Computer Era No. 9 2006
0
引言
随着信息化进一步发展, 企业内新增的应用系统越来越
多, 部署这些应用系统面临双重的安全挑战: 首先, 必须保证只
有合法的用户才能访问相应的应用资源; 其次, 实施安全保护
措施时应尽量避免增加用户的负担。因为随着业务系统的增
加
, 访问不同的应用系统采用不同的口令, 导致每个用户需要
记住多个口令, 用户每访问一个应用资源都需要登录一次, 大
大降低了工作效率。针对这个问题
,
本文在基于
Web
服务的分
布式环境中, 利用
ASP.NET
技术设计实现了跨企业内部应用
系统边界的单点登录机制。该单点登录机制内嵌于门户系统
,
提供了安全的第三方接口, 用于将后来开发的应用系统注册到
门户系统, 用户只需登录门户系统即可使用授权的其他应用系
统的功能。
1
当前几种单点登录技术
所谓单点登录(
Single Sign- on,
以下简称
SSO
) , 就是指当
用户访问多个需要进行认证的应用系统时, 只需要在初始进
行一次登录和身份认证, 就可以访问其具有权限的任何系统,
而不需要再次登录, 后续系统会自动获得用户信息, 从而识别
出用户身份。单点登录系统把原来分散的用户管理集中起来,
各系统依靠相互信赖的关系进行用户身份的认证。由于用户
的信息是集中保存和管理的, 管理员只需在一个统一的用户
信息数据库中添加、删除用户账号, 不必在多个系统中分别设
置用户信息数据库
, 从而提高了整个系统的安全性, 也方便了
系统管理。
目前单点登录技术主要分为以下几类
[3]
:
⑴
基于经纪人的方案(
Broker_Based SSO
) 引入一个可
信的第三方作为经纪人, 如集中式认证服务器。这种方案最突
出的例子是
Kerberos
认证系统。该方案由三部分组成: 支持认
证服务的客户端、认证服务器、支持认证服务的应用服务器。其
中
, 认证服务器扮演着经纪人的角色, 所有的认证都是由它来
完成的。其工作流程是: 所有的客户机在访问系统资源之前由
认证服务器进行身份验证
, 为提高系统安全性可采用相互认证
方式。当用户通过身份验证后, 认证服务器返回给用户一个电
子身份标识
, 用户通过该电子身份标识去访问其它应用服务
器, 从而实现单点登录。
Boker_Based SSO
方案的主要优点是
有一个中央用户数据库
,
易于对用户数据进行管理和信息的维
护。主要缺点是需要修改原有应用
, 来适应所采用的认证机制,
而对于旧系统的改造, 是项艰巨的工作。
⑵
基于代理的方案(
Agent_Based SSO
) 这是一种软件实
现方式, 被称为“代理”的程序可以运行在客户端或者服务器上,
作为用户与应用服务器之间的通信中转站。若
Agent
部署在客
户端
, 它能装载获得用户名
/
口令列表, 自动替用户完成登录过
程, 减轻客户端程序的认证负担。若
Agent
部署在服务器端, 它
就是服务器的认证系统和客户端认证方法之间的“翻译”。当软
件 供 应 商 提 供 了 大 量 的 与 原 有 应 用 程 序 通 信 的
agent
时 ,
Agent_based SSO
方案可使应用迁移变得十分容易。缺点是需要
针对每个应用系统提供相对应的代理插件, 实施和维护相对复
杂
, 不仅要考虑用户的身份信息, 还需增加各个代理本身的身份
信息和设置各个代理软件的权限, 因此管理控制相对困难。
⑶
基于网关的方案 (
Gateway_Based SSO
) 在网络入口
处设置防火墙或专用加密通信设备作为网关
, 而资源则被隔离
在受信网段内。当用户需要访问网关后面的应用服务器时, 首
先需要通过网关连接的用户数据库进行认证
, 认证通过后网关
自动将用户身份传递到要访问的目标应用服务器进行认证, 经
应用服务器认证通过后, 用户通过网关对应用系统进行后续的
访问。该方案对应用系统基本不做任何改变
, 只要配置和网关
相互认证的模块即可, 可容易实现用户对应用系统的资料加密
传输, 实施和维护相对简单。缺点是对应用系统的身份认证和
访问都需要经过网关
, 大用户量访问时, 效率降低。如采用一个
网关, 则该网关失效会导致整个系统的瘫痪, 而采用多个网关
时需考虑如何及时同步更新网关上的用户信息数据库的内容,
使其保持一致。
根据上述对各种单点登录方案的分析, 结合实际需求, 本
文提出了一种门户系统单点登录机制, 它在门户系统上提供了
安全的第三方接口
, 企业以后开发的应用系统( 以下均称应用
子系统) , 经过注册后, 通过门户系统实现一次性登录即可进行
基于WebServices单点登录系统的设计与实现*
贾宗星, 董丽丽
(
西安建筑科技大学信息与控制工程学院, 陕西 西安
710055)
摘 要: 信息化的进一步发展, 使企业内部应用系统增多, 用户访问这些系统时, 需记住多个口令, 多次登录, 降低了工作
效率。针对这个问题, 提出了一种基于
Web Services
的单点登录系统。文中介绍了当前几种单点登录技术, 利用
Web
Services
技术实现了跨企业内部应用系统边界的单点登录。详细分析了内嵌于门户系统的单点登录机制, 提供了安全的第
三方接口
, 用户只需登录门户系统即可访问任何一个授权应用系统的实现原理与方法。
关键词: 单点登录; 认证;
Web
服务; 令牌
*
基金项目: 陕西省自然科学研究计划项目(
2001x30
)
62
· ·
- 1
- 2
前往页