（计算机应用技术专业论文）saml和xacml在企业应用集成中的应用研究.pdf

摘要 摘要 企业应用集成是通过硬件、软件、标准和业务过程的结合，实现两个或多 个企业应用系统之间的无缝联结，使其像一个整体一样进行业务信息处理，从 而使企业业务流程的各个环节达到协调运转、效率优化，最终实现企业效益的 提高。 传统的企业应用集成基于特定的技术和协议，极大地增加了不同应用系统 之间共享数据和信息的难度。w e bs e r v i c e 技术与生俱来的跨平台性，使其成为 解决传统企业应用集成架构中互用性问题的最佳方案。但是，由于w e bs e r v i c e 采用通用的数据格式和通讯协议，给企业的数据和信息安全带来了威胁。因此， 在基于w e bs e r v i c e 的企业应用系统集成过程中，为保证企业业务数据和信息 的安全，用户身份认证和访问控制是至关重要的一个部分。 本文在深入分析和研究基于w e bs e r v i c e 的企业应用集成技术的基础上， 提出了一个结合s a m l 和x a c m l 的企业应用集成架构模型。该模型利用w e b s e r v i c e 封装业务系统功能来提供跨平台的访问，利用s a m l 单点登录来对用 户身份进行认证，利用x a c m l 对用户进行授权和访问控制。 在身份认证方面，为简化s a m l 单点登录在企业应用集成平台中的配置过 程，并保持与s a m l 规范的兼容性，本文利用x m l 的可扩展性，设计了一种 将发送方的公钥嵌入s a m l 断言中的方法，使服务提供方和标识提供方的安全 信息交换能够自动配置和即时更新。 在访问控制方面，目前的x a c m l 规范中，只提供了r b a c 标准中核心模 型和层次模型的授权策略描述，而不支持角色限制、职责分离等要素，使 x a c m l 访问控制框架的推广受到了一定的限制。因此，本文设计了一种用户 角色激活和状态记录机制来扩展x a c m l 访问控制框架，使其支持上述功能。 根据对系统模型的分析和研究，本文给出了企业应用集成平台的整体设计， 同时对认证服务模块、授权服务模块、w e b 服务代理模块、系统管理模块和消 息同志模块进行了实现，对其中涉及到的关键技术和算法给予了详细介绍。 最后，本文结合应用实例，详细阐述了基于企业应用集成平台的业务系统 的设计、开发和部署步骤。企业应用集成平台为企业的业务系统集成提供了一 个统一、灵活且便于维护的安全系统。 关键词企业应用集成；安全断言标记语言；可扩展访问控制标记语言；w e b 服务；面向服务的架构 a b s t r a c t a b s t r a c t e n t e r p r i s ea p p l i c a t i o ni n t e g r a t i o n ( e 趾) i si m p l e m e n t e db yc o m b i n a t i o no f h a r d w a r e ，s o f t w a r e ，s t a n d a r d sa n db u s i n e s sp r o c e s s e s i t sp u r p o s ei st oi n t e g r a t et w o o rm o r ee n t e r p r i s ea p p l i c a t i o ns y s t e m ss e a m _ l e s s l y , a n dt om a k et h e s es y s t e m s o p e r a t i n gu n i f i e d ，s o t h a ti tc o u l dc o o r d i n a t ea l l s t e p so fe n t e r p r i s eb u s i n e s s p r o c e s s e sa n do p t i m i z ee f f i c i e n c y a sar e s u l t ，e n t e r p r i s ec a na c h i e v eh i g h e rp r o f i t t r a d i t i o n a le a ii sb a s e do nt h es p e c i f i ct e c h n o l o g i e sa n dp r o t o c o l s ，w h i c h h a n d i c a pt h es h a r i n go fd a t aa n di n f o r m a t i o nb e t w e e nd i f f e r e n ta p p l i c a t i o ns y s t e m s p o s s e s s i n gt h ec h a r a c t e r i s t i co fc r o s s - p l a t f o r m ，w e bs e r v i c et e c h n o l o g yb e c o m e st h e b e s ts o l u t i o nt oi n t e r o