【正文】 ........55 保密性評(píng)價(jià) ...........................................................................................................................................55第七章 結(jié)束語(yǔ) .........................................................................................................................................................57 本文工作總結(jié) ...............................................................................................................................................57 統(tǒng)一身份認(rèn)證系統(tǒng)的應(yīng)用前景 ...................................................................................................................58致謝 ...........................................................................................................................................................................60參考文獻(xiàn) ...................................................................................................................................................................60熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)第一章　緒論 論文研究背景隨著因特網(wǎng)的飛速發(fā)展，,基于 B/S(瀏覽器/服務(wù)器 ) 結(jié)構(gòu)的企業(yè)應(yīng)用軟件也得到了快速發(fā)展，各種應(yīng)用系統(tǒng)已經(jīng)應(yīng)用到很多企業(yè)的生產(chǎn)管理活動(dòng)中去，為企業(yè)提高工作效率和管理水平做出了巨大的貢獻(xiàn)。每個(gè)應(yīng)用系統(tǒng)都有自己獨(dú)立的一套身份驗(yàn)證機(jī)制,采取分散登錄、分散管理。 目前，關(guān)于統(tǒng)一身份認(rèn)證的研究在國(guó)外比較活躍，目前最流行的技術(shù)主要有微軟的 Passport 技術(shù)，其中微軟的 Passport 技術(shù)實(shí)際上是一種 Web Service，它是由微軟公司控制的中央統(tǒng)籌式的單一登陸服務(wù)?！　⊥瑫r(shí)隨著統(tǒng)一身份認(rèn)證研究的深入和較高的商業(yè)意義，目前已經(jīng)出現(xiàn)了很多商用軟件和產(chǎn)品，專(zhuān)門(mén)的SSO商業(yè)軟件主要有：Netgrity 的Siteminder（已被CA收購(gòu)） 、Novell公司的iChain、RSA公司的ClearTrust等。另外，也有很多開(kāi)源組織從事SSO的研究如JOSSO、OPENSSO 、SOURCEID等。在這種情況下，一個(gè)用戶如果需要登錄不同的系統(tǒng)就需要采用多個(gè)賬號(hào)和密碼，不容易記憶，而很多用戶往往在不同系統(tǒng)中使用相同的賬號(hào)和密碼，這樣也不安全。本系統(tǒng)是對(duì)一個(gè)企業(yè)進(jìn)行統(tǒng)一身份認(rèn)證改造，該企業(yè)的應(yīng)用系統(tǒng)均采用B/S(瀏覽器/服務(wù)器 ) 結(jié)構(gòu)構(gòu)建。