基於saml2.0的身份認證和管理的製作方法

2023-05-10 18:26:06

專利名稱：基於saml2.0的身份認證和管理的製作方法
基於SAML2. 0的身份認證和管理方法
技術領域：
本技術主要解決企業間用戶身份認證和管理的問題。根據SAML2.0規範，藉助 於現有成熟與開放的框架，實現用戶單點登錄及企業間用戶信息的共享、映射與管理， 為用戶提供更為全面、方便的服務。二、背景技術
2.1主要背景技術
Hypertext Transfer Protocol (HTTP)
Extensible Markup Language (XML)
XML Schema
XML Signaure
Simple Object Access Protocol (SOAP)
Security Assertion Markup Language Version 2.0 (SAML 2.0)
本項目「基於SAML2.0的統一身份認證管理系統」吸取了 shibboleth、FAME、 Permis> GUANXK OpenSamL WSS4J等一系列開源項目的經驗，結合教研室在J2EE、XML引擎、安全中間件等方面深厚的技術功底與項目積澱，實現在複雜環境下用戶的多 級身份認證、單點登錄、單點註銷以及訪問控制功能。本項目基於SAML2.0實現，支持 在SOAP和XML標籤兩個級別的籤名與加解密，不僅解決了目前其它身份認證管理項目 中安全保護能力弱的問題，並且提供給用戶自由的安全控制粒度，符合不同級別的環境需要。
2.2SALM2.0 新特性
項目建立的基礎是SAML 2.0。SAML是安全斷言標記語言Security Assertion Markup Language)的簡稱，是OA^tS為企業和商業夥伴之間交換安全信息定義的一套基 於XML的框架。在SAML的應用中，安全信息都是通過在互信的區域之間以SAML斷 言MAMLAssertions)來傳遞的。SAML標準為斷言的請求、建立、響應、傳遞和使用都 定義了精確和完整的語義及準則。
目前SAML的最新版本為2.0，2.0在1.1基本上有較大改進，主要表現在
增加了對加密和籤名的支持；
對斷言語句的結構有一定改動；
對原有的請求/響應協議有調整；
增加了一些新的協議類型；
增加了新的綁定；
增加了新的配置文件；
本文檔將對2.0新特性以下劃線進行特別標註。
SAML2.0總體上由六部分組成斷言(Assertions)、協議(Protocols)、綁 定(Bindings)、配置文件(Proifiles)、認證上下文(Authentication Context)和元數據(Metadata)。
2.3SALM2.0主要研究內容
2.3.1 斷言(assertions)
SAML斷言來產生於斷言方(assertion party,又稱認證權威(Authentication Authority)),由斷言語句(statements)組成，它攜帶了關於某個主體(subject或principal) 的斷言信息，用於表明該主體身份。例如一條斷言可以包含如下信息該主體的名字 叫 「John Doe」，他的 Email 地址是 [email protected]，並且他是 「engineer」 組的成員，等等。
斷言常常產生於依賴方(relying party)的斷言請求，但某些情況下，也有可能 是斷言方主動發起。saml-schema-assertion-2.0.xsd定義了 SAML2.0斷言的標準結構。 SAML定義了三種基本的斷言語句
認證斷言語句(Authenticationstatements)用於認證某個主體的身份。
屬性斷言語句(Attribute statements)用於說明某個主體具有屬性，比如說明 John Doe 擁有 「Gold Card」。
授權決策語句(Authorizationdecisionstatements)用於說明某個主體可以進行 的操作，比如確定John Doe是否有權訪問某個特定的資源。
2.3.2 協議(Protocols)
協議用於完成SAML斷言及其它身份管理信息的請求與響應。
認證請求協議(Authentication Request Protocol)為某個主體(或主體的代理)請求包含該主體身份信息的斷言(也可能包含屬性信息)。
單點註銷協議MingleLogoutProtocol)定義了一個能夠為某個主體實現近似同 步(near-simultaneous)註銷多個活動session的機制。
