云環境下跨域單點登錄解決方案

摘 "要： 在比較現有的3種單點登錄模型優缺點的基礎上，分析跨域單點登錄應有的基本功能，嘗試建立一種云環境下的跨域單點登錄系統。方案利用Web Service技術封裝原有系統和構建身份映射功能，使原有系統在改動盡量小的情況下與新系統的認證實現無縫對接;通過部署身份認證系統群、跨域控制器、票據授權服務器、傳輸加密和用戶信息庫等措施實現云環境下跨域跨平臺的集中認證。方案實施簡單，安全性高，可擴展性好。

關鍵詞： 云環境; 單點登錄; 用戶認證; 跨域; 云服務

中圖分類號： TN919?34; TP399 " " " " " " " " "文獻標識碼： A " " " " " " " " " " "文章編號： 1004?373X（2015）02?0049?03

Solution for cross?domain single sign?on in cloud environment

CHEN Xuan?hua1， LIN Shu?ling1， YANG Ling2

（1. Department of Electronics Technology; Public Security Marine Police Academy; Ningbo 315801， China;

2. Computer Teaching and Research Office， Beijing Command College of Chinese People’s Armed Force; Beijing 100012， China）

Abstract： On the basis of comparison between advantages and disadvantages of the three existing single sign?on models， basic functions of cross?domain single sign?on are analyzed. A try at establishing a cross?domain single sign?on system in cloud environment was made. A solution using Web Service technology to encapsulate the original system and construct identity mapping function was design to make certification achieve seamless docking between the original system with least change and the new system. The solution achieves the centralized certification under cross?border and cross?platform in cloud environment through the deployment of authentication systems group， cross?domain controller， note authorized server， transmission encryption and user information database. he solution has the characteristics of simple operation， high safety and good scalability.

Keywords： cloud environment; SSO; user authentication; cross?domain; cloud service

0 "引 "言

云計算環境具有資源集中、用戶海量、有償按需服務等特點，云端存儲了大量的用戶敏感數據，一旦用戶身份被仿冒，就很容易造成隱私和敏感數據的泄露，而70%的數據泄漏是通過外部的輸入源帶進系統的，所以為了保證云服務的安全，必須對進入系統的用戶身份和其他輸入源的身份有較強的認證[1?2]。身份認證是其他安全策略的基礎，也是其他安全策略實現其安全功能的前提條件。隨著云計算的不斷成熟，提供的服務也越來越多，這些服務分布在不同的服務器，分布在不同機構的域中，每個服務都有屬于自己的數據庫，用戶通過云終端登錄虛擬桌面訪問每一個服務時需要提供用戶名密碼或其他認證方式，在切換服務時進行越來越多的登錄。這種相對分散繁瑣的身份認證機制對用戶造成極大的精神負擔，為了減輕負擔，用戶可能將密碼設置成容易記住的如純數字或字母等，甚至對各種認證設置相同的密碼，或者將復雜密碼記錄在紙上貼在工作臺上，這些做法會降低系統的整體安全性，密碼被非法截獲的可能性增加，使系統容易被破解或攻擊從而造成不必要的損失[3]。對管理員來說， 被迫管理越來越多的身份，對用戶職責權限的維護也需要花費大量的時間進行調整。因此云環境下建立跨域的單點登錄系統，實現一處登錄，在權限范圍內處處可用，減少安全隱患，減輕用戶和管理員的負擔成為當前云計算安全研究的熱點。

1 "現有單點登錄系統的模型及其優缺點

單點登錄，即SSO（Single Sign?on），是解決用戶訪問幾個系統登錄幾次的問題，在用戶使用的多個系統或服務中，用戶在一定時間內只需要一套認證方式就能夠對這些系統或服務進行權限內的訪問。登錄一次就可使用經認證的所有系統甚至實現跨域認證。

