ＣＮＧＩ環境中跨域ＡＡＡ系統的構建

摘要：國際上的認證與授權方面的標準主要有安全性斷言標記語言(SAML)、可擴展訪問控制標記語言(XACML)等，中國下一代互聯網示范工程(CNGI)跨機構的統一認證和授權中間件技術項目基于國際規范，提出了結合現有成熟產品DT (DigitalTrust)、身份提供者(IdP)和服務提供者(SP)而建立跨域跨機構統一身份認證、授權和審計(AAA)系統的完整方案。該系統提供一種獨立于協議和平臺的身份驗證和資源訪問授權交換機制，對于CNGI環境下跨域跨機構統一認證和授權技術的發展和應用具有很好的示范意義。

關鍵詞：跨域認證授權審計；安全斷言；單點登錄；中國下一代互聯網；可擴展的訪問控制

Abstract: By studying and discussing the international and relevant standards and norms， e.g.: Security Assertion Markup Language (SAML)， Extensible Access Control Markup Language (XACML)， a new scheme about unified authentication and authorization originated by China Next Generation Internet (CNGI) cross-domain middleware technology program was suggested based on those international standards. It was built up combining with improved DigitalTrust(DT) product， Identity Provider (IdP) and Service Provider (SP). The scheme presents one kind of verification and privilege agreement mechanism independent with protocol and platform， which is a good example for the development and application of unified cross-domain cross-organization authentication and authorization technology under CNGI environment.

Key words: cross-domain authentication and authorization; security assertion; single sign-on; CNGI; extensible access control

進入21世紀，信息化的浪潮席卷了整個世界?？梢哉f，現在的任何一項生產活動都離不開計算機、網絡和信息系統，越來越多的組織機構和企業建立了各種計算機信息系統以滿足日益激烈的市場競爭的需要。在信息系統中，有兩個安全需求是非常重要的：如何保證人員的安全登錄和登出？如何控制不同層次的人員使用不同的功能？解決這兩個問題的辦法是采用認證技術和授權技術[1-4]。目前常見的方法是分別構建不同的認證授權平臺和系統，認證授權屬于分散管理模式，其造成的結果是重復建設、無法高效互聯互通、管理成本高以及系統總體安全性降低。因此，如何能夠設計和建設一個通用架構和基礎平臺，承載不同組織和機構的信息系統，避免重復建設，實現跨域跨機構、可移植、可信任和可擴展的認證授權與審計，是一個亟待研究解決的問題。本文作者是中國下一代互聯網(CNGI)跨域認證授權審計示范工程的主要承擔者和參與者，本文將給出上述問題的答案，希望能夠給同行一些參考和借鑒，更希望推動這一相關技術能夠獲得更大的應用和市場。

1 認證與授權的標準綜述

認證和授權是任何信息化的系統都應當包含的功能，因此工業界也討論和設立了很多關于這方面的標準。其中，認證的需求目標比較獨立和明確，關于認證的標準比較多比較全，大眾的認知度也比較高。授權管理的需求相對比較分散和模糊，標準不多，應用的實際效果也一般。下面，我們就對這兩種標準的應用和發展分別做一個綜述。

1.1 身份認證的標準

這里把認證分為3大類：認證方案類、單點登陸(SSO)協議類和認證實現類。

認證方案是指認證的方式、手段、涉及的設備和協議，最常見例子就是用戶名/口令方式，其他的還有一次性口令方案、X.509數字證書方案、生物認證方案、智能卡認證方案、Kerberos認證方案等。這些方案描述的是認證的實體，包括流程、序列、實現，甚至包括數學證明和安全性分析。隨著時間的推移，這些方案在不斷發明、使用、被攻破的過程中也在不斷地優化和改進。

