專利名稱:基于saml2.0的身份認(rèn)證和管理的制作方法
基于SAML2. 0的身份認(rèn)證和管理方法
技術(shù)領(lǐng)域:
本技術(shù)主要解決企業(yè)間用戶身份認(rèn)證和管理的問題�����。根據(jù)SAML2.0規(guī)范����,借助 于現(xiàn)有成熟與開放的框架,實(shí)現(xiàn)用戶單點(diǎn)登錄及企業(yè)間用戶信息的共享���、映射與管理����, 為用戶提供更為全面��、方便的服務(wù)����。二、背景技術(shù)
2.1主要背景技術(shù)
Hypertext Transfer Protocol (HTTP)
Extensible Markup Language (XML)
XML Schema
XML Signaure
Simple Object Access Protocol (SOAP)
Security Assertion Markup Language Version 2.0 (SAML 2.0)
本項(xiàng)目“基于SAML2.0的統(tǒng)一身份認(rèn)證管理系統(tǒng)”吸取了 shibboleth�����、FAME���、 Permis> GUANXK OpenSamL WSS4J等一系列開源項(xiàng)目的經(jīng)驗(yàn),結(jié)合教研室在J2EE�����、XML引擎、安全中間件等方面深厚的技術(shù)功底與項(xiàng)目積淀�,實(shí)現(xiàn)在復(fù)雜環(huán)境下用戶的多 級身份認(rèn)證、單點(diǎn)登錄���、單點(diǎn)注銷以及訪問控制功能����。本項(xiàng)目基于SAML2.0實(shí)現(xiàn)���,支持 在SOAP和XML標(biāo)簽兩個級別的簽名與加解密�,不僅解決了目前其它身份認(rèn)證管理項(xiàng)目 中安全保護(hù)能力弱的問題��,并且提供給用戶自由的安全控制粒度��,符合不同級別的環(huán)境需要�����。
2.2SALM2.0 新特性
項(xiàng)目建立的基礎(chǔ)是SAML 2.0�。SAML是安全斷言標(biāo)記語言Security Assertion Markup Language)的簡稱,是OA^tS為企業(yè)和商業(yè)伙伴之間交換安全信息定義的一套基 于XML的框架。在SAML的應(yīng)用中���,安全信息都是通過在互信的區(qū)域之間以SAML斷 言MAMLAssertions)來傳遞的����。SAML標(biāo)準(zhǔn)為斷言的請求�����、建立����、響應(yīng)、傳遞和使用都 定義了精確和完整的語義及準(zhǔn)則��。
目前SAML的最新版本為2.0�����,2.0在1.1基本上有較大改進(jìn)���,主要表現(xiàn)在
增加了對加密和簽名的支持�����;
對斷言語句的結(jié)構(gòu)有一定改動�����;
對原有的請求/響應(yīng)協(xié)議有調(diào)整�;
增加了一些新的協(xié)議類型�����;
增加了新的綁定��;
增加了新的配置文件�;
本文檔將對2.0新特性以下劃線進(jìn)行特別標(biāo)注。
SAML2.0總體上由六部分組成斷言(Assertions)�����、協(xié)議(Protocols)�、綁 定(Bindings)、配置文件(Proifiles)�����、認(rèn)證上下文(Authentication Context)和元數(shù)據(jù)(Metadata)����。
2.3SALM2.0主要研究內(nèi)容
2.3.1 斷言(assertions)
SAML斷言來產(chǎn)生于斷言方(assertion party,又稱認(rèn)證權(quán)威(Authentication Authority)),由斷言語句(statements)組成�����,它攜帶了關(guān)于某個主體(subject或principal) 的斷言信息���,用于表明該主體身份。例如一條斷言可以包含如下信息該主體的名字 叫 “John Doe”�����,他的 Email 地址是 john.doe@example.com���,并且他是 “engineer” 組的成員��,等等�����。
斷言常常產(chǎn)生于依賴方(relying party)的斷言請求�,但某些情況下���,也有可能 是斷言方主動發(fā)起���。saml-schema-assertion-2.0.xsd定義了 SAML2.0斷言的標(biāo)準(zhǔn)結(jié)構(gòu)����。 SAML定義了三種基本的斷言語句
