平台安全技术及方案V1.docVIP

平台安全技术及方案 在WEB应用系统中，安全威胁可以来自于客户端、服务器端、网络传输。其中客户端用户名、密码是否复杂、是否中木马；服务器端是否存在安全漏洞、程序设计是否安全；网络传输用户名、密码是否明文。 认证安全 用户认证是多数系统的必须功能。用户认证包含了客户端、服务器、网络传输的各个环节。在认证过程中，能够体现出平台安全技术。 在多系统时，存在每个系统都需要认证的情况。 统一认证是解决单个系统、多个系统用户认证的技术方案。 统一认证（SSO） 实现SSO的技术 基于cookies实现 如果是基于两个域名之间传递sessionid的方法可能在windows中成立，在 unixlinux中可能会出现问题； 可以基于数据库实现；在安全性方面可能会作更多的考虑。 另外，关于跨域问题，虽然cookies本身不跨域，但可以利用它实现跨域的SSO。 Broker-based（基于经纪人） 有一个集中的认证和用户帐号管理的服务器。经纪人给被用于进一步请求的电子的身份存取。 中央数据库的使用减少了管理的代价，并为认证提供一个公共和独立的“第三方”。例如Kerberos、Sesame、IBM KryptoKnight（凭证库思想）等。 Agent-based（基于代理） 有一个自动地为不同的应用程序认证用户身份的代理程序。 这个代理程序需要设计有不同的功能。比如，它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理被放在服务器上面，在服务器的认证系统和客户端认证方法之间充当一个“翻译”。例如SSH等。 Token-based 被广泛使用的口令认证，比如FTP，邮件服务器的登录认证，是一种简单易用的方式，实现一个口令在多种应用当中使用。例如SecurID、WebID。 基于网关：Agent and Broker-based 基于安全断言标记语言（SAML） SAML（Security Assertion Markup Language，安全断言标记语言）的出现大大简化了SSO，并被OASIS批准为SSO的执行标准。开源组织OpenSAML 实现了 SAML 规范。 SUN SSO技术 SUN SSO技术是Sun Java System Access Manager产品中的一个组成部分。 Sun 的新身份管理产品包括Sun Java System Identity Manager、Sun Java System Directory Server Enterprise Edition 和 Sun Java System Access Manager，以上三者为Sun Java Identity Management Suite (身份识别管理套件)的组成部分，它们与Sun Java Application Platform Suite、Sun Java Availability Suite、Sun Java Communications Suite、Sun Java Web Infrastructure Suite组成Java ES。具有革新意义的这一系列产品提供端到端身份管理。 在Sun 的新身份管理产品中，Sun Java System Access Manager是基中的一个重要组成部分，Java Access Manager基于J2EE架构，采用标准的API，可扩展性强，具有高可靠性和高可用性，应用是部署在Servlets容器中的，支持分布式，容易部署且有较低的TCO。通过使用集中验证点、其于角色的访问控制以及 SSO，Sun Java System Access Manager 为所有基于 Web 的应用程序提供了一个可伸缩的安全模型。它简化了信息交换和交易，同时能保护隐私及重要身份信息的安全。 SUN SSO 实现原理 SSO的核心在于统一用户认证，登录、认证请求通过IDENTITY SERVER服务器完成，然后分发到相应应用。 SUN SSO 的应用 这里说的应用是指Sun Java System Access Manager的应用。成功应用例子很多，包括德国电信等公司的应用，国内也有大量高校在使用，也有相当多的其它行业的应用。 CAS CAS（Central Authentication Service），是耶鲁大学开发的单点登录系统（SSO，single sign-on），应用广泛，具有独立于平台的，支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。 Spring Framework的Acegi安全系统支持CAS，并提供了易于使用的方案。Acegi安全系统，是一个用于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。它使用了Spring的