论文部分内容阅读
摘 要:跨多级域单点登录访问及身份认证系统的构造,主要用于解决了多级域之间的单点登录访问技术问题,其特征是在多级域之间访问过程中,通过统一的登录口进行访问。该课题研究技术方案为:将跨多级域单点登录访问及身份认证系统将多级域各自的认证源整合到了一起,并且将多个域之间的用户关系进行了整合,用户可以使用任意子域的用户名、密码进行访问登录。并且在用户访问子域的过程中,通过对子域单点登录客户端的优化,实现了对应用访问权限的细粒度的控制。
关键词:跨域认证 单点登录 身份认证
中图分类号:TP39 文献标识码:A 文章编号:1672-3791(2015)11(c)-0025-03
该研究针对国内电子政务多年的建设,政务信息化程度的逐步加深,各种支撑应用和用户数量不断增加,网络规模随之迅速扩张,带来了一个严重的问题,即:网络内的用户和用户的交互性逐步增大,电子政务用户认证和访问控制信息安全问题愈见突出,对系统的安全整体防护和可用性也提出了更高的要求。具体体现为,原有的帐号口令、权限认证、审计管理措施已越来越不能满足政务信息化当前及未来业务发展的要求,面对众多应用系统(包括三方应用系统)托管、复杂的区域化应用建设,迫切需要解决统一的帐号数据、集中权限分配,单点登录认证、集中安全审计等问题。使系统和安全管理人员可以操作系统、数据库、网络设备、应用系统等各种IT资源的帐号、认证、授权和审计的集中控制和管理,明确相关管理人员的权限和职责,从技术上保证企业整体安全策略的实施,保障网络及系统安全、高效的运行,提高信息化服务质量。满足萨班斯法案关于信息安全控制的要求,符合政务信息化的发展趋势。
1 研究思路
该课题旨在研究电子政务应用环境下多级域访问解决方案,是对于跨多级域实现单点登录访问,以及子域内访问过程中对于应用权限细粒度的控制。
所述的跨多级域的实现,是指由跨域访问中心构成,跨域访问中心包含了跨域用户数据映射同步模块、(多级域)域ID生成模块、多级域访问认证接口模块。
所述的子域内部的访问权限控制,是由单点登录的客户端完成,客户端会集成在应用端,当用户发起应用访问请求时,客户端负责验证用户票据的有效性,以及根据票据中包含的权限信息来判断是否对用户的访问请求进行放行。
2 设计目标
该课题设计目的在于克服上述已有技术的不足,提供了一种跨域单点登录机制,以解决在多级域情况下的多域应用访问,并、对于目前域内的单点登录的技术架构进行优化,以解决域内用户对应用访问权限细粒度的控制。
3 设计说明
该课题是对Web应用的整合管理,在每个Web应用拥有自己的登录、用户管理的情况下,提供了一种将多个web应用融合,特别是采用单一登录窗口完成对多个应用访问的一种基于SAML的登录和身份认证系统,尤其是在现有同一域内的应用基础上进行改进,提供单一登录窗口,对于用户权限许可内的多个子域实现跨域单点登录。
跨域用户数据同步模块,是跨域访问中心发布用户数据同步接口,接口内容包含同步更新、修改、删除用户数据。具体实现为用户通过子域接口从子域抽取用户数据信息、子域ID信息,在子域进行封装,然后通过数据同步接口传入到跨域访问中心。
跨域访问中心,当跨域访问中心得到这些用户数据信息,首先判断标志位,再根据标志位来判断来源数据是新增、修改、删除中的哪个。
(1)新增操作,是在根据用户信息中的唯一标识信息判断用户唯一标识是否已经存在于跨域认证源中,如果存在,则将用户信息作为映射信息存储在用户唯一标识节点下,作为映射节点信息。如果不存在,则首先为该用户创建一个唯一标识节点,再将用户信息添加到这个唯一标识节点下。
(2)更新操作时,根据用户信息中的唯一标识首先找到唯一标识,然后再根据用户子域信息,对认证源上的对应映射节点信息进行更新。
(3)删除操作时,根据用户信息中的唯一标识首先找到唯一标识,然后再根据用户子域信息,对认证源上的对应映射节点信息进行删除。
