基于ESB的統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

1、el論文發(fā)衣專審一）中國(guó)學(xué)木期刊用 HYPERLINK http:/www.qikanwang.nel www.qikanwang.nel基于ESB的統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)文章編號(hào)：1001-9081（2012）01-0052-04doi:10.3724/sp.j.l087.2012.00052摘要:異構(gòu)的信息系統(tǒng)由于具有各自獨(dú)立的身份認(rèn)證和用戶管理模塊，存在著用戶身份不一致、信息重復(fù)，應(yīng)用系統(tǒng)無(wú)法整合、安全性差等問(wèn)題。為此提出了一種基于統(tǒng)一的數(shù)據(jù)交換標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn)，將不同的用戶管理模塊和認(rèn)證模塊進(jìn)行集成的方法，設(shè)計(jì)了系統(tǒng)模型、交互流程和認(rèn)證協(xié)議，實(shí)現(xiàn)了基于企業(yè)服務(wù)總線（esb）的統(tǒng)一身份

2、認(rèn)證系統(tǒng)。實(shí)驗(yàn)結(jié)果表明，系統(tǒng)能有效地避免身份認(rèn)證邏輯的重復(fù)和數(shù)據(jù)的冗余，提高認(rèn)證的效率和系統(tǒng)資源的利用率。關(guān)鍵詞:企業(yè)服務(wù)總線；面向服務(wù)的體系結(jié)構(gòu)；統(tǒng)一身份認(rèn)證平臺(tái)；簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議中圖分類號(hào)：tp309.7文獻(xiàn)標(biāo)志碼:aabstract:theselfgovernedidentityauthenticationandusermanagementleadtodifferentidentity,redundantinformation,selfgovernedsystemandbadsecurityinheterogeneousinformationsystems.anewmethodofint

3、egrationbasedonuniformdataexchangestandardandinterfacestandard,especiallythesystemmodel,dataflowandauthenticationprotocolwereputforward,furthermore.論文發(fā)表專鬣一働中國(guó)學(xué)木期刊網(wǎng)www.qikanwang.nelauniformidentityauthenticationsystembasedonenterpriseservicebus(esb)wasrealized.theexperimentalresuItsshowthatthesystemc

4、anavoidredundantauthenticationlogicanddata,anditalsoenhancesauthenticationefficiencyandmakesthebestuseoftheavailableresources.keywords:enterpriseservicebus(esb);serviceorientedarchitecture(soa);uniformidentityauthenticationplatform(uiap);simpleobjectaccessprotocol(soap)0引言隨著計(jì)算機(jī)和網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，企業(yè)、院校、機(jī)關(guān)等單位

5、的信息系統(tǒng)日益增多，各個(gè)信息系統(tǒng)之間的數(shù)據(jù)、流程相互間關(guān)聯(lián)的需求也越來(lái)越多。由于創(chuàng)建的時(shí)間不同、面對(duì)的需求不同，這些信息系統(tǒng)在技術(shù)體系結(jié)構(gòu)、操作系統(tǒng)平臺(tái)、編程語(yǔ)言等方面往往是異構(gòu)的1。這些異構(gòu)的信息系統(tǒng)在設(shè)計(jì)時(shí)，往往從自身需求出發(fā)設(shè)計(jì)獨(dú)立的身份認(rèn)證和用戶管理模塊，隨著信息系統(tǒng)的不斷增多，這種傳統(tǒng)的認(rèn)證機(jī)制逐漸暴露出用戶信息無(wú)法統(tǒng)一、信息重復(fù)、身份不一致，應(yīng)用系統(tǒng)無(wú)法整合、系統(tǒng)安全性差，用戶操作復(fù)雜、維護(hù)難度大等問(wèn)題2-3。軟件架構(gòu)的發(fā)展，尤其是面向服務(wù)的體系結(jié)構(gòu)（serviceorientedarchitecture,soa）的興起為異構(gòu)系統(tǒng)之間的松耦合集成創(chuàng)造了條件4-5。本文基于webse

