孟青春，吳穎川，劉志勤，楊 雷

（1.西南科技大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，四川 綿陽(yáng)621010；2.中國(guó)空氣動(dòng)力研究與發(fā)展中心，四川 綿陽(yáng)621010；3.西南科技大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，四川 綿陽(yáng)621010）

0 引 言

手機(jī)、平板等移動(dòng)電子設(shè)備的不斷普及促進(jìn)了移動(dòng)互聯(lián)網(wǎng)下各種新興業(yè)務(wù)的快速開(kāi)展，然而這些新興業(yè)務(wù)的身份認(rèn)證系統(tǒng)各自獨(dú)立存在，采用不同的操作系統(tǒng)平臺(tái)、開(kāi)發(fā)語(yǔ)言，擁有不同的驗(yàn)證服務(wù)器和用戶信息數(shù)據(jù)庫(kù)，需要維護(hù)多套用戶信息，造成信息冗余與信息孤島［1，2］，使得各系統(tǒng)間無(wú)法集成。對(duì)用戶來(lái)說(shuō)，使用各個(gè)系統(tǒng)都需要進(jìn)行重復(fù)登錄，用戶體驗(yàn)差。同時(shí)，順應(yīng)三網(wǎng)融合的大勢(shì)所趨，“多屏”、“多終端”業(yè)務(wù)將是未來(lái)的發(fā)展方向?？缃K端的單點(diǎn)登錄為滿足消費(fèi)者 “多終端應(yīng)用”的體驗(yàn)，提供了切實(shí)可行的創(chuàng)新技術(shù)和產(chǎn)品。在工業(yè)界，目前實(shí)現(xiàn)SSO的國(guó)內(nèi)外產(chǎn)品有：IBM 的TivoliAccess Manager、Novell公司的iChain、Oracle公司的IDM、HP的靈動(dòng)單點(diǎn)登錄系統(tǒng)、神州融信的UTrust SSO、時(shí)代億信的基于CA的統(tǒng)一身份管理平臺(tái)以及聯(lián)創(chuàng)I－Securer身份管理系統(tǒng)等［3］。然而，這些系統(tǒng)都只單一地解決了單個(gè)終端上的單點(diǎn)登錄問(wèn)題，尚不能滿足用戶跨終端單點(diǎn)登錄的需求。

因此，文章將安全斷言標(biāo)記語(yǔ)言 （security assertion markup language，SAML）［4］協(xié)議與OAuth2.0協(xié)議相結(jié)合，提出一種基于面向服務(wù)架構(gòu) （service－oriented architecture，SOA）［2，5－7］的移動(dòng)終端統(tǒng)一身份認(rèn)證解決方案，用以解決現(xiàn)有移動(dòng)終端信息系統(tǒng)中異構(gòu)系統(tǒng)的集成、用戶認(rèn)證繁瑣冗余、可管理性差及密碼容易泄露的安全缺陷等問(wèn)題。

1 概 述

1.1 簡(jiǎn) 介

（1）SAML：認(rèn)證系統(tǒng)的核心是擁有安全可靠的身份認(rèn)證協(xié)議，SAML是一個(gè)基于XML的標(biāo)準(zhǔn)安全斷言標(biāo)記語(yǔ)言，獨(dú)立于操作平臺(tái)和實(shí)現(xiàn)語(yǔ)言，用于在不同的安全域（security domain）之間交換認(rèn)證和授權(quán)數(shù)據(jù)，已作為單點(diǎn)登錄通信方式的開(kāi)放標(biāo)準(zhǔn)［4］，但SAML僅提供對(duì)Web瀏覽器的支持［8－11］。

（2）OAuth：OAuth協(xié)議使網(wǎng)站和應(yīng)用程序能夠在無(wú)須透露其用戶名和密碼的情況下，通過(guò)授權(quán)第三方網(wǎng)站來(lái)分享數(shù)據(jù)［12］；同時(shí)，OAuth支持 “Web應(yīng)用、桌面應(yīng)用、移動(dòng)終端、家庭設(shè)備”等客戶端程序［12］。然而OAuth關(guān)注更多的是授權(quán)，并不能單獨(dú)用來(lái)做單點(diǎn)登錄設(shè)計(jì)。