SSO協議指的是集成各種認證方案以實現單點登錄目的的協議規范，主要的有安全性斷言標記語言(SAML) V1.0/V1.1/V2協議、網絡身份統一架構(ID-FF) 1.2協議、WS-Federation協議和.Net Passport協議。其中SAML[5-6]協議由結構化信息標準促進組織(OASIS)制定，規定了SSO在客戶端(Browser)和工件(Artifact)實現的流程，定義了認證斷言和屬性斷言，它們都遵循萬維網聯盟(W3C)的XMLSchema規范和XMLSig規范，以可擴展標記語言(XML)的格式描述。ID-FF 1.2協議由Liberty Alliance組織制定，Liberty規范要求建立聯盟關系的系統的賬號之間要建立映射，通過映射關系間接地實現賬號的全局性，目前，該規范有和SAML融合的趨勢。SAML的標準化程度比較高，將認證的功能和流程做了統一的規劃和定義，各大軟件廠商對其支持力度也在逐漸加強；ID-FF使用的技術與SAML越來越趨同；而WS-Federation協議和.Net Passport協議比較封閉，被提及的次數越來越少，有被邊緣化的趨勢。

認證實現是指工業界形成的實際技術框架標準和開源社區基于標準構建的認證系統，他們雖然在建立之初并沒有經過標準化委員會的認證和支持，但是，他們在實際的軟件開發人員中有著先入為主的重要印象和深遠的范例意義。Java認證授權服務(JAAS)就是一項JAVA領域的實際標準，它規定了一系列的調用接口和規范，提供了靈活和可伸縮的機制來規范客戶端或服務器端的JAVA程序。許多基于JAVA技術構建的大型應用和服務，無論是軟件巨頭推出的產品還是極具影響力的開源社區推出的系統，都已經聲稱支持這項規范，商用系統有Webshpere和Weblogic等，開源社區有JBoss和Tomcat等。開源社區基于標準構建的認證系統影響力也不小，比如Internet2的Shibboleth，致力于校園網教育系統的認證聯盟建立，實現Web資源的共享；又比如Acegi Security為Spring Framework提供一個兼容的安全認證服務；還有耶魯大學開發的單點登錄系統(CAS)，在互聯網上被討論的熱度也很高。

1.2 授權管理的標準

授權管理有著悠久的歷史，但是發展比較緩慢，基本還是在早期的理論上修補，沒有具有突破性質和廣泛應用價值的新成果出現。目前比較熱門的研究有基于任務的授權、基于工作流的授權等，但離標準的形成和大規模應用還有相當長的距離。

授權管理基礎設施(PMI)授權管理基礎設施是一種被寄予厚望的授權架構標準，它推薦使用屬性證書(由Asn.1格式描述)來定義出現在各種系統中的權限，使用簽名技術保護授權。但是由于Asn.1語義艱澀、開放性不夠等諸多原因，這項標準發展到現在，應用的狀況并不是特別理想。

可擴展的訪問控制標記語言(XACML)是目前新興的授權描述標準，和SAML一樣，也是由OASIS定義，它擴展了傳統的訪問控制列表(ACLs)技術，提供了表達復雜邏輯策略的能力，使得應用程序更加靈活地使用訪問控制策略。

Java容器授權合同(JACC)是一種被工業界實際采用卻未標準化的技術標準，基于JAVA構建的大型企業應用都在不經意間使用了該項技術，比如在Portal、App Server領域，占據較大市場份額的商用系統都內置了對該技術的支持。

2 CNGI環境中構建跨域認證授權審計系統

在CNGI的2006年度專項計劃中，對CNGI跨機構的統一認證和授權中間件技術項目的產業化予以大力扶植和支持，反映出該項目對中國下一代互聯網的發展具有重要的推進作用。我們在組織和參與該項目的研發和實施過程當中，積累了一些經驗和體會，下面進行詳細的介紹。

2.1 跨域統一認證授權審計平臺的目標與方案

CNGI跨機構的統一認證和授權中間件技術項目的主要目標是采用當前最成熟的技術和標準，在CNGI上建立一個跨域跨機構統一認證授權示范平臺，同時建立跨域跨機構的示范應用，以期推廣這項技術的產業化和大規模應用。網絡拓撲如圖1所示，具體內容如下：

