OpenID在跨域安全交换中的应用.doc

《OpenID在跨域安全交换中的应用.doc》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、《一种跨安全域安全交换平台的实现》文档中指出，该平台借鉴开放的分布式身份验证系统OpenID的主要思想来进行身份验证，也就是说不直接采用OpenID的方法来实现。文档中说：在不同的认证体系内建立各自的认证服务器，与对用户认证采取“谁的用户谁认证”原则。OpenID对于所有支持OpenID技术的网站需要用户验证身份的时，全部在openID提供者的服务器上完成。文档同时指出，跨域认证时，首先以“组织名称+用户名称”二元组作为命名标准，在交换体系中的所有信息系统内建立统一用户名称体系。在跨域进行数据交换时，数据请求方必须采用统一用户标识提出请求，数据提供方的交换代理根据标识中的组织

2、名称找到请求方的认证服务器。这就精简了OpenID实际使用中需要做的“标准化”步骤。在实际的OpenID使用中，由于用户提供的标识格式不唯一(因为OpenID服务提供商较多，导致标识格式不唯一)，如URL，XRI等，需要经过处理为标准型后才能进行身份验证。OpenID2.0基本工作流程跨域安全交换身份验证过程开始数据交换数据请求方的应用发送通行证至数据提供方的交换代理，交换代理验证通行证，并检查授权数据请求方的认证服务器将结果和通行证发送给数据提供方的交换代理数据请求方的认证服务器向数据请求方的应用进行认证，并发通行证数据请求方进行本地认证，数据提供方请求认证结果数据提供方核

3、对“组织名称”并要求数据请求方进行本地服务器验证数据请求方提供统一用户标识并请求数据交换发现转回应用程序断言身份认证请求关联规格化获取用户标识OpenID的思想在跨域安全交换中的具体体现是分布式认证，在不同的认证体系间不采用统一验证的方法，采取在不同认证体系内建立各自的认证服务器，当需要进行身份验证的时候，数据请求方发送用户标识和数据交换请求到数据提供方，数据提供方会发送一个身份验证请求回到数据请求方的交换代理处，即实现了“谁的用户谁认证”，认证完成后认证服务器发送一个通行证给数据提供方的应用，数据请求方的应用发送通行证至数据提供方的交换代理，通过比对通行证，决定是否验证成功

4、。OpenID的思想与跨域安全交换身份认证中的不同点是OpenID由于用户标识提供方的不同，导致提供的用户标识格式不唯一，所以在进行身份验证时，需要先“格式化”用户标识，使得浏览器能正常重定向到该验证服务器，否则认为该用户标识不存在，但是在跨域身份认证时，数据请求方被要求必须采用统一的用户标识提出请求，即“组织名称+用户名称”。数据提供方可以很容易根据“组织名称”字段找到验证服务器从而进行验证。所以OpenID不是直接应用在跨域安全安全交换的身份验证中，而是其思想。每一个用户都可以注册至少一个并拥有OpenID标识，但在跨域安全安全交换的用户不是想申请就能申请的，所以我认为不

5、能照搬OpenID的全部实现方法，而是就其主要思想衍生出的一种解决身份认证的方法。