亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        一種改進(jìn)的基于SAML的安全單點(diǎn)登錄模型研究

        2011-12-20 08:24:16葉茂枝
        關(guān)鍵詞:令牌單點(diǎn)密鑰

        郭 磊,葉茂枝

        (1.武夷學(xué)院,福建 武夷山354300;2.寧德師范學(xué)院,福建 寧德 352100)

        近年來(lái),隨著電子政務(wù)的廣泛應(yīng)用和企業(yè)信息化建設(shè)的飛速發(fā)展,信息系統(tǒng)及各種應(yīng)用已經(jīng)滲透到政府、企業(yè)的方方面面,許多部門(mén)也開(kāi)始了對(duì)原有工作流的改造.與此同時(shí),大量以數(shù)據(jù)為基礎(chǔ),以聯(lián)機(jī)分析為特點(diǎn)的信息系統(tǒng)開(kāi)始出現(xiàn),而這些系統(tǒng)之間不可避免地存在著大量的業(yè)務(wù)交叉和流程互動(dòng),在這樣的背景下,就急需建立一個(gè)統(tǒng)一的平臺(tái),對(duì)用戶(hù)和分散的業(yè)務(wù)系統(tǒng)進(jìn)行集中管理.該平臺(tái)能提供一個(gè)方便快捷、安全保障的機(jī)制來(lái)對(duì)Web資源進(jìn)行統(tǒng)一認(rèn)證授權(quán),實(shí)現(xiàn)單點(diǎn)登錄.本文結(jié)合現(xiàn)有單點(diǎn)登錄模型的優(yōu)點(diǎn),并與SAML技術(shù)結(jié)合,提出了一個(gè)更安全、易構(gòu)建的單點(diǎn)登錄模型.

        1 單點(diǎn)登錄實(shí)現(xiàn)技術(shù)

        1.1 單點(diǎn)登錄

        單點(diǎn)登錄是目前政府、企業(yè)、學(xué)校使用的一種主要的資源統(tǒng)一管理解決方案,國(guó)外許多軟件公司與組織,如CA公司、Microsoft公司等在該方面都有一些產(chǎn)品和標(biāo)準(zhǔn).

        電子商務(wù)的領(lǐng)航廠(chǎng)商CA公司推出了eTrust安全解決方案,為電子商務(wù)企業(yè)級(jí)平臺(tái)提供單點(diǎn)登錄.它將現(xiàn)有的C/S架構(gòu)和B/S架構(gòu)系統(tǒng)的訪(fǎng)問(wèn)集中處理,為現(xiàn)有的電子商務(wù)企業(yè)聯(lián)盟的建立提供便利.

        2001年 9月,SunMicrosystems與其他13家公司建立了自由聯(lián)盟計(jì)劃(LibertyAllianceProject),并制定了定義聯(lián)盟標(biāo)識(shí)的一種規(guī)范,提倡一種開(kāi)放的、能夠容納多種身份認(rèn)證機(jī)制的分散系統(tǒng).聯(lián)盟表示可以在一組信任的對(duì)等實(shí)體間共享身份認(rèn)證信息,從而實(shí)現(xiàn)SSO.LibertyAlliance認(rèn)證規(guī)范是建立在OASIS SAML規(guī)范的基礎(chǔ)上,并擴(kuò)充了OASISSAML規(guī)范.

        Microsoft公司也推出了它的單點(diǎn)登錄平臺(tái).NETPassport[1-3].用戶(hù)通過(guò)Passport服務(wù)器進(jìn)行身份認(rèn)證,完成認(rèn)證后,Passport服務(wù)器會(huì)向用戶(hù)發(fā)送一個(gè)含有該用戶(hù)全局認(rèn)證信息的加密Cookie,然后根據(jù)用戶(hù)請(qǐng)求生成一個(gè)與之相關(guān)的加密票據(jù),并將票據(jù)附加在HTTP請(qǐng)求中,最后將用戶(hù)重定向到目標(biāo)站點(diǎn),目標(biāo)站點(diǎn)通過(guò)票據(jù)確認(rèn)用戶(hù)身份認(rèn)證信息.

