（计算机应用技术专业论文）基于安全web+services的统一身份认证服务的设计与实现.pdf

摘要 基于安全w e bs e r v ic e s 的 统一身份认证服务的设计与实现 摘要 随着现代信息技术的发展 以企业发展为目标的信息化要求日益迫切 为了 扩大商业伙伴的范围 降低交易成本 加快企业信息化和现代化建设 企业对信 息系统建设投入了巨资 建立了各自的应用信息系统 但是这些各自为政所实施 的局部应用使得各系统之间彼此独立 信息不能共享 成为一个个 信息孤岛 不能满足企业业务处理的需要 这样用户为了获得更多的信息就不得不在各个应 用系统之间来回穿梭 操作十分不变 浪费时间精力 因此企业间的应用集成对 于企业信息化与电子商务来说不可避免 当今国际企业信息化应用更加强调集 成 把企业内部与外部的各种资源通过技术手段实现无缝的集成与协同 通过建 立统一的平台 消除以前信息化建设中的 信息孤岛 的失误 把各种企业功能 模块有效地联系起来 最大限度地发挥其效能 w e bs e r v i c e 技术作为应用集成 交互技术 使各个企业实体都能自行选择平台 自行开发应用系统 并且只需要 遵循事先商定的w e b 服务接口就可以彼此无缝连接 各个企业实体开始使用w e b s e r v i c e 技术改造内部的1 日有信息系统以实现企业内部 企业之间的广泛应用互 联 然而此时 企业又发现了一个使用上的障碍 每个应用系统都有自身的用户系统和认证方式 用户可能拥有多个系统的多 个账号 要记住多个账号 登录口令 在使用这些系统时要不断的输入账号 密 码等信息 操作繁琐 有时为了方便记忆 用户会降低密码强度 会对用户自身 信息和应用系统的安全性带来严重危害 因此 需要有一个分布式环境下统一的 安全高效的身份认证服务 以保证企业应用集成系统的安全 为了解决这一应用集成中遇到的用户认证问题 本文设计并实现了一个以 w e bs e r v i c e s 技术为基础的统一身份认证服务 文中对使用的相关技术和统一 身份认证服务的设计与实现过程进行了全面阐述 讨论了w e bs e r v i c e s 的核心 技术 m l s o a p w s d l u d d i 分析了w e bs e r v i c e s 的体系结构及工作流程 重点研究了w e bs e r v i c e s 的安全性问题 并提出了自己的一套w e bs e r v i c e s 安全技术解决方案 详细论述了在 n e t 平台下基于安全w e b 服务的统一身份认 摘要 证服务的开发与实现方法 包括服务提供方中服务访问接口的定义和开发 服务 描述 服务部署 服务发布以及服务请求方中服务的发现 绑定 调用等环节的 具体设计与实现以及利用统一身份认证服务实现了一个简单的统一身份认证服 务中心并做了相关测试 在对各个应用系统实施基于w e b 服务的应用集成的时候 可以使用统一身份 认证服务 进行身份认证 该服务具有松散藕合 语言中立 平台无关性 开放 性的特性 有利于应用系统的集成 旧的系统可以放弃原有的身份认证系统 新 的系统不需自己的认证系统 利用统一身份认证服务即可实现对用户的认证和授 权 另外本文提出的安全性技术方案 对统一身份认证服务本身起到了比较理想 的保护作用 屏蔽了企业应用集成系统以外的其他企业或个人对统一身份认证服 务的可见性 关键词 统一身份认证 w o bs e r v i c o s 安全 i l d e siga n d die m e n t a tio no fu nifi id e n t f c a tionues nime m e na 0 n ou ne d0 e niic ao n igpi ilriiti s e r v c eb a s e do ns a f ew e bs e r vicesvic ea s e d0 naee bevl a b s t r a c t w i t ht h ed e v e l o p m e n to fm o d e mi n f o r m a t i o nt e c h n o l o g y t h ei n f o r m a t i o n i z a t i o n i sa n u 玛e n t t a s k t h ei n f o r m a t i o n i z a t i o nc a na c c e l e r a t et h e d e v e l o p m e n to f e n t e r p r i s e s t h e ye s t a b l i s ht h en u m e r o u sa p p l i c a t i o ni n f o r m a t i o ns y s t e mi no r d e rt o r e a l i z et h e a p p l i c a t i o n o fm o d e mm a n a g e m e n tm e t h o d sa n di n f o r m a t i o n t e c h n o l o g y t h e ya l s oe x p a n dt h er a n g eo fc o m m e r c i a lp a r t n e