（通信与信息系统专业论文）统一身份认证与授权集成及互操作技术研究.pdf

武汉理工大学硕士学位论文 摘要 随着企业信息化程度的不断提高，基于浏览器服务器模式的应用系统在企 业中得到了广泛应用。企业中部署了大量应用系统，比如办公自动化、邮件、 人力资源等系统。每个应用系统都是根据自己的功能需求独立进行开发，形成 了各自相互独立的认证和授权管理体系。用户访问不同应用系统，需要输入不 同的用户名和口令，应用系统根据自己的用户信息进行身份认证和访问控制。 这种分散认证授权模式存在许多的弊端，已不能适应企业发展的需要。 为了解决这一问题，人们提出了统一身份认证与授权和单点登录技术。但 是，统一身份认证与授权和单点登录技术方案要获得成功应用，有个关键问题 需要解决：如何使得已有的各类应用系统能与身份服务系统集成实现身份认证 与授权信息共享。这就涉及到统一身份认证与授权集成及互操作技术，它是目 前统一身份认证与授权中需要解决的关键问题。本文对解决这一问题的关键技 术进行研究，首先开发了支持多种身份认证方式和单点登录协议的身份服务系 统，该系统提供在线身份鉴别、单点登录和单点登出服务。然后，使用过滤器 和代登录技术开发了集成组件，通过该集成组件来实现身份服务系统与应用系 统的无缝集成。最后，对多个身份服务系统的跨域互操作技术进行研究，并对 其中最为关键的授权信息传递问题，进行了详细的研究，给出了具体的解决方 案。 本文具有以下三点特色：第一、提供的集成组件配置简单、使用方便。无 论应用系统采用的认证方式是表单认证方式，还是集成w i n d o w s 认证方式，都 可以通过集成组件技术，不需要对应用系统进行任何改造，只需通过提供的在 线界面进行简单配置，就能实现与身份服务系统集成。第二、跨域跨平台互操 作。身份服务系统不限于单平台内的互操作，不仅能与j 2 e e 平台的身份服务系 统互操作，还能与n e t 平台互操作。与n e t 平台互操作，主要针对微软的身份 服务系统a d f s 进行互操作研究。第三、对于跨域互操作中“如何传递授权信 息，实现跨域统一授权”这一关键问题，给出了域间身份映射和域间属性映射 的解决方案。 关键字：统一身份认证与授权，单点登录，身份服务系统，集成互操作 a b s t r a c t w i t ht h ec o n t i n u o u si m p r o v e m e n to fe n t e r p r i s ei n f o r m a t i o n ，a p p l i c a t i o n sb a s e d o nb sa r c h i t e c t u r eh a v eb e e nw i d e l ya p p l i e di nt h ee n t e r p r i s e al a r g en u m b e ro f a p p l i c a t i o n sa t ed e p l o y e di ne n t e r p r i s e s ，s u c ha so f f i c ea u t o m a t i o n ，e - m a i l ，h u m a n r e s o u r c e ss y s t e m s ，a n ds oo n a c c o r d i n gt ot h e i rf u n c t i o n a lr e q u i r e m e n t s ，e a c h a p p l i c a t i o n s y s t e m i s d e v e l o p e d i n d e p e n d e n t l y a n df o r m e d i n d e p e n d e n t a u t h e n t i c a t i o na n da u t h o r i z a t i o nm a n a g e m e n ts y s t e m w h e n u s e r sa c c e s st od i f f e r e n t a p p l i c a t i o n s ，u s e r sn e e d t oe n t e rad i f f e r e n tu s e r n a r n ea n dp a s s w o r dt ol o g i n a m t h e n t i c a t i o na n da u t h o r i z a t i o nm a n a g e m e n to fa p p l i c a t i o ns y s t e m sd e p e n do n t h e i r o w r l lu s e ri n f o r m a t i o n t h i sd e c e n t r a l i z e da u t h e n t i c a t i o na n d a u t h o r i z a t i o nm o d ea r e m a n yd r a w b a c k s ，a n dn ol o n g e rm e e t t h en e e d so fr a p i dd