已閱讀5頁,還剩31頁未讀, 繼續(xù)免費(fèi)閱讀
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
河北工業(yè)大學(xué)2015屆本科設(shè)計(jì)說明書河 北 工 業(yè) 大 學(xué)畢 業(yè) 設(shè) 計(jì)說 明 書作 者: 張建勝 學(xué) 號: 112422 學(xué) 院: 計(jì)算機(jī)科學(xué)與軟件學(xué)院 系(專業(yè)): 計(jì)算機(jī)科學(xué)與技術(shù) 題 目: 基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù) 研究與實(shí)現(xiàn) 指導(dǎo)者: 田紅麗 教授 (姓 名) (專業(yè)技術(shù)職務(wù))評閱者: (姓 名) (專業(yè)技術(shù)職務(wù)) 2015年 6 月 4 日河北工業(yè)大學(xué)2015屆本科設(shè)計(jì)說明書畢業(yè)設(shè)計(jì)(論文)中文摘要基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù)研究與實(shí)現(xiàn)摘要: 隨著信息技術(shù)的迅猛發(fā)展,同時(shí)各種管理制度不斷完善,使得公司或者其他組織機(jī)構(gòu)的應(yīng)用系統(tǒng)的種類越來越多。每個(gè)應(yīng)用系統(tǒng)都有自己的認(rèn)證登錄頁面,用戶登錄系統(tǒng)時(shí),都要對其身份進(jìn)行認(rèn)證,繁多的登錄系統(tǒng)占用了用戶的大量登錄時(shí)間,且用戶容易忘記或者記混這些系統(tǒng)的密碼,如果將系統(tǒng)的密碼設(shè)置成同一個(gè)又會存在安全隱患,所以解決這些系統(tǒng)的登錄問題就是非常必要的而且具有較好的市場需求。 基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù)的研究與實(shí)現(xiàn)就是實(shí)現(xiàn)了多個(gè)應(yīng)用系統(tǒng)的單點(diǎn)登錄,即登錄一次就可以訪問所有整合過的資源。它是基于微軟的Windows AD域進(jìn)行身份認(rèn)證,使認(rèn)證更加的安全可靠,在此基礎(chǔ)上實(shí)現(xiàn)單點(diǎn)登錄,單點(diǎn)登錄采用Yale大學(xué)研發(fā)的CAS系統(tǒng)為基礎(chǔ),在此基礎(chǔ)上進(jìn)行Windows AD域和CAS的整合,實(shí)現(xiàn)了單點(diǎn)登錄系統(tǒng)。關(guān)鍵詞: 單點(diǎn)登錄 Windows AD域 身份認(rèn)證 CAS畢業(yè)設(shè)計(jì)(論文)外文摘要Title The Research and Implementation of Windows AD domain extension based login carte AbstractWith the rapid development of information technology, as well as various management systems continue to improve, making more and more types of companies or other organizations of the application system. Each application has its own authentication login page when a user login system, must authenticate their identity, many user login system takes up a lot of login time, and the user is easy to forget or remember passwords mix of these systems, if the password system will be set to the same security risks, so log on problem solving of these systems is a very necessary and has good market demand.Based on Windows AD domain extension and single sign-on technology is to achieve a number of applications to achieve single sign-on systems that log in once to access all integrated over resources. It is based on Microsofts Windows AD domain authentication, so authentication is more secure, reliable, single sign-on this basis, single sign-on using the CAS system developed by Yale University as the basis for Windows AD domain and on this basis CAS integration, to achieve single sign-on system. Keywords: Single sign-on Windows AD domain authentication CAS目 錄 1 引言11.1 論文的選題背景11.2 論文研究的意義11.3 論文的內(nèi)容安排22 相關(guān)技術(shù)簡介及其研究意義32.1 身份認(rèn)證32.2 Windows AD域身份認(rèn)證32.3 單點(diǎn)登錄42.4 基于CAS單點(diǎn)登錄模型93 基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù)設(shè)計(jì)與分析123.1 CAS私有域登錄框架123.2 CAS私有域票據(jù)133.3 CASSSOServlet類143.4 Filter類153.5 