基于手機令牌與JAAS框架的身份認證研究與實現(xiàn).pdf

1、隨著Java技術的不斷發(fā)展，基于JavaEE平臺的Web系統(tǒng)逐漸成為了企業(yè)信息化建設的首選方案，被廣泛應用于企業(yè)信息管理、電子政務、電子商務等安全性要求較高的領域。身份認證作為系統(tǒng)安全的第一道關卡，其安全性和可靠性成為了企業(yè)關注的重點。
　　本文以作者參加的廈門市2010年重大產(chǎn)學研項目“手機令牌研發(fā)與產(chǎn)業(yè)化”為背景，針對JavaEE應用系統(tǒng)的身份認證安全，提出一種改進的手機令牌認證方案并與JavaEE的安全框架JAAS進行無縫集

2、成，實現(xiàn)了一種高安全性和實用性的可插拔身份認證機制。它能夠以可配置的形式替換現(xiàn)有系統(tǒng)的身份認證模塊，實現(xiàn)認證技術的升級，并且能夠保證系統(tǒng)在升級過程中向下兼容原有的口令認證機制。
　　本文首先對身份認證技術和挑戰(zhàn)-應答認證協(xié)議進行了研究與分析，對比了常見認證技術的優(yōu)點和不足，論證了基于時間戳的挑戰(zhàn)-應答動態(tài)令牌認證機制的安全性和實用性。在此基礎上提出一種改進的基于身份的簽名認證方案——PR-IBS手機令牌認證方案。在安全性方面，該方

3、案能夠抵抗密碼攻擊和重放攻擊等常見攻擊手段;在實用性方面，該方案具有認證過程快速，占用資源少的特點，其可還原口令的算法特點能夠實現(xiàn)令牌認證與口令認證的平滑轉化，向下兼容原有認證方式，在現(xiàn)有基于口令認證的Web系統(tǒng)中具有很高的實用性。
　　本文還介紹了JavaEE平臺的安全體系結構，著重研究了JAAS安全模型，介紹了JAAS的核心類以及認證授權流程，并將本文方案與JAAS常見認證方案進行對比，突出本文方案的先進性。在理論研究的基礎上

4、，本文從注冊服務端、令牌客戶端和認證服務端對PR-IBS手機令牌認證方案進行了詳細的設計與實現(xiàn)。為了將PR-IBS手機令牌認證模塊嵌入到JAAS框架中，本文對JAAS框架進行了客戶化配置，并實現(xiàn)了自定義的LoginModule接口，完成系統(tǒng)的無縫集成。
　　最后，本文為現(xiàn)有基于口令認證的Web系統(tǒng)配置JAAS安全框架，用PR-IBS手機令牌認證機制替換原有登錄機制，在提高系統(tǒng)身份認證安全性和實用性的同時體現(xiàn)了高擴展性、可插拔性和通