《统一用户认证和单点登录解决方案》由会员分享,可在线阅读,更多相关《统一用户认证和单点登录解决方案(5页珍藏版)》请在金锄头文库上搜索。
1、统一用户认证和单点登录解决方案统一用户认证和单点登录解决方案随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应
2、用系统中。统一用户管理的基本原理。一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 多大例如,用户 X 需要同时使用 A 系统与 B 系统,就必须在 A 系统与 B 系统中都创建用户 X,这样在 A、B 任一系统中用户 X 的信息更改后就必须同步至另一系统。如果用户 X 需要同时使用 10 个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他 9 个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。
3、 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS) 。UUMS 统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过 UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS 应具备以下基本功能:1用户信息规范命名、统一存储,用户 ID 全局惟一。用户 ID 犹如身份证,区分和标识了不同的个体。2UUMS 向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。3应用系统对用户基本信息的增加、修改、删除和查询等请求由 UUMS 处理。4应用系统保留用户管理功能,如用户分组、用户授权等功能。5UU
4、MS 应具有完善的日志功能,详细记录各应用系统对 UUMS 的操作。统一用户认证是以 UUMS 为基础,对所有应用系统提供统一的认证方式和认证策略,以识别用户身份的合法性。统一用户认证应支持以下几种认证方式:1.匿名认证方式: 用户不需要任何认证,可以匿名的方式登录系统。2.用户名/密码认证:这是最基本的认证方式。3.PKI/CA 数字证书认证:通过数字证书的方式认证用户的身份。4.IP 地址认证:用户只能从指定的 IP 地址或者 IP 地址段访问系统。5.时间段认证:用户只能在某个指定的时间段访问系统。6.访问次数认证:累计用户的访问次数,使用户的访问次数在一定的数值范围之内。以上认证方式应
5、采用模块化设计,管理员可灵活地进行装载和卸载,同时还可按照用户的要求方便地扩展新的认证模块。认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。管理员可以根据认证策略对认证方式进行增、删或组合,以满足各种认证的要求。比如,某集团用户多人共用一个账户,用户通过用户名密码访问系统,访问必须限制在某个 IP 地址段上。该认证策略可表示为:用户名/密码“与”IP 地址认证。PKI/CA 数字证书认证虽不常用,但却很有用,通常应用在安全级别要求较高的环境中。PKI(Public Key Infrastructure)即公钥基础设施是利用公钥理论和数字证书来确保系统信息安全的一种体系。在公钥体制
6、中,密钥成对生成,每对密钥由一个公钥和一个私钥组成,公钥公布于众,私钥为所用者私有。发送者利用接收者的公钥发送信息,称为数字加密,接收者利用自己的私钥解密;发送者利用自己的私钥发送信息,称为数字签名,接收者利用发送者的公钥解密。PKI 通过使用数字加密和数字签名技术,保证了数据在传输过程中的机密性(不被非法授权者偷看) 、完整性(不能被非法篡改)和有效性(数据不能被签发者否认) 。数字证书有时被称为数字身份证,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。完整的 PKI 系统应具有权威认证机构 CA(Certific
7、ate Authority) 、证书注册系统 RA(Registration Authority) 、密钥管理中心 KMC(Key Manage Center) 、证书发布查询系统和备份恢复系统。CA 是 PKI 的核心,负责所有数字证书的签发和注销;RA 接受用户的证书申请或证书注销、恢复等申请,并对其进行审核;KMC 负责加密密钥的产生、存贮、管理、备份以及恢复;证书发布查询系统通常采用 OCSP(Online Certificate Status Protocol,在线证书状态协议)协议提供查询用户证书的服务,用来验证用户签名的合法性; 备份恢复系统负责数字证书、密钥和系统数据的备份与恢
8、复。单点登录(SSO,Single Sign-on)是一种方便用户访问多个系统的技术,用户只需在登录时进行一次注册,就可以在多个系统间自由穿梭,不必重复输入用户名和密码来确定身份。单点登录的实质就是安全上下文(Security Context)或凭证(Credential)在多个应用系统之间的传递或共享。当用户登录系统时,客户端软件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文,安全上下文包含用于验证用户的安全信息,系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。遗憾的是 J2EE 规范并没有规定安全上下文的格式,因此不能在不同厂商的 J2EE 产品之间传递安全