CAS私有域票據(jù)服務(wù)接口163.6生成票據(jù)接口-requiredTicket173.7兌換票據(jù)接口-exchangeTicket183.8票據(jù)接口里其他功能184 主要單點(diǎn)登錄系統(tǒng)典型場景分析204.1 域終端訪問Portal204.2 非域終端訪問Portal224.3 域終端訪問資源234.4 非域終端訪問資源255 基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù)實(shí)施文檔275.1 環(huán)境需要275.2環(huán)境說明275.3環(huán)境搭建275.4文件部署285.5問題解析29結(jié) 論30參 考 文 獻(xiàn)31致 謝321 引言 Microsoft Active Directory 服務(wù)是Windows 平臺的核心組件,是企業(yè)基礎(chǔ)架構(gòu)的根本,所有的高級服務(wù)都會向活動目錄整合,以利用其統(tǒng)一的身份驗(yàn)證、安全管理以及資源公用。本畢設(shè)課題著重研究如何在Windows AD域身份驗(yàn)證基礎(chǔ)上擴(kuò)展支持第三方單點(diǎn)登錄協(xié)議,實(shí)現(xiàn)在AD域終端以及非域終端下基于AD域身份驗(yàn)證后單點(diǎn)登錄到基于第三方單點(diǎn)登錄協(xié)議整合的業(yè)務(wù)系統(tǒng)。1.1 論文的選題背景 隨著計(jì)算機(jī)的迅猛發(fā)展,應(yīng)用軟件和系統(tǒng)的種類越來越多,這些軟件的應(yīng)用方便了人們的日常管理工作,使人們的工作越來越趨于科學(xué)化、簡單化、方便化。但是這些軟件系統(tǒng)都有相互獨(dú)立的,所以在方便人們管理和工作的同時(shí)也產(chǎn)生了繁瑣的登錄過程和繁多的密碼。如果每個(gè)登錄系統(tǒng)的密碼都采用相同的又會產(chǎn)生安全隱患,而繁多的密碼又不利于記憶而且出錯(cuò)的概率會隨著系統(tǒng)的增加而增加。 理想狀況下,是所有的應(yīng)用系統(tǒng)都采用統(tǒng)一的身份認(rèn)證體系,但是市場上的應(yīng)用系統(tǒng)都具有自己的認(rèn)證體系,無法進(jìn)行統(tǒng)一的身份認(rèn)證。系統(tǒng)在方便人們的日常工作的同時(shí)也給用戶帶來了不可避免的麻煩,使得登錄系統(tǒng)成為用戶最為苦惱的一件事情。在此背景下,適用于企業(yè)的單點(diǎn)登錄系統(tǒng)是迫在眉睫的。1.2 論文研究的意義Microsoft Active Directory 利用統(tǒng)一的身份認(rèn)證、安全管理機(jī)制,使認(rèn)證更加的安全可靠,通過Yale大學(xué)研究的CAS系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄,單點(diǎn)登錄系統(tǒng)能夠?qū)崿F(xiàn)各個(gè)系統(tǒng)身份的統(tǒng)一認(rèn)證,將繁瑣的登錄過程簡化掉,只需要通過一次登錄就可以訪問所有的資源。減少了用戶的登錄時(shí)間,也不需要記錄繁瑣的密碼和賬號,同時(shí)也減輕了管理員的工作,不用頻繁的幫助用戶找回密碼,同時(shí)提高了軟件使用效率。1.3 論文的內(nèi)容安排本論文一共分為六章。希望以下的簡單介紹可以幫助讀者說明本論文所完成的內(nèi)容。第一章 引言部分,主要討論了基基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù)的研究與實(shí)現(xiàn)背景、研究意義以及論文的內(nèi)容安排。第二章 相關(guān)技術(shù)簡介及其研究意義。第三章 基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù)設(shè)計(jì)與分析。第四章 主要單點(diǎn)登錄系統(tǒng)典型場景分析。第五章 總結(jié)。2 相關(guān)技術(shù)簡介及其研究意義2.1 身份認(rèn)證身份認(rèn)證是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)操作者身份的過程,從而確定操作者是否對該資源具有訪問操作的權(quán)限,進(jìn)而使計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境更加的安全可靠,更加可以防止該資源被別人冒充訪問,對該資源造成威脅。現(xiàn)在通常使用的身份認(rèn)證有以下常見的幾種形式:口令認(rèn)證、智能卡認(rèn)證、動態(tài)口令認(rèn)證、生物識別等方法??诹钫J(rèn)證:是指用戶通過靜態(tài)的,自己提前設(shè)置好的口令進(jìn)行登錄訪問。但是很多用戶設(shè)置時(shí),密碼采用自己的生日,姓名字母等一些具有特色的組合作為自己的密碼,或者有的人防止自己忘記密碼,將密碼記錄在某些地方,這些都可能造成安全隱患。而且密碼密碼在傳輸?shù)倪^程中也容易被別人截獲,存在一定的安全隱患。智能卡認(rèn)證:是一種相對安全的認(rèn)證模式,智能卡內(nèi)部芯片是不可輕易復(fù)制的,它是由合法者攜帶的一種安全的硬件設(shè)施。它是基于“what you have”的認(rèn)證模式,它對于口令認(rèn)證來說是一種相對安全的認(rèn)證模式。動態(tài)口令認(rèn)證:是一種動態(tài)獲取登錄密碼方式的認(rèn)證方法,比如比較常見的有短信認(rèn)證,通過手機(jī)綁定,獲取動態(tài)驗(yàn)證碼的方式來完成身份認(rèn)證,進(jìn)行登錄。還有通過專門的硬件設(shè)備,進(jìn)行動態(tài)改變登錄密碼,常見的有六十秒改變一次登錄密碼來保護(hù)資源不被非法者訪問,這也是一種基于“what you have”的認(rèn)證方式。生物識別:是指通過自身所特有的生物特征進(jìn)行登錄訪問,現(xiàn)在比較常見的有:指紋登錄,視網(wǎng)膜登錄,語音登錄,臉型,虹膜等一系列生物特征進(jìn)行登錄。因?yàn)橐暰W(wǎng)膜等生物特征是比較獨(dú)特的,是不可仿造的,所以能夠安全的保護(hù)用戶的隱私,使其不被非法者所冒充。這是一種基于“what you are”的認(rèn)證模式。