令牌基于esb的统一身份认证系统设计与实现

身份证实名认证  时间:2021-01-25  阅读:()

基于EB的统一身份认证系统设计与实现

文章编号: 10 1-981 2012)01-0504 do  :1  .3 4/sp. j  87. 20 2.0052 摘要:异构的信息系统由于具有各自独立的身份认证和用户管理模块,存在着用户身份不一致、信息重复应用系统无法整合、安全性差等问题。为此提出了一种基于统一的数据交换标准和接口标准,将不同的用户管理模块和认证模块进行集成的方法,设计了系统模型、交互流程和认证协议,实现了基于企业服务总线(esb的统一身份认证系统。实验结果表明,系统能有效地避免身份认证逻辑的重复和数据的冗余,提高认证的效率和系统资源的利用率。

关键词:企业服务总线;面向服务的体系结构;统一身份认证平台;简单对象访问协议

中图分类号 t3 9.  文献标志码:a

   bs ract:te self go rned idnt    athentication ad use  mangement l ad to different denti y, redun nt infrt o, elf g  rned ystem and ba ecu  ty in hteroeeosinf mtion sstems. a new method of integra in bse n uifodta exhang stan r andinterfac standard e peci  y the system moel, dta flow ad athe   cation p  toco ere pt

forwrd.  rthrmore, a un   rm iden it aut nti at o systm bsed on ent rpr  s  servi e bus(esb) a ralize. te xpr ental result show th  the sys em a aoid re nant auhntic  in logic nd data, and it als nace authenticati n e i  i ncy a  mkes th bes   e of the avilabl  resoures   key words:ente pri  ervice bus (e  ) ; servi   orient d rchite tur (soa ; uni or i ti y au entictio platform (u a ; simp  e obj    ace   potoco  oa) 

 0引言  随着计算机和网络应用的快速发展,企业、院校、机关等单位的信息系统日益增多,各个信息系统之间的数据、流程相互间关联的需求也越来越多。由于创建的时间不同、面对的需求不同,这些信息系统在技术体系结构、操作系统平台、编程语言等方面往往是异构的[1] 。这些异构的信息系统在设计时,往往从自身需求出发设计独立的身份认证和用户管理模块,随着信息系统的不断增多,这种传统的认证机制逐渐暴露出用户信息无法统一、信息重复、身份不一致应用系统无法整合、系统安全性差,用户操作复杂、维护难度大等问题[2-。

软件架构的发展,尤其是面向服务的体系结构servi e oieted rchitectr  soa)的兴起为异构系统之间的松耦合

集成创造了条件[-5] 。本文基于we s rvi  技术实现so架构下的身份认证,采用统一的数据交换标准和接口标准,将不同的用户管理模块和认证模块集成在统一的平台上,实现各异构系统的统一身份认证,管理方式简单、统一,避免了信息冗余和信息孤岛造成的系统间不一致性。采用基于证书的身份认证管理机制,对应用系统的访问进行统一控制,增强了系统的安全性。

   1基于esb的统一身份认证系统设计

 1.  系统模型

企业服务总线(n erprise e vice us,esb是传统中间件技术与可扩展标记语言 x  si  e mak  laguae ml) 、 web ervic等技术结合的产物用于基于s的解决方案的实现[  。 esb提供信息格式的转换以实现应用服务的无缝集成,它可以消除不同应用之间的技术差异,让不同的应用服务协调运作,实现不同服务之间的通信与整合。

本文设计的基于esb的统一身份认证模型如图1所示。

基于es的统一身份认证模型主要包括统一身份认证平台un f m ident    aut  t  cat on latfo m,uia) 、客户端、应用服务器和esb。 ui 、客户端、应用服务器和 b之间通过简单对象访问协议(  imp  e bject acess proocol,  ap)进行通信。

 esb是客户端、应用服务器与 a的中介,客户端与应用服务器通过sb调用u a的服务。 u  p通过标准接口发布服务,

采用soap封装请求和响应。当sb收到应用客户端和应用服务器的服务请求时, sb查找请求的服务并返回给客户端和应用服务器。

在esb中,服务执行引擎用于客户端和应用服务器请求服务的发现、选择、编排等功能。服务适配器主要实现不同格式的消息协议转换。服务路由器用于完成客户端和应用服务器请求服务的发现、绑定、调用等操作。服务监控器可以对服务运行的状态进行监控和管理。服务注册中心提供服务的查找和注册功能。

 1 2 交互流程设计   web服务描述语言(web  rvicedescriptio lanuge w dl)和soap是sa互操作性的基础7 u p采用wsl描述服务接口客户端、应用服务器和uiap之间通过基于ws s c ity加密的sap消息进行通信。

