摘 "要： 在比較現(xiàn)有的3種單點(diǎn)登錄模型優(yōu)缺點(diǎn)的基礎(chǔ)上，分析跨域單點(diǎn)登錄應(yīng)有的基本功能，嘗試建立一種云環(huán)境下的跨域單點(diǎn)登錄系統(tǒng)。方案利用Web Service技術(shù)封裝原有系統(tǒng)和構(gòu)建身份映射功能，使原有系統(tǒng)在改動盡量小的情況下與新系統(tǒng)的認(rèn)證實(shí)現(xiàn)無縫對接;通過部署身份認(rèn)證系統(tǒng)群、跨域控制器、票據(jù)授權(quán)服務(wù)器、傳輸加密和用戶信息庫等措施實(shí)現(xiàn)云環(huán)境下跨域跨平臺的集中認(rèn)證。方案實(shí)施簡單，安全性高，可擴(kuò)展性好。

關(guān)鍵詞： 云環(huán)境; 單點(diǎn)登錄; 用戶認(rèn)證; 跨域; 云服務(wù)

中圖分類號： TN919?34; TP399 " " " " " " " " "文獻(xiàn)標(biāo)識碼： A " " " " " " " " " " "文章編號： 1004?373X（2015）02?0049?03

Solution for cross?domain single sign?on in cloud environment

CHEN Xuan?hua1， LIN Shu?ling1， YANG Ling2

（1. Department of Electronics Technology; Public Security Marine Police Academy; Ningbo 315801， China;

2. Computer Teaching and Research Office， Beijing Command College of Chinese People’s Armed Force; Beijing 100012， China）

Abstract： On the basis of comparison between advantages and disadvantages of the three existing single sign?on models， basic functions of cross?domain single sign?on are analyzed. A try at establishing a cross?domain single sign?on system in cloud environment was made. A solution using Web Service technology to encapsulate the original system and construct identity mapping function was design to make certification achieve seamless docking between the original system with least change and the new system. The solution achieves the centralized certification under cross?border and cross?platform in cloud environment through the deployment of authentication systems group， cross?domain controller， note authorized server， transmission encryption and user information database. he solution has the characteristics of simple operation， high safety and good scalability.

Keywords： cloud environment; SSO; user authentication; cross?domain; cloud service

0 "引 "言

云計(jì)算環(huán)境具有資源集中、用戶海量、有償按需服務(wù)等特點(diǎn)，云端存儲了大量的用戶敏感數(shù)據(jù)，一旦用戶身份被仿冒，就很容易造成隱私和敏感數(shù)據(jù)的泄露，而70%的數(shù)據(jù)泄漏是通過外部的輸入源帶進(jìn)系統(tǒng)的，所以為了保證云服務(wù)的安全，必須對進(jìn)入系統(tǒng)的用戶身份和其他輸入源的身份有較強(qiáng)的認(rèn)證[1?2]。身份認(rèn)證是其他安全策略的基礎(chǔ)，也是其他安全策略實(shí)現(xiàn)其安全功能的前提條件。隨著云計(jì)算的不斷成熟，提供的服務(wù)也越來越多，這些服務(wù)分布在不同的服務(wù)器，分布在不同機(jī)構(gòu)的域中，每個(gè)服務(wù)都有屬于自己的數(shù)據(jù)庫，用戶通過云終端登錄虛擬桌面訪問每一個(gè)服務(wù)時(shí)需要提供用戶名密碼或其他認(rèn)證方式，在切換服務(wù)時(shí)進(jìn)行越來越多的登錄。這種相對分散繁瑣的身份認(rèn)證機(jī)制對用戶造成極大的精神負(fù)擔(dān)，為了減輕負(fù)擔(dān)，用戶可能將密碼設(shè)置成容易記住的如純數(shù)字或字母等，甚至對各種認(rèn)證設(shè)置相同的密碼，或者將復(fù)雜密碼記錄在紙上貼在工作臺上，這些做法會降低系統(tǒng)的整體安全性，密碼被非法截獲的可能性增加，使系統(tǒng)容易被破解或攻擊從而造成不必要的損失[3]。對管理員來說， 被迫管理越來越多的身份，對用戶職責(zé)權(quán)限的維護(hù)也需要花費(fèi)大量的時(shí)間進(jìn)行調(diào)整。因此云環(huán)境下建立跨域的單點(diǎn)登錄系統(tǒng)，實(shí)現(xiàn)一處登錄，在權(quán)限范圍內(nèi)處處可用，減少安全隱患，減輕用戶和管理員的負(fù)擔(dān)成為當(dāng)前云計(jì)算安全研究的熱點(diǎn)。

