（计算机应用技术专业论文）基于saml的身份管理系统的研究与应用.pdf

摘要 随着信息化和电子商务的不断发展，企业间应 ；】系统、企业内部荐应用系统之间常常需要协 同 二作，因此分散在网络上的应用系统需要信任彼此的用户身份，形成“可信任网络”。可信任 网络的形成对用户身份管理提山了新的挑战，需要有一种机制能够实现用户身份的统一集成和智 能化管理。本课题研究的基丁s a m l 的身份管理系统，解决了可信任网络中的身份管理问题。 本文首先介绍了身份管理概念和发展现状，分析了当前身份管理解决方案，并比较了联合身 份领域的相关标准。针对企业内部系统形成的可信任网络中存在的各独立麻用系统不能相互交换 安全信息、数据存储冗余、开发重复等需要改进的方面，在研究了包括s a m l 安全声明标记语言、 l d a p 轻量级目录访问协议、s o a p 简单对象访问协议等相荚技术的基础上，结合当前先进的身 份管理解决方案，提出了一种基于s a m l 的身份管理系统总体架构，并通过不同的配置方式，不 仅能够满足企业内部的多个应用系统之间的身份管理需求，而且能够满足企业问应用系统可信任 网络的身份管理的需要。 本文对基于s a m l 的身份管理系统中身份认证授权、身份传输、身份存储、用户管理等各主 要功能模块进行了详细功能分析与设计，并以全程物流管理平台为应用背景给出相应的实现和应 用实例。该系统功能模块相互独立，提供丰富的接口，具有很好的可扩展性和移植性。基于s a m l 的身份管理系统可为其他具有多个应用系统的可信任网络的身份管理方面提供可借鉴的解决方 案。 关键词：安全声明标记语言，身份管理，认证，授权 a b s t r a c t w i t ht h e d e v e l o p m e n to fi n f o r m a t i o n - b a s e d a n d e - c o n l l n e r c e ，a p p l i c a t i o ns y s t e m s b e t w e e n c o m p a n i e sa n da p p l i c a t i o ns y s t e m si nt h ec o m p a n yo f t e nn e e dc o o p e r a t i o nw o r k s o ，s y s t e m s d i s p e r s i o n e di nt h en e tn e e dt r u s te a c ho t h e ru s e ri n f o ，f o r m a t e dt h et r u s tn e t t h et r u s tn e tn e e dan e w i d e n t i t ym a n a g e rf o ri m p l e m e n t eu n i f yg a t ha n di n t e l l i g e n c em a n a g ea b o u tu s e et h ei d e n t i t ym a n a g e s y s t e mb a s e do l ls a m l r e s o v l e di d e n t i t ym a n a g ep r o b l e m si nt h et r u s tn e t i nt h i sp a p e r , ii n 订o d u c e dt h ec o n c e p ta n dt h ec u r r e n tc o n d i t i o n so fi d e n t i t yi i l a n a g e m e n ta n d a n a l y s e ds o m ec a s e sa n dr e l a t i v es t a n d a r d so f t h a tf i r s t l y t h e n ，ip o i n t e do u ts o m ee x i s t i n gp r o b l e m si n t h et r u s tn e t ，i n c l u d i n gr e p e a t e dl o g i nr e q u e s t s ，i n c a p a b i l i t yo fe x c h a n g i n gs e c u d t yi n f o r m a t i o n ， r e d u n d a n c yi ns t o r a g e ，d u p l i c a t e dc o d e ，a n ds oo n f i n a l y , a f l e rs t u d y e dr e l a t i v et e c h n o l o g i e ss u c ha s s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ( s a m l ) ，l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o e n l ( l d a p ) ，s i m p l e o b j e c ta c c e s sp r o t o c o l ( s o a p ) ，e t c ip r e s e n t e das a m l - b a s e ds o l u t i o nf o ri d e n t i t ym a n a g e m e n t ，w h i c hi n v o l v e st h ea u t h e n t i c a t i o n ， a u t h o r i z a t i o n ，s t o r a g ea n ds e c u r ep a s s i n go fu s e ri d e n t i e s ia n a l y s e d ，d e s i g n e da n di m p l e m e n t e da l lt h e f u n c t i o n a lm o d u l e s ，w h i c ha r ei n d e p e n d e n t ，e x t e n s i b l ea n dt r a n s p l a n t a b l e t h i ss a m l - b a s e di d e n t i t y m a n a g es y s t e mc o u l db eu s e dt op r o v i d es o l u t i o n st oo t h e rt r u s t a b l en e t w o r ks y s t e m sw i t hm u l t i p l e a p p l i c a t i o n s k e yw o r d s ：s a m l ，i d e n t i t ym a n a g e ，a u t h e n t i c a t i o n ，a u t h o r i z a t i o n 1 l 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得中国农业大学或其它教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示了谢意。 研究生签名：概 时间：力阳锌乡月b 日 关于论文使用授权的说明 本人完全了解中国农业大学有关保留、使用学位论文的规定，即：学校有权保留 送交论文的复印件和磁盘，允许论文被查阅和借阅，可以采用影印、缩印或扫描等复 制手段保存、汇编学位论文。同意中国农业大学可以用不同方式在不同媒体上发表、 传播学位论文的全部或部分内容。 ( 保密的学位论文在解密后应遵守此协议) 研究生签名时间： 2 d 咖j 月侈日 导师虢闭询帆跏舌年f 月，3 f | 1 1 研究背景 第一章绪论 随着信息化的不断发展，网络应用服务越来越普遍，网络作为交流通信的主要工具正在逐步 地改善着我们的生活方式。越来越多的应用系统使用户获得巨人的便利。通常这些应用系统被配 置在不同的安全域内，相互独立，有各自的认证授权方式。用户访问这些系统时，分别向每个 应用系统提交身份凭证，通过认证授权后获得应用系统提供的服务以及系统资源。系统管理员分 别管理每个系统的用户身份信息。对于每个应用系统来说，配备专门的身份存储容器，来存储系 统用户信息。 然而，现在企业间应用系统以及企业内部各应用系统之间，常常需要协同工作彼此信任。具 体表现为，企业与企业之间由= 丁二业务发展需要，建立信任关系，彼此信任对方的用户，即企业a 应_ i j 系统的用户经过a 认证后可访问企业b 的应用系统。另一种是企业内部的各应用系统建立 的信任关系，一个用户同时使用一个企业所提供的多个应用系统，那么对于用户和提供服务的企 业来说，这些应用系统之间的用户信息是可信任的。这两种情况可称之为建立了“可信任网络”。 在可信任网络中使用传统的认证授权方式，就出现了一些问题。一方面，用户每天需要登录 多个不同的虑片! i 系统，重复提交身份凭证，这给_ h j 户造成了操作上的麻烦，并且记忆火量的用户 名密码很容易发生混淆出现错误，为了减少这种麻烦，用户的一个做法是使用统一的用户名和密 码，这又造成了安全隐患。另一方面，对丁第二种可信任网络的管理员来说，企业提供的多个应 用系统，每个应用系统都有大量的件j 户，管理这些t j 户身份对丁系统管理员来说是一个巨大的t 作量。最后对于系统资源来说，重复存放相同的用户信息也造成了资源浪费。 因此需要在可信任网络内引入一种新的身份管理机制解决以上问题，这种机制应该能够方便 用户，减轻系统管理员负担，减少系统资源浪费，实现用户信息的统一集成和智能化管理。 1 2 身份管理的研究现状 1 2 1 身份管理概念 数字身份是崩户在互联网上访问各应心系统所使用的身份信息。随着电子商务的发展，企业 ，企业之间、企业内部之间形成了紧密的联系，也就是本文捉到的可信任网络，这种情况f ，需 。要将川户在各应用系统中的数字身份联合起来，使得应川系统间互访问成为可能。这种联合起来 的数字身份可称为“联台身份”。 身份管理是对用户数字身份的整个生命周期的管理【“。包括j _ j 户身份生成、存储、传递、使 l i l = | 、删除、审计等。