陳孔艷

摘要：隨著Web應(yīng)用系統(tǒng)應(yīng)用范圍的不斷擴展和應(yīng)用程度的不斷深入，用戶經(jīng)常需要登錄訪問不同應(yīng)用系統(tǒng)， “一次登錄，全網(wǎng)通行”的單點登錄系統(tǒng)是當(dāng)前網(wǎng)絡(luò)安全研究中非常重要的一個課題。該文提出了一套基于PKI/PMI安全框架的單點登錄系統(tǒng)。

關(guān)鍵詞：單點登錄；安全框架；PKI；PMI

中圖分類號：TP391 文獻標識碼：A 文章編號：1009-3044（2018）32-0025-02

1 引言

隨著Web應(yīng)用系統(tǒng)應(yīng)用范圍的不斷擴展和應(yīng)用程度的不斷深入，各行各業(yè)都開發(fā)了多個功能不同的WEB應(yīng)用系統(tǒng)，為了提高應(yīng)用系統(tǒng)的安全性，各系統(tǒng)都設(shè)置了對應(yīng)的用戶和登錄密碼。用戶登錄使用這些應(yīng)用系統(tǒng)時，必須輸入相應(yīng)的用戶名和密碼口令來進行身份認證。由于用戶訪問的應(yīng)用系統(tǒng)比較多，甚至有時候需要在多個不同系統(tǒng)之間來回切換登錄，這樣用戶需要牢記多個密碼口令，不僅增加了出錯的可能性，加大了系統(tǒng)的安全風(fēng)險，降低了系統(tǒng)的安全性。同時，這些重復(fù)冗余的工作增加了用戶使用系統(tǒng)和管理者對系統(tǒng)進行管理的復(fù)雜性，增加了系統(tǒng)開銷，降低了用戶的工作效率。因此，“一次登錄，全網(wǎng)通行”的單點登錄系統(tǒng)是當(dāng)前網(wǎng)絡(luò)安全研究中非常重要的一個課題。本文結(jié)合自己的工作，提出了一套基于PKI/PMI安全框架的單點登錄系統(tǒng)。

2 基于PKI/PMI的WEB安全框架

2.1 PKI、PMI技術(shù)

PKI是公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）的英文縮寫，是一種提供公鑰加密和數(shù)字簽名服務(wù)的技術(shù)和標準，這種公鑰加密技術(shù)能為WEB服務(wù)提供安全的基礎(chǔ)平臺[1]。PKI主要包括四個部分：X.509格式的證書（X.509 V3）和證書廢止列表CRL（X.509 V2）；CA操作協(xié)議；CA管理協(xié)議；CA政策制定。認證中心CA 是PKI 系統(tǒng)平臺的核心，CA 負責(zé)管理用戶證書的申請、頒發(fā)、撤銷和驗證等，CA頒發(fā)的公鑰證書PKC把公鑰與用戶身份進行綁定，形成用戶的數(shù)字身份證，從而保證了信息的安全傳輸。

PMI 是從PKI 中分離出來單獨制訂的標準，在通過安全認證，確定用戶真實身份合法性的基礎(chǔ)上，使用屬性證書（AC）解決統(tǒng)一的授權(quán)管理和訪問控制 [2] 。PMI體系的核心是提供屬性證書的產(chǎn)生、發(fā)布、撤銷和失效等功能，在系統(tǒng)提供的授權(quán)策略控制下實現(xiàn)安全的、可信的訪問控制。

2.2 基于PKI/PMI的Web應(yīng)用安全框架

在使用WEB服務(wù)時，傳統(tǒng)方式認證和授權(quán)都嵌入在特定的應(yīng)用程序中，這種方式下，不同的應(yīng)用系統(tǒng)對應(yīng)不同的認證與授權(quán)，系統(tǒng)設(shè)計復(fù)雜性。同時，需要為不同的系統(tǒng)設(shè)置用戶名和口令，從而給用戶和管理者帶來了大量麻煩。為了解決以上問題，引入基于PKI/PMI的Web應(yīng)用安全框架，在這個安全框架中，PKI系統(tǒng)提供用戶身份認證、完整性和機密性等核心服務(wù)，證明用戶是誰， PMI系統(tǒng)通過對屬性證書的管理能夠?qū)崿F(xiàn)安全的訪問控制，PMI證明這個用戶有什么權(quán)限，能完成什么樣的操作，而且PMI系統(tǒng)需要PKI系統(tǒng)為其提供身份認證[3]。

基于PKI/PMI的安全總體框架如圖1所示，該框架分為應(yīng)用層、安全應(yīng)用支撐層和安全基礎(chǔ)設(shè)施層。 應(yīng)用層主要提供Web應(yīng)用訪問接口，通過提供用戶登錄界面為用戶提供各種應(yīng)用服務(wù)，比較簡單。安全應(yīng)用支撐層是一個系統(tǒng)接口，介于為應(yīng)用層和安全基礎(chǔ)設(shè)施層之間，把用戶的應(yīng)用請求轉(zhuǎn)化為PKI證書、PKC證書申請服務(wù)，實現(xiàn)用戶合法性驗證和訪問授權(quán)。安全基礎(chǔ)設(shè)施層是整個安全框架的基礎(chǔ)和核心，它主要包含PKI信任服務(wù)系統(tǒng)和PMI授權(quán)服務(wù)系統(tǒng)兩個部分。PKI信任服務(wù)系統(tǒng)提供用戶身份證書的驗證；PMI授權(quán)服務(wù)系統(tǒng)提供統(tǒng)一的安全訪問控制策略，通過屬性證書的發(fā)放和撤銷、用戶訪問權(quán)限的驗證以及基于角色的訪問控制來提高系統(tǒng)的安全性能。

