论文部分内容阅读
随着信息的多元化及数字化的迅猛发展,信息安全技术越来越显示其重要地位,而且信息安全技术应用水平的高低直接影响了信息高速公路建设的进一步发展。认证技术是信息安全理论与技术的一个重要方面,它是实现网络安全的重要机制之一。在安全的网络通信中,涉及的通信各方必须通过某种形式的身份验证机制来证明它们的身份,然后才能实现对于不同的用户的访问控制和记录。本文在分析了几种现有的身份认证解决方案及研究了Kerberos协议、SPNEGO机制及Java GSS-API功能实现的基础上,提出了利用大多数企业非常熟悉的Windows动态目录服务,同时利用活动目录服务所提供的Kerberos协议和LDAP服务、Windows的基于Simple and Protected Negotiation Mechanism(SPNEGO)认证机制,结合Java GSS-API,分别用Tomcat和Weblogic作为Web Server对Windows客户端进行身份认证模型的设计,并且得到了具体的实现。在该模型中关键性的工作如下:第一、利用Windows的SPNEGO认证机制,设计实现Web Server同客户端的交互模块。该模块负责同客户端的交互并得到客户端发送的SPNEGO令牌;第二、在得到了SPNEGO令牌后,设计实现SPNEGO令牌解析模块。该模块分析SPNEGO令牌结构,从SPNEGO令牌中解析出Kerberos令牌;第三、在得到了Kerberos令牌后,将得到的Kerberos令牌传递给Java GSS-API,由具体的底层安全机制完成对Kerberos令牌的认证。本文最后从进一步分析Kerberos令牌结构、解析令牌中的有关用户在Windows域中的角色信息入手,对该模型设计提出了下一步进行的工作。本文的创新点在于实现对SPNEGO令牌结构的解析,获得封装在该令牌中包含用户信息的Kerberos令牌的数据信息,并实现在Tomcat Server和Weblogic Server中的Web应用程序中完成对Kerberos令牌的认证。