沙特国王大学学报面向服务计算Mohamed Ibrahim Beer Mohameda, Mohd Fadzil Hassanb,Sohail Safdarc,Muhammad Qaiser Saleemda马来西亚Perak Darul Ridzuan,Seri Iskandar 32610,马来西亚石油技术大学计算机信息科学系b马来西亚PerakDarulRidzuan,SeriIskandar32610,UniversitiTeknologiPETRONAS,Center for Research in Data Science(CeRDas)。c巴林麦纳麦阿利亚大学信息技术学院信息技术系d沙特阿拉伯巴哈大学计算机科学和信息技术学院阿提奇莱因福奥文章历史记录:收到2018年2019年2月6日修订2019年3月4日接受在线发售2019年关键词:联合身份单点登录安全SOAEAI信任A B S T R A C T随着Internet及其相关技术的飞速发展,面向服务的体系结构(SOA)成为企业计算的主导范式转变。在SOA中,业务功能由许多不同的服务提供者作为服务提供。为了得到不同服务提供者的服务,客户端必须多次与这些服务提供者进行身份验证。单点登录(SSO)机制允许客户端仅登录一次,从而可以访问不同的服务,而无需重新验证。在这里,登录的客户端的身份在企业计算节点之间被联合。这是联邦身份的最简单形式之一。身份联合的目标是提高身份验证过程的易用性、灵活性、生产率和降低成本联合身份管理面临的主要威胁是身份滥用、身份盗窃以及身份提供者与服务提供者之间的信任缺失。到目前为止,安全断言标记语言(SAML),开放授权(OAuth)和OpenID是行业中三个重要的联合身份管理标准。然而,它们中没有一个能够单独为身份联合提供全面的安全保护,即使在单个企业计算环境中也是如此。事实上,这些联合解决方案由于其身份联合的开放性而导致额外的安全漏洞。当联邦身份跨越到组织间和组织内的计算环境时,安全威胁变得越来越严重。本文分析了现有联合身份解决方案中的漏洞和安全漏洞。为了克服这些差距,一个自适应的安全体系结构模型,提出了在组织间和组织内的身份联合使用公钥基础设施,坚持SOA的安全标准和规范。在一个大规模的联合身份企业计算环境中,以安全为中心的财务数据,以获得所需的结果实现和测试所提出的架构一个横截面之间的比较分析,现有的和建议的解决方案,以验证身份联合环境的保护的改善。©2019作者制作和主办:Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。*通讯作者:B-06-3A千禧广场,Jalan 14/1,Seksyen 14,46100八打灵再也,马来西亚.电 子 邮 件 地 址 :bmdibrahim@gmail.com ( M.I. 比 尔 · 穆 罕 默 德 ) , mfadzil_has-san@utp.edu.my ( M.F.Hassan ) , ssafdar@ahlia.edu.bh ( S.Safdar ) ,muhammad.qaiser. saleem@gmail.com(M.Q. Saleem)。沙特国王大学负责同行审查制作和主办:Elsevier1. 介绍在企业计算环境中,身份联邦是一种安全模型,它支持用户使用单个注册登录证书集登录到不同的互连系统,而不管基础设施和实现技术如何。因此,联合身份管理(Federated Identity Management,缩写为FAA)简化了用户的认证过程,用户可以通过一次签名访问整个企业的所有特权应用服务和硬件系统。单点登录(SSO)是企业级的SSL实现之一,这是https://doi.org/10.1016/j.jksuci.2019.03.0041319-1578/©2019作者。制作和主办:Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.comM.I. Beer Mohamed等人/沙特国王大学学报581安全域。单点登录是访问同一企业内使用的不同服务的有效方法。然而,联合身份管理系统利用SSO,旨在提供跨不同企业的多个系统SSO可以使用多种单一认证凭证方法来实现,例如用户ID/密码、智能卡、一次性密码(OTP)和生物特征设备标识。一般来说,所有这些身份验证方法分为两类:基于密码的同步和基于票证的访问。