【毕业学位论文】（Word原稿）基于SAML和REST的企业级身份管理系统的研究与实现-软件工程

基于 企业级身份管理系统的 研究与实现 摘要 在网络信息时代，企业和机构都在通过 找新的商机和新的业务开展途径。与此同时，他们必须确保公开信息的信息资产的安全。随着客户、员工、合作伙伴和供应商的数量不断增加，企业和机构必须保护其敏感信息不被竞争对手和黑客窃取，同时还要在全球范围内提供对关键信息资源的访问。为发觉这些新机遇所带来的业务潜力，不论是组织还是用户都越来越多地涉入对日益分散的资源的访问，而这些访问对业务信息安全的威胁也越来越大。为了迎接这些挑战，必须实施一套行之有效的 关于身份管理基础设施的解决方案。在要降低成本的情况下，达到虚拟企业要求的集成、安全、服务和运营，那么身份管理是要实现这些目标的组织的唯一选择。 面对业务合作 和 身份联邦等需求的增长， 以及 新兴技术的冲击，传统的身份管理系统 无论在 软件的 使用和 进 化上 ， 都 难以 令用户感到 满意 。 本文 将 以 笔者 在国研究院参与 开发的身份管理系统 为 项目 背景 ， 将 范和 构 结合 应用 到 身份管理领域， 力图 对 项目中 的 遗留身份管理系统（ 传统 的 身份管理 系统 ） 进行 软件进化 ， 从而构建出安全性高、可扩展性强、 结构灵活 并且 执行高效 的 新版本 的身份管理系统 。本文将 通过 遗留系统 存在的问题进行分析 ，提出相应的解决方案， 从而 论述 新版本的身份管理 系统 总体结构的 选择和设计 ，以及新系统 各个模块的 设计 和关键技术的实现细节 ， 系统的模块 包括 ： 身份信息在 数据模型 、数据访问层 、身份信息的 格接口 和 基于 范的单点登录模块 。 除此之外，本文还将论述系统所应用的 设计 架构 和 实现方式 ， 与系统向 技术进化的关系。 关键字：身份管理；单点登录； n of in of of at of to to in a of of To an is by of at As of OA no on or s RL as in to a a of it of of n of OA n, 第一章、 引言 究背景 本文是以 国研究院为金蝶软件公司开发的企业管理系统为背景项目，对 范和 格的 构在身份管理领域的应用和研究。 身份管理 【 1】 是对数字化身份进行集中化和全程化管理，以增加透明度并建立内控机制。身份管理包括：登录管理、虚拟身份管理、目录管理、供应管理、联合访问管理、应用系统管理、 务管理、操作系统管理等多个层面的内容。身份管理的过程包括：通过什么时间通过何种方式来分配和授权个体权限；参与监控个体什么时间、什么情况、访问哪部分商业信息；当个体身份发生 变化时，修改个体权限。 本文的背景项目“金蝶软件公司企业管理系统”，系金蝶软件公司鉴于现有企业管理系统的技术落后，以及对新型业务需求的进化和信息整合的乏力，委托 国研究院 (其开发的企业管理系统，“ 验室的负责开发该项目的身份管理系统。笔者当时正在此实验室从事实习研究工作，所以参与设计和开发了该项目 的身份管理系统。经过对金蝶公司遗留企业管理系统的调研，我们发现遗留 身份管理系统存在以下不足： 身份信息以关系数据库存储 只提供身份信息的 问接口，无法完成跨域客户应用对身份信息的 访问， 不提供单点登录功能，无法完成 企业间的 业务联合 原有的系统设计结构单一羸弱，对 化需求，原有系统显得无能为力。 正是因为遗留身份管理系统 存在着 上述不足，系统 决定基于 范和 格的构对其进行重构和进化。新版本的身份管理系统具备以下几个突出的优点： 首先，为身份信息发布 格接口，允许跨域的客户端应用按照统一标准的访问身份信息。 