(通信与信息系统专业论文)基于saml和cpk的统一身份鉴别技术研究.pdf_第1页
(通信与信息系统专业论文)基于saml和cpk的统一身份鉴别技术研究.pdf_第2页
(通信与信息系统专业论文)基于saml和cpk的统一身份鉴别技术研究.pdf_第3页
(通信与信息系统专业论文)基于saml和cpk的统一身份鉴别技术研究.pdf_第4页
(通信与信息系统专业论文)基于saml和cpk的统一身份鉴别技术研究.pdf_第5页
已阅读5页,还剩67页未读 继续免费阅读

(通信与信息系统专业论文)基于saml和cpk的统一身份鉴别技术研究.pdf.pdf 免费下载

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

四川大学硕士学位论文基于s a m 3 和c p k 的统一身份鉴别技术研究 基于s a m l 和c p k 的统一身份鉴别技术研究 通信与信息系统专业 研究生付佳指导老师方勇 摘要 随着因特网技术的迅速发展,基于因特网的应用模式也在不断演变。越来越 多的企业和政府部门依赖因特网来发布信息与提供服务,并构建跨企业的虚拟组 织或虚拟企业以实现大规模资源共享。 w e bs e r v i c e 是当前最流行的异构分布技术,它建立在开放和标准的规范之 上,允许异构的客户端调用它所提供的服务。一个典型的w c bs e r v i c e 实现可以充 分利用多种不同的技术、对象模型以及编程语言。w e bs e r v i c e 采用了s o a p 、h i q p 和x m l 技术来实现,因而它具有在不同的环境下实现互操作的特点。w e b s e r v i c e 的出现使得企业与其合作伙伴、客户、员工之间的信息交流变得更加的密切。 出于降低安全风险和保护服务资源的考虑,企业一般都把所提供的w c b s e r v i c e 的应用限制在本企业内部。内部用户访问企业服务,通过用户名和口令方 式进行身份鉴别。当企业服务存在多个应用服务系统时,各个应用系统完全有可 能由不同的组织开发,如果各应用系统采用各自的用户和权限管理的方式进行处 理的话,那么整个服务系统的管理和维护将是非常的复杂和麻烦。同时,系统中 一个用户存在多个口令和用户描述信息的情况也存在巨大的安全风险。针对这样 的安全和管理问题,一般都采用统一身份鉴别的方案来解决。 本文根据w 曲s e r v i c e 实际应用的安全需求,研究了基于s a m l 标准和c p k 机制的统一身份鉴别技术。通过研究w e bs e r v i c e 相关技术以及s a m l 标准,提 出了改进的统一身份鉴别服务模型,并给出了该统一身份鉴别服务系统的设计和 实现。整个统一身份鉴别服务划分为四大模块,分别为身份鉴别模块,信息查询 模块,访问控制模块以及管理模块。身份鉴别模块的主要功能是完成对用户身份 的集中验证,并在验证成功后返回给用户一个基于s a m l 断言的身份令牌以供用 户访问其他具有相互信任关系的服务,这样,在用户访问其他服务时,这个服务 端即可以根据这个令牌得知用户的身份与属性信息,从而进行访问控制的判决。 信息查询模块的主要功能是提供查询用户身份属性信息和鉴别信息的接口,便于 西川大学硕士学位论文基于s a m 和c p k 的统一身份鉴别技术研究 服务端或者管理员查询使用。访问控制模块的主要功能是根据用户访问服务时发 来的s a m l 令牌,解析并迸行策略判断处理,向用户返回访问控制判决信息。管 理模块的主要功能则是为管理员提供一个管理用户身份信息与角色信息的接口, 便于用户信息的更新、增加、删除等。本文还设计了基于s a m l 标准的各个模块 的输入输出参数,虚拟了一套企业人事组织系统,并使用w e bs e r v i c e 开发工具开 发和发布了各个模块的服务。出于安全方面的考虑,本文研究了基于椭圆曲线的 c p k 机制并在此基础上用v c 实现了双机之间基于e c c 数字签名的身份鉴别,为 将其结合到基于s a m l 的统一身份鉴别中提供了技术基础。 本文分析了实现技术的安全性,提出了相应的解决方案。并在文章的最后, 提出了下一步的改进方案。 关键词:w e bs e r v i c es a m , 统一身份鉴别c p k 四川大学硕士学位论文摹于s a m l 和c p k 的绕一身份鉴剐技术研究 s t u d yo fu n i f i e di d e n t i t ya u t h e n t i c a t i o nt e c h n o l o g y b a s e do ns a m la n dc p k m a j o r :c o m m u n i c a t i o n & i n f o r m a t i o ns y s t e m p o s t g r a d u a t e :f uji as u p e r vis o l :f a n gy o n g a b s t r a c t w i t ht h ep r o m p t d e v e l o p m e n to f i u t e r n e tt e c h n i q u e s ,t h ei n t e r a c t - b a s e da p p l i c a t i o n p