基于密码的同步使用应用于访问多个系统的单个密码。在大多数企业中,这不是优选的选择,因为如果攻击者在访问任何一个系统时成功获得密码,则它导致在具有相同认证凭证的基础SSO区域中的任何其他系统的可访问性作为一种改进的方法,集中式密码数据库持久保存多个系统的用户密码,并向可以登录SSO区域内的任何系统的用户提供主密码,其中SSO模块在数据库中查找底层系统登 录 所 需 的 密码 。 即 使 这 种 方 法 也 不 能 防 止窃 听 和 重 放 攻 击(Saadeh等人,2016; Ling等人,2017年)。与基于密码的同步方法相比,基于令牌的SSO方法更安全,因为这些令牌将仅在预定义的时间间隔内存在但是,它需要底层服务器和代理之间的时钟同步,这是一个额外的开销。现代企业应用集成(EAI)解决方案定位在云计算的车轮上,在那里它为企业用户提供资源池、广泛的网络访问、测量服务、水平/垂直可扩展性和按需服务。因此,成本和有效使用是云计算的核心特征,但信任和安全是最重要的联邦身份解决方案还面临认证和授权过程中的挑战,包括用户身份的滥用/盗窃、窃听会话令牌和登录用户的可信度身份盗窃是安全漏洞期间的主要问题之一,因为在实际伤害发生之前很难检测到它(Mainka和Mladenov,2016)。此外,我们不能假设这种盗窃只会发生在不安全的通道上。如果由于密集使用分布式计算机网络、蜂窝网络、对等网络、虚拟连接和万维网连接而在基于联合身份的多服务器环境中发生任何身份攻击,组织必须通过本地法律合规性和安全声明来确保隐私。面向服务的体系结构(SOA)在当前的企业应用集成(EAI)时代占据了主导地位。在SOA中,业务功能被分解为小的软件模块,称为服务。每个服务都被视为一个独立的组件,不依赖于上下文其他服务。这些服务由组织内的不同服务提供商托管。这些服务也可以根据服务的要求和需求跨越到组织间环境。在这种企业应用程序集成中,每个服务提供者都希望用户(客户端应用程序)验证自己,以获得对基于特权授权的服务的访问。实际上,每当客户端想要访问他们的服务时,登录每个服务提供商并不是一个可行的解决方案。在这里,联邦身份管理变得很方便,并解决了多重登录问题,但也给SOA带来了额外的基于身份的漏洞。此外,SOA本身并不具备足够的安全解决方案,其安全性完全依赖于网络/传输层安全声明(Masood,2015; Yarygina,2018),因为SOA使用基本的传输层协议,如HTTP/HTTPS和纯数据交换-mats,如XML/JSON,以实现平台和机器架构独立性。因此,SOA上的联邦身份安全解决方案的设计应该彻底审查,同时不应该违反SOA规范的标准。本文分析了第2中讨论的现有联合身份管理解决方案的安全漏洞。提出了一个该模型具有足够的安全性,适用于单个和跨组织的基于云的企业计算环境。第3说明了所提议架构的方法和功能。第4讨论了建议的解决方案的实现和验证分析第5节和第6节最后讨论了今后的工作。2. 背景和动机云计算是网格计算的一种演变,它是为企业开发和提供基于Internet的业务服务的一种有影响力的范例在这个企业计算的现代时代,一切都变成了服务,最终用户必须与许多服务提供商进行通信,以实现所需的业务交易。考虑到银行业务,在同一银行内有不同的服务提供商用于各种业务,例如核心银行业务、交易银行业务、零售银行业务、卡业务、现金管理、贷款管理、转账、支付、常规指令和客户服务,但是一旦用户成功登录到电子银行应用程序一次,所有这些服务都可供用户使用。此外,银行客户可浏览其他专门服务,例如银行同业账户管理、中央银行信贷评分及国际资金转账,该等服务由其他第三方服务供应商提供,但可供登录用户使用,而无需要求单独登录。这种灵活性和易用性的特点是可能的,因为联合身份机制。以下小节概述了身份联合原则,并参考了单点登录功能,简要介绍了现有的身份验证解决方案、现有身份联合中的安全漏洞以及在现有文献综述中进行研究的动机。2.1. 单点登录:身份访问管理SSO是一种身份验证机制,它在组织中的可信计算实体(信任回路(CoT))内启用联合身份,使用户能够一次登录并在同一会话中访问来自各种服务提供商的特权服务。在联邦身份市场上可用的身份验证和授权协议中,只有三种协议受到好评并具有竞争力:SAML、OAuth和OpenID。所有这三种协议在提供身份验证/授权和解决交换特权数据的安全问题方面有所不同基于cookie的令牌SSO访问管理流程在图2A和2B中描绘。