        CAS(CentralAuthenticationServeice)是最初由Yale大學(xué)的ITS開(kāi)發(fā)的一套JAVA實(shí)現(xiàn)的開(kāi)發(fā)源代碼的SSO服務(wù).該服務(wù)使用一個(gè)JAVAWeb應(yīng)用程序來(lái)實(shí)現(xiàn),使用時(shí)需要將這個(gè)Web應(yīng)用程序發(fā)布到一個(gè)Servlet2.3兼容的服務(wù)器上,并且服務(wù)器需要支持SSL.CAS認(rèn)證的結(jié)果以XML的格式返回,能夠被各種客戶(hù)端讀取.

        Oracle9iASSSO則為多種Web平臺(tái)提供統(tǒng)一用戶(hù)身份認(rèn)證框架[4].其實(shí)現(xiàn)單點(diǎn)登錄的核心組件是SSOServer,它將需要整合的Web應(yīng)用分為2類(lèi):伙伴應(yīng)用(PartnerApplication)和外部應(yīng)用(External Application).伙伴應(yīng)用與SSOServer緊密結(jié)合,委托SSOServer完成用戶(hù)身份認(rèn)證.外部應(yīng)用擁有獨(dú)立的身份認(rèn)證模塊.SSOServer將用戶(hù)登錄憑證自動(dòng)交到外部應(yīng)用,模擬用戶(hù)手工登錄過(guò)程.

        1.2 現(xiàn)有單點(diǎn)登錄模型

        現(xiàn)有的單點(diǎn)登錄模型種類(lèi)繁多,主要有以下3種:基于經(jīng)紀(jì)人的單點(diǎn)登錄模型(Broker-BasedSSO)、基于代理的單點(diǎn)登錄模型(Agent-BasedSSO)、基于網(wǎng)關(guān)的單點(diǎn)登錄模型(GateWay-BasedSSO).

        (1)基于經(jīng)紀(jì)人的單點(diǎn)登錄模型(Broker-Based SSO).該模型均設(shè)有一個(gè)集中的認(rèn)證和用戶(hù)賬戶(hù)管理服務(wù)器,所有的客戶(hù)端在訪(fǎng)問(wèn)應(yīng)用系統(tǒng)之前,需在該服務(wù)器上進(jìn)行身份認(rèn)證.認(rèn)證完成后,服務(wù)器會(huì)給客戶(hù)端一個(gè)保護(hù)身份信息的電子憑證.客戶(hù)憑此憑證即可在該認(rèn)證服務(wù)器范圍內(nèi)的應(yīng)用系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄.該模型結(jié)構(gòu)簡(jiǎn)單,但應(yīng)用系統(tǒng)需要解析用戶(hù)的電子身份憑證,這就需要對(duì)現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行改造,工作量大.目前采用這種模式的產(chǎn)品很多,如Kerberos、sesame、IBMKryptoKnight等.

        (2)基于代理的單點(diǎn)登錄模型(Agent-Based SSO).在該模型中,有一個(gè)自動(dòng)為不同的應(yīng)用程序認(rèn)證用戶(hù)身份的代理程序,這個(gè)代理程序需要根據(jù)應(yīng)用設(shè)計(jì)不同功能,如它可以利用口列表或USBKEY來(lái)自動(dòng)認(rèn)證,從而減輕用戶(hù)負(fù)擔(dān).代理程序在服務(wù)器的認(rèn)證系統(tǒng)和客戶(hù)端認(rèn)證方法之間充當(dāng)一個(gè)“翻譯”的角色.該模型保證了通道的安全和單點(diǎn)登錄,具有較好的靈活性和可實(shí)施性,但其需要本機(jī)存儲(chǔ)用戶(hù)憑證,這樣就增加了口令泄漏的危險(xiǎn).該模型的典型實(shí)例是SSH.

        (3)基于網(wǎng)關(guān)的單點(diǎn)登錄模型(GateWay-Based SSO).在基于網(wǎng)關(guān)的單點(diǎn)登錄模型中,網(wǎng)關(guān)是一個(gè)隔離設(shè)備,它一端連著所有的客戶(hù)端,另一端連著所有的應(yīng)用系統(tǒng),它將外部的客戶(hù)端和內(nèi)部的系統(tǒng)資源完全地隔離開(kāi).由于網(wǎng)關(guān)后的各種應(yīng)用系統(tǒng)處在同一個(gè)可信任的網(wǎng)絡(luò)中,可使用IP地址來(lái)表示各應(yīng)用系統(tǒng).網(wǎng)關(guān)連接的用戶(hù)信息數(shù)據(jù)庫(kù)中建立了用戶(hù)的身份標(biāo)識(shí)和其被授權(quán)訪(fǎng)問(wèn)的應(yīng)用系統(tǒng)IP地址之間的映射關(guān)系.網(wǎng)關(guān)只需要知道用戶(hù)的身份標(biāo)識(shí),便可授權(quán)其訪(fǎng)問(wèn)相應(yīng)系統(tǒng),不需多余認(rèn)證.該模型將所有的安全和身份認(rèn)證都集中于網(wǎng)關(guān),它的性能制約著單點(diǎn)登錄系統(tǒng)的效率.

