摘要: 本文针对基于网格的Web Services(GRWS)中存在的单点登录问题,分析了传统单点登录存在的单点失效的缺陷,综合使用信任度和P2P技术提出了一种新的单点登录模型。
关键字:GRWS 单点登录 信任度 P2P
引言
基于网格的Web Services ( Grid-based Web Services ,GRWS)是可以被URL 识别,由应用程序完成的服务。其核心是在大的异构网络上将各种应用/ 资源连接起来,借助于Web 标准UDDI、WSDL、XML Schema、SOAP 等将因特网从一个通信网络逐步发展成为一个应用平台。GRWS 强调基于单个因特网标准(如XML) 来解决异构分布计算的问题,并不倾向于特定的编程语言、编程模型以及系统软件。基于网格的高度一体化的特性, GRWS 的使用将改变目前的应用系统开发模式和应用部署的费用规模。系统开发人员可以通过将多种独立实现特定服务功能的Web 应用进行组合和集成,实现信息、行为、数据表现和应用流程的统一封装,创建动态的Web 应用。GRWS 将集成整个Web 上多种资源的应用,成为未来Web Services 系统发展的平台和支撑环境。
1 GRWS 的安全性分析及其单点登录问题
在网格环境中,各种资源都动态地连接到因特网上,同时,各节点之间是通过因特网进行通信的,用户向网格提交任务和对任务的监控和管理,也是通过因特网完成的。在网格环境中,所有的实体都可以动态加入或者撤离虚拟组织,相对于因特网安全机制来说,网格环境对安全体系提出了更高的要求。GRWS 以Globus 提出的网格安全基础设施( Globus Security Infrastructure ,GSI) 为基础,提供GRWS 过程中的安全认证和安全通信等功能。
为保证GRWS 的安全, GSI 的主要目标包括: ①支持GRWS 实体之间的安全通信,防止实体假冒和数据泄密; ②不采用集中管理的安全系统,支持跨虚拟组织的安全; ③支持GRWS 用户的单点登录(Single Sign-on) ,包括跨多个资源和地点的信任委托和信任转移。为此,GSI 提供了一系列的安全协议、安全服务、安全SDK和命令行程序,如安全应用编程接口、相互安全身份鉴别、单点登录等,从而有效地保证GRWS的安全性和方便性。
2 传统单点登录的缺陷
单点登录(SSO ,Single Sign-on) 是一种用于方便用户访问网络的技术。无论多么复杂的网络结构和网络应用,用户只需进行一次登录注册,即可获得所需访问系统和应用软件的授权,便可以在网络中自由穿梭,不必多次输入用户名和口令来确定用户身份;同时,管理员无需修改或干涉用户登录就能方便地实施希望得到的安全控制。这是在当今分布式计算机环境中,实现安全和方便地鉴别用户而产生的新问题。
传统的单点登录解决方案根据应用程序的登录方式可以分为两类:基于脚本(Script) 的SSO 解决方案与基于访问票据(Access Ticket) 的SSO 解决方案。
Liberty 协议属于第二种解决方案,它是基于SAML 标准的一个面向Web应用单点登录的与平台无关的开放协议。 它的核心思想是身份联合( Identity Federation) 。 Liberty 的SSO并不要求集中于某个点上,在该协议中有两个角色:身份提供者( Identity Provider,简称IDP) 与服务提供者(Service Provider ,简称SP) 。
(1) 在Liberty 协议中,每个Web 应用都维护着可以与之合作的IDP 和SP 列表。而对于怎样建立这样的列表,Liberty只限定于互相有商业合作关系的Web 应用。也就是说,这个列表必须是手工设定的。这样, 在Web 应用点的组织上,
Liberty 缺乏动态性和广泛性。
(2) 两个Web 应用间的身份联合,让两个Web 应用间交换用户信息成为可能,而基于怎样的策略进行交换用户信息Liberty 并没有进行进一步的定义。可能是因为Liberty 为了保持其开放性而把这个问题留给软件供应商解决。
(3) Liberty 协议定义过于狭窄,它仅把精力集中在如何进行单点登录上,而并不关心如何把SSO 的用户身份验证与授权机制结合起来。基于单点登录的特殊性,对于一个应用系统来说,采用本地验证机制登录的用户的可靠性通常比通过网络其他节点应用验证后介绍过来的用户的可靠性要高,而不同的节点应用由于其合作关系以及安全体制的不同,介绍过来的用户的可靠性也应该是不同的。因此,基于这种身份登录方式的可靠性差异,在单点登录环境下的授权机制也需要进行相应的改变。
针对以上缺陷,本文结合信任度和P2P技术提出一种新的单点登录解决模型。
3 基于信任度和P2P技术的单点登录模型
3.1 信任度理论
信任度理论解决的问题是如何从已知相关问题的可能性来考察未知问题的可信度。在单点登录的情况下,可信度是服务器的安全程度,未知问题是目标服务器的安全程度,而已知问题是本服务器已经确定安全程度的服务器。当前著名的信任度理论是DEMPSTER-SHAFER 理论。实施该理论要解决两个问题:首先必须把问题中的不确定因素分类成独立的证据项; 然后再利用DEMPSTER 规则进行计算。而对于DEMPSTER 的信任度合成规则,在处理相互矛盾的证据时存在缺陷。于是人们又提出了其他变形的信任度合成规则。例如:Yager 规则,统一合成规则,中心合成规则等。
基于网格的Web Services中,单点登录的范围很广,参与单点登录的Web服务器数量庞大,对于某一个服务器来说,很难拥有其他的服务器的安全相关信息,并据此决定是否接受由其他服务器传来的验证票据并对其进行授权。所以我们可以采用基于社会声望的信任模型来解决这个问题。
3.2 P2P技术
