基于Ｃｏｏｋｉｅ的門戶系統(tǒng)單點(diǎn)登錄模型

（北京航空航天大學(xué) 計(jì)算機(jī)學(xué)院 軟件開(kāi)發(fā)環(huán)境國(guó)家重點(diǎn)實(shí)驗(yàn)室， 北京 100083）

摘 要針對(duì)門戶系統(tǒng)的特點(diǎn)提出了基于Cookie的門戶系統(tǒng)單點(diǎn)登錄模型，詳細(xì)介紹了該模型的認(rèn)證過(guò)程，對(duì)模型中的安全性進(jìn)行了分析。門戶系統(tǒng)單點(diǎn)登錄模型的提出能夠解決門戶系統(tǒng)中分布式資源站點(diǎn)之間的統(tǒng)一身份認(rèn)證問(wèn)題，實(shí)現(xiàn)單點(diǎn)登錄，從而方便用戶對(duì)資源的使用、增強(qiáng)用戶訪問(wèn)站點(diǎn)的安全性、減輕管理員的負(fù)擔(dān)。

關(guān)鍵詞：?jiǎn)吸c(diǎn)登錄； Cookie； SSL； 門戶系統(tǒng)

中圖法分類號(hào)：TP393．08文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1001-3695(2006)08-0100-02



Cookie based Single Sign on Model in Portal System



YANG Wen bo， ZHANG Hui， LIU Rui

(State Key Laboratory of Software Development Environment， College of Computer Science， Beijing University of Aeronautics Astronautics， Beijing 100083， China)

Abstract:This paper introduces and analyses the mechanism of dispersed user identity authentication and the primary recent technology of single sign on. Based on this， a Cookie based single sign on model in portal system is proposed aiming at the characteristics of portal system. At last， security of the model is considered and analyzed. The model proposed can solve the problem of uniform identity authentication among the distributed resource Web sites in portal system， and makes the single sign on come true. As a result， it makes more convenient for using resources， enhances security of accessing sites， and alle viates the burdens of administrators.

Key words:Single Sign on; Cookie; SSL; Portal System



在信息化建設(shè)和發(fā)展的過(guò)程中，各家企業(yè)、科研院所和單位已經(jīng)逐步建立起了自己對(duì)外宣傳和資源共享的信息窗口。由于最初他們?cè)谡w上缺乏統(tǒng)一規(guī)劃，以至于形成了“信息孤島”林立的局面，給各家企業(yè)、科研院所及單位之間的信息共享與交流和用戶對(duì)資源的訪問(wèn)與使用帶來(lái)了不便。伴隨著信息時(shí)代的不斷發(fā)展，隨之出現(xiàn)了門戶(Portal)系統(tǒng)，門戶系統(tǒng)能夠?yàn)槎鄠€(gè)分布的Web站點(diǎn)提供一個(gè)集中、統(tǒng)一的服務(wù)訪問(wèn)點(diǎn)，如圖1所示。這在一定程度上方便了用戶對(duì)資源站點(diǎn)的訪問(wèn)。目前市場(chǎng)上比較流行的門戶服務(wù)器有IBM的WebSphere Portal Server和BEA公司的WebLogic Portal Server。

但是，由于各個(gè)物理上分布的資源站點(diǎn)在前期建設(shè)過(guò)程中已經(jīng)形成了獨(dú)立的一套身份認(rèn)證體系，這種在物理上分布的多資源站點(diǎn)用戶身份認(rèn)證體系的并存，加重了用戶登錄資源站點(diǎn)的負(fù)擔(dān)，增加了登錄出錯(cuò)的可能性，降低了用戶訪問(wèn)資源站點(diǎn)的安全性。因此，迫切需要對(duì)門戶系統(tǒng)和接入到其中的資源站點(diǎn)建立統(tǒng)一身份認(rèn)證體系，實(shí)現(xiàn)單點(diǎn)登錄。