2.2 Windows AD域身份認(rèn)證Windows AD域是指(Active Directory)活動目錄,遵循ldap協(xié)議,動態(tài)的建立整個(gè)域模式網(wǎng)絡(luò)中的對象的數(shù)據(jù)庫或索引。AD域和工作組不同,它是具有嚴(yán)格的權(quán)限控制的,沒有登錄到域中的用戶是無法對其中資源進(jìn)行訪問控制的?!坝颉钡恼嬲x指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。一提到組合,勢必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對網(wǎng)絡(luò)安全是非常必要的。2.3 單點(diǎn)登錄單點(diǎn)登錄的英文名字為single sign on,單點(diǎn)登錄就是用戶只需要登錄一次,就可以訪問不同的系統(tǒng)或者資源,它是用戶的一個(gè)認(rèn)證過程,單點(diǎn)登錄的實(shí)現(xiàn)簡化了人們?nèi)粘9ぷ鞯牧鞒?,使用戶在登錄每個(gè)操作系統(tǒng)時(shí),不需要都輸入自己的用戶名和密碼,提高了人們的日常工作效率。SSO有一個(gè)形象的解釋:“單點(diǎn)登錄,全網(wǎng)漫游”。2.3.1單點(diǎn)登錄的背景就目前市場而言,單點(diǎn)登錄的產(chǎn)品也有很多種,大體分為兩大類:一種是商用的單點(diǎn)登錄產(chǎn)品,另一種是開源的單點(diǎn)登錄產(chǎn)品。商用的單點(diǎn)登錄產(chǎn)品大概又分為:專門的商業(yè)登錄軟件和門戶產(chǎn)品供應(yīng)商自己的單點(diǎn)登錄產(chǎn)品。專門的商業(yè)登錄軟件包括:Netgrity的Siteminder,已經(jīng)被CA收購,Novell 公司的iChain,RSA公司的ClearTrust等。門戶產(chǎn)品供應(yīng)商自己的單點(diǎn)登錄產(chǎn)品包括:BEA的WLES,IBM 的Tivoli Access Manager,Sun 公司的identity Server,Oracle公司的OID等。商用的單點(diǎn)登錄軟件一般都是針對那些對單點(diǎn)登錄要求比較高,比較大型的軟件公司,它不僅價(jià)格昂貴,還需要特定的環(huán)境,需要在軟件中增加代理模塊來完善單點(diǎn)登錄。 開源的單點(diǎn)登錄產(chǎn)品主要包括:OpenSSO,JOSSO,CAS等。OpenSSO基于Sun Java System Access Manager,是Sun公司支持的一個(gè)開源的SSO項(xiàng)目。OpenSSO體系結(jié)構(gòu)設(shè)計(jì)合理,功能比較強(qiáng)大。然而缺點(diǎn)是客戶端支持不夠廣泛,似乎只是對基于J2EE的應(yīng)用支持的比較好。JOSSO是另一個(gè)Java寫的單點(diǎn)登錄產(chǎn)品,通常認(rèn)為比OpenSSO更成熟一些。JOSSO支持的客戶端包括Java,PHP和ASP。CAS是耶魯大學(xué)開發(fā)的單點(diǎn)登錄產(chǎn)品,也是我最后選定的單點(diǎn)登錄產(chǎn)品。CAS的優(yōu)點(diǎn)很多,例如設(shè)計(jì)理念先進(jìn)、體系結(jié)構(gòu)合理、配置簡單、客戶端支持廣泛、技術(shù)成熟等等。 經(jīng)過廣泛分析和比較,最后我們選定CAS作為我們的單點(diǎn)登錄產(chǎn)品。我們確信這是目前能夠找到的最好的開源單點(diǎn)登錄產(chǎn)品。2.3.2 單點(diǎn)登錄原理單點(diǎn)登錄(SSO)是使用身份驗(yàn)證的方法,允許授權(quán)用戶可以訪問所有相關(guān)的內(nèi)容,但獨(dú)立的軟件系統(tǒng)或應(yīng)用程序不會被提示在重新登錄,增加用戶的工作效率,并允許用戶訪問多個(gè)服務(wù)或應(yīng)用程序時(shí)只被認(rèn)證一次。這并不意味著SSO系統(tǒng)統(tǒng)一的賬戶信息的所有服務(wù),應(yīng)用程序和系統(tǒng),而它隱藏的賬戶信息等多重成一個(gè)單一帳戶的用戶需要登錄。一旦用戶登錄,SSO系統(tǒng)生成的各種公認(rèn)的認(rèn)證信息應(yīng)用程序和系統(tǒng)。 SSO不僅可以在內(nèi)聯(lián)網(wǎng)中使用,還可以在外聯(lián)網(wǎng)或因特網(wǎng)中使用。單點(diǎn)登錄系統(tǒng)主要包括:單點(diǎn)登錄服務(wù)器和單點(diǎn)登錄客戶端。服務(wù)器主要負(fù)責(zé)用戶的身份認(rèn)證和實(shí)現(xiàn)單點(diǎn)登錄的功能??蛻舳送ǔ:蛻?yīng)用系統(tǒng)部署在一起,負(fù)責(zé)將用戶的請求信息發(fā)送給單點(diǎn)登錄服務(wù)器進(jìn)行身份認(rèn)證。單點(diǎn)登錄的訪問流程一般包括以下步驟:1、 單點(diǎn)登錄系統(tǒng)客戶端發(fā)送請求,請求訪問應(yīng)用系統(tǒng)所提供的資源和服務(wù)。2、 單點(diǎn)登錄客戶端將請求重定向回服務(wù)器。3、 服務(wù)器對請求用戶進(jìn)行身份認(rèn)證4、 認(rèn)證通過后,給請求用戶隨機(jī)產(chǎn)生一個(gè)Service Ticket,作為身份憑證。5、 單點(diǎn)登錄服務(wù)器驗(yàn)證Service Ticket的合法性,如果合法,允許用戶訪問資源。6、 當(dāng)認(rèn)證用戶合法后傳輸結(jié)果給客戶端,客戶端儲存信息。7、 注銷用戶登錄當(dāng)用戶未注銷登錄時(shí),合法用戶訪問其他資源時(shí)候,不需要對該用戶再次進(jìn)行身份驗(yàn)證,即實(shí)現(xiàn)了單點(diǎn)登錄。如圖2-1:圖2.1 復(fù)雜的SSO使用單組憑證可以通過兩種方式來完成,即基于憑證和基于公鑰如下:(1)基于憑證的SSO系統(tǒng): 在這種SSO系統(tǒng),用戶提交的憑據(jù)到基于憑證的認(rèn)證權(quán)威機(jī)構(gòu),在該認(rèn)證中心檢查其憑據(jù)數(shù)據(jù)庫。如果用戶憑據(jù)相匹配,則給用戶返回一個(gè)憑證。