基于旁路技術(shù)的單點登錄系統(tǒng)設(shè)計與實現(xiàn)

1、基于旁路技術(shù)的單點登錄系統(tǒng)設(shè)計與實現(xiàn)嚴(yán)靜（中國核動力研究設(shè)計院/信息中心，四川 成都 610041） 摘要：在某單點登錄改造項目實施過程中，為了克服原方案的性能瓶頸和兼容性缺陷，采用安全認(rèn)證網(wǎng)關(guān)、絕對url地址訪問、多因子加密等方法，解決了身份認(rèn)證、旁路訪問、安全參數(shù)傳遞等關(guān)鍵技術(shù)，設(shè)計出了統(tǒng)一身份認(rèn)證與獨立系統(tǒng)訪問相結(jié)合的單點登錄解決方案，提出了基于該方案進(jìn)行單點登錄改造的技術(shù)要求，經(jīng)過實際應(yīng)用驗證，該方案具有突出的優(yōu)點和實用效果。關(guān)鍵詞：系統(tǒng)集成，統(tǒng)一身份認(rèn)證，單點登錄，安全認(rèn)證網(wǎng)關(guān)，加密傳輸bypass-based single sign-on system design and imp

2、lementation of technologyyan jing(information center of nuclear power institute of china, chengdu sichuan 610041, china)abstract: in order to overcome the performance bottleneck and compatibility flaws of original scheme during the implementation of a single sign-on project, the security authenticat

3、ion gateway, absolute url address access and multi-factor encryption methods were used. key technical problems such as identity authentication, bypass access and security parameter passing, were solved. a single sign-on solution combined of the uniform identity authentication and independent system

4、access was designed. some technical requirements of single sign-on implementation based on this solution were advanced. the application showed that this scheme is with outstanding advantages and effectiveness.keywords: system integration; uniform identity authentication; single sign-on; security aut

5、hentication gateway; encryption transfer0 引言企業(yè)應(yīng)用系統(tǒng)從c/s結(jié)構(gòu)向b/s結(jié)構(gòu)1、從獨立分散使用向集成使用、從單因子認(rèn)證向多因子認(rèn)證轉(zhuǎn)變的趨勢越來越明顯，大型企業(yè)的信息化建設(shè)必須從起步開始就把握應(yīng)用系統(tǒng)的發(fā)展趨勢，確定應(yīng)用系統(tǒng)集成2路線和方向，以指導(dǎo)應(yīng)用系統(tǒng)建設(shè)的長遠(yuǎn)發(fā)展。應(yīng)用系統(tǒng)集成分為賬號和入口集成、消息和數(shù)據(jù)集成、業(yè)務(wù)和流程集成幾個階段，其中賬號和入口集成又叫單點登錄（single sign on）3，簡稱為sso，是目前比較流行的企業(yè)應(yīng)用系統(tǒng)集成的初級階段和基礎(chǔ)，它將企業(yè)中使用的多個相對獨立的應(yīng)用系統(tǒng)，通過某種技術(shù)整合在一起，使其從使用者體

6、驗角度看，就像是一個應(yīng)用系統(tǒng)，用戶只需啟動一個程序入口，進(jìn)行一次身份認(rèn)證，就能訪問其應(yīng)該和有權(quán)使用的所有應(yīng)用系統(tǒng)及功能模塊，其技術(shù)核心是門戶和統(tǒng)一身份認(rèn)證4。sso的實現(xiàn)不但能提高應(yīng)用系統(tǒng)管理效率和使用方便性，而且還能為進(jìn)一步的應(yīng)用系統(tǒng)集成奠定基礎(chǔ)，對企業(yè)的信息化建設(shè)和發(fā)展具有十分重要的意義。1 需求和現(xiàn)狀隨著企業(yè)的發(fā)展，業(yè)務(wù)系統(tǒng)的數(shù)量在不斷的增加，通常來說，每個單獨的系統(tǒng)都會有自己的登錄入口和身份認(rèn)證模塊。在進(jìn)行單點登錄整合以前，進(jìn)入每個系統(tǒng)都需要進(jìn)行登錄，這樣的局面不僅給使用者帶來很大的不便，給管理者帶來很大的困難，而且在安全方面也埋下了重大的隱患，具體表現(xiàn)在以下幾個方面：1) 每套系統(tǒng)都