6、rvice技術(shù)實(shí)現(xiàn)soa架構(gòu)下el論文發(fā)衣專席一)中國(guó)學(xué)木期刊用 HYPERLINK http:/www.qikanwang.nel www.qikanwang.nel的身份認(rèn)證，采用統(tǒng)一的數(shù)據(jù)交換標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn)，將不同的用戶管理模塊和認(rèn)證模塊集成在統(tǒng)一的平臺(tái)上，實(shí)現(xiàn)各異構(gòu)系統(tǒng)的統(tǒng)一身份認(rèn)證，管理方式簡(jiǎn)單、統(tǒng)一，避免了信息冗余和信息孤島造成的系統(tǒng)間不一致性。采用基于證書的身份認(rèn)證管理機(jī)制，對(duì)應(yīng)用系統(tǒng)的訪問(wèn)進(jìn)行統(tǒng)一控制，增強(qiáng)了系統(tǒng)的安全性。1基于esb的統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)1.1系統(tǒng)模型企業(yè)服務(wù)總線(enterpriseservicebus，esb)是傳統(tǒng)中間件技術(shù)與可擴(kuò)展標(biāo)記語(yǔ)言(extens

7、iblemarkuplanguage，xml)、webservice等技術(shù)結(jié)合的產(chǎn)物，用于基于soa的解決方案的實(shí)現(xiàn)6。esb提供信息格式的轉(zhuǎn)換以實(shí)現(xiàn)應(yīng)用服務(wù)的無(wú)縫集成，它可以消除不同應(yīng)用之間的技術(shù)差異，讓不同的應(yīng)用服務(wù)協(xié)調(diào)運(yùn)作，實(shí)現(xiàn)不同服務(wù)之間的通信與整合。本文設(shè)計(jì)的基于esb的統(tǒng)一身份認(rèn)證模型如圖1所示?；趀sb的統(tǒng)一身份認(rèn)證模型主要包括統(tǒng)一身份認(rèn)證平臺(tái)(uniformidentityauthenticationplatform，uiap)、客戶端、應(yīng)用服務(wù)器和esb。uiap、客戶端、應(yīng)用服務(wù)器和esb之間通過(guò)簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(simpleobjectaccessprotocol,so

8、ap)進(jìn)行通信。esb是客戶端、應(yīng)用服務(wù)器與uiap的中介，客戶端與應(yīng)用服務(wù)器通過(guò)esb調(diào)用uiap的服務(wù)uiap通過(guò)標(biāo)準(zhǔn)接口發(fā)布服務(wù)，采用soapel論文發(fā)衣專審一)中國(guó)學(xué)木期刊用 HYPERLINK http:/www.qikanwang.nel www.qikanwang.nel封裝請(qǐng)求和響應(yīng)。當(dāng)esb收到應(yīng)用客戶端和應(yīng)用服務(wù)器的服務(wù)請(qǐng)求時(shí)，esb查找請(qǐng)求的服務(wù)并返回給客戶端和應(yīng)用服務(wù)器。在esb中，服務(wù)執(zhí)行引擎用于客戶端和應(yīng)用服務(wù)器請(qǐng)求服務(wù)的發(fā)現(xiàn)、選擇、編排等功能。服務(wù)適配器主要實(shí)現(xiàn)不同格式的消息協(xié)議轉(zhuǎn)換。服務(wù)路由器用于完成客戶端和應(yīng)用服務(wù)器請(qǐng)求服務(wù)的發(fā)現(xiàn)、綁定、調(diào)用等操作。服務(wù)監(jiān)控器

9、可以對(duì)服務(wù)運(yùn)行的狀態(tài)進(jìn)行監(jiān)控和管理。服務(wù)注冊(cè)中心提供服務(wù)的查找和注冊(cè)功能。1.2交互流程設(shè)計(jì)web服務(wù)描述語(yǔ)言(webservicedescriptionlanguage,wsdl)和soap是soa互操作性的基礎(chǔ)7,uiap采用wsdl描述服務(wù)接口，客戶端、應(yīng)用服務(wù)器和uiap之間通過(guò)基于wssecurity加密的soap消息進(jìn)行通信?？蛻舳伺cuiap的交互流程?？蛻舳送ㄟ^(guò)統(tǒng)一認(rèn)證服務(wù)(uniformauthenticationservice,uas)完成與uiap的交互，用戶利用用戶憑證在web門戶登錄，web門戶向統(tǒng)一認(rèn)證服務(wù)請(qǐng)求認(rèn)證，身份認(rèn)證成功后，統(tǒng)一認(rèn)證服務(wù)創(chuàng)建安全斷言標(biāo)記語(yǔ)言(s