1和2分别用于用户对服务提供商(SP)的首次访问和对CoT内的相同SP/其他SP的连续访问。当用户第一次尝试访问任何服务提供商时,或者由于注销、会话到期或超时而导致先前登录到期后登录过程成功后,IdP将向任何访问的服务提供商(SP)提供令牌(证书),SP将验证582M.I. Beer Mohamed等人/沙特国王大学学报由以下身份验证机制以及令牌生成处理。a. 全权证书的验证i. 针对内部数据库表或集中式数据库表的ii. 针对组织的目录服务提供商(如Active Directory)进行LDAP身份验证iii. 使用外部SSO系统进行b. 代币验证i. 从合作伙伴站点SSOii. 带Token参数的iii. 检查时钟同步和令牌有效期Fig. 1.基于Cookie的SSO流:用户首次访问。图二.基于Cookie的SSO流:用户的连续访问。令牌并提供对特定用户的访问。在这种情况下,用户只需要登录一次就可以访问多个服务提供商的服务。2.1.1. SAML安全断言标记语言(SAML)(SAML,2018)是一种广泛接受的单点登录断言标准,用于在IdP和SP之间交换身份验证和授权数据。在基于令牌的SSO中,IdP和SP之间的信任是重要的,其中所有底层SP同意信任连接的IdP来认证用户。在IdP上,SSO断言2.1.2. OAuthOAuth(OAuth,2018)是一种开放授权协议,提供安全的委托授权服务。它支持应用程序在不泄露用户密码的情况下获得对其他应用程序的有限访问。该协议不处理身份验证,它只是连接到身份验证服务器以获取所访问服务的令牌。在OAuth术语中,服务提供者被称为资源服务器,身份提供者被称为授权服务器,用户被称为资源所有者。让1. 用户成功登录LinkedIn并选择将其所有Gmail联系人导入LinkedIn的选项。2. 然后用户被重定向到Gmail页面并要求登录。3. 用户使用Gmail凭据登录Gmail后,它会提示用户是否愿意授予LinkedIn资源服务器读取他/她的联系人数据。4. 如果用户同意授予权限,则Gmail将向LinkedIn提供一次性访问用户联系人的授权令牌。然后,LinkedIn将导入Gmail联系人。在这里,OAuth查看上面给出的示例,用户没有向LinkedIn提供Gmail登录凭据,而是一次性委托访问。否则,LinkedIn可以使用提供的登录凭据访问Gmail的所有服务,包括私人电子邮件在OAuth技术流程中,一旦资源所有者通过重定向的URI成功登录,客户端应用程序将从授权服务器接收两个令牌,即访问令牌和刷新令牌。然后,客户端将访问令牌传递给资源服务器以访问受保护的资源。 出于安全原因,例如为了避免令牌被盗,访问令牌是短暂的。客户端将使用刷新令牌从授权服务器获取新的访问令牌,在以前的访问令牌到期时,无需重新登录。刷新令牌也有到期时间,但寿命很长。2.1.3. OpenIDOpenID(OpenID,2018)可以被认为是OAuth之上首先,用户必须在任何OpenID身份提供商处拥有OpenID然后,此IdP上的登录用户可以直接访问接受OpenID身份验证的资源服务器(也称为依赖方)上的特权服务。OpenID将底层用户重定向到IdP(又名OpenID提供商)进行身份验证,同时访问依赖方的服务,如果用户通过登录凭据或活动SSO会话成功进行身份验证,则IdP将重定向回该服务并进行授权。OpenID是关于用户是谁,OAuth是关于他们被允许做什么M.I. Beer Mohamed等人/沙特国王大学学报5832.2. 现有网络有效的访问控制机制是联邦身份管理系统成功实现的关键,它满足了以下三个重要的信息安全需求:a. 保密性:保证信息(服务)的安全和保密。b. 可用性:信息将在需要时可用c. 完整性:保持信息准确和一致。不幸的是,使用现有技术(如SAML、OAuth和OpenID)的身份验证实现在为联合身份解决方案提供全面的安全性方面仍然受到限制现有的解决方案在安全性和体系结构方面具有某些缺点(Malik等人,2015年; Chen和Liu,2015年),例如(i)引入可被攻击者利用的额外漏洞,(ii)面临SP和IdP之间的时间同步问题,(iii)经历更高的基础设施成本,(iv)经历更低的效率和网络延迟,以及(v)没有足够的控制来保护用户的匿名性。