當(dāng)用戶想要訪問其支配的應(yīng)用服務(wù)器時(shí),同理攜帶之前的票據(jù)訪問應(yīng)用程序服務(wù)器。這個(gè)過程的成功依賴于服務(wù)系統(tǒng)都信任該認(rèn)證機(jī)構(gòu)。(2)在HTTP環(huán)境下的基于憑證的SSO系統(tǒng) 基于憑證的SSO可通過在HTTP的環(huán)境中使用的cookie來實(shí)現(xiàn)。一個(gè)cookie是一組由網(wǎng)絡(luò)服務(wù)器提供給網(wǎng)絡(luò)瀏覽器的信息,并存儲在客戶機(jī)上。用于身份驗(yàn)證的cookie可以被加密,使之更加安全可靠。該服務(wù)器可以再檢測cookie,并給客戶提供個(gè)性化的服務(wù)。 在網(wǎng)絡(luò)環(huán)境中Kerberos系統(tǒng)提供基礎(chǔ)建設(shè)固定的SSO,然而,它需要客戶端的基礎(chǔ)設(shè)施和配置。在支持HTTP的環(huán)境,cookies可被用于構(gòu)建SSO系統(tǒng)但并不需要多余的安裝或必要的配置。 Kerberos系統(tǒng)和Cookies功能SSO的最大系統(tǒng)區(qū)別是,前者使用遠(yuǎn)程過程調(diào)用以傳輸認(rèn)證的票據(jù),而后者則使用cookies標(biāo)記。(3) 基于PKI的單點(diǎn)登錄系統(tǒng) 在基于PKI的SSO,服務(wù)器/資源和用戶驗(yàn)證對方時(shí),使用其各自的密鑰對。用戶可以通過服務(wù)器解密任何驗(yàn)證服務(wù)器消息,他們發(fā)送的信息是由服務(wù)器的公鑰加密。同樣的方式,服務(wù)器可以通過他認(rèn)證過的用戶向它們發(fā)送消息,該消息是由所述加密解密用戶的公共密鑰進(jìn)行加密的。作為私鑰的真正擁有者只能解密,相互認(rèn)證如服務(wù)器驗(yàn)證用戶身份。用戶和服務(wù)器的認(rèn)證機(jī)構(gòu)可以是不同的,如果他們是不同的,該認(rèn)證機(jī)構(gòu)之間必須是相互信任的。2.3.3單點(diǎn)登錄協(xié)議在本節(jié)中,我們將討論的簡單和復(fù)雜的SSO架構(gòu)使用不同的協(xié)議。 Kerberos身份驗(yàn)證協(xié)議 Kerberos是一個(gè)經(jīng)典的實(shí)現(xiàn)基于令牌的分布式認(rèn)證協(xié)議。該整個(gè)過程分為三個(gè)過程和四個(gè)實(shí)體。四個(gè)實(shí)體是:1)客戶端 - 想要訪問的資源2)認(rèn)證服務(wù)器(AS) - 可以驗(yàn)證客戶端和資源3)票據(jù)授權(quán)服務(wù)器(TGS) - 生成票據(jù)訪問資源; 4)應(yīng)用服務(wù)器(S) - 訪問請求的資源。三個(gè)過程是:1)認(rèn)證請求和響應(yīng):在客戶端提交認(rèn)證請求,并將請求提交給認(rèn)證服務(wù)器進(jìn)行認(rèn)證響應(yīng) 2)票證授予的請求和響應(yīng)通信:用戶進(jìn)行身份認(rèn)證后,提交給票據(jù)授權(quán)服務(wù)器,產(chǎn)生用戶所對應(yīng)的票據(jù),并將其返回給應(yīng)用程序3)應(yīng)用程序的請求和響應(yīng):在客戶端使用它從票據(jù)授權(quán)服務(wù)器(TGS)得到票據(jù)與應(yīng)用服務(wù)器(S)溝通,在需要的憑據(jù)時(shí),第2次和第3次的過程是不斷重復(fù)后,客戶端有權(quán)訪問其他資源。安全斷言標(biāo)記語言 安全斷言標(biāo)記語言(SAML)是一種基于XML的開放式標(biāo)準(zhǔn),交換安全域,即身份提供者和服務(wù)之間的認(rèn)證和授權(quán)的數(shù)據(jù)供應(yīng)商使用SAML,在線服務(wù)提供商的聯(lián)系人的在線身份提供哪些驗(yàn)證誰試圖訪問安全內(nèi)容的用戶。 SAML沒有規(guī)定如何驗(yàn)證用戶;而它定義了一種方法,一旦用戶是交換認(rèn)證和授權(quán)數(shù)據(jù)驗(yàn)證。 SAML是不是一系列基于XML的消息的所謂的斷言,詳細(xì)說明而已用戶是否被認(rèn)證(認(rèn)證斷言),有什么樣的權(quán)利,角色和訪問基于(屬性斷言),他們已經(jīng)和他們?nèi)绾问褂玫臄?shù)據(jù)和資源(授權(quán)斷言)對這些權(quán)利和角色。它使用HTTP,SMTP,F(xiàn)TP和SOAP,以及其他協(xié)議和技術(shù)傳輸這些斷言。 OpenID登錄OpenID是一個(gè)分散的身份驗(yàn)證協(xié)議。的OpenID包括三個(gè)主要實(shí)體:1)在OpenID的標(biāo)識符:文本或電子郵件地址唯一標(biāo)識用戶的字符串; 2)OpenID依賴方(RP):Web應(yīng)用程序或服務(wù)提供商想要證明最終用戶擁有該標(biāo)識;3)OpenID提供者(OP):一個(gè)中央服務(wù)器的問題,商店和管理用戶的OpenID的標(biāo)識符。依托雙方依靠此提供一個(gè)論斷,即最終用戶擁有該標(biāo)識。主要有四種方法的OpenID協(xié)議中使用:1.Discovery,2.Authentication,3.Association,4驗(yàn)證。發(fā)現(xiàn):最終用戶憑用戶提供的標(biāo)識符到依賴方發(fā)起認(rèn)證通過他們的瀏覽器。 RP就可以執(zhí)行發(fā)現(xiàn)(發(fā)現(xiàn)),并建立了OP端點(diǎn)URL其中所使用的用戶進(jìn)行身份驗(yàn)證。認(rèn)證:RP最終用戶的瀏覽器重定向到一個(gè)OpenID認(rèn)證請求OP。 OP建立了端用戶是否被授權(quán)。 OP重定向最終用戶的瀏覽器返回到向RP要么是斷言,認(rèn)證認(rèn)可,或一條消息,驗(yàn)證失敗。關(guān)聯(lián)關(guān)系:使用Diffie-Hellman密鑰的RP和OP建立共享秘密的關(guān)聯(lián)建立交換。 OP使用該協(xié)會簽署后續(xù)的消息和RP驗(yàn)證這些消息;此不再需要后續(xù)的直接要求每個(gè)認(rèn)證后,驗(yàn)證簽名請求/響應(yīng)。