【正文】 Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn) 統(tǒng)一用戶身份管理　　用戶身份管理服務(wù)功能可以實現(xiàn)集中或分布式的工作方式，對一個中央用戶資料數(shù)據(jù)庫進(jìn)行統(tǒng)一操作，系統(tǒng)管理員權(quán)限可以分派到以組為單位，訪問權(quán)限的管理可以下放在各個級別，理論上可以分無限個下放級別。通過管理權(quán)限的下放，可以快速實現(xiàn)對用戶資料的更新，簡化用戶(組)管理帶來的工作量。用戶身份管理可以實現(xiàn)以下任務(wù)：(1)、提供自動和管理員確認(rèn)兩種模式的用戶注冊功能系統(tǒng)支持自動根據(jù)預(yù)定義的策略完成對注冊用戶的授權(quán)，即自動注冊功能，也支持用戶注冊后，由管理員進(jìn)行確認(rèn)并進(jìn)行授權(quán)的管理模式；(2)、直觀的圖形化用戶組織管理界面用戶組織管理模塊以圖形的方式支持管理員完成應(yīng)用系統(tǒng)用戶組以及應(yīng)用系統(tǒng)內(nèi)部的角色等相應(yīng)信息的注冊，提供用戶組視圖和角色視圖兩種視圖：　　1) 、用戶組視圖主要維護(hù)用戶組與相對應(yīng)的應(yīng)用系統(tǒng)的管理，以及進(jìn)行用戶組的增加、刪除和修改等工作?！　?) 、角色視圖對于每個應(yīng)用系統(tǒng)內(nèi)部的角色的數(shù)據(jù)進(jìn)行維護(hù)管理。包括：角色I(xiàn)D，角色名稱，角色歸屬，以及設(shè)置該角色的所需要的權(quán)限等。(3)、簡單方便的用戶管理界面用戶管理模塊負(fù)責(zé)用戶的數(shù)據(jù)管理，它應(yīng)包括以下子模塊：　　1) 、用戶基本信息維護(hù)子模塊。該子模塊應(yīng)該能完成對用戶基本信息的管理和維護(hù)。用戶的基本信息包括：包括個人姓名，登錄密碼，注冊郵箱等信息，包括對這些數(shù)據(jù)的錄入、修改和刪除等功能。　　2) 、用戶角色設(shè)置子模塊。在統(tǒng)一認(rèn)證平臺中，用戶享有的權(quán)限主要由其在應(yīng)用系統(tǒng)中擔(dān)任的角色來確定。用戶角色設(shè)置模塊完成對用戶角色的賦予、剝奪等工作?！　?4)、基于角色的授權(quán)管理模塊　　身份統(tǒng)一認(rèn)證平臺授權(quán)范圍主要是認(rèn)定哪些角色可以使用哪些系統(tǒng)，而對于這些角色在系統(tǒng)中能夠使用哪些應(yīng)用，使用到什么程度是由各應(yīng)用系統(tǒng)來確定的?；谶@樣一個統(tǒng)一的授權(quán)入口，管理員應(yīng)該可以完成以下工作：　　1) 、查詢用戶在整個網(wǎng)絡(luò)系統(tǒng)應(yīng)用中能夠使用哪些系統(tǒng)，在這些系統(tǒng)中分別擁有什么樣的權(quán)限；　　2) 、維護(hù)用戶總體權(quán)限，對于該用戶能夠使用的系統(tǒng)，該模塊通過身份統(tǒng)一認(rèn)證系統(tǒng)管理中西直接對相關(guān)子系統(tǒng)進(jìn)行授權(quán)管理，快速完成用戶全部的授權(quán)管理，而不需要熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)單個進(jìn)入各應(yīng)用系統(tǒng)本身。 用戶身份認(rèn)證服務(wù)　　用戶身份認(rèn)證服務(wù)允許管理員方便地對各種規(guī)模的用戶進(jìn)行統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)。 身份認(rèn)證定義 一個身份是一個指定的參與者，一個參與者是一個惟一確定的實體。就計算機(jī)系統(tǒng)而言，身份是實體的一種計算機(jī)表達(dá)。通常，一個用戶就是約束為一個獨(dú)立實體的身份，特定的系統(tǒng)也有不同的約束條件。系統(tǒng)使用許多不同的方法來表達(dá)用戶身份。認(rèn)證就是驗證用戶身份的過程，證實用戶身份與其宣稱的身份是否相符，認(rèn)證技術(shù)源于認(rèn)證系統(tǒng)中不斷出現(xiàn)的身份欺詐問題。