7、使用不同的登錄賬號和密碼，使用者經(jīng)常弄錯或忘記，致使許多使用者將各個系統(tǒng)的賬號和密碼寫在某個地方，從而帶來很大的安全隱患。2) 每套系統(tǒng)一套獨立的賬戶管理，使管理人員在處理新員工建帳和離職員工銷帳業(yè)務(wù)時工作量非常大，而且還容易搞錯。如果每套系統(tǒng)的賬戶管理是分散到各個業(yè)務(wù)部門自行管理，那么一個新員工的建帳工作有可能要花費一兩個星期。3) 系統(tǒng)切換極不方便，每次切換都要重復(fù)輸入帳號和密碼，不利于集成辦公。4) 身份信息不統(tǒng)一，使業(yè)務(wù)待辦、新郵件提醒等個性化信息服務(wù)無法有效部署和開展。目前，許多大型企業(yè)的應(yīng)用系統(tǒng)建設(shè)才剛剛起步，在短時間內(nèi)上述矛盾不會很突出，但從長遠(yuǎn)來說，應(yīng)用系統(tǒng)建設(shè)在未來五到十年內(nèi)

8、將進(jìn)入一個快速發(fā)展期，到時，在企業(yè)內(nèi)必將出現(xiàn)幾千用戶、幾十個應(yīng)用系統(tǒng)的運行局面，因此，應(yīng)盡早搭建起單點登錄平臺，建立單點登錄的技術(shù)規(guī)范，為后續(xù)應(yīng)用系統(tǒng)的開發(fā)和集成做好準(zhǔn)備。實現(xiàn)單點登錄的途徑有很多，比較成熟可行的解決方案有三種：1、集成設(shè)計法，將企業(yè)的所有應(yīng)用系統(tǒng)和門戶系統(tǒng)揉捏成一個獨立的大系統(tǒng)進(jìn)行設(shè)計，整個系統(tǒng)只有一個登錄模塊和帳戶管理模塊，每個子系統(tǒng)都只是大系統(tǒng)中的一個功能模塊。此方案在c/s結(jié)構(gòu)時代應(yīng)用比較廣泛，適合于全面新建和全部由一家軟件開發(fā)公司承建的情況；2、帳戶映射法，在已有的應(yīng)用系統(tǒng)之外，單獨開發(fā)一個入口門戶，新建一套獨立的帳戶和密碼，然后將每個用戶在各個應(yīng)用系統(tǒng)中的帳戶和密碼

9、映射到該門戶系統(tǒng)中，使用時，用戶只需以正確的身份登陸門戶系統(tǒng)，然后再進(jìn)入各應(yīng)用系統(tǒng)時的身份認(rèn)證則由門戶系統(tǒng)代理完成。此方案不需要對原系統(tǒng)進(jìn)行任何修改，容易實現(xiàn)，但保證映射關(guān)系的維護(hù)工作量大，且代理執(zhí)行容易泄露原系統(tǒng)密碼，同時可能與防病毒策略沖突，所以，此方案正逐步被淘汰；3、安全網(wǎng)關(guān)法，它以統(tǒng)一身份認(rèn)證平臺為支撐，將企業(yè)的所有應(yīng)用系統(tǒng)部署在安全網(wǎng)關(guān)后面，通過適當(dāng)?shù)呐渲煤桶踩W(wǎng)關(guān)提供的門戶，實現(xiàn)強(qiáng)身份認(rèn)證和單點登錄功能。此方案已實現(xiàn)產(chǎn)品化，隨著b/s結(jié)構(gòu)時代的到來和安全保密要求的加強(qiáng)，它正逐步成為企業(yè)門戶單點登錄改造的必然選擇。安全網(wǎng)關(guān)法雖然在理論上能較好地解決應(yīng)用系統(tǒng)集成的單點登錄問題，但在實