p e r a b i l i t yp r o b l e mo ft h et r a d i t i o n a le a i f r a m e w o r k h o w e v e r , i tb r i n g sas e c u r i t yt h r e a tt oe n t e r p r i s ed a t aa n di n f o r m a t i o na sw e bs e r v i c ea d o p t s c o i n i n o nd a t af o r m a t sa n dc o m m u n i c a t i o np r o t o c o l s t h e r e f o r e ，i nt h ep r o c e s so f w e bs e r v i c e - b a s e de a i ，u s e ra u t h e n t i c a t i o na n da u t h o r i z a t i o nm a n a g e m e n ta r ea v i t 甜p a r tt oe n s u r eb u s i n e s sd a t aa n di n f o r m a t i o ns e c u r i t y b a s e do np r o f o u n da n a l y s i sa n dr e s e a r c ho fw e bs e r v i c e - b a s e de a it e c h n o l o g y , t h i sp a p e rp r e s e n t sa na r c h i t e c t u r em o d e lf o re a i i ta d o p t sw e bs e r v i c ef o r e n c a p s u l a t i n gb u s i n e s sf u n c t i o no fa p p l i c a t i o ns y s t e mt op r o v i d ec r o s s - p l a t f o r m a c c e s s ，t h es a m ls i n g l es i g n o nf o ru s e ri d e n t i t ya u t h e n t i c a t i o n ，a n dt h ex a c m l f o ru s e ra u t h o r i z a t i o na n da c c e s sc o n t r 0 1 t os i m p l i f yt h ec o n f i g u r a t i o np r o c e s sf o r t h es a m ls i n g l es i g n o no fe a i p l a t f o r m ，a n dt om a i n t a i nc o m p a t i b i l i t yw i t ht h es a m ls p e c i f i c a t i o n ，t h i sp a p e r d e s i g n sam e c h a n i s me m b e d d i n gt h ep u b l i ck e yi n t os a m la s s e r t i o nb ym a k i n gu s e o fx m ls c a l a b i l i t y t h i sm e c h a n i s me n a b l e ss e r v i c ep r o v i d e r sa n d i d e n t i t y p r o v i d e r st oc o n f i g u r es e c u r i t yi n f o r m a t i o ne x c h a n g i n ga u t o m a t i c a l l y , a n du p d a t ei t i n s t a n t l y c u r r e n t l yx a c m ls p e c i f i c a t i o no n l yp r o v i d e s t h ea u t h o r i z a t i o n p o l i c y d e s c r i p t i o nf o rt h ec o r em o d e la n dt h eh i e r a r c h i c a lm o d e li nr b a cs t a n d a r d ，a n d d o e sn o ts u p p o r ts e v e r a lf u n c t i o n ss u c ha sr o l er e s t r i c t i o n ，d u t ys e p a r a t i o n ，a n ds oo n t h i sr e s t r i c t st h ep o p u l a r i t yo fx a c m la c c e