支持多模式应用分布式SSO系统设计与实现.docVIP

支持多模式应用分布式SSO系统设计与实现 　　摘要:分析了传统SSO产品的原理和不足,提出对应用系统登录过程所需的两类信息进行分离解耦,在利用XML和USB身份认证方式的基础上,实现应用系统的登录过程共享与自动登录#65377;研究了Windows和Web应用的窗体构造与消息传递机制,开发出支持多模式的分布式SSO系统,实际应用效果良好#65377; 　　关键词:单点登录;自动登录;分布式;多模式应用;可扩展标记语言 　　中图分类号:TP317.1文献标志码:A 　　文章编号:1001-3695(2007)04-0276-03 　　目前的企业应用环境中,往往有很多应用系统,如办公自动化(OA)系统#65380;财务管理系统#65380;档案管理系统#65380;信息查询系统等#65377;用户在使用这些应用系统时并不方便#65377;用户每次使用系统都必须输入用户名和密码,进行身份验证;而且,应用系统不同,用户名就不同,用户必须同时牢记多套用户名和密码#65377;特别是对于应用系统数目较多,用户数目也很多的企业,这个问题尤为突出#65377;对于企业级用户来说,迫切需要一种便捷#65380;安全的系统访问工具来简化应用系统的登录过程#65377;?? 　　SSO(Single Sign??On,单点登录)技术将帮助企业安全地管理和控制企业信息系统中最重要的资产――身份认证#65377;其机制是“一次登录访问多系统”,用户访问多系统时仅需作一次身份认证,就可以对所有的应用系统进行访问,而无须多次输入认证信息#65377;SSO登录方式,减少了在不同系统中登录所耗费的时间;减少了系统管理员管理用户权限的时间;增加了管理的便利性与系统的安全性#65377;?? 　　 　　1传统SSO产品的机制与不足?? 　　 　　SSO的根本含义是实现合法用户一次登录均可以访问多个应用系统#65377;但不同的SSO系统的原理与实现方式各有不同#65377; 　　传统SSO实现方案的原理是身份认证标志(SSO Token)在多个应用系统之间的传递或共享[1,2]#65377;用户通过登录点登录SSO系统时,SSO系统根据用户的凭证(如用户名和密码)生成一个身份认证标志#65377;当用户访问应用系统时,只要出示该标志;如果其合法,则不需要用户再进行身份认证#65377;?? 　　目前业界已有很多产品支持SSO,如IBM的WebSphere和BEA的WebLogic,但各家SSO产品的实现方式也不尽相同#65377;WebSphere通过Cookie记录认证信息,WebLogic则是通过Session共享认证信息[3]#65377;Cookie是一种客户端机制,它存储的内容主要包括名字#65380;值#65380;过期时间#65380;路径和域#65377;路径与域合在一起就构成了Cookie的作用范围#65377;用Cookie方式可实现SSO,但域名必须相同#65377;Session是一种服务器端机制,当客户端访问服务器时,服务器为客户端创建一个唯一的SessionID,以使在整个交互过程中始终保持状态,而交互的信息则可由应用自行指定,因此用Session方式实现SSO,不能在多个浏览器之间实现单点登录,但却可以跨域#65377;这些SSO产品有比较大的局限性#65377;要实现SSO Token在不同应用系统之间的传递与共享,需要在每个应用系统处安装代理(SSO Agent),这就使得SSO系统与各应用系统之间存在相互依赖关系#65377;那些不受企业所控制的应用系统均不能纳入到SSO的范围内#65377;另外,它们的设计主要是针对Web应用系统而言的,不支持多种模式的应用系统或支持程度不够好#65377;?? 　　 　　2系统设计?? 　　 　　2.1系统的设计思想?? 　　总的设计思想是支持多模式应用系统#65380;应用范围广泛#65380;登录过程共享#65377; 　　与传统的SSO有所差别,本SSO系统采用自动化登录技术,就是屏蔽用户登录目标系统的过程#65377;原来用户在使用目标系统时,需要输入用户名和口令(或其他认证方式),自动化技术能够通过一些脚本自动为用户输入口令和用户名,而整个登录过程对用户透明[4]#65377;去除了SSO Token,使得SSO系统所调用的各应用系统不依赖于SSO系统#65377;用户使用SSO系统时,也是通过单一的登录点进行一次身份认证#65377;但在调用应用系统时,SSO是通过自动输入用户凭证值并触发应用系统的登录事件来实现自动登录过程,其间不传递SSO Token,所以SSO与应用系统之间是单向的松耦合关系#65377;?? 　　通过这个改变,使得