基于旁路技术的单点登录系统设计与实现

1、基于旁路技术的单点登录系统设计与实现严静（中国核动力研究设计院/信息中心，四川 成都 610041） 摘要：在某单点登录改造项目实施过程中，为了克服原方案的性能瓶颈和兼容性缺陷，采用安全认证网关、绝对url地址访问、多因子加密等方法，解决了身份认证、旁路访问、安全参数传递等关键技术，设计出了统一身份认证与独立系统访问相结合的单点登录解决方案，提出了基于该方案进行单点登录改造的技术要求，经过实际应用验证，该方案具有突出的优点和实用效果。关键词：系统集成，统一身份认证，单点登录，安全认证网关，加密传输bypass-based single sign-on system design and imp

2、lementation of technologyyan jing(information center of nuclear power institute of china, chengdu sichuan 610041, china)abstract: in order to overcome the performance bottleneck and compatibility flaws of original scheme during the implementation of a single sign-on project, the security authenticat

3、ion gateway, absolute url address access and multi-factor encryption methods were used. key technical problems such as identity authentication, bypass access and security parameter passing, were solved. a single sign-on solution combined of the uniform identity authentication and independent system

4、access was designed. some technical requirements of single sign-on implementation based on this solution were advanced. the application showed that this scheme is with outstanding advantages and effectiveness.keywords: system integration; uniform identity authentication; single sign-on; security aut

5、hentication gateway; encryption transfer0 引言企业应用系统从c/s结构向b/s结构1、从独立分散使用向集成使用、从单因子认证向多因子认证转变的趋势越来越明显，大型企业的信息化建设必须从起步开始就把握应用系统的发展趋势，确定应用系统集成2路线和方向，以指导应用系统建设的长远发展。应用系统集成分为账号和入口集成、消息和数据集成、业务和流程集成几个阶段，其中账号和入口集成又叫单点登录（single sign on）3，简称为sso，是目前比较流行的企业应用系统集成的初级阶段和基础，它将企业中使用的多个相对独立的应用系统，通过某种技术整合在一起，使其从使用者体

6、验角度看，就像是一个应用系统，用户只需启动一个程序入口，进行一次身份认证，就能访问其应该和有权使用的所有应用系统及功能模块，其技术核心是门户和统一身份认证4。sso的实现不但能提高应用系统管理效率和使用方便性，而且还能为进一步的应用系统集成奠定基础，对企业的信息化建设和发展具有十分重要的意义。1 需求和现状随着企业的发展，业务系统的数量在不断的增加，通常来说，每个单独的系统都会有自己的登录入口和身份认证模块。在进行单点登录整合以前，进入每个系统都需要进行登录，这样的局面不仅给使用者带来很大的不便，给管理者带来很大的困难，而且在安全方面也埋下了重大的隐患，具体表现在以下几个方面：1) 每套系统都

7、使用不同的登录账号和密码，使用者经常弄错或忘记，致使许多使用者将各个系统的账号和密码写在某个地方，从而带来很大的安全隐患。2) 每套系统一套独立的账户管理，使管理人员在处理新员工建帐和离职员工销帐业务时工作量非常大，而且还容易搞错。如果每套系统的账户管理是分散到各个业务部门自行管理，那么一个新员工的建帐工作有可能要花费一两个星期。3) 系统切换极不方便，每次切换都要重复输入帐号和密码，不利于集成办公。4) 身份信息不统一，使业务待办、新邮件提醒等个性化信息服务无法有效部署和开展。目前，许多大型企业的应用系统建设才刚刚起步，在短时间内上述矛盾不会很突出，但从长远来说，应用系统建设在未来五到十年内

8、将进入一个快速发展期，到时，在企业内必将出现几千用户、几十个应用系统的运行局面，因此，应尽早搭建起单点登录平台，建立单点登录的技术规范，为后续应用系统的开发和集成做好准备。实现单点登录的途径有很多，比较成熟可行的解决方案有三种：1、集成设计法，将企业的所有应用系统和门户系统揉捏成一个独立的大系统进行设计，整个系统只有一个登录模块和帐户管理模块，每个子系统都只是大系统中的一个功能模块。此方案在c/s结构时代应用比较广泛，适合于全面新建和全部由一家软件开发公司承建的情况；2、帐户映射法，在已有的应用系统之外，单独开发一个入口门户，新建一套独立的帐户和密码，然后将每个用户在各个应用系统中的帐户和密码

