基于中央認(rèn)證服務(wù)的單點(diǎn)登錄方案研究.pdf

1、互聯(lián)網(wǎng)技術(shù)的高度發(fā)展,為網(wǎng)絡(luò)實(shí)體間的交流、合作帶來(lái)的極大的便利,多個(gè)服務(wù)提供方聯(lián)合起來(lái)為共有的用戶群提供服務(wù)已經(jīng)成為現(xiàn)實(shí).在傳統(tǒng)的網(wǎng)絡(luò)協(xié)作模式下,要實(shí)現(xiàn)聯(lián)合服務(wù),管理來(lái)自多個(gè)安全域中的用戶成為服務(wù)提供者面臨的一個(gè)難題;而要準(zhǔn)確地記住在多個(gè)安全域中不同的用戶名/口令對(duì)于用戶來(lái)說(shuō)也是一種負(fù)擔(dān).近年來(lái),隨著XML和Web服務(wù)技術(shù)的興起,為實(shí)現(xiàn)聯(lián)合服務(wù)提供了一個(gè)良好的網(wǎng)絡(luò)技術(shù)基礎(chǔ).作者利用了XML在信息交換和信息定義上平臺(tái)無(wú)關(guān)性的優(yōu)勢(shì),參考了現(xiàn)

2、有的一些現(xiàn)存的單點(diǎn)登錄方案提出了一個(gè)基于中央認(rèn)證服務(wù)的單點(diǎn)登錄解決方案,并在一定程度上給出一個(gè)簡(jiǎn)單的實(shí)現(xiàn)示例.首先,受到耶魯大學(xué)網(wǎng)絡(luò)中心的開(kāi)源項(xiàng)目Yale CAS的啟發(fā),該文提出的單點(diǎn)登錄解決方案中采用了中央認(rèn)證服務(wù)來(lái)作為單點(diǎn)登錄模型對(duì)用戶的信任中心.與Yale CAS相比,我們的模型中采用Web服務(wù)技術(shù)來(lái)實(shí)現(xiàn)中央認(rèn)證服務(wù),它與系統(tǒng)內(nèi)的單點(diǎn)登錄客戶端通信,而不與用戶直接通信,這樣對(duì)用戶隱藏了中央認(rèn)證服務(wù),可以減少惡意用戶對(duì)其進(jìn)行攻擊的可

3、能.其次,該文參考了SAML規(guī)范,提出了單點(diǎn)登錄模型內(nèi)部實(shí)體間的通信消息.鑒于SAML主要應(yīng)用于在不同安全域之間傳遞用戶身份信息,而不處理用戶登錄、注銷等情況,該文又參考了WS-Federation規(guī)范補(bǔ)充了用戶登錄、注銷方面的消息,以實(shí)現(xiàn)單點(diǎn)登錄方案對(duì)多個(gè)安全域中的用戶進(jìn)行管理的功能.最后,該文給出了該模型的一個(gè)簡(jiǎn)單實(shí)現(xiàn)案例.我們?cè)赥omcat服務(wù)器上使用JDK和Axis等工具來(lái)實(shí)現(xiàn)SSO服務(wù)器;又分別在Tomcat服務(wù)器上使用Jav