【文章內(nèi)容簡介】 4 上 海 交 通 大 學(xué) 碩 士 學(xué) 位 論 文 商業(yè)銀行統(tǒng)一身份認(rèn)證方案設(shè)計 通過多層帳號映射建立認(rèn)證鏈，合作站點和認(rèn)證站點間采用 SAML 通信，能較好實 現(xiàn)各應(yīng)用系統(tǒng)間的統(tǒng)一身份認(rèn)證和安全信息共享，但存在系統(tǒng)結(jié)構(gòu)復(fù)雜和認(rèn)證管理 復(fù)雜等問題。此外，目前已有的實現(xiàn)了 SSO 技術(shù)或正將實現(xiàn) SSO 技術(shù)的統(tǒng)一身份認(rèn) 證系統(tǒng) 有： Evidian 公司的 AccessMaster ，英國高等教育組織之間的ATHENS ， Entrust 公司的 GetAccess， Netegrity 的 SiteMider[.6]等。 AccessMaster 是 Evidian 公司推出的一項密碼集中管理的安全產(chǎn)品。它的實現(xiàn)原 理如下：在一個集中的站點為每一個用戶建立一個映射表，表中記錄了該用戶登錄 不同站點時使用的標(biāo)識和密碼，用戶登錄這個負(fù)責(zé)映射關(guān)系維護(hù)的站后，系統(tǒng)返回 一個頁面，其中包括了用戶腳本中預(yù)定制的多個站點的圖標(biāo)。 當(dāng)用戶點擊這些圖標(biāo) 后，服務(wù)端程序根據(jù)映射表中的給站點所對應(yīng)的用戶標(biāo)識、密碼和登錄方式等信息， 完成登錄工作。這樣，一個用戶每天只需要一次登錄這個負(fù)責(zé)映射關(guān)系的站點一次， 就可以通過它自動地登錄到所有預(yù)定制的站點。這種系統(tǒng)的優(yōu)點在簡單易行，缺點 在用于用戶身份信息沒有在多站點間傳遞，不具有互操作性，難以實現(xiàn)多個站點協(xié) 同完成一個操作的能力。 ATHENS 通 過數(shù) 據(jù) 庫復(fù) 制技 術(shù)來 保證 所 有數(shù) 據(jù)提 供者 DSP （ Data Service Provider ）用戶信息的一致性。在 ATHENS 的站點上，保存著一個記錄所有用戶數(shù) 據(jù)庫。每個 DSP 上也有一個用戶信息數(shù)據(jù)庫。通過數(shù)據(jù)庫復(fù)制技術(shù)來保證各個 DSP 用戶信息數(shù)據(jù)庫與 ATHENS 用戶數(shù)據(jù)庫的同步。在 2020 年 2 月， ATHENS 通過對 DSP 接口的擴(kuò)展了 SSO。它保證了一個用戶在所有的資源上認(rèn)證信息的統(tǒng)一，并能 夠統(tǒng)一進(jìn)行更新。 ATHENS 的優(yōu)點在于實現(xiàn)簡單，有一定的互操作性。GetAccess 和 SiteMinder 在實現(xiàn)上有所不同，但其解決問題的思路大致相同，即將具有使用關(guān)系 的企業(yè)同一為一個“門戶”（ Portal ），又集中的安全服務(wù)負(fù)責(zé)用戶身份認(rèn)證，用戶及 其權(quán)限管理等。各合作站點通過安裝專用軟件與安全服務(wù)器進(jìn)行通信，具有跨企業(yè) 邊界的安全信息傳遞、單點登錄服務(wù)（含集成身份認(rèn)證）服務(wù)等優(yōu)點。 存在的局限性 以上方案都在一定程度上都實現(xiàn)了用戶的單點登錄功能，具有簡單易行等特點， 但均在不同程度上存在以下缺陷： 1. 單純的一對多結(jié)構(gòu)，合作站點間 缺乏通信靈活性。 2. 