应用间信任模型的设计

　　本研究采用的模型主要涉及到服务调用者(Service Invoker)、服务提供者(Service Provider)和上海交通大学统一授权服务(SJTU Entitle)三部分。考虑到上海交通大学统一认证系统(SJTU JAccount)本来已经与服务调用者、服务提供者有着共享的密钥(SiteKey，参见1.2节)，所以统一授权服务将采用统一认证系统系统所持有的站点密钥，从而最大程度地降低对遗留系统的影响和新应用开发的代价。

　　各个系统间的关系如图1所示。本模型的具体机制可以分为三个步骤。

图1 应用间信任模型

　　服务调用者从统一授权服务获取Token

　　服务调用者从统一授权服务获取Token是此模型机制的第一个步骤，服务调用者向统一授权服务进行RequestToken请求，申请Token。RequestToken接口是统一授权所有服务接口中，唯一不需要验证参数(Ticket)的服务。此接口可以定义如下：

　　stringRequestToken(string providerId)

　　RequestToken方法为服务调用者获取一个用来访问应用标识为providerId 的Token。定义Key(Text)表示用Key做密钥加密明文Text之后的密文，则其中Token格式可表示为：

　　InvokerKey(Expire，SessionKey，ProviderPart)

　　其中InvokerKey为服务调用者在统一身份认证系统中的站点密钥。Expire表示超时的时间戳，用Unix风格的时间表示，即1970年1月1日至今的Seconds数。超时以后Token将不可用，必须重新申请。

　　ProviderPart部分组成如下：

　　ProviderKey(Expire，InvokerId，InvokerIP，SessionKey)

　　此部分Invoker无法解密，须组装到Ticket并交给Service Provider解析验证。

　　ProviderPart加密的四部分信息：

　　Expire：用于验证时间上是否超时；

　　InvokerId：用于验证调用者身份是否被篡改；

　　InvokerIP：用于验证调者位置是否变动，防止信息被拦截；

　　SessionKey：用于解密和Invoker提供的通讯数据。

　　注意此处的SessionKey 分别通过InvokerKey 和ProviderKey(均由SJTU JAccount系统提供)进行加密，同Kerberos一样，此SessionKey将作为Invoker和Provider之间通讯的唯一共享的秘密。