各個(gè)企事業(yè)單位的用戶可以從一個(gè)統(tǒng)一的登錄界面登錄網(wǎng)絡(luò)系統(tǒng)，訪問(wèn)內(nèi)部不同的系統(tǒng)時(shí)只需要輸入一次用戶名和密碼就可以了，用戶在完成身份認(rèn)證后無(wú)須再次登錄就可以接受企事業(yè)單位網(wǎng)絡(luò)系統(tǒng)中其他信息服務(wù)系統(tǒng)提供的服務(wù)。2) 深入探討基于 Web Service 的身份統(tǒng)一認(rèn)證系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)、開(kāi)發(fā)方法和實(shí)現(xiàn)技術(shù)等問(wèn)題。其主要研究思路安排如下：第一章主要是介紹基于 Web Service 的統(tǒng)一身份認(rèn)證的研究背景、研究意義和本文作者的主要研究?jī)?nèi)容；第二章主要研究Web Service技術(shù)體系及應(yīng)用模式研究；為統(tǒng)一身份認(rèn)證奠定了技術(shù)及理論基礎(chǔ)；　　第三章對(duì)主要是統(tǒng)一身份認(rèn)證主要涉及的問(wèn)題(即統(tǒng)一認(rèn)證、權(quán)限管理、及單點(diǎn)登錄)進(jìn)行了探討與分析，確定所要采用的實(shí)現(xiàn)方法。第七章是結(jié)束語(yǔ)，主要是總結(jié)本文作者關(guān)于基于Web Service的統(tǒng)一身份認(rèn)證研究的總結(jié)與對(duì)統(tǒng)一身份認(rèn)證應(yīng)用前景的展望。在Web 服務(wù)出現(xiàn)之前，多數(shù)系統(tǒng)采用的是固定的接口，但對(duì)于環(huán)境或需求的改變，缺乏靈活性或適用性。它使用基于XML語(yǔ)言的協(xié)議來(lái)描述要執(zhí)行的操作或者可以用真正與平臺(tái)無(wú)關(guān)的方式來(lái)描述任何數(shù)據(jù)，以跨系統(tǒng)交換數(shù)據(jù)。然后，將這些任務(wù)組合成面向業(yè)務(wù)的任務(wù)，以處理特定的業(yè)務(wù)操作任務(wù)，從而使非技術(shù)人員去考慮一些應(yīng)用程序，這些應(yīng)用程序可以在Web服務(wù)應(yīng)用程序工作流中一起處理業(yè)務(wù)問(wèn)題。Web service希望實(shí)現(xiàn)不同的系統(tǒng)之間能夠用“軟件一軟件對(duì)話”的方式相互調(diào)用，打破了軟件應(yīng)用、網(wǎng)站和各種設(shè)備之間的格格不入的狀態(tài)，實(shí)現(xiàn)“基于Web無(wú)縫集成” 的目標(biāo)?！　?3)、Web Service 使用協(xié)約的規(guī)范性、標(biāo)準(zhǔn)性與一般對(duì)象相比，Web Service界面更加規(guī)范化，易于機(jī)器理解。　　(5)、Web Service 具有開(kāi)放性Web Service 可以與其他 Web Service 進(jìn)行交互。 Web Service 的體系結(jié)構(gòu)Web服務(wù)構(gòu)架由三個(gè)參與者和三個(gè)基本操作構(gòu)成。從企業(yè)的角度看，這是服務(wù)的所有者?！　?2)、服務(wù)請(qǐng)求者。服務(wù)請(qǐng)求者相當(dāng)于“客戶一服務(wù)器”(C／S)模型中的客戶。在靜態(tài)綁定開(kāi)發(fā)或動(dòng)態(tài)綁定執(zhí)行期間，服務(wù)請(qǐng)求者查找服務(wù)并獲得服務(wù)的綁定信息。 。　　2) 、查找。在綁定操作中，服務(wù)請(qǐng)求者使用服務(wù)描述中的綁定細(xì)節(jié)來(lái)定位、聯(lián)系和調(diào)用服務(wù)，從而在運(yùn)行時(shí)調(diào)用或啟動(dòng)與服務(wù)的交互。