（计算机应用技术专业论文）基于internet的网络身份信息整合管理方法的研究.pdf

摘要 目前，关于网络身份的问题日益突出，需要一个网络身份管理系统来解决。 身份管理包含广泛的含义，对于企业来说，问题在于整合内部不同系统。对于互 联网用户来说，他们需要毫不费力的管理他们的身份，包括自由选择角色，传输 身份信息从同一个人的一个化名到另一个化名，并需要相应的用户界面等。因此 提出一个框架来解决身份管理为中心的问题。这个管理系统可以使服务商可以集 中建设系统业务，使用户无缝整合用户的数据和管理用户信息。 本系统中用户可以统一管理网络上自己所有的身份信息，实现用户管理信息 需要利用一个第三方服务器( 1 1 m s ：i d e n t i t yi n f o r m a t i o nm a n a g e m e n ts e v e r ) ， 每个网站需要在i i m s 上注册，各个网站的用户信息属性通知i i m s ，同时用户在 i i m s 上注册，将其各网站上的d 进行绑定。每当同一个用户在某个网站上身份 信息进行变更后都会通知i i m s ，i i m s 将修改通知发送给与此用户有关的其他网 站。网站之间的通信来实现整体上管理用户的信息，但是用户信息并不保存在 i i m s 上，i l m s 通过对各个网站的联系以及记录信息的变化等等来实现信息整合。 本文通过对信息化集成环境中的网络身份信息整合特点与难点的分析，对目 前网络身份信息技术的研究，并结合工程实施的实践经验提出了一种灵活、稳定、 可实现的网络身份信息系统架构。 最后，本文结合产品开发和工程实施中的具体案例，说明这样的网络身份信 息系统设计如何在复杂的系统环境下集成其他应用系统。并且从性能、安全、实 用性等方面剖析网络身份信息系统的设计，说明它具有较强的实用价值。 关键词身份；身份信息整合；信息管理 北京工业大学工学硕士学位论文 a b s t r a c t n e t w o r ki d e n t i t ym a n a g e m e n ts y s t e mi nt h e o r yi sc o n c e i v e da st h es o l u t i o nt om a n y i d e n t i t y - r e l a t e d i s s u e s b l l r g e o n i n gd a y - t o d a y i d e n t i t ym a n a g e m e n t ，t o d a y ，i s m u l t i f a c e t e da n de m b r a c e sab r o a ds p e c t r u mo fm e a n i n g s i ne n t e r p r i s e s ，t h ef o c u si s s t i l lo ni n t e r n a lc o n s o l i d a t i o no fd i f f e r e n ts y s t e m s f o rt h ei n t e r n e tu s e r s ，t h ef o c u si s o ne n a b l i n gp e o p l et oe f f o r t l e s s l ym a n a g et h e i ri d e n t i t i e si n c l u d i n gf r e ec h o i c eo f r o l e sa n dp s e u d o n y m s ，t h et r a n s f e ro fi d e n t i t yi n f o r m a t i o nf r o mo n ep s e u d o n y mt o a n o t h e r p s e u d o n y mo f t h es a m ep e r s o n , a n da p p r o p r i a t en s e ri n t e r f a c e s o u rg o a li st op r o p o s eas o l u t i o nt ot h i sm a n a g e m e n tp r o b l e mb yi n t e g r a t i n ga l l i d e n t i t yi n f o r m a t i o nt h a tb e l o n g st oi n d i v i d u a lu s e r si nt h en e t w o r k t h em e t h o dw e p r o p o s ei nt h i sp a p e rf o rt h ei n t e g r a t i o n i sb a s e do nat h i r dp a r t ys e r v e rt h a tw ec a l l i d d t ym a n a g e m e n ts e r v e r ( i 蹦s ) i ti sr e q u i r e dt h a te a c hw e b s i t