【正文】 eb協(xié)議作為組件界面描述和協(xié)同描述規(guī)范，完全屏蔽了不同軟件平臺(tái)的差異，無(wú)論是CORBA/DCOM還是EJB都可以通過(guò)這一種標(biāo)準(zhǔn)的協(xié)議進(jìn)行互操作，實(shí)現(xiàn)了在當(dāng)時(shí)環(huán)境下最高的可集成性。支持各種通訊媒體如：HTTP、SMTP、FTP、RMI/IIOP(遠(yuǎn)程方法調(diào)用/inter 對(duì)象請(qǐng)求中介協(xié)議)等。 Web服務(wù)角色、操作和構(gòu)件　　圖中Web服務(wù)的三個(gè)參與者分別是：　　(1)、服務(wù)提供者。在服務(wù)請(qǐng)求者和服務(wù)提供者間，服務(wù)提供者相當(dāng)于“客戶一服務(wù)器”(C／S)模型中的服務(wù)器。服務(wù)請(qǐng)求者負(fù)責(zé)查找發(fā)布在一個(gè)或多個(gè)服務(wù)注冊(cè)處的服務(wù)描述，并負(fù)責(zé)利用服務(wù)描述，綁定或調(diào)用由服務(wù)提供者提供的網(wǎng)絡(luò)服務(wù)。這是可搜索的服務(wù)描述注冊(cè)中心，服務(wù)提供者在此發(fā)布他們的服務(wù)描述。服務(wù)注冊(cè)中心起服務(wù)請(qǐng)求者和提供者間的中介作用，負(fù)責(zé)為服務(wù)請(qǐng)求者匹配服務(wù)提供者。為了使服務(wù)可訪問(wèn)，需要發(fā)布服務(wù)描述以使服務(wù)請(qǐng)求者可以查找它，發(fā)布服務(wù)描述的位置可以根據(jù)應(yīng)用程序的要求而變化?！　?) 、綁定。服務(wù)是一個(gè)軟件模塊，它部署在由服務(wù)提供者提供的可以通過(guò)網(wǎng)絡(luò)訪問(wèn)的平臺(tái)上。還包括可以方便服務(wù)請(qǐng)求者發(fā)現(xiàn)和利用的分類及其它元數(shù)據(jù)。　　Web服務(wù)的簡(jiǎn)單技術(shù)體系 Web Service“stack”，：其中，藍(lán)色部分是目前開(kāi)發(fā)的Web 服務(wù)的相關(guān)標(biāo)準(zhǔn)協(xié)議，包括服務(wù)調(diào)用協(xié)議SOAP、服務(wù)描述協(xié)議WSDL和服務(wù)發(fā)現(xiàn)/集成協(xié)議 UDDI。 XML是由萬(wàn)維網(wǎng)協(xié)會(huì)(W3C)創(chuàng)建，W3C制定的XML SchemaXSD定義了一套標(biāo)準(zhǔn)的數(shù)據(jù)類型，并給出了一種語(yǔ)言來(lái)擴(kuò)展這套數(shù)據(jù)類型。XML Web Service具有以下特點(diǎn)：　　(1)、XML Web Service通過(guò)標(biāo)準(zhǔn)的Web協(xié)議向Web用戶提供有用的功能?！　?3)、XML Web Service已經(jīng)過(guò)注冊(cè)，以便潛在用戶能夠輕易地找到這些服務(wù)，這是通過(guò)通用發(fā)現(xiàn)、說(shuō)明和集成(UDDI)來(lái)完成的。SOAP可以和各種網(wǎng)絡(luò)協(xié)議(如HTTP、SMTP、FTP等)相結(jié)合使用，或者將這些協(xié)議重新封裝后使用。服務(wù)請(qǐng)求者將此信息和服務(wù)提供者的網(wǎng)址一起提供給SOAP基礎(chǔ)結(jié)構(gòu)(例如一個(gè)SOAP 客戶機(jī)運(yùn)行時(shí))。如果應(yīng)用程序需要，SOAP運(yùn)行時(shí)負(fù)責(zé)將XML 消息轉(zhuǎn)換為特定于編程語(yǔ)言的對(duì)象。響應(yīng)的SOAP消息在④被提供給SOAP 運(yùn)行，到達(dá)目的地服務(wù)請(qǐng)求者?！　