（计算机科学与技术专业论文）基于本体模型的单点登陆系统设计与实现.pdf

基于本体模型的单点登陆系统设计与实现 摘要 单点登录技术是一种可以方便用户访问网络资源的技术。在复杂的网络环境 中、分布应用的情况下，用户只需要一次登录，就可以获得多个系统和应用服务 资源的访问授权，这样可以在系统间方便的穿梭，不用重复输入用户名和密码来 多次获得认证和授权。许多商业软件公司和研究机构都提出了相应的解决方案。 于此同时，各个标准的不完善性和较差的兼容性，给业界提出了新的难题。 为了满足企业内部业务系统建设所提出的集中式认证授权的需求，本文在基 于本体模型的单点登陆系统设计和实现方面做了以下有意义尝试： 1 引入领域本体模型对于应用系统间可共享的访问控制模块进行抽象，描 述出访问控制策略知识库。 2 以商业银行为原型，对于访问控制相关的共享领域知识以及逻辑推理的 规则进行定义，构建出相应的领域本体模型，作为访问控制策略的基础。 3 使用x a c m l 作为策略的传输格式，本体知识库作为作为策略访问的文 档策略库，在此基础上设计出一套权限控制机制。 4 从认证和授权两个方面入手，结合消息传输的安全性进行考虑，对于认 证和授权的流程进行详细的设计。 5 设计了一个基于s a m l 规范体系、涵盖本体模型的单点登录系统。考虑 了s a m l 在体系上的种种不足，充分利用该规范的可扩展性，利用一些 开放性工具包，对于基础类库进行封装和扩展。 由于s a m l 规范仅仅提出了一套规范化实体和流程，并未给出具体实现方 案。在系统设计和实现中，本文着重于领域本体库的工程构建，以及技术在工程 领域的实用性，发挥其知识表达上的优势，将其应用于单点登录体系中去。根据 实际的业务场景需求，设计出分层次的实施架构。结合实际的项目，使系统的设 计原型取得良好的应用效果。 本文的最后，总结了基于本体模型的单点登录系统的研究与应用，并作了进 一步工作的展望。 关键词：本体单点登录s a m lw s s e c u r i t yx a c m l d e s i g na n di m p l e m e n t a t i o n o fas i n g l es l g n o ns y s t e mb a s e d o no n t o l o g ym o d l e a b s t r a c t ( s i n g l es i g n o n ) s s oi s a l lu s e r - f r i e n d l yt e c h n o l o g yt oa c c e s st h er e s o u r c c s t h r o u g ht h en e t w o r k i nt h ec o m p l e xn e t w o r k v i r o n m c n to rt h ec i r c u m s t a n c e so f d i s t r i b u t i o n , u s e r so n l yn e e dal o g l nt og e t 也ca v a i l a b i l i t yo nm u l t i p l es y s t e m sa n d a p p l i c a t i o ns e r v i c e sf o ra l l a u t h o r i z e d 代搭饥l r c e s i nt h a tp a i s et h e r ei sn on e e dt o r e - e n t e rt h eu s e rn a m ea n d p a s s w o r dt og e t 恤a c c e s sa u t h e n t i c a t i o na n da u t h o r i z a t i o n a g a i na n da g a i n s of a rm a n yc o m m e r c i a ls o f t w a r ec o m p a n i e sa n dr e s e a r c h i n s t i t u t i o n sh a v ep u tf o r w a r dt h ec o r r e s p o n d i n gs o l u t i o n s b u ta tt h es a m et i m e ，a l lt h e i m p e r f e c t i o n so fs t a n d a r d sa n dp o o rc o m p a t i b i l i t yp r o p o s ean e w s e to fp r o b l e m st o t h ei n d u s t r y i no r d e rt om e e tt h ei n t e r n a lb u s i n e s sr e q u i r e m e n t so fb u i l d i n gac e n t r a l i z e d a u t l l e n t i c a t i o