er e 西s t c r mt h e i i m ss ot h a ti tc a l lb i n da l lt h ei d e n t i t i e st h a tb e l o n gt oau s e ri nn e t w o r k ，r e c o r de v e r y c h a n g et ou s e ri d e n t i t yi n f o r m a t i o ni ne a c hs e r v e r ) a n df a c i l i t a t es e l v e rc o m m u n i c a t i o n t ou n i 毋u s e ri d e n t i t yi n f o r m a t i o n i nt h i sp a p e r , w ed e s c r i b et h ea r c h i t e c t u r e ，t h e p r i m a r yf u n c t i o n sa sw e l la st h ei m p l e m e n t a t i o no f t h ep r o p o s e dm e t h o d r e s e a r c h e dt h e u p t od a t ef u u c t i o n sa n d d e s i g n s o fi n t e r n e tu s e ri d e n t i t y t e c h n o l o g y , t h e a u t h o r d e f j v e da n dp u tf o r w a r daf l e x i b l e , s t a b l e , r e a l i z a b l e f r a m e w o r kf o ri d e n t i t yi n f o r m a t i o nm a n a g e m e n ts y s t e m a tl a s t , i td e s c r i b e sh o wt oi n t e g r a t eo t h e rs o f t w a r es y s t e m sa n di d e n t i t ym a n a g e m e n t t e c h n o l o g i e si nr e p r e s e n t a t i v ep r o j e c tw i 血t h ei d e n t i t y i n f o r m a t i o n i n t e g r a t i o n a r c h i t e c t u r e ，a n de v a l u a t e st h ed e s i g no ft h ei d e n t i t yi n f o r m a t i o nm a n a g e m e n ts y s t e a a a f r o mp e r f o r m a n c e ，s e c u r i t y , a n dp r a c t i c a b i l i t ya s p e c t s i tp r o v e st h a tt h ei d e n t i t y i n f o r m a t i o nm a n a g e m e n ts y s t e mh a sg r e a tp r a c t i c a lv a l u e k e y w o r d si d e n t i t y ；i n t e g r a t i o ni d e n t i t ym a n a g e m e n t ；i n f o r m a t i o nm a n a g e m e n t j l 独创- 眭声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：；兰j 盥日期： 关于论文使用授权的说明 矿_ 7 年6 月i i 妇 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：丝垄鑫盔砼导师签名：互3 垒窆 日期 年6 丹r 阔 第1 章绪论 t l 1 1 背景 第1 章绪论 目前，网络作为交流通信的主要工具正在逐步的改善着我们的生活方式，企 业和个人可以方便的利用网络检索信息，在线交易，定制服务等等。数字身份 ( d i g i t a li d e n t i t y ) 就成为了用户和企业在互联网上通行的一个关键标识。用户为j 7 获得不同的资源信息需要在不同的s p ( s e r v i c cp r o v i d e r ) 那里注册登记，从而获得 相应的访问权限。因此，个人可能有十几个甚至几十个i d e n t i t y 在网络上，为了访 问不同的s p 我们必须记住每一个i d 和口令，在从一个s p 到另一个s p 的时候，必 须输人i d 和口令。随着i d 数目的不断增长，管理它们的成本和面临的安全风险也 就越来越高。企业也面临着巨大的挑战。商业交易正逐渐变得越来越虚拟和分散。 