返回
一种基于安全域企业信息门户单点登录系统设计

一种基于安全域企业信息门户单点登录系统设计

ID:5929958

大小:36.50 KB

页数:14页

时间:2017-12-29

一种基于安全域企业信息门户单点登录系统设计_第1页
一种基于安全域企业信息门户单点登录系统设计_第2页
一种基于安全域企业信息门户单点登录系统设计_第3页
一种基于安全域企业信息门户单点登录系统设计_第4页
一种基于安全域企业信息门户单点登录系统设计_第5页
资源描述:

《一种基于安全域企业信息门户单点登录系统设计》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、一种基于安全域企业信息门户单点登录系统设计  摘要:企业信息门户以Web服务的分布式体系结构为基础将企业所有的应用集成起来,向使用者提供一个访问各类数据、应用和服务的统一入口。单点登录是企业信息门户首先需要解决的问题,介绍了一种企业信息门户中单点登录系统的设计方案。根据Web服务应用耦合程度的不同动态地进行安全域的划分,域内跨站点访问和跨域访问分别采用Web应用间传递票据和加密Cookie共享的认证机制,从而既缓解了跨域访问的复杂认证过程又保证了系统的安全性。关键词:企业信息门户;单点登录;安全域;跨域Cookie中图分类号:TP302.1[KG*2]文献标识码:A[KG*2

2、][HT5”H]文章编号:2095-2163(2013)05-0005-050引言企业在建立信息化设计之初未曾考虑各个子系统之间的通信问题,随着时间的推移,企业所建立的信息系统越来越多,一个需要在多个应用系统之间综合操作的用户就必须设置大量的账号和密码,极易造成混淆。同时,频繁的登录操作还容易造成信息的泄露,这也将带来严重的安全隐患。对于管理者而言,需要维护多个用户数据库,管理繁琐。14为了解决上述问题,引入了企业信息门户(EIP,EnterpriseInformationPortal)[1]的概念。企业信息门户涉及用户界面集成、数据集成、业务流程管理以及单点登录系统等多个方

3、面,其中首先需要解决的就是单点登录系统(SSO,SingleSignOn)[2]的实现。作为用户而言,只需进行一次主动的身份认证,随后就能方便地访问所有被授权的数据资源而无需再次认证。作为管理者而言,只需维护少数几个信息数据库,从而提高了系统的可维护性和整体安全性。现有的SSO解决方案有微软的Passport[3]、IBM的WebSpherePortalServer[4]以及Liberty等。这些方案虽然都能够实现单点登录功能,但各系统分别有着不同的侧重点而且对系统架构有着严格要求。根据上述分析,本文提出一种更具灵活性和安全性的单点登录解决方案,能够根据Web服务应用耦合程度

4、不同进行安全域划分,用户在某一域内跨站点访问数据时,采用Web应用间传递票据的方式进行认证;而用户如需要跨域进行访问数据时,则需要通过更严格的加密Cookie共享机制进行认证。这种动态认证策略既缓解了认证过程的复杂性,又保证了系统的整体安全性。1基于安全域的单点登录模型概述1.1安全域相关概念14安全和信任已成为Web服务的重要需求之一,针对这一问题,本文提出一种新的安全域概念。一个安全域中的Web应用必须是相互关联且相互信任的,在逻辑和管理意义上处于同一域,并且在同一个安全域内实施相同的本地安全策略。目前,安全域的划分方式主要包括按业务划分和按安全级别划分。企业信息门户系统

5、的用户经常要求在多个相关的业务系统之间请求数据,最理想的办法是将现有系统按业务划分安全域,每个安全域承担相关的一类信息服务。这种划分方法对系统改动最小,划分形式最简单,最容易实施,同时又保证了域内访问的高效性以及跨域访问的安全性。1.2基于安全域的单点登录模型现有的单点登录系统无论在灵活性还是安全性上都无法同时满足企业信息门户系统的现实要求,针对此问题在上述技术分析的基础上提出一种基于安全域的单点登录模型。根据请求访问同一域内的业务和请求跨域访问分别提出了两种不同级别的认证机制,模型结构如图1所示。由图1可知,基于安全域的单点登录模型主要包括企业信息门户,认证中心以及划分了安

6、全域的众多业务系统。安全域是依据业务系统的服务类型划分的,而与各个业务系统的实际地理位置没有关系,图中将同域的各业务系统放置在一起只是逻辑意义上的,真正区别业务系统所属哪个安全域则是依据业务信息表中标注的安全域ID。2基于安全域的单点登录系统设计14根据上述提出的模型,给出单点登录系统各模块的设计细节,主要包括企业信息门户和认证中心两大模块。基于安全域的单点登录分为单域登录、域内跨站点访问和跨域访问,分别给出其流程细节。2.1系统各模块的设计细节2.1.1企业信息门户企业信息门户对所有用户提供统一的单点登录入口和登录验证,并提供所有业务系统的链接。用户首次访问业务数据时会被要

7、求向认证中心提供用户名和口令进行验证。其中,用户名被映射为一个能被所用应用系统识别的ID号,如果通过验证,就会返回用户请求的业务数据,而内部的验证过程对用户是透明的。2.1.2认证中心认证中心是整个系统的中心,具体由LDAP服务器,Cookie服务器和认证中心服务器组成。主要用于向用户提供注册服务,向所有业务系统提供认证服务,同时向用户提供统一的调用接口。对各服务器重要功能分析如下。(1)LDAP服务器LDAP全称为LightweightDirectoryAccess14Protocol[5],是一个轻

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。