随着IT技术和网络技术的蓬勃发展,各种基于网络的应用系统已在当前的商业环境中大量存在。因商业应用业务需要,用户每天可能需要登录到许多不同的应用系统。为保证安全性,通常各系统均要求对用户进行身份验证。但由于各应用系统的自治性,用户在访问不同的应用时,往往要进行频繁的登录操作。如何提供一个能简化用户登录过程并保证整个商业应用环境安全的解决方案,是当今认证系统面临的新挑战。 传统的统一身份认证技术如Kerberos和PKI已经在一定的范围内得到了应用。但是这些技术一方面要求对己有应用系统做出大量的更改,另一方面认证系统本身比较复杂,这些在一定程度上阻碍了它们的普遍应用。而近年来出现的具备完好封装性的、松散耦合的网络服务技术为统一身份认证技术的实现提供了新思路。 本文提出了一个基于XML安全协议的统一身份认证实现框架,并给出该框架的部分实现。该框架是建立在公钥基础设施PKI(Public Key Infrastructure)之上,一方面使用XML密钥管理规范(XML Key Management Specification,XKMS)实现对证书和密钥的有效验证,使得安全性基础设施易于管理;另一方面使用安全性断言标记语言(Security Assertion Markup Language,SAML)使得信任可以移植,为在相互协作的各个不同实体之间传输认证声明提供一种机制,从而实现单点登录功能。另外,利用XML和SOAP完成异构数据库之间的数据交换,实现了用户信息的集中管理。系统的各个层次相对独立,保证了系统的松散耦合。同时,系统易于集成,新的应用系统可以不带自己用户系统,依靠统一认证系统实现对用户的认证和授权,降低了开发难度。随着统一身份认证系统的逐步完善,将在信息安全体系中发挥重要的作用,使网络管理更加简单有效。