令牌基于esb的统一身份认证系统设计与实现

身份证实名认证  时间:2021-01-25  阅读:()

基于EB的统一身份认证系统设计与实现

文章编号: 10 1-981 2012)01-0504 do  :1  .3 4/sp. j  87. 20 2.0052 摘要:异构的信息系统由于具有各自独立的身份认证和用户管理模块,存在着用户身份不一致、信息重复应用系统无法整合、安全性差等问题。为此提出了一种基于统一的数据交换标准和接口标准,将不同的用户管理模块和认证模块进行集成的方法,设计了系统模型、交互流程和认证协议,实现了基于企业服务总线(esb的统一身份认证系统。实验结果表明,系统能有效地避免身份认证逻辑的重复和数据的冗余,提高认证的效率和系统资源的利用率。

关键词:企业服务总线;面向服务的体系结构;统一身份认证平台;简单对象访问协议

中图分类号 t3 9.  文献标志码:a

   bs ract:te self go rned idnt    athentication ad use  mangement l ad to different denti y, redun nt infrt o, elf g  rned ystem and ba ecu  ty in hteroeeosinf mtion sstems. a new method of integra in bse n uifodta exhang stan r andinterfac standard e peci  y the system moel, dta flow ad athe   cation p  toco ere pt

forwrd.  rthrmore, a un   rm iden it aut nti at o systm bsed on ent rpr  s  servi e bus(esb) a ralize. te xpr ental result show th  the sys em a aoid re nant auhntic  in logic nd data, and it als nace authenticati n e i  i ncy a  mkes th bes   e of the avilabl  resoures   key words:ente pri  ervice bus (e  ) ; servi   orient d rchite tur (soa ; uni or i ti y au entictio platform (u a ; simp  e obj    ace   potoco  oa) 

 0引言  随着计算机和网络应用的快速发展,企业、院校、机关等单位的信息系统日益增多,各个信息系统之间的数据、流程相互间关联的需求也越来越多。由于创建的时间不同、面对的需求不同,这些信息系统在技术体系结构、操作系统平台、编程语言等方面往往是异构的[1] 。这些异构的信息系统在设计时,往往从自身需求出发设计独立的身份认证和用户管理模块,随着信息系统的不断增多,这种传统的认证机制逐渐暴露出用户信息无法统一、信息重复、身份不一致应用系统无法整合、系统安全性差,用户操作复杂、维护难度大等问题[2-。

软件架构的发展,尤其是面向服务的体系结构servi e oieted rchitectr  soa)的兴起为异构系统之间的松耦合

集成创造了条件[-5] 。本文基于we s rvi  技术实现so架构下的身份认证,采用统一的数据交换标准和接口标准,将不同的用户管理模块和认证模块集成在统一的平台上,实现各异构系统的统一身份认证,管理方式简单、统一,避免了信息冗余和信息孤岛造成的系统间不一致性。采用基于证书的身份认证管理机制,对应用系统的访问进行统一控制,增强了系统的安全性。

   1基于esb的统一身份认证系统设计

 1.  系统模型

企业服务总线(n erprise e vice us,esb是传统中间件技术与可扩展标记语言 x  si  e mak  laguae ml) 、 web ervic等技术结合的产物用于基于s的解决方案的实现[  。 esb提供信息格式的转换以实现应用服务的无缝集成,它可以消除不同应用之间的技术差异,让不同的应用服务协调运作,实现不同服务之间的通信与整合。

本文设计的基于esb的统一身份认证模型如图1所示。

基于es的统一身份认证模型主要包括统一身份认证平台un f m ident    aut  t  cat on latfo m,uia) 、客户端、应用服务器和esb。 ui 、客户端、应用服务器和 b之间通过简单对象访问协议(  imp  e bject acess proocol,  ap)进行通信。

 esb是客户端、应用服务器与 a的中介,客户端与应用服务器通过sb调用u a的服务。 u  p通过标准接口发布服务,

采用soap封装请求和响应。当sb收到应用客户端和应用服务器的服务请求时, sb查找请求的服务并返回给客户端和应用服务器。

在esb中,服务执行引擎用于客户端和应用服务器请求服务的发现、选择、编排等功能。服务适配器主要实现不同格式的消息协议转换。服务路由器用于完成客户端和应用服务器请求服务的发现、绑定、调用等操作。服务监控器可以对服务运行的状态进行监控和管理。服务注册中心提供服务的查找和注册功能。

 1 2 交互流程设计   web服务描述语言(web  rvicedescriptio lanuge w dl)和soap是sa互操作性的基础7 u p采用wsl描述服务接口客户端、应用服务器和uiap之间通过基于ws s c ity加密的sap消息进行通信。