e v e l o p m e n to fe n t e r p r i s e s t os o l v et h i s p r o b l e m ，t h ep e o p l e p r o p o s e d u n i f i e da u t h e n t i c a t i o na n d a u t h o r i z a t i o n ，a n ds i n g l es i g n 0 1 1t e c h n o l o g y h o w e v e r , u n i f i e da u t h e n t i c a t i o n a n d a u t h o f i z a t i o n ，a n ds i n g l es i g n o nt e c h n o l o g yp r o g r a ma r ea p p l i e ds u c c e s s f u l l y t h e r e a r es o m ek e yp r o b l e m st ob es o l v e d ：h o wt oi n t e g r a t ea ne x i s t i n ga p p l i c a t i o ns y s t e m w i t hi d e n t i t yp r o v i d e rs y s t e mt os h a r ea u t h e n t i c a t i o na n da u t h o r i z a t i o ni n f o r m a t i o n t h i si n v o l v e st h eu n i f i e d a u t h e n t i c a t i o na n da u t h o r i z a t i o ni n t e g r a t i o n a n d i n t e r o p e r a b i l i t yt e c h n o l o g y , i tn e e d t ob ea d d r e s s e dk e yi s s u e s t os o l v et h i sp r o b l e m ， t h ek e vt e c h n o l o g yi sr e s e a r c h e di nt h i sp a p e r f i r s t ，i d e n t i t yp r o v i d e rs y s t e mw h i c h s u p p o r t sav a r i e t yo fa u t h e n t i c a t i o na n ds i n g l es i g n - o na g r e e m e n t s i sd e v e l o p e d t h e s y s t e mp r o v i d e s0 n 1 i n ea u t h e n t i c a t i o n ，s i n g l es i g n o na n d s i n g l el o g o u ts e r v i c e t h e n ， t oa c h i e v ei d e n t i t ys y s t e ma n da p p l i c a t i o n ss e a m l e s s l yi n t e g r a t e d ，i n t e g r a t i o n c o m p o n e n tw h i c hu s e sf i l t e r sa n dg e n e r a t i o n o fs i g n - o nt e c h n o l o g yi sd e v e l o p e d f i n a l l v c r o s s d o m a i ni n t e r o p e r a b i l i t yo p e r a t i n gt e c h n o l o g yi s r e s e a r c h e d t h em o s t c r i t i c a lt h et r a n s m i s s i o no fa u t h o r i z ei n f o r m a t i o ni sc a r r i e do u tad e t a i l e ds t u d ya n d g a v es p e c i f i cs o l u t i o n s t h i sp a p e rh a st h ef o l l o w i n gc h a r a c t e r i s t i c s ：f i r s t ，i n t e g r a t e d c o m p o n e n t c o n f i g u r a t i o ni ss i m p l e ，e a s yt ou s e r e g a r d l e s so fa p p l i c a t i o ns y s t e m u s e sf o r m s a u t h e ：n t i c a