欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

 

張霞  秦緒海

 

 

摘  要  該文詳述了統一認證的系統設計原理，并對目前國內外常見(jiàn)的幾種統一認證系統進(jìn)行分析，總結其中的技術(shù)要點(diǎn)和設計流程，說(shuō)明數據管理的邏輯統一和單點(diǎn)登錄是實(shí)現統一認證的核心問(wèn)題，基于對這兩種技術(shù)的研究，給出了一個(gè)校園網(wǎng)統一認證系統的設計方案。

關(guān)鍵詞  統一認證  單點(diǎn)登錄  SSO  LDAP  Passport

 

 當用戶(hù)訪(fǎng)問(wèn)網(wǎng)站時(shí)，出于安全的考慮，許多網(wǎng)站的服務(wù)如電子郵件、論壇、文件下載等一般都要對用戶(hù)進(jìn)行認證，確定用戶(hù)的身份后賦予用戶(hù)相應的訪(fǎng)問(wèn)權限。隨著(zhù)用戶(hù)申請服務(wù)的增多，用戶(hù)需要記憶的用戶(hù)名和密碼也在增多，每進(jìn)入一項服務(wù)都要進(jìn)行認證，不僅耗費時(shí)間而且容易遺忘密碼；另外，網(wǎng)站維護人員對各種服務(wù)需要建立相應的用戶(hù)認證與信息管理系統，分布于各服務(wù)器上的用戶(hù)數據不僅浪費維護人員的時(shí)間，而且過(guò)于分散的用戶(hù)數據不利于統計和管理，無(wú)論是商業(yè)網(wǎng)站、企業(yè)網(wǎng)還是校園網(wǎng)，都面臨這個(gè)問(wèn)題。用戶(hù)需求與管理要求促使用戶(hù)認證趨于統一，這就產(chǎn)生了統一認證。

統一認證的目標與系統特點(diǎn)為：

⑴      一認證以用戶(hù)層、維護層和管理層三個(gè)層面上的安全和操作簡(jiǎn)便為目標。用戶(hù)層只需一個(gè)用戶(hù)名和密碼，進(jìn)行一次登錄就可以訪(fǎng)問(wèn)統一認證范圍內的所有網(wǎng)站服務(wù)；維護層可以統一設計用戶(hù)的信息格式，集中管理用戶(hù)信息；管理層可以更快捷地獲取用戶(hù)動(dòng)態(tài)，分析用戶(hù)需求，進(jìn)而發(fā)展更新穎，豐富的服務(wù)。

⑵      一認證系統應提供認證過(guò)程的透明性和網(wǎng)站服務(wù)轉換的無(wú)縫鏈接。

⑶      目前瘦客戶(hù)機的概念已經(jīng)深入軟件體系結構設計之中，B/S結構成為流行設計趨勢，BBS,E-MAIL,ftp等傳統服務(wù)已經(jīng)逐步轉向WEB方式，統一認證也應該體現這種瘦客戶(hù)機設計思想。

軟件體系結構通常分為三個(gè)層面：數據管理層，業(yè)務(wù)邏輯層和應用表示層。我們也從這三個(gè)方面來(lái)解析統一認證系統的設計。統一認證的兩個(gè)核心問(wèn)題是數據的邏輯統一和單點(diǎn)登錄（SSO，Single Sign-on）的實(shí)現，它們分別位于數據管理層和業(yè)務(wù)邏輯層。

（1）             數據管理層：這一層實(shí)現對用戶(hù)信息存儲和管理的邏輯統一，使統一認證系統管理下的所有用戶(hù)信息能夠呈現一個(gè)完整的邏輯視圖，消除分散管理的混亂，實(shí)現統一的管理標準和可擴展的數據結構。目前在此方面的數據管理技術(shù)已經(jīng)比較成熟，常見(jiàn)的國際標準是輕量目錄訪(fǎng)問(wèn)協(xié)議LDAP(Light-Weight Directory Access Protocol)。