1基于Cookie的門戶系統(tǒng)單點(diǎn)登錄模型

在單點(diǎn)登錄概念提出以前，大多數(shù)系統(tǒng)采用的是分散式用戶身份認(rèn)證機(jī)制，這種機(jī)制要求用戶逐個(gè)登錄需要訪問(wèn)的Web站點(diǎn)。當(dāng)用戶登錄站點(diǎn)時(shí)，輸入用戶名/密碼，并以表單的形式傳送到Web服務(wù)器，由Web服務(wù)器從數(shù)據(jù)庫(kù)中讀取用戶信息進(jìn)行認(rèn)證。如果用戶需要訪問(wèn)其他站點(diǎn)，仍需登錄。此機(jī)制的缺點(diǎn)是：①用戶需要對(duì)每個(gè)訪問(wèn)的Web站點(diǎn)設(shè)置用戶名和密碼，口令太多，難以記憶而且容易造成混淆；②用戶為了方便，往往會(huì)選擇簡(jiǎn)單信息作為口令或者設(shè)置相同的口令，這樣將會(huì)帶來(lái)巨大的安全隱患；③對(duì)管理者而言，針對(duì)每個(gè)應(yīng)用系統(tǒng)需要?jiǎng)?chuàng)建一個(gè)用戶數(shù)據(jù)庫(kù)，管理起來(lái)比較煩瑣。

而門戶本身最大的特點(diǎn)就是應(yīng)用和服務(wù)的集成，以期最大程度地方便用戶對(duì)資源的訪問(wèn)和使用；對(duì)其中的應(yīng)用和服務(wù)而言，門戶是引導(dǎo)用戶訪問(wèn)其中資源的統(tǒng)一入口。顯然，分散式用戶身份認(rèn)證機(jī)制與門戶自身的理念背道而馳，不能滿足門戶系統(tǒng)的要求。針對(duì)門戶系統(tǒng)的這一特點(diǎn)，本文提出了基于Cookie的門戶系統(tǒng)單點(diǎn)登錄模型。該模型假設(shè)：門戶對(duì)其用戶的認(rèn)證信息對(duì)接入到門戶中的資源站點(diǎn)而言是可信的。其模型如圖2所示。

①C(url)→PV

②PV→C

③C(uId，pwd)→PV

④PV( e (uId||roleId||timeLimit))→C

⑤C(plogin)→WS

⑥WS→PS

⑦C→PS( d (uId||roleId||timeLimit))

⑧PS(roleId)→WS

⑨WS→C

其中，C代表客戶端Client；PV代表門戶服務(wù)器Portal Server；WS代表資源站點(diǎn)服務(wù)器Resource Web Server；uId代表用戶標(biāo)志，具有唯一性；pwd代表用戶密碼；roleId代表用戶的角色，用于資源訪問(wèn)控制；timeLimit代表Cookie的失效時(shí)間；plogin代表用戶訪問(wèn)資源站點(diǎn)的方式，‖表示信息的連接； e(i)表示對(duì)信息i采用 DES 算法加密；d(i)表示對(duì)信息i 采用DES算法解密。對(duì)于門戶中接入的資源站點(diǎn)，用戶可以通過(guò)兩種方式來(lái)訪問(wèn)：①用戶登錄進(jìn)入門戶系統(tǒng)，訪問(wèn)資源站點(diǎn)；②用戶以匿名身份進(jìn)入門戶系統(tǒng)，訪問(wèn)資源站點(diǎn)。下面分別說(shuō)明這兩種情況在模型中的具體體現(xiàn)以及用戶的注銷過(guò)程。

1．1用戶登錄進(jìn)入門戶系統(tǒng)，訪問(wèn)資源站點(diǎn)

