基于SAML和PMI的認證授權機制的研究與應用.pdf

1、隨著信息技術的不斷快速發(fā)展，許多企業(yè)和機構在日常業(yè)務中都引入了各類信息化應用系統(tǒng)。多樣化的應用系統(tǒng)在提高效率、降低成本的同時也帶來了一些問題。特別是由于多應用系統(tǒng)相互獨立且處在不同的域下，使得用戶認證變得復雜、權限管理變得混亂，這種狀況在電子政務系統(tǒng)中尤為常見。因此，對跨域用戶的認證和集中授權的研究具有十分重要的意義和實用價值。
　　 本文首先研究用戶認證授權中所涉及的前沿技術，然后對現(xiàn)有單點登錄模型進行分析，并指出各模型在解決

2、用戶統(tǒng)一認證與集中授權中的不足。根據(jù)以上研究分析提出一種基于SAML和PMI的認證授權機制。該機制利用PKI的CA認證機構完成用戶的統(tǒng)一認證、PMI的SOA授權管理中心對用戶進行集中的權限管理。結合PKI和PMI的層次結構，設計采用交叉證書的方式完成用戶對跨域系統(tǒng)的安全訪問。與此同時，抽象出該機制的數(shù)據(jù)模型，給出了模型中各個實體的具體含義以及之間的關系。從認證管理、授權管理、資源注冊服務、信息維護管理、驗證登出管理等五個方面給出了該機制

3、的功能模型。為確保認證授權信息的安全傳輸,本機制采用擴展的SSL協(xié)議進行數(shù)據(jù)的傳輸。
　　 然后，以某市財政局政務信息系統(tǒng)為應用背景，對該局各類政務信息系統(tǒng)的用戶認證和權限管理現(xiàn)狀進行分析，利用基于SAML和PMI的認證授權機制開發(fā)了一套政務認證授權系統(tǒng)，對整個系統(tǒng)從用戶認證、授權管理、跨域、單點登出管理以及數(shù)據(jù)庫等五個方面進行具體的設計。實現(xiàn)了系統(tǒng)的用戶認證模塊、授權模塊和用戶信息管理模塊，將該局各類信息系統(tǒng)的用戶認證和權限管