ra n dr e d u c et h ec o s to f t r a n s a c t i o nt h r o u g ht h e i ro w ne b u s i n e s ss y s t e m b u tm o s to ft h e s es y s t e m sa d o p t i n d e p e n d e n tr e s o l v e n t t h e y a r ei s o l a t e di s l a n d so fi n f o r m a t i o n t h eu s e r sh a v et o s h u t t l eb a c ka n df o r t hb e t w e e ne a c hs y s t e mi no m e rt oo b t a i nm o r ei n f o r m a t i o nw h i c h i s t i m e c o n s u m i n g r e g a r d i n g t h e e n t e r p r i s e i n f o r m a t i o n i z a t i o na n de b u s i n e s s a p p l i c a t i o ns y s t e mo fe n t e r p r i s ei n t e g r a t i o ni s u n a v o i d a b l e n o wt h ei n t e r n a t i o n a l e n t e r p r i s ei n f o r m a t i o n i z a t i o na p p l i c a t i o ne m p h a s i z e st h ei n t e g r a t i o na n dt h es e a m l e s si n t e g r a t i o n a n dt h ec o o r d i n a t i o no ft h ee n t e r p r i s e s i n t e r i o ra n de x t e r i o rr e s o u r c e s t h r o u g ht h ee s t a b l i s h m e n t o ft h eu n i f i e dp l a t f o r m i tc a ne l i m i n a t ef a u l t so f t h ei n f o r m a t i o ni s o l a t e di s l a n d r e l a t e e f f e c t i v e l ye a c hk i n do fe n t e r p r i s ef u n c t i o n a lm o d u l e n a x i m l l ml i m i td i s p l a y si t sp o t e n c y a sa t e c h n o l o g yo fe n t e r p r i s ei n t e g r a t i o no fa p p l i c a t i o n w e bs e r v i c e sm a k ee n t e r p r i s e e n t i t i e sc h o o s et h ep l a t f o r ma n dd e v e l o p m e n ta p p l i c a t i o ns y s t e mv o l u n t a r i l y t h e s e s y s t e m sm a yr e a l i z et h es e a m l e s sc o n n e c t i o na sl o n ga st h e yf o l l o wt h ei n t e r f a c eo f w e bs e r v i c et h a th a sa l r e a d ys t i p u l a t e d e a c he n t e r p r i s ee n t i t ys t a r t st ou s et h e t e c h n o l o g yo fw e bs e r v i c et ot r a n s f o r m a t i o nt h ei n t e r n a li n f o r m a t i o ns y s t e m t h ea i m i st or e a l i z et h ec o n n e c t i o na m o n gt h ee n t e r p r i s e s u n f o r t u n a t e l y t h ee n t e r p r i s e sh a v e e a c ha p p l i c a t i o ns y s t e mh a si t so w nu s e r ss y s t e ma n dt h ea u t h e n t i c a t i o nm e t h o d t h eu s e r sp o s s i b l yh a v em a n