a t t e r ni se v o l v i n gc o n s t a n t l y m o r ea n dm o r ee n t e r p r i s e sa n dg o v e r n m e n td e p a r t m e n t s d e p e n d o ni n t e r a c tt oi s s u ei n f o r m a t i o na n do f f e r s e r v i c e s ,t l l e ya l s ob u i l d e n t e r p r i s e a s t r i d es u b j u n c t i v eo r g a n i z a t i o n sa n ds u b j u n c t i v ee n t e r p r i s e st oa c c o m p l i s h t h ec o m m o ns h a r e do f r e s o u r c e si nal a r g es c a l e w e bs e r v i c ei st h em o s tp o p u l a ri s o m e r i s md i s t r i b u t i o nt e c h n o l o g y , w h i c hi s f o u n d e do no p e na n ds t a n d a r ds p e c i f i c a t i o n s ,s oi t ss e r v i c e sc a i lb ec a l l e db yi s o m e r i s m c l i e n t s at y p i c a lw e bs e r v i c ea c c o m p l i s h m e n tc a l li m p o s eo nm u l t i p l et e c h n i q u e s , m u l t i p l eo b j e c tm o d e sa n dm u l t i p l ep r o g r a m m i n gl a n g u a g e s b yr e a s o nt h a tt h e a c c o m p l i s h m e n to fw e bs e r v i c ea d o p t ss o a p , h t t pa n d ) 0 田l s ot h es p e c i a l i t yo f w c bs e r v i c ei st h a ti tc a na c c o m p l i s hi n t e r o p e r a b i l i t yu n d e rd i f f e r e n ts u r r o u n d i n g s t h e a p p e a r a n c eo fw e b s e r v i c ei n a k e st h ei n f o r m a t i o ni n t e r c h a n g eb e t w e e ne n t e r p r i s e sa n d t h e i rp a r t n e r s ,c u s t o m e r s ,e m p l o y e e sm o r ec l o s e l y t a k i n gt h ed e g r a d a t i o no fs e c u r i t yr i s ka n dt h ec o n s e r v a t i o no fr e s o u r c e si n t o a c c o u n t , e n t e r p r i s e sg e n e r a l l yc o n s t r a i nt h ea p p l i c a t i o no fw e bs e r v i c ei n w a r d i f i n t e r n a lu s e r sw a n tt oa c c e s ss e r v i c e s ,t h e ym u s tp a s st h ei d e m i t ya u t h e n t i c a t i o n 协 o f f e r i n gu s e rf l a m e sa n dp a s s w o r d s 1 i ) i ,l l i l et h e r ea r em a n ya p p l i c a t i o ns e r v i c e si na n e n t e r p r i s es e r v i c e ,m a y b ee v e r ya p p l i c a t i o ns e r v i c ei sa b s o l u t e l yd e v e l o p e db yd i f f e r e m g r o u p s ,i fe v e r ya p p l i c a t i o ns y s t e mu s e si t so w ns t y l et om a n a g ei t su s e r sa n dt h e i r a u t h o r i