在现代信息社会里，任何有价值的信息服务都需要对使用者的身份进行验证， 由t - 对用户身份信息的需求儿乎无所不在，用户需要在很多不同的地方或场合提供身份信息，或 者需要某种机制把用户的身份信息传递到这些场台。总之，是否能及时、安全地提供用户身份信 息往往决定是否能够提供个性化的服务，并影响到一项服务是否能够被广穗! 地接受。 身份管理是用于创建、维护和注销数字身份的过程和。i ：具的集合。这些工具允许管理员便捷 而快速地管理大量的j ：f j 户、麻用和系统。以前，身份管理仅被当作目录管理口l ，或者简单地对用 户身份进行数据库式的线性管理。而现在的身份管理已经发展成为包含认证机制、密码管理、 w e b 和企业网的单点登录、账号管理、集成身份访问控制等非常全面的企业安全技术。 1 2 2 身份管理现状 b m c 软件公司2 0 0 5 年5 月首次在上海推广其针对中国市场的身份管理产品。在一系列本地 化的身份管理解决方案之中，首先推出的是身份配置、访问管理和目录管理解决方案。这一产晶 旨在从业务角度出发，实现与服务协调一致，从而帮助客户达成业务服务管理。通过使用b m c 的身份配置、访问管理和目录管理解决方案，客户可以配置和管理内部用户和外部用户的身份访 问权限，同时可以将整个用户群( 包括员工，合作伙伴，供应商和客户) ，与流程、系统利业务 服务联系在一起。客户能够简化身份管理运维，实现法规遵从，并保护敏感身份信息，同时改善 业务服务。 s u n 公司发布了一个整合的身份管理产品线，新产品线由8 个产品整合成了3 个产品，包括 身份管理器、访问管理器和目录服务器企业版。整合有助于企业更方便地用身份信息提供对多个 企业应用的访问” 。s u n 的身份管理产品包括j a v a 系统身份管理器、j a v a 系统接入管理器和j a v a 系统目录服务器企业版。j a v a 系统身份管理器将使系统管理员能够方便地进行身份许可和背景档 案的管理，该产品还具备在不同的产品进行身份同步的功能。j a v a 系统接入管理器将为用户提供 内部网络资源和应用程序的安全接入服务。j a v a 系统目录服务器企业版包括一个容错代理服务 器，具备目录环境的负载平衡功能，此外还能提供活动目录的密码同步功能。与微软产品不同的 是，s u n 拟推出的三种身份管理产品不是以w s 联盟规范为基础，它们将主要支持自由联盟计 划第2 阶段规范和s a m l p j 。 o r a c l e 身份管理是一个集成的、强健的可伸缩身份管理基础絮构。它包括访问管理、用户管 理采| 白助服务、联合支持、用户供应、l d a p v 3 目录服务、目录同步、w e b 服务管理和一个x 5 0 9 v 3 认证中心。o r a c l e 身份管理的主要优势在于它的强健性和可伸缩性、对o r a c l e 产晶现成的 部署支持，以及通过开放、基于标准的实施提供的异构廊用科序支持f 6 ) 。 惠许的o p e n v i e ws e l e c t f e d e r a t i o n 身份管理软件，帮助企, t k 雨r 他们的业务伙伴跨越公司界限， 安全访问不同系统的信息资源。由于使用r 业标准的联合协议，该软件可以在i n t e m e t 上连接若 干帐号一次性而且安全地通过认证，当一个川户浏览同属一个联盟的不同网站时，软什将识别出 2 该_ l | ；户，井提供基丁参数雨1 身份的安全、个性化体验v j 。 除以上提出身份管理解决方案的公司外，其他公司如c a 、惠酱、i b m 、n o v e l l 和微软等都 针对不同的客户和环境推出了相应的身份管理产品和解决方案。总体分析这些产品和解决方案t 可以看山当前的身份管理主要包括身份管理、访问管理以及目录管理三大部分。其中涉及到多种 身份管理技术，包括身份的集中识别策略，即将多个麻用系统的崩户身份集中在一起进行识别； 多种身份鉴别方式，这主要是指除用户名口令外的鉴别方式如智能i c 卡、指纹识别等；联合 身份，在企业内部各应用系统间形成联邦以及在企业间形成联邦，这时就需要部署联合身份。 目前的身份管理系统共包括4 个部分：保存有个人数据信息的目录：一套能够添加，修改， 删除数据的管理系统；验证访问身份的安全系统；确保企业符合隐私法律的审商系统。 1 2 , 3 联合身份领域的相关标准 目前存在的标准体系有w s f e d e r a t i o n ( w e b 服务联盟语言) 、i d f f ( i d e n t i t y f e d e r a t i o n f r a m e w o r k ，自由身份联邦框架) 、i d w sf ( i d e n t i t yw e bs e r v i c ef r a m e w o r k ，身份w e b 服务框架) 和 s a m l ( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ，安全断言标记语言) ，一些组织平u 研究机构还在继续 研究制定新标准。新标准的不断出台说明联台身份管理受到了越来越多的关注。 