CN106506500A - 一种基于saml和xacml的云计算统一身份认证的方法 - Google Patents

一种基于saml和xacml的云计算统一身份认证的方法 Download PDF

Info

Publication number
CN106506500A
CN106506500A CN201610990116.3A CN201610990116A CN106506500A CN 106506500 A CN106506500 A CN 106506500A CN 201610990116 A CN201610990116 A CN 201610990116A CN 106506500 A CN106506500 A CN 106506500A
Authority
CN
China
Prior art keywords
saml
xacml
cloud computing
identity authentication
unified identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610990116.3A
Other languages
English (en)
Inventor
王金超
于治楼
罗清彩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan Inspur Hi Tech Investment and Development Co Ltd
Original Assignee
Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan Inspur Hi Tech Investment and Development Co Ltd filed Critical Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority to CN201610990116.3A priority Critical patent/CN106506500A/zh
Publication of CN106506500A publication Critical patent/CN106506500A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于SAML和XACML的云计算统一身份认证的方法,所述方法通过使用SAML标准定义身份提供者和服务提供者,构成不同的安全域,实现在不同的安全域之间交换认证和授权数据;并通过使用XACML来实现请求/响应的通用访问控制策略和执行授权策略的框架,实现云计算环境中访问控制策略的执行,从而实现云计算的统一身份认证和权限访问控制。根据本发明统一身份认证方法,有效解决了云计算下诸多应用平台的统一身份认证和访问控制权限的管理控制问题。

