单点登录技术应用于校园信息资源
时间:2020-09-19 07:56:16 来源:达达文档网 本文已影响 人 
摘要:单点登录技术在企业信息系统中运用广泛,但在校园信息资源中运用较少。该文以某校园信息资源规划为背景,研究了利用单点登录技术减少B/S环境下众多应用系统需要用户重复登录,提高整个园区网络的安全性的方法。文中先对单点登录技术及其要点做了总体介绍,然后对单点登录技术的实现手段进行阐述。就如何实现单点登录技术,如何结合学校现有信息资源的特点,在校园部署单点登录访问控制作了详细的描述,解析了实现流程和涉及的各种服务器的作用。
关键词:单点登录;CA认证;B/S结构;安全代理服务器;访问控制
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)11-2721-02
Research on Appling Single Sign On to School Network
HUANG Wei-mei
(Huizhou Senior Technical School, Huizhou 516001, China)
Abstract: Single sign on is widely used in enterprise information systems, but seldom used in campus network. This article is based on the information resource planning of a middle school to study how to apply single sign on technology on a B/S environment to reduce user’s logins between different information systems, and how to enhance the security of that middle school. Firstly, it delivers a general idea of single sign on technology, and then it describes the methods of implementing single sign on technology in current information source of that middle school. It also analyzes the control processes of single sign on technology and the servers used in it.
Key words: single sign on; certificate authority; browser & server; agent server; access control
目前大中专学校网络应用越来越普及,涉及的应用系统在广度和深度都有所提升。这些系统有图书管理系统、财务系统、学生管理系统、辅助教学系统、学校门户、邮件系统、短信平台、评教评学系统等。随着网络提供的服务及应用越来越广泛,各自为政的安全控制,千差万别的登录控制和规则,导致了用户反复登录,需要记忆大量用户名及密码;对于各个系统的管理者来说,则需要花费大量精力维护各自的访问机制;各个系统安全级别存在差异,整个校园存在网络安全隐患。因此,在校园网络中引进单点登录技术(Single Sign On)是解决以上问题的关键。
1 单点登录技术介绍
单点登录(Single Sign On),简称为 SSO,是目前比较流行的应用系统访问整合的解决方案之一。如果应用了SSO技术,能够实现用户在多个应用系统间,只需要登录一次,就可以访问所有相互信任的应用系统。单点登录具有以下优点:
利用一个共享的用户标识,加快应用开发和上线速度。
集中式控制使用户管理更加容易,因为使用了同一个工具去创建用户账号,修改用户密码,和删除用户账号等。
除去了多次的认证步骤,提高了可用性。
SSO的工作过程如下:1)首先在两个应用系统A和B之间建立信任关系,共享用户身份信息;2)用户通过身份验证登录到应用系统A;3)登录到应用系统A的用户试图访问B应用系统,应用系统A将该用户的身份信息传送给应用系统B;4)应用系统B接受传送来的用户身份信息,并验证其身份[1]。参考文献[2]中描述了这种典型的单点登录身份验证技术。
2 我校网络使用的单点登录技术
2.1 我校访问认证中存在的问题
我校通过不断努力,在校园网上陆续建设了各种业务系统,向教职工及学生提供了门户网站及众多网络应用。但当用户需要访问校园网内的多个服务时,就必须多次登录,多次验证后才能使用不同应用系统。
为了达到只需登录一次,就能访问该登录控制支持的所有网络应用系统,获得相应的服务,而不需要每个站点或应用系统都登录一遍,减少登录次数。统一的身份校验就显得十分必要了。基于这个出发点,我校的登录设计采用了单点登录技术和现有验证技术相结合的方案,也是一种B/S环境的单点登录技术。
2.2 我校单点登录技术的实现
2.2.1 我校网络使用的身份验证技术
在向教职工和学生提供服务的过程中,发现有些业务需要经过身份真实性认证之后方可受理;对于那些个人信息使用重复度不大的服务,要求真实身份认证会给师生带来不便,基于此原因,受理这些业务不使用身份真实性认证。综合考虑并结合现有验证状况,采用以下三种身份认证方式:
1)使用校园邮箱作为实名制认证渠道。我校邮箱申请后需凭学生证或教师证到现场办理,工作人员对申请人的身份真实性鉴定后方完成申请。
2)通过CA证书,达到实名制认证效果。CA是Certificate Authority的缩写,通常翻译成认证权威或者认证中心,是负责发放和管理数字证书的权威机构[3],并承担电子商务公钥体系中公钥的合法性检验的责任。学校对于某些信息需要高度保密的系统,采用CA证书加系统登录验证。
3)对于那些业务信息利用率和重要性较低的业务,只需通过用户名和密码实现非实名制认证,提高了使用便捷性。