t y , t h e nt h em a n a g e m e n ta n dm a i n t e n a n c eo f t h ew h o l es y s t e ma r ev e r yc o m p l e x a n dt r o u b l e s o m e i nt h em e a n w h i l e 嬲t h e r ea r eag r e a td e a lo fo n eu s e r sr e p e a t i 四川大学硕士学位论文 基于s a m l 和c p k 的统一身份鉴别技术研究 i n f o r m a t i o na n dp a s s w o r d s t h e r ea l s om u s tb ee n o r m o u ss e c u r i t yr i s k si nt h en e t s y s t e m i no r d e rt or e s o l v et h i sp r o b l e m , m a n yp r o j e c t sg e n e r a l l ya d o p t u n i f i e di d e n t i t y a u t h e n t i c a t i o ns y s t e m a c c o r d i n gt ot h es e c u r i t yr e q u i r e m e n to fw e bs e r v i c e ,t h i sp a p e rr e s e r c h e si n t oa s c h e m eo f u n i f i e di d e n t i t ya u t h e n t i c a t i o nt h a ti sb a s e do ns a m la n dc p k b ys t u d y i n g t h ec o r r e l a t i v et e c h n i q u eo fw e bs e r v i c ea n ds a m ls t a n d a r d , t h i sp a p e rp r e s e n t sa l l i m p r o v e dm o d e lo fu n i f i e di d e n t i t ya u t h e n t i c a t i o na sw e l l a sg i v e st h ed e s i g na n d a c c o m p l i s h m e n to ft h em o d e l t h i sp a p e r d i v i d e st h ew h o l es e r v i c ei n t of o u rm o d u l e s t h a ta r ei d e n t i t ya u t h e n t i c a t i o nm o d u l e ,i n f o r m a t i o nq u e r ym o d u l e ,a c c e s sc o n t r o l m o d u l ea n dm a n a g e m e n tm o d u l e 1 1 1 em a j o rf u n c t i o no fi d e n t i t ya u t h e n t i c a t i o nm o d u l e i st oa c c o m p l i s ht h ec o n c e n t r a t e da u t h e n t i c a t i o no f u s e r si d e n t i t y , a n dr e t u n la ns a m l a s s e r t i o n - b a s e di d e n t i t yc a r dt ou s e ra f t e rs u c c e s s f u la u t h e n t i c a t i o n , t h i si d e n t i t yc a r di s u s e df o ra c c e s s i n go t h e rs e r v i c e st h a th a v et r u s t a b l er e l a t i o n s i nt h i sw a y , w h i l et h e u s e ra c c e s s e so t h e rs e r v i c e s ,t h es e r v e r sc a l la c q u i r et h eu s e r si d e n t i t ya n da t t r i b u t e i n f o r m a t i o nf r o mt h ec a r d ,t h u s ,t h es e w e r sc a l lm a k ea d j u d g e m e n to fa c c e s sc o n t r 0 1 1 1 1 em a i nf u n c t i o no fi n f o r m a t i o nq u e r ym o d u l ei so f f e r i n gt h ei