ya c c o u n tn u m b e r so fv a r i o u ss y s t e m s t h e yw i l lh a v et o i n p u ta c c o u n tn u m b e ra n dp a s s w o r da g a i n a n da g a i nw h e nt h e yl o gi nt h e s es y s t e m s i t i sv e r yt r o u b l e s o m e a n ds o m e t i m e s t h eu s e r sa r el i k e l yt or e d u c et h ei n t e n s i t yo f p a s s w o r di no r d e rt or e m e m b e rt h en u m b e r s s o i ti sp o s s i b l et or e v e a li n f o r m a t i o no f i i a b s t r a c t u s e r s s o w en e e dt oh a v ea l lu n i f i e d h i g hs e c u r i t ya n de f f i c i e n c yi d e n t i f i c a t i o n s e r v i c ei nt h ed i s t r i b u t e de n v i r o n m e n t t h i ss e r v i c ec a l lg u a r a n t e et h es e c u r i t yo ft h e e n t e r p r i s ea p p l i c a t i o ni n t e g r a t i o ns y s t e m i no r d e rt o s o l v et h ep r o b l e mo fu s e r a u t h e n t i c a t i o nw h i c hw em e e ti na p p l i c a t i o ni n t e g r a t i o n id e s i g na n di m p l e m e n ta u n i f i e di d e n t i f i c a t i o ns e r v i c eb a s e do i lt h ew e bs e r v i c e st e c h n o l o g y i nt h i sa r t i c l e i e x p l a i nh o wt od e s i g na n di m p l e m e n tt h eu n i f i c a t i o ns t a t u sa u t h e n t i c a t i o ns e r v i c e a n d ia l s oi n t r o d u c et h ec o r r e s p o n d i n gt e c h n o l o g y id i s c u s sw e bs e r v i c e sc e n t r a l t e c h n o l o g y x m l s o a p w s d l u d d i ia l s oa n a l y z et h ea r c h i t e c t u r ea n dt h ew o r k f l o wo fw e bs e r v i c e id i s c u s sw e bs e r v i c e sc e n t r a lt e c h n o l o g y x m l s o a p w s d l u d d i ia l s oa n a l y z et h ea r c h i t e c t u r ea n dt h ew o r kf l o wo fw e bs e r v i c e t h e i m p o r t a n c eo ft h i ss t u d yi st h es e c u r i t yp r o b l e mo fw e bs e r v i c e s a n dia d v a n c ea s o l u t i o np l a no fm yo w na b o u tt h es e c u r i t yp r o b l e mo fw e bs e r v i c e s id i s c u s st h e w a yo fd e s i g na n di m p l e m e n to ft h es e r v i c eb a s e do ns e c u r ew e bs e r v i c eu n d e rt h e p l a t f o r mo f n e t i n c l u d i n gt h es u p p l i e rh o w t od e f i n ea n dd e v e l o p m e n tt h i ss e r v i c e a n dt h ec l i e n th o wt of i n