论文部分内容阅读
近年来,随着分布式计算技术的发展,传统的分布式对象模型在面对Internet环境时暴露出一些缺点。主要表现在:客户端与服务器之间存在较大的网络通信量与交互信息;实现技术框架之间的互操作性非常有限。这些问题削弱了分布式计算对于促进商业过程集成的能力,给电子商务、电子政务等Web应用的发展带来了困难。
随着这些问题的产生,面向服务的架构和Web服务技术被提出。Web服务技术具有平台独立性、松耦合、自包含等特点,使用开放的XML标准描述、发布、发现、协调和配置,特别适合于开发分布式互操作的应用程序。
随着Web服务技术的发展,其安全性问题越来越受到人们的关注。Web服务的通信协议——SOAP在标准制定时只注重了它的简单性和跨平台性,并没有过多的考虑SOAP的安全性需求。而SSL/TLS等现有的传输安全机制在Web服务的实际应用中存在很大局限性。因此,Web服务的安全规范WS-Security便孕育而生。
本文针对WS-Security规范中的几种身份认证机制进行介绍和分析,并提出一种新的Web服务身份认证方案,进而设计并实现了一个基于该方案的原型系统。具体来说,本文的主要工作如下:
1)本文结合目前主流的身份认证技术,在密码学的基础上分析了WS-Security中认证方案,主要是用户名令牌认证机制,提出了用户名令牌认证方式中几种口令传输和存储方式的缺陷,并指出了WS-Seeurity规范中身份认证的其他不足。
2)本文介绍并分析了身份认证的IBS算法,并在其基础上提出一种新的双因素远程身份认证方案——Shamir令牌认证方案,并将其应用到Web服务的身份认证中。在安全性方面,新方案具有抗伪装用户攻击、抗中间人攻击等优点。在实用性方面,新方案中认证服务器无需存储任何用户信息,易于维护;并且无需数字证书的参与,省去了证书管理的麻烦。
3)本文修改了一个WS-Security的开源框架——WSS4J,将Shamir令牌认证方案在该框架中进行实现。设计并实现了一个基于Shamir令牌认证方案的Web服务原型系统。