9、上下文。目前业界已有很多产品支持 SSO,如 IBM 的 WebSphere 和 BEA 的WebLogic,但各家 SSO 产品的实现方式也不尽相同。WebSphere 通过 Cookie 记录认证信息,WebLogic 则是通过 Session 共享认证信息。Cookie 是一种客户端机制,它存储的内容主要包括: 名字、值、过期时间、路径和域,路径与域合在一起就构成了 Cookie 的作用范围,因此用 Cookie 方式可实现 SSO,但域名必须相同; Session 是一种服务器端机制,当客户端访问服务器时,服务器为客户端创建一个惟一的 SessionID,以使在整个交互过程中始终保持状
10、态,而交互的信息则可由应用自行指定,因此用 Session 方式实现 SSO,不能在多个浏览器之间实现单点登录,但却可以跨域。 实现 SSO 有无标准可寻?如何使业界产品之间、产品内部之间信息交互更标准、更安全呢?基于此目的,OASIS(结构化信息标准促进组织)提出了SAML 解决方案(有关 SAML 的知识参看链接) 。 用户认证中心实际上就是将以上所有功能、所有概念形成一个整体,为企业提供一套完整的用户认证和单点登录解决方案。一个完整的用户认证中心应具备以下功能: 1. 统一用户管理。实现用户信息的集中管理,并提供标准接口。 2. 统一认证。用户认证是集中统一的,支持 PKI、用户名/密码
11、、B/S 和C/S 等多种身份认证方式。3. 单点登录。支持不同域内多个应用系统间的单点登录。 用户认证中心提供了统一认证的功能,那么用户认证中心如何提供统一授权的功能呢?这就是授权管理中,其中应用最多的就是 PMI。 PMI(Privilege Management Infrastructure,授权管理基础设施)的目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。PMI 是属性证书(Attribute Certificate) 、属性权威(Attribut
12、e Authority) 、属性证书库等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。 PMI 以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。同公钥基础设施 PKI 相比,两者主要区别在于: PKI 证明用户是谁,而 PMI 证明这个用户有什么权限,能干什么,而且PMI 可以利用 PKI 为其提供身份认证。 单点登录通用设计模型 图 2 是统一用户认证和单点登录通用设计模型,它由以下产品组成:1. PKI 体系: 包括 CA 服务器、RA 服务器、KMC 和 OCSP 服务器。 2. AA 管理服务器: 即认证(Authe
13、ntication)和授权(Authorization)服务器,它为系统管理员提供用户信息、认证和授权的管理。 3. UUMS 模块:为各应用系统提供 UUMS 接口。 4. SSO: 包括 SSO 代理和 SSO 服务器。SSO 代理部署在各应用系统的服务器端,负责截获客户端的 SSO 请求,并转发给 SSO 服务器,如果转发的是 OCSP 请求,则 SSO 服务器将其转发给 OCSP 服务器。在 C/S 方式中,SSO 代理通常部署在客户端。 5. PMI: 包括 PMI 代理和 PMI 服务器。PMI 代理部署在各应用系统的服务器端,负责截获客户端的 PMI 请求,并转发给 PMI 服务
14、器。 6. LDAP 服务器:统一存储用户信息、证书和授权信息。 为判断用户是否已经登录系统,SSO 服务器需要存储一张用户会话(Session)表,以记录用户登录和登出的时间,SSO 服务器通过检索会话表就能够知道用户的登录情况,该表通常存储在数据库中。AA 系统提供了对会话的记录、监控和撤消等管理功能。为保证稳定与高效,SSO、PMI 和 OCSP 可部署两套或多套应用,同时提供服务。 链接 SAML SAML(Security Assertion Markup Language,安全性断言标记语言)是一种基于 XML 的框架,主要用于在各安全系统之间交换认证、授权和属性信息,它的主要目标
15、之一就是 SSO。在 SAML 框架下,无论用户使用哪种信任机制,只要满足 SAML 的接口、信息交互定义和流程规范,相互之间都可以无缝集成。SAML 规范的完整框架及有关信息交互格式与协议使得现有的各种身份鉴别机制(PKI、Kerberos 和口令) 、各种授权机制(基于属性证书的PMI、ACL、Kerberos 的访问控制)通过使用统一接口实现跨信任域的互操作,便于分布式应用系统的信任和授权的统一管理。 SAML 并不是一项新技术。确切地说,它是一种语言,是一种 XML 描述,目的是允许不同安全系统产生的信息进行交换。SAML 规范由以下部分组成: 1.断言与协议: 定义 XML 格式的断言的语法语义以及请求和响应协议。SMAL 主要有三种断言: 身份认证断言、属性断言和访问授权断言。 2. 绑定与配置文件: 从 SAML 请求和响应消息到底层通信协议如 SOAP 或SMTP 的映射。 3. 一致性规范: 一致性规范设置了一种基本标准,必须满足这一 SAML 标准的实现才能够称为一致性实现。这样有助于提高互操作性和兼容性。 4. 安全和保密的问题: SAML 体系结构中的安全风险,具体而言就是 SAML如何应对这些风险以及无法解决的风险。 要注意的是,SAML 并不是专为 SSO 设计,但它却为 SSO 的标准化提供了可行的框架。