∩鲜鲞^(guò)程使用了請(qǐng)求/響應(yīng)傳送基本原理，請(qǐng)求 /響應(yīng)交換可以是同步的，也可以是異步的，通常在大多數(shù)分布式計(jì)算環(huán)境中都很常見(jiàn)?！　essage：通信消息數(shù)據(jù)結(jié)構(gòu)的抽象類型化定義?！　ortType：對(duì)于某個(gè)訪問(wèn)入口點(diǎn)類型所支持操作的抽象集合?！　ervice：是一個(gè)粗糙命名的元素，代表端口的集合；相關(guān)服務(wù)訪問(wèn)點(diǎn)的集合。使用WSDL工具，幾乎不用手工編寫(xiě)代碼就能夠讓?xiě)?yīng)用程序整合新的服務(wù)。　　從概念上來(lái)說(shuō)，UDDI企業(yè)登記中心所提供的信息包含三個(gè)主要部分：　　“白頁(yè)”包括了地址，聯(lián)系方法，和已知的標(biāo)識(shí)；　　“黃頁(yè)”包括了基于分類學(xué)的工業(yè)劃分；“綠頁(yè)”包括了關(guān)于該企業(yè)提供的服務(wù)的技術(shù)信息，包含了指向特定的Web應(yīng)用服務(wù)的鏈接或是URL等。 Web Service 的安全性實(shí)現(xiàn)　　用于Web服務(wù)的安全性協(xié)議是從 Web服務(wù)安全性 (WS—Security)規(guī)范開(kāi)始的，該規(guī)范為安全通信定義了基于令牌的體系結(jié)構(gòu)。　　4) 、Web 服務(wù)安全會(huì)話 (WS—Secure conversation)，定義了如何使用在Web 服務(wù)策略、Web服務(wù)信任和Web服務(wù)隱私中定義的規(guī)則，來(lái)在用于交換數(shù)據(jù)的服務(wù)之間建立安全會(huì)話。 Web Service 框架 Web Service擁有的主流框架有CXF、Axis2 、Xfire等，每一個(gè)框架都含有各自的優(yōu)點(diǎn)與缺點(diǎn)。其最突出的兩個(gè)優(yōu)勢(shì)是： 1) 對(duì) JAXWS 規(guī)范的完整實(shí)現(xiàn)。鑒于 Spring 的廣泛應(yīng)用，對(duì)很多團(tuán)隊(duì)來(lái)說(shuō)這是非常有吸引力的一點(diǎn)。CXF強(qiáng)調(diào)代碼優(yōu)先的設(shè)計(jì)方式（codefirst design)，使用了簡(jiǎn)單的 API使得從現(xiàn)有的應(yīng)用開(kāi)發(fā)服務(wù)變得方便。 身份統(tǒng)一認(rèn)證服務(wù)的體系結(jié)構(gòu)　　一個(gè)網(wǎng)絡(luò)系統(tǒng)內(nèi)部運(yùn)行的應(yīng)用系統(tǒng)都有其自身的用戶系統(tǒng)和認(rèn)證方式，結(jié)果造成多套用戶共存及用戶信息冗余、用戶多密碼記憶及多點(diǎn)登錄?！　∷?，在一個(gè)網(wǎng)絡(luò)系統(tǒng)建設(shè)中，必須通過(guò)科學(xué)的集中認(rèn)證技術(shù)，實(shí)現(xiàn)應(yīng)用系統(tǒng)的用戶集中管理和統(tǒng)一認(rèn)證，徹底改變各自為政、管理松散的用戶管理模式；充分發(fā)揮企業(yè)或者其他組織單位內(nèi)部網(wǎng)絡(luò)管理維護(hù)部門的管理職責(zé)，規(guī)范用戶操作行為。使用戶在完成身份認(rèn)證后無(wú)須再次登錄就可以接受該網(wǎng)絡(luò)系統(tǒng)中其他信息服務(wù)系統(tǒng)提供熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)的服務(wù)。