【導讀】來越重要，一個最主要的問題就是多個系統(tǒng)身份認證機制的集成化。有網(wǎng)絡環(huán)境上應用。因此，建立一個統(tǒng)一的身份認證和用戶管理系統(tǒng)，該方案采用IBM數(shù)據(jù)聯(lián)邦技術實現(xiàn)用戶身份。信息及安全策略的整合，避免了數(shù)據(jù)遷移。統(tǒng)間安全信息共享。運用單點登錄技術提供統(tǒng)一認證和集中授權服務，審計）安全服務。本方案的各個層次相對獨立，保證了方案的松散耦合和可擴展性。行系統(tǒng)管理和網(wǎng)絡實施更加簡單有效。

　　

【正文】 聯(lián)邦多個異 構數(shù)據(jù)源而 創(chuàng)建的。 DB2 DataJoiner 的用戶可以隨意查詢存儲在聯(lián)邦系統(tǒng)中任意位 置的數(shù)據(jù)，而不必擔心數(shù)據(jù)的位置、實際數(shù)據(jù)源系統(tǒng)的 SQL 語言種類或者存儲的 能力。相反，對于聯(lián)邦數(shù)據(jù)庫中的任何數(shù)據(jù)，用戶可以按照 DB2 的方式來進行操 作。 Garlic 項目展現(xiàn)了拓展這一思想來構建聯(lián)邦體數(shù)據(jù)庫系統(tǒng)的可行性，該系統(tǒng)可 以有效地使用各種不同的、可能是非關系型數(shù)據(jù)源的查詢能力。在這些系統(tǒng)中（如 13 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 當今的 DB2 ），中間件查詢處理器促進了優(yōu)化執(zhí)行方案，并彌補了各數(shù)據(jù)源可能缺 [17] 乏的功能 。 IBM 聯(lián)邦技術特征 一、透明性。聯(lián)邦技術對用戶掩蓋了底層數(shù)據(jù)源的差異、特質和實現(xiàn)，使一組 聯(lián)邦數(shù)據(jù)源就像一個數(shù)據(jù)源。用戶無需知道數(shù)據(jù)存儲在 哪里（位置透明）；無需知道 數(shù)據(jù)源支持何種語言或編程接口（調用透明）；無需知道數(shù)據(jù)源支持哪種 SQL 語支 （語言透明）；無需知道數(shù)據(jù)以何種物理方式存儲的，或者數(shù)據(jù)是否被分區(qū)或被復制 （物理數(shù)據(jù)獨立性、分段和復制透明性）；或者無需知道使用何種網(wǎng)絡協(xié)議（網(wǎng)絡透 明性）。用戶看到的應該是一個統(tǒng)一的接口，包括單一的一組錯誤代碼（錯誤代碼透 明性）。 二、異構性。聯(lián)邦技術能實現(xiàn)各種不同數(shù)據(jù)庫技術的數(shù)據(jù)信息整合。數(shù)據(jù)源在 許多方面可以不同，如運行在不同的硬件上、使用不同的網(wǎng)絡 協(xié)議和軟件來管理數(shù) 據(jù)存儲、具有不同的查詢語言及查詢能力、或是具有不同的數(shù)據(jù)模型，聯(lián)邦技術可 以容納所有這些差異，將這些數(shù)據(jù)源封裝在一個無縫的透明聯(lián)邦體中，實現(xiàn)異構數(shù) 據(jù)源的信息整合。 三、優(yōu)化查詢。 IBM 的聯(lián)邦技術向用戶提供了兩全其美的特性：對于聯(lián)邦體中 的所有數(shù)據(jù)，它既具有豐富的、符合標準的 DB2 SQL 所有功能，又具有底層數(shù)據(jù) 源的所有功能。 DB2 SQL 支持許多復雜查詢特性，如內、外連接、嵌套子查詢和 表達式、 遞歸等，許多數(shù)據(jù)源可能不具有這些特性，但用戶仍可使用 DB2 SQL 的 完整功能對這些數(shù)據(jù)源進行查詢處理。同時對于某些數(shù)據(jù)源，利用已有的功能會更 有效，更節(jié)約成本， IBM 允許用戶指出聯(lián)邦數(shù)據(jù)源中自己感興趣的功能，然后在查 詢中使用它們，從而使聯(lián)邦系統(tǒng)的用戶不會丟失數(shù)據(jù)源的原有功能。 