服務(wù)存在就是要被服務(wù)請(qǐng)求者調(diào)用或者同服務(wù)請(qǐng)求者交互。服務(wù)描述可以被發(fā)布給服務(wù)請(qǐng)求者或服務(wù)注冊(cè)中心。綠色部分是先前已經(jīng)定義好的并且廣泛使用的傳輸層和網(wǎng)絡(luò)層的標(biāo)準(zhǔn)：IP、HTTP 、SMTP等。Web Service平臺(tái)是用XSD來(lái)作為數(shù)據(jù)類(lèi)型系統(tǒng)的。多數(shù)情況下使用SOAP協(xié)議。 簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議 SOAPIBM、Microsoft以及其它企業(yè)都向W3C建議SOAP作為XML協(xié)議工作組(XML Protocol Working Group)的基礎(chǔ)。一個(gè)簡(jiǎn)單的SOAP消息表示：　 POST /StudentInfo HTTP/　　Host：localhost　　Content—Type：text/xml：charset=”utf一8”　　Content—Length：640SOAPAction： ”GetStudentInfo” 消息傳遞。SOAP客戶機(jī)運(yùn)行時(shí)與一個(gè)底層網(wǎng)絡(luò)協(xié)議(例如 HTTP)交互，然后在網(wǎng)絡(luò)上將SOAP消息發(fā)送出去。這個(gè)轉(zhuǎn)換由消息中可以找到的編碼模式所控制。(4)、響應(yīng)消息在④由服務(wù)請(qǐng)求者節(jié)點(diǎn)上的聯(lián)網(wǎng)基礎(chǔ)結(jié)構(gòu)接收。其它傳送基本原理，如單向消息傳遞(無(wú)響應(yīng) )，通知 (推動(dòng)式響應(yīng)) 以及發(fā)布/訂閱，也可能用到SOAP。使用Types所定義的類(lèi)型來(lái)定義整個(gè)消息的數(shù)據(jù)結(jié)構(gòu)。這些操作可以由一個(gè)或多個(gè)服務(wù)訪問(wèn)點(diǎn)來(lái)支持?！　∥臋n中portType與message和type元素的細(xì)節(jié)相結(jié)合描述了Web服務(wù)是什么，binding元素描述了如何使用Web 服務(wù)，port及service元素描述了Web服務(wù)的位置。 統(tǒng)一描述、發(fā)現(xiàn)與集成 UDDI　　UDDI(Universal Description、Discovery and Integration)是一個(gè)動(dòng)態(tài)而靈活的XML Web服務(wù)基礎(chǔ)架構(gòu)，是一套基于 Web的信息與服務(wù)注冊(cè)的標(biāo)準(zhǔn)，同時(shí)也實(shí)現(xiàn)了一組使企業(yè)能將自己能提供的的Web 服務(wù)進(jìn)行登記，以使得別的企業(yè)能夠找到標(biāo)準(zhǔn)；并在此基礎(chǔ)上降低Web服務(wù)及其它編程資源的查詢(xún)難度?！　DDI服務(wù)支持通過(guò)基于SOAP 的UDDI應(yīng)用程序編程接口(API)進(jìn)行程序化查詢(xún)，同熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)時(shí)，它還提供了具備搜索、發(fā)布與協(xié)調(diào)功能并且能夠兼容Microsoft Inter　Explorer Navigator 。以此為基礎(chǔ)，有六個(gè)主要的組成規(guī)范：　　1) 、Web 服務(wù)策略(WS—Policy)和相關(guān)的規(guī)范，定義了關(guān)于服務(wù)交互方式的策略規(guī)則?！　?) 、Web 服務(wù)聯(lián)盟(WS—Federation)，定義了分布式標(biāo)識(shí)的規(guī)則以及如何對(duì)其進(jìn)行管理。如Axis2核心是純SOAP處理引擎，并不了解數(shù)據(jù)綁定、傳輸、WSDL等內(nèi)容；Axis ，它完全綁定到請(qǐng)求響應(yīng)調(diào)用；XFire與 Axis2 又是并列的新一代Web Service 平臺(tái)，能夠與Spring進(jìn)行結(jié)合并擁有統(tǒng)一的標(biāo)準(zhǔn)等。 