1、隨著因特網(wǎng)技術(shù)的迅速發(fā)展，基于因特網(wǎng)的應(yīng)用模式也在不斷演變。越來(lái)越多的企業(yè)和政府部門(mén)依賴(lài)因特網(wǎng)來(lái)發(fā)布信息與提供服務(wù)，并構(gòu)建跨企業(yè)的虛擬組織或虛擬企業(yè)以實(shí)現(xiàn)大規(guī)模資源共享。 Web Service是當(dāng)前最流行的異構(gòu)分布技術(shù)，它建立在開(kāi)放和標(biāo)準(zhǔn)的規(guī)范之上，允許異構(gòu)的客戶(hù)端調(diào)用它所提供的服務(wù)。一個(gè)典型的Web Service實(shí)現(xiàn)可以充分利用多種不同的技術(shù)、對(duì)象模型以及編程語(yǔ)言。Web Service采用了SOAP、HTTP和XML技術(shù)

2、來(lái)實(shí)現(xiàn)，因而它具有在不同的環(huán)境下實(shí)現(xiàn)互操作的特點(diǎn)。Web Service的出現(xiàn)使得企業(yè)與其合作伙伴、客戶(hù)、員工之間的信息交流變得更加的密切。 出于降低安全風(fēng)險(xiǎn)和保護(hù)服務(wù)資源的考慮，企業(yè)一般都把所提供的WebService的應(yīng)用限制在本企業(yè)內(nèi)部。內(nèi)部用戶(hù)訪問(wèn)企業(yè)服務(wù)，通過(guò)用戶(hù)名和口令方式進(jìn)行身份鑒別。當(dāng)企業(yè)服務(wù)存在多個(gè)應(yīng)用服務(wù)系統(tǒng)時(shí)，各個(gè)應(yīng)用系統(tǒng)完全有可能由不同的組織開(kāi)發(fā)，如果各應(yīng)用系統(tǒng)采用各自的用戶(hù)和權(quán)限管理的方式進(jìn)行處理的話(huà)

3、，那么整個(gè)服務(wù)系統(tǒng)的管理和維護(hù)將是非常的復(fù)雜和麻煩。同時(shí)，系統(tǒng)中一個(gè)用戶(hù)存在多個(gè)口令和用戶(hù)描述信息的情況也存在巨大的安全風(fēng)險(xiǎn)。針對(duì)這樣的安全和管理問(wèn)題，一般都采用統(tǒng)一身份鑒別的方案來(lái)解決。 本文根據(jù)Web Service實(shí)際應(yīng)用的安全需求，研究了基于SAML標(biāo)準(zhǔn)和CPK機(jī)制的統(tǒng)一身份鑒別技術(shù)。通過(guò)研究Web Service相關(guān)技術(shù)以及SAML標(biāo)準(zhǔn)，提出了改進(jìn)的統(tǒng)一身份鑒別服務(wù)模型，并給出了該統(tǒng)一身份鑒別服務(wù)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)。整個(gè)

4、統(tǒng)一身份鑒別服務(wù)劃分為四大模塊，分別為身份鑒別模塊，信息查詢(xún)模塊，訪問(wèn)控制模塊以及管理模塊。身份鑒別模塊的主要功能是完成對(duì)用戶(hù)身份的集中驗(yàn)證，并在驗(yàn)證成功后返回給用戶(hù)一個(gè)基于SAML斷言的身份令牌以供用戶(hù)訪問(wèn)其他具有相互信任關(guān)系的服務(wù)，這樣，在用戶(hù)訪問(wèn)其他服務(wù)時(shí)，這個(gè)服務(wù)端即可以根據(jù)這個(gè)令牌得知用戶(hù)的身份與屬性信息，從而進(jìn)行訪問(wèn)控制的判決。信息查詢(xún)模塊的主要功能是提供查詢(xún)用戶(hù)身份屬性信息和鑒別信息的接口，便于服務(wù)端或者管理員查詢(xún)使用。訪

5、問(wèn)控制模塊的主要功能是根據(jù)用戶(hù)訪問(wèn)服務(wù)時(shí)發(fā)來(lái)的SAML令牌，解析并進(jìn)行策略判斷處理，向用戶(hù)返回訪問(wèn)控制判決信息。管理模塊的主要功能則是為管理員提供一個(gè)管理用戶(hù)身份信息與角色信息的接口，便于用戶(hù)信息的更新、增加、刪除等。本文還設(shè)計(jì)了基于SAML標(biāo)準(zhǔn)的各個(gè)模塊的輸入輸出參數(shù)，虛擬了一套企業(yè)人事組織系統(tǒng)，并使用Web Service開(kāi)發(fā)工具開(kāi)發(fā)和發(fā)布了各個(gè)模塊的服務(wù)。出于安全方面的考慮，本文研究了基于橢圓曲線的CPK機(jī)制并在此基礎(chǔ)上用VC實(shí)現(xiàn)