n & a u t h o r i z a t i o nm e c h a n i s m ，t h e r ea r ea f e wm e a n i n g f u la t t e m p t si nt h i s a r t i c l eo nb o t hd e s i g na n di m p l e m e n t a t i o no fas s os y s t e mb a s e d o no n t o l o g ym o d e l ： 1 d o m a i no n t o l o g ym o d e li su s e df o ra b s t r a c t i n gt h es h a r e ds y s t e ma c c e s s c o n 缸o lm o d u l ea n df o rd e s c r i b i n gak n o w l e d g e b a s eo fa c c e s s c o n t r o l p o l i c i e s 2 p r o t o t y p et oc o m m e r c i a lb a n k s ，t h es h a r e dd o m a i nk n o w l e d g ef o ra c c e s s c o n t r o la n dt h er u l e so fl o g i ca r ed e f i n e d i tc o n s t r u c t st h ec o r r e s p o n d i n g d o m a i no n t o l o g ym o d e la st h eb a s i so fa c c e s sc o n t r o ls t r a t e g y 3 u s i n gx a c m la s t h e t r a n s m i s s i o nf o r m a tf o rs t r a t e g y , a n do n t o l o g y k n o w l e d g e b a s ea sas t r a t e g yd o c m n c n t , i t t h e np r o p o s e sad e s i g nf o ras e to f a c c e s sc o n t r o lm e c h a n i s m 4 c o n s i d e r i n gt h es e c u r i t yo f i n f o r m a t i o nt r a n s m i s s i o n , i ti l l u s t r a t e st h ed e s i g n i i f o rt h ed e t a i l e dp r o c e s s e so fu n i f i e da u t h e n t i c a t i o na n da u t h o r i z a t i o n 5 a st h e r ei sav a r i e t yo fd e f i c i e n c i e sf o rs a m l i no r d e rt om a k ef u l lu s eo f t h en o r m so fs e a l a b i l i t y , s o m eo p e nt o o l k i t sa r eu s e d a n da l s os o m e e x t e n t i o n so faf o u n d a t i o nc l a s sl i b r a r ya r cm a d e t h e nas t a n d a r d i z e ds s o s y s t e mw a sd e s i g n e db a s e do ns a m l ，c o v e r i n go n t o l o g ym o d e l s a m ls t a n d a r do n l yd e f i n e ss o m es t a n d a r d i z e de n t i t i e sa n dp r o c e s s e s ，a n dt h e r e i s1 1 0c o n c r e t er e a l i z a t i o n s oi nt h es t a g eo fd e s i g na n di m p l e m e n t a t i o n ，t h i sp a p e r f o c u s e so nt h ef i e l do fo n t o l o g yc o n s t r u c t i o nf o rt h ep r o j e c t ，a sw e l la st h e a v a i l a b i l i t yo ft h et e c h n o l o g yi nt h ea r e a so fe n g i n e