如非授權(quán)的非法問題，身份認(rèn)證是對用戶身份的證實，用以識別合法或者非法的用戶，阻止未授權(quán)用戶訪問網(wǎng)絡(luò)資源。 身份認(rèn)證的方法1．通過一個用戶所知道的某些信息對其進(jìn)。例如用戶密碼和用戶名，這是目前軟件系統(tǒng)最常用的方法，雖然不一定是最安全的方法。2．通過用戶所擁有的某些東西對其進(jìn)行驗證。例如鑰匙、身份證等，這是日常生活中常見 的驗證身份方法，在計算機(jī)系統(tǒng)中，主要用于CA的身份識別。3．通過用戶本身所具備的生理特性對其進(jìn)行驗證。如用戶的指紋或者視網(wǎng)膜，這是最安全也是最昂貴的方式，而且就目前的技術(shù)而言，其本身識別率沒有達(dá)到100%，現(xiàn)在更多利用其作為輔助驗證的手段。 身份認(rèn)證的意義1) 用戶身份是訪問控制決策的一個參數(shù)。通過認(rèn)證，可以將一個系統(tǒng)的參與者綁定為計算機(jī)內(nèi)部的身份表達(dá)。不同的系統(tǒng)有不同的表達(dá)方法，但所有的訪問決策和資源分配操作都要假定這種綁定是正確的。2) 在將安全相關(guān)事件記入審計日志時，用戶身份要被記錄下來。實現(xiàn)可追查要依賴這些審計日志，可追查性要求參與者有明確的身份表達(dá)。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn) 統(tǒng)一身份認(rèn)證模式　　統(tǒng)一身份認(rèn)證是由一個全網(wǎng)絡(luò)系統(tǒng)范圍內(nèi)唯一的認(rèn)證服務(wù)系統(tǒng)接管應(yīng)用各自的認(rèn)證模塊，應(yīng)用系統(tǒng)只需要遵循統(tǒng)一認(rèn)證服務(wù)調(diào)用接口，利用簽名認(rèn)證、用戶名／口令認(rèn)證等多種認(rèn)證方式來實現(xiàn)用戶身份的認(rèn)證過程?！　〗y(tǒng)一認(rèn)證結(jié)構(gòu)涉及的實體主要包括：統(tǒng)一身份認(rèn)證服務(wù)的用戶(UserInfo)、統(tǒng)一身份認(rèn)證服務(wù)的應(yīng)用系統(tǒng)(Application)、應(yīng)用系統(tǒng)的編號(applicationId)及用戶登錄統(tǒng)一身份認(rèn)證服務(wù)后，創(chuàng)建的一個活躍的會話(Session)，并獲得會話的認(rèn)證令牌?！　〗y(tǒng)一認(rèn)證的應(yīng)用模式主要有三種：(1) 以應(yīng)用系統(tǒng)的身份認(rèn)證組件形式工作這個應(yīng)用模式是最基本的應(yīng)用模式，處在主導(dǎo)地位的是應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)自身沒有用戶系統(tǒng)，涉及的賬號是統(tǒng)一身份認(rèn)證服務(wù)的用戶賬號。： 身份認(rèn)證組件模式　　1) 、用戶使用在統(tǒng)一認(rèn)證服務(wù)注冊的用戶名和密碼(也可能是其它授權(quán)信息，比如數(shù)字簽名等)登錄應(yīng)用系統(tǒng)A?！　?) 、應(yīng)用系統(tǒng)A將用戶名和密碼連同自己的標(biāo)識(應(yīng)用系統(tǒng)A 的標(biāo)識)一起轉(zhuǎn)發(fā)給統(tǒng)一認(rèn)證服務(wù)，要求統(tǒng)一認(rèn)證服務(wù)完成登錄操作。　　3) 、統(tǒng)一認(rèn)證服務(wù)核查自己的應(yīng)用系統(tǒng)注冊庫(使用UDDI Registry)，看看應(yīng)用系統(tǒng)A是否已經(jīng)是統(tǒng)一認(rèn)證服務(wù)的用戶系統(tǒng)，同時在用戶注冊庫中核查由應(yīng)用系統(tǒng) A轉(zhuǎn)發(fā)過來的用戶名和密碼?！　?) 、待核查完畢后，統(tǒng)一認(rèn)證服務(wù)響應(yīng)應(yīng)用系統(tǒng)A，登錄完成。　　