n t e r f a c eo f q u e r y i n g u s e r s i d e n t i t ya t t r i b u t ea n da u t h e n t i c a t i o ni n f o r m a t i o nt os e r v e r sa n da d m i n i s t r a t o r s t h em a j o rf u n c t i o no fa c c e s sc o n t r o lm o d u l ei sa n a l y z i n gu s e r s s a m li d e n t i t yc a r d s a n dd e t e r m i n i n gw h e t h e rt h er e q u e s t sa r ca l l o w a b l e n e s s ,r e t u r n i n ga c c e s sc o n t r o l d e c i s i o n st ou s e r s n em a i nf u n c t i o no f m a n a g e m e n tm o d u l ei st oo f f e r t h ei n t e r f a c eo f m a n a g i n gt h ei d e n t i t ya n dr o l ei n f o r m a t i o nt oa d m i n i s t r a t o r s ,w h i c hw i l lf a c i l i t a t et h e r e n e w , a d d i t i o n , d e l e t i o no fu s e r si n f o r m a t i o n n l i sp a p e rd e s i g n st h es a m l - b a s e d i n p u ta n do u t p u tp a r a m e t e r so fe v e r ym o d u l e ,s u p p o s e sa s e to fp e r s o n n e ls y s t e m , d e v e l o p sa n dr e l e a s e st h es e r v i c eo fe v e r ym o d u l eb yu s i n gw e b s e r v i c ed e v e l o p m e n t t o o l s a l l o wf o rt h es e c u r i t ya s p e c t , t h i sp a p e rm a k e sas t u d yo fe c c - b a s e dc p k m e c h a n i s ma n dc o m e s t h r o u g he c cd i g i t a ls i g n a t u r e - b a s e dd u a lm a c h i n e a u t h e n t i c a t i o nu s i n gv c ,o f f e r i n gt h et e c h n o l o g yf o u n d a t i o no fc o m b i n i n gc p kt o s a m l - b a s e du n i f i e di d e n t i t ya n t h e n t i c a t i o n a f t e ra n a l y z i n gt h es e c u r i t yo ft h i ss y s t e m , t h ep a p e rp r o p o s e st h ec o r r e s p o n d i n g s o l u t i o n s a tt h ee n do f t h i sp a p e r , i tg i v e ss o m ei m p r o v a b l ea d v i e e sf o rt h en e x ts t e p k e y w o r d s :w e bs e r v i c es a m l u n i f i e di d e n t i t ya u t h e n t i c a t i o nc p k w 四川大学硕士学位论文基于s a m l 和c p k 的统一身份鉴别技术研究 1 绪论 1 1 研究背景 1 1 1w e bs e r v i c e 技术概述 w e bs e r v i c e 是当前最流行的异构分布技术,它建立在开放和标准的规范之 上,允许异构的客户端调用它提供的服务。w e bs e r v i c e 是自包含、自描述、模块 化的应用,可以发布、定位并通过w e b 调用其提供的服务。w e bs e r v i c e 能单独 使用,也可以和其他的w e bs e r v i c e 联合,因此能执行从简单请求到复杂商务处理 的任何功能。w e bs e r v i c e 技术基础结构保证:即使由不同供应商提供的服务也能 相互操作,以创建完整的业务过程【”。 