e r i n g i tt r i e st ot a k et h ea d v a n t a g e o ft h e i rk n o w l e d g ee x p r e s s i o nf o ra p p l y i n gt oas s oa r c h i t e c t u r e a n dt h e na c c o r d i n g t o t h ea c t u a ln e e d so ft h eb u s i n e s ss c e n e , i td e s i g n st h ei m p l e m e n t a t i o no fa h i e r a r c h i c a ls t r u c t u r e w i t ht h ea c t u a lp r o j e c t , t h ed e s i g no ft h ep r o t o t y p es y s t e m a c h i e v e sag o o de f f e c t f i n a l l y , t h ea r t i c l eg i v e st h ec o n c l u s i o no ft h es i n g l es i g n - o ns y s t e mb a s e do n o n t o l o g ym o d e la n di t sa p p l i c a t i o n ，a n da l s op r o v i d e sa no v e r v i e wo f f u r t h e rw o r k k e y w o r d s ：o n t o l o g y s s os a m l w s s e c u r i t y x a c m l i i i 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 篮蠡呈日期：望噬! 旦! 鱼 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：丛整日期：垒塑生三旦! 鱼 导师签名：j 莎红舻日期：垄型型垒旦j 垦一 北京邮电大学硕上研究生毕业论文 基于本体模型的单点登陆系统设计与实现 1 1 引言 第一章绪论 近年来，随着企业信息化建设的步伐的逐步加快，全球化、网络化、区域一 体化的浪潮风起云涌。信息系统以及各种应用技术，渗透到企业的方方面面。传 统行业如银行、电信、石油化工等企业，都在建立自动化的业务系统来对原有的 工作流程进行改造。 在业务流程实现自动化的同时，一批基于生产数据，以联机分析处理为特点 的管理信息系统孕育而生。例如为打击洗钱犯罪和满足国家外汇管理部门监管要 求的反洗钱系统；为提高企业核心竞争力，让企业在风险经营环境中取得最大利 益，提前知晓市场风险，最大化优化风险的交易风险管理系统；为规范金融企业 内部审计制度，以统一化流程进行内部控制的非现场审计平台。这些管理信息系 统问不可避免地存在业务上的交叉，流程上的互动，甚至需要频繁的使用一些公 用的功能模块，比如上述这些系统都需要调用统一的规则引擎进行协同。在这样 的1 1 r 平台建设之下，企业中的所有日常业务几乎都需要使用系统平台来驱动， 对于企业中的业务人员来说，日常的工作就是通过各业务系统来完成日常的工作 任务。由于系统的帮助，人员的效率日益提高，同时企业为了节约人力、物力、 财力追求更高的经济效应，这些都对于业务人员的职责提出了更多、更高的要求， 他们往往需要对部署在企业内部网络上的多个系统应用同时进行操作。这样的背 景之下，就迫切需要建立统一的平台，对分散的业务系统进行集中式的管理。 在传统模式的业务系统上，认证机制通常是基于用户名和密码的。在这样的 模式之下，所有的系统都需要用户在其中设立用户，保管密码，并且采取独立的 机制，对于用户的身份进行验证，实现权限控制。业务人员为了应对繁多的用户 名需要记忆，往往采用同样的密码，或者设置一些便于记忆的简单密码。为了同 时应付不同的登录系统，有的用户甚至在纸上记录密码。各个业务系统采取的安 全策略也没有统一的规范，许多系统都采用明文形式传输密码等重要信息，这都 造成很大的安全隐患。 从企业内部的资源上的利用上来看，传统的模式也带来一定的麻烦。每一个 独立的系统都要维护一套用户系统，并建立独立的组织架构和授权体系结构，这 样做无疑造成资源上的浪费，同时也造成企业内部的组织工作变得繁琐而效能低 下。 在这种情况下，组织内部和用户都迫切需要一种方便快捷、安全保障、对于 r r 资源利用合理的统一认证授权机制来实现单点登录。在此基础之上，所有业 务系统都作为一个统一联盟的成员，互相之间实现了统一认证、授权和系统互信。 北京邮电大学硕上研究生毕业论文基于本体模型的单点登陆系统设计与实现 1 2 国内外研究情况和面临的挑战 作为电子商务领航厂商的c a 公司推出了e t r u s t 安全解决方案，为电子商务 企业级平台提供了单点登录的方案。