斷言查詢及請求協議(AssertionQuery and Request Protocol)為獲得某 SAML 斷言提供了一套請求和查詢機制。請求協議用於向斷言方詢問某個斷言ID所對應的斷言； 查詢協議用於向斷言方查詢某個主體所對應的斷言信息。
輔件解析協議(Artifact Resolution Protocol)輔件是一種對SAML協議信息的弓I用，其長度較小並且固定，可以通過輔件來間接地傳遞SAML協議。輔件的接收方通過 輔件解析協議向消息的發送方詢問並獲得協議的真實信息。
ID管理協議(Name Identifier Mamigement Protocol)可以通過該協議更改主體名 字的形式或內容。更改請求的發起方可能是SP，也可能是IDP。
ID 映射協議(Name Identifier Mapping Protocol)將某個 ID 映射為另一個 ID。
2.3.3 綁定(Bindings)
SAML協議本身不能被直接傳輸，協議信息需要綁定到可傳輸協議內部以通過 網絡進行傳遞。SAML2.0定義了以下幾種綁定
HTTP Redirect Binding SAML 協議的信息可以通過 HTTP Redirect 方式傳遞，主要用於信息量較少的情況，比如輔件常常採用該綁定形式。
HTTP POST Binding SAML 協議信息可以通過 HTML form 以 Base64 編碼方式傳遞。
HTTP Artifact Binding 定義SAML輔件的傳輸方式，以上兩種機制都可以用於傳輸。
SAML SOAP Binding SAML 可以通過 SOAP1.1 傳輸。
Reverse SOAP (PAOS) Binding:主要用於增加的客戶端或代理配置文件，主要用在移動終端上。
SAML URI Binding SAML斷言信息也可以包含在URI中，並通過該協議進行解析。
2.3.4 配置文件(Profiles)
SAML定義了一系列的配置文件(Profiles)說明斷言、協議和綁定在特定的應用 場景中是如何協同工作的。
關於配置文件的具體工作方式將在下一章中詳述。
Web Browser SSO Profile 定義SAML實體間如何使用SAML請求/響應斷言信 息以通過標準瀏覽器實現單點登錄。
Enhanced Client and Proxy (ECP) Profile
Identity Provider (IDP) Discovery Profile 為 SP 提供一種可以發現用戶最近訪問 過的IDP的機制，常常被稱為WhereAreYou From(WAYF)。
Single Logout Profile 定義了在 SOAP、HTTP Redirect 等綁定方式下的單點註銷協議的使用方式。
Assertion Query/Request Profile 定義 SAML 查詢 / 請求協議是如何獲得 SAML斷言的方式。
Artifact Resolution Profile 定義SAML實體間如何在一個同步綁定(如SOAP)上利用輔件解析協議來獲得輔件所引用的斷言信息。三、發明內容
3.1 概述
為聯盟內所有人員統一分配帳號，通過統一的接口，對用戶信息進行統一的管 理，集中的存儲，避免因信息不同步、數據冗餘帶來的誤解和決策分歧；通過統一的接 口實現各應用系統的用戶身份認證及授予該用戶相應的使用權限；實現一次登錄後能在 系統問自由的切換。
用戶信息的統一管理通過統一的接口，對用戶信息進行統一的管理，集中的 存儲，避免因信息不同步、數據冗餘帶來的誤解和決策分歧；用戶身份的認證與授權 通過統一的接口實現各應用系統的用戶身份認證及授予該用戶相應的使用權限；單點登 錄實現一次登錄後能在系統問自由的切換.不用每到一個應用系統義要重新手動輸入 帳號、密碼等信息重新登錄一次；對目前系統的集成實現和目前已有系統的無縫結 合，充分利用已有投資。在統一身份管理模塊中，本項目遵循SAML2.0規範，以符合國 際規範。本項目基於安全中間件技術原理，採用統一身份認證、單點登錄、XML引擎流 水線技術、單點註銷和基於RBAC的訪問控制等關鍵技術，在對Apache Web伺服器內部 結構線程調度、內存分配、模塊管理、日誌機制、出錯管理等深入研究的基礎上，並充 分吸取 shibboleth、FAME、Permis> GUANXI、opensaml、WSS4J 等一系列開源項目經 驗，提出了基於SAMLengine2.0的統一身份認證管理平臺，實現了集多種認證方式的連接接入管理、XML格式驅動、SOAP加解密和籤名以及驗證、以及基於ACXML的訪問 控制功能，不僅解決了目前其它身份認證管理項目中安全保護能力弱的問題，並且提供 給用戶自由的安全控制粒度，符合不同級別的環境需要，為系統構建了良好的可升級、 易集成的軟總線架構。此外，系統還提供動態熱插拔擴展模塊機制，使功能模塊可以方 便的加入和卸出系統，為系統以後的擴展和功能的動態管理預留了接口。同時系統平臺 還支持底層管理，如統一的日誌、出錯管理等。