（3）SOA：SOA是一種粗粒度、松耦合服務(wù)架構(gòu)，將統(tǒng)一身份認(rèn)證平臺(tái)所要實(shí)現(xiàn)的業(yè)務(wù)封裝成服務(wù)提供者，為作為服務(wù)使用者的各應(yīng)用系統(tǒng)提供統(tǒng)一的服務(wù)接口，使各應(yīng)用系統(tǒng)以統(tǒng)一的方式調(diào)用認(rèn)證服務(wù)［5－7］。服務(wù)之間以松耦合的形式互聯(lián)和互操作，完成特定的業(yè)務(wù)需求，為實(shí)現(xiàn)異構(gòu)系統(tǒng)的集成提供了方便。

（4）跨終端單點(diǎn)登錄：跨終端單點(diǎn)登錄即用戶在一個(gè)終端上登錄一次后，在該終端上的不同系統(tǒng)之間不需要進(jìn)行重復(fù)登錄，不同終端上的不同系統(tǒng)之間也不需要進(jìn)行重復(fù)登錄，就可以在各個(gè)終端上訪問(wèn)所有相互信任的系統(tǒng)。

1.2 關(guān)鍵問(wèn)題

（1）如何在SOAP中傳輸SAML和OAuth2.0令牌，成為實(shí)現(xiàn)跨終端單點(diǎn)登錄的首要問(wèn)題。

（2）如何協(xié)調(diào)管理各個(gè)終端的登錄信息。

2 系統(tǒng)架構(gòu)與設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)

系統(tǒng)將SOAP定為統(tǒng)一數(shù)據(jù)交換標(biāo)準(zhǔn)，以Web服務(wù)、XML加解密服務(wù)、SAML協(xié)議、OAuth2.0協(xié)議為基礎(chǔ)，構(gòu)建基于SOA的跨終端統(tǒng)一身份認(rèn)證系統(tǒng)，在保證系統(tǒng)安全性的前提下，更好的實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)整合和內(nèi)容整合，其框架結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)框架

系統(tǒng)主要包括客戶端、會(huì)話管理、終端管理、令牌管理、用戶管理、應(yīng)用系統(tǒng)管理、統(tǒng)一認(rèn)證、服務(wù)接口以及認(rèn)證數(shù)據(jù)庫(kù)的建立幾個(gè)部分。

客戶端：主要包括手機(jī)、平板等移動(dòng)設(shè)備，用戶通過(guò)客戶端將信息傳送到業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)通過(guò)調(diào)用相應(yīng)的業(yè)務(wù)處理模塊將結(jié)果返回給用戶。

會(huì)話管理：處理用戶認(rèn)證請(qǐng)求，并將結(jié)果分發(fā)到相應(yīng)業(yè)務(wù)系統(tǒng)。

終端管理：識(shí)別各終端發(fā)送的信息，根據(jù)信息確定該終端綁定的用戶，并將識(shí)別出的用戶信息發(fā)送到會(huì)話管理中心驗(yàn)證用戶登錄信息，最后將結(jié)果分發(fā)到相應(yīng)業(yè)務(wù)系統(tǒng)。

令牌管理模塊：驗(yàn)證與發(fā)放認(rèn)證令牌、訪問(wèn)令牌。

用戶管理：管理用戶身份標(biāo)識(shí)、憑證、個(gè)人資料以及用戶在各應(yīng)用系統(tǒng)對(duì)應(yīng)的角色、權(quán)限等信息。

應(yīng)用系統(tǒng)管理：管理應(yīng)用系統(tǒng)的相關(guān)描述、用戶組、各個(gè)用戶組的條件等信息。

統(tǒng)一認(rèn)證：將多個(gè)系統(tǒng)的用戶身份權(quán)限驗(yàn)證集中在一個(gè)服務(wù)器或者服務(wù)器集群上，用戶只需登錄一次，便可集中訪問(wèn)所需資源。通過(guò)在成功認(rèn)證時(shí)，返回安全令牌來(lái)保護(hù)用戶隱私。

