基于中央認證服務的單點登錄方案研究.pdf

1、互聯網技術的高度發(fā)展,為網絡實體間的交流、合作帶來的極大的便利,多個服務提供方聯合起來為共有的用戶群提供服務已經成為現實.在傳統(tǒng)的網絡協作模式下,要實現聯合服務,管理來自多個安全域中的用戶成為服務提供者面臨的一個難題;而要準確地記住在多個安全域中不同的用戶名/口令對于用戶來說也是一種負擔.近年來,隨著XML和Web服務技術的興起,為實現聯合服務提供了一個良好的網絡技術基礎.作者利用了XML在信息交換和信息定義上平臺無關性的優(yōu)勢,參考了現

2、有的一些現存的單點登錄方案提出了一個基于中央認證服務的單點登錄解決方案,并在一定程度上給出一個簡單的實現示例.首先,受到耶魯大學網絡中心的開源項目Yale CAS的啟發(fā),該文提出的單點登錄解決方案中采用了中央認證服務來作為單點登錄模型對用戶的信任中心.與Yale CAS相比,我們的模型中采用Web服務技術來實現中央認證服務,它與系統(tǒng)內的單點登錄客戶端通信,而不與用戶直接通信,這樣對用戶隱藏了中央認證服務,可以減少惡意用戶對其進行攻擊的可

3、能.其次,該文參考了SAML規(guī)范,提出了單點登錄模型內部實體間的通信消息.鑒于SAML主要應用于在不同安全域之間傳遞用戶身份信息,而不處理用戶登錄、注銷等情況,該文又參考了WS-Federation規(guī)范補充了用戶登錄、注銷方面的消息,以實現單點登錄方案對多個安全域中的用戶進行管理的功能.最后,該文給出了該模型的一個簡單實現案例.我們在Tomcat服務器上使用JDK和Axis等工具來實現SSO服務器;又分別在Tomcat服務器上使用Jav