專利名稱:面向asp模式的單一登錄方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及ASP模式下異構(gòu)安全系統(tǒng)間的認(rèn)證問題��,更具體地說�����,本發(fā)明涉及ASP模式下實(shí)現(xiàn)同一ASP平臺(tái)中不同應(yīng)用系統(tǒng)間及不同ASP平臺(tái)間單一登錄的方法及系統(tǒng)。
背景技術(shù):
在互聯(lián)網(wǎng)環(huán)境下�����,以電子政務(wù)��、電子商務(wù)為代表的基于互聯(lián)網(wǎng)的分布式計(jì)算得到了快速的應(yīng)用與發(fā)展�����。應(yīng)用服務(wù)提供商(Application Service Provider����,簡(jiǎn)稱ASP)的概念逐漸引起人們的注意����,基于XML、Web服務(wù)和Portal技術(shù)的ASP應(yīng)用平臺(tái)和應(yīng)用軟件服務(wù)成為企業(yè)信息化與電子商務(wù)的一種發(fā)展趨勢(shì)�。
ASP應(yīng)用平臺(tái)能夠通過互聯(lián)網(wǎng)提供或整合企業(yè)內(nèi)部的多種信息系統(tǒng),如辦公自動(dòng)化��、電子郵件��、協(xié)作平臺(tái)等�,并以統(tǒng)一的用戶界面方式提供給用戶使用����,為企業(yè)相關(guān)的管理者�、應(yīng)用提供商和用戶提供統(tǒng)一的服務(wù)接入點(diǎn)。使得企業(yè)和個(gè)人客戶都能夠得到并負(fù)擔(dān)得起最合適的應(yīng)用軟件����,而無需自己構(gòu)建、運(yùn)營(yíng)和管理應(yīng)用基礎(chǔ)設(shè)施��,也無需關(guān)心這些應(yīng)用所帶來的技術(shù)問題����。
從ASP應(yīng)用平臺(tái)模式可以看出,它具有如下特征一對(duì)多服務(wù)ASP運(yùn)營(yíng)商的相同或者類似的套裝服務(wù)軟件提供給多個(gè)客戶����,用戶如果需要訪問不同的客戶,需要登錄不同的系統(tǒng)�,如郵件、各種應(yīng)用服務(wù)器等進(jìn)行訪問�;以應(yīng)用為中心ASP運(yùn)營(yíng)商提供并管理的是軟件應(yīng)用,這種服務(wù)不同于包含完整的企業(yè)業(yè)務(wù)托管的業(yè)務(wù)流程外包�����,也不同于著重網(wǎng)絡(luò)和服務(wù)器管理的基本托管服務(wù);集中管理ASP運(yùn)營(yíng)商從同一地點(diǎn)集中管理不同客戶軟件�,客戶各自遠(yuǎn)程使用軟件。
ASP應(yīng)用平臺(tái)出于對(duì)所整合的多種應(yīng)用系統(tǒng)安全性的考慮���,往往具有相對(duì)獨(dú)立的身份認(rèn)證和授權(quán)機(jī)制�����,這使得ASP應(yīng)用平臺(tái)和用戶必須面對(duì)安全機(jī)制的多樣性和異構(gòu)性�����,從而導(dǎo)致如下問題1����、用戶重復(fù)登錄問題隨著ASP應(yīng)用平臺(tái)整合和提供的應(yīng)用服務(wù)種類的增多�,用戶需要登錄不同的應(yīng)用系統(tǒng)。傳統(tǒng)的認(rèn)證機(jī)制是基于用戶名/密碼的��,采用分散的用戶管理����。這就迫使用戶必須在每個(gè)系統(tǒng)中具有獨(dú)立的用戶名和密碼�����,進(jìn)入系統(tǒng)時(shí)需要重新提交身份標(biāo)識(shí),通過系統(tǒng)的認(rèn)證�。大量的用戶名、密碼使得用戶為了記住它們�,或者選擇簡(jiǎn)單信息作為口令,或者在多個(gè)系統(tǒng)選擇一致的口令�,降低了系統(tǒng)的安全性,增大了安全隱患����。
2、系統(tǒng)授權(quán)管理復(fù)雜問題ASP應(yīng)用平臺(tái)提供的應(yīng)用系統(tǒng)具有獨(dú)立的身份認(rèn)證機(jī)制��,對(duì)于管理者而言���,需要對(duì)多個(gè)用戶數(shù)據(jù)庫進(jìn)行管理�,包括用戶帳號(hào)的建立���,用戶離開組織時(shí)�����,各系統(tǒng)帳號(hào)的注銷等�。另外,由于各個(gè)ASP應(yīng)用平臺(tái)的安全策略也是獨(dú)立����、分布存儲(chǔ)的,因此造成用戶權(quán)限管理復(fù)雜等問題���。
3��、安全信息的互操作性問題多個(gè)不同的ASP平臺(tái)或者同一平臺(tái)內(nèi)的不同應(yīng)用系統(tǒng)����,如果具有異構(gòu)的認(rèn)證機(jī)制并需要協(xié)作完成任務(wù)時(shí)��,用戶需要跨越平臺(tái)或系統(tǒng)的邊界進(jìn)行多次身份認(rèn)證和授權(quán)����。因此,用戶的認(rèn)證結(jié)果需要被傳遞并被接收者理解�,才能達(dá)到單一登錄的目的。
基于以上的原因����,人們迫切需要改變傳統(tǒng)的認(rèn)證方式,設(shè)計(jì)出一種高效���、安全的認(rèn)證機(jī)制����,從而簡(jiǎn)化訪問ASP應(yīng)用的過程��。由于單一登錄具有提高工作效率���、有效管理��、增強(qiáng)系統(tǒng)安全性等特點(diǎn)��,因此�����,統(tǒng)一的用戶和安全策略管理�����、統(tǒng)一認(rèn)證授權(quán)���、安全域內(nèi)(指同一ASP平臺(tái)中的不同應(yīng)用系統(tǒng)之間)和安全域間(指不同的ASP平臺(tái)間)的單一登錄成為ASP應(yīng)用平臺(tái)急需解決的問題���。
發(fā)明內(nèi)容
鑒于上述原因,本發(fā)明的目的是提供一種面向ASP模式的基于LDAP協(xié)議和SAML規(guī)范的實(shí)現(xiàn)ASP應(yīng)用平臺(tái)內(nèi)各系統(tǒng)間以及ASP應(yīng)用平臺(tái)間單一登錄的方法及系統(tǒng)�。
為實(shí)現(xiàn)上述目的,本發(fā)明采用以下技術(shù)方案一種面向ASP模式的單一登錄方法�����,該單一登錄方法實(shí)現(xiàn)了ASP應(yīng)用平臺(tái)內(nèi)不同應(yīng)用系統(tǒng)間的單一登錄�,它包括以下步驟A、用戶訪問ASP應(yīng)用平臺(tái)內(nèi)的遺留應(yīng)用系統(tǒng)(1)����、用戶登錄ASP應(yīng)用服務(wù)平臺(tái),將用戶在各系統(tǒng)的帳號(hào)提供給ASP應(yīng)用服務(wù)平臺(tái)的域安全服務(wù)器���;域安全服務(wù)器將用戶在ASP應(yīng)用服務(wù)平臺(tái)的帳號(hào)與用戶在域內(nèi)應(yīng)用系統(tǒng)的帳號(hào)之間進(jìn)行帳號(hào)聯(lián)合�,生成帳號(hào)聯(lián)合信息����,即建立一種聯(lián)合關(guān)系Fed(A,P)�����;(2)、域安全服務(wù)器進(jìn)行身份認(rèn)證�,將帳號(hào)聯(lián)合信息存儲(chǔ)到LDAP目錄服務(wù)器中�,使得域內(nèi)每個(gè)用戶擁有唯一的身份標(biāo)識(shí)以及該標(biāo)識(shí)向應(yīng)用系統(tǒng)用戶標(biāo)識(shí)的映射關(guān)系;(3)�����、用戶訪問ASP應(yīng)用平臺(tái)內(nèi)的遺留應(yīng)用系統(tǒng)�����;(4)����、遺留應(yīng)用系統(tǒng)的認(rèn)證模塊向域安全服務(wù)器請(qǐng)求用戶在遺留應(yīng)用系統(tǒng)的賬號(hào)信息;(5)�、域安全服務(wù)器根據(jù)預(yù)先制定的賬號(hào)聯(lián)合信息,將相應(yīng)賬號(hào)返回給遺留應(yīng)用系統(tǒng)的認(rèn)證模塊��;(6)�、遺留應(yīng)用系統(tǒng)的認(rèn)證模塊對(duì)用戶進(jìn)行身份認(rèn)證,完成用戶訪問遺留應(yīng)用系統(tǒng)的身份認(rèn)證�;B、用戶訪問ASP應(yīng)用平臺(tái)內(nèi)的新增應(yīng)用系統(tǒng)(1)���、用戶訪問ASP應(yīng)用平臺(tái)內(nèi)的新增應(yīng)用系統(tǒng)����;ASP應(yīng)用服務(wù)平臺(tái)的新增應(yīng)用系統(tǒng)的管理員發(fā)布新增系統(tǒng)授權(quán)策略,即系統(tǒng)具有的角色���、對(duì)應(yīng)的權(quán)限���;ASP應(yīng)用服務(wù)平臺(tái)的域安全服務(wù)器的管理員通過用戶管理工具,為用戶制定在新增應(yīng)用具有的角色����,從而為用戶分配相應(yīng)的權(quán)限;(2)�����、新增應(yīng)用系統(tǒng)的認(rèn)證模塊向域安全服務(wù)器請(qǐng)求用戶U在新增應(yīng)用系統(tǒng)PN的賬號(hào)信息��;(3)�、ASP應(yīng)用平臺(tái)的域安全服務(wù)器根據(jù)管理員預(yù)先制定的安全策略和用戶的角色指派,生成相應(yīng)的SAML授權(quán)聲明���;(4)�����、ASP應(yīng)用平臺(tái)的域安全服務(wù)器將SAML授權(quán)聲明返回給新增應(yīng)用系統(tǒng)的授權(quán)執(zhí)行模塊�;(5)、新增應(yīng)用系統(tǒng)的授權(quán)執(zhí)行模塊根據(jù)SAML授權(quán)聲明��,對(duì)用戶做出訪問控制��。