認(rèn)證斷言語句(Authenticationstatements)用于認(rèn)證某個主體的身份�����。
屬性斷言語句(Attribute statements)用于說明某個主體具有屬性�,比如說明 John Doe 擁有 “Gold Card”�。
授權(quán)決策語句(Authorizationdecisionstatements)用于說明某個主體可以進(jìn)行 的操作,比如確定John Doe是否有權(quán)訪問某個特定的資源�����。
2.3.2 協(xié)議(Protocols)
協(xié)議用于完成SAML斷言及其它身份管理信息的請求與響應(yīng)��。
認(rèn)證請求協(xié)議(Authentication Request Protocol)為某個主體(或主體的代理)請求包含該主體身份信息的斷言(也可能包含屬性信息)�����。
單點(diǎn)注銷協(xié)議MingleLogoutProtocol)定義了一個能夠?yàn)槟硞€主體實(shí)現(xiàn)近似同 步(near-simultaneous)注銷多個活動session的機(jī)制��。
斷言查詢及請求協(xié)議(AssertionQuery and Request Protocol)為獲得某 SAML 斷言提供了一套請求和查詢機(jī)制�。請求協(xié)議用于向斷言方詢問某個斷言ID所對應(yīng)的斷言���; 查詢協(xié)議用于向斷言方查詢某個主體所對應(yīng)的斷言信息。
輔件解析協(xié)議(Artifact Resolution Protocol)輔件是一種對SAML協(xié)議信息的弓I用����,其長度較小并且固定,可以通過輔件來間接地傳遞SAML協(xié)議��。輔件的接收方通過 輔件解析協(xié)議向消息的發(fā)送方詢問并獲得協(xié)議的真實(shí)信息�。
ID管理協(xié)議(Name Identifier Mamigement Protocol)可以通過該協(xié)議更改主體名 字的形式或內(nèi)容。更改請求的發(fā)起方可能是SP����,也可能是IDP。
ID 映射協(xié)議(Name Identifier Mapping Protocol)將某個 ID 映射為另一個 ID�����。
2.3.3 綁定(Bindings)
SAML協(xié)議本身不能被直接傳輸��,協(xié)議信息需要綁定到可傳輸協(xié)議內(nèi)部以通過 網(wǎng)絡(luò)進(jìn)行傳遞�����。SAML2.0定義了以下幾種綁定
HTTP Redirect Binding SAML 協(xié)議的信息可以通過 HTTP Redirect 方式傳遞����,主要用于信息量較少的情況��,比如輔件常常采用該綁定形式��。
HTTP POST Binding SAML 協(xié)議信息可以通過 HTML form 以 Base64 編碼方式傳遞����。
HTTP Artifact Binding 定義SAML輔件的傳輸方式��,以上兩種機(jī)制都可以用于傳輸��。
SAML SOAP Binding SAML 可以通過 SOAP1.1 傳輸����。
Reverse SOAP (PAOS) Binding:主要用于增加的客戶端或代理配置文件����,主要用在移動終端上。
SAML URI Binding SAML斷言信息也可以包含在URI中���,并通過該協(xié)議進(jìn)行解析����。
2.3.4 配置文件(Profiles)
SAML定義了一系列的配置文件(Profiles)說明斷言、協(xié)議和綁定在特定的應(yīng)用 場景中是如何協(xié)同工作的�����。
關(guān)于配置文件的具體工作方式將在下一章中詳述���。
Web Browser SSO Profile 定義SAML實(shí)體間如何使用SAML請求/響應(yīng)斷言信 息以通過標(biāo)準(zhǔn)瀏覽器實(shí)現(xiàn)單點(diǎn)登錄����。
Enhanced Client and Proxy (ECP) Profile
Identity Provider (IDP) Discovery Profile 為 SP 提供一種可以發(fā)現(xiàn)用戶最近訪問 過的IDP的機(jī)制���,常常被稱為WhereAreYou From(WAYF)�����。