da n du s et h i ss e r v i c e w ec a nu s et h i ss e r v i c et ov a l i d a t et h ei d e n t i t yo ft h eu s e r sw h e nw ei m p l e m e n t t h ea p p l i c a t i o ni n t e g r a t i o nb a s e do nw e bs e r v i c e s t h es e r v i c ei sl o o s e l y c o u p l e d l a n g u a g e n e u t r a l p l a t f o r m i n d e p e n d e n ta n do p e n i t sv e r yu s e f u lw h e nw ei m p l e m e n t t h ea p p l i c a t i o ni n t e g r a t i o n t h eo l ds y s t e m sc a ng e tr i do ft h e i ro w ni d e n t i f i c a t i o n s y s t e ma n dt h en e ws y s t e m sn e e dn o td e s i g nt h e i ro w ni d e n t i f i c a t i o ns y s t e m w h a t t h e yn e e di sj u s tt h eu n i f i e di d e n t i f i c a t i o ns e r v i c et o v a l i d a t et h ei d e n t i t yo ft h e u s e r s t h es o l u t i o no fs e c u r i t ya b o u tu n i f i e di d e n t i f i c a t i o ns e r v i c ea l s o p l a ya s i g n i f i c a n tr o l e i tr e f u s e t ob ei n v o k e db yo t h e r so u t s i d et h ea p p l i c a t i o ni n t e g r a t i o n s y s t e m s k e y w o r d s u n i f i e di d e n t i f i c a t i o ns e r v i c e w e bs e r v i c e s s e c u r i t y i v 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果 据我所知 除了文中特别加以标注和致谢的地方外 论文中不包含其 他人已经发表或撰写过的研究成果 也不包含未获得 洼 地邀查墓丝盂墨挂型壹盟丝 奎拦互窒2 或其他教育机构的学位或证书使 用过的材料 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意 学位论文作者签名 一 仅1 3 砸 签字日期 如 年岁月 7 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留 使用学位论文的规定 有权保留并 向国家有关部门或机构送交论文的复印件和磁盘 允许论文被查阅和借阅 本人 授权学校可以将学位论文的全部或部分内容编入有关数据库进行检索 可以采用 影印 缩印或扫描等复制手段保存 汇编学位论文 同时授权中国科学技术信息 研究所将本学位论文收录到 中国学位论文全文数据库 并通过网络向社会公 众提供信息服务 保密的学位论文在解密后适用本授权书 学位论文作者签名 封哞 导师签字 签字日期 卅年r 月如日签字日期 年 基于安全w e bs e r v i c e s 的统一身份认证服务的设计与实现 1 绪论 1 1 论文选题背景 全球企业正朝着电子商务的运营模式转变中 随着企业内部与外部连接的逐 渐紧密 甚至融为一体 这种变化也深刻影响着企业的组织结构 这种影响不仅 反映在企业如何与客户 合作伙伴 供应商 分销商等进行的商务活动 而且影 响着企业内部的作业流程 业务的信息在比以前广泛得多的范围内流动 面对快速变化的市场条件 当今的商务活动必须以速度 效率与灵活性作为 应对策略 企业必须使自身的业务精简化 自动化 以求内部与外部的业务系统 实现无缝连接 所以企业间的应用集成变得越来越重要 企业应用集成 亦可称 之为企业应用整合 能够将业务流程 应用软件 硬件和各种标准联合起来 在 两个或更多的企业应用系统之间实现无缝集成 使它们像一个整体一样进行业务 处理和信息共享 这对各种业务流程实现管理并实时监控与分析 在不同的企业业务系统间 以及跨越企业边界的合作伙伴形成的商业网络间 安全地对信息流实现智能管 理 把相关的外部信息与内部信息有机地联系起来 全方位地满足企业各种业务 功能的要求 对于企业的价值表现在下列各方面 获得对扩展企业中信息与交易 的有效控制 提供对客户全方位的了解与认识 建立灵活与快速反应的供应链 灵活而快速地建立或改变合作伙伴关系 