作為 java 平臺(tái)上的 Web Service 標(biāo)準(zhǔn)，過(guò)去既有的 Web Service 產(chǎn)品必然會(huì)向這一標(biāo)準(zhǔn)靠攏，而 JAXWS 標(biāo)準(zhǔn)本身大大地降低了開(kāi)發(fā) WebS ervice 的工作量，對(duì)于開(kāi)發(fā)人員來(lái)說(shuō)，是非常受歡迎的。 此外CXF更注重開(kāi)發(fā)人員的功效（ergonomics ）和嵌入能力（ embeddability） 。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)第三章 基于 Web Service 的身份統(tǒng)一認(rèn)證的技術(shù)研究　　近年來(lái)，隨著Inter的飛速發(fā)展，網(wǎng)絡(luò)已經(jīng)滲透到社會(huì)的各個(gè)領(lǐng)域，基于WEB 的信息交流、信息共享與協(xié)作成為信息網(wǎng)絡(luò)建設(shè)信息化、數(shù)字化的重要發(fā)展方向。尤其在執(zhí)行某個(gè)應(yīng)用系統(tǒng)的用戶認(rèn)證功能時(shí)存在以下問(wèn)題：　　(1)、一個(gè)用戶登錄不同系統(tǒng)就需要采用多個(gè)帳號(hào)，不容易記憶，而很多用戶在不同系統(tǒng)里面采用同樣的帳號(hào)密碼，不安全：　　(2)、不同系統(tǒng)都采用自身的一套認(rèn)證和用戶管理機(jī)制，不利于網(wǎng)絡(luò)系統(tǒng)的統(tǒng)一管理；代碼中內(nèi)置的用戶名和密碼需要隨自身的變化經(jīng)常維護(hù)，同時(shí)在很多場(chǎng)合下，用戶名和密碼對(duì)于程序員來(lái)說(shuō)是不可見(jiàn)的?！　∩矸萁y(tǒng)一認(rèn)證系統(tǒng)是一個(gè)集中的用戶認(rèn)證管理和集成環(huán)境，可管理和分發(fā)用戶的權(quán)限和身份，為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理服務(wù)。同時(shí)，該系統(tǒng)還將為其他類(lèi)型的用戶提供相應(yīng)的接口?！　⌒枰f(shuō)明的是，所有的認(rèn)證工作由認(rèn)證前置機(jī)完成，而與認(rèn)證相關(guān)的用戶信息將存儲(chǔ)在后臺(tái)的認(rèn)證服務(wù)器上。用戶身份管理可以實(shí)現(xiàn)以下任務(wù)：(1)、提供自動(dòng)和管理員確認(rèn)兩種模式的用戶注冊(cè)功能系統(tǒng)支持自動(dòng)根據(jù)預(yù)定義的策略完成對(duì)注冊(cè)用戶的授權(quán)，即自動(dòng)注冊(cè)功能，也支持用戶注冊(cè)后，由管理員進(jìn)行確認(rèn)并進(jìn)行授權(quán)的管理模式；(2)、直觀的圖形化用戶組織管理界面用戶組織管理模塊以圖形的方式支持管理員完成應(yīng)用系統(tǒng)用戶組以及應(yīng)用系統(tǒng)內(nèi)部的角色等相應(yīng)信息的注冊(cè)，提供用戶組視圖和角色視圖兩種視圖：　　1) 、用戶組視圖主要維護(hù)用戶組與相對(duì)應(yīng)的應(yīng)用系統(tǒng)的管理，以及進(jìn)行用戶組的增加、刪除和修改等工作。該子模塊應(yīng)該能完成對(duì)用戶基本信息的管理和維護(hù)。用戶角色設(shè)置模塊完成對(duì)用戶角色的賦予、剝奪等工作。 身份認(rèn)證定義 一個(gè)身份是一個(gè)指定的參與者，一個(gè)參與者是一個(gè)惟一確定的實(shí)體。認(rèn)證就是驗(yàn)證用戶身份的過(guò)程，證實(shí)用戶身份與其宣稱(chēng)的身份是否相符，認(rèn)證技術(shù)源于認(rèn)證系統(tǒng)中不斷出現(xiàn)的身份欺詐問(wèn)題。