熊海斌毕业论文 基于Web Services的统一身份认证系统之Web Services服务器部署及系统通用性的研究与实现

1、 毕业设计（论文） 题目名称：基于 Web Services 的统一身份认证系统 之 Web Services 服务器部署及系统通用性的研究与 实现 院系名称：软件学院 班 级：084 班 学 号：200877054421 学生姓名：熊海斌 指导教师：余雨萍（校内） 陈东明（校外） 2012 年 05 月 19 日 摘 要 随着网络技术和信息技术发展，各种应用系统越来越多。对于用户来说每天需要使 用的软件系统也很多，由于这些系统相互独立，用户在使用每个应用系统之前都必须按 照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户 带来了不少麻烦。这对于多个运营机构的系统可能

2、是无法避免的，但是对于同一个运营 商的多个网站或是一个企业的多个子系统，就可以利用统一用户认证、单点登录等概念 来解决这种问题。 Web Service 技术框架具有完全的平台、语言的独立性和更高程度的抽象，用户只 要遵守 Web Service 的接口即可进行服务的请求与调用。基于 Web 服务的统一身份认证 系统是指利用一个集成的用户认证管理环境来管理和分发用户的权限和身份，从而实现 为不同的应用系统提供统一的用户和权限管理服务。 因此本文针对网络应用系统遇到的这种用户身份管理安全性与操作方便性的问题， 提出一种基于 Web Service 等相关技术的统一身份认证方案，该方案解决多个异构

3、系统 的统一身份认证与授权问题。 关键词：关键词：Web Service；CXF；UDDI；SOAP；XML；统一身份认证 Abstract With the development of network and information technology, various application systems become more. For users every day requires the use of software system is also a lot of, since these systems are independent of each other, use

4、rs in the use of each application system before must be in accordance with the corresponding system log on as. Therefore the user must remember each system user name and password, this gives users a lot of trouble. The multiple operation system may be unable to avoid, but for the same carrier multip

5、le sites or is a business subsystems, you can use the uniform user authentication, single sign-on, concept to solve this problem. Web Service technical framework has complete platform, language independence and higher level of abstraction, as long as users abide by the Web Service interface can be a

6、 request for a service call. Web service based on unified identity authentication system refers to the use of an integrated user authentication management environment to manage and distribute user rights and identity, to achieve for different application systems to provide a unified user rights mana

7、gement services. In this paper, the network application system encountered by this user identity management security and operation convenience, proposed one kind based on the Web Services related technologies of unified identity authentication scheme, the scheme of heterogeneous system of unified id

8、entity authentication and authorization. Key Words: Web Service；CXF；UDDI；SOAP；XML；Uniform Identity Authentication 目 录 第一章第一章绪论绪论.1 .1 论文研究背景 .1 .2 论文研究意义 .1 .3 论文研究内容于与工作目标 .2 .4 论文的组织结构 .2 第二章第二章 WEBWEB SERVICESERVICE 的应用集成的应用集成.4 2.1 WEB SERVICE概述.4 2.1.1 什么是 Web Service.4 2.1.2 Web service 的意义.4

9、2.1.3 Web Service 的特点.5 2.2 WEB SERVICE的体系结构.5 2.3 WEB SERVICE的技术支持.7 2.3.1 XML 和 XSD.8 2.3.2 简单对象访问协议 SOAP.8 2.3.3 Web 服务说明语言 WSDL.10 2.3.4 统一描述、发现与集成 UDDI.11 2.4 WEB SERVICE的安全性实现.12 2.5 WEB SERVICE框架.12 第三章第三章 基于基于 WEBWEB SERVICESERVICE 的身份统一认证的技术研究的身份统一认证的技术研究.14 3.1 身份统一认证服务的体系结构 .14 3.2 统一用户身份