一種面向ASP模式的單一登錄方法�����,該單一登錄方法實(shí)現(xiàn)了ASP應(yīng)用平臺(tái)間的單一登錄���,它包括以下步驟A、用戶首先訪問第一個(gè)ASPA應(yīng)用平臺(tái)①用戶訪問ASPA應(yīng)用平臺(tái)��;②ASPA應(yīng)用平臺(tái)將用戶重定向到可信第三方認(rèn)證中心進(jìn)行全局登錄�;③用戶在可信第三方認(rèn)證中心登錄;④由可信第三方認(rèn)證中心進(jìn)行身份認(rèn)證�����,由可信第三方認(rèn)證中心根據(jù)認(rèn)證結(jié)果為用戶生成SAML認(rèn)證聲明及票據(jù)��,并建立相應(yīng)的會(huì)話;⑤可信第三方認(rèn)證中心將用戶重定向到ASPA應(yīng)用平臺(tái)�����,并攜帶可信第三方認(rèn)證中心頒發(fā)的票據(jù)�����,攜帶票據(jù)是為了防止重放攻擊����;
⑥ASPA根據(jù)得到的票據(jù)向可信第三方認(rèn)證中心請(qǐng)求票據(jù)對(duì)應(yīng)的完整的SAML認(rèn)證聲明;⑦可信第三方認(rèn)證中心將完整的SAML認(rèn)證聲明提供給ASPA應(yīng)用平臺(tái)的認(rèn)證模塊���;⑧ASPA應(yīng)用平臺(tái)的認(rèn)證模塊根據(jù)SAML認(rèn)證聲明的內(nèi)容���,對(duì)用戶進(jìn)行身份認(rèn)證;B��、用戶訪問第二個(gè)ASPB應(yīng)用平臺(tái)①用戶訪問ASPB應(yīng)用平臺(tái)�����;②ASPB應(yīng)用平臺(tái)將用戶重定向到可信第三方認(rèn)證中心;③可信第三方認(rèn)證中心根據(jù)當(dāng)前用戶的會(huì)話信息��,為用戶生成認(rèn)證聲明及對(duì)應(yīng)的票據(jù)��;④并將用戶重定向到ASPB應(yīng)用平臺(tái)�����,攜帶可信第三方認(rèn)證中心頒發(fā)的票據(jù)����;⑤ASPB應(yīng)用平臺(tái)根據(jù)得到的票據(jù)向可信第三方認(rèn)證中心請(qǐng)求票據(jù)對(duì)應(yīng)的完整的SAML認(rèn)證聲明;⑥可信第三方認(rèn)證中心將完整的SAML認(rèn)證聲明提供給ASPB應(yīng)用平臺(tái)的認(rèn)證模塊��;⑦ASPB應(yīng)用平臺(tái)的認(rèn)證模塊根據(jù)SAML認(rèn)證聲明的內(nèi)容����,對(duì)用戶進(jìn)行身份認(rèn)證�����,從而達(dá)到用戶只在第三方認(rèn)證中心登錄一次�����,就可以在ASPA和ASPB進(jìn)行訪問。
一種面向ASP模式的單一登錄系統(tǒng)�����,它包括安全信息存儲(chǔ)模塊���、域安全服務(wù)器��、可信第三方認(rèn)證中心和管理配置工具四個(gè)部分��;安全信息存儲(chǔ)模塊包括LDAP服務(wù)器和目錄服務(wù)訪問接口���;LDAP服務(wù)器采用LDAP目錄服務(wù)方式集中存儲(chǔ)一個(gè)安全域內(nèi)用戶帳號(hào)信息和安全策略;目錄服務(wù)訪問接口用于訪問LDAP服務(wù)器的接口����,它封裝了對(duì)于目錄服務(wù)各種條目及其屬性進(jìn)行操作的應(yīng)用程序接口API;域安全服務(wù)器是實(shí)現(xiàn)安全域內(nèi)不同應(yīng)用系統(tǒng)間單一登錄的核心部件��,用于安全域用戶的身份認(rèn)證���、身份映射�、自動(dòng)為安全域內(nèi)遺留應(yīng)用系統(tǒng)的認(rèn)證模塊傳遞用戶的帳號(hào)信息���、為新增應(yīng)用系統(tǒng)的授權(quán)執(zhí)行模塊傳遞用戶在新增應(yīng)用的授權(quán)結(jié)果����;可信第三方認(rèn)證中心是實(shí)現(xiàn)安全域間單一登錄的核心部件,用于完成對(duì)全局用戶進(jìn)行統(tǒng)一身份認(rèn)證�����,為用戶構(gòu)造SAML認(rèn)證聲明��,并頒發(fā)聲明對(duì)應(yīng)的票據(jù)�����,對(duì)認(rèn)證聲明進(jìn)行存儲(chǔ)和管理��,以及響應(yīng)各安全域的對(duì)票據(jù)對(duì)應(yīng)聲明的查詢���;管理配置工具主要實(shí)現(xiàn)對(duì)帳號(hào)聯(lián)合信息的定制,新增應(yīng)用訪問控制策略的定制��,以及用戶的身份映射策略的定制以及用戶管理的功能��。
所述域安全服務(wù)器包括五個(gè)功能模塊身份認(rèn)證模塊�����、身份映射模塊、票據(jù)解析處理模塊��、認(rèn)證代理模塊和授權(quán)代理模塊����;身份認(rèn)證模塊根據(jù)目錄服務(wù)中存儲(chǔ)的用戶帳號(hào)信息,完成對(duì)安全域用戶的身份驗(yàn)證����。支持通過票據(jù)的全局用戶登錄,也支持直接在本地登錄��;身份映射模塊根據(jù)預(yù)先制定的身份映射策略�����,完成將全局用戶身份(即可信第三放所擔(dān)保的用戶身份)映射成為安全域用戶身份���,身份映射策略可以動(dòng)態(tài)的制定�;票據(jù)解析處理模塊驗(yàn)證認(rèn)證中心為用戶頒發(fā)的訪問其它安全域的身份認(rèn)證聲明所對(duì)應(yīng)的票據(jù)是否有效���,驗(yàn)證有效性的規(guī)則通過管理工具進(jìn)行配置����;認(rèn)證代理模塊結(jié)合目錄服務(wù)中預(yù)先存儲(chǔ)的帳號(hào)聯(lián)合信息,自動(dòng)的將用戶的認(rèn)證信息傳遞給遺留應(yīng)用的身份認(rèn)證模塊�,對(duì)用戶進(jìn)行身份認(rèn)證,向用戶屏蔽登錄過程���;授權(quán)代理模塊根據(jù)新增應(yīng)用管理員預(yù)先制定的新增應(yīng)用授權(quán)策略�,自動(dòng)為當(dāng)前安全域用戶生成授權(quán)聲明�����,并自動(dòng)的傳遞給新增應(yīng)用的授權(quán)執(zhí)行模塊���,對(duì)用戶作出訪問控制��。
所述可信第三方認(rèn)證中心包括五個(gè)功能模塊全局身份認(rèn)證模塊�、擔(dān)保服務(wù)模塊�、用戶管理模塊、認(rèn)證聲明存儲(chǔ)和管理模塊�����、全局用戶身份數(shù)據(jù)庫模塊����;全局身份認(rèn)證模塊負(fù)責(zé)對(duì)用戶進(jìn)行全局的身份認(rèn)證,通過與全局用戶身份數(shù)據(jù)庫模塊中的信息進(jìn)行對(duì)比�����,驗(yàn)證用戶是否為合法的全局用戶���;擔(dān)保服務(wù)模塊根據(jù)全局身份認(rèn)證的結(jié)果����,為用戶生成證明其全局身份的SAML認(rèn)證聲明以及與聲明對(duì)應(yīng)的票據(jù)��,傳遞給其它安全域的身份認(rèn)證模塊��;用戶管理模塊負(fù)責(zé)維護(hù)全局用戶的信息����,主要是用戶的帳號(hào)信息。
認(rèn)證聲明存儲(chǔ)和管理模塊負(fù)責(zé)對(duì)于擔(dān)保服務(wù)所生成的認(rèn)證聲明進(jìn)行維護(hù)���,包括增����、刪、改�����、查等操作���;全局用戶身份數(shù)據(jù)庫模塊用于存儲(chǔ)全局用戶的帳號(hào)信息�����,用于對(duì)用戶進(jìn)行全局身份認(rèn)證�。
本發(fā)明具有以下特點(diǎn)1����、采用LDAP目錄服務(wù)集中管理域內(nèi)用戶信息和安全策略,設(shè)計(jì)目錄服務(wù)Schema�����,以標(biāo)準(zhǔn)的接口對(duì)信息進(jìn)行統(tǒng)一訪問和管理�����,為集中式身份認(rèn)證和授權(quán)提供了基礎(chǔ)��。
2�����、采用基于XML的SAML語言進(jìn)行安全域間認(rèn)證���、授權(quán)結(jié)果的標(biāo)準(zhǔn)化表示和傳遞�,支持異構(gòu)安全系統(tǒng)間的信息互操作���。
3����、在安全域內(nèi)�,通過統(tǒng)一的身份驗(yàn)證和授權(quán)操作,簡(jiǎn)化授權(quán)管理復(fù)雜性�����。
4��、利用Web服務(wù)技術(shù)實(shí)現(xiàn)認(rèn)證中心核心功能��,使系統(tǒng)具有良好的互操作性和可移植性��。