s sc o n t r o lf r a m e w o r k i nt h i sp a p e r , a u s e r - a c t i v a t e da n ds t a t e - r e g i s t e r e dm e c h a n i s mi s p r o p o s e dt oe x t e n dt h e r o l eo f x a c m la c c e s sc o n t r o lf r a m e w o r k ，w h i c hs u p p o r t st h ea b o v ef u n c t i o n s b a s e do na n a l y s i sa n dr e s e a r c ho fs y s t e mm o d e l ，t h i sp a p e rp r e s e n t sa l lo v e r a l l d e s i g no fe a ip l a t f o r m a tt h es a m et i m e ，t h ea u t h e n t i c a t i o ns e r v i c em o d u l e ， i - a u t h o r i 删i o ns e r v i c em o d u l e ，w e bs e r v i c ea g e n tm o d u l e ，s y s t e m sm a n a g e m e n t m o d u l ea l l dl o gm o d u l ea r ei m p l e m e n t e d t h ek e y t e c h n i q u e sa n da l g o r i t h m sr e j a t e d t o 吐l e s em o d u l e sa r ei n t r o d u c e di nd e t a i l f i n a l l y ，t h i sp a p e rd e t a i l e d l yd e s c r i b e st h es t e p so fb u s i n e s ss y s t e md e s l g n , d e v e l o d m e n ta n dd e p l o y m e n tb a s e d o i lt h ee a ip l a t f o r m t h ee a ip l a t f o 册 p r o v i d e sa 血丘e d ，f l e x i b l ea n de a s y - m a i n t a i n e ds e c u r i t y s y s t e mf o re n t e r p n s e b u s i n e s ss y s t e m si n t e g r a t i o n k e y w o r d se a i ；s a m l ；x a c m l ；w e bs e r v i c e ；s o a - 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 签名：咨末日期：趁乎：尘二弓7 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有 权保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部 或部分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 虢圣奎新虢趔吼卫丛弓7 第l 章绪论 1 1 课题的背景及意义 第1 章绪论 自从2 0 世纪9 0 年代以来，随着互联网的飞速发展和社会信息化程度的不断 提高，为了适应激烈的市场竞争，各个企业都先后采用了信息化和网络化的管理 方法，根据自身的业务需要，开发了各种管理信息系统，如e r p ( e n t e r p r i s e r e s o u r c e p l a n n i n g ，企业资源计划系统) 、c r m ( c u s t o m e rr e l a t i o n s h i p m a n a g e m e n t ，客户关系管理系统) 、s c m ( s u p p l yc h a i nm a n a g e m e n t ，供应链管 理系统) 等。随着2 1 世纪企业信息化的进一步发展，企业各信息系统需要更多 的通信和交互，各系统需要共享相关数据，共同合作来完成企业业务流程 1 】。但 是，由于历史和其它多方面的原因，这些系统往往都是由不同的厂商、基于不同 的技术平台、采用不同的数据结构和实现方式开发出来的。因此，如何提供一个 消除企业内部信息孤岛、实现企业应用集成的有效机制，已经成为当前信息化进 程中急需解决的问题1 2 j 。 为了有效地支持动态的企业应用集成以及企业业务流程管理，需要提供一个 灵活、开放的集成平台基础结构，该基础结构能够适应目前企业复杂多变的业务 流程，并且跨越业务数据、应用系统异构所带来的集成障碍，实现企业应用系统 和业务流程的有效整合，以最大限度地提升企业生产效率【3 】。 