基于SAML和PMI的認(rèn)證授權(quán)機(jī)制的研究與應(yīng)用.pdf

1、隨著信息技術(shù)的不斷快速發(fā)展，許多企業(yè)和機(jī)構(gòu)在日常業(yè)務(wù)中都引入了各類信息化應(yīng)用系統(tǒng)。多樣化的應(yīng)用系統(tǒng)在提高效率、降低成本的同時也帶來了一些問題。特別是由于多應(yīng)用系統(tǒng)相互獨(dú)立且處在不同的域下，使得用戶認(rèn)證變得復(fù)雜、權(quán)限管理變得混亂，這種狀況在電子政務(wù)系統(tǒng)中尤為常見。因此，對跨域用戶的認(rèn)證和集中授權(quán)的研究具有十分重要的意義和實(shí)用價(jià)值。
　　 本文首先研究用戶認(rèn)證授權(quán)中所涉及的前沿技術(shù)，然后對現(xiàn)有單點(diǎn)登錄模型進(jìn)行分析，并指出各模型在解決

2、用戶統(tǒng)一認(rèn)證與集中授權(quán)中的不足。根據(jù)以上研究分析提出一種基于SAML和PMI的認(rèn)證授權(quán)機(jī)制。該機(jī)制利用PKI的CA認(rèn)證機(jī)構(gòu)完成用戶的統(tǒng)一認(rèn)證、PMI的SOA授權(quán)管理中心對用戶進(jìn)行集中的權(quán)限管理。結(jié)合PKI和PMI的層次結(jié)構(gòu)，設(shè)計(jì)采用交叉證書的方式完成用戶對跨域系統(tǒng)的安全訪問。與此同時，抽象出該機(jī)制的數(shù)據(jù)模型，給出了模型中各個實(shí)體的具體含義以及之間的關(guān)系。從認(rèn)證管理、授權(quán)管理、資源注冊服務(wù)、信息維護(hù)管理、驗(yàn)證登出管理等五個方面給出了該機(jī)制

3、的功能模型。為確保認(rèn)證授權(quán)信息的安全傳輸,本機(jī)制采用擴(kuò)展的SSL協(xié)議進(jìn)行數(shù)據(jù)的傳輸。
　　 然后，以某市財(cái)政局政務(wù)信息系統(tǒng)為應(yīng)用背景，對該局各類政務(wù)信息系統(tǒng)的用戶認(rèn)證和權(quán)限管理現(xiàn)狀進(jìn)行分析，利用基于SAML和PMI的認(rèn)證授權(quán)機(jī)制開發(fā)了一套政務(wù)認(rèn)證授權(quán)系統(tǒng)，對整個系統(tǒng)從用戶認(rèn)證、授權(quán)管理、跨域、單點(diǎn)登出管理以及數(shù)據(jù)庫等五個方面進(jìn)行具體的設(shè)計(jì)。實(shí)現(xiàn)了系統(tǒng)的用戶認(rèn)證模塊、授權(quán)模塊和用戶信息管理模塊，將該局各類信息系統(tǒng)的用戶認(rèn)證和權(quán)限管