SAML和XACML在企業(yè)應用集成中的應用研究.pdf

1、企業(yè)應用集成是通過硬件、軟件、標準和業(yè)務過程的結合，實現(xiàn)兩個或多個企業(yè)應用系統(tǒng)之間的無縫聯(lián)結，使其像一個整體一樣進行業(yè)務信息處理，從而使企業(yè)業(yè)務流程的各個環(huán)節(jié)達到協(xié)調運轉、效率優(yōu)化，最終實現(xiàn)企業(yè)效益的提高。 傳統(tǒng)的企業(yè)應用集成基于特定的技術和協(xié)議，極大地增加了不同應用系統(tǒng)之間共享數(shù)據(jù)和信息的難度。Web Service技術與生俱來的跨平臺性，使其成為解決傳統(tǒng)企業(yè)應用集成架構中互用性問題的最佳方案。但是，由于Web Service

2、采用通用的數(shù)據(jù)格式和通訊協(xié)議，給企業(yè)的數(shù)據(jù)和信息安全帶來了威脅。因此，在基于Web Service的企業(yè)應用系統(tǒng)集成過程中，為保證企業(yè)業(yè)務數(shù)據(jù)和信息的安全，用戶身份認證和訪問控制是至關重要的一個部分。 本文在深入分析和研究基于Web Service的企業(yè)應用集成技術的基礎上，提出了一個結合SAML和XACML的企業(yè)應用集成架構模型。該模型利用WebService封裝業(yè)務系統(tǒng)功能來提供跨平臺的訪問，利用SAML單點登錄來對用戶身份

3、進行認證，利用XACML對用戶進行授權和訪問控制。 在身份認證方面，為簡化SAML單點登錄在企業(yè)應用集成平臺中的配置過程，并保持與SAML規(guī)范的兼容性，本文利用XML的可擴展性，設計了一種將發(fā)送方的公鑰嵌入SAML斷言中的方法，使服務提供方和標識提供方的安全信息交換能夠自動配置和即時更新。 在訪問控制方面，目前的XACML規(guī)范中，只提供了RBAC標準中核心模型和層次模型的授權策略描述，而不支持角色限制、職責分離等要素，使

4、XACML訪問控制框架的推廣受到了一定的限制。因此，本文設計了一種用戶角色激活和狀態(tài)記錄機制來擴展XACML訪問控制框架，使其支持上述功能。 根據(jù)對系統(tǒng)模型的分析和研究，本文給出了企業(yè)應用集成平臺的整體設計，同時對認證服務模塊、授權服務模塊、Web服務代理模塊、系統(tǒng)管理模塊和消息日志模塊進行了實現(xiàn)，對其中涉及到的關鍵技術和算法給予了詳細介紹。 最后，本文結合應用實例，詳細闡述了基于企業(yè)應用集成平臺的業(yè)務系統(tǒng)的設計、開發(fā)和