为了维护不同的域和应用的用户身份信息，如增加、删除、同步、授权等等，随 着用户的增长，成本将会越来越大。 无论是电子政务还是电子商务应用系统，用户信息都是最核心、最有价值的 信息。然而传统电子政务和电子商务应用系统每个系统都自己维护管理自己的用 户信息，每个系统的用户信息格式、属性种类、内容各不相同。系统管理员需要 在不同的应用系统中进行同样的维护管理工作。极大地提高了维护成本。同时很 难保证用户信息的完整性、一致性。 事实上，联合身份( f e d e r a t e di d e n t i t y ) 就是解决此问题的核心技术，它能减 少管理d 的成本、降低风险，并且提供新的商业机会，挖掘市场潜力【l 】。f c d c r a t o d i d e n t i t y 是o a s i s 和l a f l i b e r t y a l l i a n c ep r o j c o t ) 定义的一个规范。他们建立了一套 机制来使企业间建立起户身份的联合。在联舍的商业圈或信任域( t r u s tc i r c l e ) 里， 用户管理自己的在线身份、p r o f i l e ，购买 - j 惯、历史信息，并自主选择私人信息安 全的与被用户受权的组织共享。相关工作目前，与联合身份认证相关的一些工作 已经在业界巨头之间有效开展：p a s s p o r t 是m i c r o s o f t 提供的一个公共w e bs e r v i c e ， 用于同一的身份验证服务。使用者可以在h t t p ：w w w p a s s p o r t c o r n * 请使用 p 勰s p o r t 服务。p a s s p o r t 是目前最大的几个投入使用的w 曲s e r v i c e 之一【z j 。m i c r o s o f t 和a r c o t 通过合作，将m i c r o s o f t n e t p a s s p o r t 与a r c o t t r a n s f o r t 支付认证平台进行 了集成。发行信用卡的银行支持在线认证，信用卡的持有人就能够将他们的个 人n e tp a s s p o r t 账号与安全 ：l 勺t r a n s f o r t 在线信用卡认证无缝集成在一起。信用卡 持有人可以使用简单而方便的p a s s p o r t 登录、购物和认证在线购买。作为p a s s p o r t 的对立方，以s u n 为主导的l i b e r t y a l l i a n c e p r o j e c t 于2 0 0 2 年7 ；q 1 5 同发布了它的第 一个规范：开放联合网络身份验证规范p 】。这是l i b e r t y a l l i a n c ep r o j e c t 为提供开放 北京工业大学工学硕士学位论文 联合网络身份验证解决方案而迈出的第一步。今年7 f l 份发布的2 0 规范提供优化 的身份关联以及简单的登录功能而所需要的系统间的互操作性提供了一整套的 解决方案。不同于p a s s p o r t 的集中式管理，它允许用户把分散的账号进行联合， 没有一个中央的服务器来统一管理用户所有的账号，各个s p 维护自己的用户信息 通过这一规范，用户能够决定是否要将多个标识提供者所提供的账号进行关联， 使得身份的使用对于消费者和商业实体都能更为方便，以充分显现成长中的w e b s e r v i c e s 空间。 1 2 用户身份管理 用户身份管理并不是一个信息技术或互联网带来的新概念，利用各种方式标 识、验证不同的人的身份以便控制对特定资源或信息的访问已经被使用了几千 年，甚至现代意义上的联合用户身份管理早在1 8 4 1 年的英国已经由t h o m a s c o o k 开始在旅游业运用，它是一套可实施的、包括第三方身份认证、用户身份信息的 传递和管理流程，其目的是使某些没有贵族朋友可以提供介绍信的平民能够在欧 洲跨国旅行并享受到沿途的必要服务。可以说，目前正在被实施的联合身份管理 系统只是在手段上不同，而在概念上与1 5 0 年前n 伽a sc o o k 的想法并无本质差 别【4 】。 1 2 1 用户身份管理的理念 直到不久前，“用户身份管理仍然是一个针对企业和政府部门内部的、对复 杂多样的、分布在多处的用户身份进行集中和自动管理的技术方案。其主要目的 是围绕用户的身份、通过集中式身份存储和管理来支持一系列的与用户身份有关 的服务，包括：用户身份生成( p r o v i s i o n i n g ) 、单点登录( s s o ) 、一次性身份删除、 委托管理、用户管理等等。它的价值体现在提高效率和降低安全风险两方面：缩 短生成用户身份所需时间以提高用户工作效率、降低用户不良行为导致的安全风 险：减轻管理员负担、降低管理员疏忽或延迟操作导致的安全风险。 1 2 2 跨企业的信息共享为用户身份管理提出新问题 用户身份管理最初在三年前引起广泛的注意，它主要作为提高效率的工具， 应用于企业应用的集成中。