LDAP是IETF制定的網(wǎng)絡(luò )信息管理協(xié)議，可以方便地對用戶(hù)數據、網(wǎng)絡(luò )資源等各類(lèi)信息進(jìn)行統一、有效地管理，一般布置在Unix或Linux服務(wù)器平臺中，它可以使用數據庫進(jìn)行數據存儲，加快數據訪(fǎng)問(wèn)速度和提高安全性；通過(guò)接口與各種數據庫進(jìn)行交互，具有較高的靈活性。比較常見(jiàn)的軟件中非商業(yè)性的有OpenLDAP，商業(yè)性的有Netscape Directory Server、SUN ONE Directory Server、Microsoft Active Directory等。其中Active Directory是Microsoft公司依照LDAP標準設計的基于Windows服務(wù)器平臺的目錄服務(wù)，通過(guò)存儲網(wǎng)絡(luò )上對象的信息，允許網(wǎng)絡(luò )用戶(hù)通過(guò)單個(gè)登錄過(guò)程訪(fǎng)問(wèn)網(wǎng)絡(luò )任意位置上允許訪(fǎng)問(wèn)的資源，為網(wǎng)絡(luò )管理人員提供了直觀(guān)的網(wǎng)絡(luò )層次結構視圖和對所有網(wǎng)絡(luò )對象的單點(diǎn)管理。

數據庫的應用是通過(guò)制定用戶(hù)管理信息的規范，設計相應的表結構，實(shí)現數據的存儲，并通過(guò)數據庫提供的接口規范編寫(xiě)各種應用模塊，此外，數據庫還提供了較為完善的安全性、數據完整性等服務(wù)。通常使用的應用數據庫有ORACLE、SQL Server、INFORMIX等。

（2）             業(yè)務(wù)邏輯層：這一層主要實(shí)現統一認證的核心服務(wù)，包括對數據的操作，用戶(hù)的認證服務(wù)和通信服務(wù)，目標是實(shí)現單點(diǎn)登錄。

數據操作部分依照數據層提供的接口規范編寫(xiě)相應模塊即可；

用戶(hù)認證部分既可以響應由用戶(hù)通過(guò)WEB訪(fǎng)問(wèn)進(jìn)行的認證服務(wù)調用，也可以響應非WEB的訪(fǎng)問(wèn)，如用戶(hù)端的OUTLOOK、服務(wù)器間聯(lián)合認證調用等。認證后通過(guò)對用戶(hù)認證信息的傳遞，使用戶(hù)以合法身份訪(fǎng)問(wèn)各網(wǎng)站的服務(wù)。

單點(diǎn)登錄在時(shí)間上涉及注冊、登錄、訪(fǎng)問(wèn)和退出四個(gè)過(guò)程，注冊和登錄應保證信息傳送的保密性和認證過(guò)程的透明性，認證的機制有：Kerberos,PKI,一次性口令，數字證書(shū)和硬件鑒別等。訪(fǎng)問(wèn)過(guò)程應實(shí)現對認證信息的透明處理和對網(wǎng)站的無(wú)縫連接，各項服務(wù)的退出應體現透明性。在空間上涉及單個(gè)認證系統和多個(gè)認證系統下的認證訪(fǎng)問(wèn)，主要運用分布式處理技術(shù)，實(shí)現認證信息的透明傳輸與交換；在用戶(hù)端涉及到使用Cookie保留認證信息，或是由服務(wù)器側將認證信息組裝在HTTP頭部進(jìn)行重定向等技術(shù)。

（3）             應用表示層：提供用戶(hù)統一的認證接口，應體現WEB訪(fǎng)問(wèn)的主流設計思想，便于開(kāi)發(fā)新業(yè)務(wù)，提供針對各種應用服務(wù)的認證功能，如WWW,E-MAIL,BBS等。

目前關(guān)于用戶(hù)統一認證的研究已經(jīng)進(jìn)入到實(shí)際應用之中，技術(shù)的焦點(diǎn)主要集中在單點(diǎn)登錄上，商業(yè)性的產(chǎn)品有IBM的Tivoli Global Sign-On，Novell的Secure Login,RSA的ClearTrust,Oracle9iAS Infrastructure，Microsoft的.Net Passport SSI等。一些組織和論壇也提出了一些規范和技術(shù)，如Liberty Alliance Project Phase 2,OpenLDAP等。另外，Web Service近幾年來(lái)逐步流行，它使用XML與HTTP進(jìn)行對象描述與信息傳送，實(shí)現了跨平臺性和面向對象的分布式處理，單點(diǎn)登錄也有在Web Service中集成的趨勢，目前Microsoft和SUN等公司都在致力于這方面的研究。

下面就一些典型案例進(jìn)行分析。

（1）.NET Passport SSI（Single Sign-in）：它通過(guò).NET Passport服務(wù)建立集中認證機制，用戶(hù)可以通過(guò)在HOTMAIL、MSN上注冊電子郵件，登錄Passport網(wǎng)站或Passport合作站點(diǎn)等方式建立Passport賬號。

