SOA集成平台统一认证方法研究.ppt

SOA集成平台统一认证方法研究,http:/,东北师大理想信息技术研究院,答辩提纲,http:/,东北师大理想信息技术研究院,二、研究定位与目标,三、主要研究内容及创新点,四、软件实现情况,一、国内外研究现状与问题,答辩提纲,五、论文发表情况,http:/,东北师大理想信息技术研究院,1.国内外研究现状,一、国内外研究现状与问题,2.主要存在问题,http:/,东北师大理想信息技术研究院,（一）国内外研究现状,统一认证：国际上对于统一认证的研究比较成熟，越来越多的统一认证方案已被广泛的提出，目前己经初步形成了以微软公司和SUN公司为代表的两大阵营，其代表技术分别为基于Pass Port的身份验证规范和自由联盟(Liberty Alliance)网络身份验证规范。国内对于统一认证的研究近些年也取得了重大的进步，国家973计划里也把实现跨域跨机构、可移植、可信任和可扩展的认证授权与集成平台作为一个重点基础研究发展规划项目。国内一些行业如电信、金融，教育等行业也有相应研究发展。,http:/,东北师大理想信息技术研究院,（一）国内外研究现状,数据中间件技术：三种主流的数据交换中间件技术：微软公司解决数据交换开发的组件COMJava的远程调用RMI公共对象请求代理体系结构，简称为CORBAR技术,http:/,东北师大理想信息技术研究院,（一）国内外研究现状,数据安全相关技术：证书认证机制（CA）：由于互联网的普及，提供更加可靠的措施去保证数据免受黑客和不法行为的攻击显得非常的重要并且迫切。公钥证书体制是一种非常有效的安全保障机制。Kerberos认证机制：Kerberos在学术界和工业界都获得了广泛的支持，被众多系统选作身份认证的基础平台。目前主要的操作系统都支持Kerberos系统。,http:/,东北师大理想信息技术研究院,（二）存在的主要问题,由于大多服务来自于不同的厂商，“用户-权限”存储及逻辑结构可能存在差异，因此服务的集成是很困难的，目前缺少解决这一问题的有效方法。数据中间件技术大部分局限在自己的体系之内，对于异构应用系统的集成不能完全兼容。主流的统一认证安全保障机制都存在着不足。,http:/,东北师大理想信息技术研究院,二、研究定位及目标,研究定位：主要解决“用户-权限”的存储及逻辑结构标准不统一、统一认证安全保障机制不完善的问题。,研究目标：以东师理想信息化教育平台为背景，基于轻量级目录访问协议形成一套完整的统一认证方法及用户数据安全保障机制。,http:/,东北师大理想信息技术研究院,二、研究定位及目标,理论意义：对异构系统中集成方法进行了补充；对统一认证的安全保障机制进行了完善。现实意义：LDAP在统一认证中的应用能够迅速帮助服务请求者获得服务的使用权限，增强企业之间及企业内部的信息交互，缩短开发时间，获得更大的投资回报率。,http:/,东北师大理想信息技术研究院,三、主要研究内容及创新点,统一认证的总体设计异构系统“用户-权限”集成标准目录信息树的设计（创新点）统一认证安全机制（创新点）,http:/,东北师大理想信息技术研究院,（一）统一认证的总体设计,用户,Web服务器,统一认证系统,申请,LDAP服务器,应用系统,注册,(二)异构服务的注册方式,信息化教育平台订制了多个不同服务提供方提供的服务，针对异构服务中“用户-权限”存储方式及逻辑的不同，利用LDAP服务器中的LDIF文件作为标准接口，实现异构服务向LDAP服务器的注册。LDIF文件：DN:cn=Chenweichang,ou=users，dc=netobjectclass:topobjectclass:dcObjectobjectclass:Persono:Dsidealdc:Dsidealsn:mangotype：stuE-mail：Password:123456Role：managerPermission：allcn=mango,dc=Dsideal,dc=netobjectclass:organizationalRole,http:/,东北师大理想信息技术研究院,（二）目录信息树设计,通过目录信息树将用户的基本信息、角色、权限等分开存储。优点1：在目录信息树中将用户基本信息、角色、权限以 及系统的其它基本信息分开设计，既保证了设计的简便性，同时也提高了对树检索的效率。优点2：在关系型数据库中，用户和权限对应的设计模式在设计和管理上都非常的麻烦。用目录信息树将用户分组，同时将角色和权限绑定，使统一认证的设计开发更加简便清晰。优点3：异构系统可以通过LDIF文件向LDAP服务器注册，由于LDIF文件是标准通用格式，这种方式简单、高效。,（三）目录信息树设计,http:/,东北师大理想信息技术研究院,针对教育化信息平台应用服务众多，用户群体庞大的特点，通过目录信息树将用户的基本信息、角色、权限等分开存储。,DC=Nenu，dc=edu，dc=cn,http:/,东北师大理想信息技术研究院,（三）目录信息树设计,设计特点：,http:/,东北师大理想信息技术研究院,（四）统一认证安全机制,在证书认证的基础之上，在CA系统中加入目录服务器，增加了认证的安全性，同时又降低了CA系统的负载量。,注册认证中心,客户端浏览器,CA服务器,LDAP服务器（ID，权限，角色等属性信息都进行分组）,ID，公钥，数字签名,ID，公钥,ID,属性证书,申请,应用系统,访问,数字证书,数字证书,返回,http:/,东北师大理想信息技术研究院,（四）统一认证安全机制,客户端向LDAP服务器认证的形式化表示：,请求者,LDAP服务器,Ldap_contact(host,port),返回succ,Ldap_simple_bind(succ,ID,pw),返回一个msg,Ldap_add(succ，DN，mods),返回一个msgid,Ldap_result（succ，msgid，result),返回ldap message,Ldap_unbind(succ),四、软件实现情况,开发环境：操作系统-windows2003 开发工具-MyEclipse6.0 目录服务器-OpenLDAP 开发语言-JAVA（后台）JSP（前台）,四、软件实现情况,四、软件实现情况,四、软件实现情况,五、论文发表情况,东北师大理想信息技术研究院,