论文部分内容阅读
单点登录技术是一项非常重要的网络安全技术。由于万维网服务技术的广泛使用,如何实现适用万维网服务特点的单点登录成为一个热点问题。
Kerberos协议为分布式网络环境中传统的基于客户机/服务器的网络应用提供了一个较好的统一身份验证和单点登录方案,具有“高度安全性、可靠性、透明性和可伸缩性”,得到了广泛的应用。但是Kerberos协议的客户端实现复杂、存在时间依赖性和重放攻击等问题,此外,Kerberos协议主要关注验证功能,没有完整提供授权等访问控制功能。
安全断言标记语言(SAML)是当前另一个单点登录实现的方案,它是一个基于XML的框架,用于交换有关主体的验证和授权断言信息,SAML模型简单、通用,但SAML本身并没有规定实体间交换信息的安全协议,因此,SAML需要和其它的安全协议或者技术结合使用提供安全的单点登录。
本文通过研究和分析这两种单点登录方案,提出了新的万维网服务环境下单点登录模型。该模型对Kerberos协议进行改进和简化,使其适用于浏览器/服务器结构。同时,为了将授权工作移交给服务提供方,将SAML断言引入到该模型中,使服务提供方可以根据断言中携带的信息进行分布式授权。
万维网服务环境下单点登录模型将Kerberos和SAML进行融合,吸取双方的优势,将身份验证功能和授权功能进行分离,同时提供了单点登录功能和灵活的可定制的访问控制模型,也可以防止重放攻击。最后通过一个应用实例对该模型进行测试,证明了此模型的可行性。