10、施過程中還是要面對許多實際問題，比如對已有系統(tǒng)的改造工作量和兼容問題，對新系統(tǒng)的標(biāo)準(zhǔn)規(guī)范要求和接口問題等，下面以我們成功實施的某企業(yè)門戶單點登錄改造項目為例，詳細(xì)介紹其實施過程、技術(shù)解決方案和應(yīng)用效果，供具有類似情況和建設(shè)需求的企業(yè)參考借鑒。2 平臺選型項目實施的第一步是選擇一套合適的統(tǒng)一身份認(rèn)證平臺，它是實現(xiàn)sso的基礎(chǔ)，也是國家保密局出臺的機(jī)密級涉密信息系統(tǒng)建設(shè)標(biāo)準(zhǔn)中要求搭建的平臺，它采用數(shù)字證書的手段來實現(xiàn)用戶身份的描述，通過建設(shè)身份認(rèn)證體系來實現(xiàn)對用戶身份的統(tǒng)一管理，為業(yè)務(wù)系統(tǒng)提供用戶身份認(rèn)證、用戶信息（機(jī)構(gòu)信息等）獲取、數(shù)字簽名等密碼相關(guān)服務(wù)。目前國內(nèi)有多家公司能提供該平臺產(chǎn)品，為此

11、，項目組搭建起專門的測試環(huán)境，對各家公司的產(chǎn)品進(jìn)行了比選測試，測試內(nèi)容主要包含以下幾個部分：1) 系統(tǒng)體系結(jié)構(gòu)和系統(tǒng)設(shè)計方案對用戶需求的滿足程度2) pki/ca功能4、性能測試3) sso功能、性能測試4) 安全桌面系統(tǒng)功能、性能測試5) 與現(xiàn)有商用密碼機(jī)結(jié)合情況6) 與已有應(yīng)用系統(tǒng)結(jié)合情況7) 兼容活動目錄情況（域登錄和主機(jī)登錄結(jié)合）8) 與現(xiàn)有主機(jī)監(jiān)控系統(tǒng)的接口情況此外，還應(yīng)對一些具體的技術(shù)細(xì)節(jié)進(jìn)行詳細(xì)測試，如：b/s結(jié)構(gòu)下的會話時效性、非應(yīng)用網(wǎng)關(guān)結(jié)構(gòu)、用戶和機(jī)構(gòu)的統(tǒng)一管理等。最后評比選擇了某公司的統(tǒng)一身份認(rèn)證平臺。3 技術(shù)路線選擇某公司統(tǒng)一身份認(rèn)證平臺的體系結(jié)構(gòu)如圖1所示，從圖中可以看

12、出，該產(chǎn)品采用安全認(rèn)證網(wǎng)關(guān)方式實現(xiàn)統(tǒng)一身份認(rèn)證和單點登錄，由于用戶已有門戶系統(tǒng)、辦公自動化系統(tǒng)、項目管理系統(tǒng)、財務(wù)管理系統(tǒng)、檔案管理系統(tǒng)、全文檢索系統(tǒng)等應(yīng)用系統(tǒng)處于穩(wěn)定使用狀態(tài)，該平臺的引入和實施將存在以下局限性：1) 用戶應(yīng)用系統(tǒng)必須集成到該廠家提供的門戶系統(tǒng)中，該門戶系統(tǒng)功能太單一，不能滿足用戶對原有門戶系統(tǒng)的功能需求。2) 用戶對所有應(yīng)用系統(tǒng)的請求以及這些應(yīng)用系統(tǒng)的響應(yīng)都必須經(jīng)過其安全認(rèn)證網(wǎng)關(guān)處理、轉(zhuǎn)發(fā)，在該網(wǎng)關(guān)處將形成嚴(yán)重的性能瓶頸。3) 部分原有應(yīng)用系統(tǒng)由于代碼編寫不規(guī)范或采用了特殊程序代碼，其頁面經(jīng)過安全認(rèn)證網(wǎng)關(guān)處理、轉(zhuǎn)發(fā)后，不能正常運行，使這些應(yīng)用系統(tǒng)的單點登錄改造具有很大風(fēng)險。