随着w e bs e r v i c e 的推广，越来越多的企业丌始把自己 的应用与合作伙伴、客户、供应商的应用相连接，跨企业的信息共享为用户身份 管理提出了新的问题：如何在企业间传递用户身份和权限信息以达到最大限度的 第1 章绪论 i im 信息共享? 这一问题所引发的新领域就是用户“联合身份”管t 里( f e d e r a t e di d e n t i t y m a n a g e m e n t ) 。鉴于企业间建立更紧密的业务合作关系的需要日益增多，具有某 种合作关系的企业的用户必须能互相访问彼此的信息。在b 2 b 的环境下，一个办 法就是在各自的用户信息库里建立对方用户的账户，然后采用通常的方式认证和 授权。可想而知，如果用户发生辞职、解聘等变化，跨企业的用户身份信息的管 理将是非常艰巨的任务，潜在的风险足以使合作的一方甚至双方望丽却步。在 b 2 c 的环境下，由于用户数目的庞大，这种方式几乎是不可能的。因此，产生了 一种新的机制：企业之间建立某种信任关系，然后使用对方提供的用户身份与认 证信息来控制对方用户对自己内部资源的访问，即用户“联合身份”管理。随着上 持联合身份管理的有关技术标准( 如s a m l 等) 的颁发与普及，一系列的国际厂商 ( 主要是美国厂商) 推出了支持联合身份管理的产品。这些产品在旅游业、金融业、 航空业和制造业得到了相当的应用。 一 1 2 3 用户身份管理的新趋势 ? 一新的发展趋势近两年来，用户身份管理发生了很大变化。其重点已经由整合 与管理企业内部分散的用户身份信息转向对跨企业信息服务所必须的支持。随着 基于w e bs e r v i c e 的应用在发达国家日益普及，孤立的应用正在被互相有机地连 接的服务流程所代替。当流程把用户从一个网站引导到下一个网站时，如何进行 身份认证和权限管理以实现有效并安全的跨企业信息共享呢? 安全和方便是未来 信息服务必须具备的两个特性。 一个常被引用的b 2 c 例子是旅游业的旅程定制服务，当用户在网上计划假日 行程时，需要和一系列的相关服务提供者打交道：航空公司、酒店、餐馆、汽车 出租公司、博物馆、公园、剧院等等。为了避免使用户一次又一次地重复身份认 证步骤，这些服务提供者需要建立某种合作关系，然后在彼此之间传递用户的身 份信息，以使行程的定制变得容易和方便，同时又必须保障用户信息的机密性。 当企业利用公共网络来传递需要保密的用户身份和认证信息时，安全性和完整性 是极其重要的。针对w e bs e r v i c e 的日益普及，系列基于x m l 的安全技术逐渐 被使用到用户身份信息的管理上，并且逐渐成为下一代应用安全技术的主流国 际技术标准为了保障厂商间的兼容性，结构化的信息标准促进组织o a s i s ( t h eo r g a n i z a t i o nf o rt h ea d v a n c e m e n to f s t r u c t u r e di n f o r m a t i o ns t a n d a r d s ) 和自由 联盟( “b e n ya l l i a n c e ) 分别制定了若干标准。这些标准包括s a m l ，x a c m l ，s p m i 。， d s m l ，i d f f ，i d w s f ，i d s i s 等。在这些标准中，最为广泛地被接受和应用的是 s a m l ( s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ) 。s a m l l 0 于2 0 0 2 年1 0 n3 1 闩被 o a s i s 批准。s m a l 是一个支持所谓“联合身份”体系的标准。在这样的体系内， 北京工业大学工学硕士学位论文 组织机构内或组织机构的网站之间可以安全地交换用户认证和授权信息。s m a l 使得用户在登录跨企业的网站服务时也可以享受到单点登录，而不是在每一个企 业的门户登录一次。 1 2 4 用户身份管理在中国 用户身份管理在国内至今还没有受到应有的重视，这有多方面的原因，关键 是实旄困难和效益低。由于信息化相对落后和人员成本便宜，即使用户的效率被 显著地提高，也并不能直接转换为企业效益；同时，由于安全要求还没有被提到 足够的高度，很多企业和政府部门尚未充分认识到由于缺乏一个有效的用户身份 管理系统而衍生的安全风险。另外，由于种种原因，目前在国内相当多应用系统 处于“信息孤岛”状态，不仅应用本身不能和其他系统互联互通，其用户管理系统 也是封闭和孤立的，这为整合分散的用户信息以便统一管理造成了很大困难。但 是，随着电子政务、电子商务等大型信息化项目的实施，随着国内信息化建设 不断快速地往纵深发展，为了向用户提供安全方便的信息服务，对用户身份信息 的有效安全的管理体制和使用势必成为未来信息化不可缺少的一个环节。在借鉴 了国外的各种发展经验和经历后，我们可以预期，随着信息化程度不断提高，无 论从提高效率还是从提高安全的角度看，用户身份信息管理将是深度信息服务必 不可少的。为了在国际化的商业环境中竞争，中国的企业也将和国内外企业建立 越来越多的合作伙伴关系并共享多种商业信息。因此，跨企业用户身份管理也将 是未来发展的必由之路。随着信息化程度的不断提高和信息安全要求的日趋严 格，尤其是计算机信息系统等级保护的贯彻落实，对统一用户身份管理系统的需 求变得日益明显。