專用的通信軟件，會增加系統(tǒng)的復(fù)雜性，使系統(tǒng)不易維護(hù)和擴(kuò)展，同時增加 5 上 海 交 通 大 學(xué) 碩 士 學(xué) 位 論 文 商業(yè)銀行統(tǒng)一身份認(rèn)證方案設(shè)計 了應(yīng)用維護(hù)與升級等的成本。 3. 缺乏統(tǒng)一的數(shù)據(jù)表示和通信機(jī)制，易造成安全信息的冗余和資源的浪費。 為了解決上述問題，國際標(biāo)準(zhǔn)化組織 OASIS 的安全服務(wù)技術(shù)協(xié)會（ Security Service Technology Committee，簡稱 SSTC）于 2020 年 11 月提出了安全聲明標(biāo)記語 言（ Security Assertion Markup Language，簡稱 SAML）參考標(biāo)準(zhǔn)。其主要的設(shè)計目 的是為認(rèn)證和授權(quán)服務(wù)提供標(biāo)準(zhǔn)的安全信息描述和共享機(jī)制，使得不同企業(yè)間可以 共享有關(guān)用戶的信息，實現(xiàn)互操作。 本文的研究內(nèi)容和主要工作 本文主要是 針對商業(yè)銀行當(dāng)前存在的身份認(rèn)證需求與實際安全需求，分析現(xiàn)有 統(tǒng)一身份認(rèn)證方案及相關(guān)技術(shù)規(guī)范，研究如何將 SAML 標(biāo)準(zhǔn)與單點登錄需求技術(shù)相 結(jié)合，建立一個商業(yè)銀行網(wǎng)絡(luò)環(huán)境下的統(tǒng)一身份認(rèn)證方案，整合現(xiàn)有的銀行業(yè)務(wù)系 統(tǒng)和用戶資源，實現(xiàn)統(tǒng)一的認(rèn)證授權(quán)、統(tǒng)一的用戶和安全策略管理，實現(xiàn)用戶的單 點登錄及各業(yè)務(wù)系統(tǒng)間安全信息的傳遞與共享，解決目前商業(yè)銀行分散認(rèn)證所帶來 不足，降低維護(hù)和管理成本，提高整體環(huán)境的安全性和可信度。 本論文的研究內(nèi)容和主要工作總結(jié)為以下幾個方面： 1. 對現(xiàn)有統(tǒng)一身份認(rèn)證系統(tǒng)或解決方案進(jìn)行分析，總結(jié)其優(yōu)缺點，并對相關(guān)技 術(shù)特征進(jìn)行分析，為設(shè)計商業(yè)銀行統(tǒng)一認(rèn)證方案的整體模型提供現(xiàn)實依據(jù)。 2. 在分析 SSO 技術(shù)和 SAML 規(guī)范的基礎(chǔ)上，以統(tǒng)一身份認(rèn)證的安全需求為中 心，給出了一種商業(yè)銀行統(tǒng)一認(rèn)證方案的認(rèn)證機(jī)制及其體系結(jié)構(gòu)，分析其登錄流程。 該認(rèn)證機(jī)制支持面向銀行業(yè)務(wù)系統(tǒng)內(nèi)及業(yè)務(wù)系統(tǒng)間的應(yīng)用協(xié)作，提供單點登錄服務(wù) （ SSO Service，簡稱 SSO 服務(wù)），解決用戶一次登錄、用戶身份的集成認(rèn)證和安全 信息共享等問題。 3. 結(jié)合上海交通銀行的應(yīng)用需求和安全認(rèn)證需求，對本方案的主要組成部分 SSO 代理、統(tǒng)一認(rèn)證中心及綜合信息庫進(jìn)行分析設(shè)計。其中 SSO 代理是在對 SAML 規(guī)范 詳細(xì)分析和總結(jié)的基礎(chǔ)上提出的，是實現(xiàn)方案同一信任域內(nèi)各系統(tǒng)資源及業(yè)務(wù)應(yīng)用 互操作的基礎(chǔ)，為各業(yè)務(wù)系統(tǒng)和資源間傳遞或共享認(rèn)證結(jié)果和授權(quán)信息。