用戶單點登錄解決實施方案

1、用戶單點登錄解決方案作者:日期:統(tǒng)一用戶認證和單點登錄解決方案本文以某新聞單位多媒體數(shù)據(jù)庫系統(tǒng)為例，提出建立企業(yè)用戶認證中心，實現(xiàn) 基于安全策略的統(tǒng)一用戶管理、認證和單點登錄，解決用戶在同時使用多個應 用系統(tǒng)時所遇到的重復登錄問題。隨著信息技術和網(wǎng)絡技術的迅猛發(fā)展， 企業(yè)內部的應用系統(tǒng)越來越多。比如在媒 體行業(yè)，常見的應用系統(tǒng)就有采編系統(tǒng)、排版系統(tǒng)、印刷系統(tǒng)、廣告管理系統(tǒng)、 財務系統(tǒng)、辦公自動化系統(tǒng)、決策支持系統(tǒng)、客戶關系管理系統(tǒng)和網(wǎng)站發(fā)布系統(tǒng) 等。由于這些系統(tǒng)互相獨立，用戶在使用每個應用系統(tǒng)之前都必須按照相應的系 統(tǒng)身份進行登錄，為此用戶必須記住每一個系統(tǒng)的用戶名和密碼， 這給用戶帶來 了不

2、少麻煩。特別是隨著系統(tǒng)的增多，出錯的可能性就會增加，受到非法截獲和 破壞的可能性也會增大，安全性就會相應降低。針對于這種情況，統(tǒng)一用戶認證、 單點登錄等概念應運而生，同時不斷地被應用到企業(yè)應用系統(tǒng)中。統(tǒng)一用戶管理的基本原理一般來說，每個應用系統(tǒng)都擁有獨立的用戶信息管理功能，用戶信息的格式、命 名與存儲方式也多種多樣。當用戶需要使用多個應用系統(tǒng)時就會帶來用戶信息同 步問題。用戶信息同步會增加系統(tǒng)的復雜性，增加管理的成本。多大飛例如，用戶X需要同時使用A系統(tǒng)與B系統(tǒng)，就必須在A系統(tǒng)與B系統(tǒng)中都創(chuàng)建 用戶X,這樣在A B任一系統(tǒng)中用戶X的信息更改后就必須同步至另一系統(tǒng)。 如果用戶X需要同時使用10個

3、應用系統(tǒng)，用戶信息在任何一個系統(tǒng)中做出更改 后就必須同步至其他9個系統(tǒng)。用戶同步時如果系統(tǒng)出現(xiàn)意外，還要保證數(shù)據(jù)的 完整性，因而同步用戶的程序可能會非常復雜。解決用戶同步問題的根本辦法是建立統(tǒng)一用戶管理系統(tǒng)（UUM）。 UUM統(tǒng)一存 儲所有應用系統(tǒng)的用戶信息，應用系統(tǒng)對用戶的相關操作全部通過 UUM完成， 而授權等操作則由各應用系統(tǒng)完成，即統(tǒng)一存儲、分布授權。 UUM應具備以下 基本功能：1 用戶信息規(guī)范命名、統(tǒng)一存儲，用戶ID全局惟一。用戶ID猶如身份證，區(qū) 分和標識了不同的個體。2. UUM向各應用系統(tǒng)提供用戶屬性列表，如姓名、電話、地址、郵件等屬性， 各應用系統(tǒng)可以選擇本系統(tǒng)所需要的部分

4、或全部屬性。3應用系統(tǒng)對用戶基本信息的增加、修改、刪除和查詢等請求由UUMS處理。4應用系統(tǒng)保留用戶管理功能，如用戶分組、用戶授權等功能。5. UUM應具有完善的日志功能，詳細記錄各應用系統(tǒng)對UUMS勺操作。統(tǒng)一用戶認證是以UUM為基礎，對所有應用系統(tǒng)提供統(tǒng)一的認證方式和認證策 略，以識別用戶身份的合法性。統(tǒng)一用戶認證應支持以下幾種認證方式：1. 匿名認證方式：用戶不需要任何認證，可以匿名的方式登錄系統(tǒng)。2. 用戶名/密碼認證：這是最基本的認證方式。3. PKI/CA數(shù)字證書認證：通過數(shù)字證書的方式認證用戶的身份。4. IP地址認證：用戶只能從指定的IP地址或者IP地址段訪問系統(tǒng)。5. 時間段

5、認證：用戶只能在某個指定的時間段訪問系統(tǒng)。6. 訪問次數(shù)認證：累計用戶的訪問次數(shù)，使用戶的訪問次數(shù)在一定的數(shù)值范圍 之內。以上認證方式應采用模塊化設計，管理員可靈活地進行裝載和卸載，同時還可按 照用戶的要求方便地擴展新的認證模塊。認證策略是指認證方式通過與、或、非等邏輯關系組合后的認證方式。管理員可 以根據(jù)認證策略對認證方式進行增、刪或組合，以滿足各種認證的要求。比如， 某集團用戶多人共用一個賬戶，用戶通過用戶名密碼訪問系統(tǒng)，訪問必須限制在 某個IP地址段上。該認證策略可表示為：用戶名/密碼“與” IP地址認證。PKI/CA數(shù)字證書認證雖不常用，但卻很有用，通常應用在安全級別要求較高的環(huán)境中。