3.2本發明解決其技術問題所採用的技術方案
系統整體上4部分組成認證主體Subject或Principal)、服務提供者SP (Service Provider)和身份提供者IdP (Identity Provider)、身份認證服務搜索及重定向服務 (WAYF),其中SP負責對用戶身份進行核查，該用戶是否已經登錄以及用戶屬性獲取； WAYF主要負責向SP提供IDP的地址，並重定向到該IDP ； IDP是整個系統的核心，主 要負責對用戶身份進行認證，授權以及用戶屬性查詢；AC服務根據用戶權限對用戶的 訪問進行控制。整個系統以IDP為核心，SP、WAYF以及AC與IDP之間都通過基於 SAML2.0的斷言進行消息傳遞。並且在本項目中提出了 SAML引擎的概念，它主要負責 斷言生成、解析、釋放以及其它SAML2.0中提到的功能。在設計過程中，項目組充分考 慮到了安全的重要性，並進行的詳細的考慮。比如SAML的籤名和加密，用戶屬性證書寸寸。
此系統架構設計是項目組基於前期對目前該領域最前沿的技術以及最新的 SAML2.0協議進行分析後進行的設計，由於時間倉促，項目組將在接下來的項目設計過 程中不斷完善。
認證主體即需要被認證的實體，也是服務的接受者，可能是一個具體的用戶， 也可能是一個代理(Agent)。認證主體使用客戶端軟體通過SAML斷言完成身份認證， 以實現應用間的單點登錄。
認證主體最常採用的客戶端軟體是瀏覽器，並通過HTTP、SOAP傳遞信息， SAML2.0增加了對客戶端軟體的支持，特別是對於移動終端的支持。
身份提供者保存了用戶的身份和相關屬性信息。SAML2.0稱之為IdPCtdentity Provider),而舊版本SAML則稱之為Origte。IdP處理髮自於斷言依賴方的斷言請求，並 生成斷言信息以響應該請求。
服務提供者是用戶享用服務的所在地，用戶所需要的資源位於SP上。SP根據 用戶身份提供並管理相關的服務，而身份的認證則依賴於來自於IdP的斷言信息。
SAML斷言包含了用戶的帳戶信息，在網絡傳輸過程中，同樣面臨各種安全威 脅。在saml-sec-consider-2.0-os中，較為詳細的闡述了 SAML過程中可能出現的安全威 脅及其應對策略。
3.3項目先進性
3.3.1應用創新
系統基於SAML2.0標準進行開發比起SAML1.1，新的協議在斷言、協議、Profiles方面進行了補充，並且新增了基於SAML的籤名、加解密以及利用元素據對認證 實體進行描述的功能。解決了認證過程中可能存在的竊聽、重放、篡改等安全隱患，提 供了一個能夠在複雜環境中進行身份認證的更加安全和可靠的技術方案。
3.3.2技術創新
基於並行流水線原理的SAML引擎基於工廠流水線原理，將SAML斷言的構 造、解析、加密、籤名等功能拆分成串行的步驟，再結合多線程機制構造出一個專門負 責處理SAML相關操作的引擎，利用該技術可以極大的提高系統的執行效率。
動態熱插拔的模塊擴展機制通過對系統進行合理的設計，實現身份認證模 塊、多級認證模塊和用戶授權訪問控制模塊動態熱插拔。用戶可以根據自己的需要進行 產品定製，該技術使本項目能夠滿足各個層次、不同需求的用戶需要。
3.3.3集成創新
多級身份認證框架使用Linux-Pam對Linux平臺上的多級用戶身份認證機制進 行實現，提供給用戶一個多個信任級別的身份認證框架，解決目前身份認證系統中認證 方式單一而帶來的訪問控制粒度粗放以及資源權限劃分不明確的問題。四

圖1-1統一身份認證管理框架
圖1-2SALM2.0 結構
圖1-3系統組成部分及依賴關係
圖1-4系統整體架構
圖1-5IDP組成
圖1-6IDP平臺設計
圖1-7SP組成
圖1-8SP平臺設計
圖1-9WAYF 組成
圖1-10系統應用部署與基本流程圖五具體實施方式
