基于SAML和PMI的認證授權(quán)機制的研究與應(yīng)用.pdf

1、隨著信息技術(shù)的不斷快速發(fā)展，許多企業(yè)和機構(gòu)在日常業(yè)務(wù)中都引入了各類信息化應(yīng)用系統(tǒng)。多樣化的應(yīng)用系統(tǒng)在提高效率、降低成本的同時也帶來了一些問題。特別是由于多應(yīng)用系統(tǒng)相互獨立且處在不同的域下，使得用戶認證變得復(fù)雜、權(quán)限管理變得混亂，這種狀況在電子政務(wù)系統(tǒng)中尤為常見。因此，對跨域用戶的認證和集中授權(quán)的研究具有十分重要的意義和實用價值。
　　 本文首先研究用戶認證授權(quán)中所涉及的前沿技術(shù)，然后對現(xiàn)有單點登錄模型進行分析，并指出各模型在解決

2、用戶統(tǒng)一認證與集中授權(quán)中的不足。根據(jù)以上研究分析提出一種基于SAML和PMI的認證授權(quán)機制。該機制利用PKI的CA認證機構(gòu)完成用戶的統(tǒng)一認證、PMI的SOA授權(quán)管理中心對用戶進行集中的權(quán)限管理。結(jié)合PKI和PMI的層次結(jié)構(gòu)，設(shè)計采用交叉證書的方式完成用戶對跨域系統(tǒng)的安全訪問。與此同時，抽象出該機制的數(shù)據(jù)模型，給出了模型中各個實體的具體含義以及之間的關(guān)系。從認證管理、授權(quán)管理、資源注冊服務(wù)、信息維護管理、驗證登出管理等五個方面給出了該機制

3、的功能模型。為確保認證授權(quán)信息的安全傳輸,本機制采用擴展的SSL協(xié)議進行數(shù)據(jù)的傳輸。
　　 然后，以某市財政局政務(wù)信息系統(tǒng)為應(yīng)用背景，對該局各類政務(wù)信息系統(tǒng)的用戶認證和權(quán)限管理現(xiàn)狀進行分析，利用基于SAML和PMI的認證授權(quán)機制開發(fā)了一套政務(wù)認證授權(quán)系統(tǒng)，對整個系統(tǒng)從用戶認證、授權(quán)管理、跨域、單點登出管理以及數(shù)據(jù)庫等五個方面進行具體的設(shè)計。實現(xiàn)了系統(tǒng)的用戶認證模塊、授權(quán)模塊和用戶信息管理模塊，將該局各類信息系統(tǒng)的用戶認證和權(quán)限管