10、管理 .16 3.3 用户身份认证服务 .17 3.3.1 身份认证定义.17 3.3.2 身份认证的方法.17 3.3.3 身份认证的意义.17 3.3.4 统一身份认证模式.18 3.3.5 基于权限分散的统一授权.19 3.4 XML 签名 .20 3.5 SOAP 协议 .21 3.5.1 SOAP 协议的提出.21 3.5.2 SOAP 构成.21 3.5.3 SOAP 协议规范.22 第四章第四章 系统功能分析与结构设计系统功能分析与结构设计.23 4.1 系统调研分析 .23 4.2 系统设计目标 .23 4.2.1 系统功能目标.23 4.2.2 系统性能目标.24 4.3 运

11、行环境分析 .24 4.4 总体架构设计 .25 4.5 功能模型分析与设计 .26 4.5.1 统一用户管理.26 4.5.2 统一认证.27 4.5.3 统一认证管理系统.29 第五章第五章 系统详细设计与实现系统详细设计与实现.30 5.1 数据库设计 .30 5.2 系统实现 .36 5.2.1 用户权限控制.36 5.2.2 Web Service服务器的设计与部署.37 5.2.3 系统接口设计.38 5.2.4 JavaWeb客户端的开发.41 5.2.5 管理系统功能设计.42 5.3 系统通用性分析 .49 5.3.1 跨平台与语言通用性分析.49 5.3.2 通信通用性分析

12、.49 5.3.3 应用系统管理通用性分析.49 5.3.4 接口服务通用性分析.50 第六章第六章 系统测试与评价系统测试与评价.51 6.1 系统的测试 .51 6.1.1 用户权限控制测试.51 6.1.2 JavaWeb客户端测试.52 6.2 系统安全评价 .54 6.2.1 安全性评价.54 6.2.2 完整性评价.55 6.2.3 保密性评价.55 第七章第七章 结束语结束语.57 7.1 本文工作总结 .57 7.2 统一身份认证系统的应用前景 .58 致谢致谢.60 参考文献参考文献.60 第一章绪论 .1 论文研究背景 随着因特网的飞速发展，,基于 B/S(浏览器/服务器)

13、 结构的企业应用软件也得到了 快速发展，各种应用系统已经应用到很多企业的生产管理活动中去，为企业提高工作效 率和管理水平做出了巨大的贡献。但是，由于企业受业务、自身条件和当时软件技术的 影响,这些不同的系统往往是在不同的时期建设起来的，运行在不同的平台上。各系统也 许是由不同厂商开发的，使用了各种不同的技术和标准。每个应用系统都有自己独立的 一套身份验证机制,采取分散登录、分散管理。又由于针对企业应用各系统的联系十分紧 密,各用户需要使用大多数的系统。如果不使用统一是身份认证，势必造成企业的工作人 员在实际工作中要频繁地在各个系统登录和注销，严重影响了生产效率；同时，很多系 统都要维持一个用户

14、身份信息是很麻烦的。因此，信息系统急需建立一个统一的身份认 证系统,以保证用户操作的方便和应用系统的安全。 目前，关于统一身份认证的研究在国外比较活跃，目前最流行的技术主要有微软 的 Passport 技术，其中微软的 Passport 技术实际上是一种 Web Service，它是由微软公司 控制的中央统筹式的单一登陆服务。 自由联盟（Liberty Alliance）是由SUN、IBM、HP、Intel、Oracle等150多家公司和 机构组成的一个围绕身份认证的技术，该联盟的宗旨是创建一个具有开放性、联合的、 单一身份识别的解决方案。与微软的Passport集中认证不同，自由联盟采用的是

15、一种称 为联邦认证（Federated Identity）的机制，即自由联盟中的身份提供者不唯一，而是可 以相互独立存在的，使用联邦认证的好处是在有可以避免因单点故障而导致的系统瘫痪。 自由联盟相关协议的基础和核心是SAML（Security Assertion Markup Language 安全断 言标记语言） 。 同时随着统一身份认证研究的深入和较高的商业意义，目前已经出现了很多商用软 件和产品，专门的SSO商业软件主要有：Netgrity的Siteminder（已被CA收购） 、Novell公 司的iChain、RSA公司的ClearTrust等。还有门户产品供应商自己的SSO产品如B