2.2.2 我校单点登录的实现
单点登录一般采用的是类似Kerberos 的认证协议[4]。在Web的B/S环境应用较多。图1是一种典型的单点登录模型[5]。
单点登录的主要功能:①所有应用系统共享一个身份认证系统;②所有应用系统能够识别和提取ticket信息[6];③应用系统能够识别已经登录过的用户,能自动判断当前用户是否登录过,从而完成单点登录的功能。
单点登录通过不同应用程序之间共享认证信息实现身份认证。通常,单点登录以一个独立的模块实现,所有应用程序依靠这个单点登录模块来确认用户身份。通过这些认证信息,巩固了不同应用程序自己的认证策略。单点登录服务建立唯一用户标识,向开发人员提供了一个可重用的共享接口,用户凭此标识可以登录不同的应用程序或系统。单点登录服务和认证服务相结合,除去了用户在不同应用程序或系统的反复认证过程。
一个好的单点登录和认证服务架构可以在不同应用程序或系统间传递用户标识,以允许基于个人访问受保护资源,这在互联网架构中尤显重要[7]。我校经过一个多月的设计实施后,基本把校园内主要的网络应用系统纳入了单点登录之内,初步实现了单点登录控制,其架构如图2所示。
图2中代理插件和安全服务器共同为网络访问控制提供了两种更具弹性和安全性的策略。用户可以选择部署传统的代理插件方式,或者选择部署安全代理服务器。这两种方式可以单独的使用,也可以混合使用,为网站提供最好的安全和管理环境。
图2所示单点登录工作流程如下:1)师生尝试访问一个受保护的资源;2)师生被要求向网站代理插件或安全代理服务器出示信物;3)师生的信物传送给授权认证规则服务器;4)用适当的存储资料验证师生身份;5)授权认证规则服务器评估师生权限,并允许师生访问资源;6)师生基本资料和权限信息传给相关应用程序;7)师生有权访问受保护的资源。
图2所示的各个服务器解析如下:
1)安全代理服务器:
安全服务器是一个高性能的代理网关,保护其背后组织中服务器不受侵害,它提供了除代理之外的另一个可选的部署模型,如图2中A点所示。使用安全服务器的主要优点:① 增加安全性;②更大的部署弹性;③可扩展性、可度量性和持久性。
2)代理插件:
代理插件以基于策略的验证和访问控制提供加强的策略机制(策略加强点)。它和Web服务器,应用服务器,企业服务器,定制的服务器整合,以提高基于定制策略的访问控制,如图2中B点所示。使用代理插件的优点有:①增加安全性;②提高灵活性;③可定制性。
对于不同的应用场合,通常有不同的代理插件:
① 网站代理插件:网站代理插件控制访问网站的权限,并对外提供一个安全的上下文环境,把插件装在Web服务器上,为网站内容和应用程序提供保护。管理员可在跨异构环境的多个系统上提供安全,并为用户提供一个单点登录域。在Web服务器上,网站代理插件作为Web服务器的扩展插件于其上。它会截断所有资源访问请求,决定那些资源受保护。如果访问的是不受保护的资源,那么用户将直接访问Web服务器。如果访问的是受保护的资源,网站代理插件会和授权认证规则服务器,来决定是否允许此次访问。基于被资源的保护规则,Web代理插件可从数据库和权限服务器得到的用户属性再传给应用程序,同时应用程序根据权限信息和用户需求定制网页内容。
② 定制的代理插件:授权认证规则服务器是一种目的广泛规则的引擎,它可以保护任何以字符表示的资源,以及运行在此资源上的动作。定制代理插件可以和标准的代理插件一起协同提供一个更全面的单点登录环境。定制代理插件和授权认证规则服务器一起工作,提供一种广泛的资源访问控制,不管这种资源是否以Web形式提供。
③ 应用程序服务器代理插件:应用程序服务器代理插件给那些能提供完整分布式应用的对象。如Servlets, JSPs, 或EJB 组件等,提供更加精细粒度的保护。
④ 企业级应用程序代理:有多种和企业应用直接结合的代理,称为ERP代理。ERP代理扩展了单点登录和ERP用户。另外,ERP代理提供基于有弹性的ERP网站,以选择安全验证技术,在应用服务器上验证用户会话数据,并且加强了和ERP应用会话的同步[8]。ERP代理有SAP代理、PeopleSoft代理、Oracle代理和Siebel代理等。
根据学校网络和应用系统的实际情况,采用了网站代理插件。
3) 授权认证规则服务器:
授权认证规则服务器是整个应用的大脑。授权认证规则服务器提供关键的接入安全决策。这个高性能服务器应提供负载均衡、缓存和较高的可靠性及速度表现,如图2中C点所示。授权认证规则服务器设计上应该具有一定的弹性,能适应当前的业务需求,同时也要满足日后的业务需求。
3 结束语
在校园B/S结构的网络环境中实施单点登录访问控制,大大方便了教职工和学生对各网络应用系统的使用和管理人员的维护。
单点登录的安全性问题必须小心设计和考虑。如果得到适当地设计和实现,系统的安全性将大大提高;另一面,不良的设计会带给整个大系统增加弱点,会暴露并危及其他的系统。对于拥有众多网络应用的组织,为降低安全风险,可考虑增量式实现单点登录能力。
参考文献:
[1] 彭伟.单点登录在数字化校园中的应用[J].计算机应用与软件,2007,24(8):106.
[2] 毛捍东.一个基于Web 服务的单点登录系统[J]. 计算机工程与应用,2004,24(1):18-20.
[3] ADAMS C, LLOYD S. 公开密钥基础设施--概念、标准和实施[M].冯登国,译.人民邮电出版,2001:22-45.
[4] 茅维华. Web 应用单一登录的类Kerberos 实现[J]. 计算机应用与软件,2004,21(2):87-89.
[5] 黄建华,戴芳胜,何守才.单点登录技术的研究[J]. 上海第二工业大学学报,2005,22(3):2.
[6] 陈诚.SSO技术实现机制[EB/OL].http://baike.baidu.com/view/190743.htm.
[7] 张颖江.单次登录技术分析及集中身份认证平台设计[J]. 武汉理工大学学报,2004,28(2):240-243.
[8] 李艳玮,郑伟勇.基于Agent的ERP系统整合性研究[J].电脑知识与技术:学术交流,2007(7):1.