服務(wù)接口：實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)到IT系統(tǒng)的對(duì)齊、服務(wù)間調(diào)用的靈活性降低單點(diǎn)登錄系統(tǒng)與各業(yè)務(wù)系統(tǒng)之間交互的耦合性。

認(rèn)證數(shù)據(jù)庫(kù)：使用Oracle10g存儲(chǔ)與管理終端信息、用戶信息、業(yè)務(wù)應(yīng)用信息、登錄令牌信息、訪問(wèn)令牌信息與授權(quán)信息。

2.2 業(yè)務(wù)流程設(shè)計(jì)

2.2.1 跨終端單點(diǎn)登錄

跨終端的單點(diǎn)登錄流程如圖2所示。

（1）客戶端將用戶名密碼信息，type（終端類型）及其tag（唯一標(biāo)示符）進(jìn)行散列計(jì)算得到消息摘要，使用Kc（客戶端私鑰）簽名、K’s（統(tǒng)一身份認(rèn)證服務(wù)器公鑰）加密用戶名和密碼、type及tag形成加密信，并把數(shù)字簽名和加密信息發(fā)送給統(tǒng)一身份認(rèn)證服務(wù)器 （以后簡(jiǎn)稱認(rèn)證服務(wù)器）。

（2）認(rèn)證服務(wù)器XML加解密模塊使用Ks（統(tǒng)一身份認(rèn)證服務(wù)器私鑰）解密，并將解密信息交給終端管理模塊處理。終端管理模塊與數(shù)據(jù)庫(kù)交互，檢查該用戶是否存在。若不存在，提示用戶注冊(cè)后再登錄；若存在，繼續(xù)檢查該用戶是否第一次在該終端上登錄，若是，提示用戶綁定終端，并調(diào)用數(shù)據(jù)存儲(chǔ)服務(wù)將該用戶名、type及tag更新到終端管理數(shù)據(jù)庫(kù)表中。

（3）調(diào)用會(huì)話管理服務(wù)，檢查該用戶是否已從其它終端登錄，即是否已為該用戶生成SAML令牌。若沒(méi)有，為該用戶生成SAML令牌并存儲(chǔ)在數(shù)據(jù)庫(kù)的用戶令牌表中；否則，從數(shù)據(jù)庫(kù)中查找出該SAML令牌，并調(diào)用鑒權(quán)服務(wù)為該客戶端頒發(fā)一個(gè)訪問(wèn)相應(yīng)業(yè)務(wù)系統(tǒng)的access token。然后由XML加解密模塊使用Ks對(duì)SAML令牌、access token信息簽名，使用K’c（客戶端公鑰）加密SAML令牌、access token，并將數(shù)字簽名和加密信息發(fā)送給客戶端。

（4）客戶端使用K’s解密數(shù)字簽名，得到消息摘要1；使用Kc解密信息，并使用預(yù)先約定的散列函數(shù)計(jì)算解密后的信息得到消息摘要2。將消息摘要1與消息摘要2進(jìn)行比較，若相同則將接收的消息存儲(chǔ)在本地，否則丟棄。

（1）客戶端使用Kc對(duì)access token簽名，使用K’s加密access token，并將數(shù)字簽名與加密消息發(fā)送給應(yīng)用服務(wù)器，提出訪問(wèn)請(qǐng)求。

圖2 跨終端單點(diǎn)登錄流程

（2）應(yīng)用服務(wù)器將使用K’s加密的access token轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器驗(yàn)證有效性。若有效，通知應(yīng)用服務(wù)器向客戶端提供服務(wù)；同時(shí)在access token的有效期內(nèi)，客戶端可以訪問(wèn)應(yīng)用服務(wù)器上已授權(quán)的所有資源。否則，客戶端將本地存儲(chǔ)的SAML令牌發(fā)送到身份認(rèn)證服務(wù)器獲取新的access token；這減少了重新獲得訪問(wèn)令牌的流程，為各業(yè)務(wù)系統(tǒng)進(jìn)行個(gè)性化授權(quán)提供了方便。

