模型研究和实现①.PDF

2008年第7期 计算机系统应用 一种基于SAML的Web服务单点登录 模型研究与实现① ResearchandRealizationofanSAML--BasedServices onModel Web SingleSign 张 慧 李建华 马 华 (中南大学信息科学与工程学院湖南长沙410075) 摘要：由于Web服务具有异构性和松耦舍性等特点，而现有的跨域单点登录方案主要针对基于Web站点的应 该模型的原型实现，并分析了模型的安全性。该模型使得跨域的W曲服务单点登录变的简单，可适用 于各种跨域的基于Web服务的应用场景中。 关键词：SAML Web服务单点登录身份认证安全 1 引言 点登录的，只要用户通过微软的Passport服务器的验 证，就可以访问所有与Passport服务器合作的站点6 随着Web服务技术规范和标准的不断发展，Web 服务已经逐渐从理论研究转向实际应用。很多跨域的 但由于微软在Passport验证技术方面不公开。使得在 系统集成都是使用Web服务来实现的。但用户在访 安全性方面有一定的隐患。目前，Passpod还不支持 问这些系统时，需要多次输入口令或者其它身份凭证。 Web服务。自由联盟计划和Web服务联邦语言都是 这有两个缺陷：1)每个系统都必须要维护用户的信息， 通过建立联盟身份，来访问联盟中的其它系统的。但 加大了系统的管理任务，同时造成用户的不便：2)用 由于Web服务是松耦合的，所以建立联盟身份并不是 户的信息可能是敏感的，不能被协作的系统所共享。 每个Web服务场景所必须的。 AsseMIon 所以，在跨域的环境下使用单点登录技术变得非常的 安全声明标记语言(secum Markup 重要。 传统的单点登录技术¨1主要是针对单域环境下 SIS)的安全服务委员会(SS亿)提出的，用来在不同信 的，一般是用统一身份认证技术来实现的，如LDAp，所任域之间交换安全信息。轴ML为认证和授权服务提 有的系统都到一个集中的地方去认证。但对于跨域的 供了标准的描述，基于XML具有跨平台性，提供了强 系统，由于各系统用户是不一致的，且互相是不可知 的。所以传统的单点登录技术在跨域环境下是不可 断言来进行验证，适用于Web服务的松耦合环境。本 行的。 文设计了一种基于SML的Web服务单点登录模型， 目前，针对跨域环境下的单点登录解决方案主要 借助于55L和PKI技术，实现了跨域的Web服务单点 有：微软的．NETPassport、SunMicrosystems等建立的登录。同时给出了模型的两种实现模式，并基于其中 alliance 自由联盟计划(1ibertyproied)以及Microsoft一种模式实现了组合服务的单点登录。最后基于开源 和iBM联合开发的Web服务联邦语言(W5一Fedem- 项目，给出了该模型的原型实现，并对模型的安全性做 flon)。．NET 了分析。 ‘ Passporl技术是通过其Pa嚣pod来实现单 ①基金项目：湖南省教育厅科学研究项目(07CA25) 计算机系统应用 2008年第7期 (3)数字签名模块是用身份提供者的私钥对整个 2相关工作