基于SALM2.0的统一身份认证和管理属于信息技术领域,主要解决企业间用户身份认证和管理的问题。根据SAML 2.0规范,借助于现有成熟与开放的框架,实现用户单点登录及企业间用户信息的共享、映射与管理,为用户提供更为全面、方便的服务。系统整体上由3部分组成:认证主体即需要被认证的实体,也是服务的接受者,可能是一个具体的用户,也可能是一个代理(Agent);身份提供者保存了用户的身份和相关属性信息。IdP处理发自于断言依赖方的断言请求,并生成断言信息以响应该请求。服务提供者是用户享用服务的所在地,用户所需要的资源位于SP上;SP根据用户身份提供并管理相关的服务,而身份的认证则依赖于来自于IdP的断言信息。
【技术实现步骤摘要】
基于SAML2. 0的身份认证和管理方法
本技术主要解决企业间用户身份认证和管理的问题。根据SAML2.0规范,借助 于现有成熟与开放的框架,实现用户单点登录及企业间用户信息的共享、映射与管理, 为用户提供更为全面、方便的服务。二、
技术介绍
2.1主要
技术介绍
Hypertext Transfer Protocol (HTTP)Extensible Markup Language (XML)XML SchemaXML SignaureSimple Object Access Protocol (SOAP)Security Assertion Markup Language Version 2.0 (SAML 2.0)本项目“基于SAML2.0的统一身份认证管理系统”吸取了 shibboleth、FAME、 Permis> GUANXK OpenSamL WSS4J等一系列开源项目的经验,结合教研室在J2EE、XML引擎、安全中间件等方面深厚的技术功底与项目积淀,实现在复杂环境下用户的多 级身份认证、单点登录、单点注销以及访问控制功能。本项目基于SAML2.0实现,支持 在SOAP和XML标签两个级别的签名与加解密,不仅解决了目前其它身份认证管理项目 中安全保护能力弱的问题,并且提供给用户自由的安全控制粒度,符合不同级别的环境需要。2.2SALM2.0 新特性项目建立的基础是SAML 2.0。SAML是安全断言标记语言Security Assertion Markup Language)的简称,是OA^tS为企业和商业伙伴之间交换安全信息定义的一套基 于XML的框架。在SAML的应用中,安全信息都是通过在互信的区域之间以SAML断 言MAMLAssertions)来传递的。SAML标准为断言的请求、建立、响应、传递和使用都 定义了精确和完整的语义及准则。目前SAML的最新版本为2.0,2.0在1.1基本上有较大改进,主要表现在增加了对加密和签名的支持;对断言语句的结构有一定改动;对原有的请求/响应协议有调整;增加了一些新的协议类型;增加了新的绑定;增加了新的配置文件;本文档将对2.0新特性以下划线进行特别标注。SAML2.0总体上由六部分组成断言(Assertions)、协议(Protocols)、绑 定(Bindings)、配置文件(Proifiles)、认证上下文(Authentication Context)和元数据(Metadata)。2.3SALM2.0主要研究内容2.3.1 断言(assertions)SAML断言来产生于断言方(assertion party,又称认证权威(Authentication Authority)),由断言语句(statements)组成,它携带了关于某个主体(subject或principal) 的断言信息,用于表明该主体身份。例如一条断言可以包含如下信息该主体的名字 叫 “John Doe”,他的 Email 地址是 john.doe@example.com,并且他是 “engineer” 组的成员,等等。断言常常产生于依赖方(relying party)的断言请求,但某些情况下,也有可能 是断言方主动发起。saml-schema-assertion-2.0.xsd定义了 SAML2.0断言的标准结构。 SAML定义了三种基本的断言语句认证断言语句(Authenticationstatements)用于认证某个主体的身份。属性断言语句(Attribute statements)用于说明某个主体具有属性,比如说明 John Doe 拥有 “Gold Card”。授权决策语句(Authorizationdecisionstatements)用于说明某个主体可以进行 的操作,比如确定John Doe是否有权访问某个特定的资源。