虽然国内目前有一些带有某种用户身份管理功能的产品，但它 们往往是依附于某种认证系统，因而缺乏通用性。支持“联合身份管理”的国内自 主开发的产品还没有。为了避免重蹈很多其它安全管理产品领域被国外厂商垄断 的覆辙，现在正是研制开发此类产品的恰当时机，以拥有中国自主产权的用户身 份管理系统迎接即将到来的高速信息化。 当用户要通过互联网访问某些服务时，他们通常会以某种方式提前定制这些 服务来满足自己的要求。比如，用户可能会创建一个账号，使用特定的用户名和 口令，并且同时还设定一些访问的参数如用户希望显示哪些信息或信息该如何显 示等等。一个用户实体的网络身份就是用户所有用户账号属性信息的集合。现 在，用户的账号信息被分散在各个孤立的网络站点上，降低了易用性，增加了 维护信息安全的成本。如何把一个实体的多个身份或账号信息联合起来管理和维 护就是本文讨论的问题。 4 第1 章绪论 1 3 主要研究内容 本文的重要研究内容是，通过一个第三方服务器来实现用户无论在任何网站 都可以站在一个整体的角度来管理自己的信息，而不是独立在每个网站上的信 息。简化了用户烦琐的操作过程，同时也没有阻断商家与用户的直接联系，保证 了齑家的利益。因为用户信息的仍然分散保存，也保证了信息的安全。 首先解决的问题是整合信息，从逻辑上将单个用户的所有身份信息看作一个 整体。然后进行管理。初步将管理的方面定为修改和复制。修改：当用户修改其 中一个站点上的用户信息时，相同的属性在其他网站上也能得到更新。复制：当 用户薪注册一个站点是，可以利用已经存在的属性值来填充，无须重复输入。 另外用户最关心的就是安全问题。首先用户的信息仍然分散保存，并非物理 的集中在一起，不用担心一旦一处的信息被暴露所有信息都暴露的危险。用户也 不必担心密码在各个网站之间互相暴露的问题，因为多个网站之闯传输信息或联 系，并不是通过用户密码来认证的，而是通过i i m s 这个第三方来帮助相互联系的。 1 4 本文结构 论文的章节内容安排如下： 第一章绪论。介绍论文研究背景、课题研究现状及本文研究环境、以及章 节安排。 第二章网络身份管理技术介绍。主要介绍网络身份管理系统所使用的技术 架构和理论，例如：单点登录技术、目录技术、信息安全技术等。 第三章网络用户身份信息管理设计目标。分析了用户对网络身份管理系统 的功能需求：根据需求分析设计出系统的功能架构。 第四章身份信息管理系统功能实现。此章节根据网络身份信息管理系统功 能设计来讨论了网络身份信息管理系统的功能设计与实现。 第五章结论与展望。总结全文内容，提出对现有系统的改进意见 第2 章网络身份管理技术介绍 n 第2 章网络身份管理技术介绍 2 1 单点登录技术 单点登录技术是指用户在多个业务系统之间切换时，系统可以自动识别用户 身份而不用客户重复登录的技术，是实现统一身份认证系统集成的基础之一。本 节将从单点登录需要解决的问题入手，阐述单点登录技术的难点，以及目前流j j 的单点登录技术标准是怎样解决这些难点的。 2 1 1 单点登录需要解决的问题 实现单点登录功能需要解决如下问题： 1 代理认证机制 传统的认证系统人多与具体的业务系统绑定。他们本身并没有能力在多个认 证系统之间将用户身份关联起来，也很少和多个业务系统关联。单点登录需要这 样的关联能力。这就要求将服务提供者与身份验证提供者分开，各个服务提供者 都与身份验证者通过标准的接口交互信息，获取用户的身份信息。这就形成了一 种新的代理认证模式。它不但可以在单个身份验证者与多个服务提供者之间提供 用户认证服务，甚至可以将不同身份验证者关联起来，实现多个身份验证者与他 们集成的服务提供者之间的用户身份信息关联，从而提供了单点登录功能， 2 身份信息的安全 要实现代理认证，那么未经认证的人需要首先登录某个业务系统，并且由这 个业务系统将用户登录信息传递给认证服务提供者，并且在经过认证后，认证服 务提供者采用某种网络技术在多个服务提供者之间共享此用户的身份信息，比如 c o o k i e 技术【3 1 。网络传输和类似c o o k i e 的用户数据共享技术都会给用户的身份数 据安全带来潜在的威胁。 还有一种更隐蔽的威胁，当黑客有目的的跟踪用户在多个服务提供者之间的 使用情况，用户的隐私将暴露。这种侵犯他人隐私的行为更隐蔽，目前危害性也 很大，有可能为进步的促成网络犯罪行为。 北京工业大学工学硕士学位论文 3 统一的退出机制 实现了单点登录并不意味着入口的单一，用户可以在任何一个由认证服务提 供者集成的服务提供者系统登录，然后验证身份。然而，当用户退出时怎么解决 用户在各个服务提供者系统中产生的s e s s i o n f 司题呢? 用户的退出动作怎样告知 身份认证提供者呢? 答案是必须建立统一的退出机制，解决退出某个服务系统也 就退出了所有己经访问过的其他关联的系统。并且当用户的s e s s i o n 过期时，可以 及时通知各个服务提供者。 4 构建在公开的标准基础上 私有技术很难在各个厂商之间广泛推广。而单点登录功能必须在不同的服务 提供者和认证服务提供者之间建立公共标准接口。除此之外，还需要有良好的互 操作性。接口的数据交换格式与技术必须与国际接轨。能够适应不同的国家或者 地区的需要。