(4)跨域用户访问认证模块,是向参与到跨域访问中的子域提供认证接口,对于子域单点登录系统的认证模块进行改造,在原有子域认证源基础上,增加了可选的跨域认证源配置,这样在网络畅通、用户需要开通跨域访问时,开通跨域访问需求。当网络阻断时,用户又需要使用子域中的应用,则可以选择子域认证,保证子域内应用访问正常。
(5)跨域认证即为,用户任意子域登录时,需要提供用户唯一标识、用户名、密码,通过接口,首先根据唯一标识判断用户是否存在跨域认证源中,如果存在则继续判断在该节点下的用户映射信息中是否有一对可以满足用户名、密码。如果满足则返回用户认证成功,并返回用户的跨域访问票据。用户持有该票据可以访问其他多级域而不需要再次输入验证信息。子域会根据跨域访问票据判断用户是否认证成功。如果唯一标识不存在,则返回用户唯一标识不存在。如果映射节点中没有可以匹配的用户名、密码,则返回认证失败。
(6)子域内部的访问权限控制,其特征是对于用户在应用中的访问,可以进行对访问功能模块的控制,不再止步于可以访问那些应用,而是具体到可以访问应用下的那些操作,所述的子域,其单点登录是由服务器和客户端组成的,当用户首次访问应用时,客户端会拦截访问,并查看是否具有服务器颁发的访问服务票据,如果没有则会重定向会服务器端进行认证,认证完成后,会将用户的应用及应用权限信息封装成票据,用户在访问应用的过程中,客户端会拦截请求,并将票据中的权限内容与请求中的内容进行对比,如果符合,则放行通过,如果不符合则拒绝用户访问请求。
4 设计分析
4.1 设计模型
跨域单点登录系统,包括跨域访问中心、域内单点登录子系统和用户管理子系统、域内单点登录控制中心。 跨域访问中心,提供多级域唯一的统一认证源,并且将多级域的用户通过用户数据映射的方式同步到统一认证源中,实现这一点,多级域的每一个子域内的用户都具有相同的唯一标识信息,在用户数据同步的过程中,相同唯一标识的用户信息存储在同一个数据节点下,数据节点下存储着用户每个子域不同的用户名和密码信息。
跨域访问中心,给每个参与了跨域的多级域都分配了域ID,在多级域部署完成后,管理员使用多级域的域ID生成功能,通过跨域访问中心提供的域ID生成接口,将域ID生成,同时保留在跨域访问中心和子域的存储中。
跨域访问中心,在用户的映射数据同步过程中,会将域ID信息、与用户的映射信息进行封装,一并同步到跨域访问中心,这样就标识了在跨域访问中心的每个用户映射数据的数据来源。
域内单点登录子系统用户域内访问,用户域内访问时,通过单点登录系统只能获取到可以访问的应用,但是无法对用户的应用访问权限的细粒度进行约束。
域内单点登录子系统用户域内访问,使用单点登录为应用系统配置的client端,对用于用户的请求进行拦截,在根据用户票据中的权限信息进行比对,对于符合权限信息的请求进行放行,总而,达到对于用户访问权限的控制。
用户管理子系统主要对于用户在域内的应用访问权限进行分配。
该课题采用了跨域访问中心的创建,将多级域的域内认证中提升到了多级域之间的统一跨域认证。克服了原有需要通过多个子域访问各自拥有的应用,通过统一认证源的整合,将多级域的入口整合到了一起,变得更为高效,节省了用户访问多级域的时间,认证效率。
4.2 跨域单点登录流程设计
(1)在分布部署域内单点登录系统时,分别录入用户数据,录入的用户数据需要以用户的身份证号为唯一标识信息,这样便于在将用户数据同步到跨域访问中心时,提供可依据的用户映射关系。
(2)为分布的域内单点登录系统,由域内管理员申请该域单点登录系统的SSOID,便于在提供数据访问、数据同步过程中,表示用户数据的来源,域内单点登录系统的描述信息。
(3)由域内管理员将域内单点登录系统的用户数据进行数据同步,并且由跨域访问中心提供的数据接口进行接收,处理用户数据映射关系。
(4)在域内的单点登录控制中心,将域内的认证模式由域内认证设置为跨域单点登录。
用户可以通过域内单点登录入口进行跨域访问,首次返回用户可以访问的域列表,再次选择域列表则可以返回用户可访问的应用列表。
4.3 跨域认证流程
4.3.1 跨域登录方式