驗(yàn)證:RP驗(yàn)證從OP包括檢查返回URL接收到的信息,驗(yàn)證發(fā)現(xiàn)的信息,檢查隨機(jī)數(shù),并通過使用所述共享密鑰驗(yàn)證所述簽名在協(xié)會或通過發(fā)送一個(gè)直接請求OP建立。2.3.4單點(diǎn)登錄的優(yōu)點(diǎn)在當(dāng)前的數(shù)字世界中,用戶可能需要訪問多個(gè)系統(tǒng)來開展他們的一天活動。系統(tǒng)的數(shù)量在不斷地增加,每個(gè)用戶需要記憶的憑證數(shù)量也隨之增加并由此帶來的可能失去或忘記他們的密碼事件也增加了。單點(diǎn)登錄,可以用來解決涉及用于不同應(yīng)用程序的多個(gè)憑證的許多問題。單點(diǎn)登錄訪問主要認(rèn)證中心可以讓用戶訪問所有可用的其他資源。 SSO幫助用戶解決記住多個(gè)密碼的煩惱,也提高了用戶和開發(fā)人員的生產(chǎn)力,減少用戶花費(fèi)在輸入各種密碼的登錄時(shí)間。 從不同的角度和角色進(jìn)行分析單點(diǎn)登錄的優(yōu)點(diǎn):用戶角度:提高了用戶的工作效率,告別了繁瑣的登錄過程,減少了登錄時(shí)間,更加避免了大量密碼需要記住的煩惱,減少了因?yàn)槊艽a相同或者在筆記本中記錄密碼而發(fā)生泄漏的危險(xiǎn)。管理員角度:簡化了管理員日常的管理工作,管理員不需要頻繁的幫助用戶找回密碼,并且有利于管理員進(jìn)行管理,在有人員變動時(shí),不需要一個(gè)個(gè)應(yīng)用系統(tǒng)的操作,能夠?qū)崿F(xiàn)快速的整合添加應(yīng)用系統(tǒng),委派訪問權(quán)限時(shí)候也減少了管理員的工作量。2.4 基于CAS單點(diǎn)登錄模型2.4.1 CAS背景及特點(diǎn) CAS(Central Authentication Service)是Yale發(fā)起的一個(gè)項(xiàng)目,它為了實(shí)現(xiàn)一種企業(yè)級的WEB單點(diǎn)登錄項(xiàng)目。這個(gè)項(xiàng)目是開源的,提供多種協(xié)議解決方案,支持多種認(rèn)證機(jī)構(gòu),比如Active Directory、LDAP、JDBC、JAAS等 。它的安全策略采用票據(jù)的方式,支持授權(quán),可以決定哪些服務(wù)可以請求驗(yàn)證票據(jù)服務(wù),它提高了單點(diǎn)登錄的可用性,同時(shí)支持多種客戶端,如Java、PHP、Apache、Perl、.Net等。2.4.2 CAS結(jié)構(gòu)體系 CAS包括兩部分組成:一部分是CAS Client,它和應(yīng)用系統(tǒng)客戶端部署在一起,用戶登錄時(shí),將用戶重定向到服務(wù)器,并將用戶名和密碼傳遞給服務(wù)器進(jìn)行驗(yàn)證。另一部分是CAS Server,它負(fù)責(zé)將客戶端傳遞過來的參數(shù)進(jìn)行認(rèn)證,認(rèn)證成功后返回票據(jù)給客戶端,并完成票據(jù)的兌換等工作。2.4.3 CAS原理基本原理 當(dāng)用戶第一次通過web瀏覽器訪問資源時(shí)候,CAS客戶端和應(yīng)用系統(tǒng)客戶端部署在一起,會直接跳轉(zhuǎn)至CAS Client端,進(jìn)行對用戶身份的驗(yàn)證,用戶在CAS Client端需要提交用戶名和密碼,客戶端重定向回CAS Server,將用戶的用戶名和密碼提交給CAS Server,同時(shí)將用戶需要訪問的資源地址發(fā)送給CAS Server,CAS 進(jìn)行驗(yàn)證用戶身份,如果用戶是合法身份,將會給用戶產(chǎn)生一個(gè)Ticket,作為用戶的身份標(biāo)識,CAS Server并將生成的Ticket和Service返回給CAS客戶端,客戶端進(jìn)行票據(jù)的驗(yàn)證,CAS Server通過票據(jù)獲取到用戶的用戶名,用戶名合法后,允許用戶訪問應(yīng)用系統(tǒng)或者資源,CAS認(rèn)證結(jié)束。CAS的基本原理圖2.2如下: 圖2.2 2.4.4 CAS 實(shí)現(xiàn)單點(diǎn)登錄原理 當(dāng)用戶第一次通過瀏覽器訪問資源的時(shí)候,會獲取客戶端的Session,如果客戶端存在Session,證明會話沒有注銷直接訪問到資源,但是我們是首次登錄,所以在客戶端中檢測不到session,則重新定向會瀏覽器,然后獲取瀏覽器中的cookie,將cookie中的TGT發(fā)送給CAS服務(wù)端進(jìn)行請求認(rèn)證,如果已經(jīng)登錄則返回ST給客戶端,然后客戶端用這個(gè)ST兌換用戶名登錄資源,但是由于是首次登錄,所以無TGT或TGT錯(cuò)誤,返回登錄頁面,輸入用戶名密碼后,重定向回CAS服務(wù)端進(jìn)行身份認(rèn)證,認(rèn)證成功后,返回ST并重定向回瀏覽器,瀏覽器重定向回CAS客戶端,請求認(rèn)證ST,確認(rèn)ST已經(jīng)登錄后,在CAS客戶端創(chuàng)建Session,登陸成功后重定向回請求地址,訪問資源,如果不注銷登錄,當(dāng)下次訪問資源時(shí)候,先去CAS客戶端獲取Session,獲取到直接登錄,不用再次輸入用戶名密碼,如果為獲取到,去瀏覽器中cookie中獲取票據(jù),獲取到后直接兌換用戶名登錄。 圖2.33 基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù)設(shè)計(jì)與分析 上面我們主要介紹了CAS原理和單點(diǎn)登錄機(jī)制以及Windows AD域的登錄原理。這次我們將CAS單點(diǎn)登錄系統(tǒng)和Windows AD域身份認(rèn)證整合,即身份認(rèn)證部分交給Windows AD域進(jìn)行認(rèn)證,而單點(diǎn)登錄則由CAS實(shí)現(xiàn),采取這種設(shè)計(jì)方案的原因,現(xiàn)在很多公司都在使用Windows AD域進(jìn)行人員管理,而CAS是支持和Windows AD域整合的,而且Windows AD域認(rèn)證方式更加的安全可靠,基于以上幾點(diǎn)我們采用基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù)的實(shí)現(xiàn)。