它把现有的c s 架构和b s 架构系统的访问 控制集中处理，对于现有电子商务企业联盟的建立提供了便利，有效减少了系统 用户的登录次数，对于商家来说，这样的机制提高了访问的效率。国际商用机器 公司i b m 推出的t r i v o l ig l o b a ls i g n o n ，支持a i x 、s o l a r i s 等多种操作系统，使 用户方便、快捷的访问异构系统的资源。作为全球软件业的霸主，微软公司同样 推出了基于n e t 平台的p a s s p o r t 单点登录，为广大的英特网用户和服务提供者提 供了统一的身份验证机制。服务提供者通过信任p a s s p o r t 服务器，把身份验证的 工作交给p a s s p o r t 平台集中进行。 安全断言标记语言( s a m l ) 【l l 是一种基于x m l 2 】语言，是厂商和语言独立 的，不依赖于任何开发厂商、中间件产品和编程语言。作为新一代的单点登录体 系的开放性标准，它通过对于安全主题的断言( a s s e r t i o n ) 来表述安全的信息， 采用基于x m l 语言的消息来传输。这一技术的提出对于建立企业级应用的单点 登录体系，采用集中式的方式来处理用户的认证和授权，是一个良好的基础。它 并没有定义一种新的认证和授权的机制，而是倡导使用x m l 语言描述的声明来 定义出一套适用于安全信息交互、信息共享的体系结构。由于摆脱了一些传统产 品采用c o o k i e 作为票据载体的方式，基于x m l ，s a m l 体系可以灵活的构建跨 域的安全控制机制。通过与s o a p 等协议的集成，安全信息可以借助w e b 服务 进行交换。 s a m l 体系只是一套标准，对于实现的具体方案留给了各系统厂商来制定。 目前对于s a m l 的单点登录系统的研究和运用尚处于起步阶段，如何将s a m l 规范与现有的安全技术结合起来，开发出基于标准的、适应于业务需求场景的单 点登录服务系统，以及如何尽量简化单点登录模型以提高系统的运行效率，并为 其提供足够的、全面的安全性都是当前值得研究的主题，也是w e b 服务安全性 研究的一个发展趋势。 为了实现统一的授权机制，迫切需要在s a m l 体系之中建立一套策略描述 模型，将分散的业务需求场景所需要的访问控制策略，用具有同一性的方式进行 描述，减少冗余、加强共享，并使用特定的格式来传递策略信息。基于这样的一 套模型，才能够实现真正意义上的集统一的认证和授权功能为一体的单点登录系 统。 本文即是冲破了传统单点登录系统的一些思维束缚，将领域本体模型3 】的知 识表示方法应用到s a m l 体系中，并运用已有的安全技术来对s a m l 进行扩展， 对s a m l 令牌各式进行封装，弥补该体系在应用上的不足，研究、开发了一套 北京邮电大学硕士研究生毕业论文 基于本体模型的单点登陆系统设计与实现 对于企业集中式管理具有实践意义的单点登录系统。 1 3 主要研究内容 本文主要研究单点登录系统的设计、构建，以及领域本体模型在系统中的应 用问题，主要包含以下的内容： 1 单点登录技术和开放技术标准的学习与研究。 学习并了解了单点登录技术的产生背景，详细研究了针对于单点登录技术的 解决方案以及理论方面的主要学术成果；对主流的技术、开放标准s a m l 体系 结构进行有针对性的分析，研究了其实现流程、断言格式、以及主要实现方法， 为系统的应用设计打下了理论基础。 2 单点登录技术的改进和本体模型的引入 深入调查研究了目前技术实现的缺点以及在功能设计方面的要求，针对b s 架构系统大量存在，基于全业务流程的应用模式，满足企业级1 1 r 应用平台间共 享统一的组织架构、业务人员、角色种类、行政职能等现实需求，引出了访问控 制策略库本体模型的设计问题。 3 本体的工程方法论以及领域本体模型的设计 在访问控制策略本体库的设计当中，遵循本体的工程方法、代数系统元定义 模型，使用o w l 4 】本体描述语言，对于以银行为原型的企业业务层次结构当中， 访问控制相关的共享领域知识以及逻辑推理的规则进行定义。基于此，进一步细 化在权限管理、控制模型中使用本体描述的概念，对于企业级的应用领域与资源、 操作、组织架构相关的信息进行详细建模，反映出业务应用级的语义信息，作为 访问控制策略的基础。 4 本体知识库作为访问控制策略的统一授权 进一步引入x a c m l 5 】作为策略交换格式，用于交换和共享授权策略。使用 领域本体模型为基础的知识库作为策略访问的文档策略库。基于本体知识库 的查询模型设计了一套单点登录系统中行之有效的统一授权机制。在研究中我们 发现，使用本体实现策略知识的定义解决了元知识共享的问题，在知识交换中使 用基于x m l 特性的x a c m l 协议解决了交换格式的难题。 5 使用w s - s e 训t y 【6 1 规范与s a m l 体系结合 3 北京邮电大学硕士研究生毕业论文基于本体模型的单点臂陆系统设计与实现 利用w s s e c u r i t y 协议族定义s o a p 消息中的x m l 安全性元数据机制，以 此确保消息传输中端到端的安全性。