基于JSON Web签名的Web安全研究

摘要

用户授权认证访问已成为网络安全的主要因素之一，在该领域已有多种技术被提出以提高其安全性，JWS（JSON Web Signature）和JWT（JSON Web Token）就在其中。OpenID连接使得客户端能够使用授权服务器的授权功能去验证终端用户的身份。而JWT中的claims，则通过使用JSON Web和OpenID的数字签名方式，被编码成一个JSON对象。本文通过JSW系统研究了Web安全，并在某种程度上解决了复杂的传统用户认证服务问题。主要工作如下：
　　首先，分析JWS架构的优势并在其基础上做了改进。JWS架构内容通过基于 JSON的数字签名或信息认证码来确保安全，并利用签名机制提供完整性保护。密钥的引入提升了信息授权的安全性，提供了多数字签名功能，能为同一段内容甚至任意内容提供信息认证码功能。
　　其次，认证和用户证书是本文研究的基础。本文通过JWT令牌架构为用户授权。客户端认证是否需要联合JWT授权，由授权服务器决策给出。如果客户端证书在请求中给出，则授权服务器就必须验证。若JWT不合法或不在有效验证时间内，授权服务端响应出错信息。实验结果显示依照JWS规范，JWT可以被签名。在试验中，不在JWT负载中传输任何敏感数据，而以JWT签名来保护它免于传输期间的干扰。实验结果表明这个为网络服务安全带来良好结果的方法有着较高的准确性。
　　第三，在授权服务端原则下，本文建议通过OpenID Connect来完成用户登录。令牌被引入至此来完成安全决策，并且存储一些关于系统实体的防干扰信息。令牌通常仅仅表示安全信息，然而它也能在创建完成后附加额外信息。用户登录系统通过登录服务来产生访问令牌，并通过认证数据库来验证用户证书是否合格。认证数据库包含为登录建初始令牌时所需要的证书信息，包括用户id、所属组id，以及其他信息。令牌在用户会话创建时附加在最初流程中，并在之后流程中一直被继承。
　　最后，配置 OpenLDAP作为授权服务端，在客户端方面，配置了用户对认证的连接请求以及用户对资源的访问。通过JWT实验了整个用户认证过程。实验结果表明本文其具有一定的有效性和灵活性。

目录

封面

声明

中文摘要

英文摘要

目录

Chapter I:Introduction

1.1The source and significance of thedissertation

1.2Overview ofweb security withJSON

1.3Problem statement andmethodology

1.4The organization of the dissertation

ChapterII:Research onJSON Web Signature

2.1JSON Websignatureimprovedby theprivatekey

2.2 The Header parameter name specification

2.3Creation oftheJSON Websignaturemessage

2.4JSON Websignatureserializationsprocessing

2.5The furtherdiscussion ofJSON Web signaturesecurity

2.6 Summary

Chapter III:Optimizationoftokenaccessarchitecture and OpenIDconnect

3.1ApplyJWTinto thetoken accessarchitecture

3.2 Optimization of OpenID connect

3.3 Summary

ChapterIV:Experiments and theanalysis of the results

4.1Theenvironment of the experiment

4.2The procedure of the experiment

4.3Authentication process mechanism

4.4Using OpenIDconnectand JWT token as authentication

4.5Experimentation test code flow

4.6Client and server implementation

4.7The analysis of theexperiment

4.8 Summary

Chapter V：Conclusionandfuture works

4.9Conclusion about the thesis

4.10Future works

致谢

参考文献