用戶在客戶端瀏覽器中輸入U(xiǎn)RL請(qǐng)求訪問(wèn)門戶系統(tǒng)，門戶系統(tǒng)收到請(qǐng)求之后向用戶返回其權(quán)限范圍內(nèi)的資源和應(yīng)用，此時(shí)用戶尚未登錄門戶系統(tǒng)，其所能訪問(wèn)的資源有限。用戶在返回的門戶系統(tǒng)中輸入用戶名uId和密碼pwd，以表單的形式發(fā)送到門戶服務(wù)器端；門戶服務(wù)器收到uId和pwd后查找用戶數(shù)據(jù)庫(kù)，進(jìn)行認(rèn)證，如果認(rèn)證通過(guò)，門戶服務(wù)器將用戶信息uId，roleId和timeLimit分別以DES算法加密；接著將加密后的信息以Cookie的形式寫(xiě)回到客戶端瀏覽器中。其中roleId是門戶服務(wù)器讀取用戶數(shù)據(jù)庫(kù)認(rèn)證uId時(shí)獲得的，timeLimit是由當(dāng)前時(shí)間加上Cookie的生命周期計(jì)算而來(lái)。

用戶通過(guò)門戶系統(tǒng)的身份認(rèn)證后，利用門戶系統(tǒng)提供的服務(wù)訪問(wèn)點(diǎn)訪問(wèn)資源站點(diǎn)。資源站點(diǎn)獲取用戶對(duì)其訪問(wèn)方式plogin，如果plogin＝True，表明當(dāng)前用戶登錄進(jìn)入門戶系統(tǒng)訪問(wèn)資源站點(diǎn)；如果plogin＝False，表明當(dāng)前用戶以匿名的身份進(jìn)入門戶系統(tǒng)訪問(wèn)資源站點(diǎn)。一方面由于門戶服務(wù)器和資源站點(diǎn)服務(wù)器采用SSL（安全套接層）協(xié)議；另一方面可以設(shè)置門戶服務(wù)器來(lái)識(shí)別匿名用戶，所以用戶登錄門戶系統(tǒng)前后訪問(wèn)門戶的URL有所不同。以IBM WebSphere Portal Server為例，如果用戶沒(méi)有登錄門戶系統(tǒng)，則訪問(wèn)門戶的URL為http://domainName/wps/portal/!ut/p/.scr/；如果用戶登錄進(jìn)入門戶系統(tǒng)，則訪問(wèn)門戶的URL為http://domainName/wps/myportal/!ut/p/.scr/。資源站點(diǎn)服務(wù)器根據(jù)plogin判斷當(dāng)前用戶訪問(wèn)門戶的URL，為以后能夠準(zhǔn)確地重定向用戶做好準(zhǔn)備。資源站點(diǎn)服務(wù)器將用戶請(qǐng)求重定向到門戶服務(wù)器，門戶服務(wù)器從客戶端瀏覽器中讀取Cookie，對(duì)Cookie中的信息解密后，讀取用戶數(shù)據(jù)庫(kù)，判斷uId的有效性。如果uId有效，再將timeLimit與當(dāng)前時(shí)間進(jìn)行比較，判斷Cookie是否已經(jīng)過(guò)期，如果Cookie仍在生命周期內(nèi)，則門戶服務(wù)器攜帶roleId將請(qǐng)求返回到資源站點(diǎn)服務(wù)器，資源站點(diǎn)服務(wù)器根據(jù)接收到的roleId查找本地資源訪問(wèn)控制列表，根據(jù)查找結(jié)果將授權(quán)范圍內(nèi)的資源或應(yīng)用返回給客戶端。

當(dāng)用戶需要訪問(wèn)其他資源站點(diǎn)時(shí)，無(wú)需再次輸入用戶名和密碼，其認(rèn)證過(guò)程由模型中的第⑤~第⑨步自動(dòng)完成。在此過(guò)程中，如果門戶服務(wù)器讀在第⑦步讀取Cookie失敗或從Cookie中讀取的uId無(wú)效，門戶服務(wù)器則將用戶直接重定向到門戶系統(tǒng)的登錄頁(yè)面要求用戶重新登錄，繼而重復(fù)執(zhí)行模型中的第③～第⑨步。