t i o n ，i n t e g r a t e dw i n d o w sa u t h e n t i c a t i o nm e t h o d ，t h ea p p l ys y s t e m c a nb e s e a m l e s si n t e g r a t e d t h r o u g ha ni n t e g r a t e dc o m p o n e n tt e c h n o l o g y , t h ea p p l i c a t i o n 武汉理工大学硕士学位论文 s y s t e md o e sn o tr e q u i r et om a k ea n yc h a n g e s ，o n l yr e q u i r e ss i m p l ec o n f i g u r a t i o n o n l i n e i tc a ns h a r ei d e n t i t ya u t h e n t i c a t i o na n da u t h o r i z a t i o ni n f o r m a t i o nw i t hi d e n t i t y p r o v i d e rs y s t e m s e c o n d ，i tc a nb ec r o s s - d o m a i na n dc r o s s - p l a t f o r mi n t e r o p e r a b i l i t y a n di n t e g r a t i o no fi d e n t i t yp r o v i d e rs y s t e m i ti sn o tl i m i t e dt oas i n g l e d o m a i n ， s i n g l e p l a t f o r mi n t e g r a t i o n ，w h i c hi sn o to n l yw i t ht h ei d e n t i t yp r o v i d e rs y s t e m i n t e r o p e r a b i l i t yo ft h ej 2 e ep l a t f o r m ，b u ta l s ow i t h n e tp l a t f o r m i n t e r o p e r a b i l i t y w i t hm i c r o s o f t s i d e n t i t yp r o v i d e rs y s t e mw h i c hi s c a l l e da d f si sr e s e a r c h e d i n n e tp l a t f o r m t h i r d ，i n t e r - d o m a i ni d e n t i t ym a p p i n ga n da t t r i b u t em a p p i n ga l e g a v e f o r p a s s i n ga u t h o r i z a t i o ni n f o r m a t i o n t oa c h i e v ec r o s s d o m a i nu n i f i e d a u t h o r i z a t i o ni nt h ec r o s s d o m a i ni n t e r o p e r a b i l i t y k e yw o r d s ：u n i f i e da u t h e n t i c a t i o na n da u t h o r i z a t i o n ，s s o ，i d e n t i t yp r o v i d e rs y s t e m ， i n t e g r a t i o na n di n t e r o p e r a b i l i t y i i i 武汉理工大学硕士学位论文 1 1 研究背景和意义 第1 章绪论 随着互联网的快速发展，计算机网络技术的不断发展，企业信息化程度的 不断提高，基于浏览器服务器( b r o w s e r s c i v e t ，b s ) 模式的应用系统在企业日 常工作中得到了广泛应用。这些应用系统已经基本覆盖了企业的所有业务，其 中包含办公自动化( o f f i c ea u t o m a t i o n ，o a ) ，客户关系管理( c u s t o m e r r e l a t i o n s h i pm a n a g e m e n t ，c r m ) ，购销存管理，财务管理，人力资源管理等应 用系统。各种应用系统已经广泛的应用到企业产生与管理活动中，为提高企业 的工作效率与管理水平做出了巨大贡献。 由于企业中各应用系统的功能相互依赖，联系十分紧密，企业工作人员经 常需要穿梭于不同应用系统，因此往往要反复多次进入不同的系统。但是各应 用系统由于设计方式、设计要求、功能需求、开发技术和标准，甚至开发商不 同，形成了各自相互独立的用户认证与授权管理体系。