6、PKI (Public Key Infrastructure)即公鑰基礎設施是利用公鑰理論和數(shù)字證書來確保系統(tǒng)信息安全的一種體系。在公鑰體制中，密鑰成對生成，每對密鑰由一個公鑰和一個私鑰組成，公鑰公布于眾，私鑰為所用者私有。發(fā)送者利用接收者的公鑰發(fā)送信息，稱為數(shù)字加密， 接收者利用自己的私鑰解密；發(fā)送者利用自己的私鑰發(fā)送信息，稱為數(shù)字簽名， 接收者利用發(fā)送者的公鑰解密。PKI通過使用數(shù)字加密和數(shù)字簽名技術，保證了 數(shù)據(jù)在傳輸過程中的機密性(不被非法授權者偷看)、完整性(不能被非法篡改) 和有效性(數(shù)據(jù)不能被簽發(fā)者否認)。數(shù)字證書有時被稱為數(shù)字身份證，數(shù)字證書是一段包含用戶身份信息、用戶公鑰 信

7、息以及身份驗證機構數(shù)字簽名的數(shù)據(jù)。 身份驗證機構的數(shù)字簽名可以確保證書 信息的真實性。完整的PKI系統(tǒng)應具有權威認證機構 CA (Certificate Authority)、證書注冊系統(tǒng) RA( Registration Authority)、密鑰管理中心 KMC Key Manage Center 八證書發(fā)布查詢系統(tǒng)和備份恢復系統(tǒng)。CA是PKI的核心，負責所有數(shù)字證書的簽 發(fā)和注銷；RA接受用戶的證書申請或證書注銷、恢復等申請，并對其進行審核；KMC負責加密密鑰的產(chǎn)生、存貯、管理、備份以及恢復；證書發(fā)布查詢系統(tǒng)通常采用 OCS(Online Certificate Status Proto

8、col，在線證書狀態(tài)協(xié)議)協(xié)議提供查詢用戶證書的服務，用來驗證用戶簽名的合法性；備份恢復系統(tǒng)負責數(shù) 字證書、密鑰和系統(tǒng)數(shù)據(jù)的備份與恢復。單點登錄單點登錄(SSO Single Sign-on )是一種方便用戶訪問多個系統(tǒng)的技術，用戶 只需在登錄時進行一次注冊，就可以在多個系統(tǒng)間自由穿梭，不必重復輸入用戶 名和密碼來確定身份。單點登錄的實質就是安全上下文 (Security Con text )或 憑證(Credential )在多個應用系統(tǒng)之間的傳遞或共享。當用戶登錄系統(tǒng)時，客 戶端軟件根據(jù)用戶的憑證(例如用戶名和密碼)為用戶建立一個安全上下文，安 全上下文包含用于驗證用戶的安全信息，系統(tǒng)用這

9、個安全上下文和安全策略來判 斷用戶是否具有訪問系統(tǒng)資源的權限。遺憾的是J2EE規(guī)范并沒有規(guī)定安全上下文的格式，因此不能在不同廠商的 J2EE產(chǎn)品之間傳遞安全上下文。1. 客戶端向應用服務器請求訪問巣2. 應用服務器璽定向到SSQ服務I3. 如果用戶未豊錄SSO安全域】i 務器埒請求璽宦向到身份認證艇4 用戶通過身檢認證后.SSO服務: 生成貝份標識并簽發(fā)身份斷言5.逼0服務器重定向到應用服務器 服務器驗證斷言有效性，從斷言 用戶身份信息。本枕訪囪緒柬“圖1 SSO原理示意圖目前業(yè)界已有很多產(chǎn)品支持 SSO如IBM的 WebSphere和BEA的WebLogic,但各 家SSO產(chǎn)品的實現(xiàn)方式也不

10、盡相同。 WebSphere通過Cookie記錄認證信息，Web Logic則是通過Session共享認證信息。Cookie是一種客戶端機制，它存儲的內 容主要包括：名字、值、過期時間、路徑和域，路徑與域合在一起就構成了Cookie的作用范圍，因此用Cookie方式可實現(xiàn)SSO但域名必須相同；Session是 一種服務器端機制，當客戶端訪問服務器時，服務器為客戶端創(chuàng)建一個惟一的Sessi on ID，以使在整個交互過程中始終保持狀態(tài)，而交互的信息則可由應用自行指定，因此用Session方式實現(xiàn)SSO不能在多個瀏覽器之間實現(xiàn)單點登錄，但 卻可以跨域。實現(xiàn)SSO有無標準可尋？如何使業(yè)界產(chǎn)品之間、產(chǎn)