1．2用戶以匿名身份進(jìn)入門戶系統(tǒng)，訪問(wèn)資源站點(diǎn)

不管用戶以什么方式進(jìn)入門戶系統(tǒng)，門戶系統(tǒng)單點(diǎn)登錄模型中的第①、②步都是必要的。與用戶登錄門戶系統(tǒng)訪問(wèn)資源站點(diǎn)不同的是，在這種方式下，用戶由模型中的第②步直接轉(zhuǎn)向第⑤步請(qǐng)求訪問(wèn)資源站點(diǎn)，資源站點(diǎn)服務(wù)器根據(jù)用戶的訪問(wèn)方式plogin判斷出當(dāng)前用戶屬于匿名用戶，直接將該用戶重定向到門戶系統(tǒng)的登錄頁(yè)面，要求用戶登錄門戶系統(tǒng)后再對(duì)資源站點(diǎn)進(jìn)行訪問(wèn)，接著執(zhí)行模型中的第③～第⑨步。



1．3用戶的注銷過(guò)程

由于門戶自身的特點(diǎn)，用戶的注銷和登錄同樣也分兩種方式，即從門戶系統(tǒng)注銷和直接從資源站點(diǎn)注銷。如果是從門戶系統(tǒng)注銷，則由門戶服務(wù)器將寫(xiě)到客戶端瀏覽器里的Cookie刪除；如果是從資源站點(diǎn)直接注銷，則首先將這一注銷請(qǐng)求轉(zhuǎn)到門戶服務(wù)器，由門戶服務(wù)器刪除Cookie，然后再返回到資源站點(diǎn)服務(wù)器，資源站點(diǎn)服務(wù)器向注銷過(guò)的用戶返回受限資源。



2安全性分析

本文提出的單點(diǎn)登錄模型旨在解決門戶系統(tǒng)中分布式資源站點(diǎn)之間的統(tǒng)一身份認(rèn)證問(wèn)題，但是認(rèn)證過(guò)程需要不斷地交換安全信息。因此，保證這些交換信息的保密性、完整性和不可竄改性，使整個(gè)體系在一個(gè)安全的環(huán)境中運(yùn)行至關(guān)重要。本文提出的單點(diǎn)登錄模型從以下幾個(gè)方面加強(qiáng)了安全措施：

(1)由門戶單點(diǎn)登錄模型可以看出，在第③～⑤，⑦，⑧步需要交換與用戶相關(guān)的安全信息。為了保證信息在交換過(guò)程中的保密性和完整性，需要在門戶服務(wù)器和資源站點(diǎn)服務(wù)器端采用SSL協(xié)議，從而保證門戶服務(wù)器端、資源站點(diǎn)服務(wù)器端和客戶端安全地交換信息。

(2)加強(qiáng)了Cookie本身的安全性。由門戶服務(wù)器生成的Cookie在傳送到客戶端和門戶服務(wù)器讀取客戶端Cookie的過(guò)程中，由于采用了SSL協(xié)議，因此保證了Cookie在傳送過(guò)程中的不可竄改性和完整性；同時(shí)為了防范客戶端Cookie的信息被竄改，在將門戶服務(wù)器端生成的Cookie傳送到客戶端之前，采用了DES算法對(duì)其加密。

(3)降低了IP欺騙攻擊的可能性。在門戶系統(tǒng)單點(diǎn)登錄模型中，對(duì)于用戶的認(rèn)證主要基于具有唯一性的用戶身份uId而不是客戶端主機(jī)IP，這樣就降低了第三者采用IP欺騙資源站點(diǎn)服務(wù)器的可能性。

(4)抗中間人攻擊。在門戶服務(wù)器、資源站點(diǎn)服務(wù)器和客戶端之間傳送信息的過(guò)程中，一方面由于采用了SSL對(duì)數(shù)據(jù)進(jìn)行簽名和加密；另一方面通過(guò)設(shè)置合適的Cookie生命周期（一般設(shè)為半小時(shí)），即使傳輸信息被中間人竊取，由于密鑰的難以獲取和時(shí)間的有限性，從而可以有效阻止中間人對(duì)傳輸信息的攻擊。