采用符合规范的x m l 加密和x m l 签名技 术，在生成消息前，对消息进行加密、签名等安全处理；在接受消息后，进行解 密、验证签名等处理，保证消息的有效性，并能够有效的防止攻击。 6 封装扩展s a m l 体系 尝试了对于s a m l 提供的断言类型进行封装，利用其开放标准的优势，定 义出实际应用需要的扩展令牌，从本质上说令牌仍然是符合s a m l 规范的令牌 格式。并对于标准的s a m l 体系结构处理流程进行了扩展，在考虑安全性和功 能性的基础上，详细设计出一套统一认证和统一授权的处理流程。 7 设计出一套企业级应用的单点登录系统 根据前中后台的划分，认证和授权两条主线，采用分治法将系统的功能需求 有效的组织成一套层级式的体系结构。支持分布式系统的授权管理，能够整合异 构系统，支持各种模式的应用，封装了对异构数据库、操作系统、应用服务器的 支持，并且提供了对各种外部应用系统的访问接口，研究了接口功能的抽象，对 于主要的方法、核心模块进行了说明。 8 讨论了系统在商业银行的实际应用 本人有幸参与了业务集中背景下，某商业银行单点登录系统的建设和应用， 在实践中把本文设计的单点登陆系统体系结构运用到实际的系统整合、集中式控 制中去，减轻了银行业务人员同时使用多个业务系统的困难，使交叉使用多种应 用服务组合编排业务流程成为可能。对于现有业务流程的优化，高复杂性的业务 和重复性后台操作集中处理做出了积极的贡献，实现行内的资源共享。并在实践 工作中实现了可视化的系统管理模块。 1 4 本文结构 本文共七章，第一章描述问题的背景和国内外的研究现状；第二章概述单点 登录的相关技术和所运用的开放技术标准s a m l 的一些特点，并针对技术实现 中存在的问题现状提出改进；第三章介绍了本体理论及其工程上的方法论；第四 章针对于本系统的业务需求模型，根据方法论设计出一套领域本体模型，并提出 一套知识库推理框架；第五、六章结合本人参与的商业银行单点登录系统项目， 讨论了领域本体模型在系统中的应用，并设计出系统的体系架构、标准流程和主 要功能模块；第七章是本文的结论与展望。 4 北京邮电大学硕士研究生毕业论文基于本体模型的单点登陆系统设计与实现 第二章单点登录相关技术介绍 2 1 单点登录的概念 单点登录作为一个新兴的技术，可以显著提高登入用户访问系统的效率，它 可以简化系统的安全管理和增加应用系统的安全。在理论上，它可以支持不同的 认证技术和系统平台，建立一个安全的联盟。一旦用户通过了单点登录认证，则 这一次的登录可以被多个应用系统同时认可。这样一来，在网络环境传递用户名、 密码的次数大大减少，降低了风险，并且通过统一的接口处理，做集中的接入处 理，对于应用系统的要求会有所精简。通过使用该技术，用户只需要在开始的时 候登录一次，即可无缝的访问各种应用。如图2 1 所示： 图2 - 1 单点登录概念模型 单点登录系统的使用显著提高了工作效率，使得用户不必每访问一个应用服 务资源都要进行一次额外的登录，从而使得用户有更多的时间能够关注与系统相 关的业务逻辑，使得广大的业务人员从无休止的用户名、密码录入和记忆工作中 解放出来。 单点登录保证了网络传输的安全性。身份的认证、授权机制使用了加密、数 字签名的手段，可以防止大部分的网络攻击。同时由于新的身份认证机制使得用 户对于帐号的记忆要求大为减少，使得由于频繁登录过程中用户机密信息泄漏造 成的系统安全隐患大大降低了。 单点登录机制通过有效的管理，使得用户的帐号数据等认证信息、以及用户 的权限信息集中统一管理和保存。由具有权限的系统管理员在集中的环境下进行 5 北京邮电大学硕士研究生毕业论文基于本体模型的单点登陆系统设计与实现 管理，减少了由于工作疏忽造成的安全漏洞，同时也避免了各应用系统独立设置 安全控制模块的所需要做的重复工作。 2 2 单点登录系统的技术分析 随着企业应用的深入和企业信息系统建设的加速，系统的安全性问题和用户 的易用性问题日益突出，其中的矛盾也在加剧，单点登录系统逐渐为人们所认识。 各大商业应用公司和科学研究单位纷纷推出了单点登录平台，提出了许多有特点 的架构。下面本文着重分析一些固有的单点登录系统，及其采用的主要技术特点。 2 2 1 k e r b e r o s 体系 k e r b e r o s 是为了能够在客户端不被完全信任的环境中进行工作而设计的身 份验证系统。它通过k e r b e r o s 分配中心( k d c ) 接受用户提供的口令，为用户 分配一个包含会话密钥的票据。由于票据被服务器本身的密钥加密过，客户是不 能对于票据进行查看和修改的。因此客户端必须拥有一个有效的票据才能够对于 保护服务进行访问。当要发起服务访问时，用户将票据提供给应用服务器，该服 务器检查票据的有效性，并据此根据结果决定是否允许访问。 客户端首次请求并接受t g t ( t i c k e tg r a n t i n gt i c k e t ) ，利用它向k d c 进行身 份验证。而后，客户端请求并接受一个t g s ( t i c k e tg r a n t i n gs e r v i c e ) ，利用t g s 向应用服务器进行验证。