5) 、應(yīng)用系統(tǒng)A創(chuàng)建一個系統(tǒng)會話(Session，系統(tǒng)A自己的機(jī)制)，并將應(yīng)用系統(tǒng)A 自熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)己的權(quán)限令牌返回給用戶。以后用戶端可以通過這個權(quán)限令牌持續(xù)訪問應(yīng)用系統(tǒng)A ，直至退出系統(tǒng)或是會話超時?！　?2)、以統(tǒng)一身份認(rèn)證服務(wù)為核心的服務(wù)使用模式用戶登錄統(tǒng)一身份認(rèn)證服務(wù)后，即可使用所有支持統(tǒng)一身份認(rèn)證服務(wù)的應(yīng)用系統(tǒng)。與第一種的不同之處在于：統(tǒng)一認(rèn)證服務(wù)創(chuàng)建了一個會話，同時將與該會話關(guān)聯(lián)的訪問認(rèn)證令牌返回給用戶；用戶使用這個訪問認(rèn)證令牌訪問某個支持統(tǒng)一身份認(rèn)證服務(wù)的應(yīng)用系統(tǒng)；該應(yīng)用系統(tǒng)將訪問認(rèn)證令牌傳入統(tǒng)一身份認(rèn)證服務(wù)；統(tǒng)一身份認(rèn)證服務(wù)確認(rèn)認(rèn)證令牌的有效性；應(yīng)用系統(tǒng)接收訪問，并返回訪問結(jié)果。以統(tǒng)一身份認(rèn)證服務(wù)為核心的： 以統(tǒng)一身份認(rèn)證服務(wù)為核心的服務(wù)使用模式 基于權(quán)限分散的統(tǒng)一授權(quán)　　目前，大部分公司或者其他組織單位的網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀是每個應(yīng)用子系統(tǒng)都是由不同的單位來開發(fā)，并且將來新系統(tǒng)也只能是從外面采購或者第三方公司定制開發(fā)，這種現(xiàn)狀造成系統(tǒng)的權(quán)限管理只能是一種松耦合的權(quán)限管理方式。即在門戶上只定義用戶在整個系統(tǒng)中的粗權(quán)限，即訪問某個資源的權(quán)限，而在子系統(tǒng)中的權(quán)限則由二次鑒權(quán)來實現(xiàn)。該系統(tǒng)將采用基于角色的用戶訪問控制模型(RBAC) ，并且參考LDAP用戶樹狀模型的特點(diǎn)，并對該模型進(jìn)行擴(kuò)充，引入了用戶組，較適合于用戶的授權(quán)與管理定義。通過角色的配置，給予每個角色定義資源的訪問權(quán)限，然后再對這些用戶或者用戶組授予相應(yīng)的角色權(quán)限?！　≡诿總€應(yīng)用系統(tǒng)中，采用二次鑒權(quán)，也就是用戶統(tǒng)一集中管理，單點(diǎn)登錄只解決用熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)戶登錄和用戶能否有進(jìn)入某個應(yīng)用的權(quán)限問題，而在每個業(yè)務(wù)系統(tǒng)的權(quán)限則由各自的業(yè)務(wù)系統(tǒng)進(jìn)行控制。原因是這些應(yīng)用系統(tǒng)都有自己的權(quán)限和資源管理策略，并且都已經(jīng)在各自的業(yè)務(wù)系統(tǒng)內(nèi)部實現(xiàn)了。如果要采用統(tǒng)一集中的權(quán)限控制策略，那么各自的應(yīng)用系統(tǒng)都修改比較大。這種方式，對于所有系統(tǒng)都是自己開發(fā)時比較合適，而對于第三方系統(tǒng)以及以后新的應(yīng)用系統(tǒng)的加入，都帶來非常的不方便，影響業(yè)務(wù)的正常運(yùn)行，因而基于以上考慮，在系統(tǒng)中采用基于權(quán)限分散的統(tǒng)一認(rèn)證系統(tǒng)來實現(xiàn)?！　』跈?quán)限分散的統(tǒng)一認(rèn)證系統(tǒng)提出了一套基于用戶、用戶組、業(yè)務(wù)和角色相結(jié)合的身份控制系統(tǒng)，具體的實現(xiàn)如下：　　設(shè)：系統(tǒng)定義m個用戶分別為UUU3.......Um；n個業(yè)務(wù)分別為AAA3.....An；p個用戶組分別為GGG3.....Gp．