ＳＡＭＬ 可 以 实 现 不 同 的 安 全 服 务 系 统 之 间 的 互 操作性， 它提供了一种机制可以在不同的安全服务系 统 之 间 交 换 认 证 和 授 权 信 息 。但 它 本 身 并 不 定 义 新 的 认证与授权机制， 只是定义了用于安全服务之间传输 安 全 信 息 的 交 换 机 制 。其 关 注 的 重 点 不 仅 局 限 于 信 息 的描述 ， 而且在于如何用 ＸＭＬ 实现 安 全 信 息 的 共 享 ， 使 得 在 Ｉｎｔｅｒｎｅｔ 环 境 下 ， 用 标 准 的 方 式 描 述 和 使 用 已 广泛采用的安全技术。ＳＡＭＬ 规范体系主要由安全断 言 （Ａｓｓｅｒｔｉｏｎ）、 请 求 ／ 响 应 协 议 （Ｐｒｏｔｏｃｏｌ） 和 绑 定 （Ｂｉｎｄｉｎｇ）组成（ 见图 １） 。
受到一定的局限和制约， 尤其是当各机构和企业应用 采用不同的权限分配和控制方式时， 跨系统边界的访 问请求将导致系统的安全策略不仅难以制定， 而且经 常受到质疑。因此， 如何保证用户的安全登录和登出， 如何控制不同层次的人员使用不同的功能就显得非 常 重 要 。解 决 这 两 个 问 题 的 办 法 是 采 用 认 证 技 术 和 授 权技术。本文主要研究 ＳＡＭＬ 在可以跨域、跨机构、可
关键词 ＳＡＭＬ 单点登录 集成身份认证
１ 引言
进入 ２１ 世纪， 信息化浪潮席卷了整个世界。越来 越多的组织机构和企业建立了各种计算机系统以满 足日益激烈的市场竞争需要， 但是在分布式计算环境 中， 不同企业或者机构之间的信息资源由于管理要 求、许可限制、费 用 约 束 等， 使 用 户 共 享 这 些 信 息 资 源
（３） 授权决议断言： 描述授权服务对某一已认证 的主体访问关键资源的权限进行检查的结果。根据授
权请求的种类， 可以分为二值授权决 议信息或用户许可权的描述。许可权 的描述采用三元组（ 主体、资源、动作） 的方式进行。 ２．２ 请求 ／ 响应协议
请求 ／ 响应协议规定了共享 ＳＡＭＬ 数据所需交换的信 息种类和格 式， 消息的传输是通过与具体传输协 议 的 绑 定 来 实 现 的 。 ＳＡＭＬ 给 出 了 Ｒｅｑｕｅｓｔ 和 Ｒｅｓｐｏｎｓｅ 两 种 消 息 格 式 用 于请求和响应。请求包含主体查询 （Ｓｕｂｊｅｃｔ Ｑｕｅｒｙ）， 认 证 查 询 （Ａｕｔｈｅｎｔｉｃａ－ ｔｉｏｎ Ｑｕｅｒｙ）， 属 性 查 询 （Ａｔｔｒｉｂｕｔｅ Ｑｕｅｒｙ） 和 授 权 决 议 查 询 （Ａｕｔｈｏｒｉｚａｔｉｏｎ Ｄｅｃｉ－ ｓｉｏｎ Ｑｕｅｒｙ）４ 类 。 对 所 有 查 询 ， ＳＡＭＬ 采用统一格式的响应消息来封装对请求的响应结果。 ２．３ 绑定 绑 定 是 指 将 ＳＡＭＬ 请 求 ／ 响 应 消 息 处 理 映 射 为 标准的消息处理或传输协议。ＳＡＭＬ 规范中给出的主
５ Ｒ． Ｈｏｕｓｌｅｙ， Ｂ． Ａｂｏｂａ． ＡＡＡ Ｋｅｙ Ｍａｎａｇｅｍｅｎｔ， Ｉｎｔｅｒｎｅｔ ｄｒａｆｔ． Ｊｕｎｅ． ２００５
６ Ｄ． Ｓｔａｎｌｅｙ， Ｊ． Ｗａｌｋｅｒ， Ｂ． Ａｂｏｂａ． Ｅｘｔｅｎｓｉｂｌｅ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ｐｒｏｔｏｃｏｌ Ｍｅｔｈｏｄ Ｒｅｑｕｉｒｅｍｅｎｔｓ ｆｏｒ Ｗｉｒｅｌｅｓｓ ＬＡＮｓ， ＲＦＣ ４０１７． Ｍａｒｃｈ． ２００５ （ 收 稿 日 期： ２００８－０６－１０ ）
·１７·