2.3.2 协议(Protocols)协议用于完成SAML断言及其它身份管理信息的请求与响应。认证请求协议(Authentication Request Protocol)为某个主体(或主体的代理)请求包含该主体身份信息的断言(也可能包含属性信息)。单点注销协议MingleLogoutProtocol)定义了一个能够为某个主体实现近似同 步(near-simultaneous)注销多个活动session的机制。断言查询及请求协议(AssertionQuery and Request Protocol)为获得某 SAML 断言提供了一套请求和查询机制。请求协议用于向断言方询问某个断言ID所对应的断言; 查询协议用于向断言方查询某个主体所对应的断言信息。辅件解析协议(Artifact Resolution Protocol)辅件是一种对SAML协议信息的弓I用,其长度较小并且固定,可以通过辅件来间接地传递SAML协议。辅件的接收方通过 辅件解析协议向消息的发送方询问并获得协议的真实信息。ID管理协议(Name Identifier Mamigement Protocol)可以通过该协议更改主体名 字的形式或内容。更改请求的发起方可能是SP,也可能是IDP。ID 映射协议(Name Identifier Mapping Protocol)将某个 ID 映射为另一个 ID。2.3.3 绑定(Bindings)SAML协议本身不能被直接传输,协议信息需要绑定到可传输协议内部以通过 网络进行传递。SAML2.0定义了以下几种绑定HTTP Redirect Binding SAML 协议的信息可以通过 HTTP Redirect 方式传递,主要用于信息量较少的情况,比如辅件常常采用该绑定形式。HTTP POST Binding SAML 协议信息可以通过 HTML form 以 Base64 编码方式传递。HTTP Artifact Binding 定义SAML辅件的传输方式,以上两种机制都可以用于传输。SAML SOAP Binding SAML 可以通过 SOAP1.1 传输。Reverse SOAP (PAOS) Binding:主要用于增加的客户端或代理配置文件,主要用在移动终端上。SAML URI Binding SAML断言信息也可以包含在URI中,并通过该协议进行解析。2.3.4 配置文件(Profiles)SAML定义了一系列的配置文件(Profiles)说明断言、协议和绑定在特定的应用 场景中是如何协同工作的。关于配置文件的具体工作方式将在下一章中详述。Web Browser SSO Profile 定义SAML实体间如何使用SAML请求/响应断言信 息以通过标准浏览器实现单点登录。Enhanced Client and Proxy (ECP) ProfileIdentity Provider (IDP) Discovery Profile 为 SP 提供一种可以发现用户最近访问 过的IDP的机制,常常被称为WhereAreYou From(WAYF)。Single Logout Profile 定义了在 SOAP、HTTP Redirect 等绑定方式下的单点注销协议的使用方式。 Assertion Que本文档来自技高网...
【技术保护点】
基于SALM2.0的统一身份认证和管理:其特征是:基于工厂流水线原理,将SAML断言的构造、解析、加密、签名等功能拆分成串行的步骤,再结合多线程机制构造出一个专门负责处理SAML相关操作的引擎。
【技术特征摘要】
1.基于SALM2.0的统一身份认证和管理其特征是基于工厂流水线原理,将 SAML断言的构造、解析、加密、签名等功能拆分成串行的步骤,再结合多线程机制构 造出一个专门负责处理SAML相关操作的引擎。2.根据权利要求1所述的基于SALM2.0的统一身份认证和管理其特征是新的协 议在断言、协议、Profiles方面进行了补充,并且新增了基于SAML的签名、加解密以及 利用元素据对认证实体进行描述的功能,解决了认证过程中可能存在的窃听、重放、篡 改等安全隐患,提供了一个能够在复杂环境中进行身份认证的更加安全和可靠的技术方 案。3...
【专利技术属性】
技术研发人员:唐雪飞,佘堃,陈科,汪海良,
申请(专利权)人:成都康赛电子科大信息技术有限责任公司,
类型:发明
国别省市:90[中国|成都]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。