用戶組是相關(guān)用戶的組合，具體表達(dá)為：Gk = [U1][∪U2] [∪U3] [∪…] [∪Um] 公式中[]表示可選的意思，該公式表明，一個用戶組可以定義為數(shù)個用戶的組合。 設(shè)：系統(tǒng)定義了q個角色組分別為RR?Rq。角色為不同業(yè)務(wù)權(quán)限的組合，表達(dá)為：Ri = [A1][∪A2][∪A3][ ∪ …][∪An] 該式表明，一個角色權(quán)限可以定義為幾個不同的業(yè)務(wù)權(quán)限的組合。那么對于用戶U，(j∈(1 ，2，?．m)) 來說，其權(quán)限可定義為Uj = [R1][∪R2][∪R3][∪…][∪Rq] 即一個用戶U的業(yè)務(wù)權(quán)限可以用分配給用戶的不同的應(yīng)用系統(tǒng)的角色的權(quán)限組合集合表示。通過以上設(shè)置，我們可以獲得各個用戶所需要的系統(tǒng)權(quán)限。而授予用戶權(quán)限，只需要將相應(yīng)的角色分配給系統(tǒng)用戶即可，而無需直接將權(quán)限分配給用戶，這樣可以更加方便的有效的控制系統(tǒng)權(quán)限。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)第四章 系統(tǒng)功能分析與結(jié)構(gòu)設(shè)計在本章中，主要根據(jù)目前國內(nèi)一般公司、校園或者其他組織單位的網(wǎng)絡(luò)系統(tǒng)存在的用戶管理和認(rèn)證問題，并借鑒國內(nèi)外相關(guān)的研究成果，提出一種較為通用的、統(tǒng)一的、應(yīng)用級的、基于角色的用戶認(rèn)證系統(tǒng)的設(shè)計思路。 系統(tǒng)調(diào)研分析隨著互聯(lián)網(wǎng)的高度發(fā)展，信息安全也就成為了愈發(fā)重視的問題。尤其是在某個公司、學(xué)?；蛘咂渌M織單位的統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)中，都各自擁有著眾多的應(yīng)用子系統(tǒng)，而每一個應(yīng)用子系統(tǒng)都有著自己獨(dú)立的用戶認(rèn)證機(jī)制。這樣一來就無形中增加了用戶登錄信息的風(fēng)險性，同時也使用戶的認(rèn)證流程顯得繁瑣與冗雜。另外，在當(dāng)下國內(nèi)很多的高校都在進(jìn)行找數(shù)字化、信息化校園建設(shè)，而針對校園網(wǎng)絡(luò)中眾多的應(yīng)用系統(tǒng)，如數(shù)字圖書館習(xí)題、OA 系統(tǒng)、教學(xué)資源管理系統(tǒng)等，就十分有必要提出一種解決方案，來保證校園網(wǎng)內(nèi)訪問的順暢和安全。而在一般的公司單位或者其他的事業(yè)單位中，其網(wǎng)絡(luò)建設(shè)也存在著這樣的一種問題，不同的應(yīng)用系統(tǒng)需要不同的用戶認(rèn)證機(jī)制，這樣就不能充分的利用好現(xiàn)有的資源，難以發(fā)揮出團(tuán)隊?wèi)?yīng)有的潛力和能量。并且國內(nèi)的一些企事業(yè)單位在進(jìn)行網(wǎng)絡(luò)建設(shè)的過程中，往往也會出現(xiàn)注重硬件建設(shè)而輕視軟件建設(shè)的做法，這樣更加限制了網(wǎng)絡(luò)系統(tǒng)內(nèi)部資源的利用。基于目前國內(nèi)一般網(wǎng)絡(luò)建設(shè)的現(xiàn)狀分析、和上述章節(jié)對身份認(rèn)證系統(tǒng)功能的分析，本章對本文所提出的基于 Web Service 的身份統(tǒng)一認(rèn)證系統(tǒng)進(jìn)行了設(shè)計。 系統(tǒng)設(shè)計目標(biāo) 系統(tǒng)功能目標(biāo) 統(tǒng)一身份認(rèn)證系統(tǒng)需要實現(xiàn)兩大功能： (1)、對用戶和系統(tǒng)的身份認(rèn)證。