3.1 CAS私有域登錄框架 我們將AD域和CAS相結(jié)合的方式實(shí)現(xiàn)單點(diǎn)登錄,而實(shí)現(xiàn)的媒介是Portal,它起到鏈接認(rèn)證和AD域整合的作用,AD域進(jìn)行身份認(rèn)證,當(dāng)用戶訪問資源或者Portal時(shí)候,如果沒有進(jìn)行身份認(rèn)證,即非域終端訪問時(shí)候,會自動彈出AD域認(rèn)證框進(jìn)行身份認(rèn)證,而如果客戶端進(jìn)行身份認(rèn)證后,即域終端訪問資源或者Portal時(shí)候,無需再進(jìn)行身份認(rèn)證,此處實(shí)現(xiàn)的是AD域單點(diǎn)登錄。身份認(rèn)證后將單點(diǎn)登錄交給我們模擬CAS認(rèn)證的服務(wù)中心DTSSO進(jìn)行單點(diǎn)登錄,單點(diǎn)登錄主要涉及到申請票據(jù)和兌換票據(jù)的過程,即用戶身份認(rèn)證后,訪問資源的時(shí)候會去DTSSO申請票據(jù),DTSSO將票據(jù)頒發(fā)給受信任的用戶,然后用戶攜帶票據(jù)去訪問資源時(shí)候,需要找DTSSO進(jìn)行票據(jù)兌換,去進(jìn)行用戶名驗(yàn)證,如果驗(yàn)證成功則允許用戶訪問資源。圖3.1DTSSO票據(jù)服務(wù):1.申請票據(jù) 2.兌換票據(jù)DTSSOServlet:調(diào)用申請票據(jù)的webservice接口,申請票據(jù)Filter:調(diào)用兌換票據(jù)的webservice接口,兌換票據(jù)3.2 CAS私有域票據(jù) CAS私有域票據(jù)是CAS單點(diǎn)登錄實(shí)現(xiàn)的重要組成部分,票據(jù)的基本信息包括:ID,userADnameID,expireTime,exchangeTimes,ticketGenerateTime等。ID作為票據(jù)的唯一標(biāo)識為了區(qū)分票據(jù)的身份,userADnameID是AD域賬號的唯一標(biāo)識,用來作為身份驗(yàn)證的信息,而票據(jù)的產(chǎn)生是具有有效期限的,一般設(shè)置為30秒,因?yàn)槲覀冊O(shè)置了票據(jù)的有效時(shí)間所以我們?yōu)榱四軌蛴?jì)算票據(jù)的有效時(shí)間,我們必須用一個(gè)關(guān)鍵詞作為票據(jù)的產(chǎn)生時(shí)間,即ticketGenerateTime,而票據(jù)產(chǎn)生后,驗(yàn)證身份時(shí)候需要兌換票據(jù),即exchangeTimes,一般設(shè)置兌換的次數(shù)為一次。這些關(guān)鍵詞組成了票據(jù)。票據(jù)基本信息(TicketValue)表3-1:NameValueinstructionbytetypeIDDTSSOID票據(jù)唯一標(biāo)識7StringuserADnameIDUSERADNAMEIDAD賬號唯一標(biāo)識12StringexpireTime30s票據(jù)時(shí)效3StringexchangeTimes1票據(jù)兌換次數(shù)1StringticketGenerateTime2014-12-18 22:11:11票據(jù)產(chǎn)生時(shí)間18String表3-1備注:考慮到性能問題,不建議采用簽名技術(shù)以及票據(jù)目的地驗(yàn)證。3.3 CASSSOServlet類3.3.1有語言就有信息,尤其是中文,暗含的意思更是多重多變。網(wǎng)絡(luò)的快速發(fā)展,尤功能申請票據(jù):用戶從客戶端將用戶名和訪問資源的url傳遞給服務(wù)器,服務(wù)器對該用戶進(jìn)行身份認(rèn)證,如果沒有通過認(rèn)證,即用戶名不存在,則重新跳轉(zhuǎn)至認(rèn)證頁面進(jìn)行身份認(rèn)證,若身份認(rèn)證通過,則采用soap協(xié)議調(diào)用DTSSO票據(jù)服務(wù)的webservice接口申請票據(jù),然后將生成的票據(jù)返回給瀏覽器,作為登錄資源的憑證。3.3.2 位置3.3.3 如何申請票據(jù)1. 從請求里獲得portal對應(yīng)的ASP頁面里的域賬號。2. 從請求里獲得portal對應(yīng)的ASP頁面里的資源URL。3. 采用soap協(xié)議調(diào)用DTSSO票據(jù)服務(wù)的webservice接口申請票據(jù)。4. 返回票據(jù)給IE洌覽器重定向至業(yè)務(wù)1、2、3。3.3.4 票據(jù)申請流程示意圖圖3.23.4 Filter類3.4.1功能兌換票據(jù):從IE瀏覽器中獲取到之前生成的票據(jù),如果未獲取到票據(jù),則重新跳轉(zhuǎn)回用戶登錄界面進(jìn)行重新登錄,如果獲取到票據(jù),則采用soap協(xié)議調(diào)用DTSSO票據(jù)服務(wù)的webservice接口兌換票據(jù),返回用戶名,兌換完用戶名后重新跳轉(zhuǎn)回需要訪問的資源。3.4.2 位置3.4.3如何兌換票據(jù)1. 從請求里獲得IE瀏覽器返回的ticket。2. 采用soap協(xié)議調(diào)用DTSSO票據(jù)服務(wù)的webservice接口兌換票據(jù),返回用戶名3. Filter流程結(jié)束返回資源。3.4.4 票據(jù)兌換流程示意圖圖 Filter其他功能緩存域賬號說明:將兌換完成返回資源的域賬號緩存在cookie里。1. cookiename:userADname2. cookievalue:DTAdministrator3. path:/ 可以跨域訪問4. Domain:DT.COM5. EXPIRES:到期時(shí)間6. 設(shè)置cookie失效時(shí)間:為60s.3.5 CAS私有域票據(jù)服務(wù)接口技術(shù)框架示意圖: 圖3.43.6生成票據(jù)接口-requiredTicket本接口是提供業(yè)務(wù)資源向門戶系統(tǒng)請求票據(jù)時(shí),生成票據(jù)的接口。