Single Logout Profile 定義了在 SOAP��、HTTP Redirect 等綁定方式下的單點(diǎn)注銷協(xié)議的使用方式��。
Assertion Query/Request Profile 定義 SAML 查詢 / 請求協(xié)議是如何獲得 SAML斷言的方式�。
Artifact Resolution Profile 定義SAML實(shí)體間如何在一個同步綁定(如SOAP)上利用輔件解析協(xié)議來獲得輔件所引用的斷言信息��。三、發(fā)明內(nèi)容
3.1 概述
為聯(lián)盟內(nèi)所有人員統(tǒng)一分配賬號����,通過統(tǒng)一的接口,對用戶信息進(jìn)行統(tǒng)一的管 理��,集中的存儲����,避免因信息不同步、數(shù)據(jù)冗余帶來的誤解和決策分歧���;通過統(tǒng)一的接 口實(shí)現(xiàn)各應(yīng)用系統(tǒng)的用戶身份認(rèn)證及授予該用戶相應(yīng)的使用權(quán)限;實(shí)現(xiàn)一次登錄后能在 系統(tǒng)問自由的切換���。
用戶信息的統(tǒng)一管理通過統(tǒng)一的接口�,對用戶信息進(jìn)行統(tǒng)一的管理��,集中的 存儲���,避免因信息不同步���、數(shù)據(jù)冗余帶來的誤解和決策分歧;用戶身份的認(rèn)證與授權(quán) 通過統(tǒng)一的接口實(shí)現(xiàn)各應(yīng)用系統(tǒng)的用戶身份認(rèn)證及授予該用戶相應(yīng)的使用權(quán)限����;單點(diǎn)登 錄實(shí)現(xiàn)一次登錄后能在系統(tǒng)問自由的切換.不用每到一個應(yīng)用系統(tǒng)義要重新手動輸入 賬號�、密碼等信息重新登錄一次����;對目前系統(tǒng)的集成實(shí)現(xiàn)和目前已有系統(tǒng)的無縫結(jié) 合,充分利用已有投資�。在統(tǒng)一身份管理模塊中,本項(xiàng)目遵循SAML2.0規(guī)范��,以符合國 際規(guī)范�。本項(xiàng)目基于安全中間件技術(shù)原理,采用統(tǒng)一身份認(rèn)證���、單點(diǎn)登錄����、XML引擎流 水線技術(shù)����、單點(diǎn)注銷和基于RBAC的訪問控制等關(guān)鍵技術(shù),在對Apache Web服務(wù)器內(nèi)部 結(jié)構(gòu)線程調(diào)度����、內(nèi)存分配�、模塊管理���、日志機(jī)制����、出錯管理等深入研究的基礎(chǔ)上����,并充 分吸取 shibboleth、FAME���、Permis> GUANXI���、opensaml�、WSS4J 等一系列開源項(xiàng)目經(jīng) 驗(yàn),提出了基于SAMLengine2.0的統(tǒng)一身份認(rèn)證管理平臺���,實(shí)現(xiàn)了集多種認(rèn)證方式的連接接入管理�����、XML格式驅(qū)動���、SOAP加解密和簽名以及驗(yàn)證�、以及基于ACXML的訪問 控制功能��,不僅解決了目前其它身份認(rèn)證管理項(xiàng)目中安全保護(hù)能力弱的問題���,并且提供 給用戶自由的安全控制粒度����,符合不同級別的環(huán)境需要����,為系統(tǒng)構(gòu)建了良好的可升級、 易集成的軟總線架構(gòu)���。此外�,系統(tǒng)還提供動態(tài)熱插拔擴(kuò)展模塊機(jī)制���,使功能模塊可以方 便的加入和卸出系統(tǒng)���,為系統(tǒng)以后的擴(kuò)展和功能的動態(tài)管理預(yù)留了接口�。同時系統(tǒng)平臺 還支持底層管理�,如統(tǒng)一的日志、出錯管理等�����。
3.2本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案
