【導讀】來越重要，一個最主要的問題就是多個系統(tǒng)身份認證機制的集成化。有網絡環(huán)境上應用。因此，建立一個統(tǒng)一的身份認證和用戶管理系統(tǒng)，該方案采用IBM數據聯邦技術實現用戶身份。信息及安全策略的整合，避免了數據遷移。統(tǒng)間安全信息共享。運用單點登錄技術提供統(tǒng)一認證和集中授權服務，審計）安全服務。本方案的各個層次相對獨立，保證了方案的松散耦合和可擴展性。行系統(tǒng)管理和網絡實施更加簡單有效。

　　

【正文】 聯邦多個異 構數據源而 創(chuàng)建的。 DB2 DataJoiner 的用戶可以隨意查詢存儲在聯邦系統(tǒng)中任意位 置的數據，而不必擔心數據的位置、實際數據源系統(tǒng)的 SQL 語言種類或者存儲的 能力。相反，對于聯邦數據庫中的任何數據，用戶可以按照 DB2 的方式來進行操 作。 Garlic 項目展現了拓展這一思想來構建聯邦體數據庫系統(tǒng)的可行性，該系統(tǒng)可 以有效地使用各種不同的、可能是非關系型數據源的查詢能力。在這些系統(tǒng)中（如 13 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 當今的 DB2 ），中間件查詢處理器促進了優(yōu)化執(zhí)行方案，并彌補了各數據源可能缺 [17] 乏的功能 。 IBM 聯邦技術特征 一、透明性。聯邦技術對用戶掩蓋了底層數據源的差異、特質和實現，使一組 聯邦數據源就像一個數據源。用戶無需知道數據存儲在 哪里（位置透明）；無需知道 數據源支持何種語言或編程接口（調用透明）；無需知道數據源支持哪種 SQL 語支 （語言透明）；無需知道數據以何種物理方式存儲的，或者數據是否被分區(qū)或被復制 （物理數據獨立性、分段和復制透明性）；或者無需知道使用何種網絡協議（網絡透 明性）。用戶看到的應該是一個統(tǒng)一的接口，包括單一的一組錯誤代碼（錯誤代碼透 明性）。 二、異構性。聯邦技術能實現各種不同數據庫技術的數據信息整合。數據源在 許多方面可以不同，如運行在不同的硬件上、使用不同的網絡 協議和軟件來管理數 據存儲、具有不同的查詢語言及查詢能力、或是具有不同的數據模型，聯邦技術可 以容納所有這些差異，將這些數據源封裝在一個無縫的透明聯邦體中，實現異構數 據源的信息整合。 三、優(yōu)化查詢。 IBM 的聯邦技術向用戶提供了兩全其美的特性：對于聯邦體中 的所有數據，它既具有豐富的、符合標準的 DB2 SQL 所有功能，又具有底層數據 源的所有功能。 DB2 SQL 支持許多復雜查詢特性，如內、外連接、嵌套子查詢和 表達式、 遞歸等，許多數據源可能不具有這些特性，但用戶仍可使用 DB2 SQL 的 完整功能對這些數據源進行查詢處理。同時對于某些數據源，利用已有的功能會更 有效，更節(jié)約成本， IBM 允許用戶指出聯邦數據源中自己感興趣的功能，然后在查 詢中使用它們，從而使聯邦系統(tǒng)的用戶不會丟失數據源的原有功能。 四、可擴展性和開放性。系統(tǒng)都會隨時間而發(fā)展，可能需要新的數據源來滿足 用戶業(yè)務不斷變化的需求。聯邦技術使增加新的數據源變 得很方便。聯邦數據庫引 擎通過獲得或創(chuàng)建包裝器來訪問新型的數據源。包裝器體系結構支持新包裝器的創(chuàng) 建。一旦存在包裝器之后，簡單的數據定義（ DDL ）語句允許在不停止正在進行的 查詢或事務的情況下動態(tài)地將數據源添加到聯邦體。 五、數據源的自治。將數據源引入聯邦體時，聯邦數據庫并不影響原來數據源 的本地操作?，F有應用程序的運行也不會發(fā)生變化，既不會修改數據也不會移動數 14 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 據，接口也保持相同。盡管對聯邦系統(tǒng)執(zhí)行全局查詢可能會涉及各種數據源，但數 據源處理數據請求的方式并不受此影響。同樣，當數據源進入或離開聯邦體時，不 會影響本地系統(tǒng)的一致性。 IBM 數據聯邦系統(tǒng)的體系結構 在 IBM 數據聯邦系統(tǒng)中，應用程序可以使用任何受支持的接口（包括 ODBC 、 JDBC 或 Web 服務客戶機）與聯邦服務器交互。聯邦服務器通過稱為 包裝器的軟件 模塊與數據源進行通信。 IBM 聯邦系統(tǒng)的體系結構如下圖所示 [17] 。 Wrappers Baseend Data Source Data Federated Client Database Server Baseend Data Source Data Catalog Data 圖 233 IBM 聯邦系 統(tǒng)的體系結構 Configuration of IBM Federal System 從上圖可以看出，各后臺數據源的接入是通過一個叫包裝器（ Wrapper ）的組件 來完成的，而對用戶而言是透明的，看到的是一個整體的聯邦數據庫。