3.6.1 參數(shù)說明userADname=域用戶名DTAdministrator3.6.2 返回結(jié)果CHSJAJYEEDSSASSDKJFLD=3.7兌換票據(jù)接口-exchangeTicket本接口是提供業(yè)務(wù)資源向門戶系統(tǒng)兌換票據(jù)時(shí),返回用戶名的接口。3.7.1 參數(shù)說明ticket=票據(jù)類(Base64編碼)CHSJAJYEEDSSASSDKJFLD=3.7.2 返回結(jié)果Y2hlbmppZQ=3.8票據(jù)接口里其他功能3.8.1 緩存票據(jù)說明:1.票據(jù)唯一標(biāo)識和TicketValue類緩存map一一映射。 2.域賬號唯一標(biāo)識和userADname緩存map一一映射。 3.TicketValue類和域賬號唯一標(biāo)識 : 類和屬性關(guān)系。nameValuecontainerDTSSOIDTicketValuemapUSERADNAMEIDuserADnamemap表3-23.8.2 清除票據(jù)1. 兌換票據(jù)完成后,無論兌換是否成功,都要清除票據(jù)2. 票據(jù)失效后,校驗(yàn)票據(jù)時(shí)效,超過時(shí)效時(shí)間,清除票據(jù)。(這里設(shè)置票據(jù)時(shí)效為30s)4 主要單點(diǎn)登錄系統(tǒng)典型場景分析4.1 域終端訪問Portal4.1.1 場景示意圖圖4.1當(dāng)用戶第一次通過瀏覽器訪問Portal的時(shí)候,瀏覽器會發(fā)出請求向私有域獲取票據(jù),因?yàn)榇擞脩魹橛蚪K端用戶,所以不需要進(jìn)行身份認(rèn)證,直接為該用戶生成票據(jù),票據(jù)生成后,用戶攜帶票據(jù)去私有域進(jìn)行用戶名兌換,兌換用戶名成功后可以訪問資源,并自動生成一個(gè)與之對應(yīng)的cookie,下次訪問時(shí)候,如果cookie未失效不需要進(jìn)行身份驗(yàn)證,直接訪問資源。4.1.2 場景說明1. ADAuth:1)通過域控服務(wù)器上對應(yīng)的用戶名和口令登錄 2)通過針對域控頒發(fā)的域控證書和普通AD域用戶登陸證書登錄2. ADSSO:域單點(diǎn)登錄至Portal, 基于Kerberos實(shí)現(xiàn)IIS容器的整合3. DTSSO:Portal單點(diǎn)登錄至Tomcat業(yè)務(wù):基于私有票據(jù)協(xié)議整合4.2 非域終端訪問Portal4.2.1場景示意圖圖4.2當(dāng)用戶第一次通過瀏覽器訪問Portal的時(shí)候,瀏覽器會獲取緩存的cookie,如果未獲取到用戶名,繼續(xù)去查看票據(jù),如果存在票據(jù)則用票據(jù)去兌換用戶名,如果不存在票據(jù),將身份信息和需要訪問的資源地址發(fā)送給私有域身份認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證,認(rèn)證通過后,生成票據(jù),將票據(jù)返回給瀏覽器,用戶攜帶票據(jù)去私有域進(jìn)行用戶名兌換,兌換用戶名成功后可以訪問資源,并自動生成一個(gè)與之對應(yīng)的cookie,下次訪問時(shí)候,如果cookie未失效不需要進(jìn)行身份驗(yàn)證。4.2.2 場景說明步驟:1. Local Auth:通過工作組PC對應(yīng)的用戶名和口令登錄2. ADAuth : AD身份認(rèn)證至Portal: 基于IE瀏覽器Intranet 集成Windows身份驗(yàn)證,校驗(yàn)域控服務(wù)器上的AD用戶名和口令 登錄3. DTSSO : Portal單點(diǎn)登錄至Tomcat業(yè)務(wù):基于私有票據(jù)協(xié)議整合4.3 域終端訪問資源4.3.1 場景示意圖當(dāng)用戶第一次通過瀏覽器訪問資源的時(shí)候,瀏覽器會重定向回Portal,Portal發(fā)出請求向私有域獲取票據(jù),因?yàn)榇擞脩魹橛蚪K端用戶,所以不需要進(jìn)行身份認(rèn)證,直接為該用戶生成票據(jù),票據(jù)生成后,用戶攜帶票據(jù)去私有域進(jìn)行用戶名兌換,兌換用戶名成功后可以訪問資源,并自動生成一個(gè)與之對應(yīng)的cookie,下次訪問時(shí)候,如果cookie未失效不需要進(jìn)行身份驗(yàn)證,直接訪問資源。當(dāng)用戶第一次通過瀏覽器訪問資源的時(shí)候,瀏覽器會重定向回Portal,Portal發(fā)出請求向私有域獲取票據(jù),因?yàn)榇擞脩魹橛蚪K端用戶,所以不需要進(jìn)行身份認(rèn)證,直接為該用戶生成票據(jù),票據(jù)生成后,用戶攜帶票據(jù)去私有域進(jìn)行用戶名兌換,兌換用戶名成功后可以訪問資源,并自動生成一個(gè)與之對應(yīng)的cookie,下次訪問時(shí)候,如果cookie未失效不需要進(jìn)行身份驗(yàn)證,直接訪問資源。圖 場景說明步驟: 1. Local Auth:通過工作組PC對應(yīng)的用戶名和口令登錄2. ADAuth : 訪問業(yè)務(wù)重定向至Portal:域認(rèn)證至Portal: 基于IE瀏覽器Intranet 集成Windows身份驗(yàn)證,校驗(yàn)域控服務(wù)器上的AD用戶名和口令 登錄3. DTSSO : Portal單點(diǎn)登錄至Tomcat業(yè)務(wù):基于私有票據(jù)協(xié)議整合4.4 非域終端訪問資源4.4.1 場景示意圖當(dāng)用戶第一次通過瀏覽器訪問資源的時(shí)候,瀏覽器會獲取緩存的cookie,如果未獲取到用戶名,繼續(xù)去查看票據(jù),如果存在票據(jù)則用票據(jù)去兌換用戶名,如果不存在票據(jù),瀏覽器會將其重新定向回Portal,將身份信息和需要訪問的資源地址發(fā)送給私有域身份認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證,認(rèn)證通過后,生成票據(jù),將票據(jù)返回給瀏覽器,用戶攜帶票據(jù)去私有域進(jìn)行用戶名兌換,兌換用戶名成功后可以訪問資源,并自動生成一個(gè)與之對應(yīng)的cookie,下次訪問時(shí)候,如果cookie未失效不需要進(jìn)行身份驗(yàn)證。4.4.2 場景說明步驟:1. 