圖1為本發(fā)明面向ASP模式的單一登錄機(jī)制示意2為本發(fā)明實(shí)現(xiàn)ASP應(yīng)用平臺(tái)內(nèi)單一登錄的工作過程示意3為ASP應(yīng)用平臺(tái)間身份擔(dān)保機(jī)制示意4為本發(fā)明實(shí)現(xiàn)不同ASP應(yīng)用平臺(tái)間單一登錄的工作過程示意5為本發(fā)明實(shí)現(xiàn)單一登錄系統(tǒng)結(jié)構(gòu)示意6為本發(fā)明域安全服務(wù)器結(jié)構(gòu)示意7為本發(fā)明域安全服務(wù)器工作原理8為本發(fā)明認(rèn)證中心工作原理9為本發(fā)明實(shí)施例應(yīng)用場(chǎng)景示意圖具體實(shí)施方式
為了解決ASP應(yīng)用平臺(tái)內(nèi)各應(yīng)用系統(tǒng)間(安全域內(nèi))以及ASP應(yīng)用平臺(tái)間(安全域間)的單一登錄問題,本發(fā)明提出了一種基于LDAP協(xié)議和SAML規(guī)范的單一登錄方法�����,并在該方法基礎(chǔ)上構(gòu)建了實(shí)現(xiàn)上述方法的單一登錄系統(tǒng)���。
所謂單一登錄是指當(dāng)用戶需要訪問一個(gè)分布式環(huán)境中各個(gè)不同應(yīng)用系統(tǒng)提供的服務(wù)時(shí)�,只需要在環(huán)境中登錄一次�����,則這次登錄的結(jié)果將根據(jù)需要傳播到各個(gè)應(yīng)用系統(tǒng)中�,而不需要用戶在每個(gè)應(yīng)用系統(tǒng)處重新登錄。
本發(fā)明提出的單一登錄方法是以LDAP技術(shù)和SAML技術(shù)為基礎(chǔ)實(shí)現(xiàn)的�。LDAP(Lightweight Directory Access protocol)是一種輕量級(jí)目錄訪問協(xié)議,是跨平臺(tái)的標(biāo)準(zhǔn)Internet協(xié)議����。采用LDAP協(xié)議訪問的目錄服務(wù)稱為L(zhǎng)DAP目錄服務(wù)。目錄服務(wù)是一種特殊的數(shù)據(jù)庫�����,一般指存儲(chǔ)網(wǎng)絡(luò)資源的特殊數(shù)據(jù)庫,它將分布式環(huán)境中的網(wǎng)絡(luò)資源如用戶����、應(yīng)用系統(tǒng)和設(shè)備等對(duì)象統(tǒng)一組織起來,提供單一的邏輯視圖�����,允許用戶透明的訪問�����。由于目錄服務(wù)具有層次化的存儲(chǔ)模型�,可擴(kuò)展的模式(Schema)�,適用于存儲(chǔ)具有組織結(jié)構(gòu)的人員信息。因此��,本發(fā)明采用LDAP目錄服務(wù)�,將ASP應(yīng)用平臺(tái)內(nèi)的用戶信息和安全策略有機(jī)組織起來,如用戶信任狀����、角色、ASP應(yīng)用平臺(tái)的身份映射策略�����、授權(quán)策略、新增應(yīng)用的角色和權(quán)限制定策略等����,為集中式身份認(rèn)證和授權(quán)提供基礎(chǔ),也解決了ASP模式下安全域內(nèi)安全信息整合和管理復(fù)雜的問題�。
LDAP目錄服務(wù)是基于條目(Entry)的目錄服務(wù),條目按照層次化方式組織目錄樹�,它自上而下劃分為四個(gè)分支ASP應(yīng)用平臺(tái)的用戶,平臺(tái)的角色�����,角色對(duì)應(yīng)的權(quán)限�����,域中的新增應(yīng)用��,其中權(quán)限分支的描述采用RBAC(基于角色的訪問控制)授權(quán)模型�。用戶分支存儲(chǔ)ASP應(yīng)用平臺(tái)的所有用戶條目。平臺(tái)角色分支�����,存儲(chǔ)用戶對(duì)應(yīng)的角色條目。角色對(duì)應(yīng)的權(quán)限分支�,存儲(chǔ)角色對(duì)應(yīng)的權(quán)限條目。這三個(gè)分支的信息能夠?qū)τ脩暨M(jìn)行集中的身份認(rèn)證和訪問控制�。新增應(yīng)用分支,存儲(chǔ)新增應(yīng)用條目�,存在兩個(gè)分支角色分支代表新增應(yīng)用具有的角色,權(quán)限分支代表角色對(duì)應(yīng)的權(quán)限�����。該分支用于對(duì)用戶在ASP應(yīng)用平臺(tái)內(nèi)新增應(yīng)用的做出訪問控制決策����。每個(gè)條目具有所代表對(duì)象(ObjectClass)的多個(gè)屬性�,如用戶條目包括用戶ID,密碼�,帳號(hào)聯(lián)合信息等屬性,新增應(yīng)用條目包括應(yīng)用ID����,名稱等屬性。以上LDAP條目構(gòu)成了ASP應(yīng)用平臺(tái)完整的帳號(hào)和安全策略表示���,成為統(tǒng)一認(rèn)證和授權(quán)的基礎(chǔ)�。
SAML規(guī)范(Security Assertion Marked Language)也稱安全聲明標(biāo)記語言,是國(guó)際標(biāo)準(zhǔn)化組織OASIS于2002年發(fā)布的一種基于XML的語言�����,它支持三種類型的安全聲明�,即認(rèn)證聲明、授權(quán)聲明和屬性聲明����,旨在為認(rèn)證和授權(quán)服務(wù)提供標(biāo)準(zhǔn)化的安全信息描述和共享機(jī)制,使得不同企業(yè)的安全系統(tǒng)間能夠通過共享有關(guān)用戶�����、交易等安全信息�����,實(shí)現(xiàn)互操作����。因此,適用于描述和共享異構(gòu)認(rèn)證系統(tǒng)間認(rèn)證和授權(quán)的結(jié)果�。
在ASP應(yīng)用模式下,由于歷史或技術(shù)等各種原因�,各個(gè)安全域所采用的認(rèn)證機(jī)制存在不一致性���,從而導(dǎo)致身份描述信息各不相同。為了保證良好的可擴(kuò)展性和互操作性����,需要一種通用的、獨(dú)立于具體應(yīng)用系統(tǒng)認(rèn)證機(jī)制的表述方式來描述用戶身份����。由于SAML語言具有良好的可擴(kuò)展性和強(qiáng)大的描述能力,可適用多種認(rèn)證機(jī)制�����,并且受到標(biāo)準(zhǔn)化組織和公司的廣泛支持�����,并被業(yè)界廣泛采用�。因此�,本發(fā)明采用SAML語言描述和共享ASP應(yīng)用平臺(tái)下異構(gòu)認(rèn)證系統(tǒng)間的認(rèn)證和授權(quán)結(jié)果,實(shí)現(xiàn)異構(gòu)安全系統(tǒng)間安全信息的互操作�。
圖1為本發(fā)明提供的面向ASP模式基于LDAP和SAML技術(shù)的單一登錄機(jī)制示意圖。如圖所示���,它使用LDAP目錄服務(wù)在一個(gè)安全域內(nèi)(ASP應(yīng)用平臺(tái)內(nèi))整合安全信息�����,保證ASP應(yīng)用平臺(tái)內(nèi)不同應(yīng)用系統(tǒng)的安全信息的統(tǒng)一存儲(chǔ)訪問�、集中認(rèn)證和授權(quán),解決授權(quán)管理復(fù)雜性的問題��;利用SAML在不同的安全域間(不同ASP應(yīng)用平臺(tái)間)傳遞認(rèn)證結(jié)果����,保證不同ASP應(yīng)用平臺(tái)的異構(gòu)認(rèn)證系統(tǒng)見安全信息的共享,解決安全信息互操作的問題��,從而達(dá)到安全域內(nèi)與安全域間統(tǒng)一的單一登錄目的�����。需要說明的是�,安全域是指具有獨(dú)立一致安全策略的可管理范圍,由于一個(gè)ASP應(yīng)用平臺(tái)具有獨(dú)立的安全策略��,所以一個(gè)ASP應(yīng)用平臺(tái)就是一個(gè)安全域����。
下面結(jié)合圖1�、圖2��、圖4詳細(xì)敘述本發(fā)明如何解決安全域內(nèi)和安全域間兩種類型的單一登錄問題�。
為了便于敘述,首先給出面向ASP模式的單一登錄機(jī)制參與者主體的定義1)定義1單一登錄參與主體包含三類U��,ASP�����,AC��。其中U代表用戶��,UC指普通用戶���,UM指ASP應(yīng)用平臺(tái)管理員和平臺(tái)內(nèi)各系統(tǒng)管理員;ASP代表基于門戶的企業(yè)ASP應(yīng)用軟件平臺(tái)��;AC代表企業(yè)之間的可信第三方認(rèn)證中心����。
