單點(diǎn)登錄系統(tǒng)方案研究

摘要：近年來，各在企業(yè)內(nèi)部正在進(jìn)行大規(guī)模的信息化系統(tǒng)建設(shè)，各個系統(tǒng)在滿足使用者專業(yè)化應(yīng)用需求下，帶來了一個共同的問題，就是使用者需要記住大量用戶名及密碼信息，此類信息住住過于雷同或復(fù)雜，這為企業(yè)安全性和工作效率帶來很大程度的隱患。而單點(diǎn)登錄系統(tǒng)（Single Sign-On），可以解決這個問題，它是一個集中的用戶認(rèn)證管理和集成環(huán)境，可管理和分發(fā)用戶的權(quán)限和身份，為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理服務(wù)。

關(guān)鍵詞：單點(diǎn)登錄；統(tǒng)一認(rèn)證；LDAP

中圖分類號：TP311.52文獻(xiàn)標(biāo)識碼：A文章編號：1006-8937（2012）05-0073-02

隨著企業(yè)發(fā)展，企業(yè)的信息化建設(shè)越來越受到企業(yè)重視，公司內(nèi)部都有了自己的辦公自動化系統(tǒng)及專業(yè)應(yīng)用系統(tǒng)，如ERP、Oracle、MAXIMO、Lotus Notes等。

部署這些應(yīng)用面臨雙重的安全挑戰(zhàn)。首先，必須保證只有合法的用戶才能訪問相應(yīng)的應(yīng)用資源。其次，實(shí)施安全保護(hù)措施時應(yīng)盡量避免增加用戶的負(fù)擔(dān)。隨著業(yè)務(wù)系統(tǒng)的增加，每個用戶需要記住多個口令，訪問不同的應(yīng)用系統(tǒng)采用不同的口令。這雖然能夠保證用戶對應(yīng)用資源的合法訪問，但增加了用戶的負(fù)擔(dān)。一方面，為了方便記憶，用戶會采用簡單的口令或?qū)⒖诹钣涗浵聛?，這大大降低了應(yīng)用系統(tǒng)的安全性；另一方面，用戶每訪問一個應(yīng)用資源都需要登錄一次，這大大降低了工作效率。

目前的首要問題就是：將各個獨(dú)立的系統(tǒng)進(jìn)行歸納整理，并建立一個統(tǒng)一的認(rèn)證平臺，使用戶在一套用戶名口令下根據(jù)其權(quán)限，就可以訪問各個系統(tǒng)的所有數(shù)據(jù)。

采用SSO單點(diǎn)登陸技術(shù)（Single Sign On）可以解決統(tǒng)一認(rèn)證的需求：將WEB應(yīng)用系統(tǒng)，Notes應(yīng)用系統(tǒng)，各專業(yè)應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一認(rèn)證，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性；在此基礎(chǔ)上進(jìn)一步實(shí)現(xiàn)企業(yè)用戶高速協(xié)同辦公和企業(yè)知識管理功能。

1單點(diǎn)登錄（SSO）方案

SSO就是通過一次登錄自動訪問所有授權(quán)的應(yīng)用系統(tǒng)，從而提高整體安全性，而且用戶無需記錄多種登錄過程、ID或口令。

目前單點(diǎn)登錄技術(shù)主要分為兩類，分別為基于網(wǎng)關(guān)SSO技術(shù)方案和基于代理SSO技術(shù)方案（即前置代理、后置代理）。

1.1基于網(wǎng)關(guān)SSO方案（前置代理）

在這種方案中，所有的應(yīng)用服務(wù)器都需要放在被網(wǎng)關(guān)隔離的受信網(wǎng)段里。當(dāng)用戶需要訪問網(wǎng)關(guān)后面的應(yīng)用服務(wù)器時，首先需要通過網(wǎng)關(guān)連接的用戶數(shù)據(jù)庫進(jìn)行認(rèn)證，認(rèn)證通過后網(wǎng)關(guān)自動將用戶身份傳遞到要訪問的目標(biāo)應(yīng)用服務(wù)器進(jìn)行認(rèn)證，經(jīng)應(yīng)用服務(wù)器認(rèn)證通過后，用戶通過網(wǎng)關(guān)對應(yīng)用系統(tǒng)進(jìn)行后續(xù)的訪問。 網(wǎng)關(guān)負(fù)責(zé)將用戶的帳戶信息傳遞到訪問的目標(biāo)應(yīng)用服務(wù)器，自動實(shí)現(xiàn)從客戶到服務(wù)器的認(rèn)證轉(zhuǎn)換為服務(wù)器到服務(wù)器的認(rèn)證，同時負(fù)責(zé)認(rèn)證結(jié)束后客戶與目標(biāo)服務(wù)器之間的數(shù)據(jù)傳輸工作。