w e bs e r v i c e 是下一代的3 w ,它允许在w e b 站点上放置可编程的元素,能实 现基于w e b 的分布式计算和处理。一个典型的w e bs e r v i c e 实现可以充分利用多 种不同的技术、对象模型以及编程语言。w e bs e r v i c e 采用了s o a p 、h t l 甲和x m l 技术来实现,因此它具有在不同的环境下实现互操作的特点。w e bs e r v i c e 的发展 迅速,它的新规范的构建模块在出现后的仅仅几个月,就使得基于w e b 应用的设 计、开发和部署发生了巨大的变化,它的出现使得企业与其合作伙伴、客户、员 工之间的信息交流变得更加的密切。 1 1 2 统一身份鉴别技术概述 随着信息化过程的不断深入发展,不可能有单个应用服务系统能够囊括一个 企业内部的所有服务,用户接触的应用服务系统越来越多,而随着各个企业间相 互合作交流的增加,用户使用其他企业提供的应用服务系统也必然越来越多,出 于降低安全风险和保护服务资源的考虑,企业一般都把所提供的w e bs e r v i c e 的应 用限制在本企业内部。内部用户访问企业服务,通过用户名和口令方式进行身份 鉴别。当企业服务存在多个应用服务系统时,各个应用系统完全有可能由不同的 组织开发,如果各应用系统采用各自的用户和权限管理的方式进行处理的话,那 么整个服务系统的管理和维护将是非常的复杂和麻烦。同时,用户必须记忆大量 的用户名和密码,从安全上来看这些用户名和密码应该是不相同的,但用户的记 忆有限,因此,用户要么把用户名和密码记录下来,要么就采用重复或者简短的 密码。系统中一个用户存在多个口令和用户描述信息的情况也存在巨大的安全风 四川大学硕士学位论文摹于s a m l 和c p k 的统一身份鉴别技术研究 险。针对这样的安全和管理问题,一般都采用统一身份鉴别的方案来解决。 统一身份鉴别的主要思想是由网络中唯一的身份鉴别服务系统接管各个应用 系统中的鉴别模块。各个应用系统只需要遵循统一身份鉴别服务的调用接口标准 就可以实现用户的身份鉴别过程。至于用户身份信息、密码的存储以及在网络中 传输的安全性,都由统一身份鉴别服务提供的安全协议来保证。这样,用户只要 在网络中进行了一次身份鉴别,在不退出登录的情况下,就可以访问其他所有应 用系统中授权的资源,而不需要再次进行身份鉴别了。 1 1 3s a m l 标准概述 安全断言标记语言( s a m l ,s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ) 是用来定 义、增强和维护一个标准的基于x m l 的框架,用于创建和交换鉴别与授权等安 全性信息。s a m l 的出现主要是为了解决w e bs e r v i c e 安全体系中进行多次身份鉴 别的问题,它能为用户提供跨越异构网络和平台的统一身份鉴别服务,尤其是在 w e bs e r v i c e 的系统和流程合作的基础上的,允许多个系统共同分享身份鉴别信息 和安全方面的信息,也就是说,身份鉴别的信息可以在多个系统中传输,从而免 除多次鉴别的麻烦,进而提高网络的性能以及安全性。 s a m l 的主要目标包括:建立一种独立于协议和平台的鉴别和授权交换机 制;独立于部属的环境,能够用于集中式的、分散式的以及联合式的部属环境; s a m l 框架应该是基于x m l 标准的1 2 1 。 s a m l 断言是一组由s 舢咀,权威创建的可表达一个或多个状态的信息。断言 提供主体所执行的鉴别、主体属性、是否允许主体访问特定资源的授权决策等信 息,包括鉴别断言,属性断言和授权决策断言。 1 1 4 国内外研究现状 为了实现统一身份鉴别的目标,不少技术组织和公司提出了各种标准。 w i n d o w sp a s s p o r t 是出现较早的统一身份鉴另系统 3 1 ,它是基于访问令牌的集中式 单点登录模式,所有的用户信息都存放在p a s s p o r t c o m 中,由其负责统一的身份 鉴别。w m d o w sp a s s p o r t 存在的一个最主要的问题是单点失效,即是说只要p a s s p o r t 警告过的服务将变得不能访问。虽然微软承诺用户在p a s s p o r t t o m 的信息的可靠 性和安全性将得到充分的保障,但是由于p a s s p o r t 0 0 1 1 1 在整个系统中的绝对核心 地位,很有可能成为攻击者的目标。w m d o w sp a s s p o r t 的另外一个缺陷是用户信 息的共享控制上做得较粗,用户要么选择向全部的信任网站共享,要么就不能向 2 四川大学硕士学位论文基于s a m l 和c p k 的统一身份鉴别技术研究 任何一个信任网站共享,缺乏必要的灵活性。 2 0 0 3 年初,结构化信息标准促进组织( o a s i s ,o r g a n i z a t i o nf o r t h e a d v a n c e m e n to fs t r u c t u r e di n f o r m a t i o ns t a n d a r d s ) 批准了s a m l 作为商业合作伙伴 之间交换鉴别和授权信息的x m l 框架,尤其是借助w e bs e r v i c e 交换的信息。 