10、ecurityassertionmarkuplanguage,saml)令牌，并返回saml令牌給用戶，用戶就可以攜帶這個(gè)saml令牌訪問(wèn)服務(wù)?？蛻舳伺cuiap的交互流程如圖2所示。應(yīng)用服務(wù)器與uiap的交互流程。用戶攜帶saml令牌訪問(wèn)應(yīng)用服務(wù)器，決策執(zhí)行點(diǎn)(policyenforcementpoint，pep)把用戶的saml令牌交給策略決策點(diǎn)論文發(fā)表專寐一顧中國(guó)學(xué)木期刊網(wǎng) HYPERLINK (policydecisionpoint，pdp)進(jìn)行驗(yàn)證，pdp根據(jù)用戶saml令牌及相關(guān)參數(shù)對(duì)用戶進(jìn)行授權(quán)，并把響應(yīng)結(jié)果發(fā)送給用戶。應(yīng)用服務(wù)器與uiap的交互流程如圖3所示。1.3基于證書的統(tǒng)一

11、認(rèn)證協(xié)議客戶端(client,c)與uiap之間基于證書的統(tǒng)一認(rèn)證協(xié)議具體步驟如下。cuiap。ra,request,certc,sigcrequest,c向uiap并發(fā)送認(rèn)證請(qǐng)求。其中：ra為c產(chǎn)生的隨機(jī)數(shù)，request為c的請(qǐng)求,certc為c的加密證書，sigcrequest為c利用證書私鑰對(duì)request的簽名。uiapc。ra,certuiap,siguiap(response),ec(tokensaml),uiap收到消息后，首先驗(yàn)證用戶證書有效性，并驗(yàn)證請(qǐng)求簽名；然后發(fā)送應(yīng)答消息返回c。其中：ra為接收到的c的隨機(jī)數(shù)，certuiap為uiap的證書，siguiap(respo

12、nse)為uiap利用證書私鑰對(duì)response的簽名，ec(tokensaml)表示利用c的證書公鑰加密的tokensaml。cuiap。el論文發(fā)衣專席一)中國(guó)學(xué)木期刊用 HYPERLINK http:/www.qikanwang.nel www.qikanwang.nelc將對(duì)uiap的驗(yàn)證結(jié)果發(fā)給uiap。經(jīng)過(guò)以上步驟，客戶端和uiap實(shí)現(xiàn)了雙向身份認(rèn)證和令牌協(xié)商，共享saml令牌tokensaml。2系統(tǒng)關(guān)鍵技術(shù)與實(shí)現(xiàn)2.1soap消息機(jī)制基于soap的統(tǒng)一身份認(rèn)證消息請(qǐng)求/響應(yīng)過(guò)程包括4個(gè)階段：服務(wù)請(qǐng)求者構(gòu)造soap消息，服務(wù)提供者接收并解析soap消息，服務(wù)提供者響應(yīng)并構(gòu)造soa

13、p消息，服務(wù)使用者接收并解析soap消息。服務(wù)請(qǐng)求者構(gòu)造soap消息。客戶端的soap請(qǐng)求內(nèi)容為一個(gè)必需的soap信圭寸(soapenvelope)。soapenvelope是由一個(gè)可選的soap消息頭(soapheader)和一個(gè)必須soap消息體(soapbody)組成的xml文檔。soapheader是通信雙方尚未預(yù)先達(dá)成一致的情況下，為消息增加特性的通用機(jī)制；soapbody為消息的最終接收者所需的信息提供了一個(gè)容器8-9。soap請(qǐng)求如下:程序前論文發(fā)表專糜一砌中國(guó)學(xué)木期刊網(wǎng) HYPERLINK http:/www.qikanwang.nel www.qikanwang.nelstr