 1)客户端与i p的交互流程。  客户端通过统一认证服务uniforathe  ic  ion seri  , as)完成与ui p的交互,用户利用用户凭证在web门户登录 we门户向统一认证服务请求认证,身份认证成功后,统一认证服务创建安全断言标记语言( ecr y a s rtio arkup laguge, sam 令牌,并返回saml令牌给用户,用户就可以携带这个m令牌访问服务。客户端与uiap的交互流程如图2所示。  2)应用服务器与ui  的交互流程。  用户携带s ml令牌访问应用服务器,决策执行点 o   cy  forcement oint,pep)把用户的al令牌交给策略决策点po   cydcisi n poin

  dp)进行验证,pd根据用户s l令牌及相关参数对用户进行授权并把响应结果发送给用户。应用服务器与u i ap的交互流程如图3所示。 

 1. 3基于证书的统一认证协议  客户端( liet, c)与u a之间基于证书的统一认证协议具体步骤如下。

1c→uia 。  r a,rqes  ,ce     sig c{reqest ,c向uiap并发送认证请求。其中 r a为c产生的随机数,reqe  t为c的请求, c   c为c的加密证书, sigc{request}为c利用证书私钥对reqest的签名。

2)u i ap→c。r a, cer  uiap , s g uia (rsons )  e toke saml ) ,uia收到消息后首先验证用户证书有效性并验证请求签名;然后发送应答消息返回 。其中:  a为接收到的的随机数, ce t ui p 为uap的证书, sig

iap (re po  e)为uiap利用证书私钥对re pon e的签名,e c(tken saml 表示利用c的证书公钥加密的tokn saml 。

3 c→ui p。  将对iap的验证结果发给iap。  经过以上步骤客户端和ui p实现了双向身份认证和令牌协商,共享s am令牌tk e n am l 。

2系统关键技术与实现  2 1 soap消息机制  基于soa

的统一身份认证消息请求/响应过程包括4个阶段:服务请求者构造oap消息,服务提供者接收并解析sa消息,服务提供者响应并构造 a消息,服务使用者接收并解析s o ap消息。

 1)服务请求者构造sap消息。

客户端的sap请求内容为一个必需的o ap信封(sap n v  op 。 sap envlope是由一个可选的soap消息头(soapeade )和一个必须soap消息体sop body组成的xm文档。soa e  r是通信双方尚未预先达成一致的情况下,为消息增加特性的通用机制 soap boy为消息的最终接收者所需的信息提供了一个容器[ 9] 。

 s o ap请求如下: 程序前

 

 t  ng

 

程序后

 

其中ceckclie 是ua上被调用的方法参数为服务请求者的证书。  2服务提供者接收并解析soap 消息。

 u iap上处理soap请求的对象是ua 。uas接收到客户端发来的soa请求后解析报文,提取出请求的方法,将其映射为本地的组件调用,然后调用真正的应用程序,处理sap请求。

 3)服务提供者响应并构造s oap消息。  us从sap请求中解析出oa请求方法checclient,连接数据库,根据参数执行op请求。最后将执行结果加上soap enelo 信息得到对上述s oap请求的响应,包括sap响应头和s oap响应内容。so  ene ope的具体内容:

程序前 

    nt       程序后 

服务使用者接收并解析op 消息。  客户端接收到as的oap响应消息后分析sap响应,将结果返回给web服务器,eb服务器根据用户的身份信息加载显示内容,返回给客户端。

 .2 认证令牌的构造与颁发

采用am l令牌来解决 s e c ur  t y中存在的令牌不统一的问题,基于sm令牌请求和响应解决w security中存在的令牌颁发问题。由于s ml是可扩展的、开放的、基于ml的标准, saml能够用于不同安全性系统间的安全信息交换[ 0-11] 。通过 ml令牌能够以令牌的形式交换用户信息和授权信息。  sml令牌结构采用saml 2.0中声明的格式和专门的词汇,利用utentic  ons ate t元素进行构造。 aml令牌中的元素如下:i s r表示am令牌的颁发者;signature表示saml令牌的数

字签名;cod   i s表示sam令牌的有效期;athentictionsta ment表示认证声明用于编码用户的权限和属性;suj ct表示凭证拥有者的相关信息 ameidentif  er表示凭证拥有者的标识符;sub ectconf i rmat  on表示令牌颁发者与令牌拥有者间的关系;k in 表示凭证拥有者的相关密钥信息。 在soap消息中添加 ml令牌请求和s l令牌响应进行消息的交互,对于saml令牌的颁发, aml定义了sal令牌请求和响应协议。 aml令牌请求结构如图4()所示,在结构中   ues tye定义了令牌的类型,reqesttype定义了请求类型,包括请求s aml令牌和对aml令牌验证两种请求类型;apl   st o定义了用户请求访问服务的地址;  i fet me定义了saml令牌请求的有效期。 s am l令牌响应结构如图4(b)所示,在结构中, sl令牌响应包含a响应头部和 ml响应令牌。

