统一用户认证和单点登陆解决方案

 本文以某新闻单位多媒体数据库系统为例，提出创建企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登陆，解决用户在同时使用多个应用系统时所遇到的重复登陆问题。

随着信息技术和网络技术的迅猛发展，企业内部的应用系统愈来愈多。好比在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。因为这些系统互相独立，用户在使用每一个应用系统以前都必须按照相应的系统身份进行登陆，为此用户必须记住每个系统的用户名和密码，这给用户带来了很多麻烦。特别是随着系统的增多，出错的可能性就会增长，受到非法截获和破坏的可能性也会增大，安全性就会相应下降。针对于这种状况，统一用户认证、单点登陆等概念应运而生，同时不断地被应用到企业应用系统中。

统一用户管理的基本原理

通常来讲，每一个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户须要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增长系统的复杂性，增长管理的成本。

例如，用户X须要同时使用A系统与B系统，就必须在A系统与B系统中都建立用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另外一系统。若是用户X须要同时使用10个应用系统，用户信息在任何一个系统中作出更改后就必须同步至其余9个系统。用户同步时若是系统出现意外，还要保证数据的完整性，于是同步用户的程序可能会很是复杂。

解决用户同步问题的根本办法是创建统一用户管理系统（UUMS）。UUMS统一存储全部应用系统的用户信息，应用系统对用户的相关操做所有经过UUMS完成，而受权等操做则由各应用系统完成，即统一存储、分布受权。UUMS应具有如下基本功能:

1．用户信息规范命名、统一存储，用户ID全局唯一。用户ID犹如身份证，区分和标识了不一样的个体。

2．UUMS向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性，各应用系统能够选择本系统所须要的部分或所有属性。

3．应用系统对用户基本信息的增长、修改、删除和查询等请求由UUMS处理。

4．应用系统保留用户管理功能，如用户分组、用户受权等功能。

5．UUMS应具备完善的日志功能，详细记录各应用系统对UUMS的操做。

统一用户认证是以UUMS为基础，对全部应用系统提供统一的认证方式和认证策略，以识别用户身份的合法性。统一用户认证应支持如下几种认证方式:

1. 匿名认证方式: 用户不须要任何认证，能够匿名的方式登陆系统。

2. 用户名/密码认证: 这是最基本的认证方式。

3. PKI/CA数字证书认证: 经过数字证书的方式认证用户的身份。

4. IP地址认证: 用户只能从指定的IP地址或者IP地址段访问系统。

5. 时间段认证: 用户只能在某个指定的时间段访问系统。

6. 访问次数认证: 累计用户的访问次数，使用户的访问次数在必定的数值范围以内。

以上认证方式应采用模块化设计，管理员可灵活地进行装载和卸载，同时还可按照用户的要求方便地扩展新的认证模块。

认证策略是指认证方式经过与、或、非等逻辑关系组合后的认证方式。管理员能够根据认证策略对认证方式进行增、删或组合，以知足各类认证的要求。好比，某集团用户多人共用一个帐户，用户经过用户名密码访问系统，访问必须限制在某个IP地址段上。该认证策略可表示为: 用户名/密码“与”IP地址认证。

PKI/CA数字证书认证虽不经常使用，但却颇有用，一般应用在安全级别要求较高的环境中。PKI（Public Key Infrastructure）即公钥基础设施是利用公钥理论和数字证书来确保系统信息安全的一种体系。

在公钥体制中，密钥成对生成，每对密钥由一个公钥和一个私钥组成，公钥公布于众，私钥为所用者私有。发送者利用接收者的公钥发送信息，称为数字加密，接收者利用本身的私钥解密; 发送者利用本身的私钥发送信息，称为数字签名，接收者利用发送者的公钥解密。PKI经过使用数字加密和数字签名技术，保证了数据在传输过程当中的机密性（不被非法受权者偷看）、完整性（不能被非法篡改）和有效性（数据不能被签发者否定）。

数字证书有时被称为数字身份证，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名能够确保证书信息的真实性。

完整的PKI系统应具备权威认证机构CA（Certificate Authority）、证书注册系统RA（Registration Authority）、密钥管理中心KMC（Key Manage Center）、证书发布查询系统和备份恢复系统。CA是PKI的核心，负责全部数字证书的签发和注销; RA接受用户的证书申请或证书注销、恢复等申请，并对其进行审核; KMC负责加密密钥的产生、存贮、管理、备份以及恢复; 证书发布查询系统一般采用OCSP（Online Certificate Status Protocol，在线证书状态协议）协议提供查询用户证书的服务，用来验证用户签名的合法性; 备份恢复系统负责数字证书、密钥和系统数据的备份与恢复。

单点登陆

单点登陆（SSO，Single Sign-on）是一种方便用户访问多个系统的技术，用户只需在登陆时进行一次注册，就能够在多个系统间自由穿梭，没必要重复输入用户名和密码来肯定身份。单点登陆的实质就是安全上下文（Security Context）或凭证（Credential）在多个应用系统之间的传递或共享。当用户登陆系统时，客户端软件根据用户的凭证（例如用户名和密码）为用户创建一个安全上下文，安全上下文包含用于验证用户的安全信息，系统用这个安全上下文和安全策略来判断用户是否具备访问系统资源的权限。遗憾的是J2EE规范并无规定安全上下文的格式，所以不能在不一样厂商的J2EE产品之间传递安全上下文。
 