系統(tǒng)整體上4部分組成認(rèn)證主體Subject或Principal)����、服務(wù)提供者SP (Service Provider)和身份提供者IdP (Identity Provider)、身份認(rèn)證服務(wù)搜索及重定向服務(wù) (WAYF),其中SP負(fù)責(zé)對用戶身份進(jìn)行核查�,該用戶是否已經(jīng)登錄以及用戶屬性獲取���; WAYF主要負(fù)責(zé)向SP提供IDP的地址�����,并重定向到該IDP ��; IDP是整個系統(tǒng)的核心���,主 要負(fù)責(zé)對用戶身份進(jìn)行認(rèn)證����,授權(quán)以及用戶屬性查詢���;AC服務(wù)根據(jù)用戶權(quán)限對用戶的 訪問進(jìn)行控制。整個系統(tǒng)以IDP為核心����,SP、WAYF以及AC與IDP之間都通過基于 SAML2.0的斷言進(jìn)行消息傳遞��。并且在本項(xiàng)目中提出了 SAML引擎的概念�,它主要負(fù)責(zé) 斷言生成、解析���、釋放以及其它SAML2.0中提到的功能����。在設(shè)計過程中����,項(xiàng)目組充分考 慮到了安全的重要性,并進(jìn)行的詳細(xì)的考慮���。比如SAML的簽名和加密�,用戶屬性證書寸寸。
此系統(tǒng)架構(gòu)設(shè)計是項(xiàng)目組基于前期對目前該領(lǐng)域最前沿的技術(shù)以及最新的 SAML2.0協(xié)議進(jìn)行分析后進(jìn)行的設(shè)計�,由于時間倉促,項(xiàng)目組將在接下來的項(xiàng)目設(shè)計過 程中不斷完善�����。
認(rèn)證主體即需要被認(rèn)證的實(shí)體�����,也是服務(wù)的接受者��,可能是一個具體的用戶����, 也可能是一個代理(Agent)。認(rèn)證主體使用客戶端軟件通過SAML斷言完成身份認(rèn)證���, 以實(shí)現(xiàn)應(yīng)用間的單點(diǎn)登錄�����。
認(rèn)證主體最常采用的客戶端軟件是瀏覽器����,并通過HTTP�����、SOAP傳遞信息�, SAML2.0增加了對客戶端軟件的支持,特別是對于移動終端的支持���。
身份提供者保存了用戶的身份和相關(guān)屬性信息����。SAML2.0稱之為IdPCtdentity Provider),而舊版本SAML則稱之為Origte�。IdP處理發(fā)自于斷言依賴方的斷言請求,并 生成斷言信息以響應(yīng)該請求�����。
服務(wù)提供者是用戶享用服務(wù)的所在地���,用戶所需要的資源位于SP上����。SP根據(jù) 用戶身份提供并管理相關(guān)的服務(wù)���,而身份的認(rèn)證則依賴于來自于IdP的斷言信息�����。
SAML斷言包含了用戶的賬戶信息�,在網(wǎng)絡(luò)傳輸過程中,同樣面臨各種安全威 脅����。在saml-sec-consider-2.0-os中,較為詳細(xì)的闡述了 SAML過程中可能出現(xiàn)的安全威 脅及其應(yīng)對策略����。
3.3項(xiàng)目先進(jìn)性
3.3.1應(yīng)用創(chuàng)新
系統(tǒng)基于SAML2.0標(biāo)準(zhǔn)進(jìn)行開發(fā)比起SAML1.1,新的協(xié)議在斷言���、協(xié)議����、Profiles方面進(jìn)行了補(bǔ)充����,并且新增了基于SAML的簽名、加解密以及利用元素?fù)?jù)對認(rèn)證 實(shí)體進(jìn)行描述的功能。解決了認(rèn)證過程中可能存在的竊聽�、重放、篡改等安全隱患��,提 供了一個能夠在復(fù)雜環(huán)境中進(jìn)行身份認(rèn)證的更加安全和可靠的技術(shù)方案����。
3.3.2技術(shù)創(chuàng)新
基于并行流水線原理的SAML引擎基于工廠流水線原理�,將SAML斷言的構(gòu) 造、解析�、加密、簽名等功能拆分成串行的步驟�,再結(jié)合多線程機(jī)制構(gòu)造出一個專門負(fù) 責(zé)處理SAML相關(guān)操作的引擎,利用該技術(shù)可以極大的提高系統(tǒng)的執(zhí)行效率�����。
動態(tài)熱插拔的模塊擴(kuò)展機(jī)制通過對系統(tǒng)進(jìn)行合理的設(shè)計�,實(shí)現(xiàn)身份認(rèn)證模 塊、多級認(rèn)證模塊和用戶授權(quán)訪問控制模塊動態(tài)熱插拔�。用戶可以根據(jù)自己的需要進(jìn)行 產(chǎn)品定制,該技術(shù)使本項(xiàng)目能夠滿足各個層次����、不同需求的用戶需要。
3.3.3集成創(chuàng)新