用戶信息的統一管理通過統一的接口，對用戶信息進行統一的管理，集中的 存儲，避免因信息不同步、數據冗餘帶來的誤解和決策分歧；用戶身份的認證與授權 通過統一的接口實現各應用系統的用戶身份認證及授予該用戶相應的使用權限；單點登 錄實現一次登錄後能在系統問自由的切換.不用每到一個應用系統義要重新手動輸入帳 號、密碼等信息重新登錄一次；對目前系統的集成實現和目前已有系統的無縫結合， 充分利用已有投資。在統一身份管理模塊中，本項目遵循SAML2.0規範，以符合國際規 範。
5.1具體服務
5.1.1認證主體
認證主體即需要被認證的實體，也是服務的接受者，可能是一個具體的用戶， 也可能是一個代理(Agent)。
認證主體使用客戶端軟體通過SAML斷言完成身份認證，以實現應用間的單點登錄。
認證主體最常採用的客戶端軟體是瀏覽器，並通過HTTP、SOAP傳遞信息，SAML2.0增加了對客戶端軟體的支持，特別是對於移動終端的支持。
認證主體為了訪問SP上的資源，可能首先訪問SP，也可能首先訪問IdP，在 SAML2.0 上分別對應 SP"tnitiated 和 IdP-Initiated。
5.1.2 身份提供者(IdP)
身份提供者保存了用戶的身份和相關屬性信息。SAML2.0稱之為IdPCtdentity Provider),而舊版本SAML則稱之為Origte。IdP處理髮自於斷言依賴方的斷言請求，並 生成斷言信息以響應該請求。
5.1.2.ISSO Service
單點登錄服務(Single Sing-On Service)，這個模塊用是IdP與SP或WAYF的第 一個接口，用於處理SP的SAML請求，並傳遞給認證權威(Authentication Authority)以生成認證斷言，再將斷言信息傳遞同請求方以響應該請求；或傳遞給屬性權威(Attribute Authority)以生成屬性信息，並傳遞迴請求方。
5.1.2.2Authentication Authority
認證權威，用於為某個主體生成斷言，是斷言語句的產生者，該服務也可以與 SSO集成以集中處理斷言請求。
5.1.2.3Artifact Resolution Service
輔件解析服務，用於處理使用了輔件的配置文件形式。在使用輔件的情況下， IdP返回該輔件而不是整個斷言，因此SP需要將得到的輔件發送給該輔件解析服務以得 到真實的斷言信息，得到斷言的過程是在「背後通道(back-channel) 」中進行的，因此並 不影響SSO Service的工作。
5.1.2.4Attribute Authority
屬性權威，用於處理SP的屬性請求。屬性權威產生屬性斷言語句，並返回給 SP。
5.1.3服務提供者6P)
服務提供者是用戶享用服務的所在地，用戶所需要的資源位於SP上。SP根據 用戶身份提供並管理相關的服務，而身份的認證則依賴於來自於IdP的斷言信息。
5.1.3. IGuard
守衛服務，用於處理來自用戶的訪問請求。不同於Shibboleth，在GUANXI項 目中，單獨提出了守衛報務。守衛服務接收用戶訪問資源的請求，並驗證用戶是否需要 身份認證，如果需要，則Redirect至SAML請求地址。Guard本身並不參與SAML斷言 的整個過程。典型的，一個Guard就是一個filter。
5.1.3.2Assertion Consumer Service
斷言消費服務，舊版本中稱為SHIRE，接收並提取IdP提供的斷言信息以完成用 戶身份認證，該斷言信息可能來自於SSO Service，也可能來自於Artifact Resolution，取 決於採用的配置文件類型。
5.1.3.3Attribute Requester
屬性請求，舊版本中稱為SHAR，用於產生用戶屬性請求信息。當用戶通過身 份認證並在SP上生成安全上下文Security Context)信息後，訪問控制器可能需要用戶 的進一步的屬性信息，則由屬性請求向IdP的AttributeAuthority提出屬性請求，AttributeAuthority隨後通過背後通道返回屬性斷言。
斷言消費服務與屬性請求服務是SP上處理SAML信息的兩大模塊，統稱為 SAML Engine (來自於GUANXI中的定義)。
5.1.3.4Access Control 與 Resource
訪問控制器位於資源前方，當用戶完成身份認證並試圖訪問資源時，完成對用 戶的訪問控制，以驗證用戶是否有足夠的權限訪問該資源。關於訪問控制的更進一步實 現，則需結合RBAC與XACML。