9、映射到该门户系统中，使用时，用户只需以正确的身份登陆门户系统，然后再进入各应用系统时的身份认证则由门户系统代理完成。此方案不需要对原系统进行任何修改，容易实现，但保证映射关系的维护工作量大，且代理执行容易泄露原系统密码，同时可能与防病毒策略冲突，所以，此方案正逐步被淘汰；3、安全网关法，它以统一身份认证平台为支撑，将企业的所有应用系统部署在安全网关后面，通过适当的配置和安全网关提供的门户，实现强身份认证和单点登录功能。此方案已实现产品化，随着b/s结构时代的到来和安全保密要求的加强，它正逐步成为企业门户单点登录改造的必然选择。安全网关法虽然在理论上能较好地解决应用系统集成的单点登录问题，但在实

10、施过程中还是要面对许多实际问题，比如对已有系统的改造工作量和兼容问题，对新系统的标准规范要求和接口问题等，下面以我们成功实施的某企业门户单点登录改造项目为例，详细介绍其实施过程、技术解决方案和应用效果，供具有类似情况和建设需求的企业参考借鉴。2 平台选型项目实施的第一步是选择一套合适的统一身份认证平台，它是实现sso的基础，也是国家保密局出台的机密级涉密信息系统建设标准中要求搭建的平台，它采用数字证书的手段来实现用户身份的描述，通过建设身份认证体系来实现对用户身份的统一管理，为业务系统提供用户身份认证、用户信息（机构信息等）获取、数字签名等密码相关服务。目前国内有多家公司能提供该平台产品，为此

11、，项目组搭建起专门的测试环境，对各家公司的产品进行了比选测试，测试内容主要包含以下几个部分：1) 系统体系结构和系统设计方案对用户需求的满足程度2) pki/ca功能4、性能测试3) sso功能、性能测试4) 安全桌面系统功能、性能测试5) 与现有商用密码机结合情况6) 与已有应用系统结合情况7) 兼容活动目录情况（域登录和主机登录结合）8) 与现有主机监控系统的接口情况此外，还应对一些具体的技术细节进行详细测试，如：b/s结构下的会话时效性、非应用网关结构、用户和机构的统一管理等。最后评比选择了某公司的统一身份认证平台。3 技术路线选择某公司统一身份认证平台的体系结构如图1所示，从图中可以看

12、出，该产品采用安全认证网关方式实现统一身份认证和单点登录，由于用户已有门户系统、办公自动化系统、项目管理系统、财务管理系统、档案管理系统、全文检索系统等应用系统处于稳定使用状态，该平台的引入和实施将存在以下局限性：1) 用户应用系统必须集成到该厂家提供的门户系统中，该门户系统功能太单一，不能满足用户对原有门户系统的功能需求。2) 用户对所有应用系统的请求以及这些应用系统的响应都必须经过其安全认证网关处理、转发，在该网关处将形成严重的性能瓶颈。3) 部分原有应用系统由于代码编写不规范或采用了特殊程序代码，其页面经过安全认证网关处理、转发后，不能正常运行，使这些应用系统的单点登录改造具有很大风险。

13、为了摆脱上述局限性，我们抛弃了平台厂家提供的这种解决方案，在现有平台基础上探索出了一个切实可行的解决方案，我们认为最理想的情况是：1) 能直接利用用户已有的oa门户系统，作为所有应用系统的门户入口。因为该门户系统集成了公文处理、邮件发送、协同办公、信息发布、待办事务提醒、二级网站链接等功能，经过长时间的运行，已基本满足员工的使用习惯。2) 用户只在需要进行身份验证时，才访问安全认证网关，其它的网页请求直接发向原应用系统服务器。这样，访问负载将分散到各应用服务器，不存在瓶颈问题，当某个应用服务器负载过重时，可单独对此服务器进行集群扩充，技术实现简单。3) 对应用系统的修改量小，适应性强，不受应用