登錄域終端:1)通過域控服務(wù)器上對應(yīng)的用戶名和口令登錄2)通過針對域控頒發(fā)的域控證書和普通AD域用戶登陸證書登錄2. ADSSO : 訪問業(yè)務(wù)底層重定向至Portal:基于Kerberos實(shí)現(xiàn)IIS容器的整合3. DTSSO : Portal單點(diǎn)登錄至Tomcat業(yè)務(wù):基于私有票據(jù)協(xié)議整合5 基于Windows AD域擴(kuò)展單點(diǎn)登錄技術(shù)實(shí)施5.1 環(huán)境需要1. 一臺域控服務(wù)器(windows 2003)2. 一臺域成員服務(wù)器(windows 2003)3. 一臺工作組電腦(windows 2003)5.2環(huán)境說明1. 域控服務(wù)器:1)需要給域成員服務(wù)器分配一個(gè)域用戶 2)需要給工作組服務(wù)器分配一個(gè)域2. 域成員服務(wù)器:需要搭建IIS服務(wù)器、JDK環(huán)境、Tomcat服務(wù)IIS服務(wù)portal:index.asp和login.aspTomcat服務(wù):DTSSO和DTSSOTicketService服務(wù)3. 工作組服務(wù)器:需要搭建JDK環(huán)境、Tomcat服務(wù)Tomcat服務(wù):TomcatDemo1和TomcatDemo25.3環(huán)境搭建1. 搭建域控服務(wù)器和域成員服務(wù)器:參照文檔:備注:域控服務(wù)器:域成員服務(wù)器:2. 域成員服務(wù)器上:搭建IIS服務(wù)器:參照文檔:備注:這里portal為虛擬目錄,指向地址為:C:/portal 設(shè)置端口號:803. 域成員服務(wù)器上:搭建JDK環(huán)境和安裝Tomcat3.1從官網(wǎng)下載JDK和Tomcat 如下:備注:jdk版本:2版本以上Tomcat版本:官方標(biāo)準(zhǔn)版本:6.0以上3.2安裝JDK.和Tomcat1.1 雙擊jdk,一直選擇默認(rèn)安裝,直到完成為止參照文檔:1.2 配置JAVA環(huán)境變量:參照文檔:1.3 安裝Tomcat(綠色版)解壓Tomcat壓縮包,直接放入C:/下就可以。修改Tomcat下conf文件下server.xml的端口為80804. 工作組服務(wù)器:搭建JDK環(huán)境和安裝Tomcat4.1從官網(wǎng)下載JDK和Tomcat 如下:備注:jdk版本:2版本以上Tomcat版本:官方標(biāo)準(zhǔn)版本:6.0以上4.2安裝JDK.和Tomcat1.1 雙擊jdk,一直選擇默認(rèn)安裝,直到完成為止參照文檔:1.2 配置JAVA環(huán)境變量:參照文檔:1.3 安裝Tomcat(綠色版)解壓Tomcat壓縮包,直接放入C:/下就可以。修改Tomcat下conf文件下server.xml的端口為80815. 域控服務(wù)器給工作組服務(wù)器分配域參照文檔:備注:三臺服務(wù)器必須相互能ping通。5.4文件部署1. Portal.ASP.net.zip文件解壓后,取出index.asp和login.asp文件放入:域成員服務(wù)器的IIS服務(wù)器對應(yīng)的C:/portal文件下。2. 在域成員服務(wù)器上打開tomcat文件夾,打開webapps文件夾將DTSSOServer.war包和DTSSOTicketService.war包放入。3. 在工作組電腦上打開tomcat文件夾,打開webapps文件夾將TomcatDemo1.war包和TomcatDemo2.war包放入4. 啟動IIS服務(wù)和tomcat服務(wù)器。5.5問題解析1. 三臺機(jī)器相互ping不通,采用NAT解析改成Bridage解析網(wǎng)絡(luò)2. Tomcat啟動不起來,將批處理startup.bat文件打開修改java_home變量路徑正確就可以正常啟動起來。3. IIS服務(wù)啟動不顯示頁面:搭建虛擬目錄,右擊屬性,選擇集成windows身份驗(yàn)證,同時(shí)禁用匿名登錄。4. 訪問tomcat業(yè)務(wù)顯示路徑不正確:端口配置一定要正確。IIS :80 DTSSOServer和DTSSOTicketService:8080 TomcatDemo1和TomcatDemo2:80815. 訪問中報(bào)錯(cuò): 由于域控為 域成員服務(wù)器為(80和8080兩個(gè)端口)工作組服務(wù)器為(8081端口)如果這三個(gè)域名已經(jīng)改變,那么文件里也要相應(yīng)的修改。第一:index.asp和login.asp文件
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- GB/T 44966-2024橄欖油中脂肪酸乙酯含量的測定氣相色譜-質(zhì)譜法
- GB/T 18375-2024假肢下肢假肢的結(jié)構(gòu)檢驗(yàn)要求和試驗(yàn)方法
- 廣東省深圳市2025屆高三第二次診斷考試語文試題及答案
- 抗利尿激素分泌失調(diào)綜合征的臨床護(hù)理
- ADME/T工程細(xì)胞株的構(gòu)建調(diào)研報(bào)告
- 產(chǎn)后肚子疼的健康宣教
- 低磷性佝僂病的臨床護(hù)理
- 孕期肺結(jié)核的健康宣教
- 兒童精神分裂癥的健康宣教
- 口技公開課課件
- 個(gè)人球桿轉(zhuǎn)讓合同模板
- 2025蛇年大吉新春年貨節(jié)元宵節(jié)元旦新春市集活動策劃方案
- 2024-2030年全球與中國環(huán)保垃圾桶行業(yè)市場現(xiàn)狀調(diào)研分析及發(fā)展前景報(bào)告
- 統(tǒng)編版六年級語文上冊期末復(fù)習(xí)教案
- 資本成本法度量風(fēng)險(xiǎn)邊際
- 2023年中考英語備考讓步狀語從句練習(xí)題(附答案)
- DL∕T 5028.1-2015 電力工程制圖標(biāo)準(zhǔn) 第1部分:一般規(guī)則部分
- 創(chuàng)新工程實(shí)踐智慧樹知到期末考試答案章節(jié)答案2024年北京大學(xué)等跨校共建
- Unit 6 Section A 課件 人教版2024七年級英語上冊
- 江西省物業(yè)管理服務(wù)收費(fèi)辦法
- 高級臨床藥學(xué)實(shí)踐概論智慧樹知到期末考試答案章節(jié)答案2024年沈陽藥科大學(xué)
評論
0/150
提交評論