 1)客户端与i p的交互流程。  客户端通过统一认证服务uniforathe  ic  ion seri  , as)完成与ui p的交互,用户利用用户凭证在web门户登录 we门户向统一认证服务请求认证,身份认证成功后,统一认证服务创建安全断言标记语言( ecr y a s rtio arkup laguge, sam 令牌,并返回saml令牌给用户,用户就可以携带这个m令牌访问服务。客户端与uiap的交互流程如图2所示。  2)应用服务器与ui  的交互流程。  用户携带s ml令牌访问应用服务器,决策执行点 o   cy  forcement oint,pep)把用户的al令牌交给策略决策点po   cydcisi n poin

  dp)进行验证,pd根据用户s l令牌及相关参数对用户进行授权并把响应结果发送给用户。应用服务器与u i ap的交互流程如图3所示。 

 1. 3基于证书的统一认证协议  客户端( liet, c)与u a之间基于证书的统一认证协议具体步骤如下。

1c→uia 。  r a,rqes  ,ce     sig c{reqest ,c向uiap并发送认证请求。其中 r a为c产生的随机数,reqe  t为c的请求, c   c为c的加密证书, sigc{request}为c利用证书私钥对reqest的签名。

2)u i ap→c。r a, cer  uiap , s g uia (rsons )  e toke saml ) ,uia收到消息后首先验证用户证书有效性并验证请求签名;然后发送应答消息返回 。其中:  a为接收到的的随机数, ce t ui p 为uap的证书, sig

iap (re po  e)为uiap利用证书私钥对re pon e的签名,e c(tken saml 表示利用c的证书公钥加密的tokn saml 。

3 c→ui p。  将对iap的验证结果发给iap。  经过以上步骤客户端和ui p实现了双向身份认证和令牌协商,共享s am令牌tk e n am l 。

2系统关键技术与实现  2 1 soap消息机制  基于soa

的统一身份认证消息请求/响应过程包括4个阶段:服务请求者构造oap消息,服务提供者接收并解析sa消息,服务提供者响应并构造 a消息,服务使用者接收并解析s o ap消息。

 1)服务请求者构造sap消息。

客户端的sap请求内容为一个必需的o ap信封(sap n v  op 。 sap envlope是由一个可选的soap消息头(soapeade )和一个必须soap消息体sop body组成的xm文档。soa e  r是通信双方尚未预先达成一致的情况下,为消息增加特性的通用机制 soap boy为消息的最终接收者所需的信息提供了一个容器[ 9] 。

 s o ap请求如下: 程序前

 

 t  ng

 

程序后

 

其中ceckclie 是ua上被调用的方法参数为服务请求者的证书。  2服务提供者接收并解析soap 消息。

 u iap上处理soap请求的对象是ua 。uas接收到客户端发来的soa请求后解析报文,提取出请求的方法,将其映射为本地的组件调用,然后调用真正的应用程序,处理sap请求。

 3)服务提供者响应并构造s oap消息。  us从sap请求中解析出oa请求方法checclient,连接数据库,根据参数执行op请求。最后将执行结果加上soap enelo 信息得到对上述s oap请求的响应,包括sap响应头和s oap响应内容。so  ene ope的具体内容:

程序前 

    nt       程序后 

服务使用者接收并解析op 消息。  客户端接收到as的oap响应消息后分析sap响应,将结果返回给web服务器,eb服务器根据用户的身份信息加载显示内容,返回给客户端。

 .2 认证令牌的构造与颁发

采用am l令牌来解决 s e c ur  t y中存在的令牌不统一的问题,基于sm令牌请求和响应解决w security中存在的令牌颁发问题。由于s ml是可扩展的、开放的、基于ml的标准, saml能够用于不同安全性系统间的安全信息交换[ 0-11] 。通过 ml令牌能够以令牌的形式交换用户信息和授权信息。  sml令牌结构采用saml 2.0中声明的格式和专门的词汇,利用utentic  ons ate t元素进行构造。 aml令牌中的元素如下:i s r表示am令牌的颁发者;signature表示saml令牌的数