在獲得Passport賬號后，可以在Passport及其合作站點(diǎn)進(jìn)行單點(diǎn)登錄，實(shí)現無(wú)縫的鏈接訪(fǎng)問(wèn)，合作站點(diǎn)的登錄認證都通過(guò)HTTP重定向功能集中到Passport網(wǎng)站完成，其中采用SSL/TLS,Triple DES加密算法等安全措施保證信息安全，認證通過(guò)后，將認證信息傳送至客戶(hù)端,以Cookie形式保存，用戶(hù)訪(fǎng)問(wèn)合作站點(diǎn)時(shí)，在訪(fǎng)問(wèn)信息中附帶Cookie一起傳送給合作站點(diǎn)，合作站點(diǎn)中有Passport Manager Object進(jìn)程用來(lái)檢查Cookie信息，鑒別用戶(hù)合法與否，合法用戶(hù)被授權訪(fǎng)問(wèn)網(wǎng)站信息,用戶(hù)完成訪(fǎng)問(wèn)后，通過(guò)選擇Log out，重定向到Passport服務(wù)器，由Passport通知各受訪(fǎng)站點(diǎn)退出，各受訪(fǎng)站點(diǎn)同時(shí)刪除客戶(hù)端的Cookies。

Passport認證過(guò)程示意框圖如下：

圖1 Passport認證過(guò)程示意圖

Passport合作站點(diǎn)的開(kāi)發(fā)基于Microsoft提供的SDK，可將Passport部署在Windows,Linux或Unix等服務(wù)器平臺上，由Microsoft提供安全密鑰和站點(diǎn)ID，使用Passport服務(wù)器進(jìn)行集中式認證服務(wù)。

Passport目前已進(jìn)入商業(yè)運行，且擁有相當規模的注冊用戶(hù)。但是它也有一些潛在的問(wèn)題，如實(shí)現集中式認證后，各合作站點(diǎn)的用戶(hù)認證都在Passport網(wǎng)站的管理之下，一旦認證時(shí)Passport網(wǎng)站無(wú)法連通，則不能提供后續服務(wù)；使用Cookies保存和傳遞用戶(hù)信息會(huì )引起用戶(hù)登錄信息的泄密，如用戶(hù)使用公共計算機上網(wǎng)，忘記退出Passport或使用了自動(dòng)登錄選項，就會(huì )造成賬號盜用；Passport未提供與其他身份認證服務(wù)進(jìn)行聯(lián)合的機制，使得其它具備認證服務(wù)的網(wǎng)站不可能參加Passport，也不能聯(lián)合進(jìn)行統一認證。目前Microsoft正在推出TrustBridge技術(shù)以解決不能與其它認證服務(wù)站點(diǎn)聯(lián)合的問(wèn)題，并通過(guò)支持Kerberos認證機制增加安全性。

（2）Liberty Alliance Project:它是由RSA、SUN、Novell等多家公司制定的聯(lián)合認證標準,基于互聯(lián)網(wǎng)上已存在的認證系統而提出，目的是為了簡(jiǎn)化用戶(hù)登錄和訪(fǎng)問(wèn)的過(guò)程，其實(shí)質(zhì)也是單點(diǎn)登錄，目前它的版本為Phrase 2,其內容涉及到聯(lián)合認證，Web Service下的認證管理等技術(shù)標準，它沒(méi)有Passport集中式的統一認證系統，服務(wù)站點(diǎn)（Service Provider）與認證站點(diǎn)(Identity Provider)之間建立一對多或多對多的合作關(guān)系，通過(guò)用戶(hù)設定各網(wǎng)站賬號的映射關(guān)系，建立用戶(hù)的單點(diǎn)登錄服務(wù)，使用HTTP重定向、URL編碼和SAML（Security Assertion Markup Language ）進(jìn)行認證信息傳遞，不在客戶(hù)端存放Cookies認證信息。目前，SUN、AOL等公司已開(kāi)發(fā)出基于此規范的產(chǎn)品，

當用戶(hù)登錄服務(wù)站點(diǎn)時(shí)，服務(wù)站點(diǎn)向用戶(hù)提供建立聯(lián)盟的認證站點(diǎn)鏈接，由用戶(hù)選擇一個(gè)認證站點(diǎn)進(jìn)行登錄驗證，驗證時(shí)詢(xún)問(wèn)用戶(hù)是否建立服務(wù)站點(diǎn)的賬號聯(lián)合，用戶(hù)選擇是后站點(diǎn)之間完成賬號聯(lián)合，并將用戶(hù)重定向到服務(wù)站點(diǎn)開(kāi)始服務(wù)，以后用戶(hù)無(wú)須再進(jìn)行賬號聯(lián)合,可以通過(guò)在認證站點(diǎn)單點(diǎn)登錄之后訪(fǎng)問(wèn)服務(wù)站點(diǎn)，也可以在訪(fǎng)問(wèn)服務(wù)站點(diǎn)時(shí)選擇認證站點(diǎn)進(jìn)行登錄，再通過(guò)站點(diǎn)之間使用SOAP協(xié)議傳遞認證信息實(shí)現服務(wù)訪(fǎng)問(wèn)的無(wú)縫鏈接。

