【正文】 eb協議作為組件界面描述和協同描述規(guī)范，完全屏蔽了不同軟件平臺的差異，無論是CORBA/DCOM還是EJB都可以通過這一種標準的協議進行互操作，實現了在當時環(huán)境下最高的可集成性。支持各種通訊媒體如：HTTP、SMTP、FTP、RMI/IIOP(遠程方法調用/inter 對象請求中介協議)等。 Web服務角色、操作和構件　　圖中Web服務的三個參與者分別是：　　(1)、服務提供者。在服務請求者和服務提供者間，服務提供者相當于“客戶一服務器”(C／S)模型中的服務器。服務請求者負責查找發(fā)布在一個或多個服務注冊處的服務描述，并負責利用服務描述，綁定或調用由服務提供者提供的網絡服務。這是可搜索的服務描述注冊中心，服務提供者在此發(fā)布他們的服務描述。服務注冊中心起服務請求者和提供者間的中介作用，負責為服務請求者匹配服務提供者。為了使服務可訪問，需要發(fā)布服務描述以使服務請求者可以查找它，發(fā)布服務描述的位置可以根據應用程序的要求而變化?！　?) 、綁定。服務是一個軟件模塊，它部署在由服務提供者提供的可以通過網絡訪問的平臺上。還包括可以方便服務請求者發(fā)現和利用的分類及其它元數據?！　eb服務的簡單技術體系 Web Service“stack”，：其中，藍色部分是目前開發(fā)的Web 服務的相關標準協議，包括服務調用協議SOAP、服務描述協議WSDL和服務發(fā)現/集成協議 UDDI。 XML是由萬維網協會(W3C)創(chuàng)建，W3C制定的XML SchemaXSD定義了一套標準的數據類型，并給出了一種語言來擴展這套數據類型。XML Web Service具有以下特點：　　(1)、XML Web Service通過標準的Web協議向Web用戶提供有用的功能?！　?3)、XML Web Service已經過注冊，以便潛在用戶能夠輕易地找到這些服務，這是通過通用發(fā)現、說明和集成(UDDI)來完成的。SOAP可以和各種網絡協議(如HTTP、SMTP、FTP等)相結合使用，或者將這些協議重新封裝后使用。服務請求者將此信息和服務提供者的網址一起提供給SOAP基礎結構(例如一個SOAP 客戶機運行時)。如果應用程序需要，SOAP運行時負責將XML 消息轉換為特定于編程語言的對象。響應的SOAP消息在④被提供給SOAP 運行，到達目的地服務請求者?！　∩鲜鲞^程使用了請求/響應傳送基本原理，請求 /響應交換可以是同步的，也可以是異步的，通常在大多數分布式計算環(huán)境中都很常見?！　essage：通信消息數據結構的抽象類型化定義?！　ortType：對于某個訪問入口點類型所支持操作的抽象集合?！　ervice：是一個粗糙命名的元素，代表端口的集合；相關服務訪問點的集合。使用WSDL工具，幾乎不用手工編寫代碼就能夠讓應用程序整合新的服務?！　母拍钌蟻碚f，UDDI企業(yè)登記中心所提供的信息包含三個主要部分：　　“白頁”包括了地址，聯系方法，和已知的標識；　　“黃頁”包括了基于分類學的工業(yè)劃分；“綠頁”包括了關于該企業(yè)提供的服務的技術信息，包含了指向特定的Web應用服務的鏈接或是URL等。 Web Service 的安全性實現　　用于Web服務的安全性協議是從 Web服務安全性 (WS—Security)規(guī)范開始的，該規(guī)范為安全通信定義了基于令牌的體系結構。　　4) 、Web 服務安全會話 (WS—Secure conversation)，定義了如何使用在Web 服務策略、Web服務信任和Web服務隱私中定義的規(guī)則，來在用于交換數據的服務之間建立安全會話。 Web Service 框架 Web Service擁有的主流框架有CXF、Axis2 、Xfire等，每一個框架都含有各自的優(yōu)點與缺點。其最突出的兩個優(yōu)勢是： 1) 對 JAXWS 規(guī)范的完整實現。