資源描述:
《基于票據(jù)的單點登錄系統(tǒng)設計與實現(xiàn)》由會員上傳分享,免費在線閱讀�,更多相關內(nèi)容在教育資源-天天文庫。
1�����、基于票據(jù)的單點登錄系統(tǒng)設計與實現(xiàn) 摘要:針對傳統(tǒng)基于票據(jù)的Web應用單點登錄系統(tǒng)在組合應用訪問上的不足以及基于證書的Web應用單點登錄系統(tǒng)存在的效率問題����,提出一種改進的基于票據(jù)的Web應用單點登錄系統(tǒng)。該系統(tǒng)實現(xiàn)了不同域名的Web應用單點登錄�����,引入代理票據(jù)實現(xiàn)了組合應用訪問時的單點登錄��,采用票據(jù)進行身份認證�����,避免了數(shù)字簽名以及多重數(shù)字簽名帶來的認證效率問題?����! £P鍵詞:單點登錄���;票據(jù);代理票據(jù)����;TGT;Web應用 中圖分類號:TN915?34���;TP393文獻標識碼:A文章編號:1004?373X(2015)13?0085?05 Abstract:Sincetheinsufficienc
2���、yoftraditionalbill?basedWebapplicationsinglesign?on(SSO)systemincombinationapplicationaccess,andtheefficiencyproblemofcertificate?basedWebapplicationSSOsystem���,animprovedbill?basedWebapplicationSSOsystemisproposed.TheproposedsystemrealizedWebapplicationSSOofdifferentdomainname��,andSSOofcombinationapp
3�、licationaccessbyintroducingtheagencybill.Theidentityauthenticationisproceededwiththebilltoavoidtheauthenticationefficiencyproblemscausedbydigitalsignaturesandmulti?digitalsignatures. Keywords:SSO;bill���;agencybill��;TGT�;Webapplication 0引言 隨著網(wǎng)絡技術(shù)和信息技術(shù)的不斷發(fā)展�,用戶對于信息和服務的需求不斷增加,各種應用服務不斷普及����,用戶使用的應用系統(tǒng)越來越多。用戶
4�、需要牢記大量應用系統(tǒng)的登錄信息,給用戶帶來了很大的麻煩�����,為了減少麻煩��,用戶一般采用相同而且方便記憶的口令��,這就帶來了極大的安全隱患���,同時加上各應用系統(tǒng)的認證系統(tǒng)存在各種差異���,嚴重阻礙了系統(tǒng)間的信息交互��,單點登錄正是在這一背景下產(chǎn)生的�����。單點登錄的目的是“一次登錄���,自由切換”,即用戶可以在只進行一次主動的身份認證前提下�����,就可以自由訪問多個授權(quán)內(nèi)的應用資源����?! ≡赪eb應用環(huán)境下,用戶通過訪問Web應用獲取資源,有時�,為了業(yè)務功能以及用戶體驗的需要,某些Web應用之間需要相互訪問來獲取資源��,將后者定義為組合應用訪問��。傳統(tǒng)的基于票據(jù)的Web應用單點登錄系統(tǒng)在用戶登錄成功后為其生成一張票據(jù)����,結(jié)合Web
5、應用系統(tǒng)特有的Cookie技術(shù)實現(xiàn)了用戶訪問Web應用時的單點登錄��,但由于Cookie的限制�����,該系統(tǒng)要求Web應用必須具備相同的域名�����,部署起來不太方便����,同時該系統(tǒng)并未給出組合應用訪問時單點登錄的解決方法?;谧C書的單點登錄系統(tǒng)通過引入多重簽名技術(shù)給出了組合應用訪問時單點登錄的解決方法,但是缺點也十分明顯����,需要對證書鏈上的每個簽名進行驗證����,認證效率太低��?�! ♂槍ι鲜鰡栴}��,本文給出一種改進的基于票據(jù)的Web應用單點登錄系統(tǒng)���,解決了Cookie對于Web應用域名的限制�����,同時引入代理票據(jù)解決了組合應用訪問時的單點登錄�����,避免了多重數(shù)字簽名帶來的效率問題���?�! ?傳統(tǒng)單點登錄方案 1.1基于票據(jù)的單點登
6���、錄 傳統(tǒng)的基于票據(jù)的單點登錄在用戶的登錄信息認證通過后,認證服務器為用戶生成一張票據(jù)��,票據(jù)由隨機的字符串組成�,以鍵值對的形式附在URL后面,用戶攜帶此票據(jù)訪問Web應用資源�,Web應用驗證票據(jù)合法后,返回用戶訪問的資源��,同時會附帶一個Cookie���,Cookie中包含了用戶的身份信息��,之后用戶訪問同域名的其他Web應用時會自動攜帶該Cookie���,Web應用通過該Cookie了解到用戶已經(jīng)登錄,直接返回訪問的資源�����,無需再次對用戶進行身份認證�����,實現(xiàn)了單點登錄。由于Cookie本身對域名的限制��,單點登錄范圍內(nèi)的Web應用必須含有相同域名���,同時該傳統(tǒng)方案未給出Web應用之間即組合應用訪問的單點登錄流
7����、程��?! ?.2基于證書的單點登錄 基于證書的單點登錄主要由CA(證書授權(quán))、Web應用服務器和用戶三部分組成��。通過CA簽發(fā)證書實現(xiàn)用戶訪問服務器的單點登錄,認證過程與上述方案類型���。在面對組合應用訪問需求時�����,用戶將證書作為自己的身份憑證委托給Web應用�����,組合訪問鏈上Web應用依次給證書簽名�����,最后一個Web應用需要對證書鏈上的所有簽名逐個驗證��,驗證通過后��,直接返回訪問的資源��,無需再次對用戶進行身份認證�����,實現(xiàn)了組