w s f e d e r a t i o n ( w e b 服务联盟语言) 口】是由微软和i b m 主要开发。w s f e d e r a t i o n 定义了 些机制，以支持身份、帐户、属性、身份验证和身份验证信息跨信任域的共享。利用这些机制， 多个安全域可以通过在由多方参与的w e b 服务之间支持和代理身份、属性和身份验证的信任而结 成联盟。该规范扩展了w s - t r u s t 模型，使属性和笔名可以被整合到令牌发行机制中，从而形成 一种多域身份映射机制。这些机制都支持单点登录、退出和笔名，并描述了专业服务对于属性和 笔名的作用。 i d f f ( 自由联盟统一联合框架) 由自由联盟发布，提供能够已经具有关系的多用户信息进 行联合或链接，使用户一次登录即可享受多家企业提供的服务。为了强化i d f f ，自由联盟又发 表了i d w s f ( 统一w e b 服务框架) 。这种w e b 服务在共享用户信息方面，保护个人隐私和系统 安全。自由联盟没有停止发展其联邦d 规范，但它已经将所有未来的i d f f 发展托付给了 o a s i ss s t c ，由后者在s a m l 2 0 和以后的版本中实现。自由联盟目前将精力集中在进一步开发 i d w s f1 0 标准和身份服务接口规范0 d s i s ) & 。该组织还没育决定是否将这些标准作为完成的 规范交给o a s i s 或其他标准组织。 s a m l ( 安全断言标记语言) 是通过称之为“断言( a s s e r t i o n s ) ”的消息在两个联邦域之间提供对 登录和授权信息进行确认的标准化方式。安拿服务技术委员会( s s t c ) 结构信息标准推进组织 ( o a s i s ) 负责目前的s a m l 开发j ：作。s a m l 可以实现不同的安全服务系统之间的互操作性， 它提供，+ 种机制使得可以在不同的安全服务系统之间交换认证和授权信息。但它本身并不定义 新的认吐与授权的机制，它只是定义了刚丁安全服务之间传输安全信息的交换机制。其关注的重 点不仅局限于信息的描述，而且还在于如何使埽x m l 实现安全信息的共享，使得在i n t e m e t 环境 r ，用标准的方式描述和使用已广泛采用的安全技术”。 1 3 研究意义 在现代信息社会里，任何有价值的信息服务都需要对用户的身份进行验证，用户需要在很多 不同的地方或场台提供身份信息，或者需要某种机制把用户的身份信息传递到这些场合。随着信 息化和电子商务的发展提供这些信息服务的企业间的信息系统之间、企业内部的信息系统之间 建立了相互信任关系，形成“可信任网络”。在可信任网络中需要部署一种有效的身份管理机制 实现对_ 【；| 户信息的统一集成平u 智能化管理。 基t - s a m l 的身份管理系统，能够在可信任网络中的异构系统间传递用户身份信息，简化用 户对企业应用的访问流科：减少用户记住多个密码的繁琐；为企业内部可信任网络提供多个应用 系统的统一管理界面，以及用户身份的统一管理界面，可以减少管理开销；建立在目录基础设施 上的身份信息库，可以集中管理存储企业内部可信任网络用户信息，避免冗余存储，减少存储资 源的浪费。 1 4 研究目标、内容与方法 1 4 1 研究目标 通过研究已有身份管理产品的解决方案和与身份管理相关的技术与规范提出基于s a m l 的身份管理系统的解决方案，使其达到在可信侄网络中对身份认证授权、身份存储和身份管理的 集中处理，并满足易操作性、易管理性、灵活性及可扩展性等多方面要求。 1 4 2 研究内容 本课题的主要研究内容包括： 学习与分析身份管理及联合身份领域的相关标准和相关技术，包括l d a p 目录服务技术、 s a m l 安全声明标记语言和s o a p 简单对象访问协议等。 研究可信任网络环境下的身份认证授权、身份存储、身份管理的统一处理问题。 提【基rs a m l 的身份管理系统解决方案，提出系统框架和主要+ 作流程，包括集中认证、 分散认证和授权认证，以及集中和分散两种配置模式。 没训基丁：s a m l 的身份管理系统，包括安会控制、管理控制台阻及数据存储三个主要功能 模块。 4 1 4 3 研究方法 本文在研究了身份管理的应用现状的基础上，通过分析目前身份管理系统产品的解决方案， 深入研究了身份管理相关技术，提出基于s a m l 的身份管理系统。系统地分析了该身份管理系统 的功能需求、整体系统架构、主要t 作流程咀及系统配置模式。在借鉴目前身份管理系统解决方 案的同时，结合先进技术，对基ts a m l 的身份管理系统进行详细的功能分析与设计，并给出系 统实现方案。 研究思路如下： 图卜1 研究思路 第二章身份管理相关技术 本章主要介绍目前身份管理系统中所使用的相关技术，包括联合身份认证的s a m l 标准、身 份信息存储的l d a p 目录服务以及身份信息传输的s o a p 协议。 2 1s a m l 标准 s a m l i ”即安全声明标记语言，其目的是作为一种基于x m l 的、用于交换安全性信息的框 架，为认证、授权、策略断言提供标准机制。2 0 0 5 年3 月，o a s i s 安全服务协会制定了s a m l 的最新标准( s a m lv 2 o ) 。 