多級身份認(rèn)證框架使用Linux-Pam對Linux平臺上的多級用戶身份認(rèn)證機(jī)制進(jìn) 行實(shí)現(xiàn),提供給用戶一個多個信任級別的身份認(rèn)證框架����,解決目前身份認(rèn)證系統(tǒng)中認(rèn)證 方式單一而帶來的訪問控制粒度粗放以及資源權(quán)限劃分不明確的問題。四
圖1-1統(tǒng)一身份認(rèn)證管理框架
圖1-2SALM2.0 結(jié)構(gòu)
圖1-3系統(tǒng)組成部分及依賴關(guān)系
圖1-4系統(tǒng)整體架構(gòu)
圖1-5IDP組成
圖1-6IDP平臺設(shè)計
圖1-7SP組成
圖1-8SP平臺設(shè)計
圖1-9WAYF 組成
圖1-10系統(tǒng)應(yīng)用部署與基本流程圖五具體實(shí)施方式
用戶信息的統(tǒng)一管理通過統(tǒng)一的接口��,對用戶信息進(jìn)行統(tǒng)一的管理�,集中的 存儲,避免因信息不同步���、數(shù)據(jù)冗余帶來的誤解和決策分歧�;用戶身份的認(rèn)證與授權(quán) 通過統(tǒng)一的接口實(shí)現(xiàn)各應(yīng)用系統(tǒng)的用戶身份認(rèn)證及授予該用戶相應(yīng)的使用權(quán)限����;單點(diǎn)登 錄實(shí)現(xiàn)一次登錄后能在系統(tǒng)問自由的切換.不用每到一個應(yīng)用系統(tǒng)義要重新手動輸入賬 號、密碼等信息重新登錄一次�����;對目前系統(tǒng)的集成實(shí)現(xiàn)和目前已有系統(tǒng)的無縫結(jié)合��, 充分利用已有投資����。在統(tǒng)一身份管理模塊中,本項(xiàng)目遵循SAML2.0規(guī)范,以符合國際規(guī) 范�����。
5.1具體服務(wù)
5.1.1認(rèn)證主體
認(rèn)證主體即需要被認(rèn)證的實(shí)體�����,也是服務(wù)的接受者�,可能是一個具體的用戶���, 也可能是一個代理(Agent)�。
認(rèn)證主體使用客戶端軟件通過SAML斷言完成身份認(rèn)證����,以實(shí)現(xiàn)應(yīng)用間的單點(diǎn)登錄。
認(rèn)證主體最常采用的客戶端軟件是瀏覽器�����,并通過HTTP����、SOAP傳遞信息,SAML2.0增加了對客戶端軟件的支持,特別是對于移動終端的支持�����。
認(rèn)證主體為了訪問SP上的資源��,可能首先訪問SP����,也可能首先訪問IdP,在 SAML2.0 上分別對應(yīng) SP"tnitiated 和 IdP-Initiated���。
5.1.2 身份提供者(IdP)
身份提供者保存了用戶的身份和相關(guān)屬性信息�。SAML2.0稱之為IdPCtdentity Provider),而舊版本SAML則稱之為Origte���。IdP處理發(fā)自于斷言依賴方的斷言請求�����,并 生成斷言信息以響應(yīng)該請求�����。
5.1.2.ISSO Service
單點(diǎn)登錄服務(wù)(Single Sing-On Service)���,這個模塊用是IdP與SP或WAYF的第 一個接口���,用于處理SP的SAML請求,并傳遞給認(rèn)證權(quán)威(Authentication Authority)以生成認(rèn)證斷言���,再將斷言信息傳遞同請求方以響應(yīng)該請求��;或傳遞給屬性權(quán)威(Attribute Authority)以生成屬性信息�,并傳遞回請求方����。
5.1.2.2Authentication Authority
認(rèn)證權(quán)威��,用于為某個主體生成斷言��,是斷言語句的產(chǎn)生者���,該服務(wù)也可以與 SSO集成以集中處理斷言請求�。
5.1.2.3Artifact Resolution Service
輔件解析服務(wù)�,用于處理使用了輔件的配置文件形式。在使用輔件的情況下���, IdP返回該輔件而不是整個斷言���,因此SP需要將得到的輔件發(fā)送給該輔件解析服務(wù)以得 到真實(shí)的斷言信息���,得到斷言的過程是在“背后通道(back-channel) ”中進(jìn)行的,因此并 不影響SSO Service的工作�。
5.1.2.4Attribute Authority