16、EA的 WLES、IBM的TivoliAccessManager、SUN公司的identityserver、Oracle公司的 OID等。这些商业软件一般适用于客户对SSO的需求很高，并且企业内部采用COTS软件 OMINO、SAP、Sieble的系统。 采用这些商用软件一般都要对要集成的系统做些改造，如在要集成的系统上安装代 理，首先统一这些系统的认证方式，然后才能实现SSO，相对比较麻烦。 另外，也有很多开源组织从事SSO的研究如JOSSO、OPENSSO、SOURCEID等。 而在国内，很多机构和系统正在进行统一身份认证的改造，如电力、银行、政府、 高校等信息化比较先近的企业。 .2 论

17、文研究意义 随着社会信息化的发展，很多的企事业单位都建立了自己的独立的网络系统，其日 常办公也日益依赖于网络。在这样的局部的网络系统基础之上，企事业单位也陆续建设 了各种业务应用系统，其中不乏很多提供公共服务的系统，这些系统各自拥有一套权限 管理机制和身份认证方式。在这种情况下，一个用户如果需要登录不同的系统就需要采 用多个账号和密码，不容易记忆，而很多用户往往在不同系统中使用相同的账号和密码， 这样也不安全。不同系统采用自身的一套认证和用户管理机制，不利于企事业单位的统 一管理。 所谓统一身份认证，就是用户基于最初访问的一次身份认证,就能对其被授权的资源 进行无缝访问，统一身份认证是目前比较

18、流行的企业业务整合的解决方案之一。统一身 份认证的定义是：在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的 应用系统。本系统是对一个企业进行统一身份认证改造，该企业的应用系统均采用 B/S(浏览器/服务器) 结构构建。系统进行统一身份认证改造后，需要能够实现较为灵活 的、基于 SAML 协议和 RBAC 协议原理的单点登录模型，并且需要有灵活的访问控制， 保证和原有系统的紧密结合,实现用户的统一身份认证。 统一身份认证机制，将同一个用户在所有应用系统中的权限和身份统一管理和分发。 这样，各个应用系统只需保留角色和权限控制，用户相关的数据统一保存在身份认证服 务器中，用户和角色的管理

19、由应用系统自行管理，从而简化了应用系统中用户管理模块 的建设。 各个企事业单位的用户可以从一个统一的登录界面登录网络系统，访问内部不同的 系统时只需要输入一次用户名和密码就可以了，用户在完成身份认证后无须再次登录就 可以接受企事业单位网络系统中其他信息服务系统提供的服务。 .3 论文研究内容于与工作目标 随着 Internet 的飞速发展，网络已经渗透到社会的各个领域，保障网络信息的安全 已经成为人们关心的重要问题。而要提高网络信息安全，前提就是要保证用户身份认证 的安全。 本文作者在该系统的研究与实现中主要完成以下几方面的任务： 1)对现代国内外身份统一认证系统的基本理论和基本思想，以及身份

20、统一认证系 统的一些重要作用、发展趋势等进行深入研究，加强身份统一认证系统理论方 面的理解，并为基于 Web Service 的身份统一认证系统的研究与实现建立理论 基础。 2)深入探讨基于 Web Service 的身份统一认证系统的体系结构设计、开发方法和 实现技术等问题。并对身份统一认证系统进行需求分析和数据流程分析。 3)以统一认证、统一授权、单点登录三大功能为基础进行程序开发，实现基于 Web Service 的身份统一认证系统的一些主要功能，包括统一应用系统管理、统 一权限管理、统一角色管理、统一统计分析、身份认证系统管理菜单设置、统 一接口规范、Web Service 服务器的部

21、署、Java Web 测试客户端的建立等，给 基于 Web Service 的身份统一认证系统的开发提供了一个好的思路与方法。 .4 论文的组织结构 本文针对目前国内外的研究现状，运用 Web Service、SSH2 等技术，以统一用户管 理、统一授权管理和统一认证服务为实例，研究基于 Web Service 的身份统一认证系统 的研究与实现。其主要研究思路安排如下： 第一章主要是介绍基于 Web Service 的统一身份认证的研究背景、研究意义和本文 作者的主要研究内容； 第二章主要研究Web Service技术体系及应用模式研究；为统一身份认证奠定了技术 及理论基础； 第三章对主要是统