資源是用戶訪問的最終目的地，因此舊版本的SAML將資源所在地稱之為 target,而SAML2.0則以RelayState變量進行標識，該標識可能是目的地URL字串，也可能是目的地的索引。
5.1.4Where Are You From (WAYF)服務
該服務用於存儲用戶訪問過的IdP，以幫助用戶管理IdP信息。在舊版本的 SAML中，並沒有提出該服務，而SAML2.0則專門提出了相關的配置文件類型Identity Provider (IdP) Discovery Profile。WAYF 充當了 SP 向 IdP 的代理，很大程度上減輕了 SP 管理其IdP的負擔。
在實際中，當用戶第一次進入WAYF時，WAYF提供可選的IdP列表讓用戶選擇 IdP。當用戶選擇完畢以後，WAYF代SP向該IdP發送SAML請求，並同時將該IdP信 息記入cookie，這樣當用戶下次訪問時則無需選擇，WAFY直接向cookie中的IdP發送請求。
在samFprofiles-2.0-os 文檔中，對IdP Discovery Profile進行了較為詳細的規定， 比如cookie的名字必須為「_saml_idp」，並對cookie的獲得和設置都做出了相應的規定。
5.2系統具體流程
用戶發起資源請求；Guard截獲該用戶請求並進行分析，如果該用戶已經登錄 則跳轉到12，否則跳轉到2 ； Guard向WAYF詢問IDP的地址；
WAYF將該用戶的請重定向到IDP的SSO Service ；
SSO Service要求用戶進行身份驗證；
用戶輸入驗證Token;
IDP SSO Service生成一個輔件ID返回SP (這樣做是為了提高系統的效率)；
SP斷言消費服務接收該SAML斷言，並取出輔件ID，並向IDP的輔件服務請求 用戶身份驗證內容；
輔件服務向認證權威獲得用戶身份驗證結果；
輔件服務向SP斷言消費服務返回結果；
SP屬性請求模塊向IDP的用戶屬性權威請求該用戶的用戶屬性；
IDP返回用戶屬性；
用戶通過身份驗證，SP將用戶請求發往AC;
AC對用戶訪問進行檢查，如果在授權範圍之類則通過，否則用戶訪問被拒絕。
權利要求
1.基於SALM2.0的統一身份認證和管理其特徵是基於工廠流水線原理，將 SAML斷言的構造、解析、加密、籤名等功能拆分成串行的步驟，再結合多線程機制構 造出一個專門負責處理SAML相關操作的引擎。
2.根據權利要求1所述的基於SALM2.0的統一身份認證和管理其特徵是新的協 議在斷言、協議、Profiles方面進行了補充，並且新增了基於SAML的籤名、加解密以及 利用元素據對認證實體進行描述的功能，解決了認證過程中可能存在的竊聽、重放、篡 改等安全隱患，提供了一個能夠在複雜環境中進行身份認證的更加安全和可靠的技術方 案。
3.根據權利要求1所述的基於SALM2.0的統一身份認證和管理其特徵是通過對 系統進行合理的設計，實現身份認證模塊、多級認證模塊和用戶授權訪問控制模塊動態 熱插拔，用戶可以根據自己的需要進行產品定製，該技術使本項目能夠滿足各個層次、 不同需求的用戶需要。
4.根據權利要求1所述的基於SALM2.0的統一身份認證和管理其特徵是使用 Linux-Pam對Linux平臺上的多級用戶身份認證機制進行實現，提供給用戶一個多個信任 級別的身份認證框架，解決目前身份認證系統中認證方式單一而帶來的訪問控制粒度粗 放以及資源權限劃分不明確的問題。
全文摘要
基於SALM2.0的統一身份認證和管理屬於信息技術領域，主要解決企業間用戶身份認證和管理的問題。根據SAML 2.0規範，藉助於現有成熟與開放的框架，實現用戶單點登錄及企業間用戶信息的共享、映射與管理，為用戶提供更為全面、方便的服務。系統整體上由3部分組成認證主體即需要被認證的實體，也是服務的接受者，可能是一個具體的用戶，也可能是一個代理(Agent)；身份提供者保存了用戶的身份和相關屬性信息。IdP處理髮自於斷言依賴方的斷言請求，並生成斷言信息以響應該請求。服務提供者是用戶享用服務的所在地，用戶所需要的資源位於SP上；SP根據用戶身份提供並管理相關的服務，而身份的認證則依賴於來自於IdP的斷言信息。
文檔編號H04L29/06GK102025495SQ200910167660
公開日2011年4月20日 申請日期2009年9月17日 優先權日2009年9月17日
發明者佘堃, 唐雪飛, 汪海良, 陳科 申請人:成都康賽電子科大信息技術有限責任公司