2 3 部分代码实现  微软推出的开发环境vi u  stdio.net在业内被称为开发eb服务的首选工具1213。本文使用isa  tdio.nt环境和#语言实现身份认证wb服务的创建、发布和调用。

1)创建b服务。

运行visua stud o.net开发环境,建立“asp.ne  web服务”类型的项目saut。本文实现的wb服务驻留在esauth. mx文件中,其具体内容如下:

程序前

 

 codebhind指定实现web服务的代码文件为esbuth. smx. cs class指定具体实现web服务的类为 tse vice /esbauth. smx.cs文件的实现  public c as  ause v  ce: ystm web. s ri es ebserv  e  { ebmethod]

 pbli  int  ecc  ien (s rin crt)  { in esult=0;

 userd testus rb=n userdb ) ;   /isserexist为通过证书验证用户身份的方法i  (testue  b. isu rexist(   t))  {resu t= ; }

lse{re ult0; }ret n r slt;  }

 } 程序后

 2)发布web服务。

将项目esb th所在的目录esbauthpro c 复制到web服务器上,通过iis把目录e bauthpoj c 设置为虚拟目录,并设置r script和ead属性。   3调用wb服务。 使用eb服务的过程是wb服务的使用者绑定wb服务的提供者,并调用其方法的过程。eb服务的使用者首先通过url地址查找到web服务通过eb引用将wb引用添加到应用程序开发环境中,

VPS云服务器GT线路,KVM虚vps消息CloudCone美国洛杉矶便宜年付VPS云服务器补货14美元/年

近日CloudCone发布了最新的补货消息,针对此前新年闪购年付便宜VPS云服务器计划方案进行了少量补货,KVM虚拟架构,美国洛杉矶CN2 GT线路,1Gbps带宽,最低3TB流量,仅需14美元/年,有需要国外便宜美国洛杉矶VPS云服务器的朋友可以尝试一下。CloudCone怎么样?CloudCone服务器好不好?CloudCone值不值得购买?CloudCone是一家成立于2017年的美国服务器...

Fiberia.io:$2.9/月KVM-4GB/50GB/2TB/荷兰机房

Fiberia.io是个新站,跟ViridWeb.com同一家公司的,主要提供基于KVM架构的VPS主机,数据中心在荷兰Dronten。商家的主机价格不算贵,比如4GB内存套餐每月2.9美元起,采用SSD硬盘,1Gbps网络端口,提供IPv4+IPv6,支持PayPal付款,有7天退款承诺,感兴趣的可以试一试,年付有优惠但建议月付为宜。下面列出几款主机配置信息。CPU:1core内存:4GB硬盘:...

这几个Vultr VPS主机商家的优点造就商家的用户驱动力

目前云服务器市场竞争是相当的大的,比如我们在年中活动中看到各大服务商都找准这个噱头的活动发布各种活动,有的甚至就是平时的活动价格,只是换一个说法而已。可见这个行业确实竞争很大,当然我们也可以看到很多主机商几个月就消失,也有看到很多个人商家捣鼓几个品牌然后忽悠一圈跑路的。当然,个人建议在选择服务商的时候尽量选择老牌商家,这样性能更为稳定一些。近期可能会准备重新整理Vultr商家的一些信息和教程。以前...

身份证实名认证为你推荐
软银支付烧钱,玩家多,生态复杂,印度的移动支付大战有多火爆滴滴软银合资亚滴新能源跑滴滴怎么样?电脑管家和360哪个好360和电脑管家哪个好啊手机浏览器哪个好手机上的浏览器哪个比较好?华为p40和mate30哪个好Huawei Mate30 和 P40 哪个好?手动挡和自动挡哪个好自动挡手动挡哪个好?音乐播放器哪个好哪个音乐播放器最好电动牙刷哪个好飞利浦电动牙刷哪款好?求推荐视频软件哪个好安卓系统在线看视频软件哪个好51空间登录51空间,怎么添加啊?怎么登陆?
vps虚拟主机 备案域名出售 wavecom mach5 68.168.16.150 国外空间服务商 外国空间 2017年万圣节 国外空间 权嘉云 河南m值兑换 cdn联盟 国外代理服务器地址 免费申请个人网站 paypal注册教程 linux使用教程 789电视剧 彩虹云 512mb 丽萨 更多