自由联盟( l i b e r t ya l l i a n c e ) 是s u n 公司倡导的致力于实现信任迁移和单点 登录的开发标准的组织,该组织所采用的标准正是s a m l 。目前,许多著名的大 公司和组织如i b m 、n t t 、g m 、h p 、i n t e l 、e r i c s s o n 、n o k 认、n o v e l l 、0 r a c l e 、 v e r s i g n 等等,都先后加入了自由联盟组织。l i b e r t y 的核心思想是身份联合( i d e n t i t y f e d e r a t i o n ) ,两个w e b 应用之间可以保留原来的用户鉴别机制,通过建立它们各 自身份的对应关系来达到单点登录的目的。相对于w i n d o w sp a s s p o r t ,l i b e r t y 的 单点登录并不集中于某个点上l i b e r t y 存在的缺陷包括:1 ) 每个服务站点都必 须维护与之合作的身份鉴别提供者以及服务提供者的列表;2 ) l i b e r t y 并未进一 步定义交换用户信息的策略;3 ) l i b e r t y 并未研究如何将用户身份鉴别与授权机 制结合起来。 s a m l 标准正被广泛用于信息安全领域和电子商务中。在l i b e r t ya l l i a n c e t 4 1 规范1 1 中它被用于w e b 的单点登录,在a l l i a n c e 的w e bs e r v i c e 安全标准中被用 于身份鉴别服务。一些安全解决方案如n o v e l l 的n s u r e 和c o m p u t e ra s s o c i a t e 的 e t r u s t a d m i n 很快将会支持s a m l 。同时,最重要的软件供应商,包括c r o s s l o g i x , m m 的面v o l is y s t e m s ,n e t e g r i t y ,n o v e l l ,0 b l i x ,r s as c c u r i v 以及s u n m i c r o s y s t e m s ,在它们的安全应用中也支持s a m l 标准。总的来说,s a m l 标准 还有很大的发展与应用空间,值得进一步研究。 1 2 研究内容与本文的组织 本课题主要是通过分析当前统一身份鉴别系统的特点、原理、解决方案及典 型模式等,提出对统一身份鉴别系统的应用需求。对w 曲s e r v i c e 技术和s a m l 标准及其安全性进行了深入的研究,在此基础上设计并实现了一个安全的基于 w e bs e r v i c e 技术和s a m l 标准的改进的统一身份鉴别模型,其间主要做了如下工 作: 1 ) 在对现有的典型统一身份鉴别系统模型进行深入研究的基础上,总结出统一 身份鉴别系统的现状和实际的应用需求,为设计统一身份鉴别系统的整体结 构提供依据; 2 ) 在研究w e bs e r v i c e 技术和s a m l 标准的基础上,针对s a m l 两个标准配置 的缺点,提出了一种改进的s a m l 统一身份鉴别模型,该模型分为身份鉴别、 四川大学硕士学位论文 基于s a m i 和c p k 的统一身份鉴别技术研究 信息查询、访问控制以及管理四个模块; 3 ) 在研究基于椭圆曲线数字签名和组合公钥机制的基础上,采用组合公钥机制 和椭圆曲线的数字签名实现改进的统一身份鉴别模型的身份鉴别,以提高身 份鉴别过程的安全性; 4 ) 对改进的统一身份鉴别模型的安全性进行分析,并相应地提出下一步改进措 施。 本论文共分八章,其组织结构是如下安排的: 第一章简要介绍本课题的研究背景,包括w e bs e r v i c e 技术,统一身份鉴别 技术,s a m l 标准以及国内外的研究现状。 第二章研究w e bs e r v i c e 及其相关技术,包括简单对象访问协议s o a p ,w e b s e r v i c e 描述语言w s d l ,统一描述、发现和集成u d d i ,w e bs e r v i c e 流语言w s f l , 远程过程调用r p c ,分析了各个相关技术的技术特征,为设计开发改进的统一身 份鉴别模型提供了技术依据。 第三章研究s a m l 标准,包括其用于统一身份鉴别系统的优越性,以及 s a m l 的断言、协议和绑定。 第四章研究统一身份鉴别技术,分析了传统的统一身份鉴别应用模型、统 一身份鉴别系统的鉴别模式和技术原理。 第五章总结了改进统一身份鉴别系统的应用需求,研究并提出了改进的统 一身份鉴别模型,介绍其模块划分和参数设计、流程设计,并给出了一个应用的 示例。详细研究了基于椭圆曲线的组合公钥与改进模型的结合。 第六章分析改进的统一身份鉴别模型的安全性,并给出了相应的解决对 策。 第七章进行改进的统一身份鉴别模型的仿真,介绍了该仿真的环境和工具 以及程序的实现、发布、运行,仿真结果。 第八章总结并提出下一步需要进行的研究工作。 4 四川大学硕士学位论文 基于s a m l 和c p k 的统一身份鉴别技术研究 2w e bs e r v i c e 相关技术研究 2 1w e bs e r v i c e 技术 2 1 1w e bs e r v i c e 特点 w e bs e r v i c e 是封装成单个实体并发布到网络上供其他应用程序使用的功能 集合,它是用于创建开放分布式系统的构件,其目标是使分布式计算更简便的同 时还具有极高的互操作性,它可以使公司或者个人迅速并且廉价地向全世界提供 其数据服务。