14、ing程序后其中checkclient是uiap上被調(diào)用的方法，參數(shù)為服務(wù)請(qǐng)求者的證書。2）服務(wù)提供者接收并解析soap消息。uiap上處理soap請(qǐng)求的對(duì)象是uas。uas接收到客戶端發(fā)來(lái)的soap請(qǐng)求后解析報(bào)文，提取出請(qǐng)求的方法，將其映射為本地的組件調(diào)用，然后調(diào)用真正的應(yīng)用程序，處理soap請(qǐng)求。3）服務(wù)提供者響應(yīng)并構(gòu)造soap消息。uas從soap請(qǐng)求中解析出soap請(qǐng)求方法checkclient，連接數(shù)據(jù)庫(kù),根據(jù)參數(shù)執(zhí)行soap請(qǐng)求。最后將執(zhí)行結(jié)果加上soapenvelope信息，得到對(duì)上述soap請(qǐng)求的響應(yīng)，包括soap響應(yīng)頭和soap響應(yīng)內(nèi)容。soapenvelope的具體內(nèi)容：程

15、序前論文發(fā)表專糜一砌中國(guó)學(xué)木期刊網(wǎng) HYPERLINK http:/www.qikanwang.nel www.qikanwang.nelint程序后4）服務(wù)使用者接收并解析soap消息?？蛻舳私邮盏絬as的soap響應(yīng)消息后，分析soap響應(yīng)，將結(jié)果返回給web服務(wù)器，web服務(wù)器根據(jù)用戶的身份信息加載顯示內(nèi)容,返回給客戶端。2.2認(rèn)證令牌的構(gòu)造與頒發(fā)采用saml令牌來(lái)解決wssecurity中存在的令牌不統(tǒng)一的問(wèn)題，基于saml令牌請(qǐng)求和響應(yīng)解決wssecurity中存在的令牌頒發(fā)問(wèn)題。由于saml是可擴(kuò)展的、開(kāi)放的、基于xml的標(biāo)準(zhǔn)，saml能夠用于不同安全性系統(tǒng)間的安全信息交換10T1

16、。通過(guò)saml令牌能夠以令牌的形式交換用戶信息和授權(quán)信息。saml令牌結(jié)構(gòu)采用saml2.0中聲明的格式和專門的詞匯，利用authenticationstatement元素進(jìn)行構(gòu)造saml令牌中的元素如下:issuer表示saml令牌的頒發(fā)者；signature表示saml令牌的數(shù)字簽名；conditions表示saml令牌的有效期；程序前el論文發(fā)衣專審一)中國(guó)學(xué)木期刊用 HYPERLINK http:/www.qikanwang.nel www.qikanwang.nelauthenticationstatement表示認(rèn)證聲明，用于編碼用戶的權(quán)限和屬性；subject表示憑證擁有者的相關(guān)

17、信息；nameidentifier表示憑證擁有者的標(biāo)識(shí)符；subjectconfirmation表示令牌頒發(fā)者與令牌擁有者間的關(guān)系；keyinfo表示憑證擁有者的相關(guān)密鑰信息。在soap消息中添加saml令牌請(qǐng)求和saml令牌響應(yīng)進(jìn)行消息的交互，對(duì)于saml令牌的頒發(fā)，saml定義了saml令牌請(qǐng)求和響應(yīng)協(xié)議。saml令牌請(qǐng)求結(jié)構(gòu)如圖4(a)所示，在結(jié)構(gòu)中，requesttype定義了令牌的類型，requesttype定義了請(qǐng)求類型，包括請(qǐng)求saml令牌和對(duì)saml令牌驗(yàn)證兩種請(qǐng)求類型；appliesto定義了用戶請(qǐng)求訪問(wèn)服務(wù)的地址；lifetime定義了saml令牌請(qǐng)求的有效期。saml令牌