通過用戶的身份和成員站點(diǎn)對用戶的權(quán)限分配，用戶可在該系統(tǒng)中獲得訪問某成員站點(diǎn)的權(quán)限。 (2)、對用戶與成員站點(diǎn)之間的權(quán)限控制。通過系統(tǒng)的身份和用戶對成員站點(diǎn)的權(quán)限控制，成員站點(diǎn)可在該系統(tǒng)中獲得察看用戶信息的權(quán)限。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn) 系統(tǒng)性能目標(biāo)統(tǒng)一身份認(rèn)證系統(tǒng)將管理海量的用戶和成員站點(diǎn)信息，這對予系統(tǒng)的性能要求很高，同時網(wǎng)絡(luò)的性能要求也很高，所以基于Web Service統(tǒng)一身份認(rèn)證要能夠達(dá)到以下性能目標(biāo)：1．安全性　　身份驗證機(jī)制設(shè)計合理，充分考慮系統(tǒng)的安全性，能夠防止目前常見網(wǎng)絡(luò)攻擊（監(jiān)聽、重發(fā)、篡改斷言等）的機(jī)制，防止攻擊者的非法訪問，使系統(tǒng)安全得到保障。2．方便性　　系統(tǒng)需要減少用戶多次的登錄認(rèn)證，減少用戶使用系統(tǒng)的負(fù)擔(dān)，減輕系統(tǒng)管理員驗證基礎(chǔ)維護(hù)的工作量，企業(yè)在進(jìn)行統(tǒng)一身份認(rèn)證改造后，用戶使用系統(tǒng)應(yīng)該更加方便。3．靈活性　　系統(tǒng)可以靈活滿足企業(yè)用戶的實際需要，從用戶的需求出發(fā)，使用戶的身份和訪問控制信息都能靈活的進(jìn)行配置，并且能夠適應(yīng)將來的擴(kuò)展需要，滿足企業(yè)實際的業(yè)務(wù)需要。 運(yùn)行環(huán)境分析 (1)、服務(wù)器使用的操作系統(tǒng)選擇1)　windows xp、windows 7 系統(tǒng)；2)　Linux系統(tǒng)。Linux 服務(wù)器具有低成本、性能卓越、代碼開放等特性。(2)、數(shù)據(jù)庫系統(tǒng)的選擇 數(shù)據(jù)庫主要用來存儲系統(tǒng)中所有用戶的詳細(xì)信息以及角色信息，多數(shù)應(yīng)用可使用基于Windows環(huán)境的中型數(shù)據(jù)庫MySql 數(shù)據(jù)庫服務(wù)器，具有易于操作和掌握的特點(diǎn)，價格較低。 Web Service 提供服務(wù)與平臺無關(guān)，關(guān)鍵是要找到能夠運(yùn)行在某個操作系統(tǒng)下的能部署 Web service 環(huán)境的應(yīng)用服務(wù)器。MySql 是一個小型關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，開發(fā)者為瑞典 MySql AB 公司。目前 MySql 被廣泛地應(yīng)用在 Inter 上的中小型網(wǎng)站中。由于其體積小、速度快、總體擁有成本低，尤其是開放源碼這一特點(diǎn)，許多中小型網(wǎng)站為了降低網(wǎng)站總體擁有成本而選擇了 MySql 作為網(wǎng)站數(shù)據(jù)庫。 另外 MySql 為多種編程語言提供了 API。這些編程語言包括熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)C、C++、Eiffel、Java、Perl、PHP、Python 、Ruby 和 Tcl 等； 支持多線程，充分利用CPU 資源，優(yōu)化的 SQL 查詢算法，有效地提高查詢速度；既能夠作為一個單獨(dú)的應(yīng)用程序應(yīng)用在客戶端服務(wù)器網(wǎng)絡(luò)環(huán)境中，也能夠作為一個庫而嵌入到其他的軟件中提供多語言支持，常見的編碼如中文的 GB 231BIG5，日文的 Shift_JIS 等都可以用作數(shù)據(jù)表名和數(shù)據(jù)列名；提供 TCP/IP、ODBC 和 JDBC 等多種數(shù)據(jù)庫連接途徑等等。一個動態(tài)的網(wǎng)站不僅需要編程語言的支持，還要有強(qiáng)有力的信息存儲能力，這就需要數(shù)