Description

一种基于SAML和XACML的云计算统一身份认证的方法
技术领域
本发明涉及云计算和身份认证、访问控制技术领域,具体涉及一种基于SAML和XACML的云计算统一身份认证的方法。
背景技术
云计算经过几年的酝酿和发展,时至今日已成为当前业界乃至全社会关注的焦点和热点,云计算时代被业界广泛认为是继PC和互联网之后的第三次IT浪潮。
云计算自身具备的高性能、低成本、高可靠性等特点能极大地提高IT资源的利用率,云计算技术也成为新一代信息技术变革和业务应用模式变革的核心,核心应用正从传统的IT架构向云计算架构转变。
将云计算技术及理念应用于安全领域已成为各个安全厂商积极研究的课题,通过对安全设施资源进行云化,形成安全能力资源池,并通过网络为IT环境提供可弹性调度、按需订购的安全服务,实现安全即服务的模式。
发明内容
本发明要解决的技术问题是:本发明针对以上问题,提供一种基于SAML和XACML的云计算统一身份认证的方法。主要用于解决云计算下诸多应用平台中用户的身份认证和管理问题,依据SAML和XACML规范,实现多平台下用户身份认证的集中管理,以避免数字证书的重复发放、重复认证、用户使用成本高、使用繁琐等问题的发生。负责完成用户与虚拟对象的关联管理,对映射后实体对象的权限进行定义,限定其访问控制权限。将身份认证和所有权限的管理集中到统一身份认证模块处理,认证流程安全稳定、可靠高效,有效解决了云计算下诸多应用平台的统一身份认证和访问控制权限的管理控制问题。
本发明所采用的技术方案为:
一种基于SAML和XACML的云计算统一身份认证的方法,所述方法通过使用SAML标准定义身份提供者和服务提供者,构成不同的安全域,实现在不同的安全域之间交换认证和授权数据;并通过使用XACML来实现请求/响应的通用访问控制策略和执行授权策略的框架,实现云计算环境中访问控制策略的执行,从而实现云计算的统一身份认证和权限访问控制。
所述方法通过将SAML的构造、解析、签名、加密功能融合在一起,形成一个标准的SAML请求,然后由客户端向服务器端发送SAML请求,再由服务器返回SAML响应。
所述的SAML请求,是采用国产密码技术来实现的X.509证书,通过在SAML中定义了一个XML签名元素以标识认证中心,该元素包含一个基于国产密码算法的带有公钥、到期日和使用策略的X.509证书;所述XML签名还包含签名值本身,签名值是由认证中心为元素内容生成的。
所述的XACML访问控制策略,是基于国际标准的安全策略,采用统一的策略描述语言。
所述方法通过SAML和XACML两种技术融合,XACML和SAML协同工作,SAML定义安全系统之间的共享授权信息,使用XACML描述政策的规则引擎,通过检查已建立的规则并提示与之相符的行为的程序,将授权信息与已建立的标准比较以判定用户权限。
本发明的有益效果为:
本发明依据SAML和XACML规范,实现多平台下用户身份认证的集中管理,以避免数字证书的重复发放、重复认证、用户使用成本高、使用繁琐等问题的发生;负责完成用户与虚拟对象的关联管理,对映射后实体对象的权限进行定义,限定其访问控制权限;将身份认证和所有权限的管理集中到统一身份认证模块处理,认证流程安全稳定、可靠高效,有效解决了云计算下诸多应用平台的统一身份认证和访问控制权限的管理控制问题。
附图说明
图1为云计算统一身份认证系统应用部署示意图。
具体实施方式
下面根据说明书附图,结合具体实施方式对本发明进一步说明:
实施例1
如图1所示,一种基于SAML和XACML的云计算统一身份认证的方法,所述方法通过使用SAML标准定义身份提供者(IP:Identity Provider)和服务提供者(SP:ServiceProvider),构成不同的安全域,实现在不同的安全域(security domain)之间交换认证和授权数据;并通过使用XACML来实现请求/响应的通用访问控制策略和执行授权策略的框架,实现云计算环境中访问控制策略的执行,从而实现云计算的统一身份认证和权限访问控制。
所述的XACML是一种用于决定请求/响应的通用访问控制策略语言和执行授权策略的框架,可广泛应用于云计算的分布式环境中,主要用于访问控制策略等安全政策的描述,也就是安全应用信息访问权限的控制。
实施例2
在实施例1的基础上,本实施例所述方法通过将SAML的构造、解析、签名、加密等功能融合在一起,形成一个标准的SAML请求,然后由客户端向服务器端发送SAML请求,再由服务器返回SAML响应。
数据的传输以符合SAML规范的XML格式表示。SAML依靠SSL、X.509等完善的安全标准,来保护SAML源站点和目标站点之间通信的安全。源站点和目标站点之间的所有通信都经过了加密。并且使用数字证书确保参与SAML交互的双方站点都能验证对方的身份。
实施例3
在实施例1或2的基础上,本实施例所述的SAML请求,是采用国产密码技术来实现的X.509证书,替换原有的RSA等国际公开算法,通过在SAML中定义了一个XML签名(XMLSignature)元素以标识认证中心,该元素包含一个基于国产密码算法的带有公钥、到期日和使用策略的X.509证书;所述XML签名还包含签名值本身,签名值是由认证中心为元素内容生成的。可以使用X509证书中权威机构的公钥信息来验证签名。这样能够保证信息的安全性、有效性和完整性。
实施例4
在实施例3的基础上,本实施例所述的XACML访问控制策略,是基于国际标准的安全策略,采用统一的策略描述语言,提高了XACML能适应多种应用环境,支持广泛的数据类型和规则联合算法,策略表达能力很强,可用来描述各种复杂的和细粒度的访问控制安全需求,提高了Web环境下不同组织之间协同工作的效率。
实施例5
在实施例4的基础上,本实施例所述方法通过SAML和XACML两种技术融合,XACML和SAML协同工作,SAML定义安全系统之间的共享授权信息,例如用户密码和安全检查,使用XACML描述政策的规则引擎,通过检查已建立的规则并提示与之相符的行为的程序,将授权信息与已建立的标准比较以判定用户权限。通过云计算中身份认证和访问控制权限的统一融合,实现了云计算中多应用系统的集中登录和管控。
实施例6
有一个云计算中心,其中部署有自动化办公系统、行政审批系统、项目管理系统等等诸多的应用,但每一项应用均需要采用安全的方式登录,并进行权限的控制,如果用户每使用一个新的系统就需要登录一次,操作繁琐的同时也不便于集中管控。
通过部署使用云计算统一身份认证系统,可以将所有系统按照SAML和XACML标准,进行用户统一身份认证和访问权限控制的集中管控。在使用过程中采用国产密码算法的数字证书,实现了SSL加密加密通道,确保了客户端和服务器端身份认证交互数据的安全。
如果客户端所提共的信息,和服务器端的不能一致,则表明客户登录信息非法,自动断开连接。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (5)

1.一种基于SAML和XACML的云计算统一身份认证的方法,其特征在于,所述方法通过使用SAML标准定义身份提供者和服务提供者,构成不同的安全域,实现在不同的安全域之间交换认证和授权数据;并通过使用XACML来实现请求/响应的通用访问控制策略和执行授权策略的框架,实现云计算环境中访问控制策略的执行,从而实现云计算的统一身份认证和权限访问控制。
2.根据权利要求1所述的一种基于SAML和XACML的云计算统一身份认证的方法,其特征在于:所述方法通过将SAML的构造、解析、签名、加密功能融合在一起,形成一个标准的SAML请求,然后由客户端向服务器端发送SAML请求,再由服务器返回SAML响应。
3.根据权利要求1或2所述的一种基于SAML和XACML的云计算统一身份认证的方法,其特征在于:所述的SAML请求,是采用国产密码技术来实现的X.509证书,通过在SAML中定义了一个XML签名元素以标识认证中心,该元素包含一个基于国产密码算法的带有公钥、到期日和使用策略的X.509证书;所述XML签名还包含签名值本身,签名值是由认证中心为元素内容生成的。
4.根据权利要求3所述的一种基于SAML和XACML的云计算统一身份认证的方法,其特征在于:所述的XACML访问控制策略,是基于国际标准的安全策略,采用统一的策略描述语言。
5.根据权利要求4所述的一种基于SAML和XACML的云计算统一身份认证的方法,其特征在于:所述方法通过SAML和XACML两种技术融合,XACML和SAML协同工作,SAML定义安全系统之间的共享授权信息,使用XACML描述政策的规则引擎,通过检查已建立的规则并提示与之相符的行为的程序,将授权信息与已建立的标准比较以判定用户权限。
CN201610990116.3A 2016-11-10 2016-11-10 一种基于saml和xacml的云计算统一身份认证的方法 Pending CN106506500A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610990116.3A CN106506500A (zh) 2016-11-10 2016-11-10 一种基于saml和xacml的云计算统一身份认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610990116.3A CN106506500A (zh) 2016-11-10 2016-11-10 一种基于saml和xacml的云计算统一身份认证的方法