1.2基于代理SSO方案（后置代理）

在基于代理的技術(shù)方案中，每個應(yīng)用服務(wù)器中都需要安裝一個代理程序完成用戶的身份認(rèn)證工作。當(dāng)用戶訪問目標(biāo)應(yīng)用服務(wù)器時，代理程序向SSO服務(wù)器詢問該用戶是否已經(jīng)登錄，如果是，則代理程序從SSO服務(wù)器中取得該用戶的用戶信息自動登錄該應(yīng)用系統(tǒng)，登錄成功后，用戶直接訪問該目標(biāo)服務(wù)器。如果未曾登錄過任何應(yīng)用服務(wù)器，則該應(yīng)用要求用戶進(jìn)行身份認(rèn)證，認(rèn)證結(jié)束后，代理程序?qū)⒄J(rèn)證結(jié)果發(fā)送給SSO服務(wù)器。

1.3方案論證分析

基于網(wǎng)關(guān)SSO方案對應(yīng)用系統(tǒng)基本不做任何改變，可容易實(shí)現(xiàn)用戶對應(yīng)用系統(tǒng)的資料加密傳輸，實(shí)施和維護(hù)相對簡單，一旦出現(xiàn)故障，系統(tǒng)復(fù)原相對簡單。但對應(yīng)用系統(tǒng)的身份認(rèn)證和訪問都需要經(jīng)過網(wǎng)關(guān)，大用戶量訪問時，需考慮效率問題。

基于代理SSO方案用戶統(tǒng)一認(rèn)證后，可直接訪問應(yīng)用系統(tǒng)，訪問效率較高，但需要針對每個應(yīng)用系提供相對應(yīng)的代理插件。

通過以上對比分析，對單點(diǎn)登錄系統(tǒng)的功能進(jìn)行如下說明：

①所有應(yīng)用系統(tǒng)共享一個身份認(rèn)證系統(tǒng)。統(tǒng)一的認(rèn)證系統(tǒng)是SSO的前提之一。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對ticket進(jìn)行效驗(yàn)，判斷其有效性。

②所有應(yīng)用系統(tǒng)能夠識別和提取ticket信息。要實(shí)現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識別已經(jīng)登錄過的用戶。應(yīng)用系統(tǒng)應(yīng)該能對ticket進(jìn)行識別和提取，通過與認(rèn)證系統(tǒng)的通訊，能自動判斷當(dāng)前用戶是否登錄過，從而完成單點(diǎn)登錄的功能。

③單一的用戶信息數(shù)據(jù)庫并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲，應(yīng)該允許用戶信息放置在不同的存儲中。事實(shí)上，只要統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一ticket的產(chǎn)生和效驗(yàn)，無論用戶信息存儲在什么地方，都能實(shí)現(xiàn)單點(diǎn)登錄。

④統(tǒng)一的認(rèn)證系統(tǒng)并不是說只有單個的認(rèn)證服務(wù)器，整個系統(tǒng)可以存在兩個以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器 之間要通過標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級別的單點(diǎn)登錄。

⑤單點(diǎn)登錄系統(tǒng)要滿足即插即用、高可擴(kuò)展性、應(yīng)用無關(guān)性、滿足企業(yè)級應(yīng)用的需求、用戶認(rèn)證信息多樣化的需要。

2單點(diǎn)登錄系統(tǒng)實(shí)施效益

①風(fēng)險最小化。周密的流程設(shè)計和測試演練，可行的安全、易用的網(wǎng)絡(luò)環(huán)境，最大限度的降低突發(fā)性災(zāi)難對業(yè)務(wù)環(huán)境的影響

②改善性能。通過全面而個性化的系統(tǒng)配置和單點(diǎn)登錄的部署，企業(yè)業(yè)務(wù)系統(tǒng)更加安全、快捷、方便。

③增加靈活性。提供后期的關(guān)鍵業(yè)務(wù)單點(diǎn)登錄集成，新業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄集成建議方案和實(shí)施方案服務(wù)，保證企業(yè)的信息化建設(shè)可持續(xù)的發(fā)展。并且提供包括快速響應(yīng)，及時修復(fù)，安全規(guī)則審計等針對性的服務(wù)支持。

3結(jié)語

通過實(shí)施建立企業(yè)級的單點(diǎn)登錄系統(tǒng)和安全防護(hù)系統(tǒng)，為企業(yè)用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口，建立統(tǒng)一的、基于角色的和個性化的信息訪問、集成平臺；通過實(shí)施單點(diǎn)登錄功能，使用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性；在此基礎(chǔ)上進(jìn)一步實(shí)現(xiàn)企業(yè)用戶高速協(xié)同辦公和企業(yè)知識管理功能。

參考文獻(xiàn)：

[1] 胡毅時，懷進(jìn)鵬.基于Web服務(wù)的單點(diǎn)登錄系統(tǒng)的研究與

實(shí)現(xiàn)[J].北京航空航天大學(xué)學(xué)報，2004，(3).

[2］ 李蘭友，楊曉光.VisualC#.NET程序設(shè)計[M].北京:清華大

學(xué)出版社，2004.

[3］ 杜亮.親密接觸ASP.NET[M].北京:清華大學(xué)出版社，2002.