《毕业设计-WEB单点登录系统的研究与设计.doc》由会员分享,可在线阅读,更多相关《毕业设计-WEB单点登录系统的研究与设计.doc(49页珍藏版)》请在金锄头文库上搜索。
1、摘要摘要随着计算机网络与信息技术的发展,企业网中应用系统越来越多。通常这些系统各自有一套认证系统,用户需要使用各种系统时,就必须逐一以输入口令等方式通过各种系统的身份认证。然而这强制需要用户记住不同系统的认证口令,繁琐的认证也增加了服务器的负荷。因此,需要一种独立的身份认证系统来统一管理各个应用系统的身份认证。本文在分析了主流web单点登录系统相关技术和规范上,总结出一个单点登录系统的基本模型结构,以身份认证服务中心和身份认证服务客户端系统构成。并通过Java平台实现了一个具备基本认证功能的web单点登录系统。该系统采用模块化方式开发,各层次相对独立,减少了已有系统集成到单点登录系统的开发量。
2、关键词:单点登录,统一认证,信息系统,网站设计AbstractWith the development of computer network and Information Technology, the number of applications is increasing in enterprise network. However, each application system has its own identity authentication system. The user who wants to access these applications must be ide
3、ntified seriatim, like enter different password. But it compels user to remember each applications password, also, it makes application servers tend to be overburdened. Consequently, an unaided identity authentication system is needs to manage each applications identity authentication. Base on the m
4、ainstream technique and criterion of web single sign-on system, this paper sums up a simple single sign-on system model which is composed identity authentication service center and identity authentication service client system. Base on the java platform, a simple web single sign-on system is carried
5、 out. This system adopts modularization development manner, the layers in system keep independence from each other, and it cut down integration workload.Keywords: SSO, unite attestation, information system, web site designi目录目 录第一章 绪论11.1 研究目的与意义11.2 国内外研究概述21.3 本文研究内容及组织结构3第二章 单点登录系统相关技术与规范52.1 单点登
6、录系统概念52.2 通用的标准解决方案72.2.1 通用安全服务应用程序接口(GSS-API)72.2.2开放软件基金会(OSF)-分布式计算环境(DCE)82.2.3 嵌入式认证模块(PAM)92.3 现实解决方案102.3.1 Broker-Based(基于经纪人) SSO方案102.3.2 Agent-Based (基于代理人) SSO方案102.3.3 Token-Based(基于令牌) SSO方案112.3.4 Agent and Broker-Based SSO方案122.3.5 Gateway-Based(基于网关) SSO 方案122.3.6 SAML-Based(基于安全断言
7、标记语言)方案13第三章 web单点登录系统模型结构153.1 系统模型153.1.1 总体结构153.1.2 详细结构163.2 身份认证服务中心183.2.1 功能183.2.2 结构193.3 身份认证服务客户端203.3.1 功能203.3.2 结构213.4 系统运作流程22第四章 系统实现274.1 需求分析274.1.1 功能需求274.1.2 性能需求274.1.3 运行需求274.2 开发平台及工具284.3 数据库设计304.4 系统关键模块代码实现324.3.1 数据库连接类324.3.2 认证中心票据的生成364.3.3 认证中心对用户身份的认证364.3.4 认证客户
8、端对用户身份的认证37第五章 总结与展望415.1 本文总结415.2 进一步研究方向41致谢43参考文献455第一章 绪论第一章 绪论1.1 研究目的与意义随着信息技术和网络技术的发展,各种应用服务的不断普及,用户每天需要登录到许多不同的信息系统,如网络、邮件、数据库、各种应用服务器等。每个系统都要求用户遵循一定的安全策略,比如要求输入用户ID和口令。随着用户需要登录系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。而如果用户忘记了口令,不能执行任务,就需要请求管理员的帮助,并只能在重新获得口令之前等待,造成了系统和安全管理资源的开销,降低了生产效率。
