統一身份认证系统的研究与实现.docVIP

统一身份认证系统的研究与实现1 　引言随着因特网的飞速发展,基于B/ S(浏览器/ 服务器) 结构的企业应用软件也得到了快速发展,各种应用系统已经应用到很多企业的生产管理活动中去,为企业提高工作效率和管理水平做出了巨大的贡献。但是,由于企业受业务、自身条件和当时软件技术的影响,这些不同的系统往往是在不同的时期建设起来的,运行在不同的平台上。各系统也许是由不同厂商开发的,使用了各种不同的技术和标准。每个应用系统都有自己独立的一套身份验证机制,采取分散登录、分散管理。又由于针对企业应用各系统的联系十分紧密,各用户需要使用大多数的系统。如果不使用单点登录(Single Sign On ,简称SSO) ,势必造成企业的工作人员在实际工作中要频繁地在各个系统登录和注销,严重影响了生产效率;同时,很多系统都要维持一个用户身份信息是很麻烦的。因此,信息系统急需建立一个统一的身份认证系统,以保证用户操作的方便和应用系统的安全。所谓统一身份认证,就是用户基于最初访问的一次身份认证,就能对其被授权的资源进行无缝访问。单点登录是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是:在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。本系统是对一个企业进行统一身份认证改造,该企业的应用系统均采用B2S(浏览器2服务器) 结构构建。系统进行统一身份认证改造后,需要能够实现较为灵活的、基于SAML 协议和RBAC 协议原理的单点登录模型,并且需要有灵活的访问控制,保证和原有系统的紧密结合,实现用户的统一身份认证。2 　SAML 、RBAC简介和工作原理2. 1 　SAML 简介SAML ( Security Assertion Markup Language , 简称SAL) 标准定义了一个在线商业伙伴之间交换安全信息的框架。更准确地说,SAML 定义了一个基于XML 标准的框架,用于实体之间交换安全信息。SAML 1. 1 是由OA2SIS ( The Organization for the Advancement of St ructuredInformation Standards ,简称OASIS) 标准组织的安全服务技术委员会SSTC(Security Services Technical Committee ,简称SSTC) 制定的。SAML 可以实现不同安全服务系统之间的互操作,SSTC 通过了很多用例( 需求) 来推动SAML 的需求。SAML 1. X 中解决的最重要问题就是单点登录问题,用户使用用户名和口令登录源站点,然后希望无需再次验证即可访问目标站点。用户通过在认证站点进行认证登录,认证站点和目的站点通过交换用户认证信息,从而到达认证的目的。在这里,认证站点即为一个认证区域的中心认证服务站,一个认证区域一般只有一个这样的认证站点,全面担任用户身份认证的责任。而目的站点就是需要认证站点提供服务的应用系统,一个区域一般都有多个这样的目的站点。由于把认证的工作都交给了认证中心,所以目的站点一般不会考虑身份验证的问题。2. 2 　RBAC工作原理由于该项目是基于SAML 1. 1 标准构造的,所以下面介绍的主要是SAML 1. 1 协议的内容。SAML 规范体系主要由三个部分构成: 断言(Assertion) 、请求/ 响应协议(Request and Response Protocol) 、绑定和配置(Bindings/Profiles) ,各个部分紧密地联合在一起,构成了整个SAML协议的实现。2. 3 　RBAC的简介基于角色的访问控制(RBAC) 的概念在20 年前第一次提出,它是从传统的随意访问控制(Discretionary AccessCont rol ,简称DAC) 和强制访问控制(Mandatory AccessCont rol ,简称MAC) 发展起来的。它可以实现企业的权限机制到企业组织结构的自然映射,提高了访问控制的水平,大大提高了安全管理员的效率。RBAC 模型由四个部件模型组成,分别是基本模型RBAC0 (Core RBAC) 、角色分级模型RBAC1 ( HierarchalRBAC) 、角色限制模型RBAC2 (Const raint RBAC) 和统一模型RBAC3 (Combines RBAC)。RBAC0 定义了能构成一个RBAC 控制系统的最小的元素集合。在RBAC 之中, 包含用户( Users ) 、角色(Roles) 、对象(Object s) 、操作(Operations) 、许可权( Per2missions) 五个基本数据元素。权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话Sessions 是用户与激活的角色集合