基于SAML實(shí)現(xiàn)信任遷移的安全引擎.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用中的安全性，成為一個(gè)不容忽視的問題，人們需要在網(wǎng)絡(luò)應(yīng)用中為用戶提供身份鑒別和權(quán)限信息，以保證網(wǎng)絡(luò)交互活動(dòng)的安全。以XML等技術(shù)為基礎(chǔ)的Web服務(wù)是新興的一種中間件技術(shù)，為用戶提供以松耦合過程調(diào)用為基礎(chǔ)的“服務(wù)”，XML作為信息表示和傳遞的載體，人們通過它來訪問Web服務(wù)所描述的一組操作。XMLEngine(基于XML的安全網(wǎng)關(guān))旨在為基于XML信息的Web服務(wù)提供安全保障。而認(rèn)識(shí)到需要提供一種機(jī)制在不同的協(xié)作

2、域之間傳遞關(guān)于實(shí)體的信息，同時(shí)域又不失去對(duì)這些信息的所有權(quán)，安全斷言標(biāo)記語(yǔ)言SAML滿足了這種要求。 目前雖然基于XML的應(yīng)用越來越多，但針對(duì)SAML實(shí)現(xiàn)信任遷移提出的時(shí)間不長(zhǎng)，以此為基礎(chǔ)實(shí)現(xiàn)的產(chǎn)品還不多見。SAML安全相關(guān)標(biāo)準(zhǔn)龐雜，涉及多方面的知識(shí)和技術(shù)，有廣闊的研究空間，已開發(fā)的產(chǎn)品尚待進(jìn)一步完善和擴(kuò)展。XMLEngine能夠靈活地提供多種安全服務(wù)，比如數(shù)字簽名、完整性驗(yàn)證，這在很多應(yīng)用中是關(guān)鍵的安全服務(wù)；XMLEngine

3、能提供傳輸后(存儲(chǔ))的安全保護(hù)，這種保護(hù)完全符合國(guó)際標(biāo)準(zhǔn)，可以很容易和其它軟件結(jié)合；XMLEngine工作在消息層，對(duì)應(yīng)用層有一定的感知，通過配置，XMLEngine可以對(duì)不同的應(yīng)用層數(shù)據(jù)分別處理；XMLEngine架構(gòu)下可以靈活地添加新的安全控制機(jī)制，可以動(dòng)態(tài)地配置安全服務(wù)，動(dòng)態(tài)添加或刪除安全模塊；XMLEngine平臺(tái)形成了一個(gè)統(tǒng)一的安全保證機(jī)制，從而使之成為一個(gè)相對(duì)獨(dú)立的安全產(chǎn)品，不依賴于具體的應(yīng)用，也不對(duì)應(yīng)用提出特別要求。

4、 作者首先對(duì)支持信任遷移的安全引擎系統(tǒng)所涉及到的SAML及SOAP規(guī)范、應(yīng)用密碼學(xué)知識(shí)和SAML安全的標(biāo)準(zhǔn)進(jìn)行簡(jiǎn)要介紹，對(duì)PKI的基本知識(shí)進(jìn)行概要說明，并在此基礎(chǔ)上提出一個(gè)完整可行的支持信任遷移的安全Engine模型。并在LINUX平臺(tái)上實(shí)現(xiàn)這一模型，針對(duì)具體的實(shí)現(xiàn)步驟和細(xì)節(jié)進(jìn)行詳細(xì)描述。 在整個(gè)過程中作者主要從事系統(tǒng)中安全引擎基礎(chǔ)平臺(tái)部分、信任遷移模塊和配置模塊的需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、代碼編碼和測(cè)試工作，并與小組成員