13、為了擺脫上述局限性，我們拋棄了平臺廠家提供的這種解決方案，在現(xiàn)有平臺基礎(chǔ)上探索出了一個切實可行的解決方案，我們認(rèn)為最理想的情況是：1) 能直接利用用戶已有的oa門戶系統(tǒng)，作為所有應(yīng)用系統(tǒng)的門戶入口。因為該門戶系統(tǒng)集成了公文處理、郵件發(fā)送、協(xié)同辦公、信息發(fā)布、待辦事務(wù)提醒、二級網(wǎng)站鏈接等功能，經(jīng)過長時間的運行，已基本滿足員工的使用習(xí)慣。2) 用戶只在需要進(jìn)行身份驗證時，才訪問安全認(rèn)證網(wǎng)關(guān)，其它的網(wǎng)頁請求直接發(fā)向原應(yīng)用系統(tǒng)服務(wù)器。這樣，訪問負(fù)載將分散到各應(yīng)用服務(wù)器，不存在瓶頸問題，當(dāng)某個應(yīng)用服務(wù)器負(fù)載過重時，可單獨對此服務(wù)器進(jìn)行集群擴(kuò)充，技術(shù)實現(xiàn)簡單。3) 對應(yīng)用系統(tǒng)的修改量小，適應(yīng)性強(qiáng)，不受應(yīng)用

14、系統(tǒng)內(nèi)部編碼方式的影響，不削弱應(yīng)用系統(tǒng)原有的運行性能和穩(wěn)定性。針對上述理想，我們進(jìn)行了大量的技術(shù)分析和試驗，最后，從原解決方案的一個異常調(diào)用現(xiàn)象中找到了突破口，原解決方案實現(xiàn)的單點登錄運行環(huán)境中，如果某個頁面采用了絕對url地址方式訪問應(yīng)用系統(tǒng)的下一個頁面，則該請求將繞過安全認(rèn)證網(wǎng)關(guān)，直接訪問url所指的服務(wù)器，從而引起程序出錯，使操作無法進(jìn)行下去?，F(xiàn)在我們可以利用這個異?，F(xiàn)象來擺脫安全認(rèn)證網(wǎng)關(guān)的束縛，于是我們制定了下述解決方案：1) 在各應(yīng)用系統(tǒng)中增加一個入口網(wǎng)頁。2) 將各應(yīng)用系統(tǒng)的該入口網(wǎng)頁配置到安全認(rèn)證網(wǎng)關(guān)中。3) 當(dāng)用戶訪問安全認(rèn)證網(wǎng)關(guān)中的該入口網(wǎng)頁時，安全認(rèn)證網(wǎng)關(guān)完成該用戶的身份認(rèn)

15、證，并將用戶信息附加在請求協(xié)議中轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器，在應(yīng)用服務(wù)器上，該入口網(wǎng)頁獲取到通過身份認(rèn)證的用戶id后，采用絕對url地址方式打開原應(yīng)用系統(tǒng)的主網(wǎng)頁，并將用戶id傳遞過去。4) 應(yīng)用系統(tǒng)主網(wǎng)頁利用接收到的用戶id進(jìn)行權(quán)限和界面處理，設(shè)置各種環(huán)境變量，呈現(xiàn)主界面。5) 用戶通過主界面上的各種鏈接直接訪問應(yīng)用服務(wù)器上的各功能網(wǎng)頁。該解決方案幾乎不對原應(yīng)用系統(tǒng)進(jìn)行任何修改，只是取消了原應(yīng)用系統(tǒng)的身份認(rèn)證網(wǎng)頁，增加一個新的入口網(wǎng)頁來代替之，用戶在使用系統(tǒng)時，只在進(jìn)入系統(tǒng)的時候才通過安全認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證，其余時候都是直接訪問原應(yīng)用系統(tǒng)服務(wù)器，應(yīng)用系統(tǒng)運行和操作環(huán)境不發(fā)生任何改變，完全能實現(xiàn)我們提

16、出的理想目標(biāo)，因此，我們最終選擇此解決方案作為該企業(yè)門戶系統(tǒng)單點登錄改造的技術(shù)路線。4 技術(shù)實現(xiàn)按照選定的技術(shù)路線，我們首先對用戶的oa門戶系統(tǒng)進(jìn)行單點登錄改造，此系統(tǒng)包括辦公自動化和門戶兩部分功能，辦公自動化部分由較落后的asp技術(shù)和第三方工作流平臺技術(shù)實現(xiàn)，門戶部分由較先進(jìn)的點net技術(shù)實現(xiàn)，都是b/s架構(gòu)，兩部分功能集成在一個系統(tǒng)中，共用一個登錄管理模塊和用戶管理模塊，實現(xiàn)步驟如下：1) 修改登錄網(wǎng)頁login.aspx，刪除登錄界面顯示及用戶id、密碼驗證相關(guān)代碼，增加從安全認(rèn)證網(wǎng)關(guān)接口函數(shù)獲取用戶id的代碼，將原有相對url地址方式打開子網(wǎng)頁（門戶系統(tǒng)主網(wǎng)頁mainpage.aspx

