[发明专利]一种Web服务链的联合身份认证方法

说明书

技术领域

本发明涉及Web服务安全领域，尤其是一种实现跨域的Web服务链的联合身份认证方法。

背景技术

近年来，随着Web服务(Web Service)的迅速发展，Web应用从局部发展到全球，从B2C(business-to-customer)发展到B2B(business-to-business)，从集中式发展到分布式。Web服务具有完好的封装性、松散耦合、使用协约的规范性、使用标准协议规范、高度可集成能力、可重用、与语言和平台无关等优点。基于这些优点，大部分企业都纷纷采用Web服务来包装它们的业务。但是一个企业所能提供的服务是有限的，不能适应开放的、动态的Web环境。为了能满足更广泛的需求，就必须在调用其他企业所提供服务的基础上，增加自己的业务方法，提供更强大的功能。然而在当前形势下，各个企业出于安全的考虑都把Web服务的应用限制在企业内部。当企业用户访问企业内部提供的Web服务时，用户必须先通过企业的身份认证，比如输入用户名和密码等等。这种方案的问题在于，当一个用户想要访问的服务是在其他某一服务的基础上，封装了特殊业务而成的，那么他就必须先去这些企业进行注册，得到一组口令。在正式访问这个服务时，还要不断地输入认证信息进行身份认证，由此引发了服务链的联合身份认证问题。

联合身份认证是身份认证领域的一个趋势，是分布式网络作用的结果，它主要是在分布式环境中建立企业间的信任关系。现有的联合身份管理标准主要有SAML(Security Assertions Makeup Lanuage，安全断言标记语言)、ID-FF(IdentityFederation Framework，自由身份联邦框架)、ID-WSF(Liberty Services Framework，身份Web服务框架)和WS-Federation(Web服务联合语言)。

其中SAML是支持XML电子商务的第一个工业标准，它将S2ML和AuthXML结合起来，为企业之间进行B2B和B2C业务交易提供共享安全服务的公用语言。SAML规范由断言、请求/响应协议、绑定和配置文件这四个部分组成。断言主要包括三种：1、认证断言：验证断言处理主体在特定时刻、特定机制下的身份验证；2、属性断言：属性断言提供联系特定属性与给定主题的一种机制；3、授权决策断言：授权决策断言管理给定主体访问资源的权限。请求/响应协议规定了两点间共享SAML数据(断言)所需交换的消息种类和格式。绑定确切地详细描述了SAML请求应如何映射到诸如HTTP上的SOAP消息交换之类的传输协议。配置文件描述了实现应该如何在底层协议消息中嵌入、提取和集成断言。

现有基于SAML的联合身份认证方法都是针对企业单个服务的，没有考虑到服务链(某个企业的服务调用其它企业的服务，服务链上的服务是跨域的)的需求。即请求者在所属的企业得到一个凭证，根据凭证去访问其它企业的服务，而没有阐述如何安全地把凭证传给服务链中的下一个服务。凭证里包含有请求者的个人基本信息、凭证的发布者(即请求者所在企业)及请求者的角色信息。在传送的过程中，无法既保证凭证中的角色信息不会被请求者自己和服务链中的企业修改以免扩大请求者的访问权限，又保证凭证不会被替换成非请求者所在企业生成的凭证。而且现有的方法也没有解决跨域服务链的联合身份认证中角色的理解问题，各个企业对角色的定义都不一样，以至于外部企业不能细粒度地控制非本域请求者的访问权限。

发明内容

本发明所要解决的技术问题是避免用户在调用一个服务链时进行多次身份认证，为用户提供跨越异种网络服务的单点登录的认证和授权，即身份认证的信息可以在多个服务中安全传递的Web服务链的联合身份认证方法。

本发明解决上述问题所采用的技术方案是：该方法具体步骤为，

(1)角色本体管理：角色领域专家对角色本体进行定义，使各企业理解各自的角色信息；

(2)语义标注：各企业利用公共的角色本体对本企业的角色进行语义标注，形成各企业可以相互理解的角色文件；

(3)访问策略管理：各企业根据对其他企业的信任程度制定本企业的服务访问策略，建立起针对安全域访问控制的策略域；

(4)SAMLToken断言生成：利用公钥和对称密钥来获取断言，并保证用户在请求断言和获得断言时都是安全的；

(5)基于代理的联合身份认证：由代理服务器充当策略决策中心的角色，负责根据SAMLToken断言得到请求者的角色信息，通过策略决策中心得到策略列表，并进行权限判断，决定请求者是否能够访问相应服务；