军事信息指挥系统中单点登录技术的研究与应用

2012-07-06周海涛

重庆理工大学学报(自然科学) 2012年3期

周海涛，古平，张锋

(重庆大学计算机学院，重庆 400044)

单点登录(single sign on，SSO)［1-3］是在多个应用系统中用户只需要登录1次就可以访问所有相互信任的应用系统，即1次登录，多方认证，多次访问。该技术虽然出现不久，但是其发展却极为迅速。目前，SUN公司的Liberty就是运用单点登录比较成熟的方案。

军事指挥信息系统是对部队军事训练、作战、管理、保障等各种军事工作软件系统的统称，主要功能是搜集处理情报信息，优化管理作战资源，进行信息融合和识别融合，辅助军事指挥员、指挥机关进行决策和部署，指导作战部队行动［4-5］。军事指挥信息系统对信息化条件下部队指挥、作战效能的提高极其重要。单点登录的突出优势是具备高度统一的认证授权体系，可有效减少用户操作多个系统反复登录时所耗费的时间，同时能增加安全性。可见，在军事信息系统实现单点登录，解决多个应用系统之间的信息壁垒问题，已成为提升部队信息化建设水平的重要环节之一。

1 SSO的相关研究

1.1 SSO的实现原理

SSO就是安全上下文或凭证在多个应用系统之间的传递或共享。当用户登录系统时，客户端软件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文。安全上下文包含用于验证用户的身份信息，系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。

单点登录的实现原理如图1所示［6］:① 用户要操作一个系统(系统1)时，首先要通过用户名、密码等个人信息进行申请;申请后，首先被导引至认证系统，并向认证系统发出一个ticket(含用户名、密码等身份信息)，将用户身份信息映射至认证系统的用户信息库。②根据用户提供的身份信息，认证系统进行校验。若通过认证系统校验，返回给用户一个认证的凭据——ticket，允许用户对系统进行操作使用。③用户再访问别的应用(如系统2)时，不需要再通过登录用户名、密码等个人信息，系统会自动将前面的ticket带上，作为认证的凭据。应用系统收到请求，会把ticket发到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以访问系统2或系统n等应用系统。

图1 单点登录实现原理

1.2 SSO的实现模型分析

目前，单点登录的常见模型有基于经纪人、基于代理、基于网关和基于令牌4种，优缺点:① 基于经纪人的模型的优点是实现了身份认证数据的集中管理，减小了管理代价;缺点是要想实施部署，就要改造服务端使其适应单点登录的系统要求，兼容现有系统时需要的开发量增加。②基于代理(Agent-based)的模型的优点是能够保证通道安全和单点登录，可实施性和灵活性较强;缺点是用户登录凭证要在本地存储，口令容易泄漏。③基于令牌(Token-Based)的模型的优点是能够实现双向认证，安全性较高;缺点是要在应用系统上增加新组件，开发量大，且管理员负担较重。④对于基于网关(Gateway-based)的模型，由于现有的网络环境要求较严，且需要企业适应它，所以其应用范围不广。上述模型都是比较粗略的架构，缺乏具体指导，尤其是后2种模型，实现难度大，操作性不强，仅能作为军事信息指挥系统实现SSO的模型构造的参考。

2 军事信息指挥系统实现SSO的研究

2.1 军事信息指挥系统现状与实现SSO的需求分析

实践发现，部队各种应用系统由于开发完成的时期不同，各自的功能侧重、设计方案和开发技术均有不同，形成了各自独立的用户库和用户认证体系，操作、管理互不兼容、互不统一，形成了很强的“信息壁垒”，难以达成信息共享、左右联动、整体一致的效果。突出表现为:①访问控制上，机关各业务部门都有独立的系统软件，相互间及向各级首长进行消息传递主要靠人工，效率较低;②操作使用上，在登录多个系统时要记忆不同的用户名和口令，需要大量不同的人员操作、管理和维护各个系统，操作使用的成本较高;③安全保密上，由于系统繁多和互不统属，且传递信息大量靠U盘、移动硬盘、书面等载体，全时空监管的难度大，军事信息被泄漏和非法截获、破坏的可能性增加。

