基于Web服務的訪問控制技術研究

吳海波

（淮南師范學院 計算機與信息工程系，安徽 淮南 232038）

Web服務是一個新型的服務協議，具有簡單、可擴展、開放性、松散耦合和跨平臺等特點，通過Web技術，使各種不同平臺上的系統能夠方便地進行數據和功能共享，實現互操作。但Web服務作為一種新興技術，不可避免的有其局限性，突出問題就是安全性。因此為保證Web服務的安全性和互操作性，亟待找到一種方案以解決其訪問控制的安全問題。

本文研究了單點登錄技術和訪問控制技術，在此基礎上設計了一個基于SAML的單點登錄和基于XACML的Web服務訪問控制系統模型，該模型支持集中的用戶管理和統一的身份認證，并且經過分布與集中相結合的服務和授權進行訪問控制。

1 相關技術

1.1 SAML技術

1.1.1 SAML概念

SAML是由OASIS安全服務協會制定的基于XML框架的一種安全性標準，稱為安全聲明標記語言。SAML具有以下特點：提供單點登錄身份驗證的功能；每個獨立的系統都能為用戶的身份驗證和建立獨立的授權方案；能在不同類型的安全服務系統之間實現交互。

1.1.2 SAML規范

SAML規范有：聲明、請求/響應協議、綁定和概要。

（1）聲明

聲明傳遞主體所執行的驗證、主體屬性、是否允許主體訪問特定資源的授權決策等信息。主體是一個實體（人或計算機），這個實體在某個信任域中擁有一個特定身份。一組聲明組成一個主體的配置文件，配置文件中的聲明可能來自不同的組織。

（2）請求/響應協議

SAML定義了基于XML的請求/響應消息協議，能夠在域中參與交互的多方之間傳送SAML聲明。……