2．通過(guò)用戶所擁有的某些東西對(duì)其進(jìn)行驗(yàn)證。 身份認(rèn)證的意義1) 用戶身份是訪問(wèn)控制決策的一個(gè)參數(shù)。實(shí)現(xiàn)可追查要依賴(lài)這些審計(jì)日志，可追查性要求參與者有明確的身份表達(dá)。應(yīng)用系統(tǒng)自身沒(méi)有用戶系統(tǒng)，涉及的賬號(hào)是統(tǒng)一身份認(rèn)證服務(wù)的用戶賬號(hào)?！　?) 、待核查完畢后，統(tǒng)一認(rèn)證服務(wù)響應(yīng)應(yīng)用系統(tǒng)A，登錄完成。與第一種的不同之處在于：統(tǒng)一認(rèn)證服務(wù)創(chuàng)建了一個(gè)會(huì)話，同時(shí)將與該會(huì)話關(guān)聯(lián)的訪問(wèn)認(rèn)證令牌返回給用戶；用戶使用這個(gè)訪問(wèn)認(rèn)證令牌訪問(wèn)某個(gè)支持統(tǒng)一身份認(rèn)證服務(wù)的應(yīng)用系統(tǒng)；該應(yīng)用系統(tǒng)將訪問(wèn)認(rèn)證令牌傳入統(tǒng)一身份認(rèn)證服務(wù)；統(tǒng)一身份認(rèn)證服務(wù)確認(rèn)認(rèn)證令牌的有效性；應(yīng)用系統(tǒng)接收訪問(wèn)，并返回訪問(wèn)結(jié)果。通過(guò)角色的配置，給予每個(gè)角色定義資源的訪問(wèn)權(quán)限，然后再對(duì)這些用戶或者用戶組授予相應(yīng)的角色權(quán)限。這種方式，對(duì)于所有系統(tǒng)都是自己開(kāi)發(fā)時(shí)比較合適，而對(duì)于第三方系統(tǒng)以及以后新的應(yīng)用系統(tǒng)的加入，都帶來(lái)非常的不方便，影響業(yè)務(wù)的正常運(yùn)行，因而基于以上考慮，在系統(tǒng)中采用基于權(quán)限分散的統(tǒng)一認(rèn)證系統(tǒng)來(lái)實(shí)現(xiàn)。那么對(duì)于用戶U，(j∈(1 ，2，?．m)) 來(lái)說(shuō)，其權(quán)限可定義為Uj = [R1][∪R2][∪R3][∪…][∪Rq] 即一個(gè)用戶U的業(yè)務(wù)權(quán)限可以用分配給用戶的不同的應(yīng)用系統(tǒng)的角色的權(quán)限組合集合表示。 系統(tǒng)調(diào)研分析隨著互聯(lián)網(wǎng)的高度發(fā)展，信息安全也就成為了愈發(fā)重視的問(wèn)題。而在一般的公司單位或者其他的事業(yè)單位中，其網(wǎng)絡(luò)建設(shè)也存在著這樣的一種問(wèn)題，不同的應(yīng)用系統(tǒng)需要不同的用戶認(rèn)證機(jī)制，這樣就不能充分的利用好現(xiàn)有的資源，難以發(fā)揮出團(tuán)隊(duì)?wèi)?yīng)有的潛力和能量。通過(guò)用戶的身份和成員站點(diǎn)對(duì)用戶的權(quán)限分配，用戶可在該系統(tǒng)中獲得訪問(wèn)某成員站點(diǎn)的權(quán)限。2．方便性　　系統(tǒng)需要減少用戶多次的登錄認(rèn)證，減少用戶使用系統(tǒng)的負(fù)擔(dān)，減輕系統(tǒng)管理員驗(yàn)證基礎(chǔ)維護(hù)的工作量，企業(yè)在進(jìn)行統(tǒng)一身份認(rèn)證改造后，用戶使用系統(tǒng)應(yīng)該更加方便。(2)、數(shù)據(jù)庫(kù)系統(tǒng)的選擇 數(shù)據(jù)庫(kù)主要用來(lái)存儲(chǔ)系統(tǒng)中所有用戶的詳細(xì)信息以及角色信息，多數(shù)應(yīng)用可使用基于Windows環(huán)境的中型數(shù)據(jù)庫(kù)MySql 數(shù)據(jù)庫(kù)服務(wù)器，具有易于操作和掌握的特點(diǎn)，價(jià)格較低。由于其體積小、速度快、總體擁有成本低，尤其是開(kāi)放源碼這一特點(diǎn)，許多中小型網(wǎng)站為了降低網(wǎng)站總體擁有成本而選擇了 MySql 作為網(wǎng)站數(shù)