鑒于 Spring 的廣泛應用，對很多團隊來說這是非常有吸引力的一點。CXF強調代碼優(yōu)先的設計方式（codefirst design)，使用了簡單的 API使得從現有的應用開發(fā)服務變得方便。 身份統(tǒng)一認證服務的體系結構　　一個網絡系統(tǒng)內部運行的應用系統(tǒng)都有其自身的用戶系統(tǒng)和認證方式，結果造成多套用戶共存及用戶信息冗余、用戶多密碼記憶及多點登錄?！　∷?，在一個網絡系統(tǒng)建設中，必須通過科學的集中認證技術，實現應用系統(tǒng)的用戶集中管理和統(tǒng)一認證，徹底改變各自為政、管理松散的用戶管理模式；充分發(fā)揮企業(yè)或者其他組織單位內部網絡管理維護部門的管理職責，規(guī)范用戶操作行為。使用戶在完成身份認證后無須再次登錄就可以接受該網絡系統(tǒng)中其他信息服務系統(tǒng)提供熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現的服務。： 身份統(tǒng)一認證體系結構圖當用戶第一次訪問應用系統(tǒng)1的時候，因為還沒有登錄，會被引導到認證系統(tǒng)中進行登錄（1） ；根據用戶提供的登錄信息，認證系統(tǒng)進行身份效驗，如果通過效驗，應該返回給用戶一個認證的憑據－－ticket（2） ；　　 用戶再訪問別的應用的時候（3，5）就會將這個ticket 帶上，作為自己認證的憑據；應用系統(tǒng)接受到請求之后會把ticket送到認證系統(tǒng)進行效驗，檢查ticket的合法性（4，6） ；如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應用系統(tǒng)2和應用系統(tǒng)3了。通過管理權限的下放，可以快速實現對用戶資料的更新，簡化用戶(組)管理帶來的工作量。(3)、簡單方便的用戶管理界面用戶管理模塊負責用戶的數據管理，它應包括以下子模塊：　　1) 、用戶基本信息維護子模塊。在統(tǒng)一認證平臺中，用戶享有的權限主要由其在應用系統(tǒng)中擔任的角色來確定。 用戶身份認證服務　　用戶身份認證服務允許管理員方便地對各種規(guī)模的用戶進行統(tǒng)一認證和統(tǒng)一授權。系統(tǒng)使用許多不同的方法來表達用戶身份。例如用戶密碼和用戶名，這是目前軟件系統(tǒng)最常用的方法，雖然不一定是最安全的方法。如用戶的指紋或者視網膜，這是最安全也是最昂貴的方式，而且就目前的技術而言，其本身識別率沒有達到100%，現在更多利用其作為輔助驗證的手段。2) 在將安全相關事件記入審計日志時，用戶身份要被記錄下來?！　〗y(tǒng)一認證的應用模式主要有三種：(1) 以應用系統(tǒng)的身份認證組件形式工作這個應用模式是最基本的應用模式，處在主導地位的是應用系統(tǒng)?！　?) 、統(tǒng)一認證服務核查自己的應用系統(tǒng)注冊庫(使用UDDI Registry)，看看應用系統(tǒng)A是否已經是統(tǒng)一認證服務的用戶系統(tǒng)，同時在用戶注冊庫中核查由應用系統(tǒng) A轉發(fā)過來的用戶名和密碼?！　?2)、以統(tǒng)一身份認證服務為核心的服務使用模式用戶登錄統(tǒng)一身份認證服務后，即可使用所有支持統(tǒng)一身份認證服務的應用系統(tǒng)。該系統(tǒng)將采用基于角色的用戶訪問控制模型(RBAC) ，并且參考LDAP用戶樹狀模型的特點，并對該模型進行擴充，引入了用戶組，較適合于用戶的授權與管理定義。如果要采用統(tǒng)一集中的權限控制策略，那么各自的應用系統(tǒng)都修改比較大。角色為不同業(yè)務權限的組合，表達為：Ri = [A1][∪A2][∪A3][ ∪ …][∪An] 該式表明，一個角色權限可以定義為幾個不同的業(yè)務權限的組合。熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現第四章 系統(tǒng)功能分析與結構設計在本章中，主要根據目前國內一般公司、校園或者其他組織單位的網絡系統(tǒng)存在的用戶管理和認證問題，并借鑒國內外相關的研究成果，提出一種較為通用的、統(tǒng)一的、應用級的、基于角色的用戶認證系統(tǒng)的設計思路。另外，在當下國內很多的高校都在進行找數字化、信息化校園建設，而針對校園網絡中眾多的應用系統(tǒng)，如數字圖書館習題、OA 系統(tǒng)、教學資源管理系統(tǒng)等，就十分有必要提出一種解決方案，來保證校園網內訪問的順暢和安全。 系統(tǒng)設計目標 系統(tǒng)功能目標 統(tǒng)一身份認證系統(tǒng)需要實現兩大功能： (1)、對用戶和系統(tǒng)的身份認證。熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現 系統(tǒng)性能目標統(tǒng)一身份認證系統(tǒng)將管理海量的用戶和成員站點信息，這對予系統(tǒng)的性能要求很高，同時網絡的性能要求也很高，所以基于Web Service統(tǒng)一身份認證要能夠達到以下性能目標：1．安全性　　身份驗證機制設計合理，充分考慮系統(tǒng)的安全性，能夠防止目前常見網絡攻擊（監(jiān)聽、重發(fā)、篡改斷言等）的機制，防止攻擊者的非法訪問，使系統(tǒng)安全得到保障。Linux 服務器具有低成本、性能卓越、代碼開放等特性。目前 MySql 被廣泛地應用在 Inter 上的中小型網站中。一個動態(tài)的網站不僅需要編程語言的支持，還要有強有力的信息存儲能力，這就需要數據。 另外 MySql 為多種編程語言提供了 API。 Web Service 提供服務與平臺無關，關鍵是要找到能夠運行在某個操作系統(tǒng)下的能部署 Web service 環(huán)境的應用服務器。3．靈活性　　系統(tǒng)可以靈活滿足企業(yè)用戶的實際需要，從用戶的需求出發(fā)，使用戶的身份和訪問控制信息都能靈活的進行配置，并且能夠適應將來的擴展需要，滿足企業(yè)實際的業(yè)務需要。 (2)、對用戶與成員站點之間的權限控制。并且國內的一些企事業(yè)單位在進行網絡建設的過程中，往往也會出現注重硬件建設而輕視軟件建設的做法，這樣更加限制了網絡系統(tǒng)內部資源的利用。尤其是在某個公司、學校或者其他組織單位的統(tǒng)一的網絡系統(tǒng)中，都各自擁有著眾多的應用子系統(tǒng)，而每一個應用子系統(tǒng)都有著自己獨立的用戶認證機制。通過以上設置，我們可以獲得各個用戶所需要的系統(tǒng)權限。　　基于權限分散的統(tǒng)一認證系統(tǒng)提出了一套基于用戶、用戶組、業(yè)務和角色相結合的身份控制系統(tǒng)，具體的實現如下：　　設：系統(tǒng)定義m個用戶分別為UUU3.......Um；n個業(yè)務分別為AAA3.....An；p個用戶組分別為GGG3.....Gp．用戶組是相關用戶的組合，具體表達為：Gk = [U1][∪U2] [∪U3] [∪…] [∪Um] 公式中[]表示可選的意思，該公式表明，一個用戶組可以定義為數個用戶的組合。　　在每個應用系統(tǒng)中，采用二次鑒權，也就是用戶統(tǒng)一集中管理，單點登錄只解決用熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現戶登錄和用戶能否有進入某個應用的權限問題，而在每個業(yè)務系統(tǒng)的權限則由各自的業(yè)務系統(tǒng)進行控制。