統(tǒng)一認(rèn)證 中心是實現(xiàn)用戶單點登錄，統(tǒng)一認(rèn)證授權(quán)的基礎(chǔ)，也是本文的重點，為用戶和管理 提供增強(qiáng)型 4A 服務(wù)：認(rèn)證、授權(quán)、管理、審計。綜合信息庫，實現(xiàn)用戶信息及 安 全策略的集中存儲與管理。此外還對基于 SAML 通信協(xié)議的安全信息傳輸處理機(jī)制、 6 上 海 交 通 大 學(xué) 碩 士 學(xué) 位 論 文 商業(yè)銀行統(tǒng)一身份認(rèn)證方案設(shè)計 網(wǎng)絡(luò)設(shè)備管理進(jìn)行了分析和設(shè)計。 4. 以上海交通銀行業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)為實例，對本方案在商業(yè)銀行網(wǎng)絡(luò)環(huán)境下的實 現(xiàn)進(jìn)行了設(shè)計，提出了方案實施的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，并設(shè)計方案實現(xiàn)的層次 結(jié) 構(gòu)和方案主要組成模塊的功能結(jié)構(gòu)。 5. 對本文介紹的方案進(jìn)行設(shè)計總結(jié)，分析評估其特點、性能及安全性，提出了 下一步的研究方向和重點。 本文的組織 本文共分為六個部分： 第一章，緒論。闡述課題研究背景、國內(nèi)外研究現(xiàn)狀、本文的研究內(nèi)容和主要 工作，以及本文的組織。 第二章 ,相關(guān)安全技術(shù)。簡單介紹了單點登錄技術(shù)（ SSO ）、安全聲明標(biāo)記語言 （ SAML）及 IBM 聯(lián)邦技術(shù)，并對 SAML 規(guī)范與安全技術(shù)的結(jié)合進(jìn)行了分析。 第三章，商業(yè)銀行統(tǒng)一認(rèn)證模型。先簡要介紹了 Liberty Alliance 和 .NET Passport 的認(rèn)證機(jī)制及模型，分析了各自的優(yōu)缺點。在此基礎(chǔ)上，提出了商業(yè)銀行統(tǒng)一身份 認(rèn)證模型，分析了本模型的特點。 第四章，商業(yè)銀行統(tǒng)一認(rèn)證方案設(shè)計。本章分析了方案的幾種用戶訪問情況， 分析了統(tǒng)一認(rèn)證機(jī)制流程，設(shè)計了方案的總體結(jié)構(gòu)，并對其主要組成部分及安全信 息傳輸處理機(jī)制、網(wǎng)絡(luò)設(shè)備管理進(jìn)行了分析設(shè)計。 第五章，商業(yè)銀行統(tǒng)一認(rèn)證實施方案。本章以上海交通銀行網(wǎng)絡(luò)系統(tǒng)為背景， 提出了方案實施的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，設(shè)計了方案實現(xiàn)的層次結(jié)構(gòu)及主要組成模 塊的功能結(jié)構(gòu)。 第六章 全文總結(jié)。對本方案的特點、安全性進(jìn)行了分析，提出了下一步研究的 方向和重點。 7 上 海 交 通 大 學(xué) 碩 士 學(xué) 位 論 文 商業(yè)銀行統(tǒng)一身份認(rèn)證方案設(shè)計 第二章 相關(guān)安全技術(shù) 單點登錄技術(shù) 隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，各種應(yīng)用服務(wù)的不斷普及，用戶每天需要登 錄到許多不同的信息系統(tǒng)，但由于大多數(shù)信息系統(tǒng)都有其自身的用戶系統(tǒng)、認(rèn)證方 式及不同的安全策略，使得登錄系統(tǒng)成了一件苦差事。