因此，用户进入每一个 系统都需要输入与该系统相对应的用户名和口令。随着企业业务的不断发展， 企业内部可能会有十几个，甚至几十个应用系统在运行，而对每一个系统都需 要用户输入用户名和口令进行身份认证，只有通过了身份认证的用户才能进入 系统。虽然这样能保证只有合法的用户对相应资源的合法访问，但是给用户带 来访问系统的不便性可想而知。用户进入不同的系统，需要输入该系统对应的 用户名和口令( 经常不同于其他系统) ，这不仅仅增加了用户的负担，需要记住 多套系统的用户名和口令，还增加了业务操作的复杂性，降低有效工作时间和 工作效率。另外，对系统管理员而言，需要管理同一用户的多个不同账户，增 加了管理工作的复杂度。与此同时，对于系统安全性而言，用户需要多次提交 用户名和口令，增加了用户口令被其他人非法获取的概率，用户账号丢失的概 率大大增大。 为了解决这一问题，人们提出了统一身份认证【1 。5 】与授权和单点登录【每1 2 】 ( s i n g l es i g n o n ，s s o ) 技术。通俗的说，用户只需要使用一个有效的身份凭 证( 如用户名和口令，数字证书等) ，在某个在线系统完成在线身份鉴别( 也即 武汉理工大学硕士学位论文 登录操作) 后，就能访问所有其他能够访问的系统，而无需再次输入用户名和 口令或使用数字证书等身份凭证进行身份鉴别( 即手工进行登录操作) 。为了实 现s s o ，人们引入了身份服务系统，它是在统一身份认证与授权和单点登录技 术基础上开发的一个在线提供身份鉴别服务的系统。对于w e b 应用系统( b s 模式应用系统) 而言，用户只需使用浏览器在身份服务系统完成一次登录( 即 在线身份鉴别) ，就能访问该身份服务系统信任域中的其他能够访问的w e b 应用 系统而无需再进行登录操作( 即身份鉴别) 。在完成统一身份认证后，身份服务 系统还需要根据应用系统的授权特性，提供统一授权功能。因此，身份服务系 统在进行单点登录服务时，除了需要传递用户的身份认证信息外，还需要对授 权信息进行传递。 但是，这种统一身份认证与授权和单点登录技术方案要获得成功应用，有 个关键问题需要解决：如何使得已有的各类应用系统能与身份服务系统互联实 现身份认证与授权信息共享。即要使真正实现统一身份认证与授权，仅有身份 服务系统是远远不够的，还必需有相应的安全集成技术将身份服务系统与应用 系统集成在一起。只有采用安全的集成技术，统一身份认证与授权功能的才能 实现，统一身份认证与授权的优点才能在实际的应用中得到体现。因此，身份 服务系统与各应用系统的安全集成，已经成为实现统一身份认证与授权中最为 关键一步。但是，由于各应用系统常常是在不同时期开发的，开发语言不同， 运行平台不同，采用技术体系和架构也有差异，这将使得他们与身份服务系统 集成存在着许多困难。在这种背景下，研究如何使得已有的各类应用系统能够 支持和使用身份服务系统的身份信息，即身份服务系统如何与应用系统安全无 缝的集成具有非常重要的意义。 随着信息技术的不断发展，目前企业之间联系越来越紧密，越来越多地需 要通过网络来进行数据交换或共享。这些企业往往处于不同的安全域，每个企 业有自己的身份服务系统，拥有自己的身份与权限管理系统。要使企业或机构 之间能过安全、方便和快捷的进行数据交换或共享，就需要对不同身份服务系 统之间的互联进行研究，实现跨域互操作。因此随着企业的数据交换越来越频 繁，要求用户能跨域不同的安全域进行数据交换，同时还必须保证交换安全性， 即只有合法的外域用户才能进行授权范围内的数据交换。因此，在这样的背景 下，对跨域互操作的研究，具有重要的实用价值。 2 武汉理工大学硕士学位论文 1 2 国内外研究现状 1 2 1 统一身份认证与授权研究现状 随着企业不同应用系统增多，统一身份认证与授权技术的研究，已经成为 当前研究的热点内容，很多公司都对统一身份认证与授权技术都提出了一些的 解决方案和开发了一些成熟的商业产品。其中，在国外比较突出的有以下几个 商业产品。 ( 1 ) i b mw e b s p h e r ep o r t a ls e r v e r i b m w e b s p h e r ep o r t a l ”】实现统一身份认证与授权是通过一种称为轻量级第 三方认证( t a g h t w e i g h tt h i r d p a r t ya u t h e n t i c a t i o ，l t p a ) 的机制来实现的。它把包 含了用户身份信息的c o o k i e ，采用加密成密文的方式放置在用户浏览器中， w e b s p h e r e 服务器可以从浏览器中获取c o o k i e ，从c o o k i e 中解密得到这些信息， 并使用这些信息来说明该用户已经通过了身份认证。 ( 2 ) o r a c l ew e b l o g i cp o r t a ls e r v e r w 曲l o g i cp o r t a ls e r v e r 1 4 】通过a u t h e n t i c a t i o np r o v i d e r s 来对用户的身份进行 认证，其中i d e n t i t ya s s e r t i o np r o v i d e r 是一种特殊的a u t h e n t i c a t i o np r o v i d e r ，它 允许通过t o k e n 来验证用户的身份。