18、響應(yīng)結(jié)構(gòu)如圖4(b)所示，在結(jié)構(gòu)中，saml令牌響應(yīng)包含saml響應(yīng)頭部和saml響應(yīng)令牌。2.3部分代碼實(shí)現(xiàn)微軟推出的開(kāi)發(fā)環(huán)境在業(yè)內(nèi)被稱為開(kāi)發(fā)web服務(wù)的首選工具12T3。本文使用環(huán)境和c#語(yǔ)言實(shí)現(xiàn)身份認(rèn)證web服務(wù)的創(chuàng)建、發(fā)布和調(diào)用。創(chuàng)建web服務(wù)。運(yùn)行開(kāi)發(fā)環(huán)境，建立“web服務(wù)”類型的項(xiàng)目esbauth。本文實(shí)現(xiàn)的web服務(wù)駐留在esbauth.asmx文件中，其具體內(nèi)容如下：論文發(fā)表專糜一砌中國(guó)學(xué)木期刊網(wǎng) HYPERLINK http:/www.qikanwang.nel www.qikanwang.nelcodebehind指定實(shí)現(xiàn)web服務(wù)的代碼文件為esbauth.asmx.cs

19、,class指定具體實(shí)現(xiàn)web服務(wù)的類為authservice/esbauth.asmx.cs文件的實(shí)現(xiàn)publicclassauthservice：system.web.services.webservicewebmethodpublicintcheckclient(stringcert)intresult=0；userdbtestuserdb二newuserdb()；/isuserexist為通過(guò)證書驗(yàn)證用戶身份的方法if(testuserdb.isuserexist(cert)result二1;elseresult二0;returnresult；程序后2）發(fā)布web服務(wù)。將項(xiàng)目esbau

20、th所在的目錄esbauthproject復(fù)制到web服務(wù)器上，通過(guò)iis把目錄esbauthproject設(shè)置為虛擬目錄，并設(shè)置run論文發(fā)表專糜一砌中國(guó)學(xué)木期刊網(wǎng) HYPERLINK http:/www.qikanwang.nel www.qikanwang.nelscript和read屬性。3）調(diào)用web服務(wù)。使用web服務(wù)的過(guò)程是web服務(wù)的使用者綁定web服務(wù)的提供者，并調(diào)用其方法的過(guò)程。web服務(wù)的使用者首先通過(guò)url地址查找到web服務(wù)，通過(guò)web引用將web引用添加到應(yīng)用程序開(kāi)發(fā)環(huán)境中，然后為web引用創(chuàng)建代理類并引用該代理類，最后通過(guò)建立該代理類的實(shí)例就可以調(diào)用web引用的方

21、法。程序前privatevoidcall_auth(objectsender，system.eventargse)/創(chuàng)建客戶端代理類localhost.authserviceclientproxy二newlocalhost.authservice()；try/通過(guò)代理類對(duì)象訪問(wèn)web服務(wù)if(clientproxy.checkclient(cert.text)button.text二“success”；elsebutton.text二“error”；論文發(fā)表專糜一砌中國(guó)學(xué)木期刊網(wǎng) HYPERLINK http:/www.qikanwang.nel www.qikanwang.nelcatch(

22、e)throwe；finallyclientproxy.dispose（）；程序后3系統(tǒng)測(cè)試與分析系統(tǒng)測(cè)試環(huán)境主要包括客戶端、uiap和應(yīng)用服務(wù)器，如圖5所示。測(cè)試表明，客戶端使用證書作為身份憑證，在uiap完成一次認(rèn)證后，可以訪問(wèn)異構(gòu)的各應(yīng)用系統(tǒng)。通過(guò)建立統(tǒng)一身份認(rèn)證機(jī)制，所有參與集成的應(yīng)用系統(tǒng)均共享同一uiap進(jìn)行身份認(rèn)證。與原有分散的認(rèn)證方式相比，系統(tǒng)效率有了很大提高，主要表現(xiàn)如下：1）通過(guò)soa架構(gòu)實(shí)現(xiàn)異構(gòu)系統(tǒng)的集成，兼容原有的應(yīng)用系統(tǒng)身份認(rèn)證模塊和用戶設(shè)置，系統(tǒng)整合時(shí)可避免對(duì)原有系統(tǒng)的大規(guī)模修改，提高了系統(tǒng)的資源利用率；2）簡(jiǎn)化了系統(tǒng)管理員的操作，減少了系統(tǒng)管理員增加用戶賬號(hào)和刪除用