1 "現(xiàn)有單點(diǎn)登錄系統(tǒng)的模型及其優(yōu)缺點(diǎn)

單點(diǎn)登錄，即SSO（Single Sign?on），是解決用戶訪問幾個(gè)系統(tǒng)登錄幾次的問題，在用戶使用的多個(gè)系統(tǒng)或服務(wù)中，用戶在一定時(shí)間內(nèi)只需要一套認(rèn)證方式就能夠?qū)@些系統(tǒng)或服務(wù)進(jìn)行權(quán)限內(nèi)的訪問。登錄一次就可使用經(jīng)認(rèn)證的所有系統(tǒng)甚至實(shí)現(xiàn)跨域認(rèn)證。

目前實(shí)現(xiàn)單點(diǎn)登錄的模型主要有網(wǎng)關(guān)模型、代理模型、和令牌模型[4]等3種。網(wǎng)關(guān)模型由客戶端、網(wǎng)關(guān)和應(yīng)用服務(wù)器組成。網(wǎng)關(guān)連接著客戶端和應(yīng)用服務(wù)器，它是客戶端訪問服務(wù)器的關(guān)卡。實(shí)現(xiàn)單點(diǎn)登錄的關(guān)鍵是在網(wǎng)關(guān)上配置身份認(rèn)證模塊，對原有系統(tǒng)不需進(jìn)行大的修改，但它的安全性和效率受到極大的考驗(yàn)。不適合大規(guī)模用戶認(rèn)證，且受到攻擊時(shí)易危及到服務(wù)器的安全。代理模型由客戶端、代理軟件和應(yīng)用服務(wù)器組成。代理軟件的作用就是為不同的應(yīng)用程序進(jìn)行身份認(rèn)證，在客戶端和服務(wù)器之間充當(dāng)翻譯的作用。它可以安裝在客戶端或服務(wù)器上，這種方式不需要對應(yīng)用服務(wù)進(jìn)行改動，具有良好的可擴(kuò)充性。但因?yàn)樗竺恳粋€(gè)服務(wù)配置一個(gè)代理軟件，開發(fā)的難度和工作量比較大，通用性較差。令牌模型由客戶端、認(rèn)證服務(wù)器和應(yīng)用服務(wù)器組成。認(rèn)證服務(wù)器提供一個(gè)公共和獨(dú)立的“第三方”，方便擴(kuò)展，適合大規(guī)模的用戶認(rèn)證，但這種方案必須改造舊的應(yīng)用系統(tǒng)，需付出極大的代價(jià)。通常是在單域環(huán)境下通過門戶實(shí)現(xiàn)單點(diǎn)登錄，利用cookie的形式或通過隱藏字段中的加密值來提供安全令牌，這種方式限制了跨域登錄。對應(yīng)三種模型，目前有一些比較成熟的單點(diǎn)登錄解決方案，如微軟的Passport、IBM的Web Sphere Portal Server、CAS，但它們有著不同的側(cè)重點(diǎn)，適合于不同的平臺與架構(gòu)，系統(tǒng)比較復(fù)雜，缺乏靈活性，而且價(jià)格和學(xué)習(xí)成本都比較高，不太適合小中型企業(yè)的部署和應(yīng)用[5]。本文在比較現(xiàn)有的3種單點(diǎn)登錄模型優(yōu)缺點(diǎn)的基礎(chǔ)上，針對云環(huán)境的特點(diǎn)，嘗試建立一種云環(huán)境下的跨域單點(diǎn)登錄系統(tǒng)。