认证信息的编码方式也必须考虑到适应不同语言。以上这些要求都 决定了单点登录技术必须是一个公开的标准，它的制定必须由业内厂商的普遍参 与，并且达成共识。仅仅依靠技术优势而没有达成共识的标准很难被各方采用。 2 1 2 同盟化 关于同盟化，举个例子，无论你原来将钱存在什么地方，在世界上任何地方 的a t m 机上插入银行卡，敲入密码，几分钟内便可取出当地的货币。撇开手续 费不考虑，这个交易是无缝透明的，与你在家乡取钱没什么两样。这就是同盟系 统。通过使用简单的身份验证，加盟银行基于相互的信任来提供资金，彼此独立 的各家银行在同盟网络里可以共享业务处理的交易流。如今，i t 主要供应商和他 们的客户都认为，同样的模型也可以用于供应商、合作伙伴和消费者之间的集成 网络系统。随着开放的同盟化身份认证标准日渐成熟，i t q k 界将能够成功部署复 杂并安全的访问控制。人们对身份认证的功能挖掘越深，就会越加认识到，不解 决身份认证问题就什么也做不了。 l i b e r t y a l l i a n c e ( 致力于推进同盟化身份认证标准和技术的组织) f 4 】研究到的 问题包括了如何存放用户的身份认证、如何扮演好技术与信任的角色以及如何使 许多的系统和组织共享用户信息时，任何让开放标准使许可权限合理化等等。建 立身份认证同盟的长远目标是使事情简单化，这样，企业用户和消费者就能像使 用单一的应用程序一样进行多方参与的商务活动。 当同盟化身份认证系统真正有效时，将如同于只常生活中的业务关系模式。 第2 荦网络身份管理技术介绍 问题的答案就是动态同盟即使事先没有建立信任关系，也可以随时参与同盟 活动。动态同盟的关键是身份认证网络的概念，即如果a 信任b 而且b 信任c ，a 就知道自己可以信任c 。然而，要创建这样的网络，合作伙伴组织必须建立一套 规则来共享信息。 首先，要使自己的身份认证基础架构得到完善，因为如果自己还无法应用身 份认证，就谈不上和别人共享，这意味着要做出恰当的技术调整，既强调灵活性， 又要满足可搭建于同盟化基础之上的需求即使暂时还用不到它。 身份认证从本质上来说就是同盟化的，它是一种分布式的事物。会不会有。 天，同盟化的身份认证成为我们在w e b 上所做工作的核心组成部分，而我 f 。” 丝毫意识不到它的存在? 我相信会如此。它解决了真正的问题，满足了真正的需 求【5 1 。 2 1 3 微软p a s s p o r t 服务 要介绍单点登录协议，我们首先要介绍的是微软p a s s p o r t 服务。当我们登录 在微软的w w w p a s s p o r t c o m 站点上，可以阅读到微软p a s s p o r t 的使用条款和通告。 微软p a s s p o r t 是由微软公司推出的w e b 服务，该服务会使用户登录到网站以及执 行电子商务交易的过程变得更加简便。通过一次登录就可以使用户获得访问很多 网站的权限。微软p a s s p o r t 的目的是使会员在使用互联网和在线购物时更方便、 安全、快捷，它得到了包括f l o w e r s 、0 伍c c m a x 和v i c t o r i as e c r e t 在内的诸多著名 在线商店的支持。微软p 鹪s p o r t 服务从本质上来说是一种由微软控制的中央统筹 式的单一登录服务【6 】。微软旗下的h o t m a i l 、m e s s e n g e r 与i s p 服务( m s n ) 都有加入 此机制。 1 微软p a s s p o r t 单点登录协议 在微软p a s s p o r t 服务模型中，有三个组成部分：( 1 ) 应用w e b 浏览器的用户( 并 且此用户已经注册t p a s s p o r f f j 务) ，( 2 ) 服务提供者( 对用户提供某种服务的网 站) ，( 3 ) p a s s p o r t 登录服务器。p a s s p o r t 登录服务器保存着用户的认证信息以及 用户的个人信息，服务提供者在得到用户允许的前提下可以至o p a s s p o r t 登录服劈 器上获取用户个人信息。 下面介绍一下微软p a s s p o r t 单点登录协议流程：当一个用户通过浏览一个服勺 提供者网站时，同时该网站需要验证用户的身份，就把该用户的u r l 重定向到 p a s s p o r t 登录服务器。第二步p a s s p o r t 登录服务器通过s s l 【7j 连接为用户提供一个 登录页面，在用户登录该服务器后，被重定位到服务提供者网站。此时认证信息 北京工业大学工学硕士学位论文 被包含在重定位消息中。此认证信息使用了三重d e s 加密算法来加密，加密密钥 是由p a s s p o r t 登录服务器和服务提供者网站商定好的。在服务提供者网站检验了 认证信息的真实正确性后，即该用户成功登录。具体流程图可参考图2 1 所示。 p a s s p o r t s p j-jljl 32 1 5 6 1 用户 1 访问请求 2 h t t p 重定向 3 认证请求 4 认证响应 5 访问请求 6 访问内容 图2 1p a s s p o r t 单点登录流程图 f i 晷2 - 1t h ef l o wc a mo f p a s s p o r t 微软p a s s p o r t 单点登录协议的身份认证工作是使用了k e r b e r o s 认证机制来帮 助完成。