總之，在這種框架系統(tǒng)中，用戶的認證與授權(quán)功能位于應(yīng)用層之外，管理者不需要太多地關(guān)注應(yīng)用層的工作，只需要對PKI的公鑰證書和PMI中的屬性證書AC進行管理，應(yīng)用程序的用戶名/口令列表和接入控制列表由屬性認證機構(gòu)頒發(fā)的屬性證書來管理，屬性證書包含了訪問應(yīng)用程序用戶的信息的屬性，從而大大地提高了管理者的工作效率。

3 單點登錄

單點登錄（Single Sign On， SSO）是指把多個應(yīng)用系統(tǒng)集中到一個統(tǒng)一的認證系統(tǒng)，在使用這些應(yīng)用系統(tǒng)時，用戶只需要登錄一次來進行身份驗證，用戶初次使用某一應(yīng)用系統(tǒng)時，提供有關(guān)登錄信息，統(tǒng)一認證系統(tǒng)對用戶身份進行驗證，認證通過，系統(tǒng)會返回給用戶一個認證憑據(jù)ticket，其他應(yīng)用系統(tǒng)把這個認證的憑據(jù)作為信任憑證，當(dāng)用戶再訪問別的應(yīng)用系統(tǒng)時，就可以免登錄地訪問相互信任的應(yīng)用系統(tǒng)了 [5]。

單點登錄目前有五種模型：經(jīng)紀人（Broker）模型、代理（Agent）模型、代理和經(jīng)紀人（Agent and Broker）模型、網(wǎng)關(guān)（Gateway）模型和令牌（Token）模型。

目前主流的幾種單點登錄方案都是基于代理——經(jīng)紀人模型的。這種方式具有比較好的可實施性和靈活性，但是安全性考慮不全面、信息傳輸缺乏安全保證。難以為企業(yè)環(huán)境中多種Web應(yīng)用（包括B/S，Pop3/Smtp，F(xiàn)tp，Telnet等），提供一種改造容易，而又健壯安全的單點登錄方案，更難為未來的Web應(yīng)用提供全面的安全服務(wù)。

4 基于PKI/PMI框架的單點登錄

由于現(xiàn)有的單點登錄技術(shù)難以為企業(yè)環(huán)境中提供安全的方案，筆者致力于建設(shè)基于PKI/PMI集中身份認證和集中授權(quán)的單點登錄方案，認證與授權(quán)集中到PKI/PMI系統(tǒng)，通過數(shù)字證書與權(quán)限控制提高系統(tǒng)的安全性。

基于PKI/PMI框架的單點登錄主要設(shè)計思如下，當(dāng)用戶提出訪問請求時，PKC認證系統(tǒng)通過身份證書對用戶身份進行合法性認證，若認證不合法則終止，若認證合法，則使用屬性證書AC進入訪問控制流程，通過查找訪問控制數(shù)據(jù)庫獲得用戶角色和權(quán)限，來完成角色和訪問控制。

具體實現(xiàn)流程如圖2所示。系統(tǒng)提供一個獨立的基于PKI/PMI框架的認證中心，該認證中心具有唯一，只有該認證系統(tǒng)為用戶提供登錄入口，其他不同的應(yīng)用系統(tǒng)只能接受認證中心的間接授權(quán)。當(dāng)用戶提出訪問請求時，認證系統(tǒng)驗證用戶的用戶名和密碼，如通過身份驗證，系統(tǒng)就會創(chuàng)建一個授權(quán)令牌，該令牌就是用戶訪問不同系統(tǒng)的憑證，可以作為授權(quán)參數(shù)傳送到各個不同的應(yīng)用子系統(tǒng)中，當(dāng)用戶需要使用集成在該單點登錄系統(tǒng)中的其他應(yīng)用系統(tǒng)時，用戶不需要再次登錄就能使用具有訪問權(quán)限的應(yīng)用系統(tǒng)。這樣通過一次認證與授權(quán)，可以實現(xiàn)對多個不同應(yīng)用子系統(tǒng)的訪問。

5 結(jié)束語

本文研究了基于PKI/PMI的單點登錄系統(tǒng)，一方面，用戶不再被多次登錄困擾，實現(xiàn)了“用戶一次認證，全網(wǎng)通行”，用戶登錄訪問應(yīng)用系統(tǒng)的過程得到大大簡化，從而提高了系統(tǒng)的工作效率。另一方面，基于PKI/PMI的認證與訪問控制提高了系統(tǒng)的安全性。

參考文獻：

[1] ITU-T Recommendation X. 509， Information Technology—Open System Interconnection—The Directory： Authentication Framework， 1993.

[2] ITU-T Recommendation X. 501， Information Technology）en Systems Interconnection .The Directory： Models， 2001

[3] 王曉峻. 基于PKI/PMI的Web服務(wù)安全框架[J].計算機科學(xué)，2008，4.

[4] 強韶華.基于PKI/PMI的安Web數(shù)據(jù)交換[J].計算機應(yīng)用與軟件，2008，3.

[5] https：//baike.baidu.com/item/%E5%8D7%9%E7%99%BB%E5%BD%95/4940767fr=aladdin

【通聯(lián)編輯：王力】