根据上述研究和分析，实现SSO的需求是:①有一个所有应用系统能够共享的身份认证系统，支持单点登录，实现操作、管理的简便;认证系统应含有军事指挥员、指挥机关参谋人员的用户信息库，用户信息主应包含用户姓名、单位、职务、岗位、密码等主要信息。②面向部队各种应用系统主要包括部队综合信息网，一体化指挥平台，310文电系统，侦察情报系统和兵员、油料、被装、给养、装备、弹药管理系统。③认证系统能将用户的登录信息和用户信息库相比较，对用户进行身份认证。认证成功后，认证系统能够生成一个统一的认证标志ticket返还给用户;另外，认证系统还能够对ticket进行校验，判断其有效性。④ 所有应用系统都能够识别和提取ticket信息。用户登录时，让应用系统通过与认证系统的通讯自动判断当前用户是否登录过，从而完成单点登录的功能。⑤尽可能地立足现有系统的身份认证模块和用户、权限设置，避免对现有系统进行大规模的修改。⑥一旦有新软件被开发部署，这个统一身份认证服务能够以其认证模块的形式工作，自动生成授权结果并传递给应用系统的授权执行模块。⑦能确保军事信息的高度安全。

2.2 军事信息指挥系统SSO的研究与实现

鉴于上述SSO模型存在一定的缺陷，有人提出了基于经纪人加代理的整合模型(broker-agentbased，BA-based)。在应用服务器前加认证代理软件，当客户端通过认证以后，并不立即向授权服务器申请应用服务的服务票据，而是请求访问资源时，由代理软件检查并转发向授权服务申请。显然，该模型能够较大程度解决基于经济人和基于代理单个模型存在问题，满足军事信息指挥系统实现单点登录的需求，其优势是:用SSO服务器进行身份认证数据的集中管理;用认证代理软件在保证通道安全的同时，解决基于经济人模型改造服务端开发量大的问题，可实施性和灵活性较强;特别是，该模型通过票据许可票(ticket granting ticket，TGT)和应用服务票(service ticket，ST)进行验证，能够较好地解决部队各岗位对各应用系统访问权限不同的问题。如对于综合信息网，所有官兵均可访问，而其他应用系统，仅指挥员、指挥机关甚至相关业务单位才有权访问。

但是，该模型在应用服务器前加认证代理软件，仍存在用户凭证的口令容易泄漏导致信息不安全的问题。针对这一问题，本文采用SSL协议、数字签名技术对该模型进行改进和优化。根据BA-Based模型和SSL协议、数字签名技术，对军事信息指挥系统实现SSO的模型进行构建，如图2所示。

2.2.1 军事信息指挥系统BA-Based SSL-SSO模型的组成与功能说明

如图2所示，系统由一个支持SSL协议、数字签名技术的SSL客户端(提供认证服务)，一个支持SSL、数字签名技术由SSL认证服务器(提供认证和授权服务)、SSL认证代理系统和SSL应用服务器组成的安全域构成。

1)SSL客户端。它支持SSL协议、数字签名技术，通过Web的方式，提供单点登录的登录、注销、验证服务和全局会话安全管理、用户信息安全管理等。用户通过一种门户导入的信息组件Login Portlet提供身份凭证后，SSL客户端通过SSL的握手协议与SSL认证服务器进行双方身份的交叉验证并取得公钥，同时，通过数字签名技术将用户信息加密成数字证书形式，并传送到认证中心进行身份验证，验证获得TGT。会话过程中，SSL客户机和SSL服务器通过SSL进行双方身份的交叉验证并取得私钥，传输数据采用在握手协议中建立的密钥和算法的方法进行加密。

2)SSL认证服务器。它支持SSL协议、数字签名技术，提供单点登录服务。所有关于单点登录的登录、注销、凭证有效性验证、全局会话安全管理、用户信息存储管理等操作，都由它来完成。

3)SSL认证代理系统。它支持SSL协议、数字签名技术，充当认证服务器和应用系统之间的“翻译”，采用过滤器方式实现认证代理，降低开发难度。SSL认证代理系统可单独部署，也可与应用系统(具有独立的认证和授权)部署在1台服务器上。根据部队各应用服务器分布点多面广的实际，采用后者可有效降低成本。

4)SSL应用服务器。它支持SSL协议、数字签名技术，主要包含部队现有的综合信息网等。

SSL协议主要提供对计算机之间整个会话进行加密、验证客户机和服务器、确保信息的完整性等服务。数字签名技术主要提供对数据信息进行电子编码服务，确保用户认证的安全。

2.2.2 军事信息指挥系统BA-based SSL-SSO总体架构设计

根据上述模型的组成与功能，设计总体架构，如图3所示。

图3 军事信息指挥系统BA-Based SSL-SSO总体架构

各组成部分都支持SSL协议、数字签名技术。其中，新建SSL认证授权系统作为认证授权模块，提供统一的认证授权服务接口。认证服务直接调用单点登录认证模块，验证用户登录的身份信息与用户凭证库中的信息是否匹配，并反馈授权信息。目录服务库包含用户信息库、凭证信息库、资源信息库、权限信息库。用户信息库、凭证信息库都应包含官兵的姓名、单位、职务、岗位、密码;资源信息库应包含各系统资源的性质、密级和访问权限;权限信息库应包含官兵根据自身职务、岗位所具备的对各系统资源的访问权限。