k e r b c r o s 是一种为网络通信提供可信第三方服务面向开放系统的认证机 制( 后面章节将详细介绍k e r b e r o s ) 。在k e r b e r o s 认证机制中，当用户( c l i e n t ) 每一 次申请某服务程序( s e r v e r ) 的服务时，用户和服务程序会第一步向k e r b e r o s 要求验 证对方的身份，验证的基础是在用户( c l i e n t ) 和服务程序( s e r v e r ) 对k e r b e r o s 的信任 上。在申请认证时，d i e n t 和s c r v c r 都可看成是k c r b e r o s 认证服务的用户i 钔，为了和 其它服务的用户区别，k e i b e r o s 用户统称为p r i n c i p l e ，p r i n c i p l e 既可以是用户也可以 是某服务。当用户登录到工作站时，k e r b e r o s 对用户进行初始认证，通过认证的用 户可以在整个登录时间得到相应的服务。k e r b c r o s 既不依赖用户登录的终端，也 不依赖用户所请求的服务的安全机制，它本身提供了认证服务器来完成用户的认 证工作。简单地说，k e r b e r o s 通过集中存储的安全信息和分布式的“t i c k e t s ，来实 现用户身份认证唧。具体面言，微软p a s s p o r t 服务通过如下步骤实现用户身份验证： ( 1 ) 用户启动客户端应用程序或浏览器，打开登录界面，并输入用户名、口令。 ( 2 )登录命令引发客户端应用程序或网站向微软p 船s p o n 请求一个登录确认证 明( 即“t i c k e t g r a n t i n g - t i c k e t ”，t g t ) 。 ( 3 ) 微软p a s s p o r t 验证用户用户名、口令，颁发t g t ，确认登录已经成功。在 满足定安全约束条款的前提下，该t g t 在一定时期内被缓存。 ( d ) 客户端应用程序或网站向微软p a s s p o r t 提交t g t ，同时请求颁发一个“会话 证明”。 o 第2 章网络身份管理技术介绍 ( 4 ) 微软p a s s p o r t 使用t g t 来验证客户端的身份是否有效，确认后向相应的w e b s e r v i c e 颁发“会话证明”。 ( 5 ) 客户端向所请求的w e bs c r v i c c 提交会话证明，经确认后，客户端开始同 w e bs e r v i c e 进行信息交换，所有数据都经该“会话证明”加密从而确保安全。 2 微软p a s s p o r t 小结 虽然微软p a s s p o r t 已经提供了多年的服务，但是一直被人们所置疑其安“ 首先，其中单点失效是最为大众所质疑的。因为核心的验证服务器以及用户个人 信息服务器都是微软一手控制的，再加上其技术细节并不对外公开，而且没有依 据某一标准，致使人们一直担忧用户的个人资料可能会泄漏。其次，微软的 p a s s p o r t 系统曾多次入侵黑客。这些都限制了微软p a s s p o r t 服务的进一步推广。 2 1 4 自由联盟( l i b e r t y a l l i a n c e ) 自由联盟是一个联盟机构的名称，该联盟的目的是提出一个经由与i n t e r n e t 相连的任何器件都能实现的具有开放性的、联合的、单一签字身份识别的解决方 案，该机构的目标是为实现用户利用因特网在进行交易时能够随时随地的单点登 录认证，同时制订一些有关标准。所有商业机构和非商业机构都可取得该机构的 成员身份。已经加盟该机构的创始企业中有服务提供、汽车制造、金融服务、旅 行业、数字媒体、零售业、电信及技术相关业界的企业。目前自由联盟已经有1 7 0 多家厂商来参加，包括s u n 、n o 姑a 、a m e r i c a ne x p r e s s 等，他们的责任提供技术 规范与商业指南来当作跨企业的身份认证服务。l i b e r t y 本身并不能产生应用，应 用这方面是由技术厂商( 如s u n 、n o v c l l 、p e o p l c s o f i 与h p 等) 来开发和支持l f b c r t y 标准的兼容应用。自由联盟规范可让各种不同的服务供应商加入一个同盟式的信 赖网络中【i 。 自由联盟的主要目标有如下三个方面 1 l 】： ( 1 ) 使个人消费者和企业用户能够在安全的前提下保管个人信息。基此， 推进无垄断信息的、可以相互应用并跨越多个网络的服务。 ( 2 ) 制订实现“单点登录”的开放标准。因此，使用户在任何1 个i n t c r n c t 站点 通过认证后，不必在通过其它站点认证就可以使用其服务。 ( 3 ) 制订所有接入因特网的设备都可以使用的网络认证开放标准。