陈孔艳

摘要：随着Web应用系统应用范围的不断扩展和应用程度的不断深入，用户经常需要登录访问不同应用系统， “一次登录，全网通行”的单点登录系统是当前网络安全研究中非常重要的一个课题。该文提出了一套基于PKI/PMI安全框架的单点登录系统。

关键词：单点登录；安全框架；PKI；PMI

中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2018）32-0025-02

1 引言

随着Web应用系统应用范围的不断扩展和应用程度的不断深入，各行各业都开发了多个功能不同的WEB应用系统，为了提高应用系统的安全性，各系统都设置了对应的用户和登录密码。用户登录使用这些应用系统时，必须输入相应的用户名和密码口令来进行身份认证。由于用户访问的应用系统比较多，甚至有时候需要在多个不同系统之间来回切换登录，这样用户需要牢记多个密码口令，不仅增加了出错的可能性，加大了系统的安全风险，降低了系统的安全性。同时，这些重复冗余的工作增加了用户使用系统和管理者对系统进行管理的复杂性，增加了系统开销，降低了用户的工作效率。因此，“一次登录，全网通行”的单点登录系统是当前网络安全研究中非常重要的一个课题。本文结合自己的工作，提出了一套基于PKI/PMI安全框架的单点登录系统。

2 基于PKI/PMI的WEB安全框架

2.1 PKI、PMI技术

PKI是公钥基础设施（Public Key Infrastructure）的英文缩写，是一种提供公钥加密和数字签名服务的技术和标准，这种公钥加密技术能为WEB服务提供安全的基础平台[1]。PKI主要包括四个部分：X.509格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）；CA操作协议；CA管理协议；CA政策制定。认证中心CA 是PKI 系统平台的核心，CA 负责管理用户证书的申请、颁发、撤销和验证等，CA颁发的公钥证书PKC把公钥与用户身份进行绑定，形成用户的数字身份证，从而保证了信息的安全传输。

PMI 是从PKI 中分离出来单独制订的标准，在通过安全认证，确定用户真实身份合法性的基础上，使用属性证书（AC）解决统一的授权管理和访问控制 [2] 。PMI体系的核心是提供属性证书的产生、发布、撤销和失效等功能，在系统提供的授权策略控制下实现安全的、可信的访问控制。

2.2 基于PKI/PMI的Web应用安全框架

在使用WEB服务时，传统方式认证和授权都嵌入在特定的应用程序中，这种方式下，不同的应用系统对应不同的认证与授权，系统设计复杂性。同时，需要為不同的系统设置用户名和口令，从而给用户和管理者带来了大量麻烦。为了解决以上问题，引入基于PKI/PMI的Web应用安全框架，在这个安全框架中，PKI系统提供用户身份认证、完整性和机密性等核心服务，证明用户是谁， PMI系统通过对属性证书的管理能够实现安全的访问控制，PMI证明这个用户有什么权限，能完成什么样的操作，而且PMI系统需要PKI系统为其提供身份认证[3]。

基于PKI/PMI的安全总体框架如图1所示，该框架分为应用层、安全应用支撑层和安全基础设施层。 应用层主要提供Web应用访问接口，通过提供用户登录界面为用户提供各种应用服务，比较简单。安全应用支撑层是一个系统接口，介于为应用层和安全基础设施层之间，把用户的应用请求转化为PKI证书、PKC证书申请服务，实现用户合法性验证和访问授权。安全基础设施层是整个安全框架的基础和核心，它主要包含PKI信任服务系统和PMI授权服务系统两个部分。PKI信任服务系统提供用户身份证书的验证；PMI授权服务系统提供统一的安全访问控制策略，通过属性证书的发放和撤销、用户访问权限的验证以及基于角色的访问控制来提高系统的安全性能。

总之，在这种框架系统中，用户的认证与授权功能位于应用层之外，管理者不需要太多地关注应用层的工作，只需要对PKI的公钥证书和PMI中的属性证书AC进行管理，应用程序的用户名/口令列表和接入控制列表由属性认证机构颁发的属性证书来管理，属性证书包含了访问应用程序用户的信息的属性，从而大大地提高了管理者的工作效率。

3 单点登录

单点登录（Single Sign On， SSO）是指把多个应用系统集中到一个统一的认证系统，在使用这些应用系统时，用户只需要登录一次来进行身份验证，用户初次使用某一应用系统时，提供有关登录信息，统一认证系统对用户身份进行验证，认证通过，系统会返回给用户一个认证凭据ticket，其他应用系统把这个认证的凭据作为信任凭证，当用户再访问别的应用系统时，就可以免登录地访问相互信任的应用系统了 [5]。

单点登录目前有五种模型：经纪人（Broker）模型、代理（Agent）模型、代理和经纪人（Agent and Broker）模型、网关（Gateway）模型和令牌（Token）模型。

目前主流的几种单点登录方案都是基于代理——经纪人模型的。这种方式具有比较好的可实施性和灵活性，但是安全性考虑不全面、信息传输缺乏安全保证。难以为企业环境中多种Web应用（包括B/S，Pop3/Smtp，Ftp，Telnet等），提供一种改造容易，而又健壮安全的单点登录方案，更难为未来的Web应用提供全面的安全服务。

4 基于PKI/PMI框架的单点登录

由于现有的单点登录技术难以为企业环境中提供安全的方案，笔者致力于建设基于PKI/PMI集中身份认证和集中授权的单点登录方案，认证与授权集中到PKI/PMI系统，通过数字证书与权限控制提高系统的安全性。

基于PKI/PMI框架的单点登录主要设计思如下，当用户提出访问请求时，PKC认证系统通过身份证书对用户身份进行合法性认证，若认证不合法则终止，若认证合法，则使用属性证书AC进入访问控制流程，通过查找访问控制数据库获得用户角色和权限，来完成角色和访问控制。

具体实现流程如图2所示。系统提供一个独立的基于PKI/PMI框架的认证中心，该认证中心具有唯一，只有该认证系统为用户提供登录入口，其他不同的应用系统只能接受认证中心的间接授权。当用户提出访问请求时，认证系统验证用户的用户名和密码，如通过身份验证，系统就会创建一个授权令牌，该令牌就是用户访问不同系统的凭证，可以作为授权参数传送到各个不同的应用子系统中，当用户需要使用集成在该单点登录系统中的其他应用系统时，用户不需要再次登录就能使用具有访问权限的应用系统。这样通过一次认证与授权，可以实现对多个不同应用子系统的访问。

5 结束语

本文研究了基于PKI/PMI的单点登录系统，一方面，用户不再被多次登录困扰，实现了“用户一次认证，全网通行”，用户登录访问应用系统的过程得到大大简化，从而提高了系统的工作效率。另一方面，基于PKI/PMI的认证与访问控制提高了系统的安全性。

参考文献：

[1] ITU-T Recommendation X. 509， Information Technology—Open System Interconnection—The Directory： Authentication Framework， 1993.

[2] ITU-T Recommendation X. 501， Information Technology）en Systems Interconnection .The Directory： Models， 2001

[3] 王晓峻. 基于PKI/PMI的Web服务安全框架[J].计算机科学，2008，4.

[4] 强韶华.基于PKI/PMI的安Web数据交换[J].计算机应用与软件，2008，3.

[5] https：//baike.baidu.com/item/%E5%8D7%9%E7%99%BB%E5%BD%95/4940767fr=aladdin

【通联编辑：王力】