与客户及合作伙伴建立更紧密的联系 加快产品与服务推向市场的速度 避免由于所提供服务的差异带来的浪费 缩短 业务的导入与运转时间 减少不必要的管理与人力资源成本 对突发的变化快速 反应 充分利用并扩展现有的i t 投资 w e bs e r v i c e 技术的出现也使得企业问的应用集成变得越来越容易 越来越 广泛 然而这也带来了一个我们不得不面对 并且必须要解决的一个问题 这些需要集成的应用系统往往具有一套独立的身份认证系统 用户不得不记 忆不同应用系统的账号和密码 这种各个应用系统独立认证的方法不论对于用户 还是应用系统的集成来说都是一件麻烦的事情 其弊端主要体系在以下几个方 面 1 为每个应用系统开发一套独立的身份认证系统 会造成资源浪费和信息 冗余 不仅增加信息管理成本 而且会给系统管理员的维护工作造成负担 基于安全w e bs e r v i c e s 的统一身份认证服务的设计与实现 2 用户在使用不同应用系统时 必须反复登录 操作麻烦 3 用户为了记忆方便 经常会将多个系统中的密码设置为统一简单的值 很容易被破解 不仅造成用户信息的泄露 也严重威胁系统的安全性 4 由于用户口令遗忘而导致的支付费用不断上涨 1 2 建立统一身份认证服务的必要性 企业应用集成系统中 各个企业内部的独立认证结构 从通用性 及时性 安全性等方面来说 越来越不能满足企业需求 因此 需要建立统一的身份认证 服务来解决这些问题 统一身份认证的优越性体现在 1 方便性 能尽可能地利用现有的身份认证模块 用户设置 权限设置 保护现有的投资 避免大规模修改现有应用系统 减少新用户设置和权限设置的 费用 2 扩展性和可集成性 不仅能够支持现有的应用系统 当开发部署新的应 用系统被时 可以使用统一身份认证服务作为其身份认证模块 也就是说 新的 应用系统可以不自带认证系统和用户系统 可以通过集成该服务以实现相同的功 能 3 灵活方便的使用方式 可以通过多种方式自由地使用统一身份认证服务 4 统一的用户信息数据库 避免了数据的同步更新 并且提高了数据的安 全性 1 3 国内外研究现状 信息化的迅猛发展带动越来越多的企业开始了信息化之路 一些大型企业逐 步实现企业的生产 管理 电子商务等诸多业务无纸化 期望借助信息化的平台 提升企业的效率 加快企业的发展 然而 随着越来越多信息系统的部署 却发 现企业生产效率并为达到预期的提高 相反 纷繁复杂的系统登录大量占用了员 工的时间 而员工登录的混乱更是给企业信息化带来了严重的安全漏洞 据艾瑞克调查发现有将近5 0 的用户有过网络账号 密码被盗的经历 据 g a r t n e r 调查发现网络客户服务工作量的4 0 来自用户密码问题 据f o r r e s t e r 调查估计网站每次为解决用户密码问题的开销是3 8 美元 可以看出 不仅用户 为密码问题而烦恼 网站也在为密码问题而浪费了大量的人力和财力资源 为了 解决这些问题 统一身份认证或者或单点登录的解决方案应运而生 2 基于安全w e bs e r v i c e s 的统一身份认证服务的设计与实现 统一身份认证的相关工作 已经成为当前研究的热点 业界中都已经开展了 统一身份认证的研究工作 但由于没有统一的规范 因此其实现方法也各不相同 国外比较典型的结构和方法有n 1 1 m i c r o s o f t n e tp a s s p o r t 系统 m i c r o s o f t n e tp a s s p o r t 是基于w e b 的统一身份认证服务系统 站点用户 可使用该服务创建单次登录名和密码 从而方便地访问所有启用 n e tp a s s p o r t 的网站和服务 启用 n e tp a s s p o r t 的站点依靠 n e tp a s s p o r t 中央服务器来验 证用户 而不是主持和维护它们自己的专用身份验证系统 用户信息全部存储在 微软p a s s p o r t 服务器上 2 l i b e r t y 协议 s u n 于2 0 0 1 年9 月提出自由联盟计划 l i b e r t ya l l i a n c ep r o j e c t 旨在 为联合身分管理 f e d e r a t e di d e n t i t ym a n a g e m e n t 及相关服务建立一种开放的 标准 用户在l i b e r t y 支持的站点处进行一次登录 这种登录是无缝的 当导航 到另一个l i b e r t y 支持的站点时 无需再次进行身份验证 3 k e r b e r o s 协议 k e r b e r o s 协议由m i t m a s s a c h u s e t t si n s t it u t eo ft e c h n o l o g y 麻省理工 学院 开发的一种网络认证协议 该协议对试图登录到网络上的用户进行身份认 证 并使用密钥密码技术加密用户问的通信信息 其特点是用户只需输入一次身 份验证信息就可以凭借此验证获得的票据 t i c k e t g r a n t i n gt i c k e t 访问多个 服务 即s s o s i n g l es i g no n 由于在每个c l i e n t 和s e r v i c e 之间建立了共 享密钥 