SPNEGO協(xié)議研究及其遠(yuǎn)程身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著信息的多元化及數(shù)字化的迅猛發(fā)展，信息安全技術(shù)越來(lái)越顯示其重要地位，而且信息安全技術(shù)應(yīng)用水平的高低直接影響了信息高速公路建設(shè)的進(jìn)一步發(fā)展。認(rèn)證技術(shù)是信息安全理論與技術(shù)的一個(gè)重要方面，它是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要機(jī)制之一。在安全的網(wǎng)絡(luò)通信中，涉及的通信各方必須通過(guò)某種形式的身份驗(yàn)證機(jī)制來(lái)證明它們的身份，然后才能實(shí)現(xiàn)對(duì)于不同的用戶(hù)的訪(fǎng)問(wèn)控制和記錄。 本文在分析了幾種現(xiàn)有的身份認(rèn)證解決方案及研究了Kerberos協(xié)議、SPNEGO機(jī)制及J

2、ava GSS-API功能實(shí)現(xiàn)的基礎(chǔ)上，提出了利用大多數(shù)企業(yè)非常熟悉的Windows動(dòng)態(tài)目錄服務(wù)，同時(shí)利用活動(dòng)目錄服務(wù)所提供的Kerberos協(xié)議和LDAP服務(wù)、Windows的基于Simple and Protected Negotiation Mechanism(SPNEGO)認(rèn)證機(jī)制，結(jié)合JavaGSS-API，分別用Tomcat和Weblogic作為Web Server對(duì)Windows客戶(hù)端進(jìn)行身份認(rèn)證模型的設(shè)計(jì)，并且得到了具體

3、的實(shí)現(xiàn)。 在該模型中關(guān)鍵性的工作如下：第一、利用Windows的SPNEGO認(rèn)證機(jī)制，設(shè)計(jì)實(shí)現(xiàn)Web Server同客戶(hù)端的交互模塊。該模塊負(fù)責(zé)同客戶(hù)端的交互并得到客戶(hù)端發(fā)送的SPNEGO令牌；第二、在得到了SPNEGO令牌后，設(shè)計(jì)實(shí)現(xiàn)SPNEGO令牌解析模塊。該模塊分析SPNEGO令牌結(jié)構(gòu)，從SPNEGO令牌中解析出Kerberos令牌；第三、在得到了Kerberos令牌后，將得到的Kerberos令牌傳遞給Java GSS-

4、API，由具體的底層安全機(jī)制完成對(duì)Kerberos令牌的認(rèn)證。 本文最后從進(jìn)一步分析Kerberos令牌結(jié)構(gòu)、解析令牌中的有關(guān)用戶(hù)在Windows域中的角色信息入手，對(duì)該模型設(shè)計(jì)提出了下一步進(jìn)行的工作。 本文的創(chuàng)新點(diǎn)在于實(shí)現(xiàn)對(duì)SPNEGO令牌結(jié)構(gòu)的解析，獲得封裝在該令牌中包含用戶(hù)信息的Kerberos令牌的數(shù)據(jù)信息，并實(shí)現(xiàn)在Tomcat Server和Weblogic Server中的Web應(yīng)用程序中完成對(duì)Kerbero