基于SAML的Web服务认证技术.PDFVIP

第27卷第163期 电 力 系 统通信 V01．27No．163 TelecommunicationsforElectricPower ·50· 2006年5月l0日 system 0，2006 Mayl 基于SAML的Web服务认证技术 韩 晶，戚银城，王斌，李鹏飞 (华北电力大学电子与通信工程系，河北保定07l003) 摘要：为了解决web服务中信息之间的安全传输，需要引入一种安全有效的用户身份认证机制。 文章首先分析了web服务中的安全性问题及传统的web服务认证机制，然后引入了解决问题 的办法，即安全声明标记语言(sAML)，介绍了sAML的三种断言、体系结构及应用现状，给出了 利用SAML实现身份认证的系统结构及认证过程，实现了客户方、身份验证方、目标站点方三方 之间声明信息的安全传输，最后指出SAML认证技术的优势及其发展前景。 关键词：安全声明标记语言；安全；身份认证；单点登录 中图分类号：TP393 文献标识码：A 文章编号：1005—7641(2006)05—0050—04 后否认已经完成的交易；· 0 引言 (4)可用性：保证对授权用户的服务不被中断。 随着企业对互联网商业事务处理要求的进一 对用户身份进行有效认证是保证信息安全的 步提高，集中的信息存储模式已经不能很好地满足 第一步，例如：客户必须提供正确的用户名和口令 企业对信息及时性、交互性的要求，为了更好地满 才能获得服务。然而，每天用户都要登录到多个系 足企业对新一代互联网事务处理的需求，真正实现 统上请求服务，这样就不得不针对每个系统的认证 企业在互联网上的自主性、独立性，web服务应运 程序提交不同的用户名和密码。密码的过渡繁殖 而生。它是xML(可扩展标记语言)、sOAP(简单带来了新的问题，如工作效率的下降、密码被非法 对象访问协议)、wSDL(web服务描述语言)和截获的可能性增加等。因此，寻找一种只需进行一 uDDI(统一发现、描述和目录)的整合技术。在次身份认证(即通常理解的单点登录，sin91esign— Web服务模型中，所有的服务封装成一个个相对 on)就可达到对多个系统进行访问的跨服务器认 独立的web服务，每个服务提供某种功能，客户可 证方法，成为当今研究的热点。本文提出的方案是 以通过绑定到HTTP的SOAP来访问这些服务。以集中统一的用户信息为基础，提供一个身份验证 Web服务的设计目标是保证运行于不同系统上的 的服务，但不包括通常理解的权限管理。 应用程序之间具备互操作性。 1 传统认证机制 由于web服务的基础是简单对象访问协议 (sOAP)，它是在分布式环境中交换信息的简单的 国内外普遍使用的身份认证机制包括¨。以下 XML文本协议，因而本身具有安全隐患，从而也就 几种。 、 决定了web服务本身会存在一定的安全性问题。 Socket (1)基于安全套接字层(SSL，Secure 一般而言，信息安全有以下几点要求…： (1)机密性：保护用户的隐私，防止对企业信 传输的安全。优点是可以防止黑客的攻击，能够跟 息的盗取，不管这些信息是已经存储的还是正在传 踪对web站点的单个访问，使客户端能够访问网 送的； 络资源和安全