使得该协议具有相当的安全性 k e r b e r o s 协议实现了相互不认识的实 体之间的安全通信 为分布式系统的身份验证提供了第三方认证机制 美国高校信息化建设体现的模式是以大量分散式的各成体系的应用服务为 主 有需求引导着应用的发展 其在服务和资源方面 水平上要高出我国高校很 多 比如美国斯坦福大学 s t a n f o r du n i v e r s i t y 的i t s s 和a x e s s i t s s 通过一 个称作 t e c h p o r t 的网站 为全体师生及职员提供超过1 0 0 0 门的不同级别的 技术课程在线自助学习服务 a x e s s 起先是为学生提供自主服务的网站 包括 开课情况 班级注册 成绩查询以及学院信息 改进后用户群又扩充到教员 顾 问 最近一个版本 a x e s s 还得到人力资源管理和学生管理系统管理员的青睐 3 基于安全w e bs e r v i c e s 的统一身份认证服务的设计与实现 目前 a x e s s 成为许多用户存取访问其角色所需的应用系统和信息资源的入口 现阶段国内使用的大部分统一身份认证产品都是国外开发的 国内对于统一 身份认证技术的研究 正处于发展阶段 还没有哪个厂家推出成熟的产品 在国内 统一身份认证已经在广大高校得到广泛应用 1 复旦大学统一身份认证系统圆 复旦大学统一身份认证系统是信息化校园建设的基础平台之一 它于2 0 0 3 年9 月正式上线运行 系统基于l d a p 目录服务 使用统一的界面和逻辑对用户 信息进行集中管理 为信息化校园的各种网络服务和应用系统提供统一的用户管 理平台和身份认证服务 已有人事系统 学工系统 教务系统 资产系统 共享 数据库系统 档案管理系统 虚拟校园系统 个人主页系统等信息化校园应用使 用了该系统提供的服务 2 上海交通大学统一身份认证口1 j a c c o u n t 认证体系是上海交通大学网络信息中心开发的用户认证体系 不 仅是网络信息中心提供的各种网络应用和网络服务使用j a c c o u n t 进行统一证 从而使用户通过同一个账户名 密码 访问各种校园网上的网络应用 j a c c o u n t 也可以为校内第三方应用提供统一身份认证和单点登录服务 学校网络信息中心 提供的j a c c o u n t s d k 支持各种主流w e b 开发运行平台 包括 j a c c o u n t s d kf o r j a v a j a c c o u n t s d kf o r n e t j a c c o u n t s d kf o ra s p 和j a c c o u n t s d kf o rp h p 分别运行于j a v a m i c r o s o f t n e t m i c r o s o f ta s p 和p h p 平台 可以将各种主 流w e b 开发平台下的w e b 站点集成到j a c c o u n t 统一身份认证体系中 3 清华大学综合信息门户系统h 1 清华大学综合信息门户系统 t s i n g h u ap o r t a l 简称t h p o r t a l 是面向校 园网用户 教师 学生 职员的大型网络解决方案 综合信息门户对校园网内 的信息和应用系统进行管理和整合 统一控制用户对信息和应用系统的访问 为 用户提供集成的访问入口 同时 综合信息门户根据用户身份提供满足其需求的 特定信息和应用系统 为用户提供个性化的服务 该系统成功应用于清华大学 首都师范大学 华东船舶学院等高校 4 上海工程技术大学统一身份认证系统平台哺1 4 基于安全w e bs e r v i c e s 的统一身份认证服务的设计与实现 统一身份认证系统的核心思想是将机构 用户统一存储 对应用系统统一授 权 规范应用系统的用户认证方式 从而达到提高整个系统的整体性 可管理性 和安全性的效果 统一身份认证平台功能重点包括三个方面 用户资料的集中存 储和管理 用户身份集中的验证 访问权限的集中控制和管理 5 四川大学学生信息综合服务平台婀 该系统实现本科生个人信息系统 图书馆a l e p h 书目查询系统 研究生管理 系统 高级财务管理平台 网上缴费系统 奖助学金及荣誉称号申请系统 学生 助学贷款系统七个系统的信息整合 实现用户访问的单点登录功能 方便学生使 用相关的信息系统 提高工作和学习的效率 系统为用户提供了单点登录入口 用户只需要录入一次口令 就能够直接登录有相应访问权限的各个系统 6 上海大学统一身份认证体系m 上海大学统一身份认证体系是上海大学信息化工作办公室开发的用户认证 体系 信息化工作办公室为每个注册的上海大学校园网用户提供了一个统一的网 络账户 称为e p a s s p o r t s h u 目标是使用户通过同一个账户名 密码 可以访 问所有校园网上的网络应用 包括校园一卡通 i p 地址申请和使用 e m a i l b b s f t p 代理服务 拨号服务 网络存储等等 以及为校内第三方应用提供统一身 份认证和单点登录服务 已经建成或正在建设统一身份认证的高校还有浙江大学 北京师范大学 华 中师范大学 北京大学 西南大学 福州大学 中央民族大学等很多高校 可见 统一身份认证已经成为我国高校信息化建设过程中建设数字化校园的一个重要 目标 