1 2 企业应用集成概述 e a i ( e n t e r p r i s ea p p l i c a t i o ni n t e g r a t i o n ，企业应用集成) 是2 0 世纪9 0 年代 末应企业应用系统互操作的需要而出现的一种思想、技术。它主张保护企业己有 的信息技术投资，以最小的代价实现分散的、独立的企业应用系统之间的互操作， 消除信息孤岛。研究表明，在过去数年中，在整个系统开发过程中大约有3 5 左右的时间被用来建立各种集成接口，并且在软件开发过程中遇到的问题有相当 一部分是与已有系统集成相关的问题【4 - 5 】。由于企业应用集成能够有效地保护已 有的信息技术投资，并具有最短的开发周期，因此它的市场需求在不断增长。 1 2 1 企业应用集成的发展概况 2 0 世纪5 0 年代末到6 0 年代初，企业开发了早期的应用系统。这些应用大多 是用来替代重复性劳动的一些简单设计。这时的应用范围为账户支付、工资单管 北京工业大学工学硕士学位论文 理等类似的内容。当时并没有考虑到企业数据的集成，企业应用惟一的目标就是 用计算机代替一些孤立的、体力性质的工作环节。 2 0 世纪6 0 年代中期，继第一代应用之后，与企业生产结合的应用系统出现， 例如库存管理、生产控制和早期的财务管理等。这些应用远比第一代的企业应用 复杂，但这些应用的思想还仅仅是支持企业业务的一部分，并且企业数据的访问 控制技术还不完善，仍然没有企业数据集成的概念。 到了2 0 世纪8 0 年代，有些公司开始意识到应用集成的价值和必要性。这是 一种挑战，很多公司的技术人员都试图在企业系统整体概念的指导下对已经存在 的应用进行重新设计，以便让它们集成在一起，然而这种努力收效甚微。 2 0 世纪9 0 年代，e r p 应用开始流行，同时也要求它们能够支持已经存在的 应用和数据，这就必须引入企业应用集成【6 】。对e a i 的需求首先来自于企业将它 们的主机系统转换成c s 结构系统的过程中，其次是利用e r p 建立企业骨干信 息系统。企业迫切需要一种方法，让它们少写程序，无须巨大的费用，就可以将 各种旧的应用系统和新的系统集成起来。 9 0 年代初，c o r b a ( c o m m o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r e ，公共对象 请求代理体系结构) 作为开放的分布式应用组件技术诞生，催生了一批中间件。 但是，由于c o r b a 并没有很严格的约束，每个不同的c o r b a 实现之间不能良 好兼容，因此c o r b a 没能成为企业应用集成的标准。 9 0 年代中后期到现在，j a v a 技术和j 2 e e 的诞生，推动了软件行业新一波的 发展。基于j 2 e e 的中间件技术在吸取传统的私有中间件的经验和c o r b a 的教 训的基础上，定义了宽严适度的规范，诞生了一批j 2 e e 应用服务器。基于j 2 e e 的j c a ( j 2 e ec o n n e c t o ra r c h i t e c t u r e ，j 2 e e 连接器架构) 成为了e a i 范畴的第 一个正式的规范，用于实现应用系统之间的相互访问。 2 1 世纪以来，随着w e b 服务( w 曲s e r v i c e ) 技术的出现，它与生俱来的平 台无关性使其成为企业应用集成的首选方式。基于w e bs e r v i c e 技术的企业应用 集成已成为当前的研究热点。 1 2 2 企业应用集成的分类 根据企业应用集成的层次，可以将企业应用集成分为以下三种类型：表示层 集成、数据层集成、功能层集成。 表示层集成是企业应用集成最简单的方式。在表示层集成中，一般使用用户 界面来实现对多个应用系统的集成，集成的结果是形成一个新的、统一的显示界 面。新的用户界面看起来好像是单一的应用程序，但实际上用户的每一个操作最 终都会被映射到旧的显示机制上。屏幕截取技术是这种集成中常用的集成技术， 第1 章绪论 编程人员可用此技术来访问遗留的显示界面并创建新的图形用户界面。表示层集 成易于实现，并能相对较快地完成。但另一方面，显示界面的集成只发生在用户 界面层上，因此只有旧显示界面定义的数据和操作才有效；而且，表示层集成可 能成为系统的瓶颈，因为它是在现有应用软件上额外增加了一层软件。总的来说， 表示层集成的应用还是非常有限的，集成只发生在显示界面层而不是发生在应用 软件或数据的互连中。 数据层集成是通过直接访问软件所创建、维护并存储的相应信息来实现软件 集成，这样做通常是为了在应用软件之间实现数据的重用和同步。该集成方式的 优点是：不用或很少对现有系统进行任何改动，代价相对较低，但是企业的数据 信息往往与业务逻辑息息相关，可能对业务逻辑造成破坏，因此，单纯的数据层 的集成相对有限，重新开发业务应用层的代价也很大。 功能层集成也叫应用层集成，是通过调用现有系统的应用程序接口来实现软 件集成。功能层集成是使用最为普遍的企业应用集成方式。