23、戶賬號(hào)的操作時(shí)間以及降低了修改用戶的權(quán)限的復(fù)雜度；3）用戶一次登錄即可以訪問(wèn)所有的應(yīng)用系統(tǒng)，減少了登錄操作的時(shí)間，也給管理員對(duì)所有用戶訪問(wèn)控制管理帶來(lái)極大便利，提高了認(rèn)證效率；el論文發(fā)衣專審一）中國(guó)學(xué)木期刊用 HYPERLINK http:/www.qikanwang.nel www.qikanwang.nel4）集中式管理用戶信息，不僅節(jié)省了原有應(yīng)用系統(tǒng)的用戶信息數(shù)據(jù)庫(kù)資源,提高了信息共享度。同時(shí)，系統(tǒng)的安全性有了很大提升，主要體現(xiàn)如下：1）用戶通過(guò)證書進(jìn)行認(rèn)證，與用戶名和口令的認(rèn)證方式相比，增強(qiáng)了認(rèn)證的強(qiáng)度；2）避免了頻繁的輸入用戶名和口令，提高了安全性；3）采用統(tǒng)一身份認(rèn)證管理機(jī)制，減

24、少了原有分散認(rèn)證的數(shù)據(jù)不一致性，對(duì)應(yīng)用系統(tǒng)的訪問(wèn)進(jìn)行統(tǒng)一控制，增強(qiáng)了系統(tǒng)安全性。4結(jié)語(yǔ)本文采用統(tǒng)一的數(shù)據(jù)交換標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn)，將不同的用戶管理模塊和認(rèn)證模塊集成在統(tǒng)一的平臺(tái)上，設(shè)計(jì)并實(shí)現(xiàn)了基于esb的統(tǒng)一身份認(rèn)證系統(tǒng)。該系統(tǒng)可以將技術(shù)體系結(jié)構(gòu)、操作系統(tǒng)平臺(tái)、編程語(yǔ)言等方面異構(gòu)的應(yīng)用系統(tǒng)進(jìn)行無(wú)縫集成和統(tǒng)一管理，有效地避免企業(yè)內(nèi)部各信息系統(tǒng)中身份認(rèn)證業(yè)務(wù)邏輯的重復(fù)和數(shù)據(jù)的冗余，提高認(rèn)證的效率和系統(tǒng)資源的利用率，減少設(shè)計(jì)開(kāi)發(fā)人員和系統(tǒng)維護(hù)人員的工作量。同時(shí)，采用基于證書的身份認(rèn)證管理機(jī)制，對(duì)應(yīng)用系統(tǒng)的訪問(wèn)進(jìn)行統(tǒng)一控制，增強(qiáng)了系統(tǒng)的安全性。參考文獻(xiàn)：1董文生.異構(gòu)系統(tǒng)統(tǒng)一身份認(rèn)證和授權(quán)管理系統(tǒng)的設(shè)計(jì)與實(shí)

25、現(xiàn)d.上海:復(fù)旦大學(xué),2006.2論文發(fā)表專糜一砌中國(guó)學(xué)木期刊網(wǎng) HYPERLINK http:/www.qikanwang.nel www.qikanwang.nel王鑫磊.統(tǒng)一安全認(rèn)證平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)d.北京:北京郵電大學(xué),2007.3鄭煥.基于webservices統(tǒng)一身份認(rèn)證系統(tǒng)研究d.武漢:武漢理工大學(xué),2007.4erlt.serviceorientedarchitecture:concepts,technology,anddesignm.newyork:prenticehall,2005.5erlt.serviceorientedarchitecture:afieldguidetointegratingxmlandwebservicesm.newyork:prenticehallptr,2004.6biningserviceorientedar