（广告传媒）多webservice的电视直播网中实现单点登录v.pdfVIP

（广告传媒）多webservice 的电视直播网中实现单点 登录 v 一种在电视制播网中实现多 webservice 安全单点登录的机制 广播电视规划院崔俊生邓向冬张健东李厦 摘要：本文首先描述了当前电视制播网络中 webservice 服务认证存在的问题，针对此问题 提出了一种安全实现单点登录的统一认证机制。 关键词：webservice 、安全、单点登录、统一认证 1. 背景 由于电视台的制播网络越来越庞大复杂，目前一个完整的广播电视制播网络一般由多个厂家 共同承建，其中每一个厂家负责承建制播网络中的一个或者多个子系统，这些子系统多数通 过 webservice 接口对外提供服务。 目前webservice 服务的认证一般是基于 http 协议，而基于 http 协议的认证只能实现单个 webservice 服务的认证，即每个 webservice 服务需要保存一份其授权用户的用户名、用户 密码、用户权限等信息。 如果客户程序（如非编程序），需要访问不同子系统的中的 webservice 服务，如果使用基于 http 协议认证，可以通过以下两种认证方案： 1. 每一个 webservice 服务单独管理自己的用户名密码。但是，用户在使用非编程序时， 需要根据访问的不同webservice 服务输入不同用户名密码，给用户造成了严重的不便。 2. 所有的 webservice 服务共同维护一个用户名密码列表。这样同一份用户名密码列表 需要部署在不同厂家、不同管理员管理的子系统，这会带来严重安全问题和管理问题。 同时以上两种认证方案，也给系统管理员带来不变，系统管理员对每一个的webservice 需 要维护一份用户授权数据，随着系统内 webservice 服务增多，系统管理的工作量随之增加， 如：每增加或者删除一个用户，需要在每一个 webservice 服务进行相应的操作。 我们需要一种解决方案，该方案可以实现以下功能：用户在访问多个 webservice 服务时， 只需要提供一个用户名密码；系统管理员只需在一个单独的认证服务器上维护一份用户、密 码及用户授权数据便可管理系统中所有的用户和 webservice 服务。这就是典型的单点登录 需求。 笔者在进行一些制播网络验收测试时，发现一些制播网集成软件服务的提供厂家通过 webservice 的 soap 消息实现了以上单点登录的需求。具体实现如下图所示： 4 认证服务 1 5 2 3 Webservice 服 客户 务 图 1 基于 soap 消息传输实现 webservice 单点登录 第一个消息是客户通过发送认证的 soap 请求消息进行登录认证，该消息包含有未加密的用 机制 户、密码； 第二个消息是认证服务器通过查询 LDAP 用户数据库，检查用户名、密码是否正确，如果正 确，返回一个 soap 消息，该消息中包含一个由字母和数字组成 token 字符串；客户收到此 token 后在本地保存此 token ，保存时间为此次登录会话时间。 第三个消息是客户发送包含这个 token 的 soap 消息去相应的服务器去请求服务； 第四个消息是Webservice 服务去认证服务器验证此 token 是否是该认证服务器生成的消息； 第五个消息是认证服务返回此 token 是否合法的相应消息，如果是合法的 token （即该认证 服务器生成了此 token ，且在有效期内），则Webservice 服务相应服务请求。 此机制基本实现了单点登录的需求，但是存在以下几个问题： 1.用户名、密码是明码传输，很容易在传输环节被获取，而且系统本身有消息的日志功能； 有系统维护权限的人员可以通过消息日志轻易获得其他人的用户名和密码。 2.token 没有时间标记，没有防御重放攻击的能力。 因此，该方案虽然实现了多webservice 服务的单点登录，但是存在严重的安全问题。 在电视台的制播网络中，需要一个可以实现安全的、用于多 webservice 服务认证的单点登 录方案。本文描述了一种可以实现单点登录的安全认证方案。 2