（3）在該客戶端第一次成功登錄后，訪問(wèn)其它應(yīng)用系統(tǒng)時(shí)只需將本地存儲(chǔ)的SAML令牌發(fā)往應(yīng)用服務(wù)器，并由應(yīng)用服務(wù)器轉(zhuǎn)發(fā)給身份認(rèn)證服務(wù)器驗(yàn)證SAML令牌的有效性，若有效，頒發(fā)給客戶端相應(yīng)業(yè)務(wù)系統(tǒng)的access token，最后客戶端使用access token到應(yīng)用服務(wù)器訪問(wèn)資源。

（4）當(dāng)用戶從其它終端上的客戶端訪問(wèn)平臺(tái)上的業(yè)務(wù)系統(tǒng)時(shí)，需要將type與tag發(fā)往身份認(rèn)證服務(wù)器，認(rèn)證服務(wù)器查詢與該終端綁定的用戶，若查找到該用戶，則重復(fù)步驟 （3）～ （7），否則需要重復(fù)步驟 （1）～ （7）。

2.2.2 跨終端單點(diǎn)登出

跨終端單點(diǎn)登出即用戶在單一終端上的某一業(yè)務(wù)系統(tǒng)登出后，與該用戶綁定的所有終端上的登入的相關(guān)業(yè)務(wù)系統(tǒng)全部登出。其業(yè)務(wù)流程如圖3所示。

圖3 單點(diǎn)登出業(yè)務(wù)流程

（1）用戶向統(tǒng)一身份認(rèn)證服務(wù)器發(fā)送單點(diǎn)登出請(qǐng)求；

（2）統(tǒng)一身份認(rèn)證服務(wù)器查詢終端管理表，找到該用戶此次登錄的各個(gè)終端，調(diào)用會(huì)話管理模塊向各個(gè)終端上登錄的各個(gè)業(yè)務(wù)系統(tǒng)發(fā)出登出請(qǐng)求；

（3）由各個(gè)業(yè)務(wù)系統(tǒng)的服務(wù)提供者處理登出請(qǐng)求，并進(jìn)行會(huì)話刪除；

（4）各個(gè)業(yè)務(wù)系統(tǒng)的服務(wù)提供者向身份認(rèn)證服務(wù)器返回登出處理結(jié)果信息；

（5）身份認(rèn)證服務(wù)器向用戶返回顯示單點(diǎn)登出結(jié)果信息。

3 關(guān)鍵問(wèn)題實(shí)現(xiàn)

系統(tǒng)采用基于ESB模型的Web服務(wù)，WebLogic應(yīng)用服務(wù)器，OpenSAML庫(kù)，Apache提供的OAuth開(kāi)放源碼庫(kù)以及JavaEE開(kāi)發(fā)平臺(tái)對(duì)基于移動(dòng)終端的多終端單點(diǎn)登錄系統(tǒng)進(jìn)行了實(shí)現(xiàn)；使用SAMLAuthFilter控制對(duì)哪些應(yīng)用加入單點(diǎn)登錄；采用UDDI與WSDL實(shí)現(xiàn)對(duì)Web服務(wù)的發(fā)布、查找、綁定與描述；采用簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議 （simple object access protocol，SOAP）解決移動(dòng)終端中異構(gòu)系統(tǒng)之間消息互聯(lián)互通的需求。

3.1 SOAP消息

SOAP為解決異構(gòu)系統(tǒng)間消息互聯(lián)互通的需求提供了方便?；赟OAP的統(tǒng)一身份認(rèn)證系統(tǒng)中消息的請(qǐng)求與響應(yīng)需要經(jīng)過(guò)以下4個(gè)過(guò)程。服務(wù)請(qǐng)求生成方構(gòu)造SOAP請(qǐng)求；服務(wù)提供方接收并解析SOAP請(qǐng)求；服務(wù)提供方構(gòu)造SOAP響應(yīng)；服務(wù)請(qǐng)求方接收并解析SOAP響應(yīng)。