w e b l o g i cp o r t a ls e r v e r 就是通过提供不同的 i d e n t i t ya s s e r t i o np r o v i d e r 来支持单点登录的。其中，它提供了s i n g l ep a s s n e g o t i a t ei d e n t i t y a s s e r t i o np r o v i d e r 完成与w i n d o w s 平台进行集成，提供s a m l i d e n t i t ya s s e r t e r 完成与支持s a m l t l 5 趔l ( s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ， s a m l ) 协议的系统进行统一身份认证与授权服务。 ( 3 ) m i c r o s o f t n e t p a s s p o r t m i c r o s o f tp a s s p o n 【2 2 】是由微软公司运行的一种w e b 服务。其基本工作原理 是p a s s p o r t 服务器对用户进行身份验证后，向客户端设置p a s s p o r t 所在域( 比 如p a s s p o r t c o r n ) 的c o o k i e ( 含有p a s s p o r tu n i q u ei d 的信息，并使用p a s s p o r t 加密密钥加密) ，然后p a s s p o r t 服务器把用户重定向到用户原始要求访问的页面 ( 目标网站) ，并在重定向u r l 请求参数中包含用户身份信息( 使用目标网站 密钥进行加密了) 。目标网站接收到p a s s p o r t 服务器发送来的请求后，从u r l 请 求参数中解密得到用户身份信息，把用户身份信息保存在浏览器的c o o k i e 里面， 完成身份认证。m i c r o s o f tp a s s p o r t 的方案只适用于应用系统采用n e t 平台的系 统，且操作系统仅仅支持微软的w i n d o w s 操作系统，不支持l i n u x 等其他的操 3 武汉理工大学硕士学位论文 作系统。 而在国内对统一身份认证与授权的研究有一定的研究，也取得了一定的成 功。北京神州融信信息技术有限公司的统一身份认证和单点登录平台【2 3 1 ，简称 为u t r u s ts s o 。u t r u s ts s o 能在异构的i t 系统中实现应用系统单点登录，简化 用户的身份认证的过程，降低用户操作次数，同时提供用户身份集中管理和权 限统一管理等功能。并且，在用户管理的基础上为用户操作提供安全审计功能。 1 2 2 集成技术研究现状 统一身份认证与授权集成技术的研究，国内外还处于刚刚发展阶段，还没 有推出相应的成熟产品。但是有一些学者对集成技术，已经进行了相关研究， 也取得了一定成果。 叶晓彤和王飞【2 4 j 提出了基于页面集成的方案。这种方案不对各应用系统进 行改造，保持系统原始的认证功能。由门户( p o r t a i ，) 系统提供单点登录s s o 页面，在该页面上将根据用户权限，显示该用户能访问的应用系统图标。当用 户点击图标访问应用系统时，s s o 页面通过模拟 表单提交或u r l 传递 参数的方式，来帮助用户提交用户名和密码，实现帮助用户自动完成应用系统 的身份认证。该方案具有无需对应用系统进行改造，系统整合的成本低、工作 量少和实施容易等优点，但是用户名和口令通过表单或u r l 直接传输，安全系 数低；同时还要求身份服务系统与各应用系统数据库保持同步，如果不同步将 无法完成单点登录。 钟小全【2 5 l 中提出一种基于w r e bs e r v i c e l 2 6 】技术的集成方案。该方案身份服务 系统以w e bs e r v i c e 的形式提供一套远程接口，然后其他应用系统就可以通过 远程接口调用w e bs e r v i c e 来实现单点登录集成。该方案通过w e bs e r v i c e 技术 实现s s o ，具有跨平台等优点，但是如果应用系统是遗留的系统( 系统已经开 发完成、正在运行和不允许改造等特点) ，该系统有自己的认证处理机制，需要 改造其认证处理机制，这样容易带来集成难度大，实施困难等缺点。有时，由 于某些原因不允许改造应用系统，甚至是无法进行集成实施的。 从统一身份认证与授权技术的总体发展来看，国内对于统一身份认证与授 权技术的研究，特别是集成技术的研究目前还正处在初期发展阶段，也没有出 现比较成熟的商业产品。虽然有一些学者对集成技术有研究，但是提出的集成 解决方案还存在着一些问题。 4 武汉理工大学硕士学位论文 1 3 论文主要研究内容 本文主要任务是对统一身份认证与授权集成及互操作技术中存在和需要解 决的关键技术问题进行研究。具体工作内容如下： ( 1 ) 查阅国内外有关统一身份认证与授权方面的文献，深入研究当前实现 统一身份认证与授权的原理。