17、）的代碼改為絕對url地址，并將獲取的用戶id傳遞給mainpage.aspx網(wǎng)頁。2) 在安全認(rèn)證網(wǎng)關(guān)中進(jìn)行配置，將修改后的登錄網(wǎng)頁login.aspx設(shè)為oa門戶系統(tǒng)的入口網(wǎng)頁。3) 修改各客戶端配置，將原oa門戶系統(tǒng)入口地址改為指向安全認(rèn)證網(wǎng)關(guān)。步驟2和步驟3只是簡單的配置問題，步驟1的實現(xiàn)需要解決兩個關(guān)鍵問題：第一，入口網(wǎng)頁login.aspx從安全認(rèn)證網(wǎng)關(guān)接口函數(shù)獲取到用戶id后，如何將用戶id安全可靠地傳遞給應(yīng)用系統(tǒng)主網(wǎng)頁mainpage.aspx；第二，如何保證從安全認(rèn)證網(wǎng)關(guān)接口函數(shù)獲取的來自證書管理系統(tǒng)的用戶id與應(yīng)用系統(tǒng)用戶管理模塊建立的用戶id保持一致。下面簡單介紹這兩個關(guān)

18、鍵問題的解決過程。對問題一，起初，我們以為入口網(wǎng)頁能很方便的通過服務(wù)器端內(nèi)存變量方式傳遞給應(yīng)用系統(tǒng)主網(wǎng)頁，因為應(yīng)用系統(tǒng)主網(wǎng)頁是由入口網(wǎng)頁打開的，它們存在父子關(guān)系，這種傳遞方式既直接又安全，但實際情況大出我們所料，雖然入口網(wǎng)頁和主網(wǎng)頁都在同一個應(yīng)用服務(wù)器上，甚至在同一個目錄下，但對客戶端而言，入口網(wǎng)頁是通過安全認(rèn)證網(wǎng)關(guān)訪問的，而主網(wǎng)頁是直接訪問的，安全認(rèn)證網(wǎng)關(guān)將它們隔離成了兩個獨立的應(yīng)用，使會話空間完全隔離，根本不可能通過內(nèi)存變量傳遞用戶id。于是，我們選擇采用url參數(shù)傳遞方式來傳遞用戶id，該方式存在較大的安全隱患，我們相繼想出加密傳輸5，增加ip和時間加密因子等方法，以解決url偽造和復(fù)制

19、等漏洞，最后，我們在ip和時間加密因子的基礎(chǔ)上再增加密碼文件因子，即在應(yīng)用服務(wù)器上建立一文本文件，該文件中存放一串沒有規(guī)律的隨機(jī)輸入的字符序列，入口網(wǎng)頁進(jìn)行加密計算時提取該字符序列作為加密因子之一，主網(wǎng)頁進(jìn)行解密計算時也讀取該字符序列作為解密因子，從而實現(xiàn)正確解密，程序員在系統(tǒng)開發(fā)階段隨便輸入一個字符序列，系統(tǒng)部署后由主管密鑰的安全管理員隨機(jī)修改一個字符序列，從而達(dá)到防止程序員級的安全漏洞，此方案既可很好地解決各層面的安全漏洞，又便于加解密函數(shù)的編制、封裝和通用化，也便于維護(hù)管理。對問題二，有三種解決途徑：1、不修改用戶管理模塊，從制度上要求操作人員采用該模塊添加用戶時，其輸入的用戶id必須與