以統(tǒng)一身份認證服務為核心的： 以統(tǒng)一身份認證服務為核心的服務使用模式 基于權限分散的統(tǒng)一授權　　目前，大部分公司或者其他組織單位的網絡系統(tǒng)的現狀是每個應用子系統(tǒng)都是由不同的單位來開發(fā)，并且將來新系統(tǒng)也只能是從外面采購或者第三方公司定制開發(fā)，這種現狀造成系統(tǒng)的權限管理只能是一種松耦合的權限管理方式。　　5) 、應用系統(tǒng)A創(chuàng)建一個系統(tǒng)會話(Session，系統(tǒng)A自己的機制)，并將應用系統(tǒng)A 自熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現己的權限令牌返回給用戶。： 身份認證組件模式　　1) 、用戶使用在統(tǒng)一認證服務注冊的用戶名和密碼(也可能是其它授權信息，比如數字簽名等)登錄應用系統(tǒng)A。熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現 統(tǒng)一身份認證模式　　統(tǒng)一身份認證是由一個全網絡系統(tǒng)范圍內唯一的認證服務系統(tǒng)接管應用各自的認證模塊，應用系統(tǒng)只需要遵循統(tǒng)一認證服務調用接口，利用簽名認證、用戶名／口令認證等多種認證方式來實現用戶身份的認證過程。通過認證，可以將一個系統(tǒng)的參與者綁定為計算機內部的身份表達。例如鑰匙、身份證等，這是日常生活中常見 的驗證身份方法，在計算機系統(tǒng)中，主要用于CA的身份識別。如非授權的非法問題，身份認證是對用戶身份的證實，用以識別合法或者非法的用戶，阻止未授權用戶訪問網絡資源。就計算機系統(tǒng)而言，身份是實體的一種計算機表達?！　?4)、基于角色的授權管理模塊　　身份統(tǒng)一認證平臺授權范圍主要是認定哪些角色可以使用哪些系統(tǒng)，而對于這些角色在系統(tǒng)中能夠使用哪些應用，使用到什么程度是由各應用系統(tǒng)來確定的。用戶的基本信息包括：包括個人姓名，登錄密碼，注冊郵箱等信息，包括對這些數據的錄入、修改和刪除等功能?！　?) 、角色視圖對于每個應用系統(tǒng)內部的角色的數據進行維護管理?！　〗y(tǒng)一身份認證系統(tǒng)的設計思想就是要將機構、用戶統(tǒng)一存儲，對應用系統(tǒng)統(tǒng)一授權，規(guī)范應用系統(tǒng)的用戶認證方式，從而提高整個系統(tǒng)的完整性、安全性?！　”疚闹饕推渲腥绾螌崿F身份的集中認證問題做進一步的研究。各應用系統(tǒng)只需保留角色和權限控制，用戶數據庫資源統(tǒng)一保存在認證服務器中，用戶和角色的管理由應用系統(tǒng)自行管理，從而簡化了應用系統(tǒng)中用戶管理模塊的建設。這嚴重影響了用戶使用的效率，并對整個系統(tǒng)的安全帶來了極大的隱患。例如企業(yè)辦公自動化系統(tǒng)、企業(yè)公文管理系統(tǒng)、企業(yè)職工管理系統(tǒng)、企業(yè)客戶管理系統(tǒng)等等，這些應用系統(tǒng)都在一個完善的企業(yè)網絡系統(tǒng)中得到了充分的應用。大多數配置都可以API來完成，替代了比較繁瑣的XML 配置文件， CXF39。 2) 對 Spring 的友好支持。在本文的研究中，主要采用的Web Service框架是CXF，下面將著重介紹CXF框架的熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現相關信息。6)、Web 服務授權 (WS—Authorization)，定義了如何處理對訪問和交換數據的授權?！　?) 、Web 服務信任(WS—Trust)，定義了安全交換的信任模型。UDDI計劃的核心組件是UDDI企業(yè)登記中心，和一個用XML文檔來描述企業(yè)和其提供的Web應用服務。企業(yè)級UDDI服務還可幫助組織機構創(chuàng)建并部署更加可靠且更具智能化特征的應用程序。　　WSDL是Web服務體系結構