向聯邦系統(tǒng) 添加新的數據源包括以下幾步。首先，必須安裝用于數據源的包裝器，然后必須告 訴 IBM 的聯邦數據庫在何處可找到包裝器。通過 CREATE WRAPPER 語句可以做到 這一點。如果期 望添加的多個數據源屬于同一類型，則只需一個包裝器。例如，即 使聯邦系統(tǒng)包含五個可能在不同機器上的 Oracle 數據庫實例，也只需要一個 Oracle 包裝器，因此只需要一條 CREATE WRAPPER 語句。然而，還必須向系統(tǒng)標識每個 單獨的數據源。通過 CREATE SERVER 語句可以做到這一點。如果有五個Oracle 數 據庫實例，則必須發(fā)出五條 CREATE SERVER 語句。 15 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 IBM 聯邦查詢過程 IBM 聯邦查詢處理方法的核心是，聯邦服務器的優(yōu)化器和包裝器一起為執(zhí)行某 個查詢而形成方案所采用的方式。優(yōu)化器負責研究這些可能的查詢方案的空間。在 連接枚舉中，動態(tài)編程是缺省方法，優(yōu)化器首先生成單表訪問的方案，然后生成雙 向連接等。在每一級別，優(yōu)化器都會考慮各種連接順序和連接方法，如果所有表都 位于一個公共的數據源 ，則它認為執(zhí)行這個連接可以在數據源中進行，也可以在聯 邦服務器上進行。 下圖顯示了這一過程。 圖 234 IBM 聯邦查詢過程 The queryprocess of IBM Federation 本章小結 本章對本文所要采用的相關技術進行了介紹，如 Single SignOn 技術、認證技 術、 SAML 規(guī)范、訪問控制技術、聯邦技術等。重 點介紹了 Single SignOn 技術、 SAML 規(guī)范及訪問控制技術。 16 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 第三章 商業(yè)銀行統(tǒng)一身份認證模型 Liberty Alliance 統(tǒng)一身份認證解決方案 自由聯盟方案（ Liberty Alliance Project ）是一個由多個軟、硬件和安全服務供應 商主動聯合提出的一個開放的標準――安全的集成的身份信息和基于身份信息的服 務。集成的身份信息允許商業(yè)伙伴在自身沒有某一用戶的詳細身份信息情況下，可 以通過用戶賬號來獲得用戶的詳細信息。 Liberty Alliance 規(guī)范 Liberty 規(guī)范的目的是建立一個世界范圍的聯合的身份解決方案。它提供一個開 放的方式來描述發(fā)生在網絡上的分布式的商業(yè)事務的關鍵屬性。 Liberty 規(guī)范標準的 目標是使得商業(yè)事務中的用戶 無需多次登錄，就能被安全的認證、授權。 一、體系框架 [20] 由兩個部分組成：訪問管理結構和體系結構 。 （ 1）負責者：擁有身份信息提供者提供的身份信息的實體，如用戶。 （ 2 ）身份信息提供者：提供身份信息。 （ 3 ）服務提供者：為負責者提供服務。 三者之間的關系如下：負責者經由身份信息提供者認證后，他將 會獲得由身份 信息提供者提供的認證聲明（ Authentication Assertions ），在服務提供者向他提供服 務之前，負責者會將此聲明交給服務提供者，如果服務提供者信任提交的聲明，負 責者會被服務提供者通過集成的身份信息（通過 SAML 實現）再次認證，一但認證 通過，服務提供者將給負責者提供他擁有權限的服務。 （ 1） Web 重定向。當用戶訪問某一資源站點時，在服務提供者和身份信息提供 者之間建立一條信息通道。此操作可以通過 HTTP 重定向或基于表單 POST 方式的 17 上 海 交 通 大 學 碩 士 學 位 論 文 商業(yè)銀行統(tǒng)一身份認證方案設計 重定向來完成。 （ 2 ） Web 服務。給服務提供者和身份信息提供者提供一條直接的信息通道。一 般通過 SOAP 來實現。 （ 3 ）元數據和大綱。定義在服務提供者與身份信息提供者之間轉換的信息形式。 二、協議和大綱 Liberty 協議有如下幾種協議 [21] ： （ Single SignOn and Federation）協議 通過此協議來完成集成的身份認證和一次登錄。下圖描述了實現單點登錄和集 成身份認證協議的請求 / 響應過程。 信任域 發(fā)出 Anthn Request 服務提供者 身份信息提供者 （ Services （ Identity 返回 Anthn Response 圖 3111 Liberty Alliance 請求 /響應過 Request and Response of Liberty Alliance 注釋： 1 Authn Request 中包含了服務提供者詳細指明的所需的信息。