目前實現單點登錄的模型主要有網關模型、代理模型、和令牌模型[4]等3種。網關模型由客戶端、網關和應用服務器組成。網關連接著客戶端和應用服務器，它是客戶端訪問服務器的關卡。實現單點登錄的關鍵是在網關上配置身份認證模塊，對原有系統不需進行大的修改，但它的安全性和效率受到極大的考驗。不適合大規模用戶認證，且受到攻擊時易危及到服務器的安全。代理模型由客戶端、代理軟件和應用服務器組成。代理軟件的作用就是為不同的應用程序進行身份認證，在客戶端和服務器之間充當翻譯的作用。它可以安裝在客戶端或服務器上，這種方式不需要對應用服務進行改動，具有良好的可擴充性。但因為它要求每一個服務配置一個代理軟件，開發的難度和工作量比較大，通用性較差。令牌模型由客戶端、認證服務器和應用服務器組成。認證服務器提供一個公共和獨立的“第三方”，方便擴展，適合大規模的用戶認證，但這種方案必須改造舊的應用系統，需付出極大的代價。通常是在單域環境下通過門戶實現單點登錄，利用cookie的形式或通過隱藏字段中的加密值來提供安全令牌，這種方式限制了跨域登錄。對應三種模型，目前有一些比較成熟的單點登錄解決方案，如微軟的Passport、IBM的Web Sphere Portal Server、CAS，但它們有著不同的側重點，適合于不同的平臺與架構，系統比較復雜，缺乏靈活性，而且價格和學習成本都比較高，不太適合小中型企業的部署和應用[5]。本文在比較現有的3種單點登錄模型優缺點的基礎上，針對云環境的特點，嘗試建立一種云環境下的跨域單點登錄系統。

2 "基于云環境的單點登錄方案

云環境的主要應用模式是SaaS，客戶通過Web的方式訪問云資源。目前云環境單點登錄主要綜合上述3種模型的優勢，使用云資源提供者的專有API建立個人鏈接，訪問時將相同的用戶登錄憑證發送給每個應用程序。但隨著云資源供應商的增多，將給用戶帶來維護和管理上的不便。本方案采用認證群，認證群實現與各種SaaS應用的后端整合，用戶端只需進行Web Service包裝，這樣用戶端可以做最少的修改，有較好的兼容性和擴展性。

2.1 "云環境單點登錄的基本功能

從前面可知，比較有效的單點登錄必須能保證一個實體（包括用戶和資源，以下均以用戶替代）通過了一次身份認證后，在一段合理的時間內訪問受信的其他資源時，不再需要進行身份驗證，同時享有原來的權限。因此單點登錄的基本功能應包括統一身份認證、原有系統到新系統的身份映射和統一用戶管理，在此基礎上實現跨域身份聯合認證，并提供身份認證的安全性管理[6?7]。

（1） 統一身份認證。云環境的用戶為完成某一任務經常需要調用內部和外部的多個資源，這些資源可能跨平臺異構、跨多個域，訪問時會出現跨越多個信任域帶來的跨域服務的聯合單點登錄驗證，但是不能要求每個服務提供者都直接參與認證過程。因此，統一身份認證需要考慮跨域、聯合身份認證、委托代理、云服務資源及用戶數量的無限擴展性等情況，就可能存在多個認證系統及第三方做身份認證的聯合管理，將這些認證系統構成認證群。為方便認證系統間的通信，可以設置一個跨域控制器，同時設置票據授權服務器進一步減輕云服務提供者的負擔。控制器負責將請求重定向到對應的域認證服務，票據授權服務器生成云服務對應的票據。所有云服務要共享一個身份認證系統，也就是我們常說的統一認證系統，這是單點登錄的前提之一。統一身份認證為云服務提供統一的用戶管理平臺和身份認證服務，使用戶管理與老系統實現無縫對接，實現透明地訪問所有授權的資源。

（2） 原系統到新系統的身份映射。為了使系統做最小的更改，保留訪問原有資源的登錄賬號和密碼及其權限，本方案采用如下方式：在統一身份認證中心創建一個統一登錄用戶名，并通過身份映射實現該用戶名與用戶原有各應用的用戶名進行映射，形成對應關系。這樣，用戶登錄統一身份認證完成認證后，系統利用身份映射功能就可以訪問云端相應的云服務。

