《基于旁路技术的单点登录系统设计与实现》由会员分享,可在线阅读,更多相关《基于旁路技术的单点登录系统设计与实现(12页珍藏版)》请在金锄头文库上搜索。
1、计算机应用论文 第 9 页基于旁路技术的单点登录系统设计与实现严静(中国核动力研究设计院/信息中心,四川 成都 610041) 摘要:在某单点登录改造项目实施过程中,为了克服原方案的性能瓶颈和兼容性缺陷,采用安全认证网关、绝对URL地址访问、多因子加密等方法,解决了身份认证、旁路访问、安全参数传递等关键技术,设计出了统一身份认证与独立系统访问相结合的单点登录解决方案,提出了基于该方案进行单点登录改造的技术要求,经过实际应用验证,该方案具有突出的优点和实用效果。关键词:系统集成,统一身份认证,单点登录,安全认证网关,加密传输Bypass-based single sign-on system d
2、esign and implementation of technologyYAN Jing(Information Center of Nuclear Power Institute of China, ChengDu SiChuan 610041, China)Abstract: In order to overcome the performance bottleneck and compatibility flaws of original scheme during the implementation of a single sign-on project, the securit
3、y authentication gateway, absolute URL address access and multi-factor encryption methods were used. Key technical problems such as identity authentication, bypass access and security parameter passing, were solved. A single sign-on solution combined of the uniform identity authentication and indepe
4、ndent system access was designed. Some technical requirements of single sign-on implementation based on this solution were advanced. The application showed that this scheme is with outstanding advantages and effectiveness.Keywords: system integration; uniform identity authentication; single sign-on;
5、 security authentication gateway; Encryption transfer0 引言企业应用系统从C/S结构向B/S结构1、从独立分散使用向集成使用、从单因子认证向多因子认证转变的趋势越来越明显,大型企业的信息化建设必须从起步开始就把握应用系统的发展趋势,确定应用系统集成2路线和方向,以指导应用系统建设的长远发展。应用系统集成分为账号和入口集成、消息和数据集成、业务和流程集成几个阶段,其中账号和入口集成又叫单点登录(Single Sign On)3,简称为SSO,是目前比较流行的企业应用系统集成的初级阶段和基础,它将企业中使用的多个相对独立的应用系统,通过某种技术
6、整合在一起,使其从使用者体验角度看,就像是一个应用系统,用户只需启动一个程序入口,进行一次身份认证,就能访问其应该和有权使用的所有应用系统及功能模块,其技术核心是门户和统一身份认证4。SSO的实现不但能提高应用系统管理效率和使用方便性,而且还能为进一步的应用系统集成奠定基础,对企业的信息化建设和发展具有十分重要的意义。1 需求和现状随着企业的发展,业务系统的数量在不断的增加,通常来说,每个单独的系统都会有自己的登录入口和身份认证模块。在进行单点登录整合以前,进入每个系统都需要进行登录,这样的局面不仅给使用者带来很大的不便,给管理者带来很大的困难,而且在安全方面也埋下了重大的隐患,具体表现在以下
7、几个方面:1) 每套系统都使用不同的登录账号和密码,使用者经常弄错或忘记,致使许多使用者将各个系统的账号和密码写在某个地方,从而带来很大的安全隐患。2) 每套系统一套独立的账户管理,使管理人员在处理新员工建帐和离职员工销帐业务时工作量非常大,而且还容易搞错。如果每套系统的账户管理是分散到各个业务部门自行管理,那么一个新员工的建帐工作有可能要花费一两个星期。3) 系统切换极不方便,每次切换都要重复输入帐号和密码,不利于集成办公。4) 身份信息不统一,使业务待办、新邮件提醒等个性化信息服务无法有效部署和开展。目前,许多大型企业的应用系统建设才刚刚起步,在短时间内上述矛盾不会很突出,但从长远来说,应
8、用系统建设在未来五到十年内将进入一个快速发展期,到时,在企业内必将出现几千用户、几十个应用系统的运行局面,因此,应尽早搭建起单点登录平台,建立单点登录的技术规范,为后续应用系统的开发和集成做好准备。实现单点登录的途径有很多,比较成熟可行的解决方案有三种:1、集成设计法,将企业的所有应用系统和门户系统揉捏成一个独立的大系统进行设计,整个系统只有一个登录模块和帐户管理模块,每个子系统都只是大系统中的一个功能模块。此方案在C/S结构时代应用比较广泛,适合于全面新建和全部由一家软件开发公司承建的情况;2、帐户映射法,在已有的应用系统之外,单独开发一个入口门户,新建一套独立的帐户和密码,然后将每个用户在