w e bs e r v i c e 是下一代分布式系统的核心,它的特点如下: 1 ) 互操作性:w e bs e r v i c e 形成了一个分布式的环境,任何的w e bs e r v i c e 都可以与其他的w e bs e r v i c e 进行交互。由于有了简单对象访问协议 s o a p 这个所有供应商都支持的标准协议,因而避免了在e j b 、c o r b a 、 。d c o m 以及其他协议之间转换的麻烦。其次,因为可以使用任何语言来 编写w e bs e r v i c e ,因而开发者不需要更改其原来的开发环境,就可以生 成并使用w e bs e r v i c e 。 2 ) 普遍性:w e bs e r v i c e 通常使用h r r p 和x m l 进行通信,同时,其他传 输协议如文件传输协议f t p 以及简单邮件传输协议s m t p 等都支持w e b s e r v i c e ,因此,任何支持这些技术的设备都可以使用或者访问w e b s e r v i c e 。而这些传输协议特别是h r r p 协议在网络中的使用占绝对优势, 所以,w e bs e r v i c e 的使用可说是处处通用的。 3 ) 易用性:w e bs e r v i c e 及其相关技术概念易于理解,并且有来自如i b m 和 微软这样的供应商提供的免费开发工具包,因此,开发者能够快速创建 和部署w e bs e r v i c e 。另外,绝大部分的工具包都支持c o m 组件和 j a v a b e a n ,能够方便地在原来系统的基础上开发w e bs e r v i c e 。 4 ) 松耦合性柳:用户有可能在运行时查询代理,得到某服务的接1 :3 并绑定到 该服务上,而并不必硬编码一个u r l 地址,甚至不必硬编码方法的名称, 这就使得w e bs e r v i c e 的网络可以自我维护。若某项服务失败,使用者还 可以向代理寻求其他能执行相同功能的服务。所有的变更对于用户来说 都是透明的。 四川大学硕士学位论文 摹于$ a m l 和c p k 的统一身份鉴另c 技术研究 2 1 2w e bs e r v i c e 的整体架构 w e bs e r v i c e 是一个全新的技术架构,为了支持技术架构的各种特性,各种技 术规范不断地被开发了出来。整个w e bs e r v i c e 技术架构被称为“w e bs e r v i c e s t a c k ”,它们就像一个堆栈一样m 1 ,如图2 1 所示: r e l i a b i l i l y , t r a n s a c t i o n - e x p e c t e d w o r k f l o w w s f l d i s e o v e r y u d d i ,w s i n s p e c t i o n。 王 邑 r o u t i n gw s r o u t i n g , w s r e f e r r a l 兽 荸 g 蒜 与 s e c u r i t yw s - s e c u r i t y , w s - l i c e n s e 嚣 乎 口 m e s s a g i n g s o a p 暑 宝 盆 t r a n s p o r t h r i ef t es m t p i n t e r n e ti p v 4 i p v 6 图2 1w e bs e r v i c e 的整体架构 图2 。1 中底部足先前定义好且广泛使用的传输层和网络层协议如i p 、h t t p 和s m t p 等。中间部分是目前开发的w 曲s e r v i c e 的相关技术标准,包括简单对 象访问协议s o a p ,w e bs e r v i c e 描述语言w s d l ,统一描述、发现和集成规范 u d d i ,服务发现w s - i n s p e c t i o n ,以及w e bs e r v i c e 流语言w s f l ,w e bs e r v i c e 安全协议和路由协议等。右边部分是各个协议层的公用机制,这些机制一般由外 部的正交机制来完成。和网络的分层结构相同,上一层需要下一层的支持。而安 全性、服务质量和可管理性必须在每个层次都有所体现。w 曲s e r v i c e 涉及到一些 新的规范,如w s f l 、u d d i 、w s d l 等,通过这个层次分明的架构,w e bs e r v i c e 希望实现动态的应用集成。 从图2 1 中可以看出,w e bs e r v i c e 追求的第一目标是简单性,因为:所有的 协议本身都是简单的;一个可使用的w e bs e r v i c e 应按照需要选用某些层次的功 能,而不要求具有所有的特性;所有的机制是基于现有的技术,并没有创造新的 体系l r l 。 