在此基础上对单点登录技术进行研究，设计开发 了支持多种在线身份认证方式和多种单点登录协议的身份服务系统。 ( 2 ) 对现有的集成技术进行研究，分析现有集成技术的优缺点。在此基础 上提出了基于组件的集成技术。利用该组件能实现与身份服务系统的无缝、安 全集成。 ( 3 ) 对跨域互操作技术进行研究，实现不同组织机构之间安全、方便和快 捷的身份信息交换和共享。 本文有以下几个特色： ( 1 ) 在统一身份认证与授权和单点登录技术基础上研究开发了身份服务系 统，该系统支持多种身份认证方式和单点登录协议。该系统支持不仅支持标准 的单点登录安全协议s a m l 和w s f e d e r a t i o n 2 7 。2 9 1 ，还支持用户自定义的安全协 议。该系统具有灵活、通用、可扩展等优点。 ( 2 ) 在过滤器技术基础上研究开发了集成组件技术，使用该集成组件不需 要修改应用系统代码，只是通过在线用户界面进行简单配置就能与身份服务系 统进行无缝集成。使用该集成组件集成时，具有集成工作量小，实施简单、难 度低和效率高等优点。 ( 3 ) 本文开发的身份服务系统能够实现跨域跨平台互操作，不仅能与j 2 e e 平台互操作，还能与n e t 平台互操作。对于跨域互操作中授权信息传递的问题， 本文提出了域间身份映射和跨间属性映射解决方案。 1 4 论文组织结构 本论文共分为六章，各章的组织结构安排如下： 第一章，绪论。首先根据统一身份认证与授权、单点登录技术的背景，对 本课题的研究背景和意义进行介绍，然后对国内外的该技术的研究现状做了相 关的介绍，最后对论文的具体研究内容和所做的工作，以及本论文的组织结构 进行说明。 5 武汉理工大学硕士学位论文 第二章，需求分析。首先对分散认证授权模式的弊端进行分析，得出统一 身份认证与授权和单点登录的必要性。但是仅有身份的统一管理，没有相应的 集成互操作技术，也不能发挥统一身份认证与授权的作用。因此对统一身份认 证与授权集成及互操作技术的研究，是当前企业迫切需要解决的问题。 第三章，身份服务系统原理与实现。要对统一身份认证与授权集成及互操 作技术进行研究，就需要开发支持统一身份认证与授权的身份服务系统。因此， 本文在统一身份认证与授权、单点登录技术的基础上研究开发了身份服务系统。 本章详细介绍了身份服务系统的基本功能，系统的工作原理和各模块的具体实 现。 第四章，应用集成组件技术研究与开发。在过滤器和代登录技术的基础上 研究了集成组件技术。本章详细介绍了集成组件技术的原理、各功能模块的实 现和集成组件的优点，最后对支持单点登录协议的一类特殊应用系统给出了协 议互联集成方案，以及对集成中最为关心的安全问题进行了分析，并根据常见 攻击给出了应对策略。 第五章，跨域互操作研究。本章重要研究了身份服务系统与微软身份服务 系统a d f s 互操作的原理，并对其中的关键问题授权信息的传递进行研究，提 出了域间身份映射和域间属性映射解决方案。 第六章，总结与展望。本章对全文研究内容和工作进行总结，并对本文研 究中存在的不足和不完善的地方进行思考，并提出了以后需要研究和解决的问 题。 6 武汉理工大学硕士学位论文 第2 章需求分析 2 1 分散认证授权模式的弊端 随着企业信息化的不断深入和普及，已经形成了一大批成熟的应用系统， 其功能基本覆盖了企业的方方面面，其中包括办公系统、人力资源系统、财务 系统、客户关系管理系统等信息管理系统，我们统称这些系统为应用系统。这 些应用系统的广泛使用，使员工的日常办公更加方便、简单，最直接的目标提 高了工作效率。但是，随着企业应用系统数量的增加，企业的信息化管理出现 了一些问题，企业信息化管理也面临严峻的挑战。 由于企业受自身条件，业务范围和开发人员等条件的限制，这些系统常常 是在不同时期开发的，开发语言不同，运行平台不同。有时，系统可能由不同 开发商开发，软件中使用了不同的技术和标准。这些原因都将导致不同的应用 系统，有各自的相互独立的认证和授权机制，为此形成了如图2 1 所示的分散认 证授权模式。 登录- 应 用 系 统 i a 应 用 系 毪 应 用 系 统 。 用，! ，数据库 图2 - 1 分散认证授权模式 但是，企业中各应用系统的联系十分紧密，企业工作人员经常需要在不同 应用系统上进行工作，往往要反复多次进入不同的系统，每一个应用系统都根 7 武汉理工大学硕士学位论文 据自己的用户信息进行授权访问控制。这种分散认证授权模式，使得工作人员 进入每一个系统都需要输入该系统的用户输入用户名和口令才能进入。随着企 业业务的发展，企业内部可能会有十几个，甚至几十个应用系统在运行，而对 每一个系统都需要他们输入用户名和口令进行身份认证，只有通过了身份认证 才能进入系统。虽然这样能保证只有合法的用户对相应资源的合法访问，但是 常常给用户访问业务系统的带来很大不便性。因此，在分散认证授权模式中， 每一个应用系统都拥有各自相互独立的用户信息、应用平台和相互分离的数据 库，这种各自为政的认证授权模式表面上很灵活和方便，但实际上却给用户、 管理员和系统安全性等方面带来了等弊端。 对于用户而言，用户需要记忆不同系统的用户名和口令，大大增加了用户 的负担；进行不同系统需要重复的输入用户名和口令，这样进行重复的劳动增 加了业务复杂度，降低了工作效率。 