2 "基于云環(huán)境的單點(diǎn)登錄方案

云環(huán)境的主要應(yīng)用模式是SaaS，客戶通過Web的方式訪問云資源。目前云環(huán)境單點(diǎn)登錄主要綜合上述3種模型的優(yōu)勢，使用云資源提供者的專有API建立個(gè)人鏈接，訪問時(shí)將相同的用戶登錄憑證發(fā)送給每個(gè)應(yīng)用程序。但隨著云資源供應(yīng)商的增多，將給用戶帶來維護(hù)和管理上的不便。本方案采用認(rèn)證群，認(rèn)證群實(shí)現(xiàn)與各種SaaS應(yīng)用的后端整合，用戶端只需進(jìn)行Web Service包裝，這樣用戶端可以做最少的修改，有較好的兼容性和擴(kuò)展性。

2.1 "云環(huán)境單點(diǎn)登錄的基本功能

從前面可知，比較有效的單點(diǎn)登錄必須能保證一個(gè)實(shí)體（包括用戶和資源，以下均以用戶替代）通過了一次身份認(rèn)證后，在一段合理的時(shí)間內(nèi)訪問受信的其他資源時(shí)，不再需要進(jìn)行身份驗(yàn)證，同時(shí)享有原來的權(quán)限。因此單點(diǎn)登錄的基本功能應(yīng)包括統(tǒng)一身份認(rèn)證、原有系統(tǒng)到新系統(tǒng)的身份映射和統(tǒng)一用戶管理，在此基礎(chǔ)上實(shí)現(xiàn)跨域身份聯(lián)合認(rèn)證，并提供身份認(rèn)證的安全性管理[6?7]。

（1） 統(tǒng)一身份認(rèn)證。云環(huán)境的用戶為完成某一任務(wù)經(jīng)常需要調(diào)用內(nèi)部和外部的多個(gè)資源，這些資源可能跨平臺異構(gòu)、跨多個(gè)域，訪問時(shí)會出現(xiàn)跨越多個(gè)信任域帶來的跨域服務(wù)的聯(lián)合單點(diǎn)登錄驗(yàn)證，但是不能要求每個(gè)服務(wù)提供者都直接參與認(rèn)證過程。因此，統(tǒng)一身份認(rèn)證需要考慮跨域、聯(lián)合身份認(rèn)證、委托代理、云服務(wù)資源及用戶數(shù)量的無限擴(kuò)展性等情況，就可能存在多個(gè)認(rèn)證系統(tǒng)及第三方做身份認(rèn)證的聯(lián)合管理，將這些認(rèn)證系統(tǒng)構(gòu)成認(rèn)證群。為方便認(rèn)證系統(tǒng)間的通信，可以設(shè)置一個(gè)跨域控制器，同時(shí)設(shè)置票據(jù)授權(quán)服務(wù)器進(jìn)一步減輕云服務(wù)提供者的負(fù)擔(dān)?？刂破髫?fù)責(zé)將請求重定向到對應(yīng)的域認(rèn)證服務(wù)，票據(jù)授權(quán)服務(wù)器生成云服務(wù)對應(yīng)的票據(jù)。所有云服務(wù)要共享一個(gè)身份認(rèn)證系統(tǒng)，也就是我們常說的統(tǒng)一認(rèn)證系統(tǒng)，這是單點(diǎn)登錄的前提之一。統(tǒng)一身份認(rèn)證為云服務(wù)提供統(tǒng)一的用戶管理平臺和身份認(rèn)證服務(wù)，使用戶管理與老系統(tǒng)實(shí)現(xiàn)無縫對接，實(shí)現(xiàn)透明地訪問所有授權(quán)的資源。