k e r b e r o s 的主要作用在于使用加密的手段来保护证书、 阻止重放攻击，并充当集中身份认证系统。 票据认证简化步骤如图2 2 所示： 6 北京邮电大学硕士研究生毕业论文基于本体模型的单点登陆系统设计与实现 请求 返回 请求 返回 服务器 图2 2k e r b e r o s 认证体系结构 k d c k e r b e r o s 票据包含域、服务器名称、会话密钥、客户端域、客户机名称以及 用于表示有效起点和终点的时间值。有效时间用于防止重放攻击。k e r b e r o s 体系 提供了一套完整的单点登录实现方案，能够保证高可靠性和安全性；它的不足之 处在于目标服务对于身份的验证即对于票据的验证，需要对目标的应用系统做修 改，对于开发和部署具有一定的困难：再者，k e r b e r o s 体系对于客户端有较多的 要求，对于瘦客户端的系统来说，实施起来有较大困难。 2 2 2 win d o w sp a s s p o r l ：单点登录技术 w i n d o w sp a s s p o r t 技术【7 】是由微软推出的一个单点登录实现方案，它减弱了 用户在基于身份验证的应用程序中的相互作用。它提供了一个可以执行简单功能 的统一的分布式网络。其中最主要的功能就是进行身份认证。用户可以在支持 p a s s p o r t 方案的多个w e b 应用程序中只使用一个p a s s p o r t 证书。因此，用户通过 管理一个登录用户名和密码来访问多个不同的应用程序，实现了单点登录。 w i n d o w sp a s s p o r t 技术采用浏览器中的c o o k i e 保存用户的登录票据，当用户 访问应用服务时，将c o o k i e 提供给相应的站点。从安全信息通道上来看p a s s p o r t 并没有直接与合作站点进行消息的交换，所有认证信息均由客户端存储和转发给 合作站点应用服务器。 7 北京邮电人学硕士研究生毕业论文基于本体模型的单点登陆系统设计与实现 作为一种集中式的控制技术，用户的信息集中保存在p a s s p o r t 服务器中， p a s s p o r t 服务器中还保存有合作站点的用户名和密码。客户端一次登录p a s s p o r t 服务器后就等同于通过所有合作站点的身份验证，而不需要对每个站点的应用系 统进行多次重复登录。 其过程表现为：客户端登录，输入用户名、密码。p a s s p o r t 服务器验证用户 身份后，生成票据，保存在c o o k i e 中缓存在本地，根据场景重定向到相应的合 作站点。对应站点检查用户是否包含这登录生成的票据c o o k i e ，得以确定用户的 身份。最后，合作站点开始为用户提供服务。当用户注销登出的时候，只需要删 除保存在c o o k i e 中的票据信息即可。 p a s s p o r t 体系结构如图2 3 所示： c l i e n t 、一l l 囤 p a s s p o r t 合作站点 图2 - 3w i n d o w sp a s s p o r t 认证体系结构 单点登录( 集中式认证) 的过程对用户是透明的，目前的主流浏览器，只需 要支持c o o k i e ，就能实现单点登录。通过加入这样的认证体系，分散的应用服务 资源可以被其他合作站点共享使用，为w e b 服务走向开放和协作提供了条件和 基础。 可是，m i c r o s o f tp a s s p o r t 同样具有一些问题。作为一种服务，他并不遵循开 放的规范，该平台由微软提供，并需要向微软缴纳服务费用。该服务的安全性， 用户资料的机密性由服务的提供者微软承诺保证，在复杂的网络情况中，存在 p a s s p o r ts e r v e r 失效的可能性，在这种情况下，各合作站点便无法登陆访问了。 由于系统是基于c o o k i e 的特点，因为c o o k i e 不能跨域访问，因此无法支持跨域 的应用服务。 8 匿国 北京邮电大学硕l 二研究生毕业论文 基于本体模型的单点登陆系统设计与实现 2 2 3 s a m l 体系结构 较上述两种实现技术来看，安全断言标记语言s a m l 是一项更为优秀的替 代技术，它由高级结构化信息标准组织o a s i s 订立，作为单点登录开放技术标 准，它采用x m l 作为w e b 服务站点间相互操作的消息协议。使用s a m l 可以 方便的实现用户的跨域访问，实现集中方式的身份认证和授权机制。 不同的应用服务只要基于s a m l 体系，就可以实现系统的相互合作，共享 安全认证信息和授权信息，使得这些信息可以在不同的应用系统中传递，从而有 效的避免多次用户认证，提高了单点登录的效能。 s a m l 体系结构主要包括三个组成部分： 1 主题： s a m l 中的一个重要的概念，它包括u s e r 、e n t i t y 、w o r k s t a t i o n 等，用于表征一个参与信息交互的实体。 2 信任方：s a m l 中的服务提供者，也就是提供应用服务的一方，通常表 示企业中的应用系统所暴露出来的e n d p o i n t 。 