20、證書管理系統(tǒng)中的用戶id相同；2、修改用戶管理模塊，屏蔽手工輸入用戶id和相關(guān)信息功能，采用接口函數(shù)從證書管理系統(tǒng)提取用戶id和相關(guān)信息供操作人員選擇輸入；3、去掉用戶管理模塊，統(tǒng)一采用證書管理系統(tǒng)中的用戶管理模塊?？紤]到方法1在實際操作時可靠性低、管理復(fù)雜，方法3會導(dǎo)致應(yīng)用系統(tǒng)的相關(guān)模塊也要進(jìn)行大量修改，因此我們選擇了方法2，對oa門戶系統(tǒng)中的用戶管理網(wǎng)頁usermng.aspx進(jìn)行修改，封閉界面上的用戶id、用戶姓名等關(guān)鍵信息輸入框的編輯功能，新增一個選擇按鈕和一個用戶信息選擇頁面usermsg.aspx，該頁面調(diào)用證書管理系統(tǒng)提供的接口函數(shù)從ad目錄數(shù)據(jù)庫中提取用戶信息，列表顯示在界面上

21、供操作員選擇輸入。對oa門戶系統(tǒng)進(jìn)行上述修改和配置后，該系統(tǒng)的單點登錄改造工作基本完成，改造后的系統(tǒng)訪問過程如圖2所示，各步驟操作說明如下： 插有usb key6的客戶端通過安全認(rèn)證網(wǎng)關(guān)目標(biāo)地址訪問oa門戶服務(wù)器上的入口網(wǎng)頁login.aspx； 安全認(rèn)證網(wǎng)關(guān)獲取usb key中的用戶證書，傳遞給ocsp服務(wù)器進(jìn)行合法性驗證； 驗證通過后傳回用戶id和相關(guān)用戶信息； 安全認(rèn)證網(wǎng)關(guān)將用戶id和相關(guān)用戶信息添加到訪問協(xié)議串中，轉(zhuǎn)發(fā)給oa門戶服務(wù)器上的入口網(wǎng)頁login.aspx； login.aspx調(diào)用證書管理系統(tǒng)提供的接口函數(shù)獲取訪問協(xié)議串中的用戶id，然后調(diào)用我們編制的加密函數(shù)對用戶id進(jìn)行

22、加密計算，將加密結(jié)果字符串返回給安全認(rèn)證網(wǎng)關(guān)； 安全認(rèn)證網(wǎng)關(guān)將加密結(jié)果字符串轉(zhuǎn)發(fā)給客戶端； 客戶端以加密結(jié)果字符串為url參數(shù)，采用絕對url地址方式直接訪問oa門戶服務(wù)器上的主網(wǎng)頁mainpage.aspx； mainpage.aspx調(diào)用我們編制的解密函數(shù)計算出實際的用戶id，完成會話變量設(shè)置、權(quán)限判斷和控制、界面呈現(xiàn)等計算后直接向客戶端返回響應(yīng)內(nèi)容，后續(xù)訪問和響應(yīng)將直接在客戶端和oa門戶服務(wù)器間進(jìn)行。采用相同的步驟和方法，我們相繼完成了用戶已有的其它幾個應(yīng)用系統(tǒng)的單點登錄改造工作，并將后續(xù)應(yīng)用系統(tǒng)的登錄入口集成到oa門戶系統(tǒng)的主網(wǎng)頁上，實現(xiàn)了多應(yīng)用系統(tǒng)的單點登錄集成。5 實施效果目前，該

23、企業(yè)采用上述解決方案已完成oa門戶系統(tǒng)、數(shù)字圖書館系統(tǒng)、檔案管理系統(tǒng)、財務(wù)管理系統(tǒng)、技術(shù)服務(wù)項目管理系統(tǒng)、內(nèi)部郵件系統(tǒng)、內(nèi)部論壇系統(tǒng)等七個應(yīng)用系統(tǒng)的單點登錄集成改造，其中，oa功能部分為asp技術(shù)，數(shù)字圖書館系統(tǒng)和財務(wù)管理系統(tǒng)為j2ee技術(shù)，其它系統(tǒng)為點net技術(shù)，運行環(huán)境的配置情況如下：1) 1、oa門戶系統(tǒng)分別部署在兩臺ibm460服務(wù)器上；2) 2、安全認(rèn)證網(wǎng)關(guān)、ocsp和其它各應(yīng)用系統(tǒng)分別部署在獨立的ibm260服務(wù)器上；3) 3、所有服務(wù)器均采用windows server 2003操作系統(tǒng)。4) 4、使用各應(yīng)用系統(tǒng)的連網(wǎng)用戶數(shù)超過1300個。本次單點登錄改造項目完成后，效果比較理想