s a m l 与其它安全性方法的最大区别，在于它以有关多个主体的断言的形式来表述安全性 ”。其它方法使刚中央认证中心来发放证f ，这些证书保证了网络中从一点到另一点的安全通信。 利用s a m l ，网络中的任何点都可以断定它知道用户或数据块的身份。然后由接收应用程序做出 决定，如果它信任该断言( a s s e r t i o n s ) ，则接受该用户或数据块。任何符台s a m l 的软件然后 都可以断定对川户或数据的认证。 2 ，1 1 s a m l 规范 s a m l 标准主要由s a m l 声明、s a m l 请求响应协议、s a m l 绑定和说明构成。 s a m l 声明( s a m l a s s e r t i o n ) s a m l 声明是s a m l 的基本数据对象【1 “，是对主体( 用户、计算机) 的安全信息( 身份、权限 等) 的x m l 描述形式。s a m l 声明包括三种形式：认让声明，描述与认证成功事件相关的信息 ( 如认证的机构、方式和有效期等) ：属性声明，描述与主体的认证和授权决议相关的信息( 如主体 的标志、所属j _ ； 户组、角色、可访问的资源及权限等) ；授权决议声明，描述许可权奄询和检查的 结果，此结果可以是接收或拒绝主体对资源的访问请求。对应的s a m l 断言能够传递三种信息： 主体完成认证行为的信息、主体的属性信息以及关丁j 主体是否允许访问特定资源的授权决议信 息。声明就是+ 组由签发者提供的包含认证、属性和授权决议信息的集合。 三种卢明可以嵌套在一个声明中j 。每个声明都包含v e r s l o n 、a s s e r t i o n l d 、i s s u e r 、 i s s u e l n s t a n t ( 声明的仓4 建时间) 等必要信息。声明中的 元素用米描述声明的有效时间、 特定的接收者。 元素可包含：o 用来描述认证对象的相关信息。 记录了认证方式、认证时间、i p 地址等内容。 记录了授权的依据、权限等信息。声明只能由认证授权方产生，用户只是声明 的消费者，不能创建声明。 6 s a m l 声明是由专fj 的s a m l 机构( s a m la u t h o r i t y ：n a m e l ya u t h o r i t i e s ，a u t h e n t i c a t i o n a u t h o r i t i e s ，d o t i c vd e e i s i o n “t h 耐t i e s ) 生成和发布的。图2 - 1 描述的是s a m l 机构生成和发布 声明的过程。 图2 1s a m l 机构生成和发布声明的过程 s a m l 请求响应协议( s a m l r e q u e s t r e s p o n s ep r o t o c 0 1 ) s a m l 请求响应协议规定了两点间共享s a m l 数据所需交换的消息种类和格式。通过该协 议，用户可以向s a m l 权威发送请求( 包括认证声明、属性声明和授权声明等相关信息的查询) ， 并从s a m l 权威获得响应。 s a m l 声明在源站点和目的站点之间传送时采用请求应答方式。3 种声明在不同情况下可嵌 入请求应答消息中传送。s a m l 协议定义了请求应答消息的格式和内容。每个请求消息都包含 惟一标识此请求消息的i d 、版本、创建时间、请求获得的内容、数字签名苍元素。相应的应答消 息也包含惟一标识此回复消息蛉i d 、版本、创建时间、网复消息的接收者、请求者需要获得的声 明、接受或拒绝请求的状态标识等。请求消息中可以包含三种类型的卉| 旬( q u e r y ) ，分别是主体 查询( s u b j e c t q u e r y ) 、认证查淘( a u t l l e n t i c a l i o n q u e r y ) 、属性查询( a t t r i b u t eq u e r y ) 和授权决策 查询( a u t h o r i z a t i o n q u e r y ) ，分别对应卜不同卢明的蠢向7 】。通过请求巾l | 复消息，源站点和目的 站点可交换安全信息。在交换安全信息的过删中，必颁对发送端和接收端的身份以及x m l 文档 的创建者进行身份认证。 s a m l 绑定( s a m lb i n d i n g ) s a m l 绑定描述了传输时s a m l 声明及请求圈复消息如何与具体协议绑定i l ”。在s a m l l 1 的规范中，它只规定了s a m l 到s o a p ( 简单对象访问协议) 协议上的绑定。在s a m l 2 0 草 案中，又增加了逆向的s o a p 绑定( 即p a o s 绑定) 、h t t p 重定哥绑定、h t t p p o s t 绑定、 s a m l a r t i f a c t 绑定、s a m lu r i 绑定。 s a m l s o a p 绑定规定了如何使用s o a p 消息类传输s a m l 请求肃i 响应，当使用s o a p 绑定 时，s a m l 消息( 即断言) 就是一个s o a p 消息，存放在s o a p 消息体中。