在CNGI網絡中模擬演示業務系統(B/S)，建立起跨機構的多域系統環境。

機構內分別建立認證、授權、審計系統平臺，實現單個域內的認證授權審計系統，支持域內的用戶身份認證、資源授權管理以及系統審計功能，提供對業務應用系統、網絡設備、主機設備身份認證和資源訪問控制的安全支撐平臺。

設計開發基于SAML和XACML的服務系統，當用戶跨機構訪問業務時，認證、授權能夠通過SAML服務系統實現身份驗證和資源鑒權。

總體思路和方案如下：

通過部署DT(DigitalTrust)系統，實現認證、授權、審計統一性；

在中心節點處部署聯盟Portal，完成多域的跨機構的單點登錄；

通過在各點部署身份提供者(IdP)，完成身份鑒別，生成SAML斷言信息；

通過在業務系統上部署服務提供者(SP)，完成對業務系統認證的改造；

通過業務系統和DT的整合以及DT和IdP的結合，完成用戶，跨域的認證，鑒權，審計的功能。

下面將通過流程圖詳細描述聯盟用戶的跨域認證授權審計的流程。

2.2 聯盟用戶統一身份認證

聯盟用戶進行跨域的身份認證流程如圖2所示：

(1) Browser請求一個SP上的目標資源：http://sp.ncs-cyber.com.cn，SP進行安全檢查，判斷是否有安全Cookie，如果以前登錄過，則跳轉第12步；

(2)SP將客戶端重定向到位置服務(LP)；

(3)Browser請求LP：http://lp.ncs-cyber.com.cn；

(4)LP返回頁面讓用戶選擇自身所在的位置；

(5) 用戶進行選擇并提交到LP；

(6)LP根據用戶的選擇將用戶重定向所屬的IdP；

(7)用戶請求http://idp.ncs-cyber.com.cn，單點登陸服務(SS)對用戶進行認證，如果認證通過，認證服務(AA)將發放給用戶一個身份斷言，如圖3所示；

(8)IdP將用戶重定向回SP；

(9)AC將檢查用戶的SAML Assertion，如果檢查通過將創建一個安全Cookie，表示用戶被接受；

(10)用戶又被重新重定向到目標資源(TR)；

(11)用戶訪問TR，TR檢查到安全Cookie，允許用戶通過，同時檢查用戶的權限，這個檢查流程將在下一部分解析；

(12) 用戶被允許瀏覽TR資源。

2.3 聯盟用戶授權與鑒權

聯盟用戶通過身份認證之后，還需要經過權限的檢查才可以訪問到所需的資源。這個檢查是基于XACML來實現，鑒權流程如圖4所示。

(1)客戶端已經被身份認證通過，被允許訪問TR；

(2)授權請求將到達權限實施點(PEP)。PEP 創建一個XACML請求并發送到權限判斷點(PDP)；

(3)權限控制點(PAP)在信任存儲者(DT Storage)上定義策略和策略集，策略包含主體(Subject)、資源(Resource)和環境(Environment)的對應關系，供PDP使用，如圖5所示；

(4)PDP調用權限信息點(PIP)服務檢索與主體、資源或者環境有關的屬性值；

(5)PIP訪問DT Storage以獲取相關屬性值；

(6)PIP應答PDP的屬性請求；

(7)PDP評估請求中的相關策略和規則后會作出決策，并返回給PEP一個響應，該響應可以是允許訪問的，也可以是拒絕訪問的；

(8)PEP根據 PDP 發送的授權決策允許或拒絕訪問。

2.4 聯盟用戶日志審計

聯盟用戶的審計將通過高可用的日志服務器來完成，該服務器通過支持syslog-ng支持各種類型聯盟中系統的日志。該服務器使得日志的傳輸能夠支持過濾功能、TCP 傳輸和SSH安全傳輸，如圖6所示。