（2） 原系統(tǒng)到新系統(tǒng)的身份映射。為了使系統(tǒng)做最小的更改，保留訪問原有資源的登錄賬號和密碼及其權(quán)限，本方案采用如下方式：在統(tǒng)一身份認(rèn)證中心創(chuàng)建一個(gè)統(tǒng)一登錄用戶名，并通過身份映射實(shí)現(xiàn)該用戶名與用戶原有各應(yīng)用的用戶名進(jìn)行映射，形成對應(yīng)關(guān)系。這樣，用戶登錄統(tǒng)一身份認(rèn)證完成認(rèn)證后，系統(tǒng)利用身份映射功能就可以訪問云端相應(yīng)的云服務(wù)。

（3） 統(tǒng)一用戶管理。訪問控制是安全策略的基礎(chǔ)，通過對用戶的授權(quán)保證資源不被非法訪問，如在用戶職責(zé)發(fā)生變更或離開現(xiàn)有組織時(shí)，相關(guān)系統(tǒng)的管理員都要花費(fèi)大量的時(shí)間修改其賬戶屬性或者刪除用戶。單點(diǎn)登錄系統(tǒng)中的統(tǒng)一用戶管理只要向相關(guān)的應(yīng)用程序發(fā)出修改或刪除賬戶的命令即可。新的應(yīng)用系統(tǒng)加入時(shí)，可以直接使用統(tǒng)一認(rèn)證系統(tǒng)，不必再向以前那樣建立自己的認(rèn)證系統(tǒng)。大大減少了管理員的工作量，同時(shí)也避免了遺漏等造成權(quán)限濫用的出錯(cuò)問題。

2.2 "云計(jì)算單點(diǎn)登錄的原理及模型

隨著云計(jì)算應(yīng)用的逐步深入，各公司各機(jī)構(gòu)都會構(gòu)建自己的共享資源，并且擁有自己的用戶，為了保護(hù)云服務(wù)形成了各自的信任域。用戶通過本地認(rèn)證服務(wù)器的認(rèn)證可以訪問域內(nèi)相應(yīng)的資源，用戶訪問其他域的資源時(shí)就存在跨域認(rèn)證的問題。

為實(shí)現(xiàn)跨域、跨平臺的聯(lián)合身份認(rèn)證，與原系統(tǒng)無縫對接，還要使原有系統(tǒng)盡可能只做最小的改動。采用統(tǒng)一身份認(rèn)證，用戶信息集中管理的方式[8]。原有的系統(tǒng)采用Web Service技術(shù)構(gòu)建驗(yàn)證服務(wù)替代原來的用戶認(rèn)證模塊，并按照SOAP協(xié)議的要求封裝報(bào)文，以便能快速地與其他應(yīng)用系統(tǒng)對接。認(rèn)證系統(tǒng)之間通過標(biāo)準(zhǔn)的通信協(xié)議互換認(rèn)證信息[9?10]。模型的具體結(jié)構(gòu)如圖1所示。

lt;E：＼王芳＼現(xiàn)代電子技術(shù)201502＼Image＼16t1.tifgt;

圖1 單點(diǎn)登錄系統(tǒng)模型

圖1中，票據(jù)授權(quán)服務(wù)器（Ticket?Granting?Sever，TGS）接受用戶訪問特定資源的請求，負(fù)責(zé)生成訪問該資源的票據(jù)（Ticket）。用戶使用這個(gè)票據(jù)，不需要再次認(rèn)證就可以直接訪問授權(quán)的云服務(wù);認(rèn)證系統(tǒng)群（Authentication?System?Group，ASG）負(fù)責(zé)用戶認(rèn)證，產(chǎn)生訪問TGS的票據(jù)，完成安全可靠的認(rèn)證。用戶信息庫主要包括用戶表，云服務(wù)表，用戶與云服務(wù)表，cookie?ticket表等。原有系統(tǒng)中云服務(wù)提供者承擔(dān)用戶的認(rèn)證和授權(quán)，隨著服務(wù)數(shù)量和用戶數(shù)量的增加，服務(wù)提供者的壓力將呈非線性增加。為減輕服務(wù)提供者參與用戶進(jìn)行認(rèn)證和授權(quán)的負(fù)擔(dān)，構(gòu)建多個(gè)身份認(rèn)證系統(tǒng)構(gòu)成認(rèn)證系統(tǒng)群提供集中認(rèn)證服務(wù)，通過身份映射實(shí)現(xiàn)統(tǒng)一登錄用戶與原有用戶的對應(yīng)，并將對應(yīng)結(jié)果存儲在用戶信息庫中。這樣可降低云服務(wù)提供者的用戶管理負(fù)擔(dān)和整個(gè)系統(tǒng)的復(fù)雜性。