2)定義2ASP應(yīng)用軟件平臺(tái)由一個(gè)五元組表示(DS,LS�,PAE��,PAO����,P)����。其中DS(Domain Security Server)為域安全服務(wù)器,完成ASP平臺(tái)內(nèi)集中的身份認(rèn)證和授權(quán)服務(wù)以及認(rèn)證授權(quán)結(jié)果的自動(dòng)傳遞�����;LS(LDAP Server)為域LDAP目錄服務(wù)器����,集中存儲(chǔ)ASP應(yīng)用平臺(tái)內(nèi)的用戶信息和安全策略;PAE代表認(rèn)證代理�,代替用戶向應(yīng)用系統(tǒng)進(jìn)行身份認(rèn)證,對(duì)用戶屏蔽認(rèn)證過程����;PAO代表授權(quán)代理,根據(jù)預(yù)訂義的授權(quán)策略���,將用戶的授權(quán)信息自動(dòng)傳遞給應(yīng)用系統(tǒng)的訪問控制模塊��,對(duì)用戶進(jìn)行訪問控制��;P代表運(yùn)行于ASP應(yīng)用平臺(tái)的應(yīng)用系統(tǒng)�,其中PL指遺留系統(tǒng),PN指新增系統(tǒng)�����。
下面分別介紹安全域內(nèi)和安全域間單一登錄方法�。
(一)ASP應(yīng)用平臺(tái)內(nèi)不同應(yīng)用系統(tǒng)間的單一登錄方法安全域內(nèi)的應(yīng)用系統(tǒng)分為兩種類型遺留應(yīng)用系統(tǒng)(自身具有身份認(rèn)證和授權(quán)機(jī)制)和新增應(yīng)用系統(tǒng)(部署到單一登錄系統(tǒng)的新開發(fā)系統(tǒng),不必具有身份認(rèn)證和授權(quán)模塊�����,將這部分工作委托給單一登錄系統(tǒng))����。安全域內(nèi)單一登錄系統(tǒng)的目標(biāo)是為用戶在遺留應(yīng)用系統(tǒng)的賬號(hào)建立聯(lián)合關(guān)系,代替用戶將認(rèn)證信息傳遞給遺留應(yīng)用系統(tǒng)的身份認(rèn)證模塊�����;對(duì)用戶要訪問的新增應(yīng)用做出授權(quán)決定���,傳遞給新增應(yīng)用的授權(quán)執(zhí)行模塊�����。ASP應(yīng)用平臺(tái)內(nèi)的域安全服務(wù)器主要完成三項(xiàng)工作帳號(hào)聯(lián)合���、認(rèn)證代理和授權(quán)代理。
帳號(hào)聯(lián)合是指ASP應(yīng)用平臺(tái)的域安全服務(wù)器將用戶在一個(gè)安全域A的帳號(hào)與用戶在域內(nèi)應(yīng)用系統(tǒng)P的帳號(hào)之間建立一種聯(lián)合關(guān)系Fed(A��,P)����,并進(jìn)行存儲(chǔ)的過程。
認(rèn)證代理是指當(dāng)用戶在安全域A登錄后訪問應(yīng)用PL時(shí)�,ASP應(yīng)用平臺(tái)的域安全服務(wù)器根據(jù)預(yù)先制定的用戶U的帳號(hào)聯(lián)合關(guān)系Fed(A,PL)�,自動(dòng)的將用戶在PL的帳號(hào)傳遞給PL的認(rèn)證模塊,向用戶屏蔽登錄和認(rèn)證的過程���。
授權(quán)代理是指當(dāng)新增應(yīng)用PN部署到ASP應(yīng)用平臺(tái)中時(shí)�,將身份認(rèn)證和授權(quán)工作委托給單一登錄系統(tǒng)���,ASP應(yīng)用平臺(tái)的域安全服務(wù)器根據(jù)管理員預(yù)先制定的新增應(yīng)用系統(tǒng)的訪問控制策略����,生成標(biāo)準(zhǔn)的授權(quán)聲明,傳遞給新增應(yīng)用PN的授權(quán)執(zhí)行模塊�����,新增應(yīng)用PN只需要具有授權(quán)結(jié)果的解析功能��。
依據(jù)上述的機(jī)制定義�,假設(shè)WEB應(yīng)用A代表遺留應(yīng)用PL,WEB應(yīng)用B代表新增應(yīng)用PN��,用戶需要訪問WEB應(yīng)用A和WEB應(yīng)用B���,則用戶U在ASP應(yīng)用平臺(tái)內(nèi)的應(yīng)用系統(tǒng)PL和PN間實(shí)現(xiàn)單一登錄的方法�,如圖2所示1���、用戶U訪問ASP應(yīng)用平臺(tái)內(nèi)的遺留應(yīng)用系統(tǒng)PL(1)��、用戶U登錄ASP應(yīng)用服務(wù)平臺(tái)�,將用戶在各系統(tǒng)的帳號(hào)提供給ASP應(yīng)用服務(wù)平臺(tái)的域安全服務(wù)器DSA��;域安全服務(wù)器DSA將用戶在一個(gè)安全域A(一個(gè)ASP應(yīng)用服務(wù)平臺(tái))的帳號(hào)與用戶在域內(nèi)應(yīng)用系統(tǒng)P的帳號(hào)之間進(jìn)行帳號(hào)聯(lián)合����,生成帳號(hào)聯(lián)合信息,即建立一種聯(lián)合關(guān)系Fed(A�����,P)���;(2)�����、域安全服務(wù)器DSA進(jìn)行身份認(rèn)證���,將帳號(hào)聯(lián)合信息存儲(chǔ)到LDAP目錄服務(wù)器LSA中,使得域內(nèi)每個(gè)用戶擁有唯一的身份標(biāo)識(shí)以及該標(biāo)識(shí)向應(yīng)用系統(tǒng)用戶標(biāo)識(shí)的映射關(guān)系�;(3)、用戶U訪問ASP應(yīng)用平臺(tái)內(nèi)的遺留應(yīng)用系統(tǒng)PL�;(4)、遺留應(yīng)用PL的認(rèn)證模塊向域安全服務(wù)器DSA請(qǐng)求用戶U在遺留應(yīng)用系統(tǒng)PL的賬號(hào)信息�����;(5)�、域安全服務(wù)器DSA根據(jù)預(yù)先制定的賬號(hào)聯(lián)合信息��,將相應(yīng)賬號(hào)返回給遺留應(yīng)用系統(tǒng)PL的認(rèn)證模塊����;(6)���、遺留應(yīng)用系統(tǒng)PL的認(rèn)證模塊對(duì)用戶進(jìn)行身份認(rèn)證���,完成用戶U訪問遺留應(yīng)用系統(tǒng)PL的身份認(rèn)證;
2�����、用戶U訪問ASP應(yīng)用平臺(tái)內(nèi)的新增應(yīng)用系統(tǒng)PN(1)�����、用戶U訪問ASP應(yīng)用平臺(tái)內(nèi)的新增應(yīng)用系統(tǒng)PN����;ASP應(yīng)用服務(wù)平臺(tái)的新增應(yīng)用PN的管理員發(fā)布新增系統(tǒng)授權(quán)策略,即系統(tǒng)具有的角色���、對(duì)應(yīng)的權(quán)限����;ASP應(yīng)用服務(wù)平臺(tái)的域安全服務(wù)器DSA的管理員通過用戶管理工具,為用戶U制定在新增應(yīng)用PN具有的角色�,從而為用戶U分配相應(yīng)的權(quán)限;(2)����、新增應(yīng)用系統(tǒng)PN的認(rèn)證模塊向域安全服務(wù)器DSA請(qǐng)求用戶U在新增應(yīng)用系統(tǒng)PN的賬號(hào)信息���;(3)�����、ASP應(yīng)用平臺(tái)的域安全服務(wù)器DSA根據(jù)管理員預(yù)先制定的安全策略和用戶的角色指派�,生成相應(yīng)的SAML授權(quán)聲明�����;(4)�����、域安全服務(wù)器DSA將SAML授權(quán)聲明返回給新增應(yīng)用PN的授權(quán)執(zhí)行模塊�����;(5)、新增應(yīng)用PN的授權(quán)執(zhí)行模塊根據(jù)SAML授權(quán)聲明��,對(duì)用戶做出訪問控制����。
通過該機(jī)制,ASP應(yīng)用平臺(tái)能夠?yàn)檫z留應(yīng)用提供賬號(hào)聯(lián)合和存儲(chǔ)����,為新增應(yīng)用提供訪問控制決策,以及平臺(tái)內(nèi)安全信息的自動(dòng)傳遞����,從而實(shí)現(xiàn)安全域內(nèi)集中的身份認(rèn)證和訪問控制,并達(dá)到單一登錄的目的�。
(二)ASP應(yīng)用平臺(tái)間的單一登錄方法隨著企業(yè)間聯(lián)盟的形成,用戶的一次業(yè)務(wù)往往需要跨越不同的ASP應(yīng)用平臺(tái)�����,從而帶來安全域間的單一登錄問題��,這種情況下關(guān)鍵要解決認(rèn)證和授權(quán)結(jié)果在安全域間共享和傳遞的問題��。假設(shè)ASPA和ASPB分別代表分布式環(huán)境中兩個(gè)獨(dú)立的安全域(ASP應(yīng)用平臺(tái)),ASPA和ASPB通過發(fā)布各自的信任策略����,并得到對(duì)方的信任策略,達(dá)到彼此之間的信任關(guān)系的建立�����。
在ASP應(yīng)用平臺(tái)間實(shí)現(xiàn)單一登錄的過程中��,有兩個(gè)核心過程身份擔(dān)保和身份映射過程��。
如圖3所示���,身份擔(dān)保過程是指如果A、B是分布式環(huán)境中任意兩個(gè)安全域�����,U為任意一個(gè)用戶��,用戶U在安全域A認(rèn)證過身份之后����,要訪問安全域B時(shí)���,無需再次向安全域B提交用戶名/口令等認(rèn)證信息來表明自己的身份,而只需要由安全域A向B來證明(擔(dān)保)U的身份��,從而實(shí)現(xiàn)用戶身份在不同安全域之間的傳遞����。
身份映射過程是指假設(shè)A為任意一個(gè)安全域��,用戶U為任何一個(gè)全局用戶�����,身份映射是指將全局用戶U的身份映射成為安全域A中用戶身份的過程�。