(5)用戶通過(guò)客戶端結(jié)束對(duì)門戶系統(tǒng)的訪問(wèn)之后，如果由于疏忽忘記注銷就關(guān)閉瀏覽器而離開(kāi)了客戶端，門戶系統(tǒng)單點(diǎn)登錄模型通過(guò)識(shí)別用戶訪問(wèn)資源站點(diǎn)的方式可以避免其他用戶以匿名身份繼續(xù)使用剛才的同一客戶端非法訪問(wèn)門戶系統(tǒng)中的資源站點(diǎn)。系統(tǒng)雖然沒(méi)有被注銷，客戶端Cookie仍然存在，即使還在其生命周期內(nèi)，從表面上看，模型中的第⑥步到第⑨步可以順利進(jìn)行，以此達(dá)到匿名用戶非法訪問(wèn)資源站點(diǎn)的目的。但是，當(dāng)用戶在訪問(wèn)資源站點(diǎn)時(shí)，資源站點(diǎn)服務(wù)器能夠從客戶端獲取用戶的訪問(wèn)方式plogin，根據(jù)plogin可以判斷出當(dāng)前用戶屬于匿名用戶，進(jìn)而將該用戶直接重定向到門戶系統(tǒng)登錄頁(yè)面，要求其登錄后再訪問(wèn)資源站點(diǎn)，最終避免了由于用戶疏忽而帶來(lái)的安全隱患。

3 總結(jié)

本文主要針對(duì)門戶應(yīng)用系統(tǒng)本身的特點(diǎn)提出了門戶單點(diǎn)登錄模型，在國(guó)家重點(diǎn)建設(shè)項(xiàng)目——國(guó)家科技基礎(chǔ)條件平臺(tái)中得以實(shí)現(xiàn)并投入運(yùn)行。該模型在門戶系統(tǒng)中通過(guò)統(tǒng)一各資源站點(diǎn)的身份認(rèn)證實(shí)現(xiàn)了單點(diǎn)登錄，方便了用戶對(duì)資源站點(diǎn)的訪問(wèn)，減輕了管理員的負(fù)擔(dān)，加強(qiáng)了用戶訪問(wèn)資源站點(diǎn)的安全性，同時(shí)也提高了用戶對(duì)資源的使用效率。

參考文獻(xiàn)：

[1]Pfitzmann B，Waidner M.Analysis of Liberty Single Sign on with Ena bled Clients[J]. Internet Computing IEEE， 2003，7(6):38-44.

[2]Parker T A. Single Sign on Systems， the Technologies and the Pro ducts [C]. Security and Detection European Convention， 1995.151-155.

[3] 胡毅時(shí)，懷進(jìn)鵬.基于Web服務(wù)的單點(diǎn)登錄系統(tǒng)的研究與實(shí)現(xiàn)[J]. 北京航空航天大學(xué)學(xué)報(bào)， 2004，30(13):236-239.

[4] 龔儉.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M]. 南京:東南大學(xué)出版社， 2000.203-255.

[5] 邱仲潘. Java安全手冊(cè)[M]. 北京:電子工業(yè)出版社， 2001.175-187.

[6] 吳潔明，楊軼鑫. 基于Portal的統(tǒng)一身份認(rèn)證系統(tǒng)研究與開(kāi)發(fā)[J].航空計(jì)算技術(shù)， 2004，34(4):89-91.

作者簡(jiǎn)介：楊文波(1980-)，男，碩士研究生，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與應(yīng)用；張輝（1968-)，男，副教授，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與應(yīng)用；劉瑞(1970-)，男，副教授，主要研究方向?yàn)閿?shù)據(jù)庫(kù)與應(yīng)用。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。