第二， 为轻量级的 身 份信息封装为服务，为日后身份管理系统的 息整合提供了良好的基础设施。 第三， 身的架构决定了资源（身份信息）在架构中可以拥有多种不同的表述形态（ ），这样就为 身份管理 系统未来向 企业级 进化提供了 接口。 第四， 范隶属于 全体系 ，已经被 各大 用 范实现单点登录模块， 可以为信息安全提供优良的保障，并且可以为日后系统与其他使用 范的系统进行无缝式的 业务 整合。 此外， 身份管理领域的主流技术的应用将有效的提升系统的性能及安全标准。 新版本的身份管理系统不但达到了预期的安全性、可靠性、高效性、可扩展性和可维护性，更为今后的产品进化提供了接口，在系统针对客户的演示中，得到了金蝶公司客户的良好评价。 展现状 身份管理已经成为企业信息系统成熟的一个标志 【 2】 。 瑞银集团、百思买、通用汽车、英国航空、摩托罗拉、戴尔、拜耳越来越多跨国企业选择身份管理应用提升企业安全和管理水平。在国内，广东电信、中国人寿、盛大公司等一大批企业也在看得见和看 不见的利益驱动下选择实施专业的身份管理。 司研究表明， 2006 年全球身份和访问管理软件市场达到约 34 亿美元，到 2010 年，预计总收入将超过 50 亿美元。 2006 年中国身份和访问管理软件市场为 3500 万美元，预计从 2005 年 的年复合增长率可达 22%。 身份管理市场的兴起显示了身份管理领域乐观的发展趋势，但国内的很多企业并没有意识到身份管理的重要性，而且国内的技术和开发过程与国外相比仍然存在很大的差距。甲骨文公司亚太区身份管理解决方案总经理迈克伯林指出：很多中国企业都是先忙着搭建完成企业信息 化管理的基础架构，才接着考虑安全因素。这其实不科学，也不节能。我们建议客户在搭建架构时就把身份安全管理考虑进去，将其作为整个平台的一个有机组成部分。这样，身份管理的过程可以和企业人力资源管理、业务流程管理等有效整合起来，从而实现内部资源效益的最大化。 正如迈克伯林指出的问题，国内身份管理系统实现并不完善，通过对身份管理领域的市场的调研，现有的身份管理系统在以下三个方面存在一些问题： 一 身份信息的存储仓库 一些企业的身份管理系统仍然采用关系数据库管理身份信息，可以说关系数据 库是可以完成对身份信息管理的大部分需 求的。 但是 对于关系数据库，它 的目录结构更适合于身份信息以及安全证书链的管理； 并且 为自身的存储结构以及轻量级的设计，它的 查询速度要明显高于关系数据库； 随着 身份管理领域的市场份额变得越来越大，越来越多的企业系统间合作中指定 为身份信息整合的接口的。所以，以传统的关系数据库作为身份信息仓库，已经难以满足新时代信息系统的要求。 二 身份访问接口的实现 常见的身份访问接口的实现方案包括：发布语言特定的 口和 口。本文背景项目中的 遗留 身份访问接口即属于语言特 定（ 言）的 口，如上面小节的论述，这种访问接口不能支持跨域客户应用的访问，对 及 系统进化显得无能为力。 针对第一种身份访问接口留下的问题，有的系统采用了基于 现了访问接口，将身份信息发布为一种服务，通过 议传输，可以说基本上能满足跨域客户应用访问和 是基于 说 【 3】 ，显得臃肿、灵活性不够，并且对于同一种资源的多种表述性形态的支持也远不及 式的 而且， 式与 术的结合也远没有 这样得天独厚， 这样就使基于 式企业级 整合中显得有些差强人意。 所以，本文创新式的采用 装了身份信息。 三 单点登录的实现 目前，企业信息 系统 的 单点登录的实现 方案 大致分为两类：企业自定义接口和基于规范实现的单点登录。