假設(shè)ASPA和ASPB分別代表分布式環(huán)境中的兩個(gè)獨(dú)立安全域(ASP應(yīng)用平臺(tái))��,彼此之間通過發(fā)布各自的信任策略���,并得到對(duì)方的信任策略建立了信任關(guān)系。用戶U需要訪問ASPA和ASPB兩個(gè)應(yīng)用平臺(tái)���,其單一登錄過程如圖4所示借助可信第三方認(rèn)證中心完成,方法如下1����、用戶首先訪問ASPA應(yīng)用平臺(tái)①用戶訪問ASPA應(yīng)用平臺(tái)�;②ASPA應(yīng)用平臺(tái)將用戶重定向到可信第三方認(rèn)證中心AC進(jìn)行全局登錄�����;③用戶在可信第三方認(rèn)證中心AC登錄���;④由可信第三方認(rèn)證中心AC進(jìn)行身份認(rèn)證��,由可信第三方認(rèn)證中心AC根據(jù)認(rèn)證結(jié)果為用戶生成SAML認(rèn)證聲明及票據(jù)(對(duì)于聲明的引用)�,并建立相應(yīng)的會(huì)話�����;⑤可信第三方認(rèn)證中心AC將用戶重定向到ASPA應(yīng)用平臺(tái)�����,并攜帶可信第三方認(rèn)證中心AC頒發(fā)的票據(jù)��,攜帶票據(jù)是為了防止重放攻擊���;⑥ASPA根據(jù)得到的票據(jù)向可信第三方認(rèn)證中心AC請(qǐng)求票據(jù)對(duì)應(yīng)的完整的SAML認(rèn)證聲明�;⑦可信第三方認(rèn)證中心AC將完整的SAML認(rèn)證聲明提供給ASPA應(yīng)用平臺(tái)的認(rèn)證模塊;⑧ASPA應(yīng)用平臺(tái)的認(rèn)證模塊根據(jù)SAML認(rèn)證聲明的內(nèi)容�,對(duì)用戶進(jìn)行身份認(rèn)證���;2��、用戶訪問ASPB應(yīng)用平臺(tái)①用戶訪問ASPB應(yīng)用平臺(tái)�;②ASPB應(yīng)用平臺(tái)將用戶重定向到可信第三方認(rèn)證中心AC���;③可信第三方認(rèn)證中心AC根據(jù)當(dāng)前用戶的會(huì)話信息�����,為用戶生成認(rèn)證聲明及對(duì)應(yīng)的票據(jù)��;④并將用戶重定向到ASPB應(yīng)用平臺(tái)�,攜帶可信第三方認(rèn)證中心AC頒發(fā)的票據(jù)���;⑤ASPB應(yīng)用平臺(tái)根據(jù)得到的票據(jù)向可信第三方認(rèn)證中心AC請(qǐng)求票據(jù)對(duì)應(yīng)的完整的SAML認(rèn)證聲明����;⑥可信第三方認(rèn)證中心AC將完整的SAML認(rèn)證聲明提供給ASPB應(yīng)用平臺(tái)的認(rèn)證模塊;
⑦ASPB應(yīng)用平臺(tái)的認(rèn)證模塊根據(jù)SAML認(rèn)證聲明的內(nèi)容�,對(duì)用戶進(jìn)行身份認(rèn)證�����,從而達(dá)到用戶只在AC登錄一次��,就可以在ASPA和ASPB進(jìn)行訪問。
在上述機(jī)制中�����,可信第三方認(rèn)證中心為不同的ASP應(yīng)用平臺(tái)進(jìn)行集中的身份認(rèn)證和身份擔(dān)保,并將認(rèn)證結(jié)果以認(rèn)證聲明和票據(jù)的形式在安全域間進(jìn)行傳遞�����,實(shí)現(xiàn)了安全信息的共享�����,從而使得用戶在不同的安全域間實(shí)現(xiàn)單一登錄。
為實(shí)現(xiàn)上述ASP應(yīng)用平臺(tái)內(nèi)不同應(yīng)用系統(tǒng)間的單一登錄以及不同ASP應(yīng)用平臺(tái)間的單一登錄��,本發(fā)明構(gòu)建了面向ASP模式的單一登錄系統(tǒng)(SingleSign-on System for ASP Pattern,簡(jiǎn)稱ASPSSO)�。
如圖5所示,該面向ASP模式的單一登錄系統(tǒng)包括安全信息存儲(chǔ)模塊�����、域安全服務(wù)器�、可信第三方認(rèn)證中心和管理配置工具四個(gè)核心部分����。
安全信息存儲(chǔ)模塊包括LDAP服務(wù)器和目錄服務(wù)訪問接口���。LDAP服務(wù)器采用LDAP目錄服務(wù)方式集中存儲(chǔ)一個(gè)安全域內(nèi)用戶帳號(hào)信息和安全策略��,如用戶在安全域的帳號(hào)和帳號(hào)聯(lián)合信息�����、身份映射策略和新增系統(tǒng)的授權(quán)策略等。目錄服務(wù)訪問接口����,封裝對(duì)于目錄服務(wù)各種條目及其屬性進(jìn)行操作的應(yīng)用程序接口API���,便于系統(tǒng)其它部分對(duì)目錄內(nèi)容進(jìn)行訪問�����。本發(fā)明選用Java命名和目錄接口(Java Naming Directory interface���,簡(jiǎn)稱JNDI)封裝對(duì)目錄服務(wù)的訪問接口。JND是Sun公司組織開發(fā)的是一套API�����,它向Java應(yīng)用程序提供目錄和命名功能�����,獨(dú)立于特定的目錄服務(wù)實(shí)現(xiàn)��,為引用程序提供統(tǒng)一的方式來訪問各種目錄服務(wù)。Java應(yīng)用開發(fā)者只需要采用JNDI就可以與LDAP目錄服務(wù)器進(jìn)行通訊���。
域安全服務(wù)器主要進(jìn)行安全域用戶的身份認(rèn)證、身份映射、自動(dòng)為安全域內(nèi)遺留應(yīng)用的認(rèn)證模塊傳遞用戶的帳號(hào)信息�、為新增應(yīng)用的授權(quán)執(zhí)行模塊傳遞用戶在新增應(yīng)用的授權(quán)結(jié)果等操作,是實(shí)現(xiàn)安全域內(nèi)不同應(yīng)用系統(tǒng)間單一登錄的核心部件。如圖6所示����,域安全服務(wù)器從總體上可以劃分為五個(gè)功能模塊身份認(rèn)證模塊、身份映射模塊�、票據(jù)解析處理模塊��、認(rèn)證代理模塊和授權(quán)代理模塊�。
身份認(rèn)證模塊根據(jù)目錄服務(wù)中存儲(chǔ)的用戶帳號(hào)信息�,完成對(duì)安全域用戶的身份驗(yàn)證���。支持通過票據(jù)的全局用戶登錄�����,也支持直接在本地登錄��。身份映射模塊根據(jù)預(yù)先制定的身份映射策略�����,完成將全局用戶身份(即可信第三放所擔(dān)保的用戶身份)映射成為安全域用戶身份,身份映射策略可以動(dòng)態(tài)的制定。
票據(jù)解析處理模塊驗(yàn)證認(rèn)證中心為用戶頒發(fā)的訪問其它安全域的身份認(rèn)證聲明所對(duì)應(yīng)的票據(jù)是否有效�����,驗(yàn)證有效性的規(guī)則通過管理工具進(jìn)行配置。
認(rèn)證代理模塊結(jié)合目錄服務(wù)中預(yù)先存儲(chǔ)的帳號(hào)聯(lián)合信息�,自動(dòng)的將用戶的認(rèn)證信息傳遞給遺留應(yīng)用的身份認(rèn)證模塊��,對(duì)用戶進(jìn)行身份認(rèn)證��,向用戶屏蔽登錄過程��。其中���,采用HTTP報(bào)文的偵聽工具TCPListener���,預(yù)先捕獲正常情況下��,用戶訪問應(yīng)用時(shí)的HTTP認(rèn)證信息的格式,然后根據(jù)帳號(hào)聯(lián)合信息���,將用戶在遺留應(yīng)用的帳號(hào)信息自動(dòng)的填充到HTTP報(bào)文中��,最后將響應(yīng)的HTTP報(bào)文傳遞給遺留應(yīng)用的認(rèn)證模塊���,對(duì)用戶進(jìn)行身份認(rèn)證�����。
授權(quán)代理模塊根據(jù)新增應(yīng)用管理員預(yù)先制定的新增應(yīng)用授權(quán)策略,自動(dòng)為當(dāng)前安全域用戶生成授權(quán)聲明,并自動(dòng)的傳遞給新增應(yīng)用的授權(quán)執(zhí)行模塊�����,對(duì)用戶作出訪問控制,授權(quán)策略采用RBAC授權(quán)模型進(jìn)行描述��。
域安全服務(wù)器的工作原理是對(duì)安全域內(nèi)單一登錄處理過程的反映����。如圖7所示,我們按照對(duì)請(qǐng)求進(jìn)行處理的模塊將處理過程劃分為三個(gè)階段,每個(gè)階段由相應(yīng)的功能實(shí)體承擔(dān)特定的活動(dòng),為了清晰的體現(xiàn)各個(gè)活動(dòng)之間的交互關(guān)系�����,我們采用UML的活動(dòng)圖來描述在一次單一登錄過程中所發(fā)生的活動(dòng)���,進(jìn)而闡明域安全服務(wù)器的工作原理�。