因此,在这个企业应用集成的时代,为访问分布式网络上的服务设计一个全面而有效的联合身份 解决 方案 是困 难和具 有挑 战性 的( Ouaddah 等人 , 2017;Sharma等人, 2016年)。以下是在为企业计算环境提供联合身份解决方案时遇到的主要实现挑战依赖于IdP假设这些服务提供商中的一些希望具有IdP中不支持的强身份验证,例如智能卡和生物计量密码验证,则这种集中式IdP功能实际上变得不可行。时钟同步开销:为了防止重放攻击,通常在SSO通信中应用时间戳。对于这种基于时间戳的SSO机制,服务器和客户端之间的时钟同步是强制性的。实际上,这是一个开销过程,需要始终保持参与的服务器和客户端的时钟同步。一个好的联邦身份系统不应该要求时钟同步,但仍然可以防止重放攻击。单点故障:如果SSO提供程序关闭,那么所有底层用户将无法进行身份验证,因此他们无法从任何服务中受益,从而导致单点故障。身份盗窃和平台可信度:如果IdP被黑客攻击或破坏,那么黑客可以作为合法用户访问服务提供商的服务。身份盗窃和身份滥用是联合身份环境中值得注意的问题。OpenID的安全漏洞:OpenID标准使用对称密钥加密和HTTPS会话进行安全交易。毫无疑问,对称加密比非对称加密更容易受到攻击,HTTPS完全不足以在最新的Web技术(如Web 2.0和Web 3.0)上进行安全对话。一个成功的中间人攻击可以揭示这种方法的身份。 即使OpenID提供者(OP)的认证有效性过期,资源提供者(RP)提供的认证状态仍然有效。这是危险的,如果攻击者捕获了客户端上的有效会话,正在使用RP访问并尝试使用RP上的服务,因为连接仍然有效。以下是企业用户现在使用现有联合身份系统遇到的潜在安全漏洞和攻击(OWASP,2017; Islam等人,2016年; Simpson和Groovy,2016年; Almorsy等人, 2016; Mahmoud等人, 2015年)。重放攻击:许多资源提供者不检查嵌入到RP请求中的nonce值,以抵抗请求的重放。即使RP在验证nonce值时被丰富,入侵者也会通过在服务器端发起重放攻击而成功。网络钓鱼攻击:受损的RP重定向到网络钓鱼IdP页面,攻击者在其中捕获用户凭据。入侵者操纵通信信道作为合法的IdP,并引诱联邦身份。假冒攻击:黑客通过嗅探网络数据包并获取服务提供商的详细信息来访问服务提供商在基于SAML的单点登录实现中,XML签名包装会导致模拟任何用户。拒绝服务(DoS)/分布式拒绝服务/拒绝攻击:攻击者通过大量错误的身份验证/授权请求对IdP施加压力,试图停止IdP服务或使服务延迟以扰乱其服务水平协议(SLA)。当恶意用户否认他/她执行的中断操作的操作的责任时,就会发生拒绝攻击,但是没有适当的审计就无法证明这种操作。数据篡改攻击:未经授权的修改身份信息持久存在于IdP数据库中,使用由于完整性不足而产生的任何漏洞。网络丢包攻击:并不总是确保身份数据通过安全通道传输以进行联邦身份管理,其中数据分组通过安全的组织和不安全的公共网络环境传输。通过这种网络窃听,攻击者通过拦截目标网络通信上的数据包来捕获身份信息身份伪造/欺骗/克隆攻击:模仿合法身份,以使服务提供商提供的服务受益。提升攻击:具有有限权限的单点登录用户通过冒充高权限用户非法增加其访问权限,以访问未授权的服务。引诱攻击:它是特权提升攻击的一种特殊形式,通过冒充更高权限的用户获得更高权限的用户在更高权限的安全上下文中不知不觉地执行攻击者的代码片段。暴力/字典攻击:在暴力攻击中,攻击者试图使用用户ID和密码的每一种可能的组合来检索IdP处的持久化身份信息。字典攻击是一种使用可能匹配的预编译选项列表的暴力攻击过程。即使这种攻击可以通过设置最大登录尝试次数来限制,攻击者的目的是简单地锁定合法用户,至少不会得到服务。旁路攻击:在联合身份管理中,IdP是维护有关用户凭据和令牌信息的机密信息的核心单元。如果该单元不遵守适当的访问控制和安全机制,入侵者将试图利用安全漏洞窃取机密信息。●●●●●●●●●●●●●●●●584M.I. Beer Mohamed等人/沙特国王大学学报表1将安全缺陷与预期解决方案的特征进行映射预期解决方案的特点时间同步会话攻击;克隆攻击时钟同步开销垂直/水平可扩展性;高可用性和回退基础设施开销边通道攻击; DoS/拒绝攻击单点故障高可用性,back;经济高效的解决方案网络延迟;网络丢包攻击;数据篡改攻击;单点故障减少重新认证;网络基础设施合规性控制不足;引诱攻击;窥探攻击;中间人攻击;伪造/欺骗攻击;假冒攻击;身份伪造/欺骗攻击其他漏洞重放攻击网络钓鱼攻击暴力/字典攻击依赖于IdP的认证机制;身份盗用和平台可信度身份盗窃和平台可信度; OpenID现代和传统安全标准强大的加密协议;全面的解决方案窥探攻击:它是一个专门版本的网络窃听,使用更复杂的截取技术,从非法收集的敏感安全和基础设施数据中提取所需的信息,如网络拓扑结构,服务字典,应用的安全算法和服务器位置。