(1)各組件，包括SP、LP、IdP和DTP將日志收集；

(1a)Syslogd收集日志，將日志通過localhost的UDP發送；

(2b)日志讀取器收集日志，將日志通過命名管道發送；

(2a)Syslog-ng接收由UDP端口發送來的日志；

(3b)Syslog-ng接收由命名管道發送來的日志；

(4)Syslog-ng將日志通過TCP、UDP或者SSH發送到高可用服務器。

3 平臺創新點分析

本平臺從CNGI業務系統現狀出發，提出了基于DT的改進產品結合SAML服務器建設跨域的實現跨機構統一身份認證和授權解決方案。將涉及的域內所有應用集成起來，給不同層次的使用者提供信息服務，采用統一的用戶管理和身份認證，實現用戶單點登錄，用戶一次登錄后就可以訪問域內的各個應用；通過統一的訪問控制管理，使得系統展現用戶有權訪問的應用，新增的應用也能夠自動加入到系統中。

當用戶訪問聯盟域的SP上的目標資源的時候，通過每個域不同的SAML IdP完成身份交換，從而完成跨域的身份認證。

同時，DT基于XACML給用戶配置聯盟角色和策略，當用戶訪問聯盟域的資源的時候，使用聯盟角色，聯盟域根據聯盟用戶的聯盟角色，給用戶相應的權限，完成最后的跨域授權與鑒權。

本項目的創新點可以總結如下：

建立了一種基于CNGI獨立于協議和平臺的驗證和授權交換機制；

建立了適用于集中式、分散式以及聯合式的業務系統的認證授權場景；

基于CNGI實現可移植的信任；

使用了一種可移植的、標準的方式來描述訪問控制實體及其屬性；

提供一種機制，以比簡單地拒絕訪問或允許訪問更細粒度的控制訪問。

4 結束語

將來我們還準備積極跟進和研討國內外先進的認證與授權領域的標準和技術，讓跨域跨機構的認證和授權更加安全、易用和靈活，并計劃將CNGI示范平臺產業化和商用化，使之能夠獲得更大規模的應用，實現更大的應用價值。

5 參考文獻

[1] KAUFMAN C， PERLMAN R， SPECINER M. Network security: Private communication in a public world[M].Second Edition. Upper Saddle River， NJ， USA: Prentice Hall， 2002.

[2] MAO W. An identity-based non-interactive authentication framework for computational grids[R]. HPL-2004-096， Hewlett-Packard Laboratories， 2004.

[3] 王育民， 劉建偉. 通信網的安全——理論與技術[M]. 西安: 西安電子科技大學出版社， 2002.

[4] FOSTER I， KESSELMAN C， TSUDIK G， et al. A security architecture for computational GR ID[C]//Proceedings of the 5th ACM Conference on Computer and Communications Security， Nov 2-5， 1998， San Francisco， CA， USA. New York， NY， USA: ACM， 1998: 83-92.

[5] GROB T. Security analysis of the SAML single sign-on browser/artifact profile[C]// Proceedings of the 19th Annual Computer Security Applications Conference， Dec 8-12， 2003， Las Vegas， NV， USA. Los Alamitos， CA， USA: IEEE Computer Society， 2003: 298-307.

[6] CANTOR S， HIRSCH F. BINDINGS for the OASIS security assertion markup language (SAML) V2.0[S].OASIS Standard. 2005: 5-35.

[7] 黃琛， 李忠獻， 楊義先，等. 一種新的兼容多種身份認證的Web SSO方案[J]. 北京郵電大學學報， 2006， 29 (5): 130-134.

收稿日期：2007-07-10

作者簡介：

黃琛，北京郵電大學在讀博士研究生，主要研究方向為網格安全、數據庫安全等。

李忠獻，北京郵電大學副教授，碩士研究生導師，主要研究領域為網絡安全與信息安全，已發表論文20余篇，參與并完成國家級重大科研課題20多項。