基于Shibboleth架构的跨地域企业统一身份认证体系结构研究与分析

VIP免费
3.0 陈辉 2024-11-19 5 4 979.08KB 67 页 15积分
侵权投诉
摘 要
一直以来,各 Web 应用系统服务大都相互独立,导致网上身份认证系统也都
“各自为政”,由此而引发了诸多问题,为了提高网络信息系统的易用性、安全
性、稳定性,单点登录应运而生。
所谓单点登录,简称为 SSOSingle Sign On),即在多个应用系统中,用户
只需要登录一次就可以无缝访问所有被授权的、相互信任的应用系统。常见的 SSO
实现方式有 4种:基于 Web Proxy 的实现方式、基于 Kerberos 的实现方式、基于
PKI 的实现方式和基于 SAML 的实现方式。
传统的 SSO 实现方法,基本解决了相互信任的应用系统间的无缝访问。但是,
由于它们都是把用户认证的模块放在 SP这无疑加大了 SP 的负载。Shibboleth
口令系统将认证模块放在访问者端,
SP 只需从访问者端获取用户的身份信息即可。
为了对多个局域网的身份认证系统实现单点登录功能,并且要减轻各资源系统的
负担,本文分别研究了传统 SSO Shibboleth 口令系统,屏蔽其差异的地方,建
立一个基于 Shibboleth 架构的跨局域网企业单点登录系统模型,最后给出了一个简
易的跨局域网企业环境下统一身份认证的解决方案,并通过实验证明了该模型的
可行性。
关键词Shibboleth;单点登录;身份认证;基于属性授权
ABSTRACT
Until now, most Web application system servers are independent reciprocally, so
there is an appearance that every Web system has its own identity authority system. As
a result, there are so many problems about Web application. In order to improve the
ease, security and stability of Web information system, Single Sign On was born.
SSO stands for Single Sign On, what means that one user can access all the
application systems which are authorized and manual trusted once he or she logs in.
there are 4 common methods to implement SSO: method based on Web Proxy, method
based on Kerberos, method based on PKI and method based on SAML.
The traditional SSO methods basically implement the access between those manual
trusted application systems. But these methods are to put the module of user
authentication in the source site, the load in the source site is too heavy. And now
Shibboleth system puts this module in the identity provider, the source site just needs to
ask for the user information from the identity provider. In order to implement the SSO
function between many systems which are on different intranet, and less the load of the
source site, this paper studied the traditional SSO and the Shibboleth system, screened
their differences, and then built a cross- intranet enterprise SSO system model based on
Shibboleth. And finally, the feasibility of the model was proved through experiments,
and a simple unified identity authentication solution on cross- intranet environment was
established.
Key Words Shibboleth; SSO; identity authentication; attributes-based
authorization
目录
.........................................................................................................................
ABSTRACT ...............................................................................................................
第一章 .......................................................................................................1
§1.1 课题研究的目的和意义 ........................................................................................................1
§1.2 国内外研究现状 ....................................................................................................................2
§1.3 论文主要工作 ........................................................................................................................3
§1.4 论文结构安排 ........................................................................................................................4
第二章 单点登录 .................................................................................................. 5
§2.1 单点登录简介 ........................................................................................................................5
§2.2 单点登录技术应用简介 ........................................................................................................6
§2.3 单点登录的主要实现方式 .................................................................................................. 10
§2.3.1
基于
Web Proxy
的实现方式
......................................................................................10
§2.3.2
基于
Kerberos
的实现方式
........................................................................................ 11
§2.3.3
基于
PKI
的实现方式
.................................................................................................12
§2.3.4
基于
SAML
的实现方式
............................................................................................. 14
第三章 SHIBBOLETH 单点登录架构 ............................................................. 15
§3.1 SAML ...................................................................................................................................15
§3.2 身份联盟 ..............................................................................................................................19
§3.3 SHIBBOLETH 简介 .................................................................................................................21
§3.4 SHIBBOLETH 架构 .................................................................................................................22
§3.4.1 Shibboleth
架构组成
................................................................................................... 23
§3.4.2 Shibboleth
架构的工作机制
....................................................................................... 24
§3.5 SHIBBOLETH 应用发展简介 .................................................................................................27
第四章 基于 SHIBBOLETH 的跨地域企业统一身份认证平台的实现 ........33
§4.1 实验环境 ..............................................................................................................................33
§4.2 企业原信息业务平台简介 .................................................................................................. 33
§4.3 需求分析 ..............................................................................................................................35
§4.4 系统架构设计 ...................................................................................................................... 36
