论文部分内容阅读
国内外对单点登录的研究已经持续多年,存在大量的解决方案和技术突破。但这些研究主要集中在组织或企业内部,其关注点在于将小范围内的各类软件进行集成,集成的方案也多采用集中单点登录形式进行。随着面向服务架构在业界普及,企业计算已经由单纯的内部历史应用整合阶段过渡到“合纵连横刀并重的时代。整合组织之间各类服务的需求使跨组织的单点登录问题暴露无遗。由于传输安全和数据隐私无法在组织之间得到保障,不可能将所有企业的身份数据集中管理,传统的集中单点登录已经不能满足在数据分布的情况下实现单点登录功能。同时,各异的单点登录方案之间由于数据和行为不一致导致方案之间不能进行互操作,使得孤岛效应扩大化。
为解决组织之间的单点登录并防止孤岛效应进一步扩大,本文在研究和分析现有单点登录解决方案基础上,结合实际项目需要,提出基于增强的SAML2协议堆栈模型的联邦单点登录解决方案,并基于此设计和实现联邦认证授权服务器-FAAS。FAAS通过采用联邦方式在组织之间搭建起一个数据分散、相互信任的单点登录环境;在该互信环境中,通过引入安全断言标记语言,使得其可以与其他单点解决方案互操作,进而防止孤岛效应的扩大化。同时,FAAS采用面向服务原则,基于组件的设计方式进行构建。通过在分布式的环境中采用服务者和消费者模式,将所有的认证、授权、查询业务过程打包成独立的可执行单元。每个单元都作为“端点”对外进行服务。
相对于传统的单点登录解决方案,FAAS不但能够降低软件耦合程度,提高软件复用率;减少用户重复认证次数,提高用户效率,而且具有如下特点:
·采用改进的SAML2协议堆栈模型。在保证不同实现方案之间互操作和具体应用服务的快速切换基础上,克服了标准SAML2处理分布式服务中的不足。
·采用增强的联邦单点登录方式。不但可以进行组织内部的应用集成,而且可以为组织之间的服务整合搭建一个基本可信的单点登录环境。
·遵循SOA的系统架构。使得请求者可以在基于不同操作系统和不同应用平台的服务间自由流动。
目前,FAAS已经能够基本满足跨组织的认证授权需求。