企业自定义接口的单点登录系统，顾名思义 就是 单点登录接口的标准都是系 统自定义的，这种解决方案 可以满足小 型系统，以及那些与其他系统业务合作机会较小的企业系统，但是，当 企业业务网络的扩大，需要与越来越多的系统进行身份联邦， 企业系统之间的 单点登录的整合，就会因为彼此找不到共有的标准，而变得无从下手；相比之下， 针对规范进行单点登录的应用就能很好的解决这个问题，目前身份管理领域存在很多经典的单点登录规范 【 4】 ，如： 即基于 的 还有就是从 2005 年开始一直兴旺不衰 的 称 文正是基于 范实现了单点登录功能。 究意义 一、 本课题具有良好的应用价值和实际意义 本文以 国研究院开发的 金蝶 软件 公司 企业管理系统为背景项目， 所论述的身份管理系统满足 了客户在身份信息管理的各 方面需求，并提供了系统进化和信息整合的接口，最终为客户提供了一个服务稳 定、业务处理效率高、安全并且可扩展的身份管理系统，因此，本文具有 良好的应用价值和实际意义。 二、 本课题属于 身份管理领域的应用创新 兴起于近几年的 格架构因为其自身灵活性、可扩展性的特点，已经得到越来越多的软件工程师们的亲睐，相继被推广在电信、银行、零售和航空等领域，但在身份管理领域、尤其是配合 范被应用在身份管理领域在国内尚属首次，因此可以说该课题实现了 身份管理领域中的应用创新。 三、 本文改进了身份管理领域的传统的 现模型 相对于 统的 身份管理系统的实现模型，改进后的 格的身份管理系统不但保持了“将身份信息封装 为 服务”的特性，更让身份管理系统具备了更高的灵活性、可扩展性，并因为 格架构自身的特性，方便了系统向企业级 进化。 四、 本文结合身份管理系统论述了 格应用的设计思想 本文将结合身份管理系统的设计与实现的流程，论述 格应用的设计思想，以及如何将敏捷开发中的测试驱动开发等软件工程思想与 格应用开发相结合。 五、 本文结合 点登录模型开发了 演示程序 鉴于 企业级应用的复杂性，以及商业安全等因素，论文不能用产品的截图来演示 单点登录的构建，所以本文借鉴 用 点登录模型，结合 项目自身的 格的身份访问接口 ，开发出基于 范的单点登录模块的 演示程序 ，以 讨论如何设计和实现单点登录的各个环节 。 六、 本文 对身份管理领域的研究以及开发人员起到良好的借鉴作用 本文 论述并展示了基于 建了身份管理系统，可以提供给此领域的研发人员有意义的参考与借鉴；本系统架构采用松散式设计，接口封装粗粒度，易于系统的维护和功能扩展，且系统采用的技术都出自于 域的开源社区，通过对系统部件的局部修改就可以实现其它领域系统相应模块的构建。 文的主要内容及结构组织 本文首先 剖析了身份管理领域的相关概念， 并深入研究了信息安全领域、 格发架构以及 范的原理和应用，然后将上述技术应用到 身份管理领域中 ， 从而保证了 新版本 的 身份管理系统拥有更大的灵活性、可扩展性和 可进化 性， 为身份管理系统进行单点登录、身份联邦等新兴业务提供了完备统一的接口，并为 系统未来进行 息整合以及企业级 化打下了夯实的技术基础。 本文的具体内容如下： 第一章、引言 ： 主要概述了身份管理领域 的基本概念以及身份管理的重要性，分析了身份管理领 域 目前的国内外发展现状， 提出了当 前身份管理系统在新兴业务概念与技术的冲击下显示出的缺点与不足，以及 提出 本文 所要解决的问题 ， 并由此引出基于 最后描述了本文的内容安排。 第二章、 系统相关技术的研究： 对构建本系统的相关技术进行了细致深入的研究，包括 信息安全领域、 台安全领域、 务 及 务安全 领域 、 域的相关技术 和系统的构建结构与 企业级 化的关系 ，并且着重介绍了本文的两个关键技术 范和 格 用架构。 