基于saml和xacml实现安全的web服务

基于saml和xacml实现安全的web服务

ID:36240305

大小:34.50 KB

页数:5页

时间:2019-05-07

基于saml和xacml实现安全的web服务_第1页
基于saml和xacml实现安全的web服务_第2页
基于saml和xacml实现安全的web服务_第3页
基于saml和xacml实现安全的web服务_第4页
基于saml和xacml实现安全的web服务_第5页
资源描述:

《基于saml和xacml实现安全的web服务》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、本文由wanbin225贡献pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。应 用 安 全基于SAML和XACML                         实现安全的Web服务沈雯漪   姚世军解放军信息工程大学理学院电子系   河南   450001摘要:本文介绍了Web服务安全性编程中较为重要的两种规范:安全声明标记语言(SAML)和可扩展访问控制标记语言(SAML),并给出了一种结合使用这两种语言规范的安全性模型及部分示例。关键词:SAML;XACML;Web服务安全;单点登录0  引言WS重要的特性之一是能够很

2、方便地被访问,因为它们使用通用的协议和数据格式,比如HTTP和XML 。但这样的方便意味着对服务安全性带来威胁。WS在通告自身关键功能的同时,很可能将极具价值的数据以及整个系统结构暴露给外部。实际上,当前WS所采用的访问控制方法和应用于Web页面的方法没什么不同。但是,WS对安全性的要求要高得多,而且其安全性需求是多样化的。因此,需要为相异的WS设计一种具备通用性的访问控制模型;此外,人们又迫切地需要能够跨系统透明地访问受保护的应用服务和资源。例如,实现用户在采用不同登录机制的门户站点、用户社区和商业服务中的一次登录和身份透明快速地转换等。为解决以上问题,本文提

3、出了一种基于SAML和XACML的安全模型,既达到对用户的访问控制,又使用户不必繁琐地一次次的提供身份证明,能够透明地访问不同的资源。声明描述许可权查询和检查的结果,此结果可以是接收或拒绝主体对资源的访问请求;属性声明描述与主体的认证和授权决议相关的信息(如主体的标志、所属用户组、角色、可访问的资源及权限等) 。声明就是一组由签发者提供的包含认证、属性和授权决议信息的集合。请求/ 响应协议规定了两点间共享SAML 数据所需交换的消息种类和格式,而两点间的消息传输通过与具体传输协议的绑定实现。因SAML可与多种业界标准的传输协议或XML消息交换架构相绑定,使得它具

4、有良好的开放性。SAML 标准建议消息的传递绑定SOAP 协议实现。1.2  可扩展访问控制标记语言( XACML)XACML同样也是基于XML的一种安全型标准。它用于表示控制信息访问的规则和策略。这些策略和规则与整体访问控制和保密策略的上下文的目标资源有关。与以往的策略描述语言相比,XACML基于XML而非其他,XACML也具有能够同时被人和计算机识别的特点。当然,XACML也有其他策略描述语言同样的要素,访问目标、主体(访问者)、操作以及规则等。除了给出策略的描述语法之外,XACML也给出了一个标准化的访问控制决策模型。也就是说,XACML的应用能够对资源的

5、访问请求进行决策。如图1所示,当客户端向服务器提出资源请求时,可执行授权控制访问的实体叫做策略执行点(Policy Enforcement Point),规范化描述请求者的属性的实体叫做策略信息点( Policy Infor-mation Point),作出授权决定的实体叫做策略决定点(PolicyDecision Point),可用的策略位于策略库中。具体步骤如下:(1)PEP接受用户的请求。(2)PEP通过PIP规范化请求者的属性。(3)PEP向PDP委托授权决定。(4)PDP做出评估,向策略库提取策略。(5)PDP向PEP返回授权决定。1  SAML与XA

6、CML简介1.1  安全声明标记语言(SAML)SAML是一种基于XML 的安全描述语言。它是一种面向Web服务的架构,具有XML跨平台数据表述的特性。SAML利用XML对认证和授权信息进行编码,实现在Internet 环境中异构安全系统间信息的交换和处理,从而为系统间的应用提供协同的安全服务。SAML 标准主要由声明和请求/ 响应协议两部分构成。声明是SAML 的基本数据对象,是对主体(用户、计算机)的安全信息(身份、权限等) 的XML 描述形式。SAML 声明能够传递三种信息 :主体完成认证行为的信息、主体的属性信息以及关于主体是否允许访问特定资源的授权决议

7、信息。因此对应SAML 声明包括三种形式 :认证声明(AuthenticationAssertion) 、属性声明(Attribute Assertion) 和授权决议声明(Authorization Assertion) 。其中认证声明描述与认证成功事件相关的信息(如认证的机构、方式和有效期等) ;授权决议作者简介:沈雯漪(1981-),女,解放军信息工程大学理学院03级研究生,研究方向:Web服务安全性研究。姚世军(1961-),男,硕士生导师,教授,研究方向:分布式计算技术,数据库技术。582006.11应 用 安 全(6)利用这条信息,PEP可以向客户端

8、做出适当的反应。在作出决

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。