基于可扩展标志语言安全策略的网格安全处理方法

摘要

基于可扩展标志语言安全策略的网格安全处理方法是一种分布式计算的安全解决方案。主要用于解决网格计算的安全问题，该方法将可扩展标记语言密钥管理技术用于网格间密钥的传输和验证，将可扩展标记语言安全规范用于网格间数据传输的安全，将单点登录运用于网格间的安全域之间跨域访问，具体方法为：1.)密钥传输和可扩展标记语言数据安全传输；2.)整体系统的实现；在网格计算环境中利用基于XML安全策略来实现整个网格安全的体系，通过使用本发明提出的方法，可以达到网格服务器之间数据传输的完整性，机密性，实现用户单点登录。

说明书

技术领域

本发明是一种分布式计算的安全解决方案。主要用于解决网格计算的安全问题，属于分布式计算软件安全技术领域。

背景技术

网格计算(Grid Computing)是指通过高速网络把分散在各处的硬件、软件、信息资源连结成一个巨大的整体，从而使得人们能够利用地理上分散于各处的资源，完成各种大规模的、复杂的计算和数据处理的任务。与以前的协同工作(Cooperative work)、分布式计算(Distributed Computing)等概念相比较，网格计算的集成程度更高、使用更加方便、资源的利用更加充分和有效。它标志着现代信息技术应用有一个新的、更高水平。

由于网格计算的诸多优点，因而被人们认为是互联网之后最重要的技术，对网格计算的研究正成为学术界和工业界的热点之一。但是安全性是制约网格计算技术广泛使用的重要因素之一，因此研究网格计算的安全问题具有重要意义。

网格计算环境具有许多特殊性，包括网格中用户与资源的异构性，以及动态性，因此，在网格环境中，对系统的高可扩展性，灵活性等方面有更高的要求，这给对网格安全方面提出了新的挑战。可扩展标记语言(Extensible MarkupLanguage，XML)。XML是一套定义语义标记的规则，这些标记将文档分成许多部件并对这些部件加以标识，通过解析得到相应的信息，从而实现XML可扩展性和平台无关性。正因为这一点，XML技术已越来越多的被运用到网格应用中来。

发明内容

技术问题：本发明的目的是提供一种基于可扩展标志语言安全策略的网格安全处理方法，在网格计算环境中利用基于XML安全策略来实现整个网格安全的体系，通过使用本发明提出的方法，可以达到网格服务器之间数据传输的完整性，机密性，实现用户单点登录。

技术方案：下面给出该模型中的几个概念：

安全域(Security Domain)：加入网格环境的内部具有一致的安全体系的个体、组织、部门和团体等。

XKMS(XML Key Management Specification)：XML密钥管理规范。

XKMS服务信任域(XKMS service trust domain)：共用并信任同一个XKMS服务器的区域。

SAML(SecurityAssertion Markup Language)：安全断言标记语言，为支持异构应用间的单点登陆和身份管理提供了一种基于标准的方法。

公钥加密(public key encryption)：使用公钥对数据进行加密，只有用相应的私钥才能还原。是一种有效实现机密性的措施。

签名(signature)：使用私钥对指定数据进行散列等作为后缀，运用相应的公钥来还原。是一种有效的防抵赖，保证完整性的措施。

本发明是利用现有的XML安全规范对网格间数据传输进行安全处理，利用SAML实现网格间异构环境下的单点登录并通过引进XKMS来实现密钥传输的功能。

将可扩展标记语言密钥管理技术用于网格间密钥的传输和验证，将可扩展标记语言安全规范用于网格间数据传输的安全，将单点登录运用于网格间的安全域之间跨域访问，具体方法为：