22、一身份认证主要涉及的问题(即统一认证、权限管理、及单点登 录)进行了探讨与分析，确定所要采用的实现方法。 第四章主要是根据调研分析，确定本文的大致的需求，比如功能需求、性能需求等。 第五章主要是在第四章分析的基础上，对系统进行详细的设计，并根据设计来实现 所设计的系统功能等。 第六章对统一身份认证系统进行总体的评价与分析。 第七章是结束语，主要是总结本文作者关于基于Web Service的统一身份认证研究的 总结与对统一身份认证应用前景的展望。 致谢部分主要是本文作者对其在做相关研究的过程中给予其帮助的所有人的感谢。 参考文献部分主要展示的本文作者完成论文过程中所参考的所有的资料文献。 第二章

23、 Web Service 的应用集成 2.1 Web Service 概述 2.1.1 什么是 Web Service 软件应用程序不可能由任何一种专门的环境来解决，而是需要跨多个操作系统、编 程语言和硬件平台的环境来实现。在Web服务出现之前，多数系统采用的是固定的接口， 但对于环境或需求的改变，缺乏灵活性或适用性。 Web Service就是一个能够通过Web进行调用的API，它是一种新的Web应用程序分 支，可以在网络中被描述、发布、查找以及通过Web来调用。Web Service是基于网络的、 分布式的模块化组件，它执行特定的任务，遵守具体的技术规范，这些规范使得Web Service

24、能与其他兼容的组件进行互操作。 位于Web协议顶部的高层接口层是通过标准化的XML消息传递访问的操作。它使用 基于XML语言的协议来描述要执行的操作或者可以用真正与平台无关的方式来描述任何 数据，以跨系统交换数据。一组以这种方式交互的Web服务在面向服务的体系结构 (ServiceOriented Architecture，SOA)中定义了特殊的Web服务应用程序，因此应用程 序由紧耦合转向了松耦合；而且Web服务可以在较抽象的层面上工作，按照需要动态地 重新评估、修改或处理数据类型。 从技术层面上讲，Web服务可以更方便地处理数据，并且允许软件更自由地进行通 信。从更高的概念层面上看，Web

25、服务可以视为一些工作单元，每个单元处理特定的功 能任务。然后，将这些任务组合成面向业务的任务，以处理特定的业务操作任务，从而 使非技术人员去考虑一些应用程序，这些应用程序可以在Web服务应用程序工作流中一 起处理业务问题。因而，Web服务解决的主要问题是数据和应用程序集成的问题和将技 术性的功能转换成面向业务的计算任务的问题。这两个方面使业务人员可以就流程或应 用程序层面与他们的合作伙伴进行交流，同时为适应新形势或按照需要与不同合作伙伴 进行合作留有动态的余地。 2.1.2 Web service 的意义 Web Service对于Web开发者的重要意义在于，当我们需要在不同的服务端、不同的

26、客户端乃至不同的应用类型、不同的计算设备之间传递信息的时候，以往的分布式开发 技术因为适应性不强或者扩展能力不足，都难以满足现代Web开发的需要，而Web service正好填补了这一空白。Web service希望实现不同的系统之间能够用“软件一软件 对话”的方式相互调用，打破了软件应用、网站和各种设备之间的格格不入的状态，实 现“基于Web无缝集成”的目标。 2.1.3 Web Service 的特点 下面我们从以下几个方面来理解Web Service： (I)、Web Service具有完好的封装性 Web Service是一种部署在Web上的对象，具备对象的良好封装性。对于使用者而言，

27、 他仅能看到该对象提供的功能列表。 (2)、Web Service支持使用松散耦合的分布式应用程序这一特征是源于对象/组件技 术，当一个Web服务的实现发生变更的时候，只要Web服务的调用界面不变，Web服务 实现的任何变更对调用者来说都是透明的。 (3)、Web Service使用协约的规范性、标准性与一般对象相比，Web Service界面更 加规范化，易于机器理解。而且我们需要对诸如授权认证、数据完整性(比如签名机制)、 消息认证以及事务的不可否认性等，运用规范的方法来描述、传输和交换。以至于在所 有层次上的处理都应当是可管理的，因此需要对管理协约运用同样的机制。 (4)、Web Ser