        1.3 SAML

        安全聲明標(biāo)記語(yǔ)言(SecurityAssertionMarkup Language,SAML)是由結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織(OASIS)的安全服務(wù)委員會(huì)(SSTC)提出的,用來(lái)在不同信任域之間交換安全信息.SAML為認(rèn)證和授權(quán)服務(wù)提供了標(biāo)準(zhǔn)的描述,基于XML具有跨平臺(tái)性,提供強(qiáng)大的斷言(Assertion)機(jī)制,使得跨域的系統(tǒng)可以通過(guò)斷言來(lái)進(jìn)行驗(yàn)證,適用于Web服務(wù)的松耦合環(huán)境.

        1.4 XKMS

        XKMS是由 W3C 提議 ,由 Microsoft、Versign和WebMethods共同發(fā)起的一項(xiàng)技術(shù),其關(guān)鍵目的是支持基于XML的信任Web服務(wù)的開(kāi)發(fā),該服務(wù)可用于處理和管理基于PKI的加密密鑰.通過(guò)XKMS可消除使用PKI時(shí)的復(fù)雜性,使各種Web服務(wù)更加容易地與安全機(jī)制結(jié)合.

        2 基于SAML的安全單點(diǎn)登錄模型

        2.1 模型設(shè)計(jì)

        通過(guò)對(duì)現(xiàn)有模型進(jìn)行分析,可見(jiàn)現(xiàn)有的單點(diǎn)登錄模型均有一些缺陷.本文擬結(jié)合基于代理的單點(diǎn)登錄模型與基于經(jīng)紀(jì)人的單點(diǎn)登錄模型,并采用SAML體系,設(shè)計(jì)一個(gè)可方便實(shí)現(xiàn)的單點(diǎn)登錄模型.

        本模型采用一個(gè)層式結(jié)構(gòu),同時(shí)支持分布式系統(tǒng)的授權(quán)管理和異構(gòu)系統(tǒng)的通用型平臺(tái).在模型中的接口使用開(kāi)發(fā)標(biāo)準(zhǔn)以支持各種應(yīng)用,并提供用戶(hù)管理、授權(quán)管理等服務(wù),同時(shí)提供各種外部應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)接口,方便集成.模型結(jié)構(gòu)如圖1所示.

        在模型中設(shè)置了一個(gè)權(quán)限管理數(shù)據(jù)庫(kù),它是系統(tǒng)權(quán)限集中管理的關(guān)鍵,它提供了訪(fǎng)問(wèn)控制策略的管理.訪(fǎng)問(wèn)控制策略采用基于角色的權(quán)限控制體系,實(shí)現(xiàn)了用戶(hù)身份信息提供、協(xié)助用戶(hù)產(chǎn)生用于身份認(rèn)證的SAML認(rèn)證聲明等功能,并提供用戶(hù)登錄的應(yīng)用系統(tǒng)授權(quán)策略.

        統(tǒng)一認(rèn)證模塊是本模型的核心,它實(shí)現(xiàn)用戶(hù)的身份認(rèn)證與跨域、跨應(yīng)用登錄.本模塊提供一個(gè)面向各種應(yīng)用平臺(tái)的統(tǒng)一認(rèn)證授權(quán)接口.該接口采用基于WS-Security協(xié)議和SAML規(guī)范,為各種平臺(tái)下的前端客戶(hù)端提供一個(gè)統(tǒng)一認(rèn)證授權(quán)接口A(yíng)PI,其中包含用戶(hù)信息認(rèn)證與憑證生成,接收和回應(yīng)認(rèn)證請(qǐng)求,對(duì)安全令牌的組裝、發(fā)送和管理等.此外,本模塊還為各種應(yīng)用提供驗(yàn)證安全令牌和提取權(quán)限信息的接口A(yíng)PI.