9、为避免这种尴尬,牢记登录信息,用户一般会简化密码,或者在多个系统中使用相同的口令,或者创建一个口令列表这些都是会危及公司信息保密性的几种习惯性做法。当这些安全风险逐步反映出来,管理员增加一些新的安全措施的时候,这些措施却在减少系统的可用性,并且会增大系统管理的复杂度。另一方面,较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务。例如财务系统为财务人员提供财务的管理、计算和报表服务;人事系统为人事部门提供全公司人员的维护服务;各种业务系统为公司内部不同的业务提供不同的服务等等。这些系统的目的都是让计算机来进行复杂繁琐的计算工作,来替代人力的手工劳动,提高工作效率和质量。这些不
10、同的系统往往是在不同的时期建设起来的,运行在不同的平台上;也许是由不同厂商开发,使用了各种不同的技术和标准。每一个应用系统在运行了数年以后,都会成为不可替换的企业IT架构的一部分。随着企业的发展,业务系统的数量在不断的增加,老的系统却不能轻易的替换,这会带来很多的开销。其一是管理上的开销,需要维护的系统越来越多。很多系统的数据是相互冗余和重复的,数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大,例如公司的计费系统和财务系统,财务系统和人事系统之间都不可避免的有着密切的关系。为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行着企业应用集成(EAI)。企业
11、应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企业门户”等等。事实上,还用一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。另外,使用“单点登录”还是SOA时代的需求之一。在面向服务的架构中,服务和服务之间,程序和程序之间的通讯大量存在,服务之间的安全认证是SOA应用的难点之一,应此建立“单点登录”的系统体系能够大大简化SOA的安全问题,提高服务之间的合作效率。因此,在市场上提出了这样的需求:网络用户可以基于最初访问网络时的一次身份验证,对所有被授权的网络资
12、源进行无缝的访问。从而提高网络用户的工作效率,降低网络操作的费用,并提高网络的安全性。正是基于这种市场需求,本文力图通过对web单点登录系统的研究,了解相关系统架构和技术,并尝试开发出一套解决类似市场需求的web单点登录系统。1.2 国内外研究概述在国内,较早使用SSO系统主要是一些大型企业,比如中国移动。随着网络的普及与发展,企业内应用系统的增加,越来越多的企业开始使用SSO来整合企业的应用系统。而国内提供解决方案的企业也蓬勃发展,出现了较多的SSO产品。在国外,对于SSO的研究较国内要早的多而且深入的多。成熟的大型商业系统或技术规范已经非常多了:微软的.NET Passport(已整合到W
13、indows Live ID)1、Sun Microsystems等建立的自由联盟计划(Liberty Identity Web Services Framework)2、Microsoft和IBM联合开发的Web服务联邦语言(WSFederation)以及结构化信息标准促进组织(OASIS)的安全服务委员会(SSTC)提出的安全断言标记语言(Security Assertion Markup Language,SAML)3。NET Passport技术是通过其Passport来实现单点登录的,只要用户通过微软的Passport服务器的验证,就可以访问所有 与Passport服务器合作的站点。
14、但由于微软在Passport验证技术方面不公开,使得在安全性方面有一定的隐患。自由联盟计划和Web服务联邦语言都是通过建立联盟身份,来访问联盟中的其它系统的。但由于Web服务是松耦合的,所以建立联盟身份并不是每个Web服务场景所必须的。SAML主要用来在不同信任域之间交换安全信息,为认证和授权服务提供了标准的描述,基于XML具有跨平台性,提供了强大的断言(Assertion)机制,使得跨域的系统可以通过断言来进行验证,适用于Web服务的松耦合环境。目前对基于SAML的Web服务单点登录模型学术界和工业界都有了一定的研究。SAML规范中的Bindings部分定义了SAML如何与SOAP协议进行绑
15、定,为SAML与Web服务的结合提供了标准。除了大型的商业系统,国外还有很多成熟的开源SSO系统。比如SourceID.NET,OpenSSO,CAS。1.3 本文研究内容及组织结构本文的研究内容主要是基于现有web单点登录系统和技术,分析研究各种系统的结构和技术,并尝试开发出一套实现基本功能的web单点登录系统。主要内容如下:1.介绍单点登录系统的相关技术及规范,并分别从技术,可实施性等方面进行比较。2.结合上一点的分析,概括出一种web单点登录系统的简易模型结构。3.在第2点的基础上,模拟一种需求环境,开发出一套web单点登录系统。组织结构如图1-1所示:第二章 单点登录系统相关技术及规范第三章 web单点登录系统模型结构第四章 系统实现第五章 总结与展望第一章 绪论图1-1 本文组织结构图15第二章 单点登录系统相关技术与规范第二章 单点登录系统相关技术与规范2.1 单点登录系统概念Single Sign-On(SSO),中文名称为单点登录。指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。用一种生活中的例子来对比介绍。西安是一个旅游胜地,有很多著名