： 身份統(tǒng)一認(rèn)證體系結(jié)構(gòu)圖當(dāng)用戶第一次訪問(wèn)應(yīng)用系統(tǒng)1的時(shí)候，因?yàn)檫€沒(méi)有登錄，會(huì)被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄（1） ；根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份效驗(yàn)，如果通過(guò)效驗(yàn)，應(yīng)該返回給用戶一個(gè)認(rèn)證的憑據(jù)－－ticket（2） ；　　 用戶再訪問(wèn)別的應(yīng)用的時(shí)候（3，5）就會(huì)將這個(gè)ticket 帶上，作為自己認(rèn)證的憑據(jù)；應(yīng)用系統(tǒng)接受到請(qǐng)求之后會(huì)把ticket送到認(rèn)證系統(tǒng)進(jìn)行效驗(yàn)，檢查ticket的合法性（4，6） ；如果通過(guò)效驗(yàn)，用戶就可以在不用再次登錄的情況下訪問(wèn)應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3了。通過(guò)管理權(quán)限的下放，可以快速實(shí)現(xiàn)對(duì)用戶資料的更新，簡(jiǎn)化用戶(組)管理帶來(lái)的工作量。(3)、簡(jiǎn)單方便的用戶管理界面用戶管理模塊負(fù)責(zé)用戶的數(shù)據(jù)管理，它應(yīng)包括以下子模塊：　　1) 、用戶基本信息維護(hù)子模塊。在統(tǒng)一認(rèn)證平臺(tái)中，用戶享有的權(quán)限主要由其在應(yīng)用系統(tǒng)中擔(dān)任的角色來(lái)確定。 用戶身份認(rèn)證服務(wù)　　用戶身份認(rèn)證服務(wù)允許管理員方便地對(duì)各種規(guī)模的用戶進(jìn)行統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)。系統(tǒng)使用許多不同的方法來(lái)表達(dá)用戶身份。例如用戶密碼和用戶名，這是目前軟件系統(tǒng)最常用的方法，雖然不一定是最安全的方法。如用戶的指紋或者視網(wǎng)膜，這是最安全也是最昂貴的方式，而且就目前的技術(shù)而言，其本身識(shí)別率沒(méi)有達(dá)到100%，現(xiàn)在更多利用其作為輔助驗(yàn)證的手段。2) 在將安全相關(guān)事件記入審計(jì)日志時(shí)，用戶身份要被記錄下來(lái)?！　〗y(tǒng)一認(rèn)證的應(yīng)用模式主要有三種：(1) 以應(yīng)用系統(tǒng)的身份認(rèn)證組件形式工作這個(gè)應(yīng)用模式是最基本的應(yīng)用模式，處在主導(dǎo)地位的是應(yīng)用系統(tǒng)。　　3) 、統(tǒng)一認(rèn)證服務(wù)核查自己的應(yīng)用系統(tǒng)注冊(cè)庫(kù)(使用UDDI Registry)，看看應(yīng)用系統(tǒng)A是否已經(jīng)是統(tǒng)一認(rèn)證服務(wù)的用戶系統(tǒng)，同時(shí)在用戶注冊(cè)庫(kù)中核查由應(yīng)用系統(tǒng) A轉(zhuǎn)發(fā)過(guò)來(lái)的用戶名和密碼?！　?2)、以統(tǒng)一身份認(rèn)證服務(wù)為核心的服務(wù)使用模式用戶登錄統(tǒng)一身份認(rèn)證服務(wù)后，即可使用所有支持統(tǒng)一身份認(rèn)證服務(wù)的應(yīng)用系統(tǒng)。該系統(tǒng)將采用基于角色的用戶訪問(wèn)控制模型(RBAC) ，并且參考LDAP用戶樹(shù)狀模型的特點(diǎn)，并對(duì)該模型進(jìn)行擴(kuò)充，引入了用戶組，較適合于用戶的授權(quán)與管理定義。