兵工自动化网络与信息技术O.I.Automation2007年第26卷第2期NetworkandInformationTechnology2007,Vol.26,No.2文章编号：1006-1576（2007）02-0056-02基于SAML的单点登录模型陈波，徐鲁强，张晓丹（西南科技大学计算机科学学院，四川绵阳621010）摘要：基于SAML的单点登录模型，采用SOA架构，由安全认证中心，Web服务请求方及提供方等组成。安全认证中心负责认证用户身份的数字签名，并对SAML请求进行断言。服务请求方采用SOAP拦截设计，将SAML断言绑定到SOAP消息中。服务提供通过XML防火墙校验服务请求者的数字签名，根据访问策略对用户进行授权。关键词：SAML；单点登录模型；SOA架构；安全认证中心；Web服务中图分类号：TP393.08;TP311.1文献标识码：ASingleSing-onModelBasedonSAMLCHENBo,XULu-qiang,ZHANGXiao-dan(SchoolofComputerScience,SouthwestUniversityofScience&Technology,Mianyang621010,China)Abstract:Thesinglesing-onmodelbasedonSAMLwhichadoptsthearchitectureofSOA,consistsofsecurityauthenticationcentermodule,servicesrequestermoduleandservicesprovidermodule.ItssecurityauthenticationcentermoduleisresponsibletoidentifyuserusingdigitalsignaturesandassertsaSAMLrequest.ItsservicesrequestmoduleisdesignedtoaSOAPinterceptorwhichcanbindanassertiontosoapmessage.Itsservicesprovidermoduleverifiestherequestor’sdigitalsignaturethroughXMLfirewall,afterthatauthorizesthecustomeraccordingtoaccesspolicy.Keywords:SAML;Singlesign-onmodel;SOAarchitecture;Securityauthenticationcenter;Webservices0引言为提高认证机制的安全质量，模型框架的认证采用XML数字签名方式。利用JDK的Keytool工基于SAML的单点登录模型应用于Web分布式具，分别制作安全认证中心和客户端密钥库和信任环境中。该模型采用SOA设计架构，由安全认证中证书，用于签名和校验。心、服务请求方和提供方等模块组成。安全认证中认证中心接收到用数字签名的SAML请求，通心模块负责对用户身份的数字签名进行认证，并对过主题查询子服务获取主题的公钥信息。但模型并SAML请求进行断言。服务请求方模块采用SOAP不关心如何获取公钥信息，而是提供1个WSDL服拦截设计，将SAML断言绑定到SOAP消息中。服务描述，具体的业务逻辑由用户自己实现。最后，务提供模块通过XML防火墙对服务请求者的数字利用公钥信息对SAML请求进行校验，确认主题身签名进行校验，根据访问策略对用户进行授权。份。如果验证失败，返回错误信息。验证通过了，1框架模型则表明该用户是本信任域内的合法用户。模型结构图如图1。其中，服务提供方模块和随后安全认证中心对该SAML请求进行断言。服务请求方模块可能位于同一个应用中。在基于断言的过程的实质是利用安全认证中心的私钥对web服务的分布式环境中，消息传递都是通过XMLSAML响应进行数字签名的过程。SAML响应的主形势实现异构平台的服务调用，故模块设计有别于要内容就是SAML断言信息，其信息片断如下：传统的OOD设计思想，而是采用面向服务的架构<Assertionxmlns="urn:oasis:names:tc:SAML:1.0:assertion"xmlns:ds="http://www.w3.org/2000/09/xmldsig#"（），服务间通过Service-OrientedArchitecture,SOAMajorVersion="1"MinorVersion="0"WSDL进行耦合，消除不同平台编程语言的差异。AssertionID="http://csAuthenticate.com/786"Issuer="http://csAuthenticate