《网络辅助教学系统安全单点登录方案.doc》由会员分享,可在线阅读,更多相关《网络辅助教学系统安全单点登录方案.doc(10页珍藏版)》请在三一文库上搜索。
1、网络辅助教学系统安全单点登录方案 随着Intemet/Intranet技术的飞速发展和数字化校园建设的不断深入,如何方便的在各种网络辅助教学系统中认证用户身份,降低管理成本,成为了一个日益重要的问题。本文针对高校网络辅助教学系统的特点设计了一种基于ECC双向认证方式的单一登录方案,降低了系统集成成本,提高了验证过程安全性。 The Single Sign-on Safety Program of Assistant Teaching System RUAN Jin-jun, WANG Wei (Anhui Business College of Vocational Technology,Wu
2、hu 241000,China) Abstract With the Internet / Intranet technology and the rapid development of digital in-depth development of the campus building, how facilitates authenticates the user status in the different of Assistant Teaching System, reducing management costs, become an increasingly important
3、 issue. This article presents handlingthe characteristic of Assistant Teaching System it serves a kind of single sign-on scheme basing on Two-way Authentication Method.In this way,it reduces system integration costs and improves the safety of the verification process. Key words single sign-on;ellipt
4、ic curves cryptography;AES;two-way authentication method 随着计算机技术、通信技术和网络技术的飞速发展,教学的信息化步伐不断加快,教学与网络相结合,形成了网络辅助教学这种新的教学方式。网络辅助教学实现了教学资源最大范围的整合与共享,增进了学校、教师和学生之间的联系与沟通,弥补了传统课堂教学过程中存在的空白,有效的提高了教学质量。建立网上辅助教学系统已成为一种必然的趋势。1目前各个高校的网络辅助教学系统一般都是基于本校的校园网建立的,但是由于高校网络的建设存在一个逐步完善的过程,各种课程的网络辅助教学系统基本都缺乏整体规划。一般都是按照自己
5、课程的需要独立进行开发,从而形成了若干相互孤立的信息子系统。早期开发的软件基本上都是采用C/S结构,后期开发的系统往往采用B/S结构。这些系统彼此之间相互独立。同时出于对课程资料,学生考试数据安全性的考虑,每个系统在使用前都必须要先按照相应的系统身份进行登陆,以防止非法用户的访问。这样一来高校网络辅助教学系统的信息化程度越高,用户所要记住的用户名和相对应密码数量也就越大。有些用户可能会简化密码,或者在多个系统中使用相同的密码,这些做法都会降低系统的安全性。随着用户需要登录系统的增多,每个系统都管理所有用户信息,管理员管理用户信息难度也会增加,特别是由于无法对各个系统的用户信息实现同步,容易出现
6、各个系统之间用户信息的不一致性。同时密码存储环节的增加,也必然会增加密码泄露的可能性。因此,在网络辅助教学系统中迫切需要一种解决方案,能够使用户登录一次就可访问多个教学系统。 单点登录(Single Sign-on,简称SSO) 就是为了解决上述问题而提出的,它是一种用于方便用户访问网络的技术。单点登录提供一个用户管理的统一接口。当一个用户要访问多个需要认证的系统时,只需要进行一次登录和身份认证,就可以对所有被授权的系统直接进行访问,不必重新登录。2同时在一个高校校园网络内部,单点登录系统集中管理用户,系统管理员只需要维护一套统一的用户账号,各系统之间依靠相互信赖的关系来进行用户身份的自动认证
7、,防止了应用孤岛的出现。 1 单点登录技术的发展现状 目前有些大学开发了校园网统一口令认证系统3,但这些系统仍然存在着一些不足,例如一些系统只是使用相同的帐号和口令登陆不同的应用,并不是真正意义上的单一登录;身份认证仍然基于口令传输,当运行一些不安全的服务时毫无安全可言;不能提供数据完整性、数字签名、不可否认等极为重要的安全服务。 国内一些学者也提出了一种基于使用基于公钥密码体制(PKI)的单点登录方案,该方案的特点之一是使用公钥证书PKC对用户进行身份认证,使用属性证书AC完成授权。但是建立CA认证机构的成本和复杂性较高,导致这些方案在应用方面存在一些难度。本文介绍了一种基于ECC的安全登陆
8、方式,使公开密钥交换并不需要第三方参与,这样就不再需要PKI系统中庞大的证书维护系统,因而系统开销大大降低,更加适合在高校校园网安全单一登录。 2 椭圆曲线密码体制(ECC)4 利用椭圆曲线进行加密的过程如下 用户A选取椭圆群Ep(a,b) (椭圆曲线可以用参数集T=(p,a,b,G,n,h)来表示,其中p,a,b含义如上所述,G是该椭圆曲线上的一个基点,n是G的阶,h是由椭圆曲线上点的总数除以n得到由以上参数可以唯一确定一个椭圆曲线。) 取椭圆曲线上一点,作为基点G,用户选取随机数1 4 基于ECC安全登陆方式的单一登录方案 系统结构如图2所示。 步骤1用户启动客户端上安装的统一登录专用程序