用户有两种跨域登录方式:域登录全域访问和客户端登录全域访问。
域登录:用户登录任何一个域SSO认证成功,域SSO将展示本域和其他域可访问的应用资源访问列表,提供用户进行已授权的访问。
客户端登录:用户通过客户端登录,在客户端应用列表中列出该用户可访问的所有域的应用资源访问列表。用户点击应用资源,客户端浏览器打开该域应用系统界面提供用户进入该系统进行访问。
4.3.2 跨域认证注册流程
在平台层使用用户唯一标识表示账号ID-域内用户信息映射进行管理,其中域内用户信息由跨域访问中心与域内用户管理系统进行同步数据管理。各个应用层权限由各个子域负责管理分配,如图2所示。
4.3.3 跨域认证服务流程
跨域认证服务各域在认证服务遵循先到跨域认证服务中进行用户的认证,读取用户相关跨域信息;如果跨域服务中跨域信息未作其他域的关联或者网络不通等原因未有跨域的信息,域内的认证服务将进行域内的用户认证和权限认证读取。
4.4 服务流程
(1)用户通过跨域认证,可以在任何一个域的SSO进行登录,就可以看到该用户的所授权的所有域的访问列表。
(2)用户在域内SSO登录时,域内SSO将首先调用跨域认证管理的认证服务,并将该用户的所有已授权的域访问列表返回。
(3)用户选择需要访问的子域,跨域访问中心带领用户去子域进行验证,当子域验证用户已经跨域登陆成功后,颁发子域的凭证信息,并且返回用户子域的应用列表。
用户选择需要访问的应用列表,子域SSO代理用户访问应用,验证子域凭证的有效性后,便返回应用信息。
5 结语
该课题对单点登录客户端的优化,采用了过滤器拦截请求内容与票据进行比对,控制了用户访问应用的颗粒度。克服了原有单点登录只能控制到访问应用这一层的问题。带来了对于用户、应用权限管理更加仔细的操作。
参考文献
[1] 周晓斌,董瑞阳.电子政务信息安全十大问题[N].计算机世界, 2009-06-29.
[2] 唐珂.浅谈我国电子政务建设及信息安全管理问题[J].档案学研究,2004(6):38-47.
[3] 刘邦凡.论基于云计算的电子政务信息安全[J].电子商务,2013(11):32-33.
[4] 孙雷.电子政务信息安全和管理[J].应用能源技术,2009(10):42-44.
关键词:跨域认证 单点登录 身份认证
中图分类号:TP39 文献标识码:A 文章编号:1672-3791(2015)11(c)-0025-03
该研究针对国内电子政务多年的建设,政务信息化程度的逐步加深,各种支撑应用和用户数量不断增加,网络规模随之迅速扩张,带来了一个严重的问题,即:网络内的用户和用户的交互性逐步增大,电子政务用户认证和访问控制信息安全问题愈见突出,对系统的安全整体防护和可用性也提出了更高的要求。具体体现为,原有的帐号口令、权限认证、审计管理措施已越来越不能满足政务信息化当前及未来业务发展的要求,面对众多应用系统(包括三方应用系统)托管、复杂的区域化应用建设,迫切需要解决统一的帐号数据、集中权限分配,单点登录认证、集中安全审计等问题。使系统和安全管理人员可以操作系统、数据库、网络设备、应用系统等各种IT资源的帐号、认证、授权和审计的集中控制和管理,明确相关管理人员的权限和职责,从技术上保证企业整体安全策略的实施,保障网络及系统安全、高效的运行,提高信息化服务质量。满足萨班斯法案关于信息安全控制的要求,符合政务信息化的发展趋势。
1 研究思路
该课题旨在研究电子政务应用环境下多级域访问解决方案,是对于跨多级域实现单点登录访问,以及子域内访问过程中对于应用权限细粒度的控制。
所述的跨多级域的实现,是指由跨域访问中心构成,跨域访问中心包含了跨域用户数据映射同步模块、(多级域)域ID生成模块、多级域访问认证接口模块。
所述的子域内部的访问权限控制,是由单点登录的客户端完成,客户端会集成在应用端,当用户发起应用访问请求时,客户端负责验证用户票据的有效性,以及根据票据中包含的权限信息来判断是否对用户的访问请求进行放行。