當(dāng)用戶向云服務(wù)發(fā)送訪問請求時(shí)，首先會被重定向到認(rèn)證中心查看用戶是否完成了統(tǒng)一登錄，如果是第一次登錄，需要認(rèn)證服務(wù)器進(jìn)行統(tǒng)一身份認(rèn)證;如果用戶已經(jīng)成功登錄，會得到登錄票據(jù)，向TGS請求該用戶的認(rèn)證信息，TGS從用戶信息庫中提取該用戶對應(yīng)云服務(wù)的訪問用戶名，并返回客戶端，用戶使用這個(gè)用戶名登錄云服務(wù)，并根據(jù)權(quán)限訪問相應(yīng)的資源。為了保證認(rèn)證信息在傳遞過程中的安全，防止票據(jù)在傳輸過程中被截取并篡改，可以對用戶信息、生成的票據(jù)及其校驗(yàn)信息進(jìn)行加密，針對實(shí)際情況可以采用AES加密用戶信息及生成的票據(jù)，采用SHA?1算法加密校驗(yàn)信息[11]。單點(diǎn)登錄的具體流程及部分關(guān)鍵代碼如下[12?13]：

（1） 云客戶端向云服務(wù)1發(fā)送訪問請求時(shí)，如果是第一次登錄，會被重定向到統(tǒng)一登錄頁面，使用ASG提供的賬號信息向ASG發(fā)送認(rèn)證請求，跨域控制器將請求轉(zhuǎn)到域內(nèi)認(rèn)證服務(wù)器AS，訪問用戶信息庫進(jìn)行統(tǒng)一身份認(rèn)證，轉(zhuǎn)入（2）;否則，已經(jīng)通過認(rèn)證并在有效期內(nèi)，則直接訪問云服務(wù)1。

if（ticket1==1） " " " " " " " " " "/*首次訪問或訪問已過期*/

{

Response.sendRedirect（\"LoginServlet？url=\"+validate_url）;

/*重定向到認(rèn)證頁面，讓用戶輸入用戶名userName和密碼psw并提交*/

}

認(rèn)證服務(wù)器：

主要執(zhí)行認(rèn)證函數(shù)doValidate。

將用戶輸入的用戶名密碼與用戶信息庫逐條比對，假設(shè)用戶名密碼都為zh_s

if（\"zh_s\".equals（username）amp;amp; \"zh_s\".equals（psw））

//通過認(rèn)證

Cookie ticket1=new Cookie（\"zh_s\"，\"100\"）;

認(rèn)證函數(shù)執(zhí)行后返回ticket1和用戶要訪問的應(yīng)用app1。

（2） ASG成功認(rèn)證后，向云客戶端返回訪問TGS的票據(jù)Ticket1和與TGS通信的會話密鑰。

（3） 云客戶端使用Ticket1和相關(guān)請求信息，經(jīng)會話密鑰加密，向TGS請求訪問云資源的票據(jù)。

（4） TGS查詢用戶信息庫，并根據(jù)授權(quán)信息，確認(rèn)請求合法后，根據(jù)授權(quán)信息生成相應(yīng)的訪問云服務(wù)的票據(jù)Ticket2，向云客戶端發(fā)送Ticket2和與云服務(wù)通信的會話密鑰。

if（ticket1！=1amp;amp;\"zh_s\".equals（ticket（））//已獲取ticket1

{

根據(jù)用戶ticket1和app1，查找用戶信息庫中的用戶與云服務(wù)表，取得用戶的角色role

String role= rs.getString（\"role\"）;

String ticket2= rs.getString（\"ticket\"）;