该s o a p 消息如下图 所示，当s o a p 消息用于从s a m l 机构来回地发送s a m l 断言的请求或者响应的时候，s o a p 消息体中只能有s a m l 信息，而不能有其他消息，该规范同时规定s o a p 体中的请求或者响应不 能多于一个。绑定的目的不是保证s o a p 消息的安全，因此对于断言这类的敏感信息，应该在 s a m l 机构和请求者之间执行身份验证，同时还需要保证s o a p 消息的机密性和完整性。s a m l 请求或响应在的s o a p 消息中的位置如图2 - 2 所示。 图2 - 2s a m l 请求或响应在s o a p 消息中的位置 s a m l 说明( s a m lp r o f i l e ) 实现s s o 是设计s a m l 的主要目的。在s a m l l1 的绑定和说明文档中定义了2 种实现 w e b s s o 的认证授权方式：b r o w s e r a r t i f a c t 方式和b r o w s e r p o s t 方式。2 种方式都由用户浏览器、 源站点( 一般为认证服务器) 和目的站点组成。源站点和目的站点间传送声明时，采用s a m l 协议 中定义的请求应答消息格式m 】。 f 1 ) b r o w s e “a r u f a c t 方式 b r o w s e r a r t i f a c t 方式的认证过程如图2 - 3 所示。其中a r t i f a c t 是标识，用来惟一指向一个完 整的s a m l 声明。 请求 j 响应 ： 譬一一 ：请求： ： ；请求 ：iit 一 陲一 li 望! ! 皇 一 ： ：一= 一= 二一 b 旦! ! 土j k 二一一一一一一一一一一一一一一一一一一一一一一一一一j 图2 3b r o w s e r a r tf a c t 方式 浏览器闻传送消息h l t r pu r l 形式为h t t p ： ： ? 其中， ： 表示站点的地址及请求文档的路径。 采用 t a r g e t = & t a r g e t = 形式，用于表示目的站点的资源和指向声明的a r t i f a c t 。 认证过程分为6 个步骤： 1 ) 用户浏览器访问站点间传输服务( 源站点) ，并将预访问资源包含在浏览器请求信息u r l 的 部分。 2 ) 源站点收到请求后，发送应答信息( u r l 的 部分包含了a r t i f a c t ) ，并将用户浏 览器指向目的站点。 3 ) 用户浏览器访问目的站点，井将a r t i f a c t 附在u r l 斤。 4 ) 目的站点通过收到的a r t i f a c t 向源站点请求认证需要的声明。 5 ) 源站点根据a r t i f a c t 向目的站点同复所请求的声明。 6 ) 目的站点根据收到的声明及相关安全策略，向片j 户浏览器发送是否允许访问的授权应答 消息。 以上4 、5 步中，源站点和目的站点间传输声明的过程对用户是透明的。传输时可使用各种 传输协议，如s a m lb i n d i n g sa n dp r o f i l e s 中定义的s o a po v e rh t t p 。2 5 步中由丁在u r l 后附 有与用户认证相关的安全信息，因此可采用s s l 或t l s 等方式进行签名和加密，以保证数据的 机密性和完整性。为确保发送方和接收方身份的真实性，在4 、5 中需双向认证。 ( 2 ) b r o w s e f f p o s t 方式 b r o w s e r p o s t 方式比较简单，用户的认证信息以f o r m 形式提交给目的站点。认证过程如图2 - 4 9 所示。 匣圈圈 i 响应 乓 图2 4b r o w s e r p o s t 方式 具体认证过科如下： 1 ) 用户浏览器访问站点间传输服务( 源站点) ，并将预访问资源附在u r l 之后。 2 ) 源站点产生片j 户认证的声明并以h t m l f o m a 的形式发送给用户浏览器。认证信息用s s l 或t l s 加密。 3 ) 用户浏览器将加密的包含用户认证信息的f o r m 提交给目的站点。 4 ) 目的站点根据收到的声明及相关安全策略，返回是否允许访问资源的授权信息给用户浏 览器。 b r o w s e r p o s t 方式中所有的安全信息都是通过测览器进行传送，因此安全性很难得到保证。 此外，在步骤2 中源站点将用户认证的声明发送给用户浏览器， 这使得声明创建后很难由源站 点控制，囡此在实现w e bs s o 时，最好采用第一种方式。 21 2 s a m l 工作原理 s a m l 管理负责接收并响应客户对声明的请求，它包括认证管理、s a m l 属性管理、授权管 理三个阶段，s a m lj ：栎原理如图2 - 5 所示。 o 皇l ，”、 ( 3 ) + | 受保护资源 认证声明 厂一) ( j ) r 一 譬仨磊爿- 7 鼍 丽c 、 策略实施点 - ，- 【用户r 一认证机构h ，巴i 授权声明卜掣镣略粪策点 【。