因为，比起在新应用 程序中创建新功能来说，重用现有的功能更加有效，且不容易产生错误；而且， 在通常情况下，很多应用系统或软件的数据结构和内部逻辑是保密的，对外只提 供相应的a p i ( a p p l i c a t i o np r o g r a mi n t e r f a c e ，应用程序接口) 。 1 2 3 企业应用集成的内容 企业应用集成通过建立底层结构，联系横贯整个企业的异构系统、应用、数 据源等，满足企业内部的e r p 、c r m 、s c m 、数据库、数据仓库，以及其它重 要的内部系统之间无缝地共享和交换数据的需要【7 】。e a i 包括的内容很复杂，涉 及到结构、硬件、软件以及流程等企业系统的各个层面。 1 业务过程集成：当对业务过程进行集成时，企业必须在各种业务系统中 定义、授权和管理各种业务信息的交换，以便改进操作、减少成本、提高响应速 度。业务过程集成包括业务管理、进程模拟以及综合任务、流程、组织和进出信 息的工作流，还包括业务处理中每一步都需要的工具。 2 应用集成：为两个应用中的数据和函数提供接近实时的集成。在一些b 2 b 集成中用来实现c r m 系统与企业后端应用和w e b 的集成，构建能够充分利用多 个业务系统资源的电子商务网站。 3 数据集成：为了完成应用集成和业务过程集成，必须首先解决数据和数 据库的集成问题。在集成之前，必须首先对数据进行标识并编成目录，另外还要 确定元数据模型。这三步完成以后，数据才能在数据库系统中分布和共享。 4 集成的标准：要实现完全的数据集成，必须首先选择数据的标准格式。 集成的标准化促成了信息和业务数据的共享和分布，构成了企业应用集成的核 北京工业大学工学硕士学位论文 心，包括c o m 斗巾c o m 、c o r b a 、e d i 、j a v ar m i 和订l 。 5 平台集成：要实现系统的集成，底层的结构、软件、硬件以及异构网络 的特殊需求都必须得到集成。平台集成处理一些过程和工具，以保证这些系统进 行快速安全的通信。 1 3 国内外研究现状 1 3 1 传统的企业应用集成方法 1 基于c o r b a 构架的企业应用集成：c o r b a 是由o m g ( o b j e c t m a n a g e m e n tg r o u p ，对象管理组织) 提出的应用软件体系结构和对象技术规范， 其核心是一套标准的语言、接口和协议，以支持异构分布应用程序间的互操作性 及独立于平台和编程语言的对象重用。 2 基于m o m 的企业应用集成：m o m ( m e s s a g eo r i e n t e dm i d d l e w a r e ，面 向消息的中间件) 指的是利用高效可靠的消息传递机制进行平台无关的数据交 换，并基于数据通信来进行网络应用系统的集成。 3 基于x m l 的企业应用集成：x m l ( e x t e n s i b l em a r k u pl a n g u a g e ，可扩 展标记语言) 是用来表示w e b 中结构化文档和数据的通用格式，是一种简单而 且灵活的标准格式，它为基于w e b 的应用提供了一个描述数据和交换信息的有 效手段。x m l 作为一种元语言，具有强大的描述结构化信息的能力。x m l 中间 件是开发基于x m l 应用的重要集成平台，提供标准的接口来处理基于x m l 的 信息，既可以创建、发送、接收和处理x m l 文档，还可以在不同的应用程序或 企业之间自动完成信息交换。 4 基于j 2 e e j c a 构架的企业应用集成：j 2 e e 应用服务器是如今企业应用 集成中使用的最广泛的一种集成平台。j c a 是用来简化j 2 e e 应用服务器和e i s ( e n t e r p r i s ei n f o r m a t i o ns y s t e m ，企业信息系统) 之间的集成而提出的种规范。 它定义了将j 2 e e 应用服务器连接到不同的e i s 的标准体系结构，简化了集成过 程，并且为连接提供了q o s ( q u a l i t yo fs e r v i c e ，服务质量) 管理。 1 3 2 传统企业应用集成技术的缺点 传统企业应用集成技术的不足主要体现在以下方面 g j ： 1 要求服务客户端与系统提供的服务本身之间必须紧密耦合，即要求一个 同类的基本结构。 2 基于c o r b a 等分布式对象技术不能实现透明地跨越防火墙的通信。 第1 章绪论 3 传统的d c o m 、c o r b a 或是e j b 组件，都必须使用自己特定的规范来 开发，组件之间的通信也必须使用特定的协议，这样不同组件之间无法进行直接 的数据交换和数据共享。 1 3 3 基于w e bs e r v i c e 的企业应用集成 w e bs e r v i c e 是一种新的面向服务的体系架构，它提供了一种分布式的计算技 术，用于在i n t e m e t 上通过使用标准的x m l 协议和信息格式来展现应用服务。 使用标准的x m l 协议使得w e b 服务平台、w 曲服务提供者和w e b 服务使用者 能够相互独立。因此，w e bs e r v i c e 技术是解决传统的企业应用集成技术中互用 性问题的最佳方案p j 。 