如果要采用統(tǒng)一集中的權(quán)限控制策略，那么各自的應(yīng)用系統(tǒng)都修改比較大。角色為不同業(yè)務(wù)權(quán)限的組合，表達(dá)為：Ri = [A1][∪A2][∪A3][ ∪ …][∪An] 該式表明，一個(gè)角色權(quán)限可以定義為幾個(gè)不同的業(yè)務(wù)權(quán)限的組合。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)第四章 系統(tǒng)功能分析與結(jié)構(gòu)設(shè)計(jì)在本章中，主要根據(jù)目前國(guó)內(nèi)一般公司、校園或者其他組織單位的網(wǎng)絡(luò)系統(tǒng)存在的用戶管理和認(rèn)證問(wèn)題，并借鑒國(guó)內(nèi)外相關(guān)的研究成果，提出一種較為通用的、統(tǒng)一的、應(yīng)用級(jí)的、基于角色的用戶認(rèn)證系統(tǒng)的設(shè)計(jì)思路。另外，在當(dāng)下國(guó)內(nèi)很多的高校都在進(jìn)行找數(shù)字化、信息化校園建設(shè)，而針對(duì)校園網(wǎng)絡(luò)中眾多的應(yīng)用系統(tǒng)，如數(shù)字圖書(shū)館習(xí)題、OA 系統(tǒng)、教學(xué)資源管理系統(tǒng)等，就十分有必要提出一種解決方案，來(lái)保證校園網(wǎng)內(nèi)訪問(wèn)的順暢和安全。 系統(tǒng)設(shè)計(jì)目標(biāo) 系統(tǒng)功能目標(biāo) 統(tǒng)一身份認(rèn)證系統(tǒng)需要實(shí)現(xiàn)兩大功能： (1)、對(duì)用戶和系統(tǒng)的身份認(rèn)證。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn) 系統(tǒng)性能目標(biāo)統(tǒng)一身份認(rèn)證系統(tǒng)將管理海量的用戶和成員站點(diǎn)信息，這對(duì)予系統(tǒng)的性能要求很高，同時(shí)網(wǎng)絡(luò)的性能要求也很高，所以基于Web Service統(tǒng)一身份認(rèn)證要能夠達(dá)到以下性能目標(biāo)：1．安全性　　身份驗(yàn)證機(jī)制設(shè)計(jì)合理，充分考慮系統(tǒng)的安全性，能夠防止目前常見(jiàn)網(wǎng)絡(luò)攻擊（監(jiān)聽(tīng)、重發(fā)、篡改斷言等）的機(jī)制，防止攻擊者的非法訪問(wèn)，使系統(tǒng)安全得到保障。Linux 服務(wù)器具有低成本、性能卓越、代碼開(kāi)放等特性。目前 MySql 被廣泛地應(yīng)用在 Inter 上的中小型網(wǎng)站中。一個(gè)動(dòng)態(tài)的網(wǎng)站不僅需要編程語(yǔ)言的支持，還要有強(qiáng)有力的信息存儲(chǔ)能力，這就需要數(shù)據(jù)。 另外 MySql 為多種編程語(yǔ)言提供了 API。 Web Service 提供服務(wù)與平臺(tái)無(wú)關(guān)，關(guān)鍵是要找到能夠運(yùn)行在某個(gè)操作系統(tǒng)下的能部署 Web service 環(huán)境的應(yīng)用服務(wù)器。3．靈活性　　系統(tǒng)可以靈活滿足企業(yè)用戶的實(shí)際需要，從用戶的需求出發(fā)，使用戶的身份和訪問(wèn)控制信息都能靈活的進(jìn)行配置，并且能夠適應(yīng)將來(lái)的擴(kuò)展需要，滿足企業(yè)實(shí)際的業(yè)務(wù)需要。 (2)、對(duì)用戶與成員站點(diǎn)之間的權(quán)限控制。并且國(guó)內(nèi)的一些企事業(yè)單位在進(jìn)行網(wǎng)絡(luò)建設(shè)的過(guò)程中，往往也會(huì)出現(xiàn)注重硬件建設(shè)而輕視軟件建設(shè)的做法，這樣更加限制了網(wǎng)絡(luò)系統(tǒng)內(nèi)部資源的利用。