基于SAML和CPK的統(tǒng)一身份鑒別技術(shù)研究.pdf

1、隨著因特網(wǎng)技術(shù)的迅速發(fā)展，基于因特網(wǎng)的應(yīng)用模式也在不斷演變。越來越多的企業(yè)和政府部門依賴因特網(wǎng)來發(fā)布信息與提供服務(wù)，并構(gòu)建跨企業(yè)的虛擬組織或虛擬企業(yè)以實現(xiàn)大規(guī)模資源共享。 Web Service是當前最流行的異構(gòu)分布技術(shù)，它建立在開放和標準的規(guī)范之上，允許異構(gòu)的客戶端調(diào)用它所提供的服務(wù)。一個典型的Web Service實現(xiàn)可以充分利用多種不同的技術(shù)、對象模型以及編程語言。Web Service采用了SOAP、HTTP和XML技術(shù)

2、來實現(xiàn)，因而它具有在不同的環(huán)境下實現(xiàn)互操作的特點。Web Service的出現(xiàn)使得企業(yè)與其合作伙伴、客戶、員工之間的信息交流變得更加的密切。 出于降低安全風險和保護服務(wù)資源的考慮，企業(yè)一般都把所提供的WebService的應(yīng)用限制在本企業(yè)內(nèi)部。內(nèi)部用戶訪問企業(yè)服務(wù)，通過用戶名和口令方式進行身份鑒別。當企業(yè)服務(wù)存在多個應(yīng)用服務(wù)系統(tǒng)時，各個應(yīng)用系統(tǒng)完全有可能由不同的組織開發(fā)，如果各應(yīng)用系統(tǒng)采用各自的用戶和權(quán)限管理的方式進行處理的話

3、，那么整個服務(wù)系統(tǒng)的管理和維護將是非常的復雜和麻煩。同時，系統(tǒng)中一個用戶存在多個口令和用戶描述信息的情況也存在巨大的安全風險。針對這樣的安全和管理問題，一般都采用統(tǒng)一身份鑒別的方案來解決。 本文根據(jù)Web Service實際應(yīng)用的安全需求，研究了基于SAML標準和CPK機制的統(tǒng)一身份鑒別技術(shù)。通過研究Web Service相關(guān)技術(shù)以及SAML標準，提出了改進的統(tǒng)一身份鑒別服務(wù)模型，并給出了該統(tǒng)一身份鑒別服務(wù)系統(tǒng)的設(shè)計和實現(xiàn)。整個

4、統(tǒng)一身份鑒別服務(wù)劃分為四大模塊，分別為身份鑒別模塊，信息查詢模塊，訪問控制模塊以及管理模塊。身份鑒別模塊的主要功能是完成對用戶身份的集中驗證，并在驗證成功后返回給用戶一個基于SAML斷言的身份令牌以供用戶訪問其他具有相互信任關(guān)系的服務(wù)，這樣，在用戶訪問其他服務(wù)時，這個服務(wù)端即可以根據(jù)這個令牌得知用戶的身份與屬性信息，從而進行訪問控制的判決。信息查詢模塊的主要功能是提供查詢用戶身份屬性信息和鑒別信息的接口，便于服務(wù)端或者管理員查詢使用。訪

5、問控制模塊的主要功能是根據(jù)用戶訪問服務(wù)時發(fā)來的SAML令牌，解析并進行策略判斷處理，向用戶返回訪問控制判決信息。管理模塊的主要功能則是為管理員提供一個管理用戶身份信息與角色信息的接口，便于用戶信息的更新、增加、刪除等。本文還設(shè)計了基于SAML標準的各個模塊的輸入輸出參數(shù)，虛擬了一套企業(yè)人事組織系統(tǒng)，并使用Web Service開發(fā)工具開發(fā)和發(fā)布了各個模塊的服務(wù)。出于安全方面的考慮，本文研究了基于橢圓曲線的CPK機制并在此基礎(chǔ)上用VC實現(xiàn)