        圖1 模型結(jié)構(gòu)圖

        2.2 單點(diǎn)登錄流程

        在模型中,采用SAML斷言為會(huì)話(huà)令牌,令牌中含有用戶(hù)的身份信息和屬性信息,為防篡改和冒用,對(duì)這些信息均進(jìn)行了加密和數(shù)字簽名,以此形成了安全的SAML令牌.接受到此令牌的服務(wù)可通過(guò)對(duì)簽名的驗(yàn)證確認(rèn)令牌發(fā)行者身份,同時(shí)也認(rèn)證了訪(fǎng)問(wèn)者身份.在令牌中含有訪(fǎng)問(wèn)者的身份和屬性信息.可根據(jù)這些信息與權(quán)限管理數(shù)據(jù)庫(kù)聯(lián)系,并獲得用戶(hù)訪(fǎng)問(wèn)權(quán)限.用戶(hù)登錄系統(tǒng)后,用戶(hù)代理會(huì)協(xié)助用戶(hù)完成以上認(rèn)證過(guò)程,并在用戶(hù)跨應(yīng)用時(shí)實(shí)現(xiàn)自動(dòng)登錄與退出.具體登錄過(guò)程如圖2所示.

        圖2 登錄流程圖

        (1)用戶(hù)訪(fǎng)問(wèn)某個(gè)Web服務(wù),服務(wù)向用戶(hù)代理(Agent)索取用戶(hù)的SAML令牌.用戶(hù)代理若能提供令牌并且合法,則成功登錄;若無(wú)令牌或不合法,則將用戶(hù)重定向到登錄界面.

        (2)用戶(hù)登錄過(guò)程完成后,認(rèn)證服務(wù)器在一定規(guī)則下,頒發(fā)給用戶(hù)一個(gè)身份認(rèn)證令牌,將用戶(hù)重定向至用戶(hù)所申請(qǐng)的服務(wù).

        (3)用戶(hù)代理向服務(wù)提供用戶(hù)身份令牌,服務(wù)向認(rèn)證服務(wù)器確認(rèn)用戶(hù)身份后,完成登錄.

        在本模型中,統(tǒng)一認(rèn)證模塊是關(guān)鍵功能模塊.在認(rèn)證過(guò)程中,必須讓用戶(hù)跨域、跨服務(wù)時(shí),無(wú)需重復(fù)輸入用戶(hù)名與密碼,可實(shí)現(xiàn)自動(dòng)登錄,而這個(gè)過(guò)程可由用戶(hù)代理完成.統(tǒng)一認(rèn)證過(guò)程如下:

        (4)客戶(hù)代理根據(jù)用戶(hù)的用戶(hù)名、密碼生成用戶(hù)令牌UT(UserToken),并持用戶(hù)令牌向認(rèn)證中心認(rèn)證,索取安全令牌ST(SecurityToken),在認(rèn)證中心生成的ST中包含有UT及認(rèn)證相關(guān)信息.為保證二者傳輸過(guò)程的安全性與完整性,傳輸過(guò)程全部使用數(shù)字簽名.客戶(hù)端用私鑰對(duì)UT進(jìn)行加密,并隨機(jī)產(chǎn)生一對(duì)密鑰,使用認(rèn)證中心的公鑰進(jìn)行加密,使得只有通過(guò)認(rèn)證中心才可以查看該密鑰,保證對(duì)稱(chēng)密鑰的安全,這個(gè)密鑰將用于之后用戶(hù)與認(rèn)證中心之間的消息傳遞加密.

        (5)認(rèn)證中心用自己的私鑰解開(kāi)用戶(hù)申請(qǐng),獲得對(duì)稱(chēng)密鑰,并利用用戶(hù)公鑰對(duì)對(duì)UT進(jìn)行驗(yàn)證,查看用戶(hù)合法性.

        (6)通過(guò)校驗(yàn)后,認(rèn)證中心發(fā)放ST,ST采用認(rèn)證中心自身私鑰簽名,而后用用戶(hù)代理與認(rèn)證中心之間的對(duì)稱(chēng)密鑰進(jìn)行加密.用戶(hù)代理獲得信息后進(jìn)行解密,驗(yàn)證簽名后得到ST.