对于管理员而言，每一个用户拥有多个用户名和口令，管理员需要管理的 用户数量急剧增加，导致管理用户名和口令的工作繁琐，增加了管理复杂度， 和出错的概率。 对于系统安全性而言，用户需要记忆多套用户名密码，这样导致经常会有 一些用户将多个系统设置成同一密码或将密码设置很简单( 比如1 2 3 4 5 6 ， p a s s w o r d ，自己生日，姓名和手机号等简单密码) 或者将记不住的密码写在纸上 贴在桌子上，这些都会导致用户的身份容易被盗用。另外，用户登录不同系统 需要输入用户名和口令，用户口令将多次在网络上传输，导致了口令被非法窃 取的几率，容易造成账户丢失。这些都会给系统安全性埋下重大的安全隐患。 2 2 统一身份认证与授权 2 2 1 统一身份认证与授权 针对分散认证授权模式存在的许多弊端，提出如图2 2 所示的统一身份认证 与授权模式。在统一身份认证与授权方式中，应用系统不再需要存储用户身份 信息的用户身份数据库( 可能需要存放业务数据的业务数据库) ，所有应用系统 将共享一个统一的身份与权限数据库( 该数据库存放在统一身份认证与授权系 统中) 。当用户对某一应用系统进行访问时，应用系统的身份认证和授权工作都 交给统一身份认证与授权系统来完成。 8 武汉理工大学硕士学位论文 统一身份认证与授权的主要思想是建立一个适合于所有应用系统的统一身 份认证与授权系统来接管各应用系统中相互独立分散的认证和授权模块，各应 用系统只需要遵循统一身份与授权系统提供的统一身份认证与授权接口来调用 统一身份认证与授权服务，即可实现用户身份的认证与授权。使用统一身份认 证与授权服务系统后，所有应用系统的用户身份认证与授权都交由统一身份认 证与授权系统来完成。这样，通过在统一身份认证与授权系统上实现各种身份 认证方式来进行身份认证和访问控制策略对用户访问进行控制，确保了用户认 证的安全性和访问的合法性，减轻了应用系统实现的复杂性，同时也增强了应 用系统开发和使用的灵活性。 统一身份认证与( 一、 授权服务系统 一u 8 轨一嗣仪一垢 统一身份与权阻斯据 厂一一一赢f 一一一 l l 应用系统a - 9 1 l j ，r 姒拍，千 xin ! j i 应用系统b 一u 户 、j p 盔斯耀摩 1 l 了，只置v 口，千 i 应用系统c n ： i 一u 、i l ，5 己阱r 姬f j 亭 图2 2 统一身份认证与授权模式 2 2 2 单点登录 统一身份认证与授权虽然解决了分散认证授权模式遇到的问题，但是没有 实现“一次登录，多次访问 的目的。对每一个应用系统访问之前，用户还需 要进行身份认证操作( 即用户登录操作) ，只是认证操作由统一身份认证与授权 系统来集中管理，而不是由分散式在各个应用系统单独完成，仍然不便于系统 的使用【删。为解决同一个安全域中多个应用系统之间需要重复登录的问题，在 统一身份认证与授权基础上提出了单点登录( s s o ) 技术。 所谓单点登录( s s o ) ，即用户只需要使用身份凭证( 如用户名和口令，数 9 武汉理工大学硕士学位论文 字证书等) 在某个在线系统进行一次在线身份鉴别后，就能访问所有其他能够 访问的系统，而无需再次输入用户名和口令或使用数字证书进行身份鉴别。单 点登录技术解决了同一个安全域中访问多应用系统用户需要重复登录的问题， 实现了“一次登录，多次访问 。 为了实现单点登录，人们引入了身份服务系统，它是在统一身份认证与授 权和单点登录技术基础上开发的一个在线提供身份鉴别服务的系统。对于w e b 应用系统( b s 模式) 而言，用户只需使用浏览器在身份服务系统完成一次登录 操作( 如输入用户名和1 ：3 令，使用数字证书等) ，就能访问该身份服务系统信任 域中的其他所有能够访问的w e b 应用系统，而无需再进行登录操作，即不需要 用户再次输入用户名和口令，或者使用数字证书进行身份鉴别。 2 3 应用系统集成 在实际的实施中，要使身份服务系统真正发挥作用，仅有身份和权限信息 的统一管理与单点登录服务是远远不够的，还必需有相应的安全集成技术将身 份服务系统与应用系统集成在一起。如果没有相应的集成技术，身份服务系统 将不能与应用系统进行数据交互，不能得到身份服务系统的身份认证信息，因 此就不能真正的发挥单点登录的优越性。但是，由于企业受自身条件，业务范 围和开发人员等条件的限制，企业中的应用系统在开发初期没有设计要实现单 点登录功能，不能直接与身份服务系统进行集成。因此，要使身份服务系统能 与应用系统进行集成，就必须提供安全集成技术来实现安全、无缝的集成。安 全有效的集成技术会降低系统集成成本，提高安全性，并提高用户使用系统的 效率。 身份服务系统与各应用系统的安全、无缝集成是实现统一身份认证与授权 的关键一步。但是，由于各应用服务系统设计开发时，采取的技术要求、技术 方案、技术标准和开发环境等存在差异，使得将它们与身份服务系统进行集成 存在许多的困难。针对这一情况，本文提出了集成组件技术，应用系统通过配 置集成组件可以实现与身份服务系统的安全集成。集成方案整体逻辑框架图， 如图2 3 所示。 