w e b 服务不是e a i ，而是e a i 的一部分。w e b 服务使e a i 成为易于实现、便 捷实施的解决方案，同时w e b 服务能彻底地改变传统e a i 中点对点的集成处理 方式【l o 】。因此，基于w e bs e r v i c e 的企业应用集成已成为e a i 研究的热点。 一方面，基于w 曲s e r v i c e 的企业应用集成的优点如下： 1 松散耦合：松耦合可以使服务消费者和服务提供者在服务实现和客户如 何使用服务方面隔离开来。 2 独立于开发语言：由于w e bs e r v i c e 具有语言独立的优点，因此通过w e b s e r v i c e 能将不同语言和不同版本的企业应用系统集成起来。 3 服务封装性：服务具有良好的封装性不仅提高了应用系统的数据安全性 和逻辑安全性，而且增强了单个服务的重用性，提高了软件的复用能力。 4 服务接口标准化：通过服务接口的标准化描述，使得服务可以提供给任 何异构平台和任何用户接口使用。 另外一方面，由于w e bs e r v i c e 采用通用的数据格式和通讯协议，如x m l 、 h t t p 、w s d l 和s o a p 等，这也给企业的数据和信息安全带来了威胁。因此， 在基于w e bs e r v i c e 的企业应用系统集成过程中，为保证企业业务数据和信息的 安全，用户身份认证和访问控制是至关重要的一个部分【1 1 1 2 j 。 1 3 4 身份认证技术研究现状 传统的应用中，用户都是确定的，而基于w e bs e r v i c e 的企业应用集成中， 通常服务的请求者和提供者都来自不同的域，为实现不同应用系统之间的用户集 成，采用s s o ( s i n g l es i g n - o n ，单点登录) 方式对用户身份进行认证是一种非 常有效的方式。 传统的单点登录技术解决方案有：基于c o o k i e 、基于经纪人、基于代理、基 于票据、基于网关的单点登录系统。传统单点登录技术主要存在以下方面的不足： 北京工业大学工学硕士学位论文 1 对跨域的单点登录支持不是很完善。 2 旧的鉴别码有可能被存储和重用。 3 口令容易被窃取，并且有口令猜测攻击的危险。 目前，针对跨域环境下的单点登录解决方案主要有【1 3 】：微软的n e tp a s s p o r t 、 s u nm i c r o s y s t e m s 等建立的自由联盟计划( l i b e r t ya l l i a n c ep r o j e c t ) 、m i c r o s o f t 和i b m 联合开发的w e b 服务联邦语言( w s f e d e r a t i o n ) 以及o a s i s ( o r g a n i z a t i o n f o rt h ea d v a n c e m e n to fs t r u c t u r e di n f o r m a t i o ns t a n d a r d s ，结构化信息标准推进组 织) 的安全服务委员会提出的s a m l 语言( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ， 安全断言标记语言) 。n e tp a s s p o r t 技术是通过其p a s s p o r t 来实现单点登录的， 只要用户通过微软的p a s s p o r t 服务器的验证，就可以访问所有与p a s s p o r t 服务器 合作的站点。但由于微软在p a s s p o r t 验证技术方面不公开，使得在安全性方面有 一定的隐患。自由联盟计划和w e b 服务联邦语言都是通过建立联盟身份，来访 问联盟中的其它系统的。但由于w e b 服务是松耦合的，所以建立联盟身份并不 是每个w r e b 服务场景所必须的。 s a m l 主要用来在不同信任域之间交换安全信息，为认证和授权服务提供了 标准的描述，它基于x m l 具有跨平台性，提供了强大的断言( a s s e r t i o n ) 机制， 使得跨域的系统可以通过断言来进行验证，适用于w e b 服务的松耦合环境。 1 3 5 访问控制技术研究现状 企业应用集成中各个应用系统都有各自的访问控制机制，采用不同的访问控 制模型，如自主访问控制、强制访问控制、基于角色的访问控制等。随着资源和 主体数的增加，系统的授权管理工作变得更加复杂，由于采用不同的访问控制机 制，各个系统间权限信息不能共享，不能满足企业应用集成的需要。因此，迫切 需要提供一种机制，能方便的将各种访问控制模型用统一的语言进行描述，并能 共享各种访问控制策略。 x a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ，可扩展访问控制标记 语言) 是由o a s i s 提出的一种安全策略语言，它以x m l 格式来表达同样以x m l 格式存放的数据的授权策略。x a c m l 提供的策略语言允许管理员定义访问控制 需求，以便获取所需资源，并且提供了支持定义新功能、数据结构、合成逻辑算 法等的标准可扩展点。