24、，在統(tǒng)一身份認(rèn)證系統(tǒng)的控制下，用戶在登錄操作系統(tǒng)時需插入usbkey，并輸入正確的pin碼完成身份認(rèn)證，在該認(rèn)證有效期內(nèi)，用戶進(jìn)入oa門戶系統(tǒng)和門戶上的其它應(yīng)用系統(tǒng)時，根本不需要再輸入密碼進(jìn)行身份認(rèn)證，此時，安全認(rèn)證網(wǎng)關(guān)只是對用戶證書進(jìn)行有效性驗證，并提取用戶信息傳遞給應(yīng)用服務(wù)器，因此，用戶進(jìn)入操作系統(tǒng)后即可方便地進(jìn)入任何完成單點登錄改造的應(yīng)用系統(tǒng)，并且保證是該用戶的身份。在每天剛上班時的訪問高峰期，也僅是首次登錄門戶網(wǎng)頁或門戶網(wǎng)頁上的某應(yīng)用系統(tǒng)時，響應(yīng)速度稍慢，約需5至10秒時間，后續(xù)網(wǎng)頁訪問的響應(yīng)速度與未改造前相同，總體性能未受影響，達(dá)到了單點登錄改造的預(yù)期效果。從本項目單點登錄解決方案的

25、技術(shù)實現(xiàn)過程和實際運行情況看，為了保證該解決方案的有效實施，新建投運的應(yīng)用系統(tǒng)應(yīng)滿足下述幾點要求：1) 盡量采用b/s技術(shù)架構(gòu)；2) 必須完成用戶管理模塊的改造，統(tǒng)一從ad服務(wù)器提取用戶id和相關(guān)信息；3) 必須完成用戶登錄模塊的改造，統(tǒng)一從安全認(rèn)證網(wǎng)關(guān)登錄；4) 應(yīng)用系統(tǒng)本身必須具備完善的安全控制手段，不存在繞過入口網(wǎng)頁訪問功能網(wǎng)頁的漏洞，不存在未經(jīng)授權(quán)訪問敏感網(wǎng)頁的漏洞。6 結(jié)語企業(yè)門戶單點登陸改造的技術(shù)解決方案有多種，我們在實際項目實施過程中探索出的這套技術(shù)方案結(jié)合了安全認(rèn)證網(wǎng)關(guān)和獨立系統(tǒng)訪問的優(yōu)點，對企業(yè)原有系統(tǒng)和新購系統(tǒng)的改動量小，既能保證可靠的統(tǒng)一身份認(rèn)證，又可使各應(yīng)用系統(tǒng)的部署和

26、使用相對獨立，比較適合應(yīng)用系統(tǒng)多且供應(yīng)商不統(tǒng)一的企業(yè)采納使用。用戶信息證書校驗證書信息操作系統(tǒng)層認(rèn)證應(yīng)用層認(rèn)證客戶端ad服務(wù)器安全認(rèn)證網(wǎng)關(guān)應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)ca服務(wù)器ocsp服務(wù)器圖1 統(tǒng)一身份認(rèn)證平臺體系結(jié)構(gòu)圖客戶端安全認(rèn)證網(wǎng)關(guān)ocsp服務(wù)器oa門戶服務(wù)器圖2 單點登錄改造后的oa門戶系統(tǒng)訪問過程作者簡介：嚴(yán)靜（1969-），男，重慶市榮昌縣人，高級工程師，碩士，非ccf會員，主要研究方向：企業(yè)信息化設(shè)計、信息系統(tǒng)集成、應(yīng)用軟件開發(fā)。參考文獻(xiàn)：1 續(xù)巖, 季永志. 單點登錄技術(shù)在web應(yīng)用中的研究與實現(xiàn)j. 計算機(jī)工程，2006，32(10).2 胡建, 陳勇華. 單點登錄在軍工信息系

27、統(tǒng)集成中的應(yīng)用研究j. 信息化研究，2009，35（2）. 3 梁志罡. 基于web service的混合架構(gòu)單點登錄的設(shè)計j. 計算機(jī)應(yīng)用，2010，30 (12)：3363-3365.4 李小平, 閻光偉, 等. 基于公開密鑰基礎(chǔ)設(shè)施的單點登錄系統(tǒng)的設(shè)計j. 北京理工大學(xué)學(xué)報，2002，22(2)：209-213.5 asp.net應(yīng)用.使用asp.net加密口令eb/ol. 2007-12-03. /edu/aspdotnet/20/11/n253928.html6 飛天誠信科技有限公司. 復(fù)核型usb key與普通usb key的混合應(yīng)用探討j.