字签名;cod   i s表示sam令牌的有效期;athentictionsta ment表示认证声明用于编码用户的权限和属性;suj ct表示凭证拥有者的相关信息 ameidentif  er表示凭证拥有者的标识符;sub ectconf i rmat  on表示令牌颁发者与令牌拥有者间的关系;k in 表示凭证拥有者的相关密钥信息。 在soap消息中添加 ml令牌请求和s l令牌响应进行消息的交互,对于saml令牌的颁发, aml定义了sal令牌请求和响应协议。 aml令牌请求结构如图4()所示,在结构中   ues tye定义了令牌的类型,reqesttype定义了请求类型,包括请求s aml令牌和对aml令牌验证两种请求类型;apl   st o定义了用户请求访问服务的地址;  i fet me定义了saml令牌请求的有效期。 s am l令牌响应结构如图4(b)所示,在结构中, sl令牌响应包含a响应头部和 ml响应令牌。

2 3 部分代码实现  微软推出的开发环境vi u  stdio.net在业内被称为开发eb服务的首选工具1213。本文使用isa  tdio.nt环境和#语言实现身份认证wb服务的创建、发布和调用。

1)创建b服务。

运行visua stud o.net开发环境,建立“asp.ne  web服务”类型的项目saut。本文实现的wb服务驻留在esauth. mx文件中,其具体内容如下:

程序前

 

 codebhind指定实现web服务的代码文件为esbuth. smx. cs class指定具体实现web服务的类为 tse vice /esbauth. smx.cs文件的实现  public c as  ause v  ce: ystm web. s ri es ebserv  e  { ebmethod]

 pbli  int  ecc  ien (s rin crt)  { in esult=0;

 userd testus rb=n userdb ) ;   /isserexist为通过证书验证用户身份的方法i  (testue  b. isu rexist(   t))  {resu t= ; }

lse{re ult0; }ret n r slt;  }

 } 程序后

 2)发布web服务。

将项目esb th所在的目录esbauthpro c 复制到web服务器上,通过iis把目录e bauthpoj c 设置为虚拟目录,并设置r script和ead属性。   3调用wb服务。 使用eb服务的过程是wb服务的使用者绑定wb服务的提供者,并调用其方法的过程。eb服务的使用者首先通过url地址查找到web服务通过eb引用将wb引用添加到应用程序开发环境中,

racknerd新上架“洛杉矶”VPS$29/年,3.8G内存/3核/58gSSD/5T流量

racknerd发表了2021年美国独立日的促销费用便宜的vps,两种便宜的美国vps位于洛杉矶multacom室,访问了1Gbps的带宽,采用了solusvm管理,硬盘是SSDraid10...近两年来,racknerd的声誉不断积累,服务器的稳定性和售后服务。官方网站:https://www.racknerd.com多种加密数字货币、信用卡、PayPal、支付宝、银联、webmoney,可以付...

Puaex:香港vds,wtt套餐,G口带宽不限流量;可解流媒体,限量补货

puaex怎么样?puaex是一家去年成立的国人商家,本站也分享过几次,他家主要销售香港商宽的套餐,给的全部为G口带宽,而且是不限流量的,目前有WTT和HKBN两种线路的方面,虽然商家的价格比较贵,但是每次补一些货,就会被抢空,之前一直都是断货的状态,目前商家进行了补货,有需要这种类型机器的朋友可以入手。点击进入:puaex商家官方网站Puaex香港vds套餐:全部为KVM虚拟架构,G口的带宽,可...

欧路云:美国CUVIP线路10G防御,8折优惠,19元/月起

欧路云新上了美国洛杉矶cera机房的云服务器,具备弹性云特征(可自定义需要的资源配置:E5-2660 V3、内存、硬盘、流量、带宽),直连网络(联通CUVIP线路),KVM虚拟,自带一个IP,支持购买多个IP,10G的DDoS防御。付款方式:PayPal、支付宝、微信、数字货币(BTC USDT LTC ETH)测试IP:23.224.49.126云服务器 全场8折 优惠码:zhujiceping...

身份证实名认证为你推荐
登陆qq空间首页qq空间登陆首页苹果手机助手哪个好iphone有什么比较好用的软件!oppo和vivo哪个好Vivo和OPPO哪个好点啊?云盘哪个好免费的网盘哪个实用?qq空间登录网页版网页版QQ怎么登陆51个人空间登录51个人空间怎么申请???qq空间登录不了为什么我的QQ空间登陆不上?东莞电信网上营业厅东莞虎门电信营业厅360云盘官网是不是一定要注册360帐号才能登陆360云盘?广东联通彩铃联通彩铃网站12530
winhost java主机 omnis 腾讯云数据库 512av 账号泄露 服务器cpu性能排行 数字域名 双11秒杀 t云 360云服务 中国电信测速网站 西安主机 江苏双线 中国电信宽带测速 服务器防御 九零网络 web是什么意思 linux服务器系统 阿里云宕机故障 更多