一種多維度的數(shù)字化校園安全性設(shè)計(jì)

一種多維度的數(shù)字化校園安全性設(shè)計(jì)

0web集成平臺數(shù)字化校園與大量web應(yīng)用程序系統(tǒng)緊密相連。統(tǒng)一身份認(rèn)證是必須解決的問題。單點(diǎn)登錄(SingleSign-on,簡稱SSO)是實(shí)現(xiàn)統(tǒng)一身份認(rèn)證的有效方式,比較成熟和穩(wěn)定的解決方案有IBM公司的Websphere、SUN公司的SunJavaSystemAccessManager、Microsoft公司的passport、BEA的WebLogic以及一些基于SAML的產(chǎn)品,如OPENSAML、SourceID等。這些SSO方案的側(cè)重點(diǎn)不一樣,實(shí)現(xiàn)機(jī)制也不盡相同。但對于Web應(yīng)用這種對系統(tǒng)簡潔性需求較高的應(yīng)用來說,一些解決方案并不非常合適,原因是它們對現(xiàn)有Web應(yīng)用集成帶來的代價(jià)過大,產(chǎn)生的負(fù)面效應(yīng)尤為突出。校園網(wǎng)是數(shù)字化校園運(yùn)轉(zhuǎn)的基礎(chǔ),具有結(jié)構(gòu)相對簡單,用戶群比較單純,數(shù)據(jù)傳輸質(zhì)量較高的特點(diǎn),在數(shù)字化校園中應(yīng)用的SSO系統(tǒng)應(yīng)盡可能減少對原有Web應(yīng)用的改造,加快身份驗(yàn)證的速度,并能保證較高的安全性。本文針對數(shù)字化校園的特點(diǎn),提出一種基于Cookie與臨時(shí)碼的SSO解決方案,闡述該方案的設(shè)計(jì)思路、工作流程和關(guān)鍵技術(shù),討論該方案的安全問題,最后介紹該方案的實(shí)現(xiàn)與應(yīng)用情況。1登錄單號的實(shí)現(xiàn)模式和戰(zhàn)略1.1創(chuàng)建全局login百分點(diǎn)典型的SSO系統(tǒng)都遵循一種通用的模式,由入口檢查單元(gatekeeper)、身份認(rèn)證單元(authenticator)和用戶憑證存儲單元(usercredentialsstore)三個(gè)部分組成。交互關(guān)系如下:(1)gatekeeper檢查到用戶準(zhǔn)備訪問受到保護(hù)的Web資源時(shí),它先檢查該用戶是否已為該Web應(yīng)用創(chuàng)建好一個(gè)loginsession,若沒有,gatekeeper再檢查是否已建立一個(gè)和authenticator相關(guān)的全局SSOsession;若沒有,該用戶被重定向到authenticator的登錄頁面,并要求該用戶提供憑證信息(用戶名和密碼等)。(2)authenticator接收該用戶提供的憑證信息,并通過身份認(rèn)證系統(tǒng)驗(yàn)證該用戶。(3)若驗(yàn)證成功,它將創(chuàng)建一個(gè)全局loginsession,導(dǎo)向至gatekeeper,并在該用戶的Web應(yīng)用中為其創(chuàng)建一個(gè)loginsession。(4)authenticator和gatekeepers之間通過多種方式進(jìn)行交互,如共享cookie方式。1.2實(shí)現(xiàn)平臺認(rèn)證的可行性基于Web的單點(diǎn)登錄實(shí)現(xiàn)策略主要有三種:ticket憑證、Web請求代理、密碼代理。這三種實(shí)現(xiàn)策略的比較如表1所示。以上對基于Web的單點(diǎn)登錄模式和策略進(jìn)行了比較?？梢钥闯?在已有應(yīng)用的基礎(chǔ)上集成實(shí)現(xiàn)SSO系統(tǒng),基于Web請求代理的認(rèn)證策略對原有應(yīng)用系統(tǒng)的改造代價(jià)較小,且登錄服務(wù)器的負(fù)載相比密碼代理策略小很多。