中间人攻击:SSO实现容易受到中间人攻击,因为身份令牌要通过多个网络。所有这些网络不可能在任何时候都是安全的,因为身份可能会联合到通过公共通信渠道连接的跨组织环境中会话攻击:由于在馈送身份环境中可能存在许多活动会话,因此劫持一个活动会话对于可以访问分散在多个服务提供商之间的所有授权服务的攻击者来说是足够的。联合身份管理中可能发生的一些会话相关攻击包括会话交换、跨站点请求伪造(CSRF)和跨站点脚本(XSS)。一个理想的联合身份管理系统应具备以下特点,以弥补前面提到的安全漏洞。a. 允许企业计算系统的水平和垂直可伸缩性。新的硬件和软件应用程序可以很容易地安装和配置SSO。b. 具有回退机制的SSO功能的高可用性。c. SSO实施不应违反任何行业定义的安全标准。SSO应该同时满足现代和传统企业系统的身份验证需求。d. 在DNS中用户重新身份验证的最小次数。对具有不同IdP的多个服务提供商的连续尝试不应提示重新登录。e. IdP应使用强加密协议来保存凭据。f. IdP应该强制执行强身份验证,但同时支持所有类型的网络基础设施。g. 将全面的SSO功能扩展到远程用户,甚至通过VPN。h. 单点登录解决方案应该是一个具有成本效益的解决方案,而不应该是一个耗时的过程。列出了现有联邦身份识别解决方案中存在的安全漏洞及其实施挑战,以及如何在表1列出了预期的综合安全体系结构模型。3. 拟议的安全体系结构模型针对SOA环境下身份联盟系统存在的安全漏洞,提出了一种自适应的安全体系结构,为身份联盟提供全面的安全保障。为了达到预期的安全目标,设计了一种该安全体系结构以公钥基础设施(PKI)为基础,利用安全访问控制、相互认证和安全空中更新(OTA)等安全技术,实现了对网络安全的有效支持由于PKI是一套完善的规则和策略,因此所提出的解决方案符合基于PKI的安全标准和规范此外,它不需要任何专门的硬件和软件,除了用于消息解释的以下小节详细描述了在企业计算环境中实现建议的安全体系结构的核心组件和底层安全模型。3.1. 智能安全引擎:提出安全的核心部分提出的安全算法封装在一个名为“智能安全引擎(ISE)”的软件模块ISE作为SOA网络的中心节点的典型放置如图3所示,但是ISE可以根据需要放置在任何计算节点上,其功能保持不变。通过在SOA网络中引入ISE,联合身份将由ISE强制执行安全性来管理如果分离,联邦身份将仍然以通常的方式运行在这两种情况下,身份联合服务都不会中断,并且不属于ISE监视安全的计算元素将继续作为默认服务。ISE的智能部分通过人工神经网络(ANN)的监督知识获取过程来丰富,用于检测安全和不安全通信通道中SOA联邦身份的安全威胁ISE在消息检查/过滤方面遵循拦截设计模式,●●●M.I. Beer Mohamed等人/沙特国王大学学报585图3.第三章。ISE被放置为SOA网络中的中心节点基于基于规则的引擎(RBE)进行欺诈检测/预防。用于保护SOA的ISE与ANN监督学习的完整设计作为同一作者的论文(Ibrahim和Hassan,2016)提供,其中安全解决方案作为物联网(IoT)的自适应前进方式提供,包括循环方式的三个阶段:(i)预测:通过使用开发的理论安全模型预测SOA环境中的潜在威胁,(ii)预防:使用构建的安全算法防御安全威胁,以及(iii)学习:使用神经网络识别威胁知识数据库,如图所示。 四、在本文中,我们限制自己提出一个安全解决方案,以防止安全攻击的网络,属于我们原来的由于所提出的解决方案中的安全组件是使用面向方面编程而不是传统的面向对象编程(OOP)进行编程的,因此它将安全实现从服务的底层业务逻辑中分离出来。因此,安全性被视为一个可插拔组件,可以在服务实现上进行无代码更改或极少量代码更改的情况下进行附加/分离(Kumar,2016; Jain和Gopalani,2016)。OOP主要关注代码模块化的可重用性,而AOP则通过封装横切关注点来关注应用程序模块化。