1.)密钥传输和可扩展标记语言数据安全传输

11)发送方生成密钥对；

12)并将密钥信息注册到基于可扩展标记语言密钥管理服务器；

13)运用公钥基础设施对消息进行加密和签名，并将自身的密钥信息添加到消息的签名中；

14)接收方接收到请求消息；

15)接受方分析请求消息并从中析取出用户的密钥信息，并将密钥信息发送往基于可扩展标记语言密钥管理服务器；

16)基于可扩展标记语言密钥管理服务根据接收方发来的密钥信息验证密钥的有效性，验证通过则返回发送方的公钥，验证不通过则返回错误信息；

17)接收方用接收到的公钥来验证发送方传来消息的签名，验证通过则对该消息作出响应；

2.)整体系统的实现

21)首先保证用户和所有的服务器所用到的密钥都已经注册在基于可扩展标记语言密钥管理，并且保证每涉及到数据传输过程都按上面的步骤13)～步骤17)步来依次执行；

22)用户向一个安全域认证中心提交注册请求；

23)身份认证中心保存用户的身份属性信息后返回一个用于用户身份证明的数字证书；

24)用户向该安全域的身份认证服务器提交单点登录断言请求，请求中包含有身份认证中心颁发给用户的数字证书；

25)身份认证服服务器根据数字证书获取用户的身份属性信息等，确认用户身份，如通过认证，则用户为该安全域的合法用户，签发并返回给用户单点登录断言；

26)用户向该安全域提交带有单点登录断言的服务请求到该安全域的服务发布服务器；

27)发布于服务发布服务器中的单点登录断言验证程序在接收到消息后即对消息中的断言进行验证，验证通过则根据相应的匹配策略返回用户可用的资源节点；

28)如可用的资源节点都在本安全域，则直接向该资源节点传送数据，资源做出处理并返回结果；

29)如资源节点不在本安全域，则用户向相应的安全域的服务发布服务器直接提出带有单点登录断言的调用资源请求，验证通过则可以直接向资源节点传送数据并得到返回结果。

有益效果：本发明主要优点有如下几个：

1.本发明使用XML这种作为异构平台之间进行数据交换和互操作的技术，是网格上最常用的数据交换表示形式，XML语言的安全是网格信息交换的基础。已有的技术可以在SSL和TLS基础上加密整个XML文档，测试其完整性，确认其发送方的可靠性。但是在网格环境下，不仅需要对整个XML文档的安全性，而且需要对XML文档的某些部分进行加密、签名等操作，以便以任意顺序加密和认证XML文档中的部分信息。并且本发明引进XML密钥信息管理规范，解决了公钥传输的问题。

2.本发明只需用户在网络中主动地进行一次身份认证，之后无需另外验证身份，随后便可以访问其被授权的所有网络资源，而不需要再主动参与其它的身份认证过程。这些资源可能处于不同的分布式计算机环境中，也就是通过一次验证，多次登陆不同系统。由此可见单点登录系统的优点有，提高工作效率，用户不再需要为访问每一个服务资源而进行一次身份认证过程，从而使用户节省更多的时间；更有效的管理，用户的账号数据统一保存、集中管理，减少了出错的机率，同时也减轻了网络管理员维护的负担；增强系统整体安全性，由于用户只需记住一个唯一的登录密码，因此该密码可以设计得非常复杂，从而增加了攻击者进行口令猜测的难度，此外通过强认证机制对用户进行基本身份验证。

附图说明

图1是使用XML安全策略实现网格安全域之间安全传输的的参考体系结构示意图。

图2是安全域的内部结构图。

图3是Tomcat服务发布过程中运用到的Handler机制原理图。

图4是用户获取签发的SAML断言过程图。

图5是本发明系统流程图。

具体实施方式

一、体系结构

图1给出了一个运用这种方法的安全传输的组成结构图。通过Tomcat作为发布容器，在每一个安全域中把SAML断言认证服务发布，通过调用的形式来实现断言认证。当用户在SD1登录后，SD1根据用户的信息给用户签发一个断言，用户即可使用该断言登录并调用其他安全域中的资源。这样用户只需在网格中主动地进行一次身份认证，之后无需另外验证身份，随后便可以访问其被授权的所有网格资源，而不需要再主动参与其它的身份认证过程。这些资源可能处于不同的安全域中，也就是通过一次验证，多次登陆不同安全域。在整个系统中，信息在传输之前都进行过安全处理，包括加密签名等，XKMS服务被用来传输和管理各方所用到的密钥信息。

图2给出了安全域SD1的内部体系图。其中包括CA服务器，IDP服务器和Tomcat服务器。CA服务器用于给用户颁发身份认证的证书。IDP服务器用于生成签发断言。Tomcat服务器用于发布提供的服务和认证SAML断言的服务等。