2 2x m 吐和x s d x m l 即可扩展标记语言( e x t e n s i b l em a r k u pl a n g u a g e ) 的缩写,是标准通用 6 四川大学硕士学位论文摹于s a m l 和c p k 的统一身份鉴别技术研究 标记语言( s g m l ,s t a n d a r dg e n e r i cm a r k u pl a n g u a g e ) 的一个子集嘲。x m l 是 w e bs e r v i c e 平台上数据表示的基本格式,其目的在于使得在w e b 上能以现有超文 本标记语言( h t m l ,h y p c r t e x tm a r k u pl a n g u a g e ) f 拘使用方式提供、接收和处理 s g m l 成为可能,它能使数据无障碍地通过网络传播,并显示在用户的浏览器上。 x m l 具有良好的扩展性。它允许各个不同行业根据自己特定的需要制定自己 的标记,同时并不要求所有的浏览器都能处理这些标记,也不要求一个标记能适 应各个行业的需求,这种特性更有助于标记语言的发展。 x m l 的内容与形式分离。x m l 文档是具有明确语义并结构化的,它不描述 页面文件的格式,可用样式表为文档增加格式化信息【9 】。 x l v t l 遵循严格的语法。x m l 要求标记配对、嵌套,也要求遵守d t d 或者 x m ls c h e m e 的规定,这样就增加了文档的可读性与可维护性,大大减轻了开发 者的负担。 除了上面的优点,) 洲l 最大的优点在于它既是平台无关的,又是厂商无关的, 使用x m l 表示信息时,信息是独立于平台的,可以在不同系统之间传递。 x m l 解决了数据表示的问题,但是没有定义一套标准的数据类型。w 3 c 制 定的x m l 模式( x s d ,x m ls c h c m a ) l e 是解决这一问题的。x s d 定义了一套标 准的数据类型,并提供了一种语言来扩展这套数据类型。w e bs e r v i c e 平台就是用 x s d 来作为其数据系统的。当用某种语言( c 样、v b n e t 或者j a v a ) 来构建一个 w e bs e r v i c e 时,为符合w e bs e r v i c e 标准,所使用的所有数据类型都必须转换为 x s d 类型。 2 3s o a p 协议 简单对象访问协议( s o a p ,s i m p l eo b j e c ta c c e s sp r o t o c 0 1 ) 是一个基于x m l 的协议,它为在一个松散的、分布式的环境中使用x m l 对等地交换结构化和类 型化的信息提供了一个简单的轻量级机制口0 1 w e bs e r v i c e 使用s o a p 作为应用层 通信协议,s o a p 本身并不依赖于任何底层传输协议。s o a p 并不定义任何应用语 义,只是定义了一种简单的机制,通过一个模块化的包装模型和对模块中特定格 式编码数据重编码机制来表示应用语义。s o a p 的这种特性使得它可以被多种类 型的系统用于从消息系统到远程过程调用r p c ( r e m o t ep r o c e d u r ec a l l ) 的延伸。 在w e bs e r v i c e 整体架构中,s o a p 通过在服务提供者和服务请求者之间传递 s o a p 消息来调用w e bs e r v i c e ,为w e bs e r v i c e 的调用提供了标准的r p c 方法。 7 四川大学硕士学位论文摹于$ a m l 和c p k 的统身份鉴别技术研究 2 3 1s o a p 规范 s o a p 规范由s o a p 封装、s o a p 绑定、s o a p 编码规则、s o a pr p c 表示这 四个部分组成1 1 1 1 : s o a p 封装( s o a pe n v e l o p e ) :构造定义了一个整体的表示框架,可用于表 示消息中的内容是什么,该由谁发送它,谁接收和处理它,处理操作是可选的还 是强制的( 可选的表示可以由目标应用程序自主选择是否进行处理,强制的表示 必须处理,如果处理不成功则必须返回错误信息) 。 s o a p 绑定( s o a pb i n d i n g ) :定义了使用底层传输协议来完成在节点间交换 s o a p 消息的约定。 s o a p 编码规则( s o a pe n c o d i n gr u l e s ) 定义了一个数据的编码机制,通过 这个编码机制来定义应用程序中需要使用的数据类型,并可用于交换由这些应用 程序定义的数据类型所衍生出来的实例。 s o a pr p c 表示( s o a pr p cr e p r e s e n t a t i o n ) :定义了一种用于表示远程过程 调用和应答的协定。 这四个部分在功能上是独立的。s o a p 封装和编码被定义在不同的x m l 命名 空间中,这样,s o a p 的定义就非常简单了。 s o a p 封装是用x m l 定义的,因而可以向消息添加种类众多的元信息,它由 s o a p 头( s o a ph e a d e r ) 和主体( s o a pb o a y ) 两个部分组成。s o a p 头是把功能添加 到s o a p 消息中的通用机制,而s o a p 主体则是消息

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论