- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
(广告传媒)多webservice
的电视直播网中实现单点
登录 v
一种在电视制播网中实现多 webservice 安全单点登录的机制
广播电视规划院崔俊生邓向冬张健东李厦
摘要:本文首先描述了当前电视制播网络中 webservice 服务认证存在的问题,针对此问题
提出了一种安全实现单点登录的统一认证机制。
关键词:webservice 、安全、单点登录、统一认证
1. 背景
由于电视台的制播网络越来越庞大复杂,目前一个完整的广播电视制播网络一般由多个厂家
共同承建,其中每一个厂家负责承建制播网络中的一个或者多个子系统,这些子系统多数通
过 webservice 接口对外提供服务。
目前webservice 服务的认证一般是基于 http 协议,而基于 http 协议的认证只能实现单个
webservice 服务的认证,即每个 webservice 服务需要保存一份其授权用户的用户名、用户
密码、用户权限等信息。
如果客户程序(如非编程序),需要访问不同子系统的中的 webservice 服务,如果使用基于
http 协议认证,可以通过以下两种认证方案:
1. 每一个 webservice 服务单独管理自己的用户名密码。但是,用户在使用非编程序时,
需要根据访问的不同webservice 服务输入不同用户名密码,给用户造成了严重的不便。
2. 所有的 webservice 服务共同维护一个用户名密码列表。这样同一份用户名密码列表
需要部署在不同厂家、不同管理员管理的子系统,这会带来严重安全问题和管理问题。
同时以上两种认证方案,也给系统管理员带来不变,系统管理员对每一个的webservice 需
要维护一份用户授权数据,随着系统内 webservice 服务增多,系统管理的工作量随之增加,
如:每增加或者删除一个用户,需要在每一个 webservice 服务进行相应的操作。
我们需要一种解决方案,该方案可以实现以下功能:用户在访问多个 webservice 服务时,
只需要提供一个用户名密码;系统管理员只需在一个单独的认证服务器上维护一份用户、密
码及用户授权数据便可管理系统中所有的用户和 webservice 服务。这就是典型的单点登录
需求。
笔者在进行一些制播网络验收测试时,发现一些制播网集成软件服务的提供厂家通过
webservice 的 soap 消息实现了以上单点登录的需求。具体实现如下图所示:
4 认证服务
1
5 2
3
Webservice 服
客户
务 图 1 基于 soap 消息传输实现 webservice 单点登录
第一个消息是客户通过发送认证的 soap 请求消息进行登录认证,该消息包含有未加密的用
机制
户、密码;
第二个消息是认证服务器通过查询 LDAP 用户数据库,检查用户名、密码是否正确,如果正
确,返回一个 soap 消息,该消息中包含一个由字母和数字组成 token 字符串;客户收到此
token 后在本地保存此 token ,保存时间为此次登录会话时间。
第三个消息是客户发送包含这个 token 的 soap 消息去相应的服务器去请求服务;
第四个消息是Webservice 服务去认证服务器验证此 token 是否是该认证服务器生成的消息;
第五个消息是认证服务返回此 token 是否合法的相应消息,如果是合法的 token (即该认证
服务器生成了此 token ,且在有效期内),则Webservice 服务相应服务请求。
此机制基本实现了单点登录的需求,但是存在以下几个问题:
1.用户名、密码是明码传输,很容易在传输环节被获取,而且系统本身有消息的日志功能;
有系统维护权限的人员可以通过消息日志轻易获得其他人的用户名和密码。
2.token 没有时间标记,没有防御重放攻击的能力。
因此,该方案虽然实现了多webservice 服务的单点登录,但是存在严重的安全问题。
在电视台的制播网络中,需要一个可以实现安全的、用于多 webservice 服务认证的单点登
录方案。本文描述了一种可以实现单点登录的安全认证方案。
2
文档评论(0)