基于手機(jī)令牌與JAAS框架的身份認(rèn)證研究與實(shí)現(xiàn).pdf

1、隨著Java技術(shù)的不斷發(fā)展，基于JavaEE平臺(tái)的Web系統(tǒng)逐漸成為了企業(yè)信息化建設(shè)的首選方案，被廣泛應(yīng)用于企業(yè)信息管理、電子政務(wù)、電子商務(wù)等安全性要求較高的領(lǐng)域。身份認(rèn)證作為系統(tǒng)安全的第一道關(guān)卡，其安全性和可靠性成為了企業(yè)關(guān)注的重點(diǎn)。
　　本文以作者參加的廈門市2010年重大產(chǎn)學(xué)研項(xiàng)目“手機(jī)令牌研發(fā)與產(chǎn)業(yè)化”為背景，針對(duì)JavaEE應(yīng)用系統(tǒng)的身份認(rèn)證安全，提出一種改進(jìn)的手機(jī)令牌認(rèn)證方案并與JavaEE的安全框架JAAS進(jìn)行無縫集

2、成，實(shí)現(xiàn)了一種高安全性和實(shí)用性的可插拔身份認(rèn)證機(jī)制。它能夠以可配置的形式替換現(xiàn)有系統(tǒng)的身份認(rèn)證模塊，實(shí)現(xiàn)認(rèn)證技術(shù)的升級(jí)，并且能夠保證系統(tǒng)在升級(jí)過程中向下兼容原有的口令認(rèn)證機(jī)制。
　　本文首先對(duì)身份認(rèn)證技術(shù)和挑戰(zhàn)-應(yīng)答認(rèn)證協(xié)議進(jìn)行了研究與分析，對(duì)比了常見認(rèn)證技術(shù)的優(yōu)點(diǎn)和不足，論證了基于時(shí)間戳的挑戰(zhàn)-應(yīng)答動(dòng)態(tài)令牌認(rèn)證機(jī)制的安全性和實(shí)用性。在此基礎(chǔ)上提出一種改進(jìn)的基于身份的簽名認(rèn)證方案——PR-IBS手機(jī)令牌認(rèn)證方案。在安全性方面，該方

3、案能夠抵抗密碼攻擊和重放攻擊等常見攻擊手段;在實(shí)用性方面，該方案具有認(rèn)證過程快速，占用資源少的特點(diǎn)，其可還原口令的算法特點(diǎn)能夠?qū)崿F(xiàn)令牌認(rèn)證與口令認(rèn)證的平滑轉(zhuǎn)化，向下兼容原有認(rèn)證方式，在現(xiàn)有基于口令認(rèn)證的Web系統(tǒng)中具有很高的實(shí)用性。
　　本文還介紹了JavaEE平臺(tái)的安全體系結(jié)構(gòu)，著重研究了JAAS安全模型，介紹了JAAS的核心類以及認(rèn)證授權(quán)流程，并將本文方案與JAAS常見認(rèn)證方案進(jìn)行對(duì)比，突出本文方案的先進(jìn)性。在理論研究的基礎(chǔ)上

4、，本文從注冊(cè)服務(wù)端、令牌客戶端和認(rèn)證服務(wù)端對(duì)PR-IBS手機(jī)令牌認(rèn)證方案進(jìn)行了詳細(xì)的設(shè)計(jì)與實(shí)現(xiàn)。為了將PR-IBS手機(jī)令牌認(rèn)證模塊嵌入到JAAS框架中，本文對(duì)JAAS框架進(jìn)行了客戶化配置，并實(shí)現(xiàn)了自定義的LoginModule接口，完成系統(tǒng)的無縫集成。
　　最后，本文為現(xiàn)有基于口令認(rèn)證的Web系統(tǒng)配置JAAS安全框架，用PR-IBS手機(jī)令牌認(rèn)證機(jī)制替換原有登錄機(jī)制，在提高系統(tǒng)身份認(rèn)證安全性和實(shí)用性的同時(shí)體現(xiàn)了高擴(kuò)展性、可插拔性和通