        (7)用戶(hù)訪(fǎng)問(wèn)別的服務(wù)時(shí),用戶(hù)代理只需持ST即可向?qū)?yīng)服務(wù)發(fā)起申請(qǐng),服務(wù)向認(rèn)證中心確認(rèn)用戶(hù)身份后,確認(rèn)登錄,實(shí)現(xiàn)了單點(diǎn)登錄.

        授權(quán)與認(rèn)證是緊密聯(lián)系的兩個(gè)過(guò)程,在用戶(hù)身份驗(yàn)證完成后,即可實(shí)現(xiàn)授權(quán).在統(tǒng)一授權(quán)的過(guò)程中,主要是將用戶(hù)的權(quán)限信息發(fā)送給服務(wù),權(quán)限的控制則由服務(wù)實(shí)現(xiàn).

        本模型將將授權(quán)模塊與認(rèn)證模塊放在同一臺(tái)服務(wù)器上,這主要是考慮將權(quán)限模型進(jìn)行集中描述.用戶(hù)訪(fǎng)問(wèn)服務(wù)時(shí),需持ST至中心的授權(quán)模塊請(qǐng)求授權(quán)決策聲明,而后再返回目標(biāo)服務(wù)站點(diǎn),通過(guò)聲明申請(qǐng)權(quán)限授予.同樣,采用數(shù)字簽名保證聲明的安全性.

        2.3 模型安全設(shè)計(jì)

        在現(xiàn)有的單點(diǎn)登錄模型中,絕大部分均使用PKI是為了保證安全,但其部署十分繁瑣.本文擬采用一個(gè)基于XKMS的密鑰管理模型,將XML與PKI結(jié)合,使用戶(hù)與復(fù)雜的PKI體系結(jié)構(gòu)分離,又方便使用PKI提供的密鑰服務(wù).在本模型中,使用了XML數(shù)字簽名技術(shù)讓發(fā)送方提供SAML消息簽名,保證ST的完整性和私密性.具體流程如下:

        發(fā)送方:

        (1)發(fā)送方與接收方均生成RSA密鑰對(duì),其中公鑰在 XMKS服務(wù)注冊(cè)處進(jìn)行注冊(cè),私鑰用于生成SAML數(shù)字簽名.

        (2)發(fā)送方將用戶(hù)信息等生成散列消息,并利用私鑰與散列消息生成SAML數(shù)字簽名.

        (3)發(fā)送方將公鑰、原始消息與SAML數(shù)字簽名組成簽名消息并發(fā)送給接收方.

        (4)發(fā)送方再生成一對(duì)對(duì)稱(chēng)密鑰,用密鑰將SAML信息加密,再用接收方的公鑰加密對(duì)稱(chēng)密鑰與SAML信息,將加密的SAML信息與對(duì)稱(chēng)密鑰發(fā)送給接收方.

        接收方:

        (1)接收方收到SAML簽名消息后首選驗(yàn)證數(shù)字簽名,通過(guò)后解密聲明消息,而后用原始消息計(jì)算散列消息.

        (2)到XKMS處獲得發(fā)送方公鑰,解密SAML簽名并與計(jì)算得到的散列消息進(jìn)行匹配,驗(yàn)證散列消息的完整性.

        (3)接收方用自己私鑰解密得到對(duì)稱(chēng)密鑰,用對(duì)稱(chēng)密鑰解密得到SAML原始信息,用戶(hù)認(rèn)證完成.

        3 安全性分析

        本模型在現(xiàn)有模型的基礎(chǔ)上進(jìn)行改進(jìn),利用XML數(shù)字簽名與加密技術(shù)來(lái)構(gòu)建用戶(hù)、認(rèn)證服務(wù)器、Web服務(wù)三方的安全通道,引入XKMS來(lái)提供密鑰管理,在較大程度地提高安全性的同時(shí),還讓整個(gè)模型更易部署.主要分析有:

        (1)采用數(shù)字證書(shū)進(jìn)行雙向認(rèn)證,使用戶(hù)、認(rèn)證服務(wù)器和Web服務(wù)器的合法性均得到保證.

        (2)在模型中采用XML加密實(shí)現(xiàn)端到端的安全,并可采用時(shí)間標(biāo)識(shí)來(lái)保證聲明期限,可有效防止中間人攻擊.

        (3)為了防止信息竄改,在模型中使用散列函數(shù)進(jìn)行驗(yàn)證,用XML簽名進(jìn)行保護(hù),保證數(shù)據(jù)的完整性.