第三章、 身份管 理系统的需求分析和建模： 根据用户（金蝶公司）对 身份管理系统的提出的进化需求 ， 进行需求分析，并 提出问题 的 解决方案 ，建立领域模型和数据模型，以及基于 建了身份信息仓库。 第四章、 数据访问层的实现：讨论 基于 及数据访问（ 式构建身份信息的数据访问层的设计 与实现 。 第五章、 格的身份访问接口的实现 ： 讨论了在项目需求下，传统的身份访问接口的缺点 和 格的身份访问接口 的灵活性、高扩展性等 优点，以及讨论了如何基于 技术 设计和实现 格接口。 第六章、 基于 单点登录模块的设计与实现 ： 借鉴 用 点登录模型，结合项目自身的 格的身份访问接口 ，开发出基于 范的单点登录模块的 演示程序 ；并利用演示程序的截图展示了 点登录模块的流程 ；最后讨论在代码级别 讨论 实现 范 单点登录模块 的细节。 第七章、总结和展望：对本系统进行全面的总结，说明不足和需要进一步完善之处，以及表明本系统需要进一步研究的工作。 第二章 、 系统 相关的 技术研究 息安全的基础知识 一 、 信 息安全的目标 安全是一个 涉及面很广的概念，在软件系统的各个环节都至关重要 。 尤其在身份管理领域 ， 因为一旦用户的身份信息的泄漏，轻者会为用户个人带来隐私信息的泄漏，重者会为企业带来严重的安全事故。 信息安全的目标主要有以下 5 点 【 5】 ： 机密性： 保护敏感数据不被未授权实体查看。很多信息都属于敏感数据的范畴，损害某些敏感数据的机密性有可能是违法的，如病人的病例和信用卡号。其他的一些敏感数据则可能泄漏大量有关于应用的信息，例如，如果 用使用易受攻击的 来保存用户的状态，那么怀有恶意的攻击者便可能从 推断出某些信息。要保护敏感数据在传输和存储过程中的机密性，必须确保数据不会被未授权用户读取，使用加密算法便可达到此目的。 数据完整性：必须保护传输数据在未授权的情况下不能被修改。例如，包含如何同协议等敏感数据的电子邮件可能在收件人收到之前被修改；发送至 务的的购买请求可能在路由到服务器的过程中被修改；供下载的软件包可能被修改并插入恶意代码（“特洛伊木马”）。检查数据完整性可以确保数据没有被修改。 为应对这类威胁，已开发出 了强加密单向散列函数，这类函数使得计算上无法从两个不同的输入生成相同的散 列值。 认证：确保用户的身份与其声称的一致。通常，为达到此目的，需要用户首先说明自己的身份，然后再提供一组只能由该用户生成的信息。 常用的用户认证形式有密码验证、设备认证以及生物特征验证（瞳孔和指纹）。 授权：一旦通过认证，系统要确定用户具有 哪 些类型 的操作 权限。不同的系统采用的授权方式和授权技术大相径庭。一种常见的授权方法是采用访问控制列表（ 表中列出所有用户及其访问权限，如只读、读取和修改等。另一种方法是指派角色或组，应用通过检查角色或组来确定用户能执行哪些 操作。 不可抵赖性：如果用户对数据进行操作，那么该操作就必须以一种用户无法否认的方式绑定到用户。 不可抵赖性通常和数字签名相关联。 二 、 加密技术在信息安全中的作用 加密技术对于保证数据的机密性和完整性有着至关重要的作用，常用的加密算法有：单项散列函数算法、对称加密算法、非对称加密算法、数字签名和数字证书 等 。 单向散列函数指的是根据输入消息（任何字符串， 如文本字符串、 档等）输出固定长度数值的算法，输出数值也称为“散列值”或“消息摘要”，其长度取决于所采用的算法，通常在 128 256 位之间。 单向散列函数旨在创建用于验证消息完整性的简短摘要。消息发送方计算消息的校验和， 并 将其 随 消息一起发送，接收方重新计算校验和并将其与收到的校验和比较，如果两者不同，接收方就认为消息在传送过程中受损，并要求发送方重新发送。 