14、系统内部编码方式的影响，不削弱应用系统原有的运行性能和稳定性。针对上述理想，我们进行了大量的技术分析和试验，最后，从原解决方案的一个异常调用现象中找到了突破口，原解决方案实现的单点登录运行环境中，如果某个页面采用了绝对url地址方式访问应用系统的下一个页面，则该请求将绕过安全认证网关，直接访问url所指的服务器，从而引起程序出错，使操作无法进行下去。现在我们可以利用这个异常现象来摆脱安全认证网关的束缚，于是我们制定了下述解决方案：1) 在各应用系统中增加一个入口网页。2) 将各应用系统的该入口网页配置到安全认证网关中。3) 当用户访问安全认证网关中的该入口网页时，安全认证网关完成该用户的身份认

15、证，并将用户信息附加在请求协议中转发给应用服务器，在应用服务器上，该入口网页获取到通过身份认证的用户id后，采用绝对url地址方式打开原应用系统的主网页，并将用户id传递过去。4) 应用系统主网页利用接收到的用户id进行权限和界面处理，设置各种环境变量，呈现主界面。5) 用户通过主界面上的各种链接直接访问应用服务器上的各功能网页。该解决方案几乎不对原应用系统进行任何修改，只是取消了原应用系统的身份认证网页，增加一个新的入口网页来代替之，用户在使用系统时，只在进入系统的时候才通过安全认证网关进行身份认证，其余时候都是直接访问原应用系统服务器，应用系统运行和操作环境不发生任何改变，完全能实现我们提

16、出的理想目标，因此，我们最终选择此解决方案作为该企业门户系统单点登录改造的技术路线。4 技术实现按照选定的技术路线，我们首先对用户的oa门户系统进行单点登录改造，此系统包括办公自动化和门户两部分功能，办公自动化部分由较落后的asp技术和第三方工作流平台技术实现，门户部分由较先进的点net技术实现，都是b/s架构，两部分功能集成在一个系统中，共用一个登录管理模块和用户管理模块，实现步骤如下：1) 修改登录网页login.aspx，删除登录界面显示及用户id、密码验证相关代码，增加从安全认证网关接口函数获取用户id的代码，将原有相对url地址方式打开子网页（门户系统主网页mainpage.aspx

17、）的代码改为绝对url地址，并将获取的用户id传递给mainpage.aspx网页。2) 在安全认证网关中进行配置，将修改后的登录网页login.aspx设为oa门户系统的入口网页。3) 修改各客户端配置，将原oa门户系统入口地址改为指向安全认证网关。步骤2和步骤3只是简单的配置问题，步骤1的实现需要解决两个关键问题：第一，入口网页login.aspx从安全认证网关接口函数获取到用户id后，如何将用户id安全可靠地传递给应用系统主网页mainpage.aspx；第二，如何保证从安全认证网关接口函数获取的来自证书管理系统的用户id与应用系统用户管理模块建立的用户id保持一致。下面简单介绍这两个关

18、键问题的解决过程。对问题一，起初，我们以为入口网页能很方便的通过服务器端内存变量方式传递给应用系统主网页，因为应用系统主网页是由入口网页打开的，它们存在父子关系，这种传递方式既直接又安全，但实际情况大出我们所料，虽然入口网页和主网页都在同一个应用服务器上，甚至在同一个目录下，但对客户端而言，入口网页是通过安全认证网关访问的，而主网页是直接访问的，安全认证网关将它们隔离成了两个独立的应用，使会话空间完全隔离，根本不可能通过内存变量传递用户id。于是，我们选择采用url参数传递方式来传递用户id，该方式存在较大的安全隐患，我们相继想出加密传输5，增加ip和时间加密因子等方法，以解决url伪造和复制

19、等漏洞，最后，我们在ip和时间加密因子的基础上再增加密码文件因子，即在应用服务器上建立一文本文件，该文件中存放一串没有规律的随机输入的字符序列，入口网页进行加密计算时提取该字符序列作为加密因子之一，主网页进行解密计算时也读取该字符序列作为解密因子，从而实现正确解密，程序员在系统开发阶段随便输入一个字符序列，系统部署后由主管密钥的安全管理员随机修改一个字符序列，从而达到防止程序员级的安全漏洞，此方案既可很好地解决各层面的安全漏洞，又便于加解密函数的编制、封装和通用化，也便于维护管理。对问题二，有三种解决途径：1、不修改用户管理模块，从制度上要求操作人员采用该模块添加用户时，其输入的用户id必须与