2.2.3 安全套接层(secure sockets layer，SSL)协议的功能与实现

SSL协议是1994年底由Netscape首先引入的一种基于Web的安全通信标准，它位于应用层和传输层之间，有2层协议。底层协议是SSL纪录协议。高层协议有3个:握手协议、更改密码规格协议和警告协议，它能够在用户与服务器之间进行加密通信，鉴别网站和网页浏览者身份，主要目的就是要解决Web上信息传输的安全问题［7-8］。因此，军事信息指挥系统实现SSO并采用SSL协议，其功能及实现如下:

1)对计算机之间整个会话进行加密。建立连接过程使用非对称密钥(公开密钥)，每一个连接都建立1个唯一的会话密钥;在会话过程使用对称密钥(私钥)，客户机和服务器之间的传输数据使用在握手协议中建立的密钥和算法进行加密，防止被人改动和窃听。

2)验证客户机和服务器。客户机和服务器各自都有识别号，SSL用RSA(非对称加密算法)验证服务器，用公钥编排，使得用户能够确信数据将被发送到正确的服务器上。为了验证客户身份，SSL协议要求在握手交换数据时使用数字认证，保护用户的合法性。

3)确保信息的完整性。加密数据采用消息认证代码(MAC算法，如MDS、SHA等)进行完整性检验。在数据传输过程中，采用Hash函数和机密共享算法，使数据能准确完整地到达目的地。

2.2.4 数字签名技术的功能与实现

用户认证是一个最基本的安全问题。在实际应用中，SSL主要采取基于客户端证书的验证方式，对用户ID和密码加密，为验证过程提供数据加密、服务器端认证、信息真实性等安全保证，防止客户的验证请求在网路的某一节点(比如认证代理软件系统)被截获和窃听。采取这种验证方式，Web服务器将通过客户端提供的数字签名(即数字证书)验证用户的身份。数字证书采用公钥体制，每个用户用自己的私钥进行解密和签名，同时用公钥来加密和验证签名。当发送一份保密文件时，发送方使用对方的公钥加密数据，接收方则使用自己的私钥解密，这样信息就可以安全准确到达目的地了。同时，通过HASH算法计算得出一个固定位数的报文摘要，使得报文只要改动其中一位，重新计算出的报文摘要值就会与原先的值不相符，这样就保证了报文的不可更改。

军事信息指挥系统实现SSO并采用数字签名技术，可以在保证军事信息高度安全的基础上，达到签名文件的可信性、签名文件的不可改动、签名的不可伪造、签名的不可重用、签名的不可抵赖等目的［9］，进一步促进部队信息保密工作的有效落实。

2.2.5 军事信息指挥系统BA-Based SSL-SSO的工作流程

综上所述，用户通过Login Portlet向SSL客户端登录身份信息后，其工作流程主要是:

1)SSL客户端通过SSL的握手协议与SSL认证服务器进行双方身份的交叉验证并交换密钥，取得公钥。

2)SL客户端通过数字签名技术将用户信息加密成数字证书形式，并通过Web方式将其传送到认证中心进行身份验证，验证获得TGT。

3)SSL认证服务器进行身份验证，即将数字证书与目录数据库的用户信息进行匹配。验证通过后，SSL认证服务器向SSL客户端发送TGT。只有拥有TGT的用户才具有进入安全域的权限。

4)用户请求访问一台SSL应用服务器时，请求首先被传向SSL认证代理系统。

5)SSL认证代理系统对该请求进行检查。首先检查其是否包含合法的TGT。若包含，再检查该请求是否包含访问该应用服务器的ST。如果TGT和ST都具备，则将该请求发送给应用服务器;如果ST不存在，则将该请求转发给授权服务器，向其申请访问该服务器的ST。

6)申请成功后，授权服务器传回服务票并重新执行步骤3)，认证代理软件检查通过便获得访问权限，将请求发送给应用服务器。若TGT或ST不合法和过期，则拒绝提供服务。

7)被授权访问应用服务器的资源。

8)访问开始，SSL客户端通过SSL的握手协议与SSL服务器进行双方身份的交叉验证并交换密钥、取得公钥。

9)访问过程中，通过在握手中建立的密钥和算法，对整个会话进行加密保护。