SAML和XACML在企業(yè)應用集成中的應用研究.pdf

1、企業(yè)應用集成是通過硬件、軟件、標準和業(yè)務(wù)過程的結(jié)合，實現(xiàn)兩個或多個企業(yè)應用系統(tǒng)之間的無縫聯(lián)結(jié)，使其像一個整體一樣進行業(yè)務(wù)信息處理，從而使企業(yè)業(yè)務(wù)流程的各個環(huán)節(jié)達到協(xié)調(diào)運轉(zhuǎn)、效率優(yōu)化，最終實現(xiàn)企業(yè)效益的提高。 傳統(tǒng)的企業(yè)應用集成基于特定的技術(shù)和協(xié)議，極大地增加了不同應用系統(tǒng)之間共享數(shù)據(jù)和信息的難度。Web Service技術(shù)與生俱來的跨平臺性，使其成為解決傳統(tǒng)企業(yè)應用集成架構(gòu)中互用性問題的最佳方案。但是，由于Web Service

2、采用通用的數(shù)據(jù)格式和通訊協(xié)議，給企業(yè)的數(shù)據(jù)和信息安全帶來了威脅。因此，在基于Web Service的企業(yè)應用系統(tǒng)集成過程中，為保證企業(yè)業(yè)務(wù)數(shù)據(jù)和信息的安全，用戶身份認證和訪問控制是至關(guān)重要的一個部分。 本文在深入分析和研究基于Web Service的企業(yè)應用集成技術(shù)的基礎(chǔ)上，提出了一個結(jié)合SAML和XACML的企業(yè)應用集成架構(gòu)模型。該模型利用WebService封裝業(yè)務(wù)系統(tǒng)功能來提供跨平臺的訪問，利用SAML單點登錄來對用戶身份

3、進行認證，利用XACML對用戶進行授權(quán)和訪問控制。 在身份認證方面，為簡化SAML單點登錄在企業(yè)應用集成平臺中的配置過程，并保持與SAML規(guī)范的兼容性，本文利用XML的可擴展性，設(shè)計了一種將發(fā)送方的公鑰嵌入SAML斷言中的方法，使服務(wù)提供方和標識提供方的安全信息交換能夠自動配置和即時更新。 在訪問控制方面，目前的XACML規(guī)范中，只提供了RBAC標準中核心模型和層次模型的授權(quán)策略描述，而不支持角色限制、職責分離等要素，使

4、XACML訪問控制框架的推廣受到了一定的限制。因此，本文設(shè)計了一種用戶角色激活和狀態(tài)記錄機制來擴展XACML訪問控制框架，使其支持上述功能。 根據(jù)對系統(tǒng)模型的分析和研究，本文給出了企業(yè)應用集成平臺的整體設(shè)計，同時對認證服務(wù)模塊、授權(quán)服務(wù)模塊、Web服務(wù)代理模塊、系統(tǒng)管理模塊和消息日志模塊進行了實現(xiàn)，對其中涉及到的關(guān)鍵技術(shù)和算法給予了詳細介紹。 最后，本文結(jié)合應用實例，詳細闡述了基于企業(yè)應用集成平臺的業(yè)務(wù)系統(tǒng)的設(shè)計、開發(fā)和