如此吨 以使手机、车载设备和信用卡等各种各样的终端之间都能进行安全有效的认证。 1 自由联盟规范 北京工业大学工学硕士学位论文 自由联盟于宣布了单点登录架构“l i b e r t ya l l i a n c ef e d e r a t e dn e t w o r ki d e n t i t y a r c h i t e c t u r e ”的概要及其发展蓝图。自由联盟声称利用此架构能够解决众多阻碍 w e b 认证服务的技术性障碍0 2 。 自由联盟分两个阶段公布支持该架构的规范一自由联盟规范。在第一阶段， 自由联盟于2 0 0 2 年7 月公布了作为联盟用户管理基础的规格集“l i b e r t ya l l i a n c e i d e n t i t y f e d e r a t i o n f r a m e w o r k ( i d - f f ，自由联盟统一联合框架) ”，并于2 0 0 3 年1 月进行了修订 1 3 】。d f f 支持将已经具有关系的多用户信息进行联合或链接，使 用户一次登录即可享受多家企业提供的服务。在第二阶段，自由联盟在2 0 0 3 年内 强化d f f ，并发表了“i d e n t i t y w e bs e r v i c e sf r a m e w o r k ( i d w s f ，统一w 曲服务 框架) 圳4 1 。i d - w s f 公布了构筑基于相互认证的w e b 服务所需关键技术的概要。 自由联盟认为这种w e b 服务符合特定的工作目的，在共享用户信息方面，保护个 人隐私和系统安全【1 5 , 1 6 。另外，自由联盟还将提供基于d w s f 的规格集“l i b e r t y a l l i a n c ei d e n t i t ys e r v i c e si n t e r f a c es p e c i f i c a t i o n s ( i d s i s ，自由联盟统一服务接口 规范) ”这样，企业就可以使用标准方法提供特征登记，联系地址日历，位置信 息和报警服务等m 。 2 自由联盟具体协议 在自由联盟规范中定义了四个具体的协议嗍： ( 1 ) 单点登录以及身份联合 ( 2 ) 名字注册 ( 3 ) 身份联合终止声明 ( 4 ) 单点退出 与微软p 鹤s p o r t 相同，自由联盟具体协议也具有三个主体，它们分别是：( 1 ) 主体( p r i n c i p a l s ) ，( 类似于微软p a s s p o r t 中的用户) ，( 2 ) 服务提供者( s e r v i c e p r o v i d e r s ) ，( 3 ) 身份提供者( i d e n t i t y p r o v i d e r s ) 1 9 1 。其中的服务提供者类似于 微软p a s s p o r t q b 的服务提供者，均是指为用户提供某种服务的网站。自由联盟中 的身份提供者是一种特殊的服务提供者，它为其他的联盟中的主体服务器提供身 份认证、主体信息访问控制等服务，它的作用类似于微软p a s s p o r t 中的p a s s p o r t 登录服务器，与p a s s p o r t 不同之处在于自由联盟中的身份提供者并不是唯一的【， 而可以是相互独立存在多个主体，这点是与微软p a s s p o r t 的集中式管理的单一登 录服务有着根本区别的。 下面我们阐述自由联盟具体协议中的单点登录和身份联合。单点登录以及身 份联合是自由联盟具体协议中最复杂的协议。该协议在很大程度上依赖于安全声 明标记语言( s a m l ) 。首先我介绍一下s a m l 。s a m l 并非一项新技术。准确地 第2 章网络身份管理技术介绍 说，它是一种语言，进行单一的x m l 描述，允许在不同安全系统中产生的信息 进行交换。s a m l 是在标准行业传输协议环境里工作的，例如 r 盯p 、s m t p 和f t f ； 同时服务于各种各样的x m l 文件交换框架，如：s o a p 和b i z t a i k 。s a m l 具备的 一个最突出的好处，是使用户能够通过因特网进行安全证书转移。s a m l 的工作 原理如下1 2 j 】： ( 1 ) 用户向认证机构提交证书。 ( 2 ) 认证机构对用户的证书进行断言，并且产生一个认证声明以及一个或 更多的属性声明( 如用户的资料信息) 。此时用户立即就会得到由s a m l 断言的 认证和识别标志。 ( 3 ) 用户使用这个s a m l 标志( 认证声明) 尝试访问一个受保护的资源。 ( 4 ) 用户对保护资源的访问请求被p e p ( p o l i c y e n f o r c e m e n t p o i n t ) 截取， 一同时用户的s a m l 标志( 认证声明) 被p e p 提交给属性管理。 ( 5 ) 属性管理或p d p ( p o l i c y d e c i s i o n p o i n t ) 基于自身的政策标准产生一 个决定。如果批准用户对该保护资源进行访问，就会产生一个附加在s a m l 标志 ( 认证声明) 上的属性声明。用户的s a m l 标志(