記憶大量賬號及口令信息， 頻繁登錄多個信息系統(tǒng)，造成使用上極為不便，同時也給系統(tǒng)的維護(hù)及管理帶來了 難度，因而采用何種確實可行的解決方案來解決信息系統(tǒng)間的相接問題變得尤為重 要?；谏鲜鲈?，提出了單點登錄技技術(shù)（ Single SignOn）。 Single SignOn 簡介 SSO （ Single SignOn ），單點登錄技術(shù)是一種認(rèn)證和授權(quán)機(jī)制，它允許用戶只登 錄到系統(tǒng)上一次，完成最初訪問時的一次身份驗證，即能對所有被授權(quán)的網(wǎng)絡(luò)資源 進(jìn)行無縫的訪問，無需再進(jìn)行登錄。在此條件下，管理員無需修改或干涉用戶登錄 就能方便的實施希望得到的安全控制，大大降低了系統(tǒng)管理與維護(hù)成本，提高了系 統(tǒng)的整體安全性。 盡管登錄到一個系統(tǒng)的過程很簡單：輸入用戶身份名，然后再輸入口令，但是 它實際上采取了多個動作。首先是認(rèn)證，認(rèn)證 發(fā)生在系統(tǒng)驗證登錄的實體（人或程 序）是否是與這個用戶身份相關(guān)的實體時，認(rèn)證通常通過將口令與用戶的ID 匹配來 實現(xiàn)。其次是授權(quán)，在用戶通過認(rèn)證后并試圖訪問系統(tǒng)資源時，需要進(jìn)行授權(quán)。用 戶可以被授權(quán)查看文件，但不能刪除或修改文件。系統(tǒng)利用錯誤信息回答非授權(quán)請 求，并通過允許訪問來響應(yīng)授權(quán)的請求。實際的授權(quán)可在認(rèn)證后立即進(jìn)行，使客戶 得到授權(quán)資源的清單。授權(quán)也可以是交互式的，當(dāng)用戶試圖訪問不同資源時服務(wù)器 拒絕或同意訪問這些資源。 8 上 海 交 通 大 學(xué) 碩 士 學(xué) 位 論 文 商業(yè)銀行統(tǒng)一身份認(rèn)證方案設(shè)計 SSO 單點登錄模型 [7] 目前常見的單點登錄模型主要有以下幾種 ： 一、基于經(jīng)紀(jì)人的單點登錄模型 在基于經(jīng)紀(jì)人的單點登錄模型中，存在一個集中的認(rèn)證和用戶賬號管理的服務(wù) 器，中央認(rèn)證服務(wù)器和中央數(shù)據(jù)庫的 使用減少了管理的代價，并為認(rèn)證提供一個公 共和獨立的“第三方”，就像一個“經(jīng)紀(jì)人”一樣。采用這種模式的產(chǎn)品有很多，包 括 Kerberos 、 Sesame 等?；诮?jīng)紀(jì)人的單點登錄模型實現(xiàn)了用戶認(rèn)證數(shù)據(jù)的集中管 理，使管理更加方便。但這種方式要對服務(wù)端進(jìn)行改造，使其適應(yīng)單點登錄的系統(tǒng) 要求才能實施部署。同時所有用戶的登錄信息都被系統(tǒng)接管，所以每次登錄都要提 供已經(jīng)注冊 ID 和口令，因此匿名用戶無法登錄。 二、基于代理的單點登錄模型 在基于代理人的解決方案中，有一 個自動為不同應(yīng)用程序認(rèn)證用戶身份的代理 程序，這個代理程序需要設(shè)計有不同的功能，比如它可以使用口令表或加密密鑰來 自動認(rèn)證用戶。代理人在服務(wù)器的認(rèn)證系統(tǒng)和客戶端認(rèn)證方法之間充當(dāng)一個“翻譯”。 SSH 是一個典型的基于代理人的解決方案的例子?；诖淼膯吸c登錄模型保證了 通道的安全和單點登錄，具有比較好的可實施性和靈活性。但是這種模型的用戶登 錄憑證要在本地存儲，增加了口令泄漏的危險。另外在實現(xiàn)單點登錄時，會增加兼