}

（5） 云客戶端使用Ticket2和相關(guān)請求信息，經(jīng)會話密鑰加密，向云服務(wù)發(fā)送訪問請求。

（6） 云端收到訪問請求后，使用通信密鑰解密，提取信息中的用戶ID、要訪問的服務(wù)ID和相應(yīng)的授權(quán)信息，確認(rèn)請求的合法性后，向客戶端發(fā)送允許訪問的響應(yīng)，并授予相應(yīng)的訪問權(quán)限。否則拒絕用戶訪問請求。

（7） 當(dāng)相同的用戶訪問云服務(wù)2時(shí)，將請求重定向到ASG，用戶保存的Ticket1將被認(rèn)證，此次不需要輸入用戶名和密碼，重復(fù)（3）后面的步驟即可完成單點(diǎn)登錄。

3 "結(jié) "語

跨域單點(diǎn)登錄方案采用用戶集中認(rèn)證和TGS部署，云服務(wù)只需進(jìn)行自己用戶的認(rèn)證，減少了常規(guī)用戶驗(yàn)證的次數(shù)。對用戶來說，減少了登錄次數(shù)和多密碼的記憶，實(shí)現(xiàn)一次登錄認(rèn)證就可以訪問所有授權(quán)的服務(wù)，提高了工作效率，降低了安全風(fēng)險(xiǎn)?？缬虻恼J(rèn)證加強(qiáng)信任域間的互聯(lián)互通，降低管理成本。傳輸加密和嚴(yán)格流程的實(shí)施，將用戶的認(rèn)證信息和票據(jù)通過加密安全地傳遞到云端，提高了系統(tǒng)的安全性。本方案在學(xué)院新構(gòu)建的云計(jì)算中心及其實(shí)驗(yàn)室搭建的跨域網(wǎng)站得到了驗(yàn)證，下一步將在公安內(nèi)部進(jìn)行推廣。

參考文獻(xiàn)

[1] 陳萱華，李學(xué)亞.桌面虛擬化技術(shù)在公安院校網(wǎng)絡(luò)安全接入中的應(yīng)用[J].計(jì)算機(jī)與現(xiàn)代化，2013（5）：121?123.

[2] 余幸杰，高能，江偉玉.云計(jì)算中的身份認(rèn)證技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012（8）：71?75.

[3] 吳賢平.基于指紋識別和CAS的單點(diǎn)登錄模型技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究，2012（4）：1381?1383.

[4] 張福年.基于票據(jù)的單點(diǎn)登錄技術(shù)在青海減排綜合信息平臺中的應(yīng)用[J].青海環(huán)境，2013（12）：178?180.

[5] 張政.單點(diǎn)登錄技術(shù)在SAP_ERP中的應(yīng)用[J].計(jì)算機(jī)與現(xiàn)代化，2013（11）：188?191.

[6] 黃寶君.基于Web Service的單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京交通大學(xué)，2012.

[7] 裴華艷，王煥民.基于CAS的單點(diǎn)登錄平臺的研究與實(shí)現(xiàn)[J].電腦知識與技術(shù)，2014（1）：534?536.

[8] 王志瑞，劉正濤，曹陽.一種輕量級的跨域單點(diǎn)登錄解決方案[J].計(jì)算機(jī)應(yīng)用與軟件，2013（7）：268?270.

[9] 牛炎.基于Web Service的單點(diǎn)登錄功能設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識與技術(shù)，2010（29）：8241?8243.

[10] 楊艷明.基于SAML的單點(diǎn)登錄技術(shù)在校園網(wǎng)中的應(yīng)用研究及實(shí)現(xiàn)[J].楚雄師范學(xué)院學(xué)報(bào)，2013（9）：22?25.

[11] 李鑫，李俊.基于跨域單點(diǎn)登錄令牌的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014（2）：61?62.

[12] JIAN Y. An improved scheme of single sign?on protocol [C]// International Symposium on Information Assurance and Security. Xi’an， China： IEEE， 2009： 495?498.

[13] 房晶.云計(jì)算的虛擬化安全和單點(diǎn)登錄研究[D].北京：北京交通大學(xué)，2011.