基于Shibboleth框架的隐私保护研究.docVIP

  基于 Shibboleth 框架的隐私保护研究 朱英泮1，何永忠2** （1. 北京交通大学计算机与信息技术学院，北京 100044； 5 10 15 20 25 30 35 40 2. 北京交通大学计算机与信息技术学院信息安全实验室，北京 100044） 摘要：现在单点登录被越来越多的用于 WEB 服务和应用程序，联合认证中的信息交换包含 了很多的用户隐私信息，如果不对这些信息进行细粒度的访问控制，很有可能造成用户隐私 信息的泄露。本文主要介绍了基于单点登录的 Shibboleth 框架，并分析了框架中关于属性释 放策略 ARP 的不足，结合 XACML 提出了一种新型的策略语言 XARP，对用户隐私信息提 供细粒度的访问控制。 关键词：单点登录；Shibboleth；SAML；XACML；XARP 中图分类号：TP309 Research based on the Shibboleth framework of privacy protection ZHU Yingpan1, HE Yongzhong2 (1. School of Computer and Information Technology,Beijing Jiaotong University,Beijing 100044; 2. Laboratory of Information Security, School of Computer and Information Technology, Beijing Jiaotong University, Beijing 100044) Abstract: Now single sign-on has been more and more used for web services and applications. The attributes exchanged in the joint certification contain lots of user’s privacy. If we don’t provide these information with fine-grained access control, the privacy may be revealed. We will discuss the Shibboleth framework and the arp’s weakness in this paper. We propose a new XARP policy combined with XACML. We can provide the privacy some fine-grained access control with it. Key words: SSO;Shibboleth;SAML;XACML;XARP 0 引言 现在越来越多的网络服务在网上出现，例如电子商务、社交网络等，大部分的公司和学 校也基本都有自己的网络服务和应用。这些给我们带来的不仅是各式各样的便利和丰富多彩 的网络生活，同时也给我们带来重复的认证过程以及各个站点账号和密码的管理。单点登录 技术（Single Sign On），简称 SSO，为我们解决了这一难题。单点登录的关键技术是联合 认证协议，它为用户提供了跨域的身份认证，从而实现了单点登录。现在的联合认证协议主 要有 SAML、Liberty 和 WS-Federation[1]，由于这些协议都是基于网络的，安全和隐私问题 便会出现。在联合认证的源站点和目标站点之间需要进行很多的信息传递，我们必须要保证 在这个过程中不能将用户的隐私信息泄露。 Shibboleth[2,3]是基于 SAML 的框架，它将用户的隐私信息作为属性来处理，并且有专 门的属性释放策略 ARP 来保证用户的隐私信息[4]不被随意泄露。然而现有的 ARP 策略语言 有很大的缺陷和不足，本文提出了一种基于 XACML 的 XARP 策略语言，使框架能够对用 户的隐私信息提供细粒度的访问控制。 作者简介：朱英泮（1988-），男，在校硕士研究生，主要研究方向：访问控制中的隐私保护研究 通信联系人：何永忠(1969-)，男，副教授，主要研究方向：信息安全. E-mail: yzhhe@ -1-   1 Shibboleth 中的 ARP Shibboleth 是 IBM 提出来的针对 SSO 单点登录的一个开源项目，最初主要应用在校园 网内的 Web 资源共享以及校园网之间用户身份的联合认证。  WAYF  Resource  SP  IdP  HS  User  SHIRE AS  AA  SHAR  Mod_Sh ib 45 图 1 Sh