（3） 統一用戶管理。訪問控制是安全策略的基礎，通過對用戶的授權保證資源不被非法訪問，如在用戶職責發生變更或離開現有組織時，相關系統的管理員都要花費大量的時間修改其賬戶屬性或者刪除用戶。單點登錄系統中的統一用戶管理只要向相關的應用程序發出修改或刪除賬戶的命令即可。新的應用系統加入時，可以直接使用統一認證系統，不必再向以前那樣建立自己的認證系統。大大減少了管理員的工作量，同時也避免了遺漏等造成權限濫用的出錯問題。

2.2 "云計算單點登錄的原理及模型

隨著云計算應用的逐步深入，各公司各機構都會構建自己的共享資源，并且擁有自己的用戶，為了保護云服務形成了各自的信任域。用戶通過本地認證服務器的認證可以訪問域內相應的資源，用戶訪問其他域的資源時就存在跨域認證的問題。

為實現跨域、跨平臺的聯合身份認證，與原系統無縫對接，還要使原有系統盡可能只做最小的改動。采用統一身份認證，用戶信息集中管理的方式[8]。原有的系統采用Web Service技術構建驗證服務替代原來的用戶認證模塊，并按照SOAP協議的要求封裝報文，以便能快速地與其他應用系統對接。認證系統之間通過標準的通信協議互換認證信息[9?10]。模型的具體結構如圖1所示。

lt;E：＼王芳＼現代電子技術201502＼Image＼16t1.tifgt;

圖1 單點登錄系統模型

圖1中，票據授權服務器（Ticket?Granting?Sever，TGS）接受用戶訪問特定資源的請求，負責生成訪問該資源的票據（Ticket）。用戶使用這個票據，不需要再次認證就可以直接訪問授權的云服務;認證系統群（Authentication?System?Group，ASG）負責用戶認證，產生訪問TGS的票據，完成安全可靠的認證。用戶信息庫主要包括用戶表，云服務表，用戶與云服務表，cookie?ticket表等。原有系統中云服務提供者承擔用戶的認證和授權，隨著服務數量和用戶數量的增加，服務提供者的壓力將呈非線性增加。為減輕服務提供者參與用戶進行認證和授權的負擔，構建多個身份認證系統構成認證系統群提供集中認證服務，通過身份映射實現統一登錄用戶與原有用戶的對應，并將對應結果存儲在用戶信息庫中。這樣可降低云服務提供者的用戶管理負擔和整個系統的復雜性。

當用戶向云服務發送訪問請求時，首先會被重定向到認證中心查看用戶是否完成了統一登錄，如果是第一次登錄，需要認證服務器進行統一身份認證;如果用戶已經成功登錄，會得到登錄票據，向TGS請求該用戶的認證信息，TGS從用戶信息庫中提取該用戶對應云服務的訪問用戶名，并返回客戶端，用戶使用這個用戶名登錄云服務，并根據權限訪問相應的資源。為了保證認證信息在傳遞過程中的安全，防止票據在傳輸過程中被截取并篡改，可以對用戶信息、生成的票據及其校驗信息進行加密，針對實際情況可以采用AES加密用戶信息及生成的票據，采用SHA?1算法加密校驗信息[11]。單點登錄的具體流程及部分關鍵代碼如下[12?13]：

（1） 云客戶端向云服務1發送訪問請求時，如果是第一次登錄，會被重定向到統一登錄頁面，使用ASG提供的賬號信息向ASG發送認證請求，跨域控制器將請求轉到域內認證服務器AS，訪問用戶信息庫進行統一身份認證，轉入（2）;否則，已經通過認證并在有效期內，則直接訪問云服務1。

if（ticket1==1） " " " " " " " " " "/*首次訪問或訪問已過期*/

{

Response.sendRedirect（\"LoginServlet？url=\"+validate_url）;

/*重定向到認證頁面，讓用戶輸入用戶名userName和密碼psw并提交*/

}

認證服務器：

主要執行認證函數doValidate。

將用戶輸入的用戶名密碼與用戶信息庫逐條比對，假設用戶名密碼都為zh_s

if（\"zh_s\".equals（username）amp;amp; \"zh_s\".equals（psw））

//通過認證

Cookie ticket1=new Cookie（\"zh_s\"，\"100\"）;