尤其是在某個(gè)公司、學(xué)?；蛘咂渌M織單位的統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)中，都各自擁有著眾多的應(yīng)用子系統(tǒng)，而每一個(gè)應(yīng)用子系統(tǒng)都有著自己獨(dú)立的用戶認(rèn)證機(jī)制。通過(guò)以上設(shè)置，我們可以獲得各個(gè)用戶所需要的系統(tǒng)權(quán)限?！　』跈?quán)限分散的統(tǒng)一認(rèn)證系統(tǒng)提出了一套基于用戶、用戶組、業(yè)務(wù)和角色相結(jié)合的身份控制系統(tǒng)，具體的實(shí)現(xiàn)如下：　　設(shè)：系統(tǒng)定義m個(gè)用戶分別為UUU3.......Um；n個(gè)業(yè)務(wù)分別為AAA3.....An；p個(gè)用戶組分別為GGG3.....Gp．用戶組是相關(guān)用戶的組合，具體表達(dá)為：Gk = [U1][∪U2] [∪U3] [∪…] [∪Um] 公式中[]表示可選的意思，該公式表明，一個(gè)用戶組可以定義為數(shù)個(gè)用戶的組合?！　≡诿總€(gè)應(yīng)用系統(tǒng)中，采用二次鑒權(quán)，也就是用戶統(tǒng)一集中管理，單點(diǎn)登錄只解決用熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)戶登錄和用戶能否有進(jìn)入某個(gè)應(yīng)用的權(quán)限問(wèn)題，而在每個(gè)業(yè)務(wù)系統(tǒng)的權(quán)限則由各自的業(yè)務(wù)系統(tǒng)進(jìn)行控制。以統(tǒng)一身份認(rèn)證服務(wù)為核心的： 以統(tǒng)一身份認(rèn)證服務(wù)為核心的服務(wù)使用模式 基于權(quán)限分散的統(tǒng)一授權(quán)　　目前，大部分公司或者其他組織單位的網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀是每個(gè)應(yīng)用子系統(tǒng)都是由不同的單位來(lái)開(kāi)發(fā)，并且將來(lái)新系統(tǒng)也只能是從外面采購(gòu)或者第三方公司定制開(kāi)發(fā)，這種現(xiàn)狀造成系統(tǒng)的權(quán)限管理只能是一種松耦合的權(quán)限管理方式?！　?) 、應(yīng)用系統(tǒng)A創(chuàng)建一個(gè)系統(tǒng)會(huì)話(Session，系統(tǒng)A自己的機(jī)制)，并將應(yīng)用系統(tǒng)A 自熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)己的權(quán)限令牌返回給用戶。： 身份認(rèn)證組件模式　　1) 、用戶使用在統(tǒng)一認(rèn)證服務(wù)注冊(cè)的用戶名和密碼(也可能是其它授權(quán)信息，比如數(shù)字簽名等)登錄應(yīng)用系統(tǒng)A。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn) 統(tǒng)一身份認(rèn)證模式　　統(tǒng)一身份認(rèn)證是由一個(gè)全網(wǎng)絡(luò)系統(tǒng)范圍內(nèi)唯一的認(rèn)證服務(wù)系統(tǒng)接管應(yīng)用各自的認(rèn)證模塊，應(yīng)用系統(tǒng)只需要遵循統(tǒng)一認(rèn)證服務(wù)調(diào)用接口，利用簽名認(rèn)證、用戶名／口令認(rèn)證等多種認(rèn)證方式來(lái)實(shí)現(xiàn)用戶身份的認(rèn)證過(guò)程。