图3给出了Tomcat服务发布的原理图，在Tomcat服务发布过程中引用了Handler机制。为防止非授权的用户访问或者撰改服务端和客户端传输的信息，从而使用消息摘要的方法对请求和响应的SOAP消息进行加密签名。当客户端发送SOAP请求消息中的某些敏感的信息进行加密签名，然后把安全处理后的SOAP消息传输到服务端；服务端的SOAP消息Handler截取客户端的请求，把请求的SOAP消息进行解密验证，然后把通过验证后的SOAP消息派发到目标的Web服务端点。返回消息经过同样的过程被传送回客户端。

二、方法流程

1.密钥的传输

本发明其利用XKMS技术简化XML应用程序的负担，XML应用程序可将复杂的密钥处理工作委托给XKMS来实现。

XKMS密钥管理规范有两部分组成：XML密钥信息服务规范(XML KeyInformation ServiceSpecification XKISS)和XML密钥注册服务规范(XML KeyRegistration Service Specification)XKRSS)。

XKISS协议负责公钥的处理和验证，而XKRSS协议则用于为密钥对进行注册。XK ISS服务规范定义了下面两种操作：①定位服务：通过解析<ds：Keyinfo)元素来检索由XKM S服务注册的公钥，并向用户提供他们所需的公钥信息。②验证服务：验证服务集成了定位服务的所有功能，还进一步支持对密钥的验证。包括密钥的有效性可信性和有效期等。

XKRSS服务规范定义了四种操作：①注册服务：是通过密钥绑定将信息绑定到一个公钥对上。②重发服务：主要用于定期更新已注册的密钥绑定。③恢复服务：可以将丢失的或者出现异常的私钥通过在注册时存储在密钥第三方代理中的私钥进行恢复；④撤销服务：就是撤销已注册的公钥对的密钥绑定信息和所有连接在它上面的加密证书。

下面以用户提交注册信息为例讨论XKMS的应用模型。注册信息的发送者和接收者使用XML签名等技术保证注册信息的安全传输和双方的身份鉴别。在实施XML签名与验证过程中，需要使用XKMS提供的密钥管理服务。客户在对注册信息签名之前必须将生成的密钥对注册到XKMS服务，而接收者在验证用户个人注册信息的签名之前必须先到XKMS服务对客户提供的公钥信息进行有效性验证。

在消息传输过程中，客户与服务器的密钥统一由XKMS服务提供者管理，包括各自的密钥注册以及密钥验证服务等。

客户与商家进行订单交易的具体步骤如下：

(1)注册密钥对。客户生成用于注册信息签名服务的密钥对并将公钥信息注册到XKMS服务。

(2)信息签名。客户使用已注册的私钥对注册信息中敏感信息进行XML签名，提供客户身份鉴别并防止客户的抵赖行为。

(3)发送注册信息。客户将签名后的注册信息发送给服务器。

(4)验证客户公钥。服务器读取签名注册信息中客户的公钥信息，发送至XKMS服务对客户的公钥信息进行有效性验证。

(5)验证签名。验证完客户公钥信息的有效性后，服务器验证注册信息的XML签名。

(6)注册信息回复的签名及发送。服务器采用上述前三步中的方法实施对用户信息签名并回复的XML签名以及发送过程。

2.XML传输过程中的加密签名

如图一所示，用户首先向SD1提出注册请求，即向SD1中的CA服务器发送自己的个人信息：

<用户>

 <名字>ZQ</名字>

 <身份>student</身份>

 <口令>123456</口令>

</用户>

其中包括用户名，用户身份，用户的口令。其中用户的口令是用户的隐私信息，为了保证用户的个人隐私信息在传输过程中的安全，可以对传输的XML数据进行加密和签名。安全处理后请求信息格式如下：