§4.5 属性设计 ..............................................................................................................................39
§4.5.1
身份提供者和属性
..................................................................................................... 39
§4.5.2
资源提供者和属性
..................................................................................................... 40
§4.6 流程设计 ..............................................................................................................................40
§4.7 数据库设计 ..........................................................................................................................44
§4.8 若干关键技术的实现 .......................................................................................................... 45
§4.8.1
安全传输的实现
......................................................................................................... 45
§4.8.2
数据库连接功能实现
................................................................................................. 46
§4.8.3 WAYF
的功能实现
......................................................................................................47
§4.8.4 SHIRE
的功能实现
..................................................................................................... 49
§4.8.5 AA
的功能实现
........................................................................................................... 52
§4.8.6 SHAR
的功能实现
.......................................................................................................53
§4.9 实现的案例描述 ..................................................................................................................56
第五章 总结与展............................................................................................ 61
§5.1 总结 ...................................................................................................................................... 61
§5.2 工作展望 ..............................................................................................................................61
参考文献 .................................................................................................................63
在读期间公开发表论文和承担科研项目及取得成果 ........................................ 65
.....................................................................................................................66
第一章 绪 论
1
第一章 绪 论
§1.1 课题研究的目的和意义
人们对知识信息的渴望使得网络空前高速发展,世界已经变成“地球村”。
网络已经成为日益增多的电子业务(包括管理电子商务和电子供应链,联机市场
和协作等一系列活动)活动创造利润的重要渠道[1]与此同时,出于各种原因,
SP 从计费、安全等角度出发,纷纷拥有自己独立的门户,而且,网上身份认证
系统也都“各自为政”。如果这种局面不改变,就会影响公众对互联网的信任。
只有采取措施来提高公众的信任,才能保证互联网发挥其作用并蓬勃发展。
现代企业信息化建设越来越完善,各种电子邮件系统、网络办公、电子财务、
人事管理等针对特定行业的业务系统进入了千百个企业。企业业务正常运营时,
企业用户往往需要同时访问多个业务系统,如果这些业务系统各自拥有自身的身
份认证系统,则会带来三方面的问题:首先,用户在各系统间的浏览转换将因身
份认证的频繁切换而使得工作效率大大下降,其次,因为这些独立的应用系统可
能存在多个,用户账号或密码遗忘现象时有发生。此外,在安全性和系统管理方
面,企业需要配备大量 IT 技术管理人员,分别管理和维护不同系统(如:ERP
统计分析、OA、财务、Notes 系统等)的用户信息[2]
因此,企业希望能通过实施建立企业级的登录系统和安全防护措施,为企业
用户提供统一的信息资源访问认证入口,用户只需一次登录即可以根据相关的规
则去访问不同的应用系统,来提高信息系统的易用性、安全性和稳定性。
目前对这个问题的解决方法是实现单点登录。问题是传统的单点登录实现方
式,主要是基于 IP VPN 技术,均是把用户认证的模块放在 SP,虽然这种技术
成熟且应用广泛,但却存在使用、管理和性能上的问题,而且也加大了 SP 的负载。
有鉴于此,美国 Internet2 高级网络联盟(Middleware Architecture Committee for
EducationMACE)小组开发了一个基于标(主要是 SAMLSecurity Assertion
Markup Language,安全断言标记语言)、XML Schema)的体系结构和策略框架
及一套开放源代码软件,以支持机构间的、需要存取控制的 Web 资源共享[3]
而企业级的登录系统在企业面临跨地域情况下出现了新的问题:如何实现跨
域企业的信息传递和保存;如何实现各自具有法人资格的企业分支间的业务合作;
如何降低各系统的跨域访问带来的负载;如何保证跨域信息传送的安全等等。
通过 Shibboleth 系统,不仅可以实现其他统一认证方式可实现的用户在多个应
用系统中只需进行一次登录和身份验证,即能访问所有相互信任的应用系统,实
基于 Shibboleth 架构的跨企业统一身份认证体系结构研究与分
2
现对所有被授权的应用系统的无缝访问的功能。更重要的是,由于其架构独特,
Shibboleth 系统可实现对分布式环境下资源访问的安全控制。Shibboleth 系统改变
了现有的 IP 认证模式,它是基于 SAML 实现认证。
Shibboleth 系统由身份提供者 IDP服务提供者 SP可选的 WAYFWhere are
you from服务和各种交互子组件组成。它使用联盟管理,而身份联盟是这样一个
系统:只要可以使用标准的 Web 浏览器来访问受控资源,它就能把用户的属性从
用户的源组织安全地传送到 SP[4]另外,Shibboleth 可以使用户有权决定他们的哪
些信息可以被释放给哪些资源,因为用户在访问时必需考虑到自身的隐私问题。
用户仅仅需要在它的 IDP 端进行注册而不需要在每个资源提供方注册,而也正是
由于用户身份认证与 SP 的分离,也客观上降低了 SP 的运行负载。
本文针对基于 Shibboleth 架构的跨地域企业统一身份认证平台进行研究。首先
对传统的单点登录实现模型进行研究,从中找出各实现机制中的优缺点,然后提
出了一个简单的针对跨地域企业的统一身份认证的模型,并根据这个模型,采用
实验方式实现了一个基于 Shibboleth 架构的跨地域企业单点登录系统。这里的跨域
指的是跨局域网。
§1.2 国内外研究现状
至今,人们对于身份认证的解决办法一般有:
1.限IP 法。SP 通过检查访问者的 IP 是不是在指定的 IP 段里来作出允许
或者拒绝访问的决定。这种方法很容易被攻击,而且缺乏灵活性。不是有效的访
问者也可以通过修改一些参数(如采用有效的 IP 做代理等)来访问资源。
2Name-Password 法。SP 要求每一个访问者注册,获得有效的用户名和密码。
当用户量比较少时,系统的负担不是很明显,但当用户数量很大时,系统就要花
很大代价来管理用户名和密码。用户也会很容易忘记自己的用户名或丢掉密码等,
这样寻找用户名或密码就越发加大了系统的负担。
3.匿名访问。SP 将用户按照一定的策略划分为不同的组织。这样 SP 就只需
维护很少的组织信息而已,极大地降低了 SP 的负担。用户只要属于某个组织,
可匿名访问资源。但是,SP 却不清楚到底是哪些用户在访问资源,一旦被攻击
则无从查出源头[5]
而单点登录的实现方式主要有 4种,即基于 Web Proxy 的实现方式、基于
Kerberos 的实现方式、基于 PKI 的实现方式和基于 SAML 的实现方式。传统的解
决方法,都是把用户认证的模块放在 SP,很明显,这无疑加大了 SP 的负载。
第一章 绪 论
3
作为一个开放源码的基于 SAML 的单点登录系统,Shibboleth 系统在国外图书
馆系统中,特别是高校图书馆系统中得到了广泛的应用,有着良好的发展前景,
很值得国内企业研究和推广。
现在支持 Shibboleth 系统的资源有:EBSCOElsevier 为代表的全文数据库、
DspaceFedora 为代表的数字图书馆系统、以 WebCTBlackboard 为代表的学
习系统以及 Aleph 图书馆集成管理系统等近 50 个信息系统或服务。而正式应用、
部署 Shibboleth 系统的国家有澳大利亚、丹麦、芬兰、法国、挪威、瑞典、瑞士、
英国和美国,并且有多个网站和社区对应用 Shibboleth 系统提供帮助。但是,在国
内的实际应用基本上处于研究状态中。
Shibboleth 系统尚处于发展中Shibboleth20正在开发中[6]部分功能尚不
完善,当一个联盟在具体应用时,还需要根据自己的情况,选择解决一些具体的
策略和技术问题。这些问题主要包括:
1)确定使用 Shibboleth 系统的范围和目的;
2)分析用户群体特点,确定 IDP 的功能需求;
3)确定资源集成的方式;
本文我们采用了 Shibboleth 口令系统,设计了一个基于 Shibboleth 架构的跨地
域企业统一身份认证体系结构,并模拟了一个实验环境来予以应用。
§1.3 论文主要工作
本文主要研究跨地域企业的统一身份认证问题。首先本文对 Web 身份认证的
基本知识做了概括性介绍,包括身份认证的关键技术,以及现有典型的实现方式;
Web 统一身份认证的前提是各个平台对单点登录的支持,因此本文对单点登录做
了一个较为详细的分析;最后重点讨论本文提出的跨地域企业统一身份认证的模
型,主要分析了基于 SAML Shibboleth 架构,对基于 Shibboleth 架构的统一身
份认证平台进行了比较深入的研究和实现,并通过实验证明该模型的可行性。
具体研究工作包括:
1)研究单点登录及其实现方式、统一身份认证关键技术。
2)研究基于 SAML 的单点登录结构,重点研究了 Shibboleth 单点登录架构。
3)分析跨企业信息共享平台的结构。
4)设计实现了基于 Shibboleth 的跨地域企业统一身份认证模型。
5)对基于 Shibboleth 的跨地域企业统一身份认证模型的性能进行测评总结。
摘要:

摘要一直以来,各Web应用系统服务大都相互独立,导致网上身份认证系统也都“各自为政”,由此而引发了诸多问题,为了提高网络信息系统的易用性、安全性、稳定性,单点登录应运而生。所谓单点登录,简称为SSO(SingleSignOn),即在多个应用系统中,用户只需要登录一次就可以无缝访问所有被授权的、相互信任的应用系统。常见的SSO实现方式有4种:基于WebProxy的实现方式、基于Kerberos的实现方式、基于PKI的实现方式和基于SAML的实现方式。传统的SSO实现方法,基本解决了相互信任的应用系统间的无缝访问。但是,由于它们都是把用户认证的模块放在SP,这无疑加大了SP的负载。而Shibbol...

展开>> 收起<<
基于Shibboleth架构的跨地域企业统一身份认证体系结构研究与分析.pdf

共67页,预览7页

还剩页未读, 继续阅读

相关推荐

更多
立即下载
作者:陈辉 分类:高等教育资料 价格:15积分 属性:67 页 大小:979.08KB 格式:PDF 时间:2024-11-19

开通VIP享超值会员特权

  • 多端同步记录
  • 高速下载文档
  • 免费文档工具
  • 分享文档赚钱
  • 每日登录抽奖
  • 优质衍生服务

作者详情

相关内容

更多

推荐作者

热门标签

/ 67
评分 收藏
分享
立即下载 VIP免费下载
客服
关注