信息服务平台的单点登录系统的研究与实现

　　摘 要 单点登录技术作为一种安全技术被越来越广泛地运用到各个领域的软件系统中。通过分析与总结当前单点登录系统的三种主要模型优缺点，结合基于代理SSO与基于经纪人SSO优点，并针对目前信息服务系统的实际需求特点，设计了BA-based SSO模型，有效地达到更简洁更安全应用于信息服务系统目的。 关键词 单点登录；模型；代理

1 引言 随着网络应用的普及，用户所使用的不同网络应用或网络服务数量正在不断增加，为了访问这些受限网络资源，用户往往需要记住大量的帐号/口令对。这种现象日益发达的网络。信息服务平台中往往含有OA系统、经销存系统、财务系统、客户关系管理系统、决策支持系统和网站发布系统等，用户选择平台中的不用业务服务，由于这些系统互相独立，因此需要记住多个不同的帐号与口令，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录。如此方式给用户带来了不少麻烦，特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低许多。为解决此类愈见突出的安全问题，采用单点登录技术来提高信息服务平台的安全性显得尤为重要。

2 单点登录的概念 单点登录(Single Sign-On，SSO)，就是一种系统的用户管理机制。用户在网络中只需要主动地进行一次身份认证鉴别登录，即获得需访问系统和应用软件的授权，用户以后的身份认证是系统自动完成的。同时，在此条件下管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制，能在分布式计算环境中安全、方便地鉴别用户。单点登录的需要满足如下几个要求： 从用户的角度看，单点登录不会影响到诸如业务过程、响应效率、网络吞吐量等事情，并将互操作性方面的问题减至最少，任何事情都在顺利工作。 从管理员的角度看，计算和网络环境在各个方面必须能被管理，而管理应该不引起额外的工作或安全漏洞。管理过程应该适合组织的结构和政策。这意味着权利和控制需要有一定的层次结构。认证的方法应能在分布式的组织环境中得到全部的贯彻而不用付出额外的努力。所有的应用程序，无论新旧，可以不需要或只需很少的改动即可适应新的认证方式。

3 单点登录主要模型及其分析 单点登录模型主要有三种：基于网关的单点登录(Gateway-based SSO)模型、基于经纪人的单点登录(Broker-based SSO)模型和基于代理的单点登录(Agent-based SSO)模型。

基于网关的单点登录模型 基于网关的模型主要由三类实体组成：客户端、网关、应用服务器。网关一边连接着客户端，另一边连接着各种应用服务器。网关把外界的客户端和内部的服务器隔离开来。它是客户端访问各种应用服务器必须经过的一道关卡。在这种方案中，所有的响应服务都需要放在被网关隔离的受信网段里。网关是客户端访问各种应用服务器的必经关卡，它把用户身份信息和其有权访问的应用服务器的IP地址记录在表格里。凭着这张表，网关可以轻易地实现单点登录。 基于网关的方式不需要对原有系统进行大修改，只要布置一个网关，在其上配置相应的身份认证模块即可。但是网关的性能制约整个系统的认证效率，所以基于网关的方式不适用于大规模用户认证，限制了系统的扩展。另外，网关在整个系统中的重要作用使得它极易成为黑客攻击的目标，一旦网关被攻破，将危及网关后面的各个应用系统的安全。

基于经纪人的单点登录模型 在此方案中，有一个集中的认证和用户帐号管理的服务器。该模型主要有三个部分：客户端、认证服务器、应用服务器(如图1)，认证服务器充当经纪人的角色。其工作流程：首先，客户端访问认证服务器，与认证服务器进行双向身份认证后，获得电子身份标识；然后客户端凭借已获得的电子身份标识访问各种应用系统，从而实现单点登录。在这一模型中，典型应用范例为Kerberos协议。 与基于网关的方式相比，由于为认证提供了一个公共和独立的“第三方”，通过身份认证的客户端持认证服务器返回的电子身份标识去访问应用服务器，而不需要再与认证服务器打交道，从而大大减轻了认证服务器的工作负担。所以基于经纪人的方式可以方便地扩展系统，很适合大规模的用户认证。但是基于经纪人的方式，除了要配置认证服务器外，还必须对各个应用系统进行改造，使得它们能够识别认证服务器发送的电子身份标识。而改造旧的应用系统是非常艰难、代价极大的工程。图1 Broker-based SSO模型图 图2 Agent-based SSO模型图