（1）SOAP消息請(qǐng)求

在SOAP請(qǐng)求消息中，＜RequestMessage＞元素中的encryptFlag屬性表示加密標(biāo)志，數(shù)據(jù)類型為boolean，true與false分別對(duì)應(yīng)密文與明文兩種類型。＜InstructionInfo＞元素包含SAML令牌，＜InstructionInfo＞元素中的內(nèi)容為加密的對(duì)象。＜saml：AttributeStatement＞元素中的內(nèi)容為發(fā)出的access token請(qǐng)求，在＜saml：Attribute＞元素中指定參數(shù)名稱與參數(shù)類型。

（2）SOAP消息響應(yīng)

在SOAP響應(yīng)消息中，通過(guò)SOAP Header部分的＜headerResult＞元素的子元素＜eResult＞元素返回執(zhí)行的結(jié)果狀態(tài)。通過(guò)SOAP Body部分的＜ResponseMessage＞元素的encryptFlag屬性表示加密標(biāo)志，true與false分別對(duì)應(yīng)密文與明文兩種類型。＜ResultInfo＞元素包含返回的SAML令牌，＜ResultInfo＞元素中的內(nèi)容為加密的對(duì)象。＜saml：AttributeStatement＞元素的子元素＜saml：AttributeValue＞表示傳回的數(shù)據(jù)，＜o(jì)auth：OAuth＞表示與OAuth相關(guān)的數(shù)據(jù)，如＜o(jì)auth：access＿token＞表示access token。

3.2 終端管理

對(duì)各個(gè)終端的登錄信息進(jìn)行協(xié)調(diào)管理的問(wèn)題，可以通過(guò)為各種終端尋找一種唯一標(biāo)識(shí)并對(duì)其進(jìn)行綁定管理來(lái)協(xié)調(diào)管理各終端的登錄信息。

對(duì)于B／S架構(gòu)的業(yè)務(wù)系統(tǒng)，由于智能手機(jī)、平板電腦的瀏覽器均支持Cookie，本系統(tǒng)采用Cookie保存用戶登錄信息，完成單點(diǎn)登錄功能。對(duì)于C／S架構(gòu)的業(yè)務(wù)系統(tǒng)，將采用UUID為客戶端設(shè)置一個(gè)唯一標(biāo)識(shí)作為會(huì)話SessionID附加在請(qǐng)求的URL中發(fā)送給服務(wù)器。對(duì)于跨終端單點(diǎn)登錄的協(xié)同管理方面，本系統(tǒng)通過(guò)為各終端分配一種唯一標(biāo)識(shí)并對(duì)其綁定來(lái)解決，設(shè)計(jì)的終端唯一標(biāo)識(shí)碼見(jiàn)表1。

表1 終端唯一標(biāo)識(shí)

（1）對(duì)于智能手機(jī)、平板電腦上B／S架構(gòu)的業(yè)務(wù)系統(tǒng)，將永久的cookie作為唯一標(biāo)識(shí)。

（2）對(duì)于平板上C／S架構(gòu)的業(yè)務(wù)系統(tǒng)，由服務(wù)器為客戶端生成一個(gè)隨機(jī)的UUID作為終端唯一標(biāo)識(shí)碼。

（3）對(duì)于手機(jī)上C／S架構(gòu)的業(yè)務(wù)系統(tǒng)，由于手機(jī)的IMEI是全球唯一的，故把手機(jī)的IMEI碼作為終端唯一標(biāo)識(shí)碼。

用戶在每個(gè)終端上第一次登錄的時(shí)候都需要跟該終端進(jìn)行綁定，并將信息存儲(chǔ)在表2所示的數(shù)據(jù)庫(kù)表中。

表2 終端管理

4 系統(tǒng)測(cè)試與性能分析

4.1 系統(tǒng)測(cè)試

系統(tǒng)采用一臺(tái)IBM System x3850X5機(jī)架式服務(wù)器作為主要的統(tǒng)一身份認(rèn)證系統(tǒng)運(yùn)行平臺(tái)，統(tǒng)一身份認(rèn)證平臺(tái)的軟件配置環(huán)境見(jiàn)表3。

