统一用户认证和单点登录解决方案

《统一用户认证和单点登录解决方案》由会员分享，可在线阅读，更多相关《统一用户认证和单点登录解决方案（6页珍藏版）》请在装配图网上搜索。

1、统一 (tdngyl)用户认证和单点登录解决方案随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比 如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管 理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网 站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须 按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密 码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性就会增 加，受到非法截获和破坏(pbhudi)的可能性也会增大，安全性就会相应降低。 针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不

2、断地被应 用到企业应用系统中。统一用户管理的基本原理。一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格 式、命名与存储方式也多种多样。当用户需要使用(shiybng)多个应用系统时 就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的 成本。 多大 例如，用户X需要同时使用A系统与B系统，就必须在A系统 与B系统中都创建(chudngjidn)用户X，这样在A、B任一系统中用户X的信 息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统， 用户信息在任何(renhe) 一个系统中做出更改后就必须同步至其他9个系统。 用户同步时如果系统出现意外，还要

3、保证数据的完整性，因而同步用户的程序 可能会非常复杂。解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统 一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过 UUMS 完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。UUMS应 具备以下基本功能:1. 用户信息规范命名、统一存储，用户ID全局惟一。用户ID犹如身份 证，区分和标识了不同的个体。2UUMS 向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等 属性，各应用系统可以选择本系统所需要的部分或全部属性。3. 应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处 理。4. 应用

4、系统保留用户管理功能(gOngnQng)，如用户分组、用户授权等功 能。5. UUMS应具有完善的日志(rizhi)功能，详细记录各应用系统对U UMS的 操作。统一用户认证是以UUMS为基础，对所有应用系统提供统一的认证方式和 认证策略(吠1说)，以识别用户身份的合法性。统一用户认证应支持以下几种 认证方式:1匿名(niming)认证方式：用户不需要任何认证，可以匿名的方式登录 系统。2. 用户名/密码(mi mO)认证:这是最基本的认证方式。3. PKI/CA数字证书认证:通过数字证书的方式认证用户的身份。4.IP地址认证:用户只能从指定的IP地址或者IP地址段访问系统。5. 时间段认证:

5、用户只能在某个指定的时间段访问系统。6. 访问次数认证:累计用户的访问次数，使用户的访问次数在一定的数值 范围之内。以上认证方式应采用模块化设计，管理员可灵活地进行装载和卸载，同时 还可按照用户的要求方便地扩展新的认证模块。认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。管 理员可以根据认证策略对认证方式进行增、删或组合，以满足各种认证的要 求。比如，某集团用户多人共用一个账户，用户通过用户名密码访问系统，访 问必须限制在某个IP地址段上。该认证策略可表示为:用户名/密码“与” IP 地址认证。PKI/CA数字证书认证虽不常用，但却很有用，通常应用在安全级 别要求较高的环境中。P

6、KI (Public Key Infrastrueture)即公钥基础设施是 利用公钥理论和数字证书来确保系统信息安全的一种体系。在公钥体制中，密钥成对生成，每对密钥由一个公钥和一个私钥组成，公 钥公布于众，私钥为所用者私有。发送者利用接收者的公钥发送信息，称为数 字加密，接收者利用自己的私钥解密；发送者利用自己的私钥发送信息，称为 数字签名，接收者利用发送者的公钥解密。PKI通过使用数字加密和数字签名 技术，保证了数据在传输过程中的机密性（不被非法授权者偷看）、完整性 （不能被非法篡改）和有效性（数据不能被签发者否认）。数字证书有时（y&ush。被称为数字身份证，数字证书是一段包含用户身份

7、信息、用户公钥信息以及（yijD身份验证机构数字签名的数据。身份验证机构 的数字签名可以确保证书信息的真实性。完整的PKI系统应具有（jUy&u）权威认证机构CA （CertificateAuthority）、证书（zhngsh口）注册系统（xit&ng）RA （RegistrationAuthority）、密钥管理中心KMC （Key Manage Center）、证书发布查询系统 和备份恢复系统。CA是PKI的核心，负责所有数字证书的签发和注销；RA接 受用户的证书申请或证书注销、恢复等申请，并对其进行审核；KMC负责加密 密钥的产生、存贮、管理、备份以及恢复；证书发布查询系统通常采用OC

8、SP （Online Cer ti fica te Status Pro tocol，在线证书状态协议）协议提供 查询用户证书的服务，用来验证用户签名的合法性; 备份恢复系统负责数字 证书、密钥和系统数据的备份与恢复。单点登录（SSO，Single Sign-on）是一种方便用户访问多个系统的技 术，用户只需在登录时进行一次注册，就可以在多个系统间自由穿梭，不必重 复输入用户名和密码来确定身份。单点登录的实质就是安全上下文（Securi ty Con tex t）或凭证（Creden tial）在多个应用系统之间的传递或 共享。当用户登录系统时，客户端软件根据用户的凭证（例如用户名和密码） 为

9、用户建立一个安全上下文，安全上下文包含用于验证用户的安全信息，系统 用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。遗憾 的是J2EE规范并没有规定安全上下文的格式，因此不能在不同厂商的J2EE产 品之间传递安全上下文。目前业界已有很多产品支持SSO，如IBM的WebSphere和BEA的WebLogic，但各家SSO产品的实现方式也不尽相同。WebSphere通过Cookie 记录认证信息，WebLogic则是通过Session共享认证信息。Cookie是一种客 户端机制，它存储的内容主要包括: 名字、值、过期时间、路径和域，路径 与域合在一起就构成了 Cookie的作用范围