基于代理的单点登录(Agent-based SSO)模型 在基于代理的模型中，存在一个自动地为不同的应用程序认证用户身份的代理程序。该代理程序根据代理的具体应用程序而设计不同的功能。代理在服务器的认证系统和客户端认证方法之间充当一个“翻译”，它自动地将认证的负担从客户端移开。

　　基于代理的模型由三个部分组成：客户端、服务器、代理软件(如图2)。代理软件既可以安装在客户机上，也可以安装在服务器上。代理软件的作用就是为不同的应用程序进行身份认证。代理软件可以采用不同的认证方式来工作。在用户登录时，将记录在本地的某个系统的密码发送给不同服务，代替用户进行登录。这种方式可以在对服务改动尽量小的情况下进行，因而具有良好的可实施性和灵活性。但有一个非常大的缺陷，就是用户的登录凭证要在本地存储，这样就增加了口令泄漏危险；另外每个运行服务的服务器都必须有个安全代理程序在上面运行，这样每增加一个需要单点登录的应用程序，就必须开发个相应代理程序，开发难度难以想象的，并且不具有良好的通用性。

4 基于经纪人-代理的SSO系统设计与实现 在信息服务平台中，单点登录作为网络安全解决方案的一个组成部分，必须充分考虑信息服务平台网络系统复杂性，考虑实现过程中的难易度，尽可能地减少对原系统的更动，并且对系统的运行无不利影响。因而其实现过程需满足以下要求： (1)客户端使用同一个凭证信息就可以登录所有被授权信息服务系统，并且只需登录一次即可访问所有被授权应用系统，这是基本条件。 (2)用户的认证信息的确认只发生在中心的认证服务器上，用户密码不会经过第三方应用服务系统。 (3)各应用系统提供了扩展参与统一身份认证系统的第三方应用，部署和管理单点登录系统要简单易行。 针对上述要求，结合前面三种单点登录模型的优缺点分析结果，在基于经纪人的单点登录模型中引入代理认证机制，把前者的中央式管理和后者的灵活性两方面的优势相结合的新的BA-based SSO，其模型图如图3所示。系统的核心同样在认证服务器端。该认证服务器负责所有的用户的电子身份标识的发放和认证，有利于统一的网络管理和用户高效、安全地访问各种资源。系统同时增加了代理软件，安装在应用服务器上，在此基础上，逐步加入对各种应用系统的支持，以适应信息服务平台实际的应用环境。代理软件可以采用不同的认证方式来工作，与安全认证服务器有机结合，可实现涉及面较广功能，如数据库访问、加密技术、身份认证实现、数据传输等等。图3 BA-based SSO模型图 信息服务器中所有要求提供身份认证的应用服务，在OSS系统中部署相应认证代理软件，而不要求进行身份认证的应用服务程序则不参与部署。当用户请求访问一个受保护信息服务资源时，该请求首先被应用服务器端代理软件截获，判断该用户是否已通过认证，如果用户没有经过认证则被重定向到认证服务器，认证成功后再返回到应用服务器端，获取相应的资源。 整个系统的登录服务流程①用户发出的访问请求，代理程序获取用户信息，以判断用户是否已登录。②如果获取到正确的用户信息，则说明用户已登录，可以直接进入。③若否，将该请求转发至认证服务器处理。④认证服务器收到转发请求，调用认证登录模块查询登录日志。⑤查询结果发现用户未登录，转入登录平台，让用户进行登录。⑥若登录成功，则由登录服务器将请求转回应用站点并返回用户身份信息。⑦代理程序收到认证服务器转回的请求，依据信息特征辨别该身份信息来源的真实性。⑧若信息来源为真，则应用服务器提供服务；否则转入步骤③。

5 结束语 单点登录技术作为一种安全技术被越来越广泛地运用到各个领域的软件系统中。本文在对当前主流的三种单点登录系统模型分析研究的基础上，设计了一个新的BA-based OOS模型，并应用于信息服务平台中，该方式既增强了系统安全性，同时也简化了单点登录系统复杂度，为单点登录技术在信息服务平台更为广泛的应用和技术发展给出一个应用技术思路。

参考文献[1] 何德全. 网络安全[M]. 北京：清华大学出版社，2004 钱江波等. 具有安全机制的企业信息系统框架设计[J].计算机应用研究，2003(3) 周葛等.ASP技术中的安全措施的探讨[J].计算机工程与应用，1999(4) 胡毅时.基于Web服务的单点登录系统的研究[J].北京航空航天大学学报. 2004(3)