Spring Security中身份认证授权机制的改进与实现

摘要

近年来，随着互联网技术的快速发展，信息安全也越来越被人们重视。而身份认证与授权作为最基本的安全服务，为其他的安全措施提供了第一道屏障。但是通过研究发现，在主流的J2EE平台中，基本的身份认证和授权控制手段存在着业务逻辑和安全逻辑紧耦合、缺乏动态访问控制能力、移植性差等缺点，这些问题给Web应用的移植和维护带来了很多麻烦。
　　随着这些问题的产生，基于Spring的认证授权的安全工具——Spring Security应运而出。Spring Security能充分利用Spring的依赖注入和面向切面技术，独立于系统的业务逻辑，为应用程序提供认证和授权的安全保护功能，并具有松耦合、移植性好、企业能力强、多种认证方式、动态授权能力等特点，能与Web框架无缝集成。
　　然而在常规Web应用中，受限于Spring Security内置认证的安全性不足与实用性差等因素，本文提出了一种改进的IBS手机令牌认证方案与内置的HTTP表单认证结合，利用旁证模型进行身份验证。最后设计并实现了一个改进的IBS手机令牌与Spring Security的集成系统。具体来说，本文的主要工作如下:
　　1)本文主要结合目前主流的身份认证与授权框架Spring Security来保护Web资源的安全。并对Spring Security内置的五种认证支持进行分析，提出它们的不足与缺陷。最后提出在内置的HTTP表单的基础上改进认证方案。
　　2)本文在Shamir的IBS方案与可恢复公钥的IBS方案的基础上提出一种新型的远程身份认证方案——改进的IBS手机令牌方案，并结合上述方案与Spring Security内置HTTP表单认证模型提出了基于手机令牌的旁证模型。该模型以手机令牌代替浏览器进行旁证登录，手机令牌是旁证的载体，可以抵抗重放攻击、伪装用户攻击等优点，弥补了内置HTTP表单认证的安全性不足的问题。而且新方案无需数字证书的参与，省去了证书管理的麻烦，具有相当的实用性。
　　3)本文修改了开源的Spring Security框架，并将改进的IBS手机令牌方案嵌入到认证过程中。同时设计发送短信挑战码代替常用的时间戳挑战码，在增加安全性的同时，也能与手机令牌客户端完美结合。最后设计并实现了一个基于手机令牌旁证模型的Web集成系统。

目录

声明

摘要

第一章 绪论

1．1 研究背景和意义

1．1．1 身份认证与授权发展现状

1．1．2 Spring Security认证与授权发展现状

1．2 本论文主要研究工作

1．3 本论文结构安排

第二章 Spring Security的认证与授权

2．1 Spring Security的技术分析

2．2 Spring Security的认证支持

2．2．1 内置的HTTP BASIC认证支持

2．2．2 内置的HTTP Digest认证支持

2．2．3 内置的HTTP表单认证支持

2．2．4 内置的X．509 CA证书认证支持

2．2．5 内置的Kerberos认证支持

2．3 Spring Security的内置认证分析

2．3．1 内置认证的不足

2．3．2 PKI体系的缺陷

2．4 Spring Security的授权支持

第三章 改进的IBS手机令牌与旁证模型

3．1 IBS手机令牌概述

3．2 IBS手机令牌的改进

3．2．1 改进的IBS手机令牌方案

3．2．2 改进IBS手机令牌的短信挑战码

3．3 内置认证模型与旁证模型

3．3．1 内置认证模型

3．3．2 旁证模型

3．4 新型方案的分析

3．4．1 旁证模型分析

3．4．2 安全性分析

3．4．3 实用性分析

第四章 改进的IBS手机令牌与SS3的集成

4．1 框架基础概述

4．1．1 Spring框架概述

4．1．2 Hibernate框架概述

4．2 集成架构设计

4．2．1 系统模块划分与设计

4．2．2 数据库系统模块的设计

4．2．3 身份认证模块的设计

4．2．4 访问授权模块的设计

4．3 Spring Security的整合配置

4．4 集成系统的具体实现

4．4．1 整体架构

4．4．2 PKG子模块

4．4．3 注册子模块

4．4．4 认证子模块

4．4．5 授权子模块

4．4．6 系统集成流程总结

第五章 总结与展望

5．1 工作总结

5．2 工作展望

参考文献

致谢