圖中的所有的活動(dòng)由域安全服務(wù)器的各個(gè)組成部分完成�����,下面我們將結(jié)合在各個(gè)層次中活動(dòng)所發(fā)生的先后調(diào)用關(guān)系以及執(zhí)行各個(gè)活動(dòng)的功能實(shí)體來說明域安全服務(wù)器的工作原理票據(jù)處理階段是域安全服務(wù)器工作的起始階段,其中的活動(dòng)主要由票據(jù)處理模塊承擔(dān)�����。票據(jù)處理模塊獲取用戶的身份信息后,判斷認(rèn)證信息類型,如果是用戶名����、口令認(rèn)證方式,則直接對(duì)用戶進(jìn)行本地身份認(rèn)證�;如果是票據(jù)認(rèn)證方式,則從SAML票據(jù)中取得擔(dān)保服務(wù)的訪問點(diǎn)和聲明ID�����,并根據(jù)身份擔(dān)保票據(jù)向擔(dān)保服務(wù)取得完整的認(rèn)證聲明��,從聲明中取得用戶的全局身份�,將該身份交給身份認(rèn)證和身份映射階段的活動(dòng)進(jìn)行處理。
身份認(rèn)證和身份映射階段身份認(rèn)證模塊主要支持兩種方式的認(rèn)證�����,即用戶名�、口令認(rèn)證方式和票據(jù)認(rèn)證方式。如果是前者����,則直接與目錄服務(wù)中的認(rèn)證信息進(jìn)行匹配,驗(yàn)證用戶是否是合法的安全域用戶��;如果是票據(jù)認(rèn)證方式���,則調(diào)用身份映射模塊�����,將擔(dān)保服務(wù)頒發(fā)聲明中的全局身份標(biāo)識(shí)轉(zhuǎn)化成安全域用戶的身份標(biāo)識(shí)�,驗(yàn)證用戶身份的合法性��。
認(rèn)證和授權(quán)結(jié)果自動(dòng)傳遞階段經(jīng)過驗(yàn)證的用戶訪問遺留應(yīng)用時(shí)�����,認(rèn)證代理模塊根據(jù)用戶的帳號(hào)聯(lián)合信息����,自動(dòng)構(gòu)造HTTP認(rèn)證報(bào)文,傳遞給遺留應(yīng)用的身份認(rèn)證模塊���;訪問新增應(yīng)用時(shí)��,授權(quán)代理模塊根據(jù)預(yù)先制定的訪問控制策略�����,自動(dòng)構(gòu)造授權(quán)聲明��,傳遞給新增應(yīng)用的授權(quán)執(zhí)行模塊��。
可信第三方認(rèn)證中心主要完成對(duì)全局用戶進(jìn)行統(tǒng)一身份認(rèn)證���,為用戶構(gòu)造SAML認(rèn)證聲明���,并頒發(fā)聲明對(duì)應(yīng)的票據(jù),對(duì)認(rèn)證聲明進(jìn)行存儲(chǔ)和管理����,以及響應(yīng)各安全域的對(duì)票據(jù)對(duì)應(yīng)聲明的查詢��。
安全域間單一登錄的核心問題是不同安全域之間的信任��,本發(fā)明采用信任關(guān)系相對(duì)簡(jiǎn)單的集中式信任方式���,引入可信第三方認(rèn)證中心作為向其他安全域擔(dān)保用戶身份的核心模塊����。如圖5所示�,認(rèn)證中心從總體上可以劃分為五個(gè)功能模塊全局身份認(rèn)證模塊、擔(dān)保服務(wù)模塊����、用戶管理模塊、認(rèn)證聲明存儲(chǔ)和管理模塊���、全局用戶身份數(shù)據(jù)庫模塊�。
全局身份認(rèn)證模塊負(fù)責(zé)對(duì)用戶進(jìn)行全局的身份認(rèn)證,通過與全局用戶身份數(shù)據(jù)庫模塊中的信息進(jìn)行對(duì)比����,驗(yàn)證用戶是否為合法的全局用戶。
擔(dān)保服務(wù)模塊根據(jù)全局身份認(rèn)證的結(jié)果�,為用戶生成證明其全局身份的SAML認(rèn)證聲明以及與聲明對(duì)應(yīng)的票據(jù),傳遞給其它安全域的身份認(rèn)證模塊����。為了避免集中式認(rèn)證方式單點(diǎn)失敗的可能性,本文將認(rèn)證中心以Web服務(wù)的形式實(shí)現(xiàn)����,一旦認(rèn)證中心出現(xiàn)故障,可以立即移植到其它的Web服務(wù)運(yùn)行環(huán)境中�。
用戶管理模塊負(fù)責(zé)維護(hù)全局用戶的信息,主要是用戶的帳號(hào)信息��。
認(rèn)證聲明存儲(chǔ)和管理模塊負(fù)責(zé)對(duì)于擔(dān)保服務(wù)所生成的認(rèn)證聲明進(jìn)行維護(hù)����,包括增、刪����、改���、查等操作。
全局用戶身份數(shù)據(jù)庫模塊用于存儲(chǔ)全局用戶的帳號(hào)信息�����,用于對(duì)用戶進(jìn)行全局身份認(rèn)證�����。
圖8為認(rèn)證中心的工作原理圖�����。我們采用UML活動(dòng)圖結(jié)合各個(gè)模塊中活動(dòng)所發(fā)生的先后調(diào)用關(guān)系以及執(zhí)行各個(gè)活動(dòng)的功能實(shí)體��,說明認(rèn)證中心的工作原理���,認(rèn)證中心的工作過程分為三個(gè)階段,每個(gè)階段由相應(yīng)的功能實(shí)體承擔(dān)特定的活動(dòng)全局身份認(rèn)證階段是認(rèn)證中心工作的起始階段�,其中的活動(dòng)主要由全局身份認(rèn)證模塊承擔(dān)。全局身份認(rèn)證模塊獲取用戶的身份信息后�,與存儲(chǔ)的賬號(hào)信息進(jìn)行匹配�。如果通過身份驗(yàn)證�����,轉(zhuǎn)入身份擔(dān)保階段���;否則標(biāo)記認(rèn)證失敗���。
身份擔(dān)保階段本階段的活動(dòng)主要由擔(dān)保服務(wù)模塊承擔(dān)。首先���,對(duì)于通過身份認(rèn)證的用戶���,通過調(diào)用SAML的API包,為用戶生成表示認(rèn)證結(jié)果的身份認(rèn)證聲明����;同時(shí)為了防止聲明被濫用,將包含聲明ID和擔(dān)保服務(wù)訪問點(diǎn)的聲明所對(duì)應(yīng)的票據(jù)返回給用戶�。當(dāng)用戶持有票據(jù)查找對(duì)應(yīng)的完整聲明時(shí),為用戶返回對(duì)應(yīng)認(rèn)證聲明����。
其他安全域的身份認(rèn)證階段本階段的活動(dòng)主要由各個(gè)安全域的身份認(rèn)證模塊承擔(dān)��。認(rèn)證模塊得到身份擔(dān)保模塊的擔(dān)保票據(jù)之后�,解析出聲明的ID���,向擔(dān)保服務(wù)請(qǐng)求具有該ID的完整聲明�����,并根據(jù)返回的聲明確定用戶的全局身份���,并根據(jù)身份映射策略,將全局用戶映射成為本地用戶�,對(duì)用戶進(jìn)行本地的身份認(rèn)證����。
管理配置工具主要實(shí)現(xiàn)對(duì)帳號(hào)聯(lián)合信息的定制,新增應(yīng)用訪問控制策略的定制�,以及用戶的身份映射策略的定制以及用戶管理的功能。
為系統(tǒng)管理員提供的輔助工具�����,通過友好的界面使管理員更容易的配置和方便的操作ASPSSO系統(tǒng)�����。
帳號(hào)聯(lián)合信息的定制是為了達(dá)到單一登錄系統(tǒng)自動(dòng)的將用戶在遺留應(yīng)用的帳號(hào)傳遞給遺留應(yīng)用的認(rèn)證模塊的目的。需要預(yù)先將用戶在一個(gè)安全域的帳號(hào)與用戶在該安全域內(nèi)不同應(yīng)用的帳號(hào)之間建立一種聯(lián)合關(guān)系���,并存儲(chǔ)在目錄服務(wù)中�,方便認(rèn)證代理自動(dòng)的將用戶在遺留應(yīng)用的帳號(hào)傳遞給應(yīng)用的認(rèn)證模塊��。
由于一個(gè)安全域的用戶通常會(huì)發(fā)生動(dòng)態(tài)的變化�����,用戶具有的權(quán)限也會(huì)發(fā)生變化�,單一登錄系統(tǒng)的管理員需要對(duì)使用系統(tǒng)的用戶進(jìn)行管理和維護(hù)。用戶管理模塊提供安全域用戶的添加����、刪除、修改等功能�����,為系統(tǒng)管理員執(zhí)行用戶管理功能提供支持�。
管理工具主要用于制定兩種類型的策略。一種是安全域用戶的身份映射策略;另一種是新增應(yīng)用的訪問控制策略�。身份映射策略是在不同的安全域間實(shí)現(xiàn)身份轉(zhuǎn)換的前提,通過一個(gè)身份映射表�,將全局用戶映射成為本地用戶。同時(shí)�,由于部署在單一登錄系統(tǒng)中的新增應(yīng)用,將訪問控制工作委托給單一登錄系統(tǒng)來做�,所以新增應(yīng)用的管理員需要預(yù)先制定新增應(yīng)用的訪問控制策略,并存儲(chǔ)在安全域的目錄服務(wù)中�����,供單一登錄系統(tǒng)的授權(quán)代理模塊自動(dòng)的生成授權(quán)聲明����,并傳遞給新增應(yīng)用的授權(quán)執(zhí)行模塊。策略的制定主要包含新增應(yīng)用具有的角色�、角色對(duì)應(yīng)的權(quán)限,以及安全域用戶在新增應(yīng)用具有的角色��。
面向ASP模式的單一登錄系統(tǒng)的目的是為ASP模式下的應(yīng)用服務(wù)提供商和最終用戶提供安全信息整合��、安全信息互操作�、便于管理維護(hù)等功能���。因此�����,我們?cè)诿嫦駻SP模式的單一登錄系統(tǒng)的基礎(chǔ)上�,為聯(lián)合生產(chǎn)力(UP)開發(fā)了應(yīng)用實(shí)例(如圖12所示)來解決ASP運(yùn)行環(huán)境內(nèi)應(yīng)用間的單一登錄問題和ASP運(yùn)行環(huán)境間的單一登錄問題,以體現(xiàn)和檢驗(yàn)面向ASP模式的單一登錄系統(tǒng)的實(shí)際運(yùn)作能力����。