3 断言方：s a m l 体系的核心部分，它通常以权威的身份提供对主题的身 份信息的正确的断言，一般也可称作身份提供者i d p 。 s a m l 的工作方式，以r e d i r e c t p o s tb i n d i n g s 为例如图2 4 所示，具体过 程叙述如卜： 图2 4s a m l 体系工作方式 1 主题访问应用的授权服务，服务方将主题重定向到i d p 获取断言。 2 i d p 要求主题提供能够证明它自己身份的手段( 用户名密码或者x 5 0 9 证书1 9 北京邮电大学硕士研究生毕业论文基于本体模型的单点登陆系统设计与实现 3 若使用用户名、密码的模式，用户提供了自己的相应帐号密码。 4 验证用户身份之后，主题被重定向到原来的服务提供者。 5 服务提供者对于断言进行校验。 6 应用服务提供者响应主题的服务请求。 2 3s a m l 的特点 s a m l 提供了一套安全断言的规范，它基于x m l ，和s o a p 消息具备类似 的特征，不需要考虑传输协议以及开发应用平台上的不同。s a m l 可以与 h 1 _ r p s s m m s s o a p 等几乎所有的传输协议实现捆绑【引。在面向服务的体系架 构中，有许多的应用服务，他们可能基于不同的开发平台，具备各自不同的传输 协议。需要在这样复杂的环境下实现单点登录，就必须使用s a m l 这样的开放 标准，因为它能够做到与平台无关、与传输协议无关。 2 3 1 s a m l 体系的几点不足 尽管s a m l 有着许多与生俱来的优势，其中依旧存在着许多功能完整性、 安全和使用上的不足之处，而今，虽然被o a s i s 定位成单点登陆的现行标准， 在实际的工程当中仍需要对其本身做一系列的完善的工作。 其中，存在的问题大致可以归纳如下： 1 s a m l 没有一套成型的授权控制机制，缺乏对于安全信息交互的关注导 致对于授权和访问控制，这一单点登陆系统在实际应用中的核心问题， 关注点过于少。在实际应用中，授权机制的重要程度往往是非常现实的， 没有这样的机制，单点登陆很可能成为空中楼阁。在实际单点登录系统 授权模块的实现当中，不单单需要的是一个访问控制模型，更需要考虑 的是各个业务应用系统中知识的共享，其中的知识便指的是不同业务系 统中对于访问控制策略的理解和表述。如何对于异构的知识体系进行描 述成为必须解决的首要难点。 2 s a m l 体系支持的应用模式会比较单一，因为从本质上说，其仍然是一 种基于票据的结构，主要会面向于w e b 应用系统的集成单点登陆。这一 体系上的盲点，在相对普遍是b s 架构的银行企业1 1 r 架构中，表现的 还不是十分明显。 3 s a m l 体系应用环境可以做进一步的扩展。介于s a m l 是基于票据的这 样一种现实情况，对于所有要加入单点登陆系统的应用服务，都需要做 相应的服务端处理，来识别和处理s a m l 令牌，这会对s a m l 的应用 1 0 北京邮电大学硕十研究生毕业论文 基于本体模型的单点登陆系统设计与实现 场景和应用系统的集成造成一定的影响。 4 s a m l 没有规定客户端身份信息的获取方式，它所关注的是安全信息的 交互，对于使用系统的用户身份的获取方式没有做好相应的规定，这在 提高了系统的开放性的同时也带来了使用上的不便利性。 5 s a m l 定义的交互方式安全性需要进一步的加强。s a m l 的安全信息交 互方式完全是基于x m l 的，登陆授权这些安全信息被要求在传输中进 行加密，但其后的用户的应用信息没有使用加密信道传输。需要使用 w s s e c u r i t y 来对x m l 的安全策略做进一步的处理。 2 3 2 对于8 a l l 体系的改进 在上文着重分析了s a m l 体系的不足之处之后，本文提出了改进和扩展的 一些想法： 1 采用基于领域本体模型描述的访问控制策略，实现安全信息的共享。 在s a m l 中没有具体规定使用的权限管理技术，从而保证了很大的灵活性， 即任何系统的实现者可以选取相关的技术来作为这一模块的实现。在本系统中， 采用了基于领域本体模型描述的访问控制策略知识库，引入了机构、角色的概念， 实现了用户和业务领域权限上的分离，增加了权限管理的灵活性。然后引入机构 层次，角色层次，角色组的概念，将用户分配到相应的角色层次模型里面去，隶 属于组织架构之中的某一个特定的业务机构，这样更加符合用户业务系统访问控 制的需求。 另一方面，组织架构内部成员之间，需要实现信息的共享和信息的交互，从 本质上说，银行内部的信息系统，包括组织架构信息，资源信息，流程信息，就 是一种知识，因而采用本体来描述系统以及系统内部的安全问题以实现安全控制 信息共享是一种很好的模式【9 1 。利用这样一种模式，业务领域的知识可以被看作 访问控制模型的策略库，得以充分的复用，因为这样一种针对于业务领域的知识 表示，使得策略具有了更好的通用性和协作性。 2 基于开放协议的扩展 s a m l 另一个重要的特点在于，作为开放协议本身，它具有良好的扩展性【1 0 】。 允许对其中的一些元素进行定义，增加适当的段以供满足业务上的要求。