作为单向散列函数的加强版，强加密单向散列函数是这样设计的：不可能通过计算 ， 找出两条散列值相同的消息。常用的强加密单向散列函数有： 对称加密算法是一种隐藏文本含义的文本变化机制，该算法提供两种函数：消息加密和消息解密。他们之所以称作是对称的，是 因为消息发送方和接收方必须使用相同的密钥来加密和解密数据。 例如，如果 想 送一份机密文档，可以使用电子邮件，为防止未知方打开该文档， 以使用对称加密算法和适当的密钥来加密消息，然后通过电子邮件将其发送出去。 在邮件发送的过程中，任何打开消息的人看到的知识随机字节序列，而不是机密文档。 到加密消息后，将消息和 用的密钥值输入 用的加密算法的解密函数，该函数将输出原始消息，即机密文档， 如图 图 用对称加密算法的加密和解密 对称加密算法旨在保护 消息的机密性。 常用的对称加密算法 。 对称加密算法最大的问题在于密钥管理 ，第一 、 发送方和接受方 如何保证一个安全信道去传输密钥；第二、 发送方和接受方的密钥可以保持多久而不泄漏以及他们应该何时更换新的密钥值；第三、如果发送方要给 100 人发送消息，则需要为消息加密 100 次，且要管理100 个密钥。 针对对称加密算法遇到的问题，非对称加密算法就相应的产生了。 非对称加密算法使用两个而不是一个密钥值：一个密钥值用来加密消息，另一个密钥值用来解密消息。这两个密钥值在同一过程中生成 ，成为密钥对。用来加密消息的密钥成为公钥，用来解密消息的密钥称为私钥。用公钥加密的消息只能用与之对应的私钥来解密，私钥除了持有者外无人知道，而公钥却可以通过非安全信道来发送或在目录中发布。 仍用上一节中的例子，来说明非对称加密算法来交换消息 ， 要通过电子邮件给送一个机密文档 。首先， 用电子邮件将自己的公钥发送给 后 公钥对文档加密并通过电子邮件将加密消息发送给 于任何用 公钥加密的消息只能用 私钥解密，因此即使窥探者知道 公钥 ，消息也仍是安全的。收到加密消息后，用自己的私钥进行解密从而恢复原始文档， 如图 图 用 非 对称加密算法的加密和解密 相比于对称加密算法，非对称加密算法有两个重要的区别。首先，用于消息解密的密钥值与用于消息加密的密钥值不同；其次，非对称加密算法比对称加密算法慢数千倍，但在保护通信安全方面，非对称性加密算法却具有对称密码难以企及的优势。 数字签名用于表示消息发送方的身份，以确保发送给接收方的消息的完整性。这是通过使用数字签名对消息进行签名实现的，数字签名是非对称加密算 法的所特有的副产品。 即 ：使用私钥加密消息，而使用公钥解密消息。 以非对称加密算法为基础的数字签名是唯一一种能确定消息来源的机制。虽然用私钥加密消息是一种数字签名，但是如前面所说，非对称加密算法的速度非常慢 ， 所以 通常的解决方案是对消息执行单向散列函数，再用私钥对散列值进行加密。例如， 向 认合同，她可以在合同的虚线上签署“我同意”，再对文档执行 列，然后用自己的私钥加密得出 列值，最后将加密的散列值（数字签名）和文档一起发送给 否 已经同意合同。他对文档执行 列，再用 果根据文档计算得到的 解密后的数字签名一致， 能确定对该文档进行数字签名的是 如图 在本文的第六章，我们将讨论如何基于非对称加密算法，实现对 应 进行数字签名。 图 字签名的过程 图 字签名的验证 数字证书 是能唯一性地标识实体相关信息的文档，它包含实体的公钥以及其他身份信息，由称为认证机构的可信的第三方进行数字签名和签发。数字证书也称为 书，常用于解决与密钥管理相关的问题。 如上一节所述，非对称加密算法的出现极大地减少了密钥管理问题。