四、可擴展性和開放性。系統(tǒng)都會隨時間而發(fā)展，可能需要新的數(shù)據(jù)源來滿足 用戶業(yè)務不斷變化的需求。聯(lián)邦技術使增加新的數(shù)據(jù)源變 得很方便。聯(lián)邦數(shù)據(jù)庫引 擎通過獲得或創(chuàng)建包裝器來訪問新型的數(shù)據(jù)源。包裝器體系結構支持新包裝器的創(chuàng) 建。一旦存在包裝器之后，簡單的數(shù)據(jù)定義（ DDL ）語句允許在不停止正在進行的 查詢或事務的情況下動態(tài)地將數(shù)據(jù)源添加到聯(lián)邦體。 五、數(shù)據(jù)源的自治。將數(shù)據(jù)源引入聯(lián)邦體時，聯(lián)邦數(shù)據(jù)庫并不影響原來數(shù)據(jù)源 的本地操作?，F(xiàn)有應用程序的運行也不會發(fā)生變化，既不會修改數(shù)據(jù)也不會移動數(shù) 14 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 據(jù)，接口也保持相同。盡管對聯(lián)邦系統(tǒng)執(zhí)行全局查詢可能會涉及各種數(shù)據(jù)源，但數(shù) 據(jù)源處理數(shù)據(jù)請求的方式并不受此影響。同樣，當數(shù)據(jù)源進入或離開聯(lián)邦體時，不 會影響本地系統(tǒng)的一致性。 IBM 數(shù)據(jù)聯(lián)邦系統(tǒng)的體系結構 在 IBM 數(shù)據(jù)聯(lián)邦系統(tǒng)中，應用程序可以使用任何受支持的接口（包括 ODBC 、 JDBC 或 Web 服務客戶機）與聯(lián)邦服務器交互。聯(lián)邦服務器通過稱為 包裝器的軟件 模塊與數(shù)據(jù)源進行通信。 IBM 聯(lián)邦系統(tǒng)的體系結構如下圖所示 [17] 。 Wrappers Baseend Data Source Data Federated Client Database Server Baseend Data Source Data Catalog Data 圖 233 IBM 聯(lián)邦系 統(tǒng)的體系結構 Configuration of IBM Federal System 從上圖可以看出，各后臺數(shù)據(jù)源的接入是通過一個叫包裝器（ Wrapper ）的組件 來完成的，而對用戶而言是透明的，看到的是一個整體的聯(lián)邦數(shù)據(jù)庫。向聯(lián)邦系統(tǒng) 添加新的數(shù)據(jù)源包括以下幾步。首先，必須安裝用于數(shù)據(jù)源的包裝器，然后必須告 訴 IBM 的聯(lián)邦數(shù)據(jù)庫在何處可找到包裝器。通過 CREATE WRAPPER 語句可以做到 這一點。如果期 望添加的多個數(shù)據(jù)源屬于同一類型，則只需一個包裝器。例如，即 使聯(lián)邦系統(tǒng)包含五個可能在不同機器上的 Oracle 數(shù)據(jù)庫實例，也只需要一個 Oracle 包裝器，因此只需要一條 CREATE WRAPPER 語句。然而，還必須向系統(tǒng)標識每個 單獨的數(shù)據(jù)源。通過 CREATE SERVER 語句可以做到這一點。如果有五個Oracle 數(shù) 據(jù)庫實例，則必須發(fā)出五條 CREATE SERVER 語句。 15 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 IBM 聯(lián)邦查詢過程 IBM 聯(lián)邦查詢處理方法的核心是，聯(lián)邦服務器的優(yōu)化器和包裝器一起為執(zhí)行某 個查詢而形成方案所采用的方式。優(yōu)化器負責研究這些可能的查詢方案的空間。