表3 統(tǒng)一身份認(rèn)證平臺(tái)的軟件配置環(huán)境

在Android平臺(tái)、J2ME平臺(tái)和IOS平臺(tái)下，使用LoaderRunner9.5進(jìn)行壓力測(cè)試，測(cè)試內(nèi)容為：通過(guò)模擬50個(gè)用戶對(duì)系統(tǒng)進(jìn)行30分鐘的壓力測(cè)試，測(cè)試表明：用戶在IOS平臺(tái)的手機(jī)上登錄后，可訪問(wèn)平臺(tái)上的所有業(yè)務(wù)系統(tǒng)，而不需重新登錄。同時(shí)，用戶在Android平臺(tái)的平板電腦和手機(jī)上綁定后，也可訪問(wèn)統(tǒng)一身份認(rèn)證平臺(tái)上的所有業(yè)務(wù)系統(tǒng)，而不需重新登錄。

4.2 性能分析

通過(guò)建立基于SOA的跨終端統(tǒng)一身份認(rèn)證系統(tǒng)，所有參與集成的應(yīng)用系統(tǒng)均通過(guò)統(tǒng)一身份認(rèn)證平臺(tái)進(jìn)行身份認(rèn)證。與原有的分散的認(rèn)證方式以及傳統(tǒng)的單點(diǎn)登錄方式相比，系統(tǒng)效率與性能均有很大的提高，詳述如下：①實(shí)現(xiàn)了異構(gòu)系統(tǒng)的集成，使原有應(yīng)用系統(tǒng)可重用，提高了資源利用率；②簡(jiǎn)化了管理員對(duì)用戶賬號(hào)管理的復(fù)雜度，管理員只需監(jiān)控和管理統(tǒng)一認(rèn)證中心的用戶賬號(hào)即可；③集中式管理用戶信息減少了信息冗余與信息孤島，提高了信息共享度；④減少了用戶登錄操作時(shí)間。

測(cè)試結(jié)果為50個(gè)用戶在3個(gè)終端上使用3種登錄系統(tǒng)進(jìn)行登錄的結(jié)果。三類登錄系統(tǒng)在3個(gè)終端上隨著應(yīng)用系統(tǒng)的增加所需的平均響應(yīng)時(shí)間的情況如圖4所示，其中縱坐標(biāo)的單位為秒，表示平均響應(yīng)時(shí)間，橫坐標(biāo)的單位為秒，表示應(yīng)用系統(tǒng)的個(gè)數(shù)。

圖4 三類系統(tǒng)在3個(gè)終端上的平均響應(yīng)時(shí)間隨應(yīng)用增加的變化

圖4表明，當(dāng)終端與應(yīng)用系統(tǒng)非常多的情況下，使用跨終端的單點(diǎn)登錄系統(tǒng)可迅速降低響應(yīng)時(shí)間，用戶可利用免登錄的時(shí)間處理自己的工作，提高了工作效率。

5 結(jié)束語(yǔ)

文章采用SAML協(xié)議與OAuth2.0協(xié)議以及Web服務(wù)技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了一種基于SOA架構(gòu)的跨終端統(tǒng)一身份認(rèn)證系統(tǒng)。解決了異構(gòu)系統(tǒng)間互操作性差的問(wèn)題，將操作系統(tǒng)平臺(tái)、編程語(yǔ)言、數(shù)據(jù)庫(kù)等方面異構(gòu)的應(yīng)用系統(tǒng)進(jìn)行無(wú)縫集成，提高了認(rèn)證的效率與資源利用率，并給系統(tǒng)帶來(lái)了靈活性。對(duì)促進(jìn)多終端業(yè)務(wù)的發(fā)展，提高信息系統(tǒng)的工作效率，減少信息在網(wǎng)絡(luò)上傳輸被盜取的風(fēng)險(xiǎn)，保證用戶信息唯一性和管理的便利性等方面起到了重要作用。