□ＴＥＬＥＣＯＭＭＵＮＩＣＡＴＩＯＮＳ ＮＥＴＷＯＲＫ ＴＥＣＨＮＯＬＯＧＹ Ｎｏ．７
ＮＥＴＷＯＲＫ ＴＥＣＨＮＯＬＯＧＹ
移 植 、可 信 任 和 可 扩 展 的 独 立 于 协 议 和 平 台 的 集 成 身 份认证技术中的应用。
２ 安全声明标记语言（ Ｓ ＡＭＬ） 体系结构
国 际 标 准 化 组 织 ＯＡＳＩＳ 的 安 全 服 务 协 会 （ Ｓｅｃｕｒｉｔｙ Ｓｅｒｖｉｃｅ Ｔｅｃｈｎｏｌｏｇｙ Ｃｏｍｍｉｔｔｅｅ， 简 称 ＳＳＴＣ） 于 ２０００ 年 １１ 月 提 出 了 安 全 声 明 标 记 语 言 （ Ｓｅｃｕｒｉｔｙ Ａｓｓｅｒｔｉｏｎ Ｍａｒｋｕｐ Ｌａｎｇｕａｇｅ， 简 称 ＳＡＭＬ） 参 考 标 准 ， 它 是一种基于 ＸＭＬ 开发的用来 在 互 联 网 上 交 换 安 全 信 息的描述语言。
成和发布的。 ＳＡＭＬ 规 范 中 定 义 了 认 证 断 言 （ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ
Ａｓｓｅｒｔｉｏｎ） 、属 性 断 言 （ Ａｔｔｒｉｂｕｔｅ Ａｓｓｅｒｔｉｏｎ） 和 授 权 决 议 断言（ Ａｕｔｈｏｒｉｚａｔｉｏｎ Ｄｅｃｉｓｉｏｎ Ａｓｓｅｒｔｉｏｎ） ３ 种声明类型。
（１） 认证断言： 声明了在某一时间， 认证系统通过 某种认证方式完成了对主体的认证这一事实， 它被其 他信任域参考， 用于对主体进行识别。在认证断言中 详细说明了断言的标识， 断言的发行者（机构）， 断言发 行的时间， 断言的有效期， 以及与具体认证类型相关 的属性。
８０２．１６ｅ 相 对 与 以 前 版 本 ， 采 用 了 新 的 安 全 接 入 控制技术， 但这些安全接入控制技术在实际操作中如 何合理使用， 是否存在其它安全问题， 是否符合网络 部署地区实际情况等问题仍然有待进一步研究。
参考文献
１ ＩＥＥＥ ８０２．１６－２００４． ＩＥＥＥ Ｓｔａｎｄａｒｄ ｆｏｒ Ｌｏｃａｌ ａｎｄ Ｍｅｔｒｏｐｏｌｉｔａｎ Ａｒｅａ Ｎｅｔｗｏｒｋｓ Ｐａｒｔ １６． Ａｉｒ Ｉｎｔｅｒｆａｃｅ ｆｏｒ Ｆｉｘｅｄ Ｂｒｏａｄｂａｎｄ Ｗｉｒｅｌｅｓｓ Ａｃｃｅｓｓ Ｓｙｓｔｅｍｓ． ２００４
网络月第 ７ 期
ＳＡＭＬ 在集成身份认证中的应用
江浩洁 信息产业部电信研究院通信标准研究所工程师 徐东升 河北软件职业技术学院网络工程系助教
摘 要 介 绍 了 ＳＡＭＬ 标 准 ， ＳＡＭＬ 体 系 结 构 ， 身 份 认 证 的 定 义 及 标 准 ， 研 究 了 ＳＡＭＬ 在 集 成身份认证中的两种应用， 实现能支持资源系统间认证信息共享， 对所有信任领域内的网络资源 进行无缝访问的集成身份认证。
图 １ Ｓ ＡＭＬ 规 范 体 系
２．１ 安全断言 断言（ Ａｓｓｅｒｔｉｏｎ） 是 ＳＡＭＬ 的基本数据对象。它是
对主体的身份、属性、权限信息的 ＸＭＬ 描述。它是由专 门的 ＳＡＭＬ 机构（ ＳＡＭＬ Ａｕｔｈｏｒｉｔｙ： Ｎａｍｅｌｙ Ａｕｔｈｏｒｉｔｉｅｓ， Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ａｕｔｈｏｒｉｔｉｅｓ， Ｐｏｌｉｃｙ Ｄｅｃｉｓｉｏｎ Ａｕｔｈｏｒｉｔｉｅｓ） 生