屬性權(quán)威,用于處理SP的屬性請求�����。屬性權(quán)威產(chǎn)生屬性斷言語句����,并返回給 SP。
5.1.3服務(wù)提供者6P)
服務(wù)提供者是用戶享用服務(wù)的所在地�,用戶所需要的資源位于SP上。SP根據(jù) 用戶身份提供并管理相關(guān)的服務(wù)��,而身份的認(rèn)證則依賴于來自于IdP的斷言信息�����。
5.1.3. IGuard
守衛(wèi)服務(wù)�,用于處理來自用戶的訪問請求���。不同于Shibboleth,在GUANXI項(xiàng) 目中�����,單獨(dú)提出了守衛(wèi)報務(wù)�。守衛(wèi)服務(wù)接收用戶訪問資源的請求,并驗(yàn)證用戶是否需要 身份認(rèn)證����,如果需要,則Redirect至SAML請求地址���。Guard本身并不參與SAML斷言 的整個過程��。典型的����,一個Guard就是一個filter���。
5.1.3.2Assertion Consumer Service
斷言消費(fèi)服務(wù),舊版本中稱為SHIRE�,接收并提取IdP提供的斷言信息以完成用 戶身份認(rèn)證���,該斷言信息可能來自于SSO Service,也可能來自于Artifact Resolution����,取 決于采用的配置文件類型。
5.1.3.3Attribute Requester
屬性請求�����,舊版本中稱為SHAR�����,用于產(chǎn)生用戶屬性請求信息����。當(dāng)用戶通過身 份認(rèn)證并在SP上生成安全上下文Security Context)信息后,訪問控制器可能需要用戶 的進(jìn)一步的屬性信息����,則由屬性請求向IdP的AttributeAuthority提出屬性請求,AttributeAuthority隨后通過背后通道返回屬性斷言���。
斷言消費(fèi)服務(wù)與屬性請求服務(wù)是SP上處理SAML信息的兩大模塊�����,統(tǒng)稱為 SAML Engine (來自于GUANXI中的定義)����。
5.1.3.4Access Control 與 Resource
訪問控制器位于資源前方,當(dāng)用戶完成身份認(rèn)證并試圖訪問資源時��,完成對用 戶的訪問控制���,以驗(yàn)證用戶是否有足夠的權(quán)限訪問該資源�。關(guān)于訪問控制的更進(jìn)一步實(shí) 現(xiàn)����,則需結(jié)合RBAC與XACML。
資源是用戶訪問的最終目的地���,因此舊版本的SAML將資源所在地稱之為 target,而SAML2.0則以RelayState變量進(jìn)行標(biāo)識��,該標(biāo)識可能是目的地URL字串���,也可能是目的地的索引�。
5.1.4Where Are You From (WAYF)服務(wù)
該服務(wù)用于存儲用戶訪問過的IdP�����,以幫助用戶管理IdP信息�����。在舊版本的 SAML中����,并沒有提出該服務(wù)�����,而SAML2.0則專門提出了相關(guān)的配置文件類型Identity Provider (IdP) Discovery Profile���。WAYF 充當(dāng)了 SP 向 IdP 的代理���,很大程度上減輕了 SP 管理其IdP的負(fù)擔(dān)。
在實(shí)際中�����,當(dāng)用戶第一次進(jìn)入WAYF時,WAYF提供可選的IdP列表讓用戶選擇 IdP��。當(dāng)用戶選擇完畢以后����,WAYF代SP向該IdP發(fā)送SAML請求,并同時將該IdP信 息記入cookie���,這樣當(dāng)用戶下次訪問時則無需選擇��,WAFY直接向cookie中的IdP發(fā)送請求�。
在samFprofiles-2.0-os 文檔中����,對IdP Discovery Profile進(jìn)行了較為詳細(xì)的規(guī)定, 比如cookie的名字必須為“_saml_idp”���,并對cookie的獲得和設(shè)置都做出了相應(yīng)的規(guī)定�����。
5.2系統(tǒng)具體流程
用戶發(fā)起資源請求����;Guard截獲該用戶請求并進(jìn)行分析,如果該用戶已經(jīng)登錄 則跳轉(zhuǎn)到12��,否則跳轉(zhuǎn)到2 ��; Guard向WAYF詢問IDP的地址�;
WAYF將該用戶的請重定向到IDP的SSO Service �;