［1］DENG Yun，CHENG Xiaohui.System design of mobile cross－domain single sign－on ［J］.Computer Engineering and Design，2010，31 （8）：1667－1672 （in Chinese）. ［鄧昀，程小輝.移動(dòng)跨域單點(diǎn)登錄系統(tǒng)設(shè)計(jì) ［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2010，31 （8）：1667－1672.］

［2］LI Fulin，XU Kaiyong，LI Lixin.Design and implementation of uniform identity authentication system based on enterprise service bus ［J］.Journal of Computer Applications，2012，32（1）：52－55 （in Chinese）. ［李福林，徐開(kāi)勇，李立新.基于ESB的統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) ［J］.計(jì)算機(jī)應(yīng)用.2012，32 （1）：52－55.］

［3］YUE Xiaojun.Research and implementation of management platform for unified authentication based on cloud ［D］.Chengdu：University of Electronic Science and Technology of China，2011（in Chinese）.［岳小均.基于云計(jì)算的統(tǒng)一身份認(rèn)證與管理平臺(tái)研究與實(shí)現(xiàn) ［D］.成都：電子科技大學(xué)，2011.］

［4］GAO Haojiang，XIAO Tianyuan.Improvement on SAML－based single sign－on model ［J］.Computer Engineering and Design，2011，32 （3）：827－833 （in Chinese）. ［高昊江，肖田園.基于SAML改進(jìn)的單點(diǎn)登錄模型研究 ［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2011，32 （3）：827－833.］

［5］XU Zhenya.Research and implementation of unified authentication system based on SOA ［D］.Shanghai：Software College of Shanghai Jiao Tong University，2006 （in Chinese）. ［徐振亞.一種基于SOA架構(gòu)的統(tǒng)一身份認(rèn)證系統(tǒng)的研究及實(shí)現(xiàn)［D］.上海：上海交通大學(xué)軟件學(xué)院，2006.］

［6］IBM.Combining service－oriented architecture and event－driven architecture using an enterprise service bus ［EB／OL］. ［2011－08－10］. http：／／www.ibm.com／developerworks／library／wssoa－edaesb／index.html.

［7］LI Shunzhong.A unified authentication platform supporting multiple authentication modes based on SOA ［D］.Zhengzhou：The PLA Information Engineering University，2011 （in Chinese）.［李順忠.基于SOA架構(gòu)的多認(rèn)證方式統(tǒng)一認(rèn)證平臺(tái)［D］.鄭州：解放軍信息工程大學(xué)，2011.］

［8］DIAO Renhong，CHEN Yun，ZHENG Fenghua.Design of SAML－based web services single sign－on security model ［J］.Microcomputer Information，2009，7 （3）：75－77 （in Chinese）.［刁仁宏，陳運(yùn)，鄭豐華.基于SAML的WEB單點(diǎn)登錄系統(tǒng)安全模型設(shè)計(jì) ［J］.微計(jì)算機(jī)信息，2009，7 （3）：75－77.］

［9］Chan Yuenyan.Weakest link attack on single sign－on and its case in SAML V2.0web SSO ［G］.LNCS 3982：Computational Science and Its Applications，2006：507－516.

［10］YU Xingjie，GAO Neng，JIANG Weiyu.Research on the authentication in cloud computing ［J］.Netinfo Security，2012 （8）：71－74 （in Chinese）.［余幸杰，高能，江偉玉.云計(jì)算中的身份認(rèn)證技術(shù)研究 ［J］.信息網(wǎng)絡(luò)安全，2012 （8）：71－74.］

［11］Ping identity announces free SAML SSO for SaaS comanies［R］.Business Wire（English），2012.

［12］The OAuth 2.0authorization protocol（rfc6749）［EB／OL］.http：／／tools.ietf.org／html／rfc6749，2012.