（２） 单 点 登 录 （ ＳＳＯ） 协 议 指 的 是 集 成 各 种 认 证 方 案以实现单点登录目的的协议规范， 主要有安全性断 言标记语言（ＳＡＭＬ） Ｖ１．０／Ｖ１．１／Ｖ２．０ 协议、网络身份统 一架构（ＩＤ－ＦＦ） １．２ 协议。其中， ＳＡＭＬ 协议规定了 ＳＳＯ 在 客 户 端（Ｂｒｏｗｓｅｒ）和 工 件 （Ａｒｔｉｆａｃｔ）实 现 的 流 程 ， 定 义 了认证断言和属性断言， 它们都遵循万维网联盟 （Ｗ３Ｃ）的 ＸＭＬＳｃｈｅｍａ 规范和 ＸＭＬＳｉｇ 规范， 以可扩展 标记语言（ＸＭＬ）的格式描述。ＩＤ－ＦＦ １．２ 协议由 Ｌｉｂｅｒｔｙ Ａｌｌｉａｎｃｅ 组 织 制 定 ， Ｌｉｂｅｒｔｙ 规 范 要 求 建 立 联 盟 关 系 的 系统账号之间要建立映射， 通过映射关系间接地实现 账号的全局性。目前， 该规范有与 ＳＡＭＬ 融合的趋势。 ＳＡＭＬ 的 标 准 化 程 度 比 较 高 ， 将 认 证 的 功 能 和 流 程 做 了统一的规划和定义， 各大软件厂商对其支持力度也 在逐渐加强； ＩＤ－ＦＦ 使用的技术与 ＳＡＭＬ 越来越趋同。
２ ＩＥＥＥ ８０２．１６ｅ／ｄ１２． Ｄｒａｆｔ ＩＥＥＥ Ｓｔａｎｄａｒｄ ｆｏｒ Ｌｏｃａｌ ａｎｄ Ｍｅｔｒｏｐｏｌｉｔａｎ Ａｒｅａ Ｎｅｔｗｏｒｋｓ Ｐａｒｔ １６． Ａｉｒ Ｉｎｔｅｒｆａｃｅ ｆｏｒ Ｆｉｘｅｄ ａｎｄ Ｍｏｂｉｌｅ Ｂｒｏａｄｂａｎｄ Ｗｉｒｅｌｅｓｓ Ａｃｃｅｓｓ Ｓｙｓｔｅｍｓ． ２００５
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
存入口不只包括密钥元素（ 例如授权信息） ； 缺乏对信 道绑定信息的支持。
４ 结束语
由 于 具 有 高 速 率 、距 离 远 以 及 非 视 距 传 输 等 特 征 ， ８０２．１６ 自诞生之日起就受到众多关注。本文首先描述 了 ８０２．１６ａ 及 ｄ 版本的安全性以及所存在的安全威胁， 在此基 础 之 上 ， 对 ８０２．１６ｅ 的 安 全 机 制 进 行 了 深 入 分 析。８０２．１６ｅ 增补了 ８０２．１６ｄ 的一些安全缺陷， 包括单向 认证、加密算法的强度不够， 以及密钥漏洞等。另外， 在 ８０２．１６ｅ 中提出了双向认证概念。比起单向认证过程， 双向认证过程主要增加了 ＳＳ 对 ＢＳ 证书的鉴别。
·１８·
网络技术
《电信网技术》２００８ 年 ７ 月第 ７ 期
要 是 与 超 文 本 传 输 协 议 （ ＨＴＴＰ） 和 简 单 对 象 访 问 协 议 （ ＳＯＡＰ） 的绑定机制。
３ Ｓ ＡＭＬ 在集成身份认证中的应用
３．１ 身份认证 身份认证即证实用户的真实身份与其所声称的
身份是否相符的过程， 它是信息认证技术中一个十分 重要的内容， 主要涉及识别和认证两方面。所谓识别 指的是确定用户是谁， 这就要求对每个合法用户都要 有识别能力。要保证识别的有效性， 就需要保证任意 两个不同的用户都具有不同的识别符， 所谓验证就是 指在用户声称自己的身份后， 认证方还要对它所声称 的身份进行验证， 以防假冒。
（２） 属性断言： 描述了与主体相关的属性信息， 代 表 主 体 拥 有 的 权 利 （ Ｐｒｉｖｉｌｅｇｅ） 。 属 性 信 息 与 具 体 的 行 业 或 应 用 领 域 相 关 。主 体 在 信 任 域 中 所 具 有 的 属 性 在 整个信任域中可以得到解释， 这是整个信任域成员事 先达成共识的结果。在多个信息系统与某研究院共同 组成的信任域中， 拥有不同角色的用户在该信任域中 可以访问不同的信息资源， 如拥有院长角色的用户可 以访问所有的信息资源， 而对于普通职工用户只能访 问其中一部分信息资源。