P2P 应用通常包含以下特征:(1) 每个点既是客户端又是服务器,这是P2P 技术的根本特征,与传统的C/ S 结构是截然相反的; (2)创建了虚拟网络,它对互联点的复杂性进行了抽象,而不考虑防火墙、子网和特定网络服务的缺乏; (3) 点节点知道其他点节点; (4)形成了数据和应用程序运转共同体,而点与点之间通过各自的共同特征(如提供文件共享) 或安全性特征(如只有具有某种身份的点之间才能相互通信) 来组成点组。
把P2P技术引入单点登录可以使单点登录范围进行动态设定。Liberty 中的单点登录范围是手工设置的。而通过P2P 的点组管理,可以灵活地控制单点登录的范围。在P2P 中,节点之间要进行通信,首要的前提是它们必须属于同一个组;一个节点可以同时属于多个组;一个节点要加入一个组必须要通过组验证;而各个组的验证方式可以不同。在SSO中通过P2P 的内容管理服务,可以方便地实现节点信息和用户信息的交换。
3.3 模型设计
3.3.1 数据表示和组织方式
该模型把网格环境中每个Web站点看作IDP和SP的混合体,并作为对等单点登录的对等点(Single Sign-on Peer, 简称SSO-P),采用组的方式进行管理,称为单点登录组(SSO-PG)。
采用基于社会声望的信任模型,每个SSO-P都有一张独立的对其他SSO-P信任评价列表。
信任度分为四类:(1)IDP信任度:(2)IDP推荐信任度:(3)SP信任度:(4)SP推荐信任度。
表示:三元组(l,m,n),0≤l,m,n≤1,l+m+n=1
l:可信任的概率
m:不可信任的概率
n:不确定的概率
对于目标节点的每类信任度,在源节点中都有2 个值:一个是源节点根据自身的判断而产生的值,一个是源节点综合考虑自身判断和外部节点建议而产生的值。设源节点A 需要对目标节点B 进行评价,节点A 自身对节点B 的评价为( l1 , m1 ,n1) ,而外部节点对节点B 的建议值( l2 , m2 , n2) 。 节点B 的最终信任度可按式(1) 进行计算
( l , m , n) =α3 ( l1 , m1 , n1) +β3 ( l2 , m2 , n2) (1)
式中α+β= 1 ,α和β是经验常数,由各个节点自己设定,通常α>β,因为节点对自身判断的信任程度通常大于对外部判断的信任程度。 对于第(2) 和第(4) 类的信任度,α= 1 ,β= 0。
3.3.2 单点登录过程
对于身份联合, 在每个SSO-P 上, 都设有一个身份联合的最低信任度。 在进行实际的身份联合前,作为SP 的SSO-P 会计算作为IDP 的SSO-P 的IDP信任度, 而作为IDP 的SSO-P 则计算作为SP 的SSO-P 的SP 信任度。 只有两个信任度均符合要求才能进行身份联合。
单点登录过程, 在每个SSO-P 上同样设有单点登录的最低信任度。 作为SP 的SSO-P 计算作为IDP 的SSO-P 的IDP 信任度,符合要求才能允许单点登录。 对于用户的身份经过几个SSO-P 传递到最终作为SP 的SSO-P 的情况,如用户A 通过SSO-P1 来实现SSO-P0 与SSO-P2 的间接身份联合。在用户A 的用户代理上虽然有SSO-P1 的验证票据,但该验证票据是根据用户A 在SSO-P0 上的登录结果而产生的,其可信度比直接由SSO-P1 进行验证产生的验证票据低。 如果在SSO-P0 上的用户认证系统存在严重的安全缺陷, 对于SSO-P2 来说, 接受SSO-P1 提供的身份跟直接接受SSO-P0 提供的身份一样危险。因为系统的安全性取决于系统中最薄弱的环节。这将影响到SSO-P1 作为IDP 在SSO-P2 上的信任值。
为了解决这个问题, 我们在Liberty 的认证票据上增加一项认证票据的可信度评价( l , m ,n) 。 如果认证票据是根据用户在自身节点登录产生,其相应值设为(1 ,0 ,0) ; 如果是由其他SSO-P 提供的身份产生,则设为作为IDP 的SSO-P 的IDP 信任度。以上例子中的SSO-P2 可以根据自身对SSO-P1 的IDP 信任度以及SSO-P1 在认证票据中设定的信任度,经综合计算后得到认证票据的信任度(计算规则与信任度传递计算规则一样),从而实现单点登录。
4 结束语
传统的SSO 解决方案都依赖于一个集中的SSO 服务器, 不可避免地存在单点失效的危险,本文把信任度和P2P技术引入GRWS的单点登录中,避免了以上问题,但由于新模型在管理和实施上,引入了信任度模型, 从而增加了计算和维护节点信任度的代价以及网络传输交换节点信任信息的负担。
参 考 文 献
[1] Liberty Alliance Project. Liberty architecture overview[EB/OL]. http://www.projectliberty.org/specs/liberty-architecture overview v1.1.pdf,2003-01-15.
[2] 王晨.基于网格的Web Services.信息系统,2004
[3] Volchkov A. Revisiting Single Sign-on A Pragmatic Approach in a New Context. IT Professional, IEEE, 2001.39_45
[4] Bin Yu, Munindar P Singh. A Social Mechanism of Reputation Management in Electronic Communities In: Proceedings of the 4th International Workshop on Cooperative Information Agents, 2003
前程无忧-我有论文