SSO Service要求用戶進(jìn)行身份驗(yàn)證;
用戶輸入驗(yàn)證Token;
IDP SSO Service生成一個輔件ID返回SP (這樣做是為了提高系統(tǒng)的效率)���;
SP斷言消費(fèi)服務(wù)接收該SAML斷言����,并取出輔件ID�����,并向IDP的輔件服務(wù)請求 用戶身份驗(yàn)證內(nèi)容�;
輔件服務(wù)向認(rèn)證權(quán)威獲得用戶身份驗(yàn)證結(jié)果;
輔件服務(wù)向SP斷言消費(fèi)服務(wù)返回結(jié)果���;
SP屬性請求模塊向IDP的用戶屬性權(quán)威請求該用戶的用戶屬性����;
IDP返回用戶屬性;
用戶通過身份驗(yàn)證���,SP將用戶請求發(fā)往AC;
AC對用戶訪問進(jìn)行檢查��,如果在授權(quán)范圍之類則通過�,否則用戶訪問被拒絕�。
權(quán)利要求
1.基于SALM2.0的統(tǒng)一身份認(rèn)證和管理其特征是基于工廠流水線原理,將 SAML斷言的構(gòu)造���、解析���、加密、簽名等功能拆分成串行的步驟��,再結(jié)合多線程機(jī)制構(gòu) 造出一個專門負(fù)責(zé)處理SAML相關(guān)操作的引擎�����。
2.根據(jù)權(quán)利要求1所述的基于SALM2.0的統(tǒng)一身份認(rèn)證和管理其特征是新的協(xié) 議在斷言���、協(xié)議�、Profiles方面進(jìn)行了補(bǔ)充���,并且新增了基于SAML的簽名�����、加解密以及 利用元素?fù)?jù)對認(rèn)證實(shí)體進(jìn)行描述的功能�,解決了認(rèn)證過程中可能存在的竊聽�����、重放���、篡 改等安全隱患����,提供了一個能夠在復(fù)雜環(huán)境中進(jìn)行身份認(rèn)證的更加安全和可靠的技術(shù)方 案�����。
3.根據(jù)權(quán)利要求1所述的基于SALM2.0的統(tǒng)一身份認(rèn)證和管理其特征是通過對 系統(tǒng)進(jìn)行合理的設(shè)計�,實(shí)現(xiàn)身份認(rèn)證模塊、多級認(rèn)證模塊和用戶授權(quán)訪問控制模塊動態(tài) 熱插拔�,用戶可以根據(jù)自己的需要進(jìn)行產(chǎn)品定制,該技術(shù)使本項(xiàng)目能夠滿足各個層次�����、 不同需求的用戶需要。
4.根據(jù)權(quán)利要求1所述的基于SALM2.0的統(tǒng)一身份認(rèn)證和管理其特征是使用 Linux-Pam對Linux平臺上的多級用戶身份認(rèn)證機(jī)制進(jìn)行實(shí)現(xiàn)�,提供給用戶一個多個信任 級別的身份認(rèn)證框架,解決目前身份認(rèn)證系統(tǒng)中認(rèn)證方式單一而帶來的訪問控制粒度粗 放以及資源權(quán)限劃分不明確的問題��。
全文摘要
基于SALM2.0的統(tǒng)一身份認(rèn)證和管理屬于信息技術(shù)領(lǐng)域�����,主要解決企業(yè)間用戶身份認(rèn)證和管理的問題�����。根據(jù)SAML 2.0規(guī)范����,借助于現(xiàn)有成熟與開放的框架,實(shí)現(xiàn)用戶單點(diǎn)登錄及企業(yè)間用戶信息的共享��、映射與管理�����,為用戶提供更為全面�����、方便的服務(wù)。系統(tǒng)整體上由3部分組成認(rèn)證主體即需要被認(rèn)證的實(shí)體���,也是服務(wù)的接受者��,可能是一個具體的用戶�����,也可能是一個代理(Agent);身份提供者保存了用戶的身份和相關(guān)屬性信息�。IdP處理發(fā)自于斷言依賴方的斷言請求,并生成斷言信息以響應(yīng)該請求����。服務(wù)提供者是用戶享用服務(wù)的所在地,用戶所需要的資源位于SP上�����;SP根據(jù)用戶身份提供并管理相關(guān)的服務(wù)�����,而身份的認(rèn)證則依賴于來自于IdP的斷言信息。
文檔編號H04L29/06GK102025495SQ200910167660
公開日2011年4月20日 申請日期2009年9月17日 優(yōu)先權(quán)日2009年9月17日
發(fā)明者佘堃, 唐雪飛, 汪海良, 陳科 申請人:成都康賽電子科大信息技術(shù)有限責(zé)任公司