基于SAML的單點登錄技術(shù)在電信增值業(yè)務(wù)中的應(yīng)用.pdf

1、近年我國的電信增值業(yè)務(wù)發(fā)展迅速，但各種增值系統(tǒng)自成體系,缺乏整體規(guī)劃與資源信息的共享，其中最為突出的問題是用戶身份信息難以在各子系統(tǒng)之間共享。本文對目前電信增值業(yè)務(wù)系統(tǒng)的特點和發(fā)展趨勢進(jìn)行了分析，針對上述問題提出了一種基于 SAML技術(shù)規(guī)范，適合于電信增值業(yè)務(wù)子系統(tǒng)的增強(qiáng)型單點登錄(SSO)模型與機(jī)制。通過仿真實驗證明,該模型解決了用戶身份信息共享的問題,達(dá)到了預(yù)期效果。
　　單點登錄SSO是指用戶只需要認(rèn)證登錄一個業(yè)務(wù)系統(tǒng)，就能

2、無障礙的以同一身份登錄到其他相關(guān)聯(lián)的業(yè)務(wù)子系統(tǒng)，而不需要重復(fù)登錄。安全斷言標(biāo)記語言SAML作為一種基于XML規(guī)范，用于交互安全信息的框架。其作用是在各種不同的應(yīng)用或業(yè)務(wù)系統(tǒng)中，提供合法的通過了查驗的登錄或者認(rèn)證的信息。
　　所建系統(tǒng)的核心是認(rèn)證服務(wù)器端的 SAML單點登錄系統(tǒng)，它的作用是負(fù)責(zé)驗證申請者的身份合法性并為申請者創(chuàng)建不同的安全 SAML令牌。該認(rèn)證服務(wù)器通過 SAML請求解析器，將用戶信息和用戶權(quán)限信息與數(shù)據(jù)庫的信息做比

3、對，由SAML令牌生成器生成一個對應(yīng)的SAML令牌;再調(diào)用消息安全處理模塊，先用私鑰對SAML令牌進(jìn)行簽名，并通過目標(biāo)服務(wù)站點的公鑰再次加密，然后再使用SRP認(rèn)證協(xié)議生成的會話密鑰K，對該SAML令牌進(jìn)行再次加密，最后調(diào)用傳輸模塊，將通過層層處理十分安全的SAML令牌發(fā)送給對應(yīng)的SSO門戶。從而解決增值業(yè)務(wù)運營中認(rèn)證鑒權(quán)實現(xiàn)困難、用戶身份信息共享在各子系統(tǒng)之間難以共享的問題。
　　本文核心在于用一種較為簡單的模型實現(xiàn)了傳統(tǒng)單點登錄