本文基于數(shù)字化校園的特點(diǎn),在借鑒基于Web請求代理策略基本思想的基礎(chǔ)上,給出一個(gè)適用于數(shù)字化校園的簡單的SSO系統(tǒng)實(shí)現(xiàn)方案。2基于臨時(shí)代碼的簡單sso系統(tǒng)2.1系統(tǒng)訪問方案本方案主要針對數(shù)字化校園而設(shè)計(jì),實(shí)現(xiàn)的關(guān)鍵在于臨時(shí)碼,原理如圖1所示?；舅悸窞?(1)用戶登錄到認(rèn)證服務(wù)器后,認(rèn)證服務(wù)器將為其生成一個(gè)臨時(shí)碼,并將此臨時(shí)碼與用戶信息進(jìn)行加密,存儲到用戶端Cookies中;(2)用戶初次訪問Web應(yīng)用時(shí),Web應(yīng)用首先將提交過來的加密信息進(jìn)行還原,并存儲當(dāng)前憑證(用戶名與臨時(shí)碼);(3)Web應(yīng)用將此憑證提交到認(rèn)證服務(wù)器進(jìn)行核實(shí),若驗(yàn)證正確,則允許用戶訪問資源;否則刪除(2)中存儲的憑證,并作出相應(yīng)動作;(4)當(dāng)用戶退出時(shí),認(rèn)證服務(wù)器將為其生成另一個(gè)臨時(shí)碼(更新臨時(shí)碼表);(5)當(dāng)用戶退出后再重新訪問Web應(yīng)用,在(3)中驗(yàn)證臨時(shí)碼時(shí),臨時(shí)碼此時(shí)失效。方案中臨時(shí)碼是用戶狀態(tài)的唯一標(biāo)識,可以認(rèn)為用戶的臨時(shí)碼無改變的話,用戶狀態(tài)也沒有改變。同時(shí)由于臨時(shí)碼是隨機(jī)生成的,若能保證臨時(shí)碼的安全性,就能保證登錄用戶的合法性。2.2工作流(1)產(chǎn)品密碼和臨時(shí)碼用戶提交用戶名、密碼和驗(yàn)證碼(以圖片形式隨機(jī)生成)到認(rèn)證服務(wù)器驗(yàn)證,信息提交采用隱藏表單域?qū)崿F(xiàn)。若提交信息正確,認(rèn)證服務(wù)器隨機(jī)生成一個(gè)臨時(shí)碼,并將此臨時(shí)碼與用戶信息進(jìn)行加密,存儲到用戶端Cookies中;若否,則返回錯(cuò)誤提示或按要求跳轉(zhuǎn)。(2)第一次訪問web應(yīng)用程序的過程見圖3此時(shí),Web應(yīng)用域下的Cookies中沒有記錄用戶信息和憑證,要求用戶跳轉(zhuǎn)到認(rèn)證服務(wù)器確認(rèn)用戶是否已經(jīng)登錄。(3)web應(yīng)用防護(hù)經(jīng)歷首次訪問Web應(yīng)用系統(tǒng)較為復(fù)雜的認(rèn)證過程后,用戶再次訪問該Web應(yīng)用的過程非常簡單。此時(shí),用戶憑證在Web應(yīng)用中存在,只需要向認(rèn)證服務(wù)器進(jìn)行憑證驗(yàn)證即可。(4)臨時(shí)碼改變的問題當(dāng)用戶退出認(rèn)證服務(wù)器,或用戶在其它機(jī)器上進(jìn)行登錄,認(rèn)證服務(wù)器中的臨時(shí)碼都將發(fā)生改變,此時(shí)保存在客戶端的憑證已經(jīng)失效,無法再以該用戶的身份訪問Web應(yīng)用系統(tǒng)。2.3主要功能模塊(1)系統(tǒng)總體過程認(rèn)證服務(wù)器端完成的主要任務(wù)是:用戶登錄、用戶退出、用戶獲取臨時(shí)碼、為Web應(yīng)用檢驗(yàn)臨時(shí)碼。用戶登錄過程:①檢查提交的用戶名、密碼、驗(yàn)證碼的完整性;②若正確,則檢查提交的驗(yàn)證碼和Session的驗(yàn)證碼對應(yīng)性;③若對應(yīng),再檢查用戶名、密碼的對應(yīng)性;④若對應(yīng),為用戶更新隨機(jī)生成的臨時(shí)碼,與用戶信息加密后寫入客戶端Cookies中(服務(wù)器端Cookies中保存副本)。以上條件不成立時(shí)立即跳轉(zhuǎn)到登錄錯(cuò)誤對應(yīng)地址。