2 设计目标
该课题设计目的在于克服上述已有技术的不足,提供了一种跨域单点登录机制,以解决在多级域情况下的多域应用访问,并、对于目前域内的单点登录的技术架构进行优化,以解决域内用户对应用访问权限细粒度的控制。
3 设计说明
该课题是对Web应用的整合管理,在每个Web应用拥有自己的登录、用户管理的情况下,提供了一种将多个web应用融合,特别是采用单一登录窗口完成对多个应用访问的一种基于SAML的登录和身份认证系统,尤其是在现有同一域内的应用基础上进行改进,提供单一登录窗口,对于用户权限许可内的多个子域实现跨域单点登录。
跨域用户数据同步模块,是跨域访问中心发布用户数据同步接口,接口内容包含同步更新、修改、删除用户数据。具体实现为用户通过子域接口从子域抽取用户数据信息、子域ID信息,在子域进行封装,然后通过数据同步接口传入到跨域访问中心。
跨域访问中心,当跨域访问中心得到这些用户数据信息,首先判断标志位,再根据标志位来判断来源数据是新增、修改、删除中的哪个。
(1)新增操作,是在根据用户信息中的唯一标识信息判断用户唯一标识是否已经存在于跨域认证源中,如果存在,则将用户信息作为映射信息存储在用户唯一标识节点下,作为映射节点信息。如果不存在,则首先为该用户创建一个唯一标识节点,再将用户信息添加到这个唯一标识节点下。
(2)更新操作时,根据用户信息中的唯一标识首先找到唯一标识,然后再根据用户子域信息,对认证源上的对应映射节点信息进行更新。
(3)删除操作时,根据用户信息中的唯一标识首先找到唯一标识,然后再根据用户子域信息,对认证源上的对应映射节点信息进行删除。
(4)跨域用户访问认证模块,是向参与到跨域访问中的子域提供认证接口,对于子域单点登录系统的认证模块进行改造,在原有子域认证源基础上,增加了可选的跨域认证源配置,这样在网络畅通、用户需要开通跨域访问时,开通跨域访问需求。当网络阻断时,用户又需要使用子域中的应用,则可以选择子域认证,保证子域内应用访问正常。
(5)跨域认证即为,用户任意子域登录时,需要提供用户唯一标识、用户名、密码,通过接口,首先根据唯一标识判断用户是否存在跨域认证源中,如果存在则继续判断在该节点下的用户映射信息中是否有一对可以满足用户名、密码。如果满足则返回用户认证成功,并返回用户的跨域访问票据。用户持有该票据可以访问其他多级域而不需要再次输入验证信息。子域会根据跨域访问票据判断用户是否认证成功。如果唯一标识不存在,则返回用户唯一标识不存在。如果映射节点中没有可以匹配的用户名、密码,则返回认证失败。
(6)子域内部的访问权限控制,其特征是对于用户在应用中的访问,可以进行对访问功能模块的控制,不再止步于可以访问那些应用,而是具体到可以访问应用下的那些操作,所述的子域,其单点登录是由服务器和客户端组成的,当用户首次访问应用时,客户端会拦截访问,并查看是否具有服务器颁发的访问服务票据,如果没有则会重定向会服务器端进行认证,认证完成后,会将用户的应用及应用权限信息封装成票据,用户在访问应用的过程中,客户端会拦截请求,并将票据中的权限内容与请求中的内容进行对比,如果符合,则放行通过,如果不符合则拒绝用户访问请求。
4 设计分析
4.1 设计模型
跨域单点登录系统,包括跨域访问中心、域内单点登录子系统和用户管理子系统、域内单点登录控制中心。 跨域访问中心,提供多级域唯一的统一认证源,并且将多级域的用户通过用户数据映射的方式同步到统一认证源中,实现这一点,多级域的每一个子域内的用户都具有相同的唯一标识信息,在用户数据同步的过程中,相同唯一标识的用户信息存储在同一个数据节点下,数据节点下存储着用户每个子域不同的用户名和密码信息。
跨域访问中心,给每个参与了跨域的多级域都分配了域ID,在多级域部署完成后,管理员使用多级域的域ID生成功能,通过跨域访问中心提供的域ID生成接口,将域ID生成,同时保留在跨域访问中心和子域的存储中。