10、，因此用Cookie方式可实现SSO， 但域名必须相同；Session是一种服务器端机制，当客户端访问服务器时， 服务器为客户端创建一个惟一的SessionlD，以使在整个交互过程中始终保持 状态，而交互的信息则可由应用自行指定，因此用Session方式实现SSO，不 能在多个浏览器之间实现单点登录，但却可以跨域。实现SSO有无标准可寻？如何使业界产品(chOnpin)之间、产品内部之间 信息交互(jidohU)更标准、更安全呢？基于此目的(mud!), OASIS (结构化信 息标准促进组织)提出了 SAML解决方案(有关SAML的知识参看链接)。用户认证中心实际上就是将以上(yishdng

11、 )所有功能、所有概念形成一个 整体，为企业提供一套完整的用户认证和单点登录解决方案。一个完整的用户 认证中心应具备以下(yixia)功能：1. 统一用户管理。实现用户信息的集中管理，并提供标准接口。2. 统一认证。用户认证是集中统一的，支持PKI、用户名/密码、B/S和 C/S等多种身份认证方式。3. 单点登录。支持不同域内多个应用系统间的单点登录。 用户认证中心提供了统一认证的功能，那么用户认证中心如何提供统一授权的功能呢？这就是授权管理中，其中应用最多的就是PMI。PMI (Privilege Management Infrastrueture，授权管理基础设施)的 目标是向用户和应用程

12、序提供授权管理服务，提供用户身份到应用授权的映射 功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的 授权和访问控制机制，简化具体应用系统的开发与维护。PMI是属性证书(Att rib ute Cer tifica te)、属性权威(Att ribu te Au thori ty)、属性证 书库等部件的集合体，用来实现权限和证书的产生、管理、存储、分发和撤销 等功能。PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处 理，即由资源的所有者来进行访问控制。同公钥基础设施PKI相比，两者主要 区别在于：PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，

13、而且PMI可以利用PKI为其提供身份认证。单点登录通用设计模型图2是统一用户认证和单点登录通用设计模型，它由以下产品组 成： 1. PKI体系：包括CA服务器、RA服务器、KMC和OCSP服务 器。2. AA管理服务器：即认证(Au the nt ica tion)和授权(Authorization)服务器，它为系统(xit&ng)管理员提供用户信息、认证和 授权的管理。3. UUMS模块：为各应用系统提供UUMS接口。4. SSO:包括(baokuo)SSO代理和SSO服务器。SSO代理部署在各应用 系统的服务器端，负责截获客户端的SSO请求，并转发给SSO服务器，如果转 发的是OCSP请求

14、，则SSO服务器将其转发给OCSP服务器。在C/S方式中， SSO代理通常部署在客户端。5. PMI:包括PMI代理(ddili)和PMI服务器。PMI代理部署在各应用系 统的服务器端，负责截获客户端的PMI请求，并转发给PMI服务器。 6. LDAP服务器：统一存储用户信息、证书(zhngsh口)和授权信 息。为判断用户是否已经登录系统，SSO服务器需要存储(n chu) 一张用户会 话(Session)表，以记录用户登录和登出的时间，SSO服务器通过检索会话 表就能够知道用户的登录情况，该表通常存储在数据库中。AA系统提供了对 会话的记录、监控和撤消等管理功能。为保证稳定与高效，SSO、P

15、MI和OCSP 可部署两套或多套应用，同时提供服务。 链接 SAMLSAML (Security Assertion Markup Language，安全性断言标记语 言)是一种基于XML的框架，主要用于在各安全系统之间交换认证、授权和属 性信息，它的主要目标之一就是SSO。在SAML框架下，无论用户使用哪种信 任机制，只要满足SAML的接口、信息交互定义和流程规范，相互之间都可以 无缝集成。SAML规范的完整框架及有关信息交互格式与协议使得现有的各种 身份鉴别机制(PKI、Kerberos和口令)、各种授权机制(基于属性证书的 PMI、ACL、Kerberos的访问控制)通过使用统一接口实现

16、跨信任域的互操 作，便于分布式应用系统的信任和授权的统一管理。SAML 并不是一项新技术。确切地说，它是一种语言，是一种 XML 描述，目 的是允许不同安全系统产生的信息进行交换。SAML规范由以下部分组 成:1. 断言与协议: 定义 XML 格式的断言的语法语义以及请求和响应协议。SMAL主要有三种断言：身份认证断言、属性断言和访问授权断言。2. 绑定与配置文件：从SAML请求(qingqiU)和响应消息到底层通信协 议如 SOAP 或 SMTP 的映射。3. 一致性规范：一致性规范设置了一种基本标准(bidozhUn)，必须满 足这一 SAML 标准的实现才能够称为一致性实现。这样有助于提

17、高互操作性和 兼容性。4. 安全和保密的问题：SAML体系结构中的安全风险(fdngxiOn)，具体 而言就是SAML如何应对这些风险以及无法解决的风险。要注意的是，SAML并不是专为SSO设计，但它却为SSO的标准化提供(tig ong) 了可行的框架。内容总结(1) 统一用户认证和单点登录解决方案 随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多(2) 发送者利用自己的私钥发送信息，称为数字签名，接收者利用发 送者的公钥解密(3) 目前业界已有很多产品支持SS0,如IBM的WebSphere和BEA 的WebLogic，但各家SSO产品的实现方式也不尽相同(4) 要注意的是，SAML并不是专为SSO设计，但它却为SSO的标准 化提供了可行的框架