11、品內部之間信息交互更標準、 更安全呢？基于此目的，OASIS（結構化信息標準促進組織） 提出了 SAML解決方 案（有關SAM啲知識參看鏈接）。用戶認證中心實際上就是將以上所有功能、所有概念形成一個整體，為企業(yè)提供一套完整的用戶認證和單點登錄解決方案。 一個完整的用戶認證中心應具備以下 功能：1. 統(tǒng)一用戶管理。實現(xiàn)用戶信息的集中管理，并提供標準接口。2. 統(tǒng)一認證。用戶認證是集中統(tǒng)一的，支持 PKI、用戶名/密碼、B/S和C/S等 多種身份認證方式。RA管理気操作員rata中心isTSOph服務器'ocsp«ve14書覽布査卿緘弄用戶管理|SS0 ft 8應用翩1員mtnf

12、iw用戸憶崑(o)UUZ塊AA管理系線PliwSS0O8VCSP v*v用戶管理啓代理AiOS應用系驢圖2統(tǒng)一用戶認證與單點登錄設計模型3. 單點登錄。支持不同域內多個應用系統(tǒng)間的單點登錄用戶認證中心提供了統(tǒng)一認證的功能，那么用戶認證中心如何提供統(tǒng)一授權的功 能呢？這就是授權管理中，其中應用最多的就是PMI。PMI (Privilege Management Infrastructure，授權管理基礎設施)的目標是向用戶和應用程序提供授權管理服務，提供用戶身份到應用授權的映射功能，提供與實際應用處理模式相對應的、與具體應用系統(tǒng)開發(fā)和管理無關的授權和訪問控 制機制，簡化具體應用系統(tǒng)的開發(fā)與維護。

13、PMI是屬性證書(Attribute Certificate )、屬性權威(Attribute Authority )、屬性證書庫等部件的集合體，用 來實現(xiàn)權限和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。PMI以資源管理為核心，對資源的訪問控制權統(tǒng)一交由授權機構統(tǒng)一處理，即由 資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比，兩者主要區(qū)別在于：PKI證明用戶是誰，而PMI證明這個用戶有什么權限，能干什么，而且 PMI可以 利用PKI為其提供身份認證。單點登錄通用設計模型圖2是統(tǒng)一用戶認證和單點登錄通用設計模型，它由以下產(chǎn)品組成：1. PKI體系：包括CA服務器、RA服務器、KM（和OCSP

14、艮務器。2. AA管理服務器：即認證（Authentication ）和授權（Authorization ）服務 器，它為系統(tǒng)管理員提供用戶信息、認證和授權的管理。3. UUMS模塊：為各應用系統(tǒng)提供UUM接口。4. SSO:包括SSO弋理和SSOK務器。SSO弋理部署在各應用系統(tǒng)的服務器端， 負責截獲客戶端的SSO青求，并轉發(fā)給SSC服務器，如果轉發(fā)的是 OCSF請求， 則SSOK務器將其轉發(fā)給OCS服務器。在C/S方式中，SSO弋理通常部署在客 戶端。5. PMI:包括PMI代理和PMI服務器。PMI代理部署在各應用系統(tǒng)的服務器端， 負責截獲客戶端的PMI請求，并轉發(fā)給PMI服務器。6.

15、LDAP服務器：統(tǒng)一存儲用戶信息、證書和授權信息。為判斷用戶是否已經(jīng)登錄系統(tǒng)，SSOK務器需要存儲一張用戶會話（Session ） 表，以記錄用戶登錄和登出的時間，SSOK務器通過檢索會話表就能夠知道用戶 的登錄情況，該表通常存儲在數(shù)據(jù)庫中。AA系統(tǒng)提供了對會話的記錄、監(jiān)控和撤消等管理功能。為保證穩(wěn)定與高效，SSO PMI和OCS刖部署兩套或多套應用， 同時提供服務。鏈接SAMLSAML（Security Assertion Markup Language,安全性斷言標記語言）是一種基 于XML的框架，主要用于在各安全系統(tǒng)之間交換認證、授權和屬性信息，它的主要目標之一就是SSO在SAM框架下，無論用戶使用哪種信任機制，只要滿足 SAM啲接口、信息交互定義和流程規(guī)范，相互之間都可以無縫集成。SAML規(guī)范的完整框架及有關信息交互格式與協(xié)議使得現(xiàn)有的各種身份鑒別機制（PKI、Kerberos和口令）、各種授權機制（基于屬性證書的 PMI、ACL Kerberos的訪 問控制）通過使用統(tǒng)一接口實現(xiàn)跨信任域的互操作， 便于分布式應用系統(tǒng)的信任 和授權的統(tǒng)一管理。SAM并不是一項新技術。確切地說，它是一種語言，是一種XML苗述，目的是允許不同安全系統(tǒng)產(chǎn)生的信息進行交換。SAM規(guī)范由以下部分組成：1. 斷言與協(xié)議：定義XML格式的斷言的語法語義以及