基于SAML的單點(diǎn)登錄技術(shù)在電信增值業(yè)務(wù)中的應(yīng)用.pdf

1、近年我國(guó)的電信增值業(yè)務(wù)發(fā)展迅速，但各種增值系統(tǒng)自成體系,缺乏整體規(guī)劃與資源信息的共享，其中最為突出的問題是用戶身份信息難以在各子系統(tǒng)之間共享。本文對(duì)目前電信增值業(yè)務(wù)系統(tǒng)的特點(diǎn)和發(fā)展趨勢(shì)進(jìn)行了分析，針對(duì)上述問題提出了一種基于 SAML技術(shù)規(guī)范，適合于電信增值業(yè)務(wù)子系統(tǒng)的增強(qiáng)型單點(diǎn)登錄(SSO)模型與機(jī)制。通過仿真實(shí)驗(yàn)證明,該模型解決了用戶身份信息共享的問題,達(dá)到了預(yù)期效果。
　　單點(diǎn)登錄SSO是指用戶只需要認(rèn)證登錄一個(gè)業(yè)務(wù)系統(tǒng)，就能

2、無障礙的以同一身份登錄到其他相關(guān)聯(lián)的業(yè)務(wù)子系統(tǒng)，而不需要重復(fù)登錄。安全斷言標(biāo)記語言SAML作為一種基于XML規(guī)范，用于交互安全信息的框架。其作用是在各種不同的應(yīng)用或業(yè)務(wù)系統(tǒng)中，提供合法的通過了查驗(yàn)的登錄或者認(rèn)證的信息。
　　所建系統(tǒng)的核心是認(rèn)證服務(wù)器端的 SAML單點(diǎn)登錄系統(tǒng)，它的作用是負(fù)責(zé)驗(yàn)證申請(qǐng)者的身份合法性并為申請(qǐng)者創(chuàng)建不同的安全 SAML令牌。該認(rèn)證服務(wù)器通過 SAML請(qǐng)求解析器，將用戶信息和用戶權(quán)限信息與數(shù)據(jù)庫(kù)的信息做比

3、對(duì)，由SAML令牌生成器生成一個(gè)對(duì)應(yīng)的SAML令牌;再調(diào)用消息安全處理模塊，先用私鑰對(duì)SAML令牌進(jìn)行簽名，并通過目標(biāo)服務(wù)站點(diǎn)的公鑰再次加密，然后再使用SRP認(rèn)證協(xié)議生成的會(huì)話密鑰K，對(duì)該SAML令牌進(jìn)行再次加密，最后調(diào)用傳輸模塊，將通過層層處理十分安全的SAML令牌發(fā)送給對(duì)應(yīng)的SSO門戶。從而解決增值業(yè)務(wù)運(yùn)營(yíng)中認(rèn)證鑒權(quán)實(shí)現(xiàn)困難、用戶身份信息共享在各子系統(tǒng)之間難以共享的問題。
　　本文核心在于用一種較為簡(jiǎn)單的模型實(shí)現(xiàn)了傳統(tǒng)單點(diǎn)登錄