通信各方只需同其他各方交换公钥或将公钥发布到目录中，而不必使用独立的安全通信信道与每个其他方交换不同的密钥值。 然而，这也带来新的问题：如何确定公钥的确属于发送方呢？换句话说，如何验证公钥持有者的身份呢？ 数字证书借助第三方信任机构解决了这个问题， 例如： 信任的第三方。 自己的公钥及其他身份信息发送给 公钥，创建一个包含 公钥和身份信息的档案，并用自己的私钥对该文档进行数字签名，然后将其发送回给 时，该签名文档便是 保的数字证书，其中包含 公钥和身份信息。 现在， 入 网站，希望将信用卡号码安全的发送给 ， 可以将其数字证书发送给 用 公钥来验证数字证书上的数字签名 (假定 公钥 )。如果数字签名是正确的，那么基于对 信任， 能相信数字证书中的公钥是与数字证书中的身份信息 相关联的。然后 使用数字证书中的公钥加密自己的信用卡号码，并相信只有 解密，如图 图 用数字证书验证身份 三 、 安全套接层的作用 安全套接层（ 【 6】 是 司与 1996 年开发的，旨在保护 户和 服务 服务器之间的 据的安全。 仅可以保护 安全，还能保护任何基于面向连接的端到端可信赖协议（如 P）的数据通信。 议结合使用公钥算法和对称密钥算法来认证服务器端和客户端，并使用加密来保护两端之间的通信。 在 接中，通信双方使用 录协议来交换所有信息。有四种消息类型：握手、警告、更改密码规格和应用数据。 在创建 接时，通信双方首先要协商设定诸如认证和加密算法等安全参数。在 些参数称为加密组（ ，并用整数表示。例如，整数 4 表示用 钥证书进行认证、使用 128 为的 行数据加密、使用 列值验证数据的完整性）。 图 示了 在协商过程中，第一条消息来自客户端，成为 中将包含一个 项列表，指出客户端可接受的用于保护链接的 项。服务器以 息或致命警告消息作为相应。 息还包含会话标识符，客户端可以用它来创建 接。下一条消息取决于选定的 大多数要求认证服务器，因此服务器需要发送其证书。 该证书中的公钥值将用于认证服务器。客户端生成一个随机值，用服务器的公钥进行加密，并以 息的形式发回给服务器。 这样，通信双方便可知道该随机值，并用其来计算会话的主密钥，由主密钥推导出的密钥值将用于保护通信数据的安全，不仅对当前连接还包括以后的连接。这也是认证服务器的主要步骤，只有当服务器是公钥的真正持有者是，才能创建在之后的 通信中所需的密钥值。 最后，客户端和服务器都要发送一条 息，指出从此以后，所有消息将使用商定的安全参数进行数据保护。然后，通信双方在相互发送一条“完成”消息，这是使用了商定的安全参数保护的第一条消息。“完成”消息中包含对所有握手消息执行商定的散列函数所得到的散 列值，只有在通信双方都确认该散列值正确后，才会继续发送应用数据，并用商定的安全措施对其进行保护。 我们将在第五章，讨论如何在 务器上配置 发布 议的 格身份访问接口 ， 同时，在第六章 单点登录 演示程序 中的 解析 是基于 现的。 图 手的过程。 台的安全 一 、 全介绍 安全是 术不可分割的一部分 【 7】 。 所以能成为安全可靠的运行环境，在很大程度上归功于 构基础的固有 的安全性，该架构包括 拟机和 言。 拟机是驻留在 主机 上 的抽象计算引擎。它是 程语言的执行环境，主要负责执行编译后的代码，采用独立于机器和跨平台的方式解释编译后的代码 ， 来完成该操作。为防止一直的安全攻击和威胁， 供了内置的 全架构模型、可配置的安全策略、访问控制机制和安全扩展。正是由于这些内置的 全特性， 序才能安全的运行。 言的一些固有的特性同样构成 台的安全性，例如： 言指定了基本类型的长度和执行顺序； 言为类 型和过程名称定义了名称空间； 言不允许定义和引用指针等等。 