跨域访问中心,在用户的映射数据同步过程中,会将域ID信息、与用户的映射信息进行封装,一并同步到跨域访问中心,这样就标识了在跨域访问中心的每个用户映射数据的数据来源。
域内单点登录子系统用户域内访问,用户域内访问时,通过单点登录系统只能获取到可以访问的应用,但是无法对用户的应用访问权限的细粒度进行约束。
域内单点登录子系统用户域内访问,使用单点登录为应用系统配置的client端,对用于用户的请求进行拦截,在根据用户票据中的权限信息进行比对,对于符合权限信息的请求进行放行,总而,达到对于用户访问权限的控制。
用户管理子系统主要对于用户在域内的应用访问权限进行分配。
该课题采用了跨域访问中心的创建,将多级域的域内认证中提升到了多级域之间的统一跨域认证。克服了原有需要通过多个子域访问各自拥有的应用,通过统一认证源的整合,将多级域的入口整合到了一起,变得更为高效,节省了用户访问多级域的时间,认证效率。
4.2 跨域单点登录流程设计
(1)在分布部署域内单点登录系统时,分别录入用户数据,录入的用户数据需要以用户的身份证号为唯一标识信息,这样便于在将用户数据同步到跨域访问中心时,提供可依据的用户映射关系。
(2)为分布的域内单点登录系统,由域内管理员申请该域单点登录系统的SSOID,便于在提供数据访问、数据同步过程中,表示用户数据的来源,域内单点登录系统的描述信息。
(3)由域内管理员将域内单点登录系统的用户数据进行数据同步,并且由跨域访问中心提供的数据接口进行接收,处理用户数据映射关系。
(4)在域内的单点登录控制中心,将域内的认证模式由域内认证设置为跨域单点登录。
用户可以通过域内单点登录入口进行跨域访问,首次返回用户可以访问的域列表,再次选择域列表则可以返回用户可访问的应用列表。
4.3 跨域认证流程
4.3.1 跨域登录方式
用户有两种跨域登录方式:域登录全域访问和客户端登录全域访问。
域登录:用户登录任何一个域SSO认证成功,域SSO将展示本域和其他域可访问的应用资源访问列表,提供用户进行已授权的访问。
客户端登录:用户通过客户端登录,在客户端应用列表中列出该用户可访问的所有域的应用资源访问列表。用户点击应用资源,客户端浏览器打开该域应用系统界面提供用户进入该系统进行访问。
4.3.2 跨域认证注册流程
在平台层使用用户唯一标识表示账号ID-域内用户信息映射进行管理,其中域内用户信息由跨域访问中心与域内用户管理系统进行同步数据管理。各个应用层权限由各个子域负责管理分配,如图2所示。
4.3.3 跨域认证服务流程
跨域认证服务各域在认证服务遵循先到跨域认证服务中进行用户的认证,读取用户相关跨域信息;如果跨域服务中跨域信息未作其他域的关联或者网络不通等原因未有跨域的信息,域内的认证服务将进行域内的用户认证和权限认证读取。
4.4 服务流程
(1)用户通过跨域认证,可以在任何一个域的SSO进行登录,就可以看到该用户的所授权的所有域的访问列表。
(2)用户在域内SSO登录时,域内SSO将首先调用跨域认证管理的认证服务,并将该用户的所有已授权的域访问列表返回。
(3)用户选择需要访问的子域,跨域访问中心带领用户去子域进行验证,当子域验证用户已经跨域登陆成功后,颁发子域的凭证信息,并且返回用户子域的应用列表。
用户选择需要访问的应用列表,子域SSO代理用户访问应用,验证子域凭证的有效性后,便返回应用信息。
5 结语
该课题对单点登录客户端的优化,采用了过滤器拦截请求内容与票据进行比对,控制了用户访问应用的颗粒度。克服了原有单点登录只能控制到访问应用这一层的问题。带来了对于用户、应用权限管理更加仔细的操作。
参考文献
[1] 周晓斌,董瑞阳.电子政务信息安全十大问题[N].计算机世界, 2009-06-29.
[2] 唐珂.浅谈我国电子政务建设及信息安全管理问题[J].档案学研究,2004(6):38-47.
[3] 刘邦凡.论基于云计算的电子政务信息安全[J].电子商务,2013(11):32-33.
[4] 孙雷.电子政务信息安全和管理[J].应用能源技术,2009(10):42-44.