因为x a c m l 具有的这些特点，所以x a c m l 非常适合 于对w e bs e r v i c e 的访问控制。 1 4 本文的主要内容 本文在分析e a i 、w e bs e r v i c e 、s a m l 和x a c m l 的基础上，提出一种结合 第1 帚绪论 s a m l 和x a c m l 的企业应用集成架构模型，解决了基于w e bs e r v i c e 的企业应 用集成中，w e bs e r v i c e 的安全和访问控制问题。该模型结合s a m l 和x a c m l 的优点，利用s a m l 单点登录实现用户身份认证，利用x a c m l 对用户进行授 权和访问控制，为企业应用集成提供了一个统一、灵活且便于维护的安全系统。 本论文主要由以下六个部分组成： 第一章简要说明了研究企业应用集成的目的、国内外的进展情况、存在的主 要问题及研究的主要内容等。 第二章介绍了企业应用集成基本概念，原理，并且对w e bs e r v i c e 、s a m l 、 x a c m l 等技术进行了介绍。 第三章对企业应用集成平台的总体结构及其数据库设计进行了介绍，并对各 个模块的功能进行了描述。 第四章对企业应用集成平台中的各个模块进行了详细的设计和实现。 第五章介绍了中石油综合办公管理系统的背景，体系结构，并且把本文设计 的企业应用集成平台应用到综合办公管理系统上来。 结论部分对论文进行了全面的总结，并针对论文的不足之处提出了自己的一 些观点和可以进一步深入研究的内容。 第2 章企业应用集成技术基础 第2 章企业应用集成技术基础 企业应用集成是解决企业现有的应用系统之间信息交互和共享问题，将基于 各种不同平台、用不同方案建立的异构应用联结起来的一种方法和技术。 2 1 企业应用集成的基本概念 企业应用集成的研究已经由来已久，但对于企业应用集成的定义，学术界还 没有一个统一的标准。 美国著名的i t 媒体i tt o o l b o x 对企业应用集成的定义是：“通过硬件、软件、 标准和业务过程的结合，实现两个或多个企业系统之间的无缝联结，使它们能够 统一运作”。【1 4 】 企业应用集成的目的是将企业的业务流程、应用软件、系统硬件通过各种标 准联合起来，在多个企业应用系统之间实现无缝联结，使其像一个整体一样进行 业务信息处理，从而使企业的整个业务流程的各个环节达到协调运转、效率优化， 最终实现企业效益的提高【1 5 】。 2 2w e bs e r v i c e 技术 国际标准化组织w 3 c 对w - e bs e r v i c e 的定义如下：w - e bs e r v i c e 是由u r i ( u n i v e r s a lr e s o u r c ei d e n t i f i e r ，通用资源标志符) 标识的软件应用程序，其接口 及绑定可以通过x m l 文档来定义、描述和发现，使用基于i n t e m e t 协议上的x m l 消息传递方式与其它应用程序进行直接交互【1 6 j 。 w e bs e r v i c e 是基于网络的、分布式的模块化组件，它执行特定的任务，遵守 具体的技术规范，这些规范使得w e b 服务能与其它兼容的组件进行互操作。 2 2 1w e bs e r v i c e 的体系结构 w e b 服务体系结构基于三种角色服务提供者、服务注册中心和服务请求 者。它们之间的交互涉及发布、查找和绑定操作。服务提供者定义w e b 服务的 服务描述并把它发布到服务注册中心。服务请求者使用查找操作来从服务注册中 心检索服务描述，然后使用服务描述与服务提供者进行绑定并调用w e b 服务实 现交互。一般来说，一个应用系统可以同时担任服务提供者和服务请求者。图 2 1 说明了w e b 服务体系结构的组件及它们之间的交互操作。 北京工业大学工学硕士学位论文 查找发布 绑定 图2 - 1w e b 服务结构模型【1 6 】 f i g 2 - 1w e bs e r v i c es n u c t u r em o d e l 2 2 2w e bs e r v i c e 的相关技术 支持w e bs e r v i c e 的核心技术都是完全基于开放式标准的，它们主要包括： x m l 、s o a p 、w s d l 、u d d i 、x m ls i g n a t u r e 、x m l e n c r y p t i o n 和w s - s e c u r i t y 。 1 x m l x m l 是w 3 c 组织制定的一个文本标记语言规范，可以用来定义和描述数 据。x m l 是一种纯文本的语言，能很方便的被计算机和人同时识别。x m l 的简 单性使其易于在任何应用程序中读写数据，这使x m l 很快成为数据交换的唯一 公共语言。x m l 的开放性、独立性和平台无关性使它成为w e bs e r v i c e 所依赖的 其它协议规范的基础。 2 s o a p s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c o l ，简单对象访问协议) 是一种轻量的、 简单的、基于x m l 的协议，它被设计成在w e b 上交换结构化的和固化的信息。 