<用户>

 <名字>ZQ</名字>

 <身份>student</身份>

 <EncryptedData…….>

 <CipherData>

  <CipherValue>ECDnQyE9D……nramtSHPaV</CipherValue>

  </CipherData>

 </EncryptedData>

 <Signature  ……>

  <Signed Info>……</Signed Info>

  <SignatureValue>kNX/nWrMY……GZ3 s＝</SignatureValue>

  <KeyInfo>……</KeyInfo>

 </Signature>

</用户>

可以看到，XML文件中的整个<口令>元素都被<EncryptedData>元素取代，加密后的数据以Base64编码格式存放在<CipherData>元素的<CipherValue>子元素内。XML文件中多出<Signature>元素，该元素即对<LibraryCard>元素的签名，其中<Signature>子元素<Signned Info>包含了所有的签名信息，<SignatureValue>子元素表示签名数据的签名值，<KeyInfo>包含了签名用的密钥信息。接受方就是利用<KeyInfo>元素获取密钥的相关信息来通过XKMS服务器来获取发送方的公钥信息。

3.SAML断言的签发

一个单点登录环境至少包括三个角色：

信任方——利用身份信息；具代表性的信任方是Service Provider，由其决定允许何种请求。

断言方——提供安全信息；SAML称之为“Identity Provider”。

主题——与身份信息相关的用户。

任何环境下都会有许多主题和数个Service Provider。也可能存在多个Identity Provider。

在SAML中，断言携带信息。断言中包含头信息、主题名称和一个或多个语句。头信息包含Identity Provider的名称和像发行与有效期等其他信息。两类最重要的语句为：

身份验证语句——关于该主题是一个在特定时间和地点、使用特殊的方法进行过身份验证的报告。

属性语句——包含与主题有关的属性。一条属性语句中的典型属性是组和角色，除此之外还会携带财政数据或任何其它属性。

如图4所示，认证中心接收到用数字签名的SAML请求，通过用户查询XKMS服务器获取用户的公钥信息。最后，利用特定手段对SAML请求进行校验，确认用户身份。如果验证失败，返回错误信息。验证通过了，则表明该用户是本信任域内的合法用户。随后安全认证中心对该SAML请求进行断言。断言的过程的实质是利用安全认证中心的私钥对SAML响应进行数字签名的过程。SAML响应的主要内容就是SAML断言信息。断言信息包含用户身份，属性等。

当用户得到SAML断言后将SAML断言和请求通过SOAP消息发送给目标安全域(资源所在，可以就是签发断言的安全域)。目标安全域接收到断言后通过Tomcat发布的SAML断言验证程序来验证断言的有效性，根据授权对用户的请求做出处理并返回结果。

为方便下面论述，假设各个安全域中服务器所用到的密钥信息都已在XKMS服务器上进行过注册。

1.用户生成密钥对并将公钥注册到本发明的XKMS服务器上并从XKMS服务器上获取安全域中各服务器的公钥信息；

2.用户向某安全域的CA中心发送自己注册请求消息，在传输过程中用户利用相应的公钥对敏感信息加密并利用自己的私钥对消息进行签名；

3.CA中心再接收到消息后根据用户发送的信息到XKMS服务器获取用户的公钥信息；

4.CA中心用自己的私钥进行解密并用获取的用户公钥对注册信息的签名进行验证，验证不通过返回错误信息，通过则进行下一步；

5.该安全域的CA中心在保存注册信息后给用户传送一个用于身份认证的数字证书，从本步骤开始，以下用到数据传送过程中用到的传送方法与第二步到第四步相同；

6.用户向该安全域的IDP服务器提出SAML请求消息，消息中带有加密签名

7.的数字证书；

8.该安全域IDP根据CA服务器颁发的数字证书对SAML请求进行校验，确认用户身份。如果验证失败，返回错误信息。验证通过了，则表明该用户是本安全域内的合法用户。随后安全认证中心对该SAML请求进行断言。断言的过程的实质是利用安全认证中心的私钥对SAML响应进行数字签名的过程。SAML响应的主要内容就是SAML断言信息。

9.用户接收签发过的SAML断言；

10.用户向安全域的Tomcat服务器提交任务请求，请求消息中包含有刚刚接收到的SAML断言。SAML断言认证服务就发布在Tomcat服务器中。Tomcat服务器接收到请求后首先认证SAML断言，认证通过则返回可用资源，如资源就在本安全域，则用户可以直接调用，服务运行并返回结果。如资源在其他安全域，则用户可以直接发送带SAML的断言到资源所在Tomcat服务器请求调用该资源，服务运行并返回结果。