基于凭证库的菜单服务器端应用研究.docxVIP

基于凭证库的菜单服务器端应用研究

ases是一种系统的用户管理机制。通过为用户提供统一的认证和批准操作，管理多个服务流程。借助安全的单点登录系统,用户只需一个用户名和口令,一旦认证结束,用户可以立即访问所有被授权的应用系统。SSO技术在Web应用中的实现策略主要有ticket凭证、Web请求代理以及凭证库的认证策略等。在对凭证库的认证策略的研究上,AndreasPashalidis等人分析了不同类型的单点登录机制的优缺点;JanDeClercq给出了基于凭证库的SSO框架结构;徐福仓等人基于凭证库的思想设计了电子政务内网门户系统;北京神州融信公司的UTrustSSO单点登录系统实现了在不改变原有多个应用系统的前提下,将已有应用系统在SSO服务器上通过配置手段进行整合来实现单点登录。通过分析发现,现有的统一认证服务器是整个SSO系统的中心,用户对门户中的应用系统的访问都被转到认证服务器,增大了认证服务器的负载,使认证服务器的负面瓶颈效应凸现,同时要维护各个应用系统与认证服务器之间的信息同步也需要巨大而繁琐的编码工作。本文的研究工作是基于凭证库的认证策略给出一种图书馆门户的SSO实现方式,采用凭证库和凭证管理器实现了用户的管理,为减少统一认证服务器的负载,对凭证管理器引入凭证池的概念,同时采用Servlet上下文有关的监听器实现用户信息同步,避免了垃圾数据的产生。

2实现策略分析比较

下面就SSO技术在Web应用中几种常见的实现策略进行分析比较,从而可以得出在不修改原有应用系统认证模块的情况下实现单点登录的最优策略。

2.1保护应用设备

Ticket型的基本思想是在登录服务器和应用站点之间通过某种凭证建立起信任关系,这种凭证被称作ticket;用户登录时首先要通过统一的中心登录服务器认证产生一个ticket凭证,用户拥有了该凭证即获取了服务器所辖的所有应用站点的信任,无需任何附加认证即可对应用站点进行访问。Kerberos系统是基于这种策略的典型实现,系统的核心是一个存储对称加密密钥的数据库,认证各方(Client和Server)都有一个与系统间的共享密钥。数据库与它提供的服务一起被称为密钥分发中心,用于提供认证服务。每个在密钥分发中心上认证成功的用户都会得到一个ticket,用户只需向应用站点出示该ticket便能成功访问其对应的服务。

Ticket策略将各集成应用自身的认证功能弱化,转而由第三方的认证服务来代理认证,为所有的应用提供一个统一的认证机制。但实施这种机制的一个前提是必须修改已有应用的认证模块,使其能够符合ticket型机制的要求。因此不足之处在于系统实现较复杂,往往需要附加软件的安装配置,对于现有Web应用集成改造来说代价比较大。

2.2b请求的生成

基于Web请求代理的认证策略仅限于Web应用方面。基本思想是在用户与应用站点之间设置一个代理服务器,由这个代理服务器代理所有的应用站点的Web请求,其中包括用户的认证登录请求。对于已认证用户的Web请求,仅仅通过URL转发将请求传给应用站点。基于这种策略,当用户访问某应用时,Web请求将其先传入代理服务器,用户完成认证后再由认证服务器将请求转向应用站点,并将用户身份信息含在请求中一并转给应用站点。

基于Web请求代理的认证策略实现机制简洁,结构框架更灵活,对原有Web应用代码的改造较少,目前大多数的单点登录系统都采取这种策略。但它的缺点是代理服务器可能会成为系统的瓶颈。

2.3web请求代理策略

基于凭证库的认证策略适合于采用标准认证机制的Web应用,它负责将SSO用户映射成在相关应用上的合法身份,并将认证信息构造成一个用户凭证,这个用户凭证自动为用户完成在应用上的认证。该策略是在结合前两种策略的基础上演化而来的。基于凭证库的认证策略同Web请求代理策略一样,需要一个功能类似于代理服务器的统一认证服务器来进行统一的认证登录;不同的是在Web请求代理策略中用户的基本身份信息是统一的,各个应用站点间不再需要进行二次登录处理,而基于凭证库的认证策略中各个应用站点间的用户基本身份信息是不同的;用户在统一认证服务器上完成统一登录后进入应用站点还有一个从认证的过程,根据凭证库中的凭证对象的SSO和应用程序的映射关系进入应用站点。

这种策略的系统架构比前两种策略更加灵活,前两种策略必须修改应用系统原有的认证模块,而本策略的一个最大优点就是不需要对应用系统的原有认证模块作任何修改,其所提供的安全性与用户直接在原系统上认证时完全一样。

基于上面对几种常见SSO策略的描述和比较,可以看出,若要在不修改原有应用系统认证模块的情况下实现单点登录,基于凭证库的认证策略是最佳选择。

3基于平台的身份认证功能

用户在门户注册后系统将自动为该用户配置其