通過(guò)認(rèn)證，可以將一個(gè)系統(tǒng)的參與者綁定為計(jì)算機(jī)內(nèi)部的身份表達(dá)。例如鑰匙、身份證等，這是日常生活中常見(jiàn) 的驗(yàn)證身份方法，在計(jì)算機(jī)系統(tǒng)中，主要用于CA的身份識(shí)別。如非授權(quán)的非法問(wèn)題，身份認(rèn)證是對(duì)用戶身份的證實(shí)，用以識(shí)別合法或者非法的用戶，阻止未授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)資源。就計(jì)算機(jī)系統(tǒng)而言，身份是實(shí)體的一種計(jì)算機(jī)表達(dá)。　　(4)、基于角色的授權(quán)管理模塊　　身份統(tǒng)一認(rèn)證平臺(tái)授權(quán)范圍主要是認(rèn)定哪些角色可以使用哪些系統(tǒng)，而對(duì)于這些角色在系統(tǒng)中能夠使用哪些應(yīng)用，使用到什么程度是由各應(yīng)用系統(tǒng)來(lái)確定的。用戶的基本信息包括：包括個(gè)人姓名，登錄密碼，注冊(cè)郵箱等信息，包括對(duì)這些數(shù)據(jù)的錄入、修改和刪除等功能?！　?) 、角色視圖對(duì)于每個(gè)應(yīng)用系統(tǒng)內(nèi)部的角色的數(shù)據(jù)進(jìn)行維護(hù)管理?！　〗y(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)思想就是要將機(jī)構(gòu)、用戶統(tǒng)一存儲(chǔ)，對(duì)應(yīng)用系統(tǒng)統(tǒng)一授權(quán)，規(guī)范應(yīng)用系統(tǒng)的用戶認(rèn)證方式，從而提高整個(gè)系統(tǒng)的完整性、安全性?！　”疚闹饕推渲腥绾螌?shí)現(xiàn)身份的集中認(rèn)證問(wèn)題做進(jìn)一步的研究。各應(yīng)用系統(tǒng)只需保留角色和權(quán)限控制，用戶數(shù)據(jù)庫(kù)資源統(tǒng)一保存在認(rèn)證服務(wù)器中，用戶和角色的管理由應(yīng)用系統(tǒng)自行管理，從而簡(jiǎn)化了應(yīng)用系統(tǒng)中用戶管理模塊的建設(shè)。這嚴(yán)重影響了用戶使用的效率，并對(duì)整個(gè)系統(tǒng)的安全帶來(lái)了極大的隱患。例如企業(yè)辦公自動(dòng)化系統(tǒng)、企業(yè)公文管理系統(tǒng)、企業(yè)職工管理系統(tǒng)、企業(yè)客戶管理系統(tǒng)等等，這些應(yīng)用系統(tǒng)都在一個(gè)完善的企業(yè)網(wǎng)絡(luò)系統(tǒng)中得到了充分的應(yīng)用。大多數(shù)配置都可以API來(lái)完成，替代了比較繁瑣的XML 配置文件， CXF39。 2) 對(duì) Spring 的友好支持。在本文的研究中，主要采用的Web Service框架是CXF，下面將著重介紹CXF框架的熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)相關(guān)信息。6)、Web 服務(wù)授權(quán) (WS—Authorization)，定義了如何處理對(duì)訪問(wèn)和交換數(shù)據(jù)的授權(quán)?！　?) 、Web 服務(wù)信任(WS—Trust)，定義了安全交換的信任模型。UDDI計(jì)劃的核心組件是UDDI企業(yè)登記中心，和一個(gè)用XML文檔來(lái)描述企業(yè)和其提供的Web應(yīng)用服務(wù)。企業(yè)級(jí)UDDI服務(wù)還可幫助組織機(jī)構(gòu)創(chuàng)建并部署更加可靠且更具智能化特征的應(yīng)用程序?！　SDL是Web服務(wù)體系結(jié)構(gòu)