用戶退出過程:①請求退出的鏈接中提供退出成功后所要轉(zhuǎn)向的地址;②檢查Cookies中用戶狀態(tài)信息,是否登錄;③已登錄,則為用戶更新隨機(jī)生成的臨時(shí)碼,擦除Cookies中狀態(tài)信息;若否,則直接轉(zhuǎn)入④;④跳轉(zhuǎn)到退出成功后對應(yīng)的地址。用戶獲取臨時(shí)碼過程:①請求臨時(shí)碼的鏈接中提供用戶在Web應(yīng)用中請求的頁面地址;②檢查Cookies中用戶狀態(tài)信息,是否登錄;③已登錄,則提取臨時(shí)碼,將用戶名、臨時(shí)碼等信息添加到提供的Web應(yīng)用頁面地址中;否則,將未知用戶信息添加到提交的Web應(yīng)用頁面地址中;④跳轉(zhuǎn)到修改后的Web頁面對應(yīng)地址。為Web應(yīng)用檢驗(yàn)臨時(shí)碼過程:①Web應(yīng)用請求驗(yàn)證用戶名、臨時(shí)碼的鏈接中提供了用戶名、臨時(shí)碼;②檢查用戶名、臨時(shí)碼對應(yīng)性;③以XML方式返回檢查結(jié)果。(2)客戶端臨時(shí)碼解決檢查和憑證檢查客戶端組件首先檢查頁面參數(shù),看用戶是否從身份驗(yàn)證系統(tǒng)獲取完憑證跳轉(zhuǎn)回來的;如是,則讀取頁面參數(shù),檢查客戶端臨時(shí)碼(先進(jìn)行解密);如客戶端臨時(shí)碼正確,且憑證中表明用戶已經(jīng)登錄,則在Cookies中記錄相應(yīng)信息,否則跳過?？蛻舳私M件接著檢查用戶憑證,存在則聯(lián)系認(rèn)證服務(wù)器檢驗(yàn)憑證;否則生存客戶端臨時(shí)碼,在Session中記錄,并要求用戶跳轉(zhuǎn)到認(rèn)證服務(wù)器獲取憑證。2.4關(guān)鍵技術(shù)(1)全局變量特性的應(yīng)用臨時(shí)碼是本方案的關(guān)鍵,它是證明用戶身份以及狀態(tài)所必須的依據(jù),認(rèn)證服務(wù)器讀取臨時(shí)碼的速度將主要決定整個(gè)方案的響應(yīng)速度。由于臨時(shí)碼需要是有態(tài)的,而且是跨Session的,傳統(tǒng)的做法是將臨時(shí)碼存放在使用磁盤作為載體的數(shù)據(jù)庫中。而經(jīng)驗(yàn)表明,數(shù)據(jù)庫的讀寫往往成為整個(gè)系統(tǒng)效率的瓶頸。本方案利用.NET程序的靜態(tài)全局變量特性,將臨時(shí)碼表保存在認(rèn)證系統(tǒng)的內(nèi)存中,加快了認(rèn)證的響應(yīng)速度。同時(shí),由于認(rèn)證系統(tǒng)是基于Web的,也就是說臨時(shí)碼表的生存期依賴于系統(tǒng)的進(jìn)程的生存期,這可以很方便地在大多數(shù)的Internet信息服務(wù)器中設(shè)置,降低了管理難度。(2)web應(yīng)用信息的提取由于身份認(rèn)證系統(tǒng)與各Web應(yīng)用屬于不同的域,Cookies機(jī)制無法實(shí)現(xiàn)跨域間的信息傳遞,URL重寫機(jī)制容易遇到信息偽造問題。在本方案中,用戶在首次訪問Web應(yīng)用系統(tǒng)時(shí),首先需要到身份管理系統(tǒng)中索取憑證,利用基于“瀏覽器跳轉(zhuǎn)”特性,將認(rèn)證系統(tǒng)與各Web應(yīng)用之間的通訊信息封裝在URL中,通過頁面參數(shù)進(jìn)行信息傳遞。由于我院校園網(wǎng)是千兆網(wǎng),用戶在訪問其中的Web應(yīng)用系統(tǒng)時(shí)不會對這2次跳轉(zhuǎn)有明顯的感覺。(3)web應(yīng)用與認(rèn)證服務(wù)器之間通訊方案見圖3Web應(yīng)用在獲得并記錄用戶憑證后,將直接與認(rèn)證服務(wù)器通訊以檢查用戶憑證是否仍有效,而無須再次要求用戶進(jìn)行跳轉(zhuǎn),這將大大提升響應(yīng)速度和用戶體驗(yàn)。