聯(lián)合生產(chǎn)力的主要職能是為中小企業(yè)提供各種軟件服務(wù)(如辦公自動(dòng)化系統(tǒng),郵件系統(tǒng)����,有償信息服務(wù)等)。因此���,我們?yōu)槁?lián)合生產(chǎn)力公司構(gòu)建了基于Portal技術(shù)的ASP應(yīng)用平臺(tái)��,作為中小企業(yè)訪問各應(yīng)用系統(tǒng)的門戶�����。
該應(yīng)用場(chǎng)景由最終用戶�����、兩個(gè)ASP應(yīng)用平臺(tái)���,可信第三方認(rèn)證中心和分別部署在兩個(gè)ASP平臺(tái)上的四個(gè)應(yīng)用系統(tǒng)組成���。通過此應(yīng)用實(shí)例,體現(xiàn)了單一登錄系統(tǒng)在如下幾個(gè)方面對(duì)ASP應(yīng)用軟件平臺(tái)提供了有力的支持ASP應(yīng)用平臺(tái)的安全信息整合對(duì)于每一個(gè)ASP運(yùn)行平臺(tái)的用戶帳號(hào)信息和安全策略�,采用目錄服務(wù)進(jìn)行整合,使其成為安全域內(nèi)身份認(rèn)證和授權(quán)的基礎(chǔ)�����。
ASP應(yīng)用平臺(tái)間的信息互操作不同的安全域間采用基于XML語言的SAML語言交換認(rèn)證和授權(quán)結(jié)果�,保證安全域間的安全信息交換。
ASP應(yīng)用平臺(tái)間集中式的身份認(rèn)證這部分功能是可信第三方認(rèn)證中心提供的功能����,為了避免集中式認(rèn)證方式所帶來的單點(diǎn)失敗的可能性,我們將認(rèn)證中心以Web Service的方式實(shí)現(xiàn)�����,并將其部署到Web Service運(yùn)行環(huán)境中����,為各個(gè)不同的安全域用戶擔(dān)保身份。
安全保障機(jī)制在ASP應(yīng)用平臺(tái)與可信第三方認(rèn)證中心之間���、認(rèn)證中心的認(rèn)證服務(wù)與擔(dān)保服務(wù)的之間引入安全保障機(jī)制����,保證數(shù)據(jù)傳輸?shù)臋C(jī)密性���、完整性和不可否認(rèn)性�����。同時(shí)目錄服務(wù)自身通過目錄認(rèn)證和目錄授權(quán)保證信息存儲(chǔ)安全性�����。
靈活的管理配置單一登錄系統(tǒng)提供相關(guān)的管理�����、配置功能���,管理員和最終用戶通過管理、配置模塊對(duì)系統(tǒng)進(jìn)行配置�,增強(qiáng)了系統(tǒng)的靈活性��。
下面介紹該應(yīng)用實(shí)例的工作過程����,可以簡(jiǎn)單描述為用戶在認(rèn)證中心登錄一次�,則既可以訪問ASP應(yīng)用平臺(tái)1中的應(yīng)用系統(tǒng),也可以訪問ASP應(yīng)用平臺(tái)2中的應(yīng)用系統(tǒng)����。此過程具體表現(xiàn)為如下的步驟1、在兩個(gè)ASP應(yīng)用平臺(tái)中�,管理員利用帳號(hào)聯(lián)合工具分別配置用戶的帳號(hào)聯(lián)合信息,同時(shí)利用新增應(yīng)用授權(quán)策略制定工具���,制定平臺(tái)內(nèi)新增應(yīng)用的角色和權(quán)限�����,并為用戶指定角色�����;2�、用戶訪問ASP應(yīng)用平臺(tái)1��,如果希望直接登錄,則直接輸入用戶名����、口令即可�;如果希望進(jìn)行不同ASP應(yīng)用平臺(tái)間的單一登錄,則選擇在認(rèn)證中心登錄�;
3、用戶輸入自己在認(rèn)證中心的用戶名�����、口令���,進(jìn)行身份認(rèn)證��。認(rèn)證中心的擔(dān)保服務(wù)為經(jīng)過身份認(rèn)證的用戶生成認(rèn)證聲明����,并將聲明對(duì)應(yīng)的票據(jù)返回給ASP應(yīng)用平臺(tái)1的身份認(rèn)證模塊�����;4��、ASP應(yīng)用平臺(tái)1得到票據(jù),向認(rèn)證中心的擔(dān)保服務(wù)請(qǐng)求票據(jù)對(duì)應(yīng)的完整認(rèn)證聲明�����;5���、認(rèn)證中心查詢認(rèn)證聲明存儲(chǔ)庫����,將請(qǐng)求的聲明返回給ASP應(yīng)用平臺(tái)1���;6�����、ASP應(yīng)用平臺(tái)1的身份認(rèn)證模塊��,驗(yàn)證聲明的有效性后�,從聲明中取得用戶的全局身份����,映射成為本地身份,驗(yàn)證用戶是否為合法用戶�����;7、用戶訪問ASP應(yīng)用平臺(tái)1的有償信息服務(wù)應(yīng)用���,單一登錄系統(tǒng)會(huì)跟據(jù)預(yù)先設(shè)置的帳號(hào)聯(lián)合信息,將帳號(hào)自動(dòng)傳遞給有償信息服務(wù)系統(tǒng)的身份認(rèn)證模塊����。對(duì)于遠(yuǎn)程教育系統(tǒng)的訪問流程也是同樣的;8����、用戶訪問ASP應(yīng)用平臺(tái)2,同樣選擇認(rèn)證中心登錄�。認(rèn)證中心確定用戶已經(jīng)登錄過,則直接為用戶生成認(rèn)證聲明��,接下來的處理步驟同步驟4-7�。
權(quán)利要求
1.一種面向ASP模式的單一登錄方法,該單一登錄方法實(shí)現(xiàn)了ASP應(yīng)用平臺(tái)內(nèi)不同應(yīng)用系統(tǒng)間的單一登錄����,其特征在于它包括以下步驟A、用戶訪問ASP應(yīng)用平臺(tái)內(nèi)的遺留應(yīng)用系統(tǒng)(1)���、用戶登錄ASP應(yīng)用服務(wù)平臺(tái)����,將用戶在各系統(tǒng)的帳號(hào)提供給ASP應(yīng)用服務(wù)平臺(tái)的域安全服務(wù)器;域安全服務(wù)器將用戶在ASP應(yīng)用服務(wù)平臺(tái)的帳號(hào)與用戶在域內(nèi)應(yīng)用系統(tǒng)的帳號(hào)之間進(jìn)行帳號(hào)聯(lián)合����,生成帳號(hào)聯(lián)合信息,即建立一種聯(lián)合關(guān)系Fed(A���,P)��;(2)�����、域安全服務(wù)器進(jìn)行身份認(rèn)證�����,將帳號(hào)聯(lián)合信息存儲(chǔ)到LDAP目錄服務(wù)器中���,使得域內(nèi)每個(gè)用戶擁有唯一的身份標(biāo)識(shí)以及該標(biāo)識(shí)向應(yīng)用系統(tǒng)用戶標(biāo)識(shí)的映射關(guān)系;(3)、用戶訪問ASP應(yīng)用平臺(tái)內(nèi)的遺留應(yīng)用系統(tǒng)���;(4)����、遺留應(yīng)用系統(tǒng)的認(rèn)證模塊向域安全服務(wù)器請(qǐng)求用戶在遺留應(yīng)用系統(tǒng)的賬號(hào)信息���;(5)��、域安全服務(wù)器根據(jù)預(yù)先制定的賬號(hào)聯(lián)合信息,將相應(yīng)賬號(hào)返回給遺留應(yīng)用系統(tǒng)的認(rèn)證模塊���;(6)����、遺留應(yīng)用系統(tǒng)的認(rèn)證模塊對(duì)用戶進(jìn)行身份認(rèn)證��,完成用戶訪問遺留應(yīng)用系統(tǒng)的身份認(rèn)證�����;B�����、用戶訪問ASP應(yīng)用平臺(tái)內(nèi)的新增應(yīng)用系統(tǒng)(1)、用戶訪問ASP應(yīng)用平臺(tái)內(nèi)的新增應(yīng)用系統(tǒng)���;ASP應(yīng)用服務(wù)平臺(tái)的新增應(yīng)用系統(tǒng)的管理員發(fā)布新增系統(tǒng)授權(quán)策略�����,即系統(tǒng)具有的角色�、對(duì)應(yīng)的權(quán)限����;ASP應(yīng)用服務(wù)平臺(tái)的域安全服務(wù)器的管理員通過用戶管理工具,為用戶制定在新增應(yīng)用具有的角色���,從而為用戶分配相應(yīng)的權(quán)限���;(2)、新增應(yīng)用系統(tǒng)的認(rèn)證模塊向域安全服務(wù)器請(qǐng)求用戶U在新增應(yīng)用系統(tǒng)PN的賬號(hào)信息��;(3)���、ASP應(yīng)用平臺(tái)的域安全服務(wù)器根據(jù)管理員預(yù)先制定的安全策略和用戶的角色指派����,生成相應(yīng)的SAML授權(quán)聲明;(4)���、ASP應(yīng)用平臺(tái)的域安全服務(wù)器將SAML授權(quán)聲明返回給新增應(yīng)用系統(tǒng)的授權(quán)執(zhí)行模塊���;(5)、新增應(yīng)用系統(tǒng)的授權(quán)執(zhí)行模塊根據(jù)SAML授權(quán)聲明�����,對(duì)用戶做出訪問控制�����。