在企业应用程序集成代码中,与安全相关的横切关注点分散在应用程序逻辑中,如访问控制、事务管理、输入/输出验证和消息解释。在AOP术语中,"与该程序的任何特定部分无关,但提供诸如应用安全性之类的交叉需求的程序。 “连接点”是应用程序执行的控制流中的一个点,例如方法调用和字段访问,“切入点”是指一个或多个连接点,其中应该执行相关的有了这个,我们实现了建议的安全算法作为一个安全方面的建议,将应用于消息拦截切入点。3.2. 拟议的安全模式为了简化说明和便于理解,本节将使用三个隔离的组来解释所开发的用于保护联邦身份管理免受其潜在安全威胁的安全算法。3.2.1. 带单IdP的它是一个简单的企业应用程序集成环境,所有的服务提供者都信任一个集中的单一身份提供者。所提出的解决方案实施双因素认证(2FA)访问服务。这种2FA的优点是不仅加强了服务的安全访问,而且避免了在用户会话无效时使用IdP在该架构模型中,身份联邦上的所有用户交互都由安全组件ISE处理,但安全组件的现有功能保持不变,例如IdP和SP之间的信任(信任电路)。图中概述了所提出的具有单个IdP联合身份管理的架构模型。五、使用ISE for EAI的安全身份联合的工作原理如下。1. 当客户端(用户)想要访问某个服务提供商提供的服务时,它会请求ISE连接到特定SP。2. ISE验证客户a. 如果不是,则提示用户使用ISE进行身份验证(单因素身份验证)。b. 如果是,则继续下一步。3. ISE在其身份验证查找表中查看客户端是否与IdP进行了有效会话。图四、自适应安全架构的核心部分图五. 具有单一IdP环境的ISE。586M.I. Beer Mohamed等人/沙特国王大学学报a. 如果在查找表中未找到条目或相应的刷新令牌已过期,则将客户端重定向到IdP的身份验证页面进行登录(双因素身份验证-2FA)。客户端成功通过IdP身份验证后,在身份验证查找表中创建一个条目b. 如果在查找表中找到条目并且对应的刷新令牌仍然有效,则检查其访问令牌是否仍然有效或过期。如果访问令牌已过期,则使用刷新令牌从IdP获取新的访问令牌,并在查找表中进行更新。交叉引用:数据库中的身份验证查询表有以下字段.在组织间一级发生作用。建议的架构构造,不仅要加强安全性,但也丰富了与IdP链接服务,使身份联合会发生自动的身份认证环境与多个IdP,通过重新认证。通过此新功能,与一个IdP具有信任关系的代理可以访问与其他IdP具有信任关系的针对这种类型的路由器提出的安全体系结构遵循与针对具有单个IdP的路由器提出的安全原则相同的安全原则,但增加了IdP链接功能,如下所示。1.客户端(用户)通过提供SP ID请求ISE连接到SP上的服务。二、 ISE对客户端进行身份验证(1FA)。客户端ID IdP LOA访问令牌刷新令牌保证级别(LOA)表示底层客户端访问SP中的服务的授权级别。遵循国家标准与技术研究所(NIST)推荐的多达四个LOA水平(Burr等人,2004年),其中1级最弱,4级最强。例如,客户端对级别1的服务只有读权限,而对级别3的服务可以进行读写。访问令牌和刷新令牌都是由IdP在2FA期间生成的,其中客户端可以将访问令牌与SP一起用于访问服务,并且刷新令牌可以用于从IdP获得新的访问令牌,因为在CDN环境中,访问令牌是短暂的,而刷新令牌是长期的。4. ISE使用定义的哈希算法对访问令牌进行加密,并将生成的哈希字符串作为事务令牌与客户端请求一起传递给其自己的事务代理会话代理。事务令牌包含用于访问服务(如LOA)的附加信息。5. 会话Broker代理在ISE(用于响应客户端)和服务提供商(用于消费服务)之间充当中介。代理将客户端的请求与交易令牌和ISE的数字证书一起发布在主题(消息传递服务)上。附加ISE的数字证书是为了向服务提供商提供一种信任,即请求来自有效来源。6. 由于所有SP都订阅了代理7. 如果任何一个SP检测到它可以处理此请求,则它会通知ISE代理并接受请求。同时,ISE Agent将创建与特定SP的专用线程(bro-ker)连接,以处理与服务消费有关的通信。8. 底层SP将解析接收到的请求,并根据ISE验证附加的数字签名,以确保请求来自有效来源。如果此检查成功,则它将使用其连接的IdP验证事务令牌。9. 由于IdP还维护为其区域下的SP生成的访问令牌,因此它将使用ISE的服务通过传递其访问令牌来获取哈希值。然后,将该散列值与接收到的交易令牌进行匹配。