多webservice的电视直播网中实现单点登录v11.doc

一种在电视制播网中实现多webservice安全单点登录的机制 广播电视规划院 崔俊生 邓向冬 张健东 李厦 摘要：本文首先描述了当前电视制播网络中webservice服务认证存在的问题，针对此问题提出了一种安全实现单点登录的统一认证机制。 关键词：webservice、安全、单点登录、统一认证 背景 由于电视台的制播网络越来越庞大复杂，目前一个完整的广播电视制播网络一般由多个厂家共同承建，其中每一个厂家负责承建制播网络中的一个或者多个子系统，这些子系统多数通过webservice接口对外提供服务。 目前webservice服务的认证一般是基于http协议，而基于http协议的认证只能实现单个webservice服务的认证，即每个webservice服务需要保存一份其授权用户的用户名、用户密码、用户权限等信息。 如果客户程序（如非编程序），需要访问不同子系统的中的webservice服务，如果使用基于http协议认证，可以通过以下两种认证方案： 每一个webservice服务单独管理自己的用户名密码。但是，用户在使用非编程序时，需要根据访问的不同webservice服务输入不同用户名密码，给用户造成了严重的不便。 所有的webservice服务共同维护一个用户名密码列表。这样同一份用户名密码列表需要部署在不同厂家、不同管理员管理的子系统，这会带来严重安全问题和管理问题。 同时以上两种认证方案，也给系统管理员带来不变，系统管理员对每一个的webservice需要维护一份用户授权数据，随着系统内webservice服务增多，系统管理的工作量随之增加，如：每增加或者删除一个用户，需要在每一个webservice服务进行相应的操作。 我们需要一种解决方案，该方案可以实现以下功能：用户在访问多个webservice服务时，只需要提供一个用户名密码；系统管理员只需在一个单独的认证服务器上维护一份用户、密码及用户授权数据便可管理系统中所有的用户和webservice服务。这就是典型的单点登录需求。 笔者在进行一些制播网络验收测试时，发现一些制播网集成软件服务的提供厂家通过webservice的soap消息实现了以上单点登录的需求。具体实现如下图所示： Webservice服务 客户 1 2 3 4 图1 基于soap消息传输实现webservice单点登录机制 认证服务 5 第一个消息是客户通过发送认证的soap请求消息进行登录认证，该消息包含有未加密的用户、密码； 第二个消息是认证服务器通过查询LDAP用户数据库，检查用户名、密码是否正确，如果正确，返回一个soap消息，该消息中包含一个由字母和数字组成token字符串；客户收到此token后在本地保存此token，保存时间为此次登录会话时间。 第三个消息是客户发送包含这个token的soap消息去相应的服务器去请求服务； 第四个消息是Webservice服务去认证服务器验证此token是否是该认证服务器生成的消息； 第五个消息是认证服务返回此token是否合法的相应消息，如果是合法的token（即该认证服务器生成了此token，且在有效期内），则Webservice服务相应服务请求。 此机制基本实现了单点登录的需求，但是存在以下几个问题： 1. 用户名、密码是明码传输，很容易在传输环节被获取，而且系统本身有消息的日志功能；有系统维护权限的人员可以通过消息日志轻易获得其他人的用户名和密码。 2. token没有时间标记，没有防御重放攻击的能力。 因此，该方案虽然实现了多webservice服务的单点登录，但是存在严重的安全问题。 在电视台的制播网络中，需要一个可以实现安全的、用于多webservice服务认证的单点登录方案。本文描述了一种可以实现单点登录的安全认证方案。 方案基本原理 本认证机制的基本原理是基于第三方信任的机制，为了便于理解拟人化说明如下，其中甲相当于认证服务设备，乙相当于访问业务的用户和客户程序，丙相当于webservice服务器： （1）甲、乙、丙三人，乙信任甲，且乙与甲共享一个其他人所不知的密钥，使用该密钥封装的信息，除甲乙二人可以打开看到真实内容外，甲乙二人以外任何人不能看到该真实内容，除非有人知道甲、乙二人共享的密钥；同样丙信任甲，且丙与甲共享一个其他人所不知的密钥，该密钥封装信息的内容也只有丙与甲才可以看到其真实的内容；甲可以控制乙对丙的访问权限； （2）乙向丙请求服务前，乙告诉甲“我要向丙请求服务”； （3）甲用甲、乙共享的密钥封装一个信息返回给乙，该信息包括： （a）用甲、丙共享密钥封装的信息，该信息包括内容有乙的身份信息、乙请求丙服务内容的信息、暂时分配一个乙与丙共享的会话密钥、该共享会话密钥的过期时间等； （b）乙请求丙服务内容的信息、暂时分配一个乙