9、界面(SP-Client),SP-Client首先检测本地缓存中是否有仍在有效期内用户的登录凭证(Ticket)如果有则转步骤6。如果没有,则弹出一个输入框,要求用户提交自己用户ID(Uid),向用户认证中心(UAC)发出登录请求。 步骤2UAC验证过程。 结合高校办公网络的特殊性,密钥可由网络中心的服务器和系统管理员来产生与分配。每位教职工可根据自己的ID号、登录密码和一些私人信息来向本系统申请一密钥对(KUR,kUS),kUS由用户自己保管,UAC服务器将kUS及用kUS加密的登陆口令kUR(pw)存放在数据库中,并与用户ID一一对应,便于在认证时使用。如果需要更改密钥,可重新申请,系统销
10、毁以前的密钥。系统本身的私钥kSS经加密后保存起来,公钥KSR向教师和管理员公开。另外为了提高安全性,服务器的公钥密钥对每学期都进行更改。 验证过程使用了一些记号如下 Uid用户名、pw用户的秘密短语、kUR用户的公钥、kUS用户的私钥、KSR服务器的公钥、KSS服务器的私钥、 K()用密钥K加密括号中内容、Dk()用密钥k解密括号中内容、Hhash函数、/连接。 1) SP-Client对在上面步骤1中由用户提交的Uid,利用hash函数产生H(Uid),发送到UAC; 2) UAC比对数据库中保存的H(Uid),验证用户是否合法,若比对不上,则拒绝认证; 3) 若是合法用户,UAC服务器产
11、生一个随机数据串R,并从数据库中提出使用该用户公钥加密的登陆口令kUR(pw)计算S1=H(kUR (pw)/R),再将S1,R用kUR加密,得到S2= kUR (S1/R)。将S2传送给SP-Client,同时保留副本R; 4) SP-Client验证UAC的合法性,具体过程如下 SP-Client用其私钥kUS解密S2,计算DkUS (S2),得到S1和R。此时SP-Client t又弹出一个口令框,用户输入自己设定的pw 。SP-Client用该用户kUR计算kUR (pw),再计算U1= H(kUR (pw)/R),验证U1是否等于S1,因为U1= H(kUR (pw)/R) =H(k
12、UR (pw)/R)=S1。若通过验证则表示用户认证中心UDC服务器是合法的,否则为冒充的,系统将拒绝认证。 5) UDC服务器验证SP-Client用户的合法性,具体过程如下 SP-Client产生随机数Ru,计算U2=H(kUR (pw)/R/Ru) ,然后把U2和Ru用服务器公钥KSR加密得到U3=KSR (U2 /Ru),把U3发送给UDC服务器,服务器端用其私钥解密U3,计算DKSS (KSR (U3/ Ru),到U2和Ru,并计算S3= H(kUR (pw)/ R/Ru),最后比较U2和S3若相等,则通过验证则表示SP-Client用户的合法性,否则拒绝通过验证,因为U2= H(k
13、UR (pw)/ R/Ru)= H(KUR (pw)/R / Ru)=S3; 步骤3通过验证后UDC服务器向SAC转交SPClient的申请登录凭证(Ticket)的请求; 步骤4由于SAC与用户认证中心(UAC)部署在同一台服务器上,所以SAC根据SP-Client发过来的H(Uid),在数据库中检索比对出用户记录,结果包含了用户在校园网各种应用服务中的登录凭证(Ticket)。 步骤5SAC把Ticket传回给SPClient。 在此过程中必须要求对消息明文m(Uid、UName、PWDs、Kas)进行加密,根据上面第3点的介绍AES虽然存在运算速度快、内存需求低、算法可靠等诸多优点,但是
14、它的密钥分发与管理十分困难,局限了其在网络中的应用。而ECC作为一种非对称加密加密算法恰好又具有密钥分发与管理简单、速度慢等特点。因此在本文中笔者吸收两者的优点,利用对称加密算法AES加密消息明文M=KA(m),用非对称加密算法(ECC)实现对M和AES密钥本身KA进行加密。从而既保障了Ticket的安全性,又Ticket在网络传输过程中的安全性。具体过程如下 SAC利用随机生成AES密钥(即会话密钥) 。并对消息明文m(Uid、UName、PWDs、Unsa、KaR)加密得到密文M,保存在本地数据库。同时SAC用用户公钥kUR加密AES密钥KA计算C= kUR (KA),将M与C一起发送给客
15、户端SPClient, SPClient用私钥kUs解密C得到AES对称密钥KA,用KA解密M得到消息明文m,作为登录凭证存储到自己的缓存。 步骤6SPClient检测本地缓存中的用户的登录凭证(Ticket)是否有仍在有效期内,如果已经过期则转步骤3。 步骤7SPClient从用户登录凭证的属性字段中检索出用户在AS1指定的应用服务,利用登录凭证中应用服务器AS1的公钥加密Mc= KaR (Uid、UName、PWDs) 并发送给相应的应用服务器。 步骤8应用服务器,利用自己私钥Kas解密Mc,计算Kas (Mc)得到相应的Uid、UName、PWDs提交给应用服务器端的代理(Agent)实
16、现自动登录。 步骤9当用户启动另一个C/S应用AS2的客户程序,并试图连接AS2服务器时, SPClient检测本地缓存的用户登录凭证是否还在有效期内如果登录凭证还在有效期或者已经申请得到新的登录凭证,则重复步骤7到步骤8 (其中AS1用AS2代替);如果已过期,则重新向SAC申请,即重复步骤3到步骤8(即免除了用户第二次登录)完成单一登录。 5 结束语 随着数字化校园建设的脚步加快和高校网络辅助教学系统的飞速发展,统一身份认证,必然会越来越受到人们的重视。本文首先分析了目前单点登录技术的发展现状,提出了一种改进的代理一经纪人模型,并基于高校网络辅助教学系统中用户群体关系相对比较稳定,用户情况基本知晓的特殊性,结合椭圆曲线密码体制(ECC)和AES加密算法,提出了一种基于ECC安全登陆方式的高校办公网络安全单一登录方案,该方案增强了系统安全性,并从一定程度上减少了对CS应用的客户和服务器程序的修改,减轻了管理负担。 第 10 页