如果两者都匹配并且令牌有效,则IdP将向SP发送信号以继续为LOA上的请求提供服务。10. SP将根据IdP的有效性提供服务或其他服务在接收到的交易令牌上进行交易。已建立的代理线程将在服务结束时由ISE Agent关闭3.2.2. 具有多个IdP的这是一个复杂的企业计算环境,其中一个SP与多个IdP建立信任在这种情况下,身份反馈-3. ISE通过其代理服务收集给定SP信任的IdP列表4. ISE在其身份验证查找表中查看客户端是否与列出的任何一个IdP进行了有效会话a. 如果在查找表中未找到条目或IdP的所有相应刷新令牌都已过期,则对第一IdP执行2FA,然后使用用户选择的链接服务选项在认证表中插入/更新条目。b. 如果找到条目,则在任何一个匹配条目中查找活动访问令牌,其中刷新令牌仍然有效。如果所有匹配的访问令牌都已过期,则使用有效的刷新令牌从IdP获取新的访问令牌,并在查找表中更新它们交叉引用:数据库查找表中的示例条目如表2所示。在组织间EAI环境中,客户端(用户)可能具有多个IdP的身份验证帐户。用户在不同时间段通过ISE重定向对这些IdP进行的成功身份验证尝试将记录在身份验证查找表中。Linkage Service选项为客户端提供了使用SP提供的服务的灵活性,SP不直接受IdP信任,而基础客户端在其中拥有身份验证帐户。例如,假设客户端现在客户端在这种情况下,ISE会通过ISE代理向SP2发送IdP 1的事务令牌(访问令牌的加密版本),并在请求时启用链接服务选项。然后,SP2请求其可信身份提供者IdP2验证所接收的(IdP1的)交易令牌。这里,IdP2将充当SP,其在验证交易令牌时与IdP1通信,然后将验证结果转发到其代理SP 2。SP 2将基于接收到的有效性信息向“用户2”提供服务。在此示例中,如果5. ISE会将所选访问令牌的加密版本和其他相关参数(如访问令牌的IdP、LOA、链接服务选项和ISE的数字证书)与客户端请求一起附加6. 底层SP提取数字证书进行验证。7. 底层SP验证接收到的请求所附带的数字证书,以确认请求是否来自有效的来源。M.I. Beer Mohamed等人/沙特国王大学学报58722$FT我我$FTIJ我我我IJ我国际货币我我$FTJik $FTJ表2查找表条目示例。客户端IdIDPLoa访问令牌刷新令牌联动服务User1IDP13ABCDEF是的User1IDP23GHIJKL是的User1IdP32MNOPQR没有User2IDP12斯图XYZ是的8. 成功验证ISE的数字签名后a. 如果是,则其使用IdP验证交易令牌。b. 如果否,则检查是否将该请求的“Linkage Service”参数设置为“Yes”。如果Linkage Service被设置为“是”,则它将交易令牌转发到其可信IdP,其被配置并且可以服务于链接服务,以与其发起IdP验证令牌。在这种情况下,SP还向所选IdP发送名为“Linkage Proxying”的附加参数,该参数设置为true。如果链路年龄服务设置为9. IdP解析来自SP的交易令牌验证请求。a. 如果没有发现Linkage Proxying参数或者Linkage Proxing被设置为假,则IdP获取为特定客户端生成的访问令牌(从其维护表中,因为所有IdP都在维护为其客户端生成的令牌)。然后,此IdP使用ISE的服务获取此获取访问令牌的加密值。如果该加密值和事务令牌都匹配,则IdP将向SP发送信号以继续为LOA上的请求提供服务b. 如果Linkage Proxying设置为true,则IdP将trans-action token转发然后,它将接收到的验证结果转发给SP,以便SP在验证成功时向客户端提供服务,否则SP将拒绝服务。10. 已建立的代理线程将在服务结束时由ISE Agent关闭。身份联合可以被认为是一种商业模型,其中一组计算实体将它们自己与可信度绑定在一起。具有单个IdP的身份联合是可扩展的,cally建模(Ferdous等人, 2015)作为idPDT:fsp,其中f2为零,其中,SPik是第i个CoT下的第k个服务提供者,其在默认情况下连接到第j个CoT上的idP时建立受限信任关系。当身份与多个CoT联合时,相同的可传递信任级别继续。3.2.3. IdPs中SP的动态信任ISP在信任回路(Circuit of Trust,CoT)上运行,也就是说,所有SP都被相关的IdP信任,并且客户端具有这些IdP的认证帐户。