28、vice具有高度的可集成能力 由于Web服务采取简单的、易理解的标准Web协议作为组件界面描述和协同描述规范， 完全屏蔽了不同软件平台的差异，无论是CORBA/DCOM还是EJB都可以通过这一种标 准的协议进行互操作，实现了在当时环境下最高的可集成性。 (5)、Web Service具有开放性 Web Service 可以与其他 Web Service 进行交互。它具有语言和平台无关性。支持 CORBA、BCOM、EJB 等多种组件标准。支持各种通讯媒体如： HTTP、SMTP、FTP、RMI/IIOP(远程方法调用/internet 对象请求中介协议)等。 2.2 Web Service 的

29、体系结构 Web服务构架由三个参与者和三个基本操作构成。三个参与者是服务提供者(Service Provider)、服务注册中心(Service Registry)和服务请求者(Service Requester)：三个基本操 作是发布(Publish)、查找(Find)和绑定(Bind)。图2.1描述了这些操作、提供这些操作的组 件及它们之问的交互。 图2.1 Web服务角色、操作和构件 图中Web服务的三个参与者分别是： (1)、服务提供者。从企业的角度看，这是服务的所有者。从体系结构的角度看，这 是托管访问服务的平台。服务提供者负责创建服务描述，将服务描述发布到一个或多个 服务注册处，并

30、接收来自一个或多个方法请求者的网络服务调用消息。在服务请求者和 服务提供者间，服务提供者相当于“客户一服务器”(CS)模型中的服务器。 (2)、服务请求者。从企业的角度看，这是要求满足特定功能的企业。从体系结构的 角度看，这是寻找并调用服务，或启动与服务的交互的应用程序。服务请求者负责查找 发布在一个或多个服务注册处的服务描述，并负责利用服务描述，绑定或调用由服务提 供者提供的网络服务。服务请求者相当于“客户一服务器”(CS)模型中的客户。服务 请求者角色可以由浏览器来担当，由人或无用户界面的程序来控制它。 (3)、服务注册中心。这是可搜索的服务描述注册中心，服务提供者在此发布他们的 服务描述

31、。在静态绑定开发或动态绑定执行期间，服务请求者查找服务并获得服务的绑 定信息。对于静态绑定的服务请求者，服务注册中心是体系结构中的可选角色，因为服 务提供者可以把描述直接发送给服务请求者。同样，服务请求者可以从服务注册中心以 外的其它来源得到服务描述，例如本地文件、FTP站点、Web站点、广告和服务发现 (Advertisement and Discovery of Services，ADS)或发现Web服务。服务注册中心起服务请 求者和提供者间的中介作用，负责为服务请求者匹配服务提供者。 。 Web服务体系结构中的操作：发布服务描述、查询或查找服务描述以及根据服务描 述绑定或调用服务，这些行

32、为可以单次或反复出现。具体操作为： 1)、发布。为了使服务可访问，需要发布服务描述以使服务请求者可以查找它，发 布服务描述的位置可以根据应用程序的要求而变化。 2)、查找。在查找操作中，服务请求者直接检索服务描述或在服务注册中心中查询 所要求的服务类型。对于服务请求者，可能会在两个不同的生命周期阶段中牵涉到查找 操作：在设计时为了程序开发而检索服务的接口描述，在运行时为了调用而检索服务的 绑定和位置描述。 3)、绑定。在绑定操作中，服务请求者使用服务描述中的绑定细节来定位、联系和 调用服务，从而在运行时调用或启动与服务的交互。 Web 服务的构件是由服务与服务描述组成。Web 服务是一个由服务描述来描述的 接口，服务描述的实现就是该服务。服务是一个软件模块，它部署在由服务提供者提供 的可以通过网络访问的平台上。服务存在就是要被服务请求者调用或者同服务请求者交 互。当服务的实现中利用到其它的 Web 服务时，它也可以作为请求者。服务描述包含 服务的接口和实现的细节，