同样企业应用集成也是大势所趋 同时w e bs e r v i c e s 技术是热门 是网络 发展的必然 采用w e bs e r v i c e s 架构企业应用集成系统的统一身份认证是合乎 信息技术发展要求的 1 4 论文组织结构与研究内容 本文的组织结构和研究内容如下 第一章绪论 主要介绍的本课题的选题背景以及建立统一身份认证服务的 必要性 并对统一身份认证的国内外现状进行了简要的介绍 5 基于安全w e bs e r v i c e s 的统一身份认证服务的设计与实现 第二章w e bs e r v i c e s 概述 主要介绍w e bs e r v i c e s 的定义 优点 体系 结构 w e bs e r v i c e s 的关键技术 x m l s o a p w s d l u d d i w e bs e r v i c e s 的工 作流程及适用环境 第三章w e b 服务安全研究 主要介绍w e b 服务安全性方面的知识 并提出 了一套关于统一身份认证服务安全策略 第四章统一身份认证服务的设计与实现 主要介绍该服务的主要目的 服 务的功能模块 数据库设计 详细介绍了服务的具体实现 服务的发布和服务的 调用 最后利用统一认证服务开发了一个简单的统一身份认证服务中心 并进行 的测试和测试结果的分析 1 5 本章小结 本章主要介绍了建立统一身份认证服务的背景 必要性 分析了统一身份认 证的国内外现状 确立了研究内容 6 基于安全w e bs e r v i c e s 的统 身份认证服务的设计与实现 2w e bs e r vic e s 概述 由于统一身份认证服务可能会应用到以下的领域 i n t e r n e t 上丰富的应用 环境 跨国企业的各个部门或地区分公司的各种应用 行业内各个企业的不同应 用 企业内部的各种应用 对于以上无论是哪种应用环境 不同的平台 不同的系统和不同的编程环境 是我们必将面对的 为了最大可能地支持所有平台 系统以及编程环境 同时确 保统一身份认证服务实现代价保持相对固定 根据这些要求来看 选择基于w e b s e r v i c e s 技术的解决方案将是最佳的 下面将详细介绍w e bs e r v i c e 技术的相关内容 2 1w e bs e r v c e s 技术 i n t e r n e t 已经给各行各业带来了巨大的利益 而w e bs e r v i c e 技术将会使 巨大的利益更大化 w e bs e r v i c e 定义了应用程序如何在i n t e r n e t 上实现互操 作 它极大地拓展了应用程序的功能 实现了软件的动态提供 w e bs e r v i c e 将 会改变目前的软件开发模式并减少部署费用 它一次部署到i n t e r n e t 中 就可 以任意调用 所有能够连入i n t e r n e t 的应用 都可以方便的使用和集成这些w e b s e r v i c e w e bs e r v i c e 的目标就是解决不同平台上的服务之间的互操作性跚 采 用w e bs e r v i c e 技术 会显著降低开发的代价 程序员也不必与多种平台进行交 互 w e bs e r v i c e 具有比任何对象技术更好的开放性 是建立可互操作的分布式 应用程序的新平台 这是因为w e bs e r v i c e 建立在以x m l 为主的 开放的w e b 规范技术基础上 它们具有对象技术所承诺的所有优点 是一种部署在w e b 上的 对象 w e bs e r v i c e 技术平台是一套标准 它定义了应用程序如何在w e b 上实现 互操作性 我们可以使用任何语言 在任何平台上编写所需要的w e bs e r v i c e 下面这个定义将w e bs e r v i c e 的核心意义确切的表达出来 w e bs e r v i c e 是松散耦合的 可复用的软件模块 是构建自包含的 自描述 的 模块化的应用程序的利刃 它封装了离散功能 在i n t e r n e t 上发布后可以 通过标准的i n t e r n e t 协议在程序中进行访问 对这个定义更加详细的解释如下 口1 01 1 1 7 基于安全w e bs e r v i c e s 的统一身份认证服务的设计与实现 首先 w e bs e r v i c e 是可复用的软件模块 开发者可以利用任意使用已经存 在的w e bs e r v i c e 进行组合扩展 形成新的系统 其次 这些软件模块是松散耦合的 调用者不会感觉到一个w e bs e r v i c e 内部实现的变更 w e bs e r v i c e 实现的任何变更对于调用者来说都是透明的 只 要调用w e bs e r v i c e 的接口不发生改变 第三 w e bs e r v i c e 封装了离散的功能 其他应用只需要知道该服务能做什 么 如何调用这个服务 这个服务会返回什么结果 第四 可以应用程序中访问w e bs e r v i c e w e bs e r v i c e 不需要图形化用户 界面 这与w e b 网站或w i n f o r m 程序不同 它是在代码级工作的 被其他应用程 序调用 并且在代码级交换数据 第五 w e bs e r v i c e 在i