s o a p 可以和现存的许多因特网协议和格式结合使用，包括超文本传输协议 ( h t t p ) ，简单邮件传输协议( s m t p ) ，多用途网际邮件扩充协议( m i ) 。 它还支持从消息系统到远程过程调用( i 冲c ) 等大量的应用程序。 3 w s d l w s d l ( w e bs e r v i c e sd e s c r i p t i o nl a n g u a g e ，w 曲服务描述语言) 是一个用 来描述w e b 服务和说明如何与w e b 服务通信的x m l 语言。w s d l 文档以端口 集合的形式来描述w e b 服务，w s d l 服务描述包含对一组操作和消息的一个抽 象定义，绑定到这些操作和消息的一个具体协议，和这个绑定的一个网络端点规 范。 第2 章企业应用集成技术基础 4 u d d i u d d i ( u n i v e r s a ld e s c r i p t i o nd i s c o v e r ya n di n t e g r a t i o n ，统一描述、发现和集 成协议) 是一个用于分布式网络环境下w e bs e r v i c e 的信息注册的规范。它提供 了一个全局的，公共的，基于x m l 的方式来浏览，发现w e bs e r v i c e 以及它们 之间的相互作用。u d d i 也是w e b 服务集成的一个体系框架。它包含了服务描述 与发现的标准规范，商业用户通过它可以注册并宣传它们的w e b 服务。 5 x m ls i g n a t u r e x m l 签名( x m ls i g n a t u r e ) 规范是由w 3 c 和i e t f 于2 0 0 2 年联合发布的， 描述了数字签名的x m l 表示及计算、验证x m l 表示的过程。x m ls i g n a t u r e 可 以对以u r i 形式定位的资源签名。x m ls i g n a t u r e 既可以对x m l 文件中的任一 元素做签名，也可以对整个x m l 文档签名。通过x m ls i g n a t u r e 可以保证整个 x m l 文档或消息的不可否认性、身份认证和数据完整性。 6 x m le n c r y p t i o n x m l 加密( x m le n c r y p t i o n ) 是由w 3 c 的x m le n c r y p t i o nw o r k i n gg r o u p 于2 0 0 2 年开发出来的规范。该规范描述了对数据的加密过程和加密结果的x m l 表示，加密的数据既可以是一个完整的x m l 文档，也可以是x m l 文档中的指 定元素。使用x m l 加密可以防止敏感信息的泄露。 7 w s - s e c u r i t y w 曲s e r v i c e 安全性( w s s e c u r i t y ) 【1 7 】描述了对s o a p 消息传递的改进，即 通过消息完整性、消息机密性以及单一消息认证提供保护功能。2 0 0 6 年2 月1 7 日，o a s i s 组织发布了w s s e c u r i t y1 1 版本。w s s e c u r i t y 是一个消息级别的标 准，主要用于通过x m l 数字签名保护s o a p 消息、通过x m l 加密保护机密性 以及通过安全性令牌保护凭证传播。w s s e c u r i t y 为安全性令牌与消息的关联提 供了一个通用机制。w s s e c u r i t y 不需要任何特定类型的安全性令牌，它具有可 扩展性，支持多种安全性令牌格式。 北京工业大学工学硕士学位论文 2 2 3w 曲s e r v i c e 的运行机理 巨巨囤 ： 图2 2 w e b 服务调用流程 f i g 2 2t r a n s f e rf l o wo fw e bs e r v i c e 如图2 - 2 所示，实现一个完整的w e b 服务包括以下步骤： 1 w e b 服务提供者将业务功能封装成w e bs e r v i c e ，并向u d d i 注册中心注 册发布服务； 2 w e b 服务请求者查询u d d i 注册中心，寻找满足要求的w e bs e r v i c e ； 3 u d d i 注册中心向w e b 服务请求者返回满足条件的w e b 服务，并使用 w s d l 描述该w 曲s e r v i c e ： 4 w e b 服务请求者根据返回的描述信息生成相应的s o a p 消息，发送给 w e b 服务提供者，以实现w e b 服务的调用； 5 w e b 服务提供者按s o a p 消息执行相应的w e b 服务，并将服务结果返回 给w e b 服务请求者。 2 3 安全断言标记语言 安全断言标记语言s a m l 是由o a s i s 批准，提供基于x m l 实现w e b 站点 之间互操作的安全访问控制框架体系和协议，主要用于在复杂环境下交换用户的 身份识别信息1 引。s a m l v l 0