認證函數執行后返回ticket1和用戶要訪問的應用app1。

（2） ASG成功認證后，向云客戶端返回訪問TGS的票據Ticket1和與TGS通信的會話密鑰。

（3） 云客戶端使用Ticket1和相關請求信息，經會話密鑰加密，向TGS請求訪問云資源的票據。

（4） TGS查詢用戶信息庫，并根據授權信息，確認請求合法后，根據授權信息生成相應的訪問云服務的票據Ticket2，向云客戶端發送Ticket2和與云服務通信的會話密鑰。

if（ticket1！=1amp;amp;\"zh_s\".equals（ticket（））//已獲取ticket1

{

根據用戶ticket1和app1，查找用戶信息庫中的用戶與云服務表，取得用戶的角色role

String role= rs.getString（\"role\"）;

String ticket2= rs.getString（\"ticket\"）;

}

（5） 云客戶端使用Ticket2和相關請求信息，經會話密鑰加密，向云服務發送訪問請求。

（6） 云端收到訪問請求后，使用通信密鑰解密，提取信息中的用戶ID、要訪問的服務ID和相應的授權信息，確認請求的合法性后，向客戶端發送允許訪問的響應，并授予相應的訪問權限。否則拒絕用戶訪問請求。

（7） 當相同的用戶訪問云服務2時，將請求重定向到ASG，用戶保存的Ticket1將被認證，此次不需要輸入用戶名和密碼，重復（3）后面的步驟即可完成單點登錄。

3 "結 "語

跨域單點登錄方案采用用戶集中認證和TGS部署，云服務只需進行自己用戶的認證，減少了常規用戶驗證的次數。對用戶來說，減少了登錄次數和多密碼的記憶，實現一次登錄認證就可以訪問所有授權的服務，提高了工作效率，降低了安全風險?？缬虻恼J證加強信任域間的互聯互通，降低管理成本。傳輸加密和嚴格流程的實施，將用戶的認證信息和票據通過加密安全地傳遞到云端，提高了系統的安全性。本方案在學院新構建的云計算中心及其實驗室搭建的跨域網站得到了驗證，下一步將在公安內部進行推廣。

參考文獻

[1] 陳萱華，李學亞.桌面虛擬化技術在公安院校網絡安全接入中的應用[J].計算機與現代化，2013（5）：121?123.

[2] 余幸杰，高能，江偉玉.云計算中的身份認證技術研究[J].信息網絡安全，2012（8）：71?75.

[3] 吳賢平.基于指紋識別和CAS的單點登錄模型技術研究[J].計算機應用研究，2012（4）：1381?1383.

[4] 張福年.基于票據的單點登錄技術在青海減排綜合信息平臺中的應用[J].青海環境，2013（12）：178?180.

[5] 張政.單點登錄技術在SAP_ERP中的應用[J].計算機與現代化，2013（11）：188?191.

[6] 黃寶君.基于Web Service的單點登錄系統的設計與實現[D].北京：北京交通大學，2012.

[7] 裴華艷，王煥民.基于CAS的單點登錄平臺的研究與實現[J].電腦知識與技術，2014（1）：534?536.

[8] 王志瑞，劉正濤，曹陽.一種輕量級的跨域單點登錄解決方案[J].計算機應用與軟件，2013（7）：268?270.

[9] 牛炎.基于Web Service的單點登錄功能設計與實現[J].電腦知識與技術，2010（29）：8241?8243.

[10] 楊艷明.基于SAML的單點登錄技術在校園網中的應用研究及實現[J].楚雄師范學院學報，2013（9）：22?25.

[11] 李鑫，李俊.基于跨域單點登錄令牌的設計與實現[J].計算機光盤軟件與應用，2014（2）：61?62.

[12] JIAN Y. An improved scheme of single sign?on protocol [C]// International Symposium on Information Assurance and Security. Xi’an， China： IEEE， 2009： 495?498.

[13] 房晶.云計算的虛擬化安全和單點登錄研究[D].北京：北京交通大學，2011.