n t e r n e t 上发布 w e bs e r v i c e 不需要调整现有的 i n t e r n e t 架构 使用现有的i n t e r n e t 传输协议 就可以通过防火墙进行通信 对于外部的w e bs e r v i c e 使用者而言 w e bs e r v i c e 是一种部署在w e b 上的 对象或者组件 具备良好的封装性 松散耦合 使用标准规范协议和高度可集成 能力等特征n 羽 2 2w e bs e r v i c o s 体系结构 w e bs e r v i c e s 体系结构是面向对象分析与设计 o o a d 技术发展和电子商务 解决方案中面向体系结构 设计 实现与部署而采用的组件化模式的必然结果 是基于服务注册中心 服务提供者和服务请求者三种角色之间的交互 涉及发布 查找和绑定操作 这些角色和操作一起作用于w e bs e r v i c e 软件模块及其描述 一般情况下 w e bs e r v ic e 的服务描述由服务提供者定义并到服务注册中心发布 服务请求者首先通过使用查找操作在服务注册中心查询自己需要服务描述 然后 使用服务描述与服务提供者进行绑定并调用w e bs e r v i c e 从而实现同w e b s e r v i c e 的交互 w e bs e r v i c e s 体系结构模型如图2 1 所示 从图中可以看出 w e bs e r v i c e s 采用的体系结构中包含三种角色 1 服务注册中心 是用来存放服务描述信息的仓库 它的职责是为服务提 供者发布服务 为服务请求者查询服务 并将获取的服务绑定信息提供给请求者 2 服务提供者 是提供服务的平台 它发布自己的服务并响应使用自身服 务的请求 8 基于安全w e bs e r v i c e s 的统一身份认证服务的设计与实现 3 服务请求者 是寻找并调用服务的客户端应用程序 发布 查找与绑定就是以上三种角色交互过程中涉及的操作 1 发布操作 使服务提供者可以向服务注册中心发布自己的功能和访问接 口以方便用户查询及调用此服务 2 查找操作 使服务请求者可以通过服务注册中心查找自己所需要的特定 功能的服务 3 绑定操作 服务请求者根据查询到的注册信息得到服务接口的信息和提 供服务的位置 对服务进行绑定并调用 使服务请求者能够真正使用服务提供者 提供的服务 这三个操作可以单独使用 也可以交替 重复的使用 是提供完整的w e b s e r v i c e 功能所必须 w e bs e r v i c e 还有另外两个操作 服务描述和服务 服务 描述所表达的接口即为w e bs e r v i c e 接口的实现即为服务 服务在本质上是软 件模块 它由服务提供者提供 部署在网络可访问的平台上n 耵 接口t 用w s d l 定 义如何应用服务 传输ts o a p 是连接应 用和敦据的机制 图2 1w e bs e r v i c e s 体系结构模型 为了实现发布 发现和绑定这三个操作以一种互操作的方式执行 必须有一 个包含每一层标准的w e bs e r v i c e s 协议栈 图2 2 展示了w e bs e r v i c e s 协议栈 图中左边的文本表示协议栈中那一层所应用的标准技术 垂直的条表示在协 议栈中每一层必须满足的要求 上面的层建立在下面的层提供的功能之上 w e b s e r v i c e s 基于开放标准技术的体系结构使得组件的集成更为容易 解决方案的 选择面更为多样 即便是以后采用新的技术 移植起来也会非常的便利n 5 1 9 基于安全w e bs e r v i c e s 的统一身份认证服务的设计与实现 工具 协议服务层次业务 w s f l服务流程层 s e r v i c ef l o w ud d i 服务发现层 s e r v i c ed i s c o v e r y ud d i服务发布层 s e r v i c ep u b l i c a t i o n w s d l 服务描述层 s e r v i c ed e s c r i p t i o n 发管 服 服务的实现 s e r v i c ei m p l e m e n t a t i o n 务 服务的接i 1 s e r v i c ei n t e r f a c e 全 理 质 s o a p基于x m l 的消息层 x m lb a s e d k j l 哦 m e s s a g i n g x m ls c h e m a 数据模型层 d a t am o d e l i n g x m l 数据表示层 d a t ap r e s e n t a t i o n h t t pf t ps m t p 网络传输层 t r a n s p o r t 图2 2w e bs e r v i c e s 协议栈 2 3w e bs e r vic e s 关键技术 w e bs e r v i c e s 平台有一套标准的类型系统 主要的技术包括x m l s o a p w s d l u d d i 等 这些标准技术的使用可以实现应用程序之间的互操作性 沟通不同平 台 编程语言和组件模型中的不同类型系统 当然 w e b 服务的具体实现并不局 限在这几种协议和技术上 任何支