目前业界已有不少产品支持SSO，如IBM的WebSphere和BEA的WebLogic，但各家SSO产品的实现方式也不尽相同。WebSphere经过Cookie记录认证信息，WebLogic则是经过Session共享认证信息。Cookie是一种客户端机制，它存储的内容主要包括: 名字、值、过时时间、路径和域，路径与域合在一块儿就构成了Cookie的做用范围，所以用Cookie方式可实现SSO，但域名必须相同; Session是一种服务器端机制，当客户端访问服务器时，服务器为客户端建立一个唯一的SessionID，以使在整个交互过程当中始终保持状态，而交互的信息则可由应用自行指定，所以用Session方式实现SSO，不能在多个浏览器之间实现单点登陆，但却能够跨域。

实现SSO有无标准可寻？如何使业界产品之间、产品内部之间信息交互更标准、更安全呢？基于此目的，OASIS（结构化信息标准促进组织）提出了SAML解决方案（有关SAML的知识参看连接）。

用户认证中心实际上就是将以上全部功能、全部概念造成一个总体，为企业提供一套完整的用户认证和单点登陆解决方案。一个完整的用户认证中心应具有如下功能:

1. 统一用户管理。实现用户信息的集中管理，并提供标准接口。

2. 统一认证。用户认证是集中统一的，支持PKI、用户名/密码、B/S和C/S等多种身份认证方式

3. 单点登陆。支持不一样域内多个应用系统间的单点登陆。

用户认证中心提供了统一认证的功能，那么用户认证中心如何提供统一受权的功能呢？这就是受权管理中，其中应用最多的就是PMI。

PMI（Privilege Management Infrastructure，受权管理基础设施）的目标是向用户和应用程序提供受权管理服务，提供用户身份到应用受权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的受权和访问控制机制，简化具体应用系统的开发与维护。PMI是属性证书（Attribute Certificate）、属性权威（Attribute Authority）、属性证书库等部件的集合体，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。

PMI以资源管理为核心，对资源的访问控制权统一交由受权机构统一处理，即由资源的全部者来进行访问控制。同公钥基础设施PKI相比，二者主要区别在于: PKI证实用户是谁，而PMI证实这个用户有什么权限，能干什么，并且PMI能够利用PKI为其提供身份认证。

单点登陆通用设计模型

图2是统一用户认证和单点登陆通用设计模型，它由如下产品组成:

1. PKI体系: 包括CA服务器、RA服务器、KMC和OCSP服务器。

2. AA管理服务器: 即认证（Authentication）和受权（Authorization）服务器，它为系统管理员提供用户信息、认证和受权的管理。

3. UUMS模块: 为各应用系统提供UUMS接口。

4. SSO: 包括SSO代理和SSO服务器。SSO代理部署在各应用系统的服务器端，负责截获客户端的SSO请求，并转发给SSO服务器，若是转发的是OCSP请求，则SSO服务器将其转发给OCSP服务器。在C/S方式中，SSO代理一般部署在客户端。

5. PMI: 包括PMI代理和PMI服务器。PMI代理部署在各应用系统的服务器端，负责截获客户端的PMI请求，并转发给PMI服务器。

6. LDAP服务器: 统一存储用户信息、证书和受权信息。

为判断用户是否已经登陆系统，SSO服务器须要存储一张用户会话（Session）表，以记录用户登陆和登出的时间，SSO服务器经过检索会话表就可以知道用户的登陆状况，该表一般存储在数据库中。AA系统提供了对会话的记录、监控和撤消等管理功能。为保证稳定与高效，SSO、PMI和OCSP可部署两套或多套应用，同时提供服务。

连接

SAML

SAML（Security Assertion Markup Language，安全性断言标记语言）是一种基于XML的框架，主要用于在各安全系统之间交换认证、受权和属性信息，它的主要目标之一就是SSO。在SAML框架下，不管用户使用哪一种信任机制，只要知足SAML的接口、信息交互定义和流程规范，相互之间均可以无缝集成。SAML规范的完整框架及有关信息交互格式与协议使得现有的各类身份鉴别机制（PKI、Kerberos和口令）、各类受权机制（基于属性证书的PMI、ACL、Kerberos的访问控制）经过使用统一接口实现跨信任域的互操做，便于分布式应用系统的信任和受权的统一管理。

SAML并非一项新技术。确切地说，它是一种语言，是一种XML描述，目的是容许不一样安全系统产生的信息进行交换。SAML规范由如下部分组成:

1. 断言与协议: 定义XML格式的断言的语法语义以及请求和响应协议。SMAL主要有三种断言: 身份认证断言、属性断言和访问受权断言。

2. 绑定与配置文件: 从SAML请求和响应消息到底层通讯协议如SOAP或SMTP的映射。

3. 一致性规范: 一致性规范设置了一种基本标准，必须知足这一SAML标准的实现才可以称为一致性实现。这样有助于提升互操做性和兼容性。

4. 安全和保密的问题: SAML体系结构中的安全风险，具体而言就是SAML如何应对这些风险以及没法解决的风险。

要注意的是，SAML并非专为SSO设计，但它却为SSO的标准化提供了可行的框架。---（计算机世界报 2005年09月19日 第36期 C1四、C15）