分, 只有认证和授权进行较好地结合才能真正保证网格资源的安全性。而本文对授权的问题还没有深入地研究, 因此下一步的目标是对授权问题的研究, 使本方案更加完善, 保证网格资源的安全性。

参考文献

[1]Iran　Foster, 金海等.网格计算[M].北京电子工业出版社.2004.

[2]漆莲芝.基于GSI的交互式网格安全认证研究.微计算机信息.2006.

[3]王小妮, 杨根兴.基于挑战/应答方式的身份认证系统的研究.北京机械工业学院学报.2003.12.