二 、 全管理工具 钥库 钥库 【 8】 是 一个受保护的数据库，存储了密钥及密钥的可信证书项。密钥库中存储 了 验证和证明个人或应用的身份相关的所有证书信息。它包含一个私钥和一条证书链，这些证书可使用与之相对应的公钥来验证。密钥库中的每项都由唯一的一个别名标识，也可以用密码 来 保护存储的所有密钥项。 2. 于管理密钥和证书的工具，使用户和管理员能管理自己的公 、 私钥对 ， 以及相关的证书 。 要用于认证服务和使用数字签名验证数据的完整性。 用于创建 钥库（ 密扩展密钥库（ 生成并存储密钥以及相关的 书、生成政府签发请求（ 导入并存储可信任证书及维护密钥库项。 三 、 全基础设施 所有的 件，无论是 件还是 件，都必须在 务器基础设施的合适容器中组装和部署。 台厂商实现的 件容器和服务可以充当服务器基础设施，用于执行这些 组件。除提供执行环境外， 务器还提供一些其他服务，如安全、事务、持久化、连接和资源池等。 在 务器基础设施中， 全服务可以确保应用数据访问的安全，这涵盖了各个层次、请求和响应以及组件和资源等方面。 务器提供的安全基础设施替应用开发人员分担了大部分保护应用的责任，使开发人员可以将精力集中在应用业务逻辑的实现上。通常，大多数 用服务器都 在 以下应用业务逻辑的实现上 提供了安全保障 ： 安全域：保护代表用户、组和访问控制列表（ 服务器资源。 认证机制：识别要求的 务器所管理的资源的用户。该认证可以使用用户名、密码或者使用数字证书。在使用数字证书的情况下，将使用 证过程中提供给服务器的 书来认证客户端。 通过 用户或组授权： 许对用户和资源实施策略和访问限制 数据完整性和机密性：使用 议保护通信的安全。客户端可以用 过 话建立到服务器的安全通信。 事件日志和审计：识别失败的登录尝试、认证请求、被拒绝的数字证书和无效 支持到单个安全域中跨越所有 用的单点登录。 实现了 扩 展安全架构和 。 使用 器授权合同（ 持可插入授权。 务安全与身份管理 一 、 务简介 9】 是一种新的 用程序分支，它们是自包含、自描述、模块化的应用，可以在网络 (通常为 被描述、发布、查找以及通过 调用。 是基于网络的、分布式的模块化组件，它执行特定的任务，遵守具体的技术规范，这些规范使得 与其他兼容的组件进行互操作。它可以使用标准的互联网协议，像超 文本传输协议 功能体现在互联网和企业内部网上。 台是一套标准，它定义了应用程序如何在 实现互操作性。 二 、 务模型操作模型 基于 操作模型使用了三种不同的角色和关系 定义 务提供者和用户， 如图 我们会在下面的章节讨论 格的 图 务角色和关系 操作角色和关系的定义如下： 服务提供者：服务提供者提供 务，主要负责开发和部署 务， 另外 服务提供者还定义服务并 将其发布到服务注册器。 服务注册器：服务注册器包含查找信息和已发布服务的描述，主要负责 务的注册和发现。服务注册器存储并列出各种服务类型、服务描述和服务位置，帮助服务请求者查找和订阅所需服务。 服务请求者：服务请求者相当于 务的客户端，负责调用服务。服务请求者使用服务注册器查找 务、调用所需服务和执行服务提供者提供的服务。 三 、 务安全规范 务安全性规范 ，即： 它 包括 钥管理规范和用于授权的可扩展访 问控制标记语言规范等等。 它 为 务提供安全功能和组件的模型 ， 它将 现有的流程 和技术与将来的应用程序的安全性需求集成起来，它所定义的 统一安 全技术 把应用程序对安全的需求从特定的机制中抽象出来。目的是让开发者能够容易地使用异类系统建立可互操作的安全解决方案。成功的 务安全方法需要一组灵活的、可互操作的基本元素，通过策略和配置，这些安全性基本元素可以使多种安全解决方案成为可行的方案。