即使使用前面小节中提出的链接服务,只有当SP的受信任IdP反过来信任客户端进行身份验证的IdP时,联合身份才是可能的考虑这样一个场景:ABC银行的eBanking客户端应用程序希望使用XYZ银行的核心银行应用程序检查其客户的分期付款贷款详细信息,以进行信用评分(XYZ银行的核心银行业务旨在为其他银行客户提供服务,作为中央银行信用评分计划的一部分),其中ABC和XYZ是两个不同的组织,它们不是组织间联合身份环境的一部分,因为任何一家银行都不信任其他银行的IdP。此外,任何一家银行都没有准备好让其他银行的客户在他们的IdP上拥有认证账户。联邦身份解决方案被提出以迎合上述类型的场景,其中所需的不受信任的SP被动态地包括在使用策略断言的CoT中。在我们的信用评分方案中,服务提供商(XYZ银行的核心银行业务应用程序)是ABC银行的不受信任SP,将根据定义的央行银行间政策暂时包括在ABC银行的CoT在图6中描绘了所提出的服务提供者模型的动态信任。用于将不受信任的服务提供者包括到用于身份联合的信任回路中的动态信任模型如下工作。idP IdP(f)和SPi SP(f)。idP是联邦身份管理系统f的身份提供者,其与其服务提供者SP具有直接信任(DT)类型的关系,因此idP与这些服务提供者SP i中的任何一个之间的通信是完全信任(FT)的。为了在组织间级别实现身份联合,所提出的链接服务使一个CoT中的IdP充当SP,以便与不同CoT中的另一IdP通信,如下所述。每个idP与CoTas idPDT:fisp,其中f2为整数,idP2IdP(f)和SP 2SP(f)for i2{1,2,.. . n}。 一个idP与另一个idP在f和f CoT之间的受信任队列中,作为idPDT:ffi;jgidp。trans-iji $FTj两个不同CoT之间的主动信任默认为RESTRICTED-信任(RT)与间接信任(IT)模式。一个idP的CoT内的SP与不同CoT中的另一个idP的信任关系.SPD T:fiidp.idPD T:ffi;jgidpi/2。SPDT:ffi;jgidp图六、用于在CoT中包含不受信任的SP的动态信任模型588M.I. Beer Mohamed等人/沙特国王大学学报1. 客户端(用户)通过提供SP ID请求ISE连接到SPx处的服务,其中SPx不存在于用户联合身份的CoT中2. ISE通过检查其配置确认SPx不在CoT范围内。3. ISE通过WS-Trust启动与SPx的信任协商流程交叉引用:这两个实体之间的可信度是根据定义的策略建立的如果外部实体满足内部实体的策略,则外部方被内部方信任以加入CoT。两个实体之间的对话被多次保持,以便提供和接收策略/认证数据。这些实体之间的信任声明策略根据组织安全策略和立法而变化考虑到我们的信用评分方案,XYZ银行的服务提供商向任何满足其政策的人提供服务,例如,它期望请求者应该是银行代理人,其可信IdP也应该是由中央银行认证的可信IdP。从ISE例如,SP应该是银行的服务提供商,他们应该信任由中央银行认证的IdP。4. 如果信任协商成功,则SPx将加入ISE的VPN区域中匹配IdP否则,客户端的请求将被拒绝,因为与不受信任的SP的信任协商失败。5. 在常规的2FA和刷新令牌/访问令牌过期检查之后,ISE将获取匹配IdP的有效访问令牌(SPx在建立信任关系时接受其策略,如步骤3所示),并将访问令牌的加密版本作为事务令牌传递给ISE代理。6. ISE代理将所需的附加参数(如LOA、IdP Id和ISE的数字签名)以及交易令牌与客户端请求一起附加,7. SPx验证在信任协商期间传送的ISE数字签名,8. SPx与IdP(从请求中提取)通信,以进行交易令牌验证。9. IdP获取ISE的服务以获取其生成的访问令牌的加密值,并与接收到的交易令牌进行匹配。如果两者都匹配,则IdP向SPx发送信号,以向客户端提供服务,否则拒绝服务。10.已建立的代理线程将在服务结束时由ISE Agent关闭。在约定的信任期限到期后,所连接的不受信任SP将自动与CoT分离。建议的安全体系结构的实施和横截面分析其能力与现有的解决方案,需要验证的整体安全性的改善,在物联网。下一节将描述所提出的安全体系结构的实现和验证4. 建议的安全架构验证在一个同时实现RESTful和SOAPWeb服务的实时SOA环境中,使用大
我的内容管理
展开