在 連接枚舉中，動態(tài)編程是缺省方法，優(yōu)化器首先生成單表訪問的方案，然后生成雙 向連接等。在每一級別，優(yōu)化器都會考慮各種連接順序和連接方法，如果所有表都 位于一個公共的數(shù)據(jù)源 ，則它認為執(zhí)行這個連接可以在數(shù)據(jù)源中進行，也可以在聯(lián) 邦服務器上進行。 下圖顯示了這一過程。 圖 234 IBM 聯(lián)邦查詢過程 The queryprocess of IBM Federation 本章小結 本章對本文所要采用的相關技術進行了介紹，如 Single SignOn 技術、認證技 術、 SAML 規(guī)范、訪問控制技術、聯(lián)邦技術等。重 點介紹了 Single SignOn 技術、 SAML 規(guī)范及訪問控制技術。 16 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 第三章 商業(yè)銀行統(tǒng)一身份認證模型 Liberty Alliance 統(tǒng)一身份認證解決方案 自由聯(lián)盟方案（ Liberty Alliance Project ）是一個由多個軟、硬件和安全服務供應 商主動聯(lián)合提出的一個開放的標準――安全的集成的身份信息和基于身份信息的服 務。集成的身份信息允許商業(yè)伙伴在自身沒有某一用戶的詳細身份信息情況下，可 以通過用戶賬號來獲得用戶的詳細信息。 Liberty Alliance 規(guī)范 Liberty 規(guī)范的目的是建立一個世界范圍的聯(lián)合的身份解決方案。它提供一個開 放的方式來描述發(fā)生在網(wǎng)絡上的分布式的商業(yè)事務的關鍵屬性。 Liberty 規(guī)范標準的 目標是使得商業(yè)事務中的用戶 無需多次登錄，就能被安全的認證、授權。 一、體系框架 [20] 由兩個部分組成：訪問管理結構和體系結構 。 （ 1）負責者：擁有身份信息提供者提供的身份信息的實體，如用戶。 （ 2 ）身份信息提供者：提供身份信息。 （ 3 ）服務提供者：為負責者提供服務。 三者之間的關系如下：負責者經由身份信息提供者認證后，他將 會獲得由身份 信息提供者提供的認證聲明（ Authentication Assertions ），在服務提供者向他提供服 務之前，負責者會將此聲明交給服務提供者，如果服務提供者信任提交的聲明，負 責者會被服務提供者通過集成的身份信息（通過 SAML 實現(xiàn)）再次認證，一但認證 通過，服務提供者將給負責者提供他擁有權限的服務。 （ 1） Web 重定向。當用戶訪問某一資源站點時，在服務提供者和身份信息提供 者之間建立一條信息通道。此操作可以通過 HTTP 重定向或基于表單 POST 方式的 17 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 重定向來完成。 （ 2 ） Web 服務。給服務提供者和身份信息提供者提供一條直接的信息通道。一 般通過 SOAP 來實現(xiàn)。 （ 3 ）元數(shù)據(jù)和大綱。定義在服務提供者與身份信息提供者之間轉換的信息形式。 二、協(xié)議和大綱 Liberty 協(xié)議有如下幾種協(xié)議 [21] ： （ Single SignOn and Federation）協(xié)議 通過此協(xié)議來完成集成的身份認證和一次登錄。下圖描述了實現(xiàn)單點登錄和集 成身份認證協(xié)議的請求 / 響應過程。 信任域 發(fā)出 Anthn Request 服務提供者 身份信息提供者 （ Services （ Identity 返回 Anthn Response 圖 3111 Liberty Alliance 請求 /響應過 Request and Response of Liberty Alliance 注釋： 1 Authn Request 中包含了服務提供者詳細指明的所需的信息。