28、保密科學(xué)技術(shù)，2011（3）：13-15.我的大學(xué)愛情觀1、什么是大學(xué)愛情：大學(xué)是一個相對寬松，時間自由，自己支配的環(huán)境，也正因為這樣，培植愛情之花最肥沃的土地。大學(xué)生戀愛一直是大學(xué)校園的熱門話題，戀愛和學(xué)業(yè)也就自然成為了大學(xué)生在校期間面對的兩個主要問題。戀愛關(guān)系處理得好、正確，健康，可以成為學(xué)習(xí)和事業(yè)的催化劑，使人學(xué)習(xí)努力、成績上升；戀愛關(guān)系處理的不當(dāng)，不健康，可能分散精力、浪費時間、情緒波動、成績下降。因此，大學(xué)生的戀愛觀必須樹立在健康之上，并且樹立正確的戀愛觀是十分有必要的。因此我從下面幾方面談?wù)勛约旱膶Υ髮W(xué)愛情觀。2、什么是健康的愛情：1) 尊重對方，不顯示對愛情的占有欲，不把愛情放第

29、一位，不癡情過分；2) 理解對方，互相關(guān)心，互相支持，互相鼓勵，并以對方的幸福為自己的滿足; 3) 是彼此獨立的前提下結(jié)合；3、什么是不健康的愛情：1)盲目的約會，忽視了學(xué)業(yè);2)過于癡情，一味地要求對方表露愛的情懷，這種愛情常有病態(tài)的夸張;3)缺乏體貼憐愛之心，只表現(xiàn)自己強(qiáng)烈的占有欲;4)偏重于外表的追求;4、大學(xué)生處理兩人的在愛情觀需要三思：1. 不影響學(xué)習(xí)：大學(xué)戀愛可以說是一種必要的經(jīng)歷，學(xué)習(xí)是大學(xué)的基本和主要任務(wù)，這兩者之間有錯綜復(fù)雜的關(guān)系，有的學(xué)生因為愛情，過分的忽視了學(xué)習(xí)，把感情放在第一位；學(xué)習(xí)的時候就認(rèn)真的去學(xué)，不要去想愛情中的事，談戀愛的時候用心去談，也可以交流下學(xué)習(xí)，互相鼓勵

30、，共同進(jìn)步。2. 有足夠的精力：大學(xué)生活，說忙也會很忙，但說輕松也是相對會輕松的！大學(xué)生戀愛必須合理安排自身的精力，忙于學(xué)習(xí)的同時不能因為感情的事情分心，不能在學(xué)習(xí)期間，放棄學(xué)習(xí)而去談感情，把握合理的精力，分配好學(xué)習(xí)和感情。3、 有合理的時間；大學(xué)時間可以分為學(xué)習(xí)和生活時間，合理把握好學(xué)習(xí)時間和生活時間的“度”很重要；學(xué)習(xí)的時候，不能分配學(xué)習(xí)時間去安排兩人的在一起的事情，應(yīng)該以學(xué)習(xí)為第一；生活時間，兩人可以相互談?wù)剳賽?，用心去談，也可以交流下學(xué)習(xí)，互相鼓勵，共同進(jìn)步。5、大學(xué)生對愛情需要認(rèn)識與理解，主要涉及到以下幾個方面：（1） 明確學(xué)生的主要任務(wù)“放棄時間的人，時間也會放棄他?！贝髮W(xué)時代是吸納知識、增長才干的時期。作為當(dāng)代大學(xué)生，要認(rèn)識到現(xiàn)在的任務(wù)是學(xué)習(xí)學(xué)習(xí)做人、學(xué)習(xí)知識、學(xué)習(xí)為人民服務(wù)的本領(lǐng)。在校大學(xué)生要集中精力，投入到學(xué)習(xí)和社會實踐中，而不是因把過多的精力、時間用于談情說愛浪費寶貴的青春年華。因此，