20、证书管理系统中的用户id相同；2、修改用户管理模块，屏蔽手工输入用户id和相关信息功能，采用接口函数从证书管理系统提取用户id和相关信息供操作人员选择输入；3、去掉用户管理模块，统一采用证书管理系统中的用户管理模块。考虑到方法1在实际操作时可靠性低、管理复杂，方法3会导致应用系统的相关模块也要进行大量修改，因此我们选择了方法2，对oa门户系统中的用户管理网页usermng.aspx进行修改，封闭界面上的用户id、用户姓名等关键信息输入框的编辑功能，新增一个选择按钮和一个用户信息选择页面usermsg.aspx，该页面调用证书管理系统提供的接口函数从ad目录数据库中提取用户信息，列表显示在界面上

21、供操作员选择输入。对oa门户系统进行上述修改和配置后，该系统的单点登录改造工作基本完成，改造后的系统访问过程如图2所示，各步骤操作说明如下： 插有usb key6的客户端通过安全认证网关目标地址访问oa门户服务器上的入口网页login.aspx； 安全认证网关获取usb key中的用户证书，传递给ocsp服务器进行合法性验证； 验证通过后传回用户id和相关用户信息； 安全认证网关将用户id和相关用户信息添加到访问协议串中，转发给oa门户服务器上的入口网页login.aspx； login.aspx调用证书管理系统提供的接口函数获取访问协议串中的用户id，然后调用我们编制的加密函数对用户id进行

22、加密计算，将加密结果字符串返回给安全认证网关； 安全认证网关将加密结果字符串转发给客户端； 客户端以加密结果字符串为url参数，采用绝对url地址方式直接访问oa门户服务器上的主网页mainpage.aspx； mainpage.aspx调用我们编制的解密函数计算出实际的用户id，完成会话变量设置、权限判断和控制、界面呈现等计算后直接向客户端返回响应内容，后续访问和响应将直接在客户端和oa门户服务器间进行。采用相同的步骤和方法，我们相继完成了用户已有的其它几个应用系统的单点登录改造工作，并将后续应用系统的登录入口集成到oa门户系统的主网页上，实现了多应用系统的单点登录集成。5 实施效果目前，该

23、企业采用上述解决方案已完成oa门户系统、数字图书馆系统、档案管理系统、财务管理系统、技术服务项目管理系统、内部邮件系统、内部论坛系统等七个应用系统的单点登录集成改造，其中，oa功能部分为asp技术，数字图书馆系统和财务管理系统为j2ee技术，其它系统为点net技术，运行环境的配置情况如下：1) 1、oa门户系统分别部署在两台ibm460服务器上；2) 2、安全认证网关、ocsp和其它各应用系统分别部署在独立的ibm260服务器上；3) 3、所有服务器均采用windows server 2003操作系统。4) 4、使用各应用系统的连网用户数超过1300个。本次单点登录改造项目完成后，效果比较理想

24、，在统一身份认证系统的控制下，用户在登录操作系统时需插入usbkey，并输入正确的pin码完成身份认证，在该认证有效期内，用户进入oa门户系统和门户上的其它应用系统时，根本不需要再输入密码进行身份认证，此时，安全认证网关只是对用户证书进行有效性验证，并提取用户信息传递给应用服务器，因此，用户进入操作系统后即可方便地进入任何完成单点登录改造的应用系统，并且保证是该用户的身份。在每天刚上班时的访问高峰期，也仅是首次登录门户网页或门户网页上的某应用系统时，响应速度稍慢，约需5至10秒时间，后续网页访问的响应速度与未改造前相同，总体性能未受影响，达到了单点登录改造的预期效果。从本项目单点登录解决方案的

25、技术实现过程和实际运行情况看，为了保证该解决方案的有效实施，新建投运的应用系统应满足下述几点要求：1) 尽量采用b/s技术架构；2) 必须完成用户管理模块的改造，统一从ad服务器提取用户id和相关信息；3) 必须完成用户登录模块的改造，统一从安全认证网关登录；4) 应用系统本身必须具备完善的安全控制手段，不存在绕过入口网页访问功能网页的漏洞，不存在未经授权访问敏感网页的漏洞。6 结语企业门户单点登陆改造的技术解决方案有多种，我们在实际项目实施过程中探索出的这套技术方案结合了安全认证网关和独立系统访问的优点，对企业原有系统和新购系统的改动量小，既能保证可靠的统一身份认证，又可使各应用系统的部署和