，j l 一j 、lj ， 图2 - 5s a m l 的工作原理 其中，认证管理中的认证机构，即s a m l 能够识别的任何安全引擎或商业应用程序，负责验 证用户提供的信任凭让( 用户名密码或数字证书) 等，对用户的凭证进行断言，确定用户身份， 九：生成认证声明；属性管理负责保存用户属性信息，并生成属性声明( 如用户资料信息) 。 用户得到由s a m l 断言的认证和识别标志( s a m l 标志) 后，尝试访问一个受保护的资源。 这一访问请求被策略实施点( p e p ，p o l i c y e n f o r c e m e n t p o i n t ) 截取，并被p e p 提交给策略决策点 ( p d p ，p o l i c yd e c i s i o np o i n t ) 。p d p 是能够被s a m l 识别的任何安全引擎或商业应用程序。策 略决策点将根据相应的安全策略和自身的策略标，对用户身份、请求操作及所要访问的资源进行 评测t 做出授权决议，产生一个声明。一旦批准用户对保护资源进行访问。就会产生一个附加在 s a m l 标忐上的属性声明。用户就能够凭借s a m l 标志访问受保护资源。 s a m l 管理在签发s a m l 声明的过程中，可以参考多种信息源来做决策，如外部的决策策略、 作为声明请求一部分的s a m l 声明等。s a m l 管理可以是安全应用程序或者是授权管理基础设 旌。 2 1 3 s a m l 典型应用模式 s a m l 具有协同性、开放性等多方面的特点，这些特点使得s a m l 可以满足多种安全服务的 需求，当前s a m l 的典型应_ 【；| j 模式主要有单点登录、授权服务、b 2 b 和用户会话四种2 】【2 2 l 。 1 、单点登录。用户在一个w e b 站点( 称为源站点) 进行了认证，该站点为用户生成相应的 s a m l 声明，证明崩户己通过认证的事实，并将个与此声明相关联的票据分配给用户，当用户 从该站点访问其伙伴站点( 称为目的站点) 的受保护资源时，该目的站点根据j ： 户提供的票据。 与源站点进行通信，即可确定用户的身份，不需要再次对用户进行认证。这里，源站点担当了用 户信任书收集、认证授权( 可能还有属性授权) 的角色，而目的站点相当于p d p 和p e p 。 2 、授权服务。这是从授权模型的角度看待s a m l 的庶l | j ，凡是符合。f 属情况的，都可算作 此类，即；负责保护谚资源( 或服务实施安全控制的处理器p e p ) 通过访问控制策略处理器( p d p ) 对川户的请求进行检乔，在p d p 进行检蠢时，需要向为j = = i 户进行认证和授权的安全系统请求有关 川户的详细授权信息。该模式通常适用于一个安全边界内，有一个安全服务提供点承f 多个p d p 的情形( 如企业应用或a s p ) ，当用户进入企业时，在企业入e l 处( 一般为w e b 服务器) 向安全 系统进行了认证，系统为用户产生s a m l 声明，并提供给用户一个凭证( 通过写入用户浏览器的 c o o k i e 等方式) ，用户访问企业内的服务，因为每一个服务都位于各自的应用服务器，这些应崩 服务器负责对服务的保护，所以当用户发出访问请求时，应用服务器根据用户提供凭证，从安全 系统取得用户的详细信息，根据这些相联系对用户的请求做出决议。 3 、1 3 2 b 交易事务处理。用于企业间基于文档流( x m l 文档) 的电子商务交易，要求交易 双方首先向其所属的安全域( 或同一个第三方安全服务提供者) 进行认证，认证成功后，双方从 安全系统获取证明用户身份的s a m l 卢明，交易过程中，双方需要根据一定的商务协议，交换各 种文档和数据，s a m l 声明可以与这些文档或数据绑定在一起，用于保证交易的安全性和交易参 与者的合法性。 4 、用户会话。用户利用s a m l 服务在采取单点登录方式信任w e b 站点问自由跳转并且保持 会话参数和位于不同站点上资源的相关信息。源站点提供安全信息，目的站点从中获取必要的信 息以维持用户会话。 2 2l d a p 目录服务 2 2 1 目录服务 目录服务吲就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。目录服务是 一个存储着用于访问、管理和配置网络信息的特殊数据库，它把网络环境中的各种资源都作为目 录信息，在目录树结构中分层存储，对这些信息可以存储、访问、管理并使用。目录服务将分布 式系统中的用户、资源和组成分布式系统的其他对象统一组织起来，提供一个单一的逻辑视图， 允许用户和应用透明地访问网络上的资源。一个由目录服务支持的网络系统是一个集成的、网络 化的、统一的系统，而不是独立功能部分的简单聚合。 2 22 l d a p 目录服务简介 l d a p ：l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c o l 称为轻量级目录访问协议是由美国m i c h i g a n 人学研发的一个新的目录访问协议，是用于检索和管理目录信息的c s 协议规范，最初是作为 x 5 0 0 的前端提出的。