Publications (1)

Publication Number Publication Date
CN106506500A true CN106506500A (zh) 2017-03-15

Family

ID=58324153

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610990116.3A Pending CN106506500A (zh) 2016-11-10 2016-11-10 一种基于saml和xacml的云计算统一身份认证的方法

Country Status (1)

Country Link
CN (1) CN106506500A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108021362A (zh) * 2017-12-21 2018-05-11 南京大学 基于XACML访问控制机制的Android应用访问控制代码生成方法
CN112565189A (zh) * 2020-11-04 2021-03-26 国网安徽省电力有限公司信息通信分公司 一种基于云计算数据安全的访问控制系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857489A (zh) * 2012-05-10 2013-01-02 中国人民解放军理工大学 Web服务实体及其安全供求策略匹配的实现方法
CN103532981A (zh) * 2013-10-31 2014-01-22 中国科学院信息工程研究所 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法
US20150237041A1 (en) * 2014-02-20 2015-08-20 International Business Machines Corporation Attribute-based access control

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857489A (zh) * 2012-05-10 2013-01-02 中国人民解放军理工大学 Web服务实体及其安全供求策略匹配的实现方法
CN103532981A (zh) * 2013-10-31 2014-01-22 中国科学院信息工程研究所 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法
US20150237041A1 (en) * 2014-02-20 2015-08-20 International Business Machines Corporation Attribute-based access control

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
施龙干: ""基于云计算的统一身份认证技术研究"", 《中国优秀硕士学位论文全文数据库》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108021362A (zh) * 2017-12-21 2018-05-11 南京大学 基于XACML访问控制机制的Android应用访问控制代码生成方法
CN108021362B (zh) * 2017-12-21 2019-09-20 南京大学 基于XACML访问控制机制的Android应用访问控制代码生成方法
CN112565189A (zh) * 2020-11-04 2021-03-26 国网安徽省电力有限公司信息通信分公司 一种基于云计算数据安全的访问控制系统

Similar Documents

Publication Publication Date Title
Johnston et al. Authorization and attribute certificates for widely distributed access control
Chakrabarti Grid computing security
CN103563294B (zh) 用于云计算平台安全性的认证和授权方法
CN103109508B (zh) 基于证书的验证方法和通信网
CN103259663A (zh) 一种云计算环境下的用户统一认证方法
Bhatti et al. An integrated approach to federated identity and privilege management in open systems
Lonea et al. Identity management for cloud computing
CN109587100A (zh) 一种云计算平台用户认证处理方法及系统
CN101296230A (zh) 基于PKI和PMI的Web服务安全控制机制
Cusack et al. Evaluating single sign-on security failure in cloud services
Otta et al. Decentralized identity and access management of cloud for security as a service
Lu et al. Secure and Real Time Traceable Data Sharing in Cloud-Assisted IoT
CN106506500A (zh) 一种基于saml和xacml的云计算统一身份认证的方法
Falk et al. Using managed certificate whitelisting as a basis for internet of things security in industrial automation applications
Huang et al. Research for e-commerce platform security framework based on SOA
Foltz et al. Enterprise level security–basic security model
Hussain et al. Restful web services security by using ASP. NET web API MVC based
Fugkeaw et al. Multi-Application Authentication based on Multi-Agent System.
Demchenko et al. Security infrastructure for dynamically provisioned cloud infrastructure services
Xiao et al. A review of geni authentication and access control mechanisms
Rech et al. A decentralized service-platform towards cross-domain entitlement handling
Gao et al. Shibboleth and community authorization services: Enabling role-based grid access
Malgaonkar et al. Implementation of optimized Nymble system to enhance network security
Nagar et al. A secure authenticate framework for cloud computing environment
Foltz et al. Building a Secure Enterprise

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170315