26、使用相对独立，比较适合应用系统多且供应商不统一的企业采纳使用。用户信息证书校验证书信息操作系统层认证应用层认证客户端ad服务器安全认证网关应用系统应用系统应用系统ca服务器ocsp服务器图1 统一身份认证平台体系结构图客户端安全认证网关ocsp服务器oa门户服务器图2 单点登录改造后的oa门户系统访问过程作者简介：严静（1969-），男，重庆市荣昌县人，高级工程师，硕士，非ccf会员，主要研究方向：企业信息化设计、信息系统集成、应用软件开发。参考文献：1 续岩, 季永志. 单点登录技术在web应用中的研究与实现j. 计算机工程，2006，32(10).2 胡建, 陈勇华. 单点登录在军工信息系

27、统集成中的应用研究j. 信息化研究，2009，35（2）. 3 梁志罡. 基于web service的混合架构单点登录的设计j. 计算机应用，2010，30 (12)：3363-3365.4 李小平, 阎光伟, 等. 基于公开密钥基础设施的单点登录系统的设计j. 北京理工大学学报，2002，22(2)：209-213.5 asp.net应用.使用asp.net加密口令eb/ol. 2007-12-03. /edu/aspdotnet/20/11/n253928.html6 飞天诚信科技有限公司. 复核型usb key与普通usb key的混合应用探讨j.

28、保密科学技术，2011（3）：13-15.我的大学爱情观1、什么是大学爱情：大学是一个相对宽松，时间自由，自己支配的环境，也正因为这样，培植爱情之花最肥沃的土地。大学生恋爱一直是大学校园的热门话题，恋爱和学业也就自然成为了大学生在校期间面对的两个主要问题。恋爱关系处理得好、正确，健康，可以成为学习和事业的催化剂，使人学习努力、成绩上升；恋爱关系处理的不当，不健康，可能分散精力、浪费时间、情绪波动、成绩下降。因此，大学生的恋爱观必须树立在健康之上，并且树立正确的恋爱观是十分有必要的。因此我从下面几方面谈谈自己的对大学爱情观。2、什么是健康的爱情：1) 尊重对方，不显示对爱情的占有欲，不把爱情放第

29、一位，不痴情过分；2) 理解对方，互相关心，互相支持，互相鼓励，并以对方的幸福为自己的满足; 3) 是彼此独立的前提下结合；3、什么是不健康的爱情：1)盲目的约会，忽视了学业;2)过于痴情，一味地要求对方表露爱的情怀，这种爱情常有病态的夸张;3)缺乏体贴怜爱之心，只表现自己强烈的占有欲;4)偏重于外表的追求;4、大学生处理两人的在爱情观需要三思：1. 不影响学习：大学恋爱可以说是一种必要的经历，学习是大学的基本和主要任务，这两者之间有错综复杂的关系，有的学生因为爱情，过分的忽视了学习，把感情放在第一位；学习的时候就认真的去学，不要去想爱情中的事，谈恋爱的时候用心去谈，也可以交流下学习，互相鼓励

30、，共同进步。2. 有足够的精力：大学生活，说忙也会很忙，但说轻松也是相对会轻松的！大学生恋爱必须合理安排自身的精力，忙于学习的同时不能因为感情的事情分心，不能在学习期间，放弃学习而去谈感情，把握合理的精力，分配好学习和感情。3、 有合理的时间；大学时间可以分为学习和生活时间，合理把握好学习时间和生活时间的“度”很重要；学习的时候，不能分配学习时间去安排两人的在一起的事情，应该以学习为第一；生活时间，两人可以相互谈谈恋爱，用心去谈，也可以交流下学习，互相鼓励，共同进步。5、大学生对爱情需要认识与理解，主要涉及到以下几个方面：（1） 明确学生的主要任务“放弃时间的人，时间也会放弃他。”大学时代是吸纳知识、增长才干的时期。作为当代大学生，要认识到现在的任务是学习学习做人、学习知识、学习为人民服务的本领。在校大学生要集中精力，投入到学习和社会实践中，而不是因把过多的精力、时间用于谈情说爱浪费宝贵的青春年华。因此，