可行的 务安全性机制需要满足和包括下列组件的要求： 1 网络安全性 支持如 提供机密性和完整性的安全传输机制。 2 息安全性 字签名，以便接收方可以证明消息发送方的身份。 密，提供数据元素的机密性使能够验证交换。 布 钥管理服务 (称 备忘录，帮助分发及管理在端点之间进行安全通信所需的密钥。 3 端点验证及授权 支持在企业之间交换信息的合同中定义哪些雇员可以使用哪些服务， 中介体负责审计和服务原始性证明。 支持网络内部的、可信任的第三方验证服务，例如 点登录 用和 务的不断增长导致 了对单点登录（ 需求。单点登录是指用户可以一次性登录多个原本需要分别登录的应用的能力。许多基于 应用都是由粒度较细的服务组成的，可以分别访问这些服务，也可以在更大的上下文内访问这些服务。 一 、 门户 门户（ 许用户定义一组不同的服务，并通过集中接口访问这些服务。其中每个服务都可能要求认证用户。通过提供到所有所属服务的单点登录，避免了用户不断登录的需求，从而提高了门户的价值。 门户实现单点登录，最常用的方案是实现安全令牌，对在整个门户中的所有请求都提供该令牌。这样，门户在其包含的所有 应用中使用安全令牌来验证用户的身份。 二、 跨域单点登录 传统的单点登录是通过 现的。该方法的缺点是应用智能设置和阅读所在域的然这阻断了域和域之间的直接单点登录。 跨域单点登录是域和域之间单点登录变得可能，该登录方式允许用户在一个域认证后，可以使用其他域中的应用而无需再次认证。目前，基于浏览器的客户提供单点登录的 域单点登录还是一个严峻的问题。于是，基于 务和 实现方式的应用却可以很好的解决这个问题。 三、 联合单点登录 联合单点登录（ 供了一种跨服务的统一单点登录方式，不要求提供者都直接参与认证过程。 假定参与各方负责为彼此认证用户。随着服务数量和用户的不断增加，各服务提供者的负担将呈非线性增加。为降低各个服务提供者对参与用户认证和授权的负担，可以让集中身份提供者来承担该项工作。图 出了服务提供者如何通过同一个身份提供者共享身份信息，并进而形成联盟。 身份提供联盟能集中存储用户信息，从而集中提供认证服务。服务提供者可以将认证和授权工作委派给身份提供者，从而降低服务的用户管理负担和系统的复杂性。 图 含身份提供者的服务提供 者联盟 四、 跨域联盟 是最复杂也是功能最强大的架构，它允许每个身份提供者充当身份断言的生产者和消费者，从拓扑的角度讲，跨域联盟支持的身份传播范围是无限的。也许将来会出现一个中央数字仓库，无论用户想访问的服务位于何处，它都能对用户的身份信息进行传播和验证。这是身份管理的最终目标。图 述了身份提供者如何通过相互通信来构造跨域联盟。 图 域身份提供者联盟 范 一、 介 安全断言标记语言（ 【 11】 是由安全服务标记语言（ 授权标记语言（ 生而来的。 一个基于 框架，用于交换有关主体的安全断言信息，主体是指拥有特定于某安全领域的身份信息的实体。 基于标准的支持单点登录的基础设施方面举足轻重，支持使用多个厂商的安全架构。 二、 动机 安全断言标记语言（ 支持异构应用之间的单点登录和身份管理提供了一种基于标准的方法。在 出之前，开发人员需要实施集中式安全基础设施，这必须使用针对异构应用系统的专用安全机制。但由于这种机制以明文或专用数据格式在本地存储用户凭证，因此不仅会造成互操作性问题，而 且还给客户端带来大量的安全漏洞和风险，让黑客有机可乘。另外，这些解决方案也使用多集成环境情况下的部署管理和故障排除变得困难。未解决传统身份管理解决方案的种种缺点， 应而成。 三、 基本使用场景 顾名思义， 核心元素是安全性断言。断言即无需证