用戶(hù)退出時(shí)，若在認證站點(diǎn)時(shí)，則由認證站點(diǎn)通過(guò)HTTP重定向和GET指令通知各服務(wù)站點(diǎn)退出，在服務(wù)站點(diǎn)時(shí)，則通過(guò)HTTP重定向通知認證站點(diǎn)等退出；另外，也可采用SOAP進(jìn)行通信完成退出過(guò)程。

其余的SSO軟件開(kāi)發(fā)，在Unix或Linux平臺下，有的采用RPC或SUN的RMI，EJB等，例如通過(guò)在客戶(hù)端執行Java applet，實(shí)現客戶(hù)端的計算，完成密鑰交換與認證，采用RMI在實(shí)現Java對象的各站點(diǎn)之間進(jìn)行認證信息傳遞等。

校園網(wǎng)是一個(gè)提供多種服務(wù)的大系統，有必要建立一個(gè)集中式的認證系統，提供對E-MAIL,BBS,FTP，電子交易及管理等的認證服務(wù)。針對校園網(wǎng)用戶(hù)的地理位置、知識層次比較集中，用戶(hù)數據可采用大型數據庫支持的LDAP進(jìn)行管理；業(yè)務(wù)邏輯層可分為數據操作、用戶(hù)認證、服務(wù)器間通信和用戶(hù)通信等子模塊分別實(shí)現，采用Web Service的方式，對各服務(wù)用XML進(jìn)行描述，以支持網(wǎng)絡(luò )調用。由于校園網(wǎng)多為公共機房、實(shí)驗室，認證信息不宜采取在客戶(hù)端保留的方式，可采用HTTP重定向和URL編碼重組，且應在安全和穩定機制上采取必要措施，保證認證服務(wù)的高效、穩定。應用表示層采用XML/HTTP編寫(xiě)認證的Web服務(wù)，與業(yè)務(wù)邏輯層各模塊之間使用SOAP協(xié)議進(jìn)行信息傳遞，實(shí)現子模塊的調用?；谝陨霞夹g(shù)分析，我們可以設計出如下圖所示的校園網(wǎng)統一認證系統。

                                圖2 校園網(wǎng)統一認證系統

針對以后認證系統的擴展，如與其他校園網(wǎng)、學(xué)術(shù)網(wǎng)站的聯(lián)合統一認證，可借鑒Liberty Alliance Project的規范標準，在業(yè)務(wù)邏輯層開(kāi)發(fā)相應的功能子模塊，擴展業(yè)務(wù)能力。

統一認證的目的是為了提高用戶(hù)上網(wǎng)的流暢性，同時(shí)便于網(wǎng)站集中管理用戶(hù)信息，以提供更強的安全性和更多、更好的服務(wù)。校園網(wǎng)統一認證系統的設計與進(jìn)一步實(shí)現，可以大大提高校內外用戶(hù)的上網(wǎng)質(zhì)量，為校園網(wǎng)的運行提供可靠保證。下一步的工作包括對用戶(hù)安全性的進(jìn)一步提高，如用戶(hù)為記憶方便而設置簡(jiǎn)單密碼而可能造成訪(fǎng)問(wèn)權的暴露，此外對用戶(hù)在各服務(wù)網(wǎng)站上的登錄認證還需要做進(jìn)一步的性能分析。

 

[1]     Microsoft，.NET Passport Service Guide Kit Version 2.5.

[2]     IBM， Tivoli Global Sign-On, 2003. http://www.ibm.com/software/tivoli/products/gso

[3]     Novell， NSure, 2003. http://www.novell.com/solutions/nsure

[4]     IETF，RFC2251 Lightweight Directory Access Protocol (v3).

[5]     The OpenLDAP Project, OpenLDAP 2.1 Administrator’s Guide,2003，http://www.openldap.org/doc/admin21/intro.html

[6]     About Active Directory, http://msdn.microsoft.com/library/default.asp?url=/library/en- us/netdir/ad/about_active_directory.asp.

[7]     Liberty Alliance Project tutorial draft，http://www.projectliberty.org/