2.一種面向ASP模式的單一登錄方法���,該單一登錄方法實(shí)現(xiàn)了ASP應(yīng)用平臺(tái)間的單一登錄,其特征在于它包括以下步驟A�、用戶首先訪問第一個(gè)ASPA應(yīng)用平臺(tái)①用戶訪問ASPA應(yīng)用平臺(tái);②ASPA應(yīng)用平臺(tái)將用戶重定向到可信第三方認(rèn)證中心進(jìn)行全局登錄����;③用戶在可信第三方認(rèn)證中心登錄;④由可信第三方認(rèn)證中心進(jìn)行身份認(rèn)證,由可信第三方認(rèn)證中心根據(jù)認(rèn)證結(jié)果為用戶生成SAML認(rèn)證聲明及票據(jù)���,并建立相應(yīng)的會(huì)話�;⑤可信第三方認(rèn)證中心將用戶重定向到ASPA應(yīng)用平臺(tái)���,并攜帶可信第三方認(rèn)證中心頒發(fā)的票據(jù)�,攜帶票據(jù)是為了防止重放攻擊����;⑥ASPA根據(jù)得到的票據(jù)向可信第三方認(rèn)證中心請(qǐng)求票據(jù)對(duì)應(yīng)的完整的SAML認(rèn)證聲明;⑦可信第三方認(rèn)證中心將完整的SAML認(rèn)證聲明提供給ASPA應(yīng)用平臺(tái)的認(rèn)證模塊��;⑧ASPA應(yīng)用平臺(tái)的認(rèn)證模塊根據(jù)SAML認(rèn)證聲明的內(nèi)容�����,對(duì)用戶進(jìn)行身份認(rèn)證����;B、用戶訪問第二個(gè)ASPB應(yīng)用平臺(tái)①用戶訪問ASPB應(yīng)用平臺(tái)����;②ASPB應(yīng)用平臺(tái)將用戶重定向到可信第三方認(rèn)證中心��;③可信第三方認(rèn)證中心根據(jù)當(dāng)前用戶的會(huì)話信息����,為用戶生成認(rèn)證聲明及對(duì)應(yīng)的票據(jù)��;④并將用戶重定向到ASPB應(yīng)用平臺(tái)���,攜帶可信第三方認(rèn)證中心頒發(fā)的票據(jù)����;⑤ASPB應(yīng)用平臺(tái)根據(jù)得到的票據(jù)向可信第三方認(rèn)證中心請(qǐng)求票據(jù)對(duì)應(yīng)的完整的SAML認(rèn)證聲明��;⑥可信第三方認(rèn)證中心將完整的SAML認(rèn)證聲明提供給ASPB應(yīng)用平臺(tái)的認(rèn)證模塊�;⑦ASPB應(yīng)用平臺(tái)的認(rèn)證模塊根據(jù)SAML認(rèn)證聲明的內(nèi)容,對(duì)用戶進(jìn)行身份認(rèn)證�,從而達(dá)到用戶只在第三方認(rèn)證中心登錄一次,就可以在ASPA和ASPB進(jìn)行訪問��。
3.一種面向ASP模式的單一登錄系統(tǒng)����,其特征在于它包括安全信息存儲(chǔ)模塊����、域安全服務(wù)器����、可信第三方認(rèn)證中心和管理配置工具四個(gè)部分��;安全信息存儲(chǔ)模塊包括LDAP服務(wù)器和目錄服務(wù)訪問接口���;LDAP服務(wù)器采用LDAP目錄服務(wù)方式集中存儲(chǔ)一個(gè)安全域內(nèi)用戶帳號(hào)信息和安全策略�;目錄服務(wù)訪問接口用于訪問LDAP服務(wù)器的接口��,它封裝了對(duì)于目錄服務(wù)各種條目及其屬性進(jìn)行操作的應(yīng)用程序接口API�;域安全服務(wù)器是實(shí)現(xiàn)安全域內(nèi)不同應(yīng)用系統(tǒng)間單一登錄的核心部件,用于安全域用戶的身份認(rèn)證����、身份映射、自動(dòng)為安全域內(nèi)遺留應(yīng)用系統(tǒng)的認(rèn)證模塊傳遞用戶的帳號(hào)信息�、為新增應(yīng)用系統(tǒng)的授權(quán)執(zhí)行模塊傳遞用戶在新增應(yīng)用的授權(quán)結(jié)果;可信第三方認(rèn)證中心是實(shí)現(xiàn)安全域間單一登錄的核心部件�����,用于完成對(duì)全局用戶進(jìn)行統(tǒng)一身份認(rèn)證����,為用戶構(gòu)造SAML認(rèn)證聲明�,并頒發(fā)聲明對(duì)應(yīng)的票據(jù)���,對(duì)認(rèn)證聲明進(jìn)行存儲(chǔ)和管理�����,以及響應(yīng)各安全域的對(duì)票據(jù)對(duì)應(yīng)聲明的查詢����;管理配置工具主要實(shí)現(xiàn)對(duì)帳號(hào)聯(lián)合信息的定制����,新增應(yīng)用訪問控制策略的定制,以及用戶的身份映射策略的定制以及用戶管理的功能��。
4.根據(jù)權(quán)利要求3所述的一種面向ASP模式的單一登錄系統(tǒng)��,其特征在于所述域安全服務(wù)器包括五個(gè)功能模塊身份認(rèn)證模塊�、身份映射模塊、票據(jù)解析處理模塊�、認(rèn)證代理模塊和授權(quán)代理模塊����;身份認(rèn)證模塊根據(jù)目錄服務(wù)中存儲(chǔ)的用戶帳號(hào)信息���,完成對(duì)安全域用戶的身份驗(yàn)證。支持通過票據(jù)的全局用戶登錄����,也支持直接在本地登錄;身份映射模塊根據(jù)預(yù)先制定的身份映射策略��,完成將全局用戶身份(即可信第三放所擔(dān)保的用戶身份)映射成為安全域用戶身份�,身份映射策略可以動(dòng)態(tài)的制定;票據(jù)解析處理模塊驗(yàn)證認(rèn)證中心為用戶頒發(fā)的訪問其它安全域的身份認(rèn)證聲明所對(duì)應(yīng)的票據(jù)是否有效�,驗(yàn)證有效性的規(guī)則通過管理工具進(jìn)行配置;認(rèn)證代理模塊結(jié)合目錄服務(wù)中預(yù)先存儲(chǔ)的帳號(hào)聯(lián)合信息��,自動(dòng)的將用戶的認(rèn)證信息傳遞給遺留應(yīng)用的身份認(rèn)證模塊��,對(duì)用戶進(jìn)行身份認(rèn)證�����,向用戶屏蔽登錄過程�;授權(quán)代理模塊根據(jù)新增應(yīng)用管理員預(yù)先制定的新增應(yīng)用授權(quán)策略,自動(dòng)為當(dāng)前安全域用戶生成授權(quán)聲明�����,并自動(dòng)的傳遞給新增應(yīng)用的授權(quán)執(zhí)行模塊,對(duì)用戶作出訪問控制���。
5.根據(jù)權(quán)利要求3所述的一種面向ASP模式的單一登錄系統(tǒng)�,其特征在于所述可信第三方認(rèn)證中心包括五個(gè)功能模塊全局身份認(rèn)證模塊�、擔(dān)保服務(wù)模塊、用戶管理模塊���、認(rèn)證聲明存儲(chǔ)和管理模塊�����、全局用戶身份數(shù)據(jù)庫模塊���;全局身份認(rèn)證模塊負(fù)責(zé)對(duì)用戶進(jìn)行全局的身份認(rèn)證,通過與全局用戶身份數(shù)據(jù)庫模塊中的信息進(jìn)行對(duì)比����,驗(yàn)證用戶是否為合法的全局用戶;擔(dān)保服務(wù)模塊根據(jù)全局身份認(rèn)證的結(jié)果����,為用戶生成證明其全局身份的SAML認(rèn)證聲明以及與聲明對(duì)應(yīng)的票據(jù)���,傳遞給其它安全域的身份認(rèn)證模塊���;用戶管理模塊負(fù)責(zé)維護(hù)全局用戶的信息���,主要是用戶的帳號(hào)信息。認(rèn)證聲明存儲(chǔ)和管理模塊負(fù)責(zé)對(duì)于擔(dān)保服務(wù)所生成的認(rèn)證聲明進(jìn)行維護(hù)�����,包括增����、刪、改��、查等操作�����;全局用戶身份數(shù)據(jù)庫模塊用于存儲(chǔ)全局用戶的帳號(hào)信息����,用于對(duì)用戶進(jìn)行全局身份認(rèn)證�。
全文摘要
本發(fā)明公開了一種面向ASP模式的單一登錄方法�����,該單一登錄方法實(shí)現(xiàn)了ASP應(yīng)用平臺(tái)內(nèi)不同應(yīng)用系統(tǒng)間以及不同ASP應(yīng)用平臺(tái)間的單一登錄���。該單一登錄方法以LDAP協(xié)議和SMAL規(guī)范為基礎(chǔ)���。本發(fā)明還公開了面向ASP模式的實(shí)現(xiàn)單一登錄的系統(tǒng),該系統(tǒng)包括安全信息存儲(chǔ)模塊����、域安全服務(wù)器、可信第三方認(rèn)證中心和管理配置工具四個(gè)部分��。本發(fā)明解決了ASP模式下異構(gòu)安全系統(tǒng)間認(rèn)證和授權(quán)結(jié)果共享及單一登錄的問題���。
文檔編號(hào)H04L9/32GK1805336SQ20051000192
公開日2006年7月19日 申請(qǐng)日期2005年1月12日 優(yōu)先權(quán)日2005年1月12日
發(fā)明者懷進(jìn)鵬, 李博, 李暉, 劉旭東, 孫璐, 馬殿富, 葛聲 申請(qǐng)人:北京航空航天大學(xué)