Web應(yīng)用與認(rèn)證服務(wù)器之間通訊基于HTTP,通過頁面參數(shù)提交檢查請求,采用XML為載體返回檢驗(yàn)結(jié)果。該方式的特點(diǎn)是靈活易擴(kuò)展,但會增大傳輸?shù)臄?shù)據(jù)量。對于質(zhì)量較高的網(wǎng)絡(luò)(如千兆校園網(wǎng))來說,該方式不會對系統(tǒng)的響應(yīng)時(shí)間有太大影響,卻能大大降低系統(tǒng)擴(kuò)展的難度。2.5安全考慮(1)中庭性用戶登錄認(rèn)證服務(wù)器時(shí),除需要提交用戶名和密碼外,還需要提交驗(yàn)證碼,減緩登錄速度,有效防止暴力破解。(2)防止用戶信息被篡改完整性問題主要Web應(yīng)用接收用戶請求時(shí),由于用戶端Cookies存儲的是加密信息,能防止用戶信息被篡改。同時(shí),Web應(yīng)用端接收到用戶憑證后,不管自身是否存有用戶憑證,都轉(zhuǎn)入認(rèn)證服務(wù)器進(jìn)行驗(yàn)證,保證了憑證的完整性。(3)防止重放攻擊重放攻擊威脅發(fā)生在用戶登錄認(rèn)證服務(wù)器和用戶請求Web應(yīng)用資源時(shí),由于方案中用戶每次登錄或退出認(rèn)證系統(tǒng),都將隨機(jī)生成(更新)臨時(shí)碼,對二次登錄、退出后重新登錄等情況進(jìn)行了限制,有效防止了重放攻擊。(4)防止了中間人讀取會話內(nèi)容認(rèn)證服務(wù)器將用戶名和臨時(shí)碼加密發(fā)送到用戶端存儲,在一定程度上防止了中間人讀取會話內(nèi)容。但為了加快頁面跳轉(zhuǎn)速度,方案中Web應(yīng)用與認(rèn)證服務(wù)器之間通訊采用明文傳輸,這可能成為中間人攻擊的切入點(diǎn)。2.6客戶端組件建設(shè)根據(jù)本方案,本文以.NETFramework1.1為平臺,采用C#語言進(jìn)行實(shí)現(xiàn)。認(rèn)證服務(wù)器端采用WindowsServer2003+.NETFramework1.1+IIS6.0+SQLServer2005實(shí)現(xiàn),安放項(xiàng)目文件后,配置用戶數(shù)據(jù)表所在SQL數(shù)據(jù)庫的連接信息,并配置好IIS進(jìn)行啟動與驗(yàn)證?？蛻舳私M件以源碼形式提供,它只有一個(gè)公開方法,用于檢查用戶身份以及將用戶名和臨時(shí)碼寫到特定的Cookies中。針對不同的Web開發(fā)技術(shù),分別開發(fā)了基于.NET、ASP和JSP的三組客戶端組件。該系統(tǒng)在我校數(shù)字校園應(yīng)用中,為校園BBS、視頻點(diǎn)播、教務(wù)管理、學(xué)工系統(tǒng)、OA系統(tǒng)、實(shí)踐教學(xué)系統(tǒng)提供單點(diǎn)登錄,效果非常理想。該系統(tǒng)的主要特點(diǎn)有:(1)不使用平臺依賴的SSO方案,完全使用自行定制的身份認(rèn)證系統(tǒng)服務(wù)端和客戶端,以滿足現(xiàn)存的基于不同平臺的Web應(yīng)用的需要;(2)身份認(rèn)證系統(tǒng)的用戶管理依賴于校園網(wǎng)現(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng),不提供對用戶帳號信息修改的功能,減少因身份認(rèn)證系統(tǒng)被入侵而導(dǎo)致校園管理系統(tǒng)安全性的下降;(3)用戶通過身份認(rèn)證系統(tǒng)登錄后,只獲得其真實(shí)身份的認(rèn)證,用戶對各個(gè)信息系統(tǒng)的訪問控制還是由各個(gè)Web應(yīng)用自行負(fù)責(zé)。認(rèn)證服務(wù)器對用戶的登錄、退出動作做簡單的日志記錄;(4)用戶以登錄時(shí)認(rèn)證服務(wù)器為其生成的臨時(shí)碼