        4 結(jié) 語(yǔ)

        本文提出了一種基于SAML的改進(jìn)型的單點(diǎn)登錄模型,彌補(bǔ)了傳統(tǒng)的單點(diǎn)登錄系統(tǒng)與平臺(tái)結(jié)合的不足,并在靈活性、可擴(kuò)展等方面均有較大改善.同時(shí),本文還提出了統(tǒng)一授權(quán)模型,使各種服務(wù)可更靈活地進(jìn)行訪(fǎng)問(wèn)控制與權(quán)限管理.最后,本文對(duì)認(rèn)證過(guò)程進(jìn)行分析,讓認(rèn)證過(guò)程更易實(shí)現(xiàn)的同時(shí),在一定程度上提高了系統(tǒng)安全性.

        [1]戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2002.

        [2]張升平,曾理.數(shù)字化校園網(wǎng)的構(gòu)架[J].計(jì)算機(jī)工程與設(shè)計(jì),2008(11):5137-5143.

        [3]韓濤,郭荷清.Web服務(wù)安全模型的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2006,32(10):130-134.

        [4]董亮衛(wèi),汪文勇,黃鸝聲.支持單點(diǎn)登錄的統(tǒng)一資源管理體系研究[J].計(jì)算機(jī)應(yīng)用,2006,26(5):1146-1147.

        [5]萬(wàn)燦軍,李長(zhǎng)云.開(kāi)放網(wǎng)絡(luò)環(huán)境中面向信任的單點(diǎn)登錄[J].計(jì)算機(jī)工程,2010,36(3):148-151.

        [6]孟凡榮.網(wǎng)格中單點(diǎn)登錄的研究[J].通信學(xué)報(bào),2007,28(11):81-86.

        猜你喜歡
        令牌單點(diǎn)密鑰
        探索企業(yè)創(chuàng)新密鑰
        稱(chēng)金塊
        密碼系統(tǒng)中密鑰的狀態(tài)與保護(hù)*
        歷元間載波相位差分的GPS/BDS精密單點(diǎn)測(cè)速算法
        基于路由和QoS令牌桶的集中式限速網(wǎng)關(guān)
        超薄異型坯連鑄機(jī)非平衡單點(diǎn)澆鑄實(shí)踐與分析
        山東冶金(2019年5期)2019-11-16 09:09:10
        動(dòng)態(tài)令牌分配的TCSN多級(jí)令牌桶流量監(jiān)管算法
        一種對(duì)稱(chēng)密鑰的密鑰管理方法及系統(tǒng)
        基于ECC的智能家居密鑰管理機(jī)制的實(shí)現(xiàn)
        數(shù)字電視地面?zhèn)鬏斢脝晤l網(wǎng)與單點(diǎn)發(fā)射的效果比較
        国产av天堂一区二区二区| 最新精品亚洲成a人在线观看| 久久亚洲成a人片| 视频一区二区三区国产| 日本xxxx色视频在线观看| 国产农村乱子伦精品视频| 国内精品一区二区2021在线| 人妖系列在线免费观看| 51国产偷自视频区视频| 国产麻豆剧传媒精品国产av| 精品一精品国产一级毛片| 日本一曲二曲三曲在线| 日本护士xxxxhd少妇| 国产亚洲精品久久久久久| 99久久国产综合精品女乱人伦 | 日本中文字幕有码在线播放| 成年免费a级毛片免费看| 国产欧美精品区一区二区三区| 亚洲人成网站18男男| 亚洲在线精品一区二区三区| av永久天堂一区二区三区| 日韩精品中文字幕无码专区| 日本国主产一区二区三区在线观看 | 经典女同一区二区三区| 一本久道高清视频在线观看| 国产精品福利自产拍在线观看| 国产精品一区二区久久乐下载| 中文字幕视频一区懂色| 免费乱理伦片在线观看| 美女扒开内裤让男生桶| 亚洲国产日韩av一区二区| 美腿丝袜在线一区二区| 日本老熟妇毛茸茸| 亚洲成a人片在线观看中文!!!| 婷婷久久av综合一区二区三区| 国产精品r级最新在线观看| 熟妇无码AV| 加勒比av在线一区二区| 久久国产加勒比精品无码| 日韩欧美区| 在线免费观看毛视频亚洲精品|