所谓轻量级，是相对于基于七层协议的d a p 而言，因为它无需o s i 的上层 协议栈。随着t c p f l p 技术土流地位的确立，l d a p 也得到了越来越多的支持。l d a p 直接运行 丁i p 之上( 不是t c p 就u d p ) ，从最初的以x 5 0 0 为主的应川，发展到独立应片，并扩展到网 络麻川的不同方面。l d a p 涛议从1 9 9 3 年批准，产生了l d a pv i 版本，随后于1 9 9 7 年发布了 第二个版本l d a pv 3 ，它的山现是l d a p 协议发展的一一个里程碑性标志，它使l d a p 胁议不仅 仅作为x 5 0 0 的简化版，同时提供了l d a p 出议许多白有的特性，使l d a p 协议功能更为完备， 1 2 具有了更人的生命力口4 】f 2 5 】【2 6 】。 l d a p 协议是基于客户机服务器模式的、运行于t c p i p 之上的虑_ i = 层协议，一个或多个 l d a p 服务器组成了l d a p 目录树。l d a p 服务器由目录服务模块、复制服务模块和管理模块三 个模块组成。目录服务模块主要由两部分组成：前端部分负责通常的客户机和服务器之间的网络 通信，完成协议解析和分析：后端部分负责目录数据库管理。复制服务模块负责l d a p 服务器之 间的目录数据复制。管理模块负责目录信息管理，以确保用户在期望的反麻时间、完整性、安全 及致性层次上取得准确的目录信息2 ”。 2 2 、3 l d a p 的四种基本模型 1 a n g u a g e st a g ： 1 a n g u a g e s t a g ：a t t r i b u t e v a l u e i d 为可选项，由t 具自动生成；d n 是唯一标识名；对象类是必须有的，可以有一个或多个； 属性类型也可有一个或多个。卜面是以l d i f 表示的一个条目的例子： d n ：c n = z h a n g h u a ，o u = r m u ，o = g d u c o b j e c t c l a s s ：p e r s o n c n ：z h a n g h i l a o u ：m i u o ：g d u c 命名模型 l d a p 中的命名模型，也即l d a p 中的条目定位方式，描述了l d a p 目录中信息组织的唯一 标识方式26 1 。在l d a p 中所有的条目是以一种目录信息树( d i r e c t o r y i n f o r m a t i o n t r e e ，简称d i t ) 的树状结构组织起来的，每个条目均有自己的标识名( d i s t i n g u i s h e d n a r n e ，简称d n ) 。d n 是该 条目在整个树中的唯一名称标识，由一些以一定顺序排列的相关标识名( r e l a t i v e d i s t i n g u i s h e d n a m e ，简称r d n ) 组成。一个目录信息树如图2 7 所示。 图2 7 目录信息树 功能模型 在l d a p 中共有四类1 0 种操作：布询类操作，如搜索、比较；更新类操作，如添加条目、 删除条目、修改条目、修改条目名；认证类操作，如绑定、解绑定；其它操作，如放弃和扩展操 作 2 ”。除了扩展操作，另外9 种是l d a p 的标准操作。扩展操作是l d a p 中为了增加新的功能， 提供的一种标准的扩展框架，当前已经成为l d a p 标准的扩展操作，有修改密码和s t a r t t l s 扩展， 在新的r f c 标准雨l 草案中正在增加些新的扩展操作，不同的l d a p 厂商也均定义了自己的扩 展操作。其中搜索是l d a p 最重要的功能，搜索的范围( s c o p e ) 可以有3 种i ，r 能值： b a s e o b j e c t ：表示要求搜寻b a s e o b j e c t 所指的节点。 4 s i n g l e l e v e ：表示要求搜寻b a s e o b j e c t 所指节点往下一层的节点即可。 w h o l e s u b t r e e ：表示要求搜寻b a s e o b j e c t 节点以f 所有可能的数据项。 安全模型 l d a p 中的安全模型主要通过身份认证、安全通道和访问控制来实现。身份认证在l d a p 中 提供三种认证机制，即匿名、基本认证和s a s l ( s i m p l e a u t h e n t i c a t i o na n d s e c u r e l a y e r ) 认证。 匿名认证即不对用户进行认证，该方法仅对完全公开的方式适用；基本认证均是通过用户名和密 码来进行身份识别，其中分为简单密码和摘要密码认证；s a s l 认证即l d a p 提供的在s s l 和 t l s 安全通道基础上进行的身份认证，包括数字证书的认证，如图2 _ 8 。 通讯安全在l d a p 中提供了基于s s l t l s 的通讯安全保障。s s l t l s 是基于p k i 信