9、各个应用系统中的帐户和密码映射到该门户系统中,使用时,用户只需以正确的身份登陆门户系统,然后再进入各应用系统时的身份认证则由门户系统代理完成。此方案不需要对原系统进行任何修改,容易实现,但保证映射关系的维护工作量大,且代理执行容易泄露原系统密码,同时可能与防病毒策略冲突,所以,此方案正逐步被淘汰;3、安全网关法,它以统一身份认证平台为支撑,将企业的所有应用系统部署在安全网关后面,通过适当的配置和安全网关提供的门户,实现强身份认证和单点登录功能。此方案已实现产品化,随着B/S结构时代的到来和安全保密要求的加强,它正逐步成为企业门户单点登录改造的必然选择。安全网关法虽然在理论上能较好地解决应用系统
10、集成的单点登录问题,但在实施过程中还是要面对许多实际问题,比如对已有系统的改造工作量和兼容问题,对新系统的标准规范要求和接口问题等,下面以我们成功实施的某企业门户单点登录改造项目为例,详细介绍其实施过程、技术解决方案和应用效果,供具有类似情况和建设需求的企业参考借鉴。2 平台选型项目实施的第一步是选择一套合适的统一身份认证平台,它是实现SSO的基础,也是国家保密局出台的机密级涉密信息系统建设标准中要求搭建的平台,它采用数字证书的手段来实现用户身份的描述,通过建设身份认证体系来实现对用户身份的统一管理,为业务系统提供用户身份认证、用户信息(机构信息等)获取、数字签名等密码相关服务。目前国内有多家
11、公司能提供该平台产品,为此,项目组搭建起专门的测试环境,对各家公司的产品进行了比选测试,测试内容主要包含以下几个部分:1) 系统体系结构和系统设计方案对用户需求的满足程度2) PKI/CA功能4、性能测试3) SSO功能、性能测试4) 安全桌面系统功能、性能测试5) 与现有商用密码机结合情况6) 与已有应用系统结合情况7) 兼容活动目录情况(域登录和主机登录结合)8) 与现有主机监控系统的接口情况此外,还应对一些具体的技术细节进行详细测试,如:B/S结构下的会话时效性、非应用网关结构、用户和机构的统一管理等。最后评比选择了某公司的统一身份认证平台。3 技术路线选择某公司统一身份认证平台的体系结
12、构如图1所示,从图中可以看出,该产品采用安全认证网关方式实现统一身份认证和单点登录,由于用户已有门户系统、办公自动化系统、项目管理系统、财务管理系统、档案管理系统、全文检索系统等应用系统处于稳定使用状态,该平台的引入和实施将存在以下局限性:1) 用户应用系统必须集成到该厂家提供的门户系统中,该门户系统功能太单一,不能满足用户对原有门户系统的功能需求。2) 用户对所有应用系统的请求以及这些应用系统的响应都必须经过其安全认证网关处理、转发,在该网关处将形成严重的性能瓶颈。3) 部分原有应用系统由于代码编写不规范或采用了特殊程序代码,其页面经过安全认证网关处理、转发后,不能正常运行,使这些应用系统的
13、单点登录改造具有很大风险。为了摆脱上述局限性,我们抛弃了平台厂家提供的这种解决方案,在现有平台基础上探索出了一个切实可行的解决方案,我们认为最理想的情况是:1) 能直接利用用户已有的OA门户系统,作为所有应用系统的门户入口。因为该门户系统集成了公文处理、邮件发送、协同办公、信息发布、待办事务提醒、二级网站链接等功能,经过长时间的运行,已基本满足员工的使用习惯。2) 用户只在需要进行身份验证时,才访问安全认证网关,其它的网页请求直接发向原应用系统服务器。这样,访问负载将分散到各应用服务器,不存在瓶颈问题,当某个应用服务器负载过重时,可单独对此服务器进行集群扩充,技术实现简单。3) 对应用系统的修
14、改量小,适应性强,不受应用系统内部编码方式的影响,不削弱应用系统原有的运行性能和稳定性。针对上述理想,我们进行了大量的技术分析和试验,最后,从原解决方案的一个异常调用现象中找到了突破口,原解决方案实现的单点登录运行环境中,如果某个页面采用了绝对URL地址方式访问应用系统的下一个页面,则该请求将绕过安全认证网关,直接访问URL所指的服务器,从而引起程序出错,使操作无法进行下去。现在我们可以利用这个异常现象来摆脱安全认证网关的束缚,于是我们制定了下述解决方案:1) 在各应用系统中增加一个入口网页。2) 将各应用系统的该入口网页配置到安全认证网关中。3) 当用户访问安全认证网关中的该入口网页时,安全
15、认证网关完成该用户的身份认证,并将用户信息附加在请求协议中转发给应用服务器,在应用服务器上,该入口网页获取到通过身份认证的用户ID后,采用绝对URL地址方式打开原应用系统的主网页,并将用户ID传递过去。4) 应用系统主网页利用接收到的用户ID进行权限和界面处理,设置各种环境变量,呈现主界面。5) 用户通过主界面上的各种链接直接访问应用服务器上的各功能网页。该解决方案几乎不对原应用系统进行任何修改,只是取消了原应用系统的身份认证网页,增加一个新的入口网页来代替之,用户在使用系统时,只在进入系统的时候才通过安全认证网关进行身份认证,其余时候都是直接访问原应用系统服务器,应用系统运行和操作环境不发生
16、任何改变,完全能实现我们提出的理想目标,因此,我们最终选择此解决方案作为该企业门户系统单点登录改造的技术路线。4 技术实现按照选定的技术路线,我们首先对用户的OA门户系统进行单点登录改造,此系统包括办公自动化和门户两部分功能,办公自动化部分由较落后的ASP技术和第三方工作流平台技术实现,门户部分由较先进的点NET技术实现,都是B/S架构,两部分功能集成在一个系统中,共用一个登录管理模块和用户管理模块,实现步骤如下:1) 修改登录网页Login.aspx,删除登录界面显示及用户ID、密码验证相关代码,增加从安全认证网关接口函数获取用户ID的代码,将原有相对URL地址方式打开子网页(门户系统主网页