本文尝 试使用适当的结构来封装s a m l 令牌。它的这一特点，为本系统的实现提供了 开发和应用上的灵活度。 3 采用基于w e b 服务安全的技术，有效地加强了系统安全性 w s s e c u r i t y ( w e b 服务安全性) 将安全数据插入到s o a p 消息中，定义了 在s o a p 消息中添加加密和数字签名，和插入任意安全令牌的机制。 北京邮电大学硕士研究生毕业论文基于本体模型的单点登陆系统设计与实现 利用这一特性，建立客户端到统一认证服务，以及客户端到应用服务之间的 安全通道。提供端对端的安全策略，很好的保证了信息的安全和系统间信任的关 系。 4 扩展客户端的功能，提供统一的认证信息获取接口和信息加密服务。 在标准的s a m l 体系结构处理流程中，客户端代理( a g e n t ) 所完成的主要 功能是判断登陆某一应用所要使用的权限验证服务器和地址。 系统设计中，借鉴客户端代理的模式封装了上述功能，并充分利用代理的作 用，扩展了客户端代理的功能。在系统中，客户端代理还提供了统一的身份信息 获取机制，支持用户配置自己采取的身份信息机制，另外，还对进出代理的信息 提供加密、解密服务，包括证书加解密以及对于传输信道中加密信息的处理等等； 此外，提供日志报表的功能。 1 2 北京邮电大学硕士研究生毕业论文基于本体模型的单点甓陆系统设计与实现 第三章本体论的理论研究现状 3 1 本体的简要介绍 基于授权策略的表述需引入本体模型的改进方案，本文首先对于本体理论做 必要的介绍。本体理论的渊源可以追朔到对于世界本质进行描述的哲学领域【1 1 1 。 从哲学上说，本体是客观存在的一个系统的解释或说明，关注的是客观现实的抽 象本质。在信息系统领域，本体目前主要用于知识的表示、组织和管理。从本质 上说，本体提供的知识共享方式可适用于任意基于知识的系统和组件。随着人工 智能的发展，本体为人工智能界给予了新的定义。比较有代表性的定义如表3 1 所示： 表3 - 1 本体的定义列表 范畴提出时间提出人定义 客观存在的一个系统的解释和说明， 哲学 客观现实的一个抽象本质 19 9 1 n e c h e s 等 给出构成相关领域词汇的基本术语 和关系，以及利用这些术语和关系构 成的规定这些词汇外延的规则的定 计算机 义 19 9 3 g r u b e r 概念模型的明确的规范说明 19 9 7 b o r s t 共享概念模型的形式化规范说明 19 9 8 s 砌e r共享概念模型的明确的形式化规范 说明 本体是共享概念模型的形式化规范说明，它包含了4 层含义【1 2 】：概念模型、 明确性、形式化和共享。“概念模型一指通过抽象客观世界中一些现象的相关概 念而得到的模型，其表现的含义独立于具体的环境状态。“明确性指所使用的 概念及使用这些概念的约束都有明确的定义。“形式化指本体是计算机可处理 的。“共享 指本体中体现的是共同认可的知识，反映的是相关领域中公认的概 念集。 本体的目标是捕获相关的领域的知识，提供对该领域知识的共同理解，确定 该领域内共同认可的词汇，并从不同层次的形式化模式上给出这些词汇( 术语) 和词汇之间相互关系的明确定义。 1 3 北京邮电大学硕士研究生毕业论文基于本体模型的单点登陆系统设计与实现 3 2 本体的原语 p c r c z 等人用分类法组织了本体，归纳出5 个基本的建模元语，根据这五个 最基本的建模基元，能够严格且准确的刻画所描述的对象，构成了一个严密的代 数系统【1 3 】： 类( c l a s s e s ) 或概念( c o n c e p t s ) 指任何事务，如工作描述、功能、行为、策略和推理过程。从语义上讲，它 表示的是对象的集合，其定义一般采用框架( f r a m e ) 结构，包括概念的名称， 与其他概念之间的关系的集合，以及用自然语言对概念的描述。 关系( r e l a t i o n s ) 在领域中概念之间的交互作用，形式上定义为1 1 维笛卡儿积的子集：r ：c i c 2 x xc n 。如子类关系( s u b c l a s s o o 。在语义上关系对应于对象元组的集 合。 函数( f u n c t i o n s ) 一类特殊的关系。该关系的前n 1 个元素可以唯一决定第n 个元素。形式 化的定义为f ：c lxc 2x xc n i c l l 。如m o t h e r - o f 就是一个函数， m o t h c r - o f f x ，y ) 表示y 是x 的母亲。 公理( a x i o m s ) 代表永真断言，如概念乙属于概念甲的范围。 实例( i n s t a n c e s ) 代表元素。从语义上讲实例表示的就是对象。 另外，从语义上讲，基本的关系共有4 种【1 4 1 ： 表3 - 2 本体的基本关系 关系名关系描述 p a n o f 表达概念之间部分与整体的关系。 k i n d o f表达概念之间的继承关系，类似于面向对象中 的父类与子类之间的关系。 i n s t a n c c - o f表达概念的实例与概念之间的关系，类似于面 向对象中的对象和类之间的关系。 a t t r