1 0 武汉理工大学硕士学位论文 限数据库 图2 3 集成方案整体逻辑框架图 该方案主要包含身份与权限管理系统( i d e n t i t yp e r m i s s i o nm a n a g e r ，i p m ) 、 统一身份与权限数据库、身份服务系统( i d e n t i t yp r o v i d e r ，i d p ) 、身份服务系统 配置平台( c o n s o l e ) 、授权决策服务器( a u t h o r i z a t i o nd e c i s i o ns e r v i c e ，a d s ) 、 集成组件、应用系统和应用账户数据库。 1 、身份与权限管理系统 身份与权限管理系统口m 是个浏览器和服务器结构的系统，为管理员提供 统一身份与权限管理的人机交互界面，如图2 4 所示。 隧习舅警孽i 孽孽孽纛。黑。三、，量。嘲警曼。一i 。三；。：发塑竺璺 j 鲁待擅曹理 - 、罐。链棠。靴：j 笞曩。学捕，6 薯7 15 等譬嚣。?。j * ! ，誊 xz j 謦! 曩 m f _ l _ _ i b b r i 一蠕嚣 与，胴。，。，埘一纛。、圜 华中h技，=擘受焉n o 枷 “一葛势。强1x 【牌】。f 详叠；丑。t2 j lb 肛“ t，w 一螺疆jx l 鲰o ：许jf ! _ 霜1 5 。“o l墓；蒜 1 裂：；“, 2 1 嚣淄篡懋：j然烈篡 灞一：，碍i 每记予，； ￥lr ，nt苜f鹰， ，鞠弱萌诵f 图2 4 口m 系统人机交互界面 i p m 系统是一个标准的j 2 e ew e b 工程，使用了现在流行的开源框架和采用 m v c 3 ( m o d e l v i e w c o n t r o l l e r ，m v c ) 模式进行开发。主要功能为： ( 1 ) 统一身份管理：根据企业组织架构，建立全局性统一身份数据库，并对 每个用户的全局身份信息( 用户部门，证书，密码，状态等信息) 进行统一管 武汉理工大学硕士学位论文 理： ( 2 ) 统一权限管理：对用户组及角色管理、用户所属组或承担的角色的指派、 用户组对应的角色的设定，应用管理( 应用的标识和名称等信息) 和应用访问 策略的管理。 2 、统一身份与权限数据库 统一身份与权限数据库采用的是l d a p 数据库，以树状结构存放用户的身 份信息与资源的访问权限信息，其结构图如图2 5 所示。管理员在i p m 系统对 用户的身份和权限信息进行设置后，直接存储到统一身份与权限数据库中。 攀r*socsrolessqbsystem： i 童呱“ 拳 麓毒 嚷摹1 l ，m t 。 ； 毫摹连麓汹。l 掌毒华中科技走掌； 。五武汉理工丈掌 5 “精始眦秘 。 一 _ v ，蛐= 。i。 ! c -i t e s t i j c t c l 蚪l t o p ；c t c l l l b 口_ 吐1 u t ；b t n u j i t 廿一时t 坤 ；e e c t c l a = s i r o t i z m t i 坤 l r t r 劓m ：o b j a e t c i u im ；t - t ；i 1 t e s t 2 c e r u c e n s ej 1 2 i 1 i t * s t s l n lc _ ；s t s t _ =l l 缸- r ，a；晰t t r i md a t = ) i c c m 五i f j 柚i 细i n ：“a 叮 ；c “珊 i d 竹f t - t _ - ” i h t 矗i ，t i n i “t i m t i - 叫e f t 口 懑肭，一- i _ h l 叮_ - 山f ；- ，l 小l ， ：曲m d - k “t 曩矗 d 独曼= 班t 稿_ 盯d ；h c s i - i l d d k 埘山口 ；i t d - l 图2 5 统一身份与权限数据库结构图 3 、身份服务系统 身份服务系统i d p 主要功能是在线提供支持多种身份认证方式和多种单点 登录协议的身份服务系统，其界面如图2 - 6 所示。本文的第三章将详细介绍身份 服务系统的设计原理与实现。 图2 - 6 身份服务系统登录页面 1 2 慕 武汉理工大学硕士学位论文 4 、身份服务系统配置平台 身份服务系统配置平台c o n s o l e 是一个b s 系统，提供在线人机交互界面对 身份服务系统和应用系统的配置信息进行管理。c o n s o l e 管理配置界面如图2 7 所示。 图2 7c o n s o l e 管理配置界面 5 、应用集成组件 应用集成组件主要功能是为应用系统与身份服务系统安全集成提供支持， 该组件与身份服务系统进行交互，实现身份认证和授权信息共享，即统一的身 份认证与授权管理。本文第四章将围绕如何开发一个通用的，灵活的和安全的 集成组件进行研究与开发。 6 、授权决策服务器 授权决策服务器a d s 系统根据管理员在口m 设置的权限信息( 该信息将保 存在统一身份与权限数据库中) 来提供授权决策服务。该系统提供四个决策服 务器：基于用户和用户组的授权决策器，基于角色的授权决策器，基于属性的 授权决策器，基于可扩展的访问控制标记语言授权决策器。其他系统可以通过 远程调用技术r m i 、x m l p r c 和w e bs e r v i c e 三