一次身份认证访问多个应用服务器.PDFVIP

1000-9825/2002/13(06)1111-06 ©2002 Journal of Software 软 件 学 报 Vol.13, No.6 一次身份认证可访问多个应用服务器 常晓林, 冯登国, 卿斯汉 ( 中国科学院 软件研究所 信息安全国家重点实验室,北京 100080); ( 中国科学院 信息安全技术工程研究中心,北京 100080) E-mail: fengdg@263.net 摘要: 一个企业网中的应用服务多种多样,各自都提供了安全措施,这必然给用户使用和管理员的权限管理带 来不便.为此,设计和开发了一套一次身份认证系统.该系统可与各个应用服务很好地集成在一起,在保证安全的 前提下方便了用户的使用和权限的管理. 关 键 词: 一次一密;代理;强身份认证;重发 中图法分类号: TP393 文献标识码: A 一个企业网中有各种各样的应用服务,而且这样的应用服务还在不断地增加.各个应用服务都有自己的一 套安全管理机制,包括身份认证、权限管理、页面的连贯性等.一般都是根据用户的用户名和口令来进行身份 认证,从而决定用户的访问权限,也就是说,用户每次访问某一应用服务时,必须先输入用户名和口令,而且从安 全方面考虑, 同一用户在不同应用服务中至少口令应该不同,才能降低口令泄露的危害性,提高安全保证.这种 安全的考虑导致了企业网中有多少种应用服务,用户就应该有多少个口令,用户为此抱怨不止, 即便用户在所有 应用服务中使用同一个口令,那么用户访问多种应用服务仍要输入多少次用户名和口令,这仍然给用户带来不 便,而且在客户端软件为通用的浏览器的应用服务中,用户名和口令也只是明文在网上传输,至多做一个简单的 变换.用户希望从这烦琐中解脱出来, 只输入一次用户名和口令,在通过强身份认证后就可访问多个应用服务. 现有的认证系统,如 M.I.T. 的 Kerberos security system[1] 、IBM 的 KryptoKnight system[2] 、SESAME(secure european system for applications in multivender environment)[3]都只解决了一对一的认证,即客户每访问一个应 用服务都要参与身份认证,例如输入自己的惟一标识或插卡;即使是著名的SSL(security sockets layer)[4],也只是 保证了网上数据传输的秘密性、非否认性、完整性,使用SSL 的各个应用服务还需用户输入其惟一标识来决定 其权限. 此外,在规划企业网时,不是所有的应用服务都是现开发的,而是集成许多已有的应用服务,而这些应用服 务都有自己的权限管理方式,维护各自的应用的权限表,这给企业网的管理员带来了各种不便,只要某一个用户 的角色发生变化,管理员就要修改各个应用的权限表,这不但是一件很烦琐的事情,而且易出差错, 即使通过驻 留在各个应用中的Agent 来更新,也容易出错. 以上两个问题成为企业网亟待解决的问题.企业网中的应用服务按客户端使用的软件可分为两类:一类是 客户端为浏览器的应用服务,另一类是客户端为非浏览器的应用服务. 由于第2 类应用服务中的 C/S 之间采用 的协议不是惟一的, 比较复杂,我们暂且不考虑这类服务.下面,我们针对客户端为浏览器的应用服务所存在的 收稿日期: 2000-07-13; 修改日期: 2000-12-05 基金项目: 国家自然科学基金资助项目; 国家重点基础研究发展规划973 资助项目(G 1999035802) 作者简介: 常晓林(1970 －),女,福建福州人,工程师,主要研究领域为信息安全技术;冯登国(1965 －), 男, 陕西靖边人,博士,研究 员,博士生导师,主要研究领域为信息与网络安全;卿斯汉(1939 －),男,湖南邵阳人,研究员,博士生导师,主要研究领域为信息安全理论 和技术. 1112 Journal of Software 软件学报 2002,13(6) 这两个问题讲述我们设计的方案. 1 身份认证解决方案 1.1 问题分析 [5] 我们知道,浏览器与服务器之间采用 HTTP 协议 进行通信,常用的传递数据的方式有