SSO和反向代理技術(shù)介紹課件

1、SSO與反向代理技術(shù)介紹清華大學(xué)計(jì)算中心劉乃嘉2019-05SSO簡(jiǎn)介SSO（Single Sign-On）直譯為一次登錄在用戶訪問網(wǎng)站時(shí)作一次身份認(rèn)證，隨后就可以對(duì)所有被授權(quán)的網(wǎng)絡(luò)資源進(jìn)行無縫的訪問單點(diǎn)登錄、全網(wǎng)漫游SSO樣例清華信息門戶登錄前SSO樣例清華信息門戶登錄后SSO樣例清華信息門戶訪問財(cái)務(wù)系統(tǒng)SSO樣例清華信息門戶訪問教務(wù)系統(tǒng)SSO樣例清華信息門戶訪問個(gè)人桌面SSO的來源應(yīng)用系統(tǒng)越來越多信息技術(shù)和網(wǎng)絡(luò)技術(shù)迅猛發(fā)展財(cái)務(wù)系統(tǒng)、辦公自動(dòng)化系統(tǒng)、決策支持系統(tǒng)、客戶關(guān)系管理系統(tǒng)和網(wǎng)站發(fā)布系統(tǒng)等身份認(rèn)證和用戶管理上出現(xiàn)了問題用戶必須記住每一個(gè)系統(tǒng)的用戶名和密碼隨著系統(tǒng)的增多，出錯(cuò)的可能性就會(huì)

2、增加安全性就會(huì)相應(yīng)降低受到非法截獲和破壞的可能性也會(huì)增大統(tǒng)一用戶認(rèn)證、單點(diǎn)登錄概念出現(xiàn)不斷地被應(yīng)用到企業(yè)應(yīng)用系統(tǒng)中。SSO的好處減少登錄耗費(fèi)的時(shí)間減少登錄出錯(cuò)的可能性避免了處理和保存多套系統(tǒng)用戶的認(rèn)證信息減少了系統(tǒng)管理員增加、刪除用戶和修改用戶權(quán)限的時(shí)間增加了安全性系統(tǒng)管理員有了更好的方法管理用戶，包括可以通過直接禁止和刪除用戶來取消該用戶對(duì)所有系統(tǒng)資源的訪問權(quán)限SSO實(shí)現(xiàn)的基礎(chǔ)統(tǒng)一用戶管理原因如果用戶信息不統(tǒng)一，系統(tǒng)就無法很好的做到身份的正確識(shí)別傳統(tǒng)應(yīng)用系統(tǒng)運(yùn)行模式每個(gè)應(yīng)用系統(tǒng)都擁有獨(dú)立的用戶信息管理功能用戶信息的格式、命名與存儲(chǔ)方式也多種多樣當(dāng)用戶需要使用多個(gè)應(yīng)用系統(tǒng)時(shí)就會(huì)帶來用戶信息同步

3、問題用戶信息同步會(huì)增加系統(tǒng)的復(fù)雜性，增加管理的成本。SSO實(shí)現(xiàn)的基礎(chǔ)統(tǒng)一用戶管理例子用戶X需要同時(shí)使用A系統(tǒng)與B系統(tǒng)，就必須在A系統(tǒng)與B系統(tǒng)中都創(chuàng)建用戶X這樣在A、B任一系統(tǒng)中用戶X的信息更改后就必須同步至另一系統(tǒng)如果用戶X需要同時(shí)使用10個(gè)應(yīng)用系統(tǒng)，用戶信息在任何一個(gè)系統(tǒng)中做出更改后就必須同步至其他9個(gè)系統(tǒng)。用戶同步時(shí)如果系統(tǒng)出現(xiàn)意外，還要保證數(shù)據(jù)的完整性，因而同步用戶的程序可能會(huì)非常復(fù)雜用戶管理系統(tǒng)（UUMS）解決用戶同步問題的根本辦法UUMS統(tǒng)一存儲(chǔ)所有應(yīng)用系統(tǒng)的用戶信息，應(yīng)用系統(tǒng)對(duì)用戶的相關(guān)操作全部通過UUMS完成，而授權(quán)等操作則由各應(yīng)用系統(tǒng)完成，即統(tǒng)一存儲(chǔ)、分布授權(quán)。用戶管理系統(tǒng)（U

4、UMS）UUMS基本功能用戶信息規(guī)范命名、統(tǒng)一存儲(chǔ)，用戶ID全局惟一。用戶ID猶如身份證，區(qū)分和標(biāo)識(shí)了不同的個(gè)體。UUMS向各應(yīng)用系統(tǒng)提供用戶屬性列表，如姓名、電話、地址、郵件等屬性，各應(yīng)用系統(tǒng)可以選擇本系統(tǒng)所需要的部分或全部屬性。應(yīng)用系統(tǒng)對(duì)用戶基本信息的增加、修改、刪除和查詢等請(qǐng)求由UUMS處理。用戶管理系統(tǒng)（UUMS）應(yīng)用系統(tǒng)保留用戶管理功能，如用戶分組、用戶授權(quán)等功能。UUMS應(yīng)具有完善的日志功能，詳細(xì)記錄各應(yīng)用系統(tǒng)對(duì)UUMS的操作統(tǒng)一用戶認(rèn)證系統(tǒng)統(tǒng)一用戶認(rèn)證是以UUMS為基礎(chǔ)，對(duì)所有應(yīng)用系統(tǒng)提供統(tǒng)一的認(rèn)證方式和認(rèn)證策略，以識(shí)別用戶身份的合法性應(yīng)支持以下幾種認(rèn)證方式匿名認(rèn)證方式: 用戶不

5、需要任何認(rèn)證，可以匿名的方式登錄系統(tǒng)用戶名/密碼認(rèn)證: 這是最基本的認(rèn)證方式PKI/CA數(shù)字證書認(rèn)證: 通過數(shù)字證書的方式認(rèn)證用戶的身份統(tǒng)一用戶認(rèn)證系統(tǒng)IP地址認(rèn)證: 用戶只能從指定的IP地址或者IP地址段訪問系統(tǒng)時(shí)間段認(rèn)證: 用戶只能在某個(gè)指定的時(shí)間段訪問系統(tǒng)訪問次數(shù)認(rèn)證: 累計(jì)用戶的訪問次數(shù)，使用戶的訪問次數(shù)在一定的數(shù)值范圍之內(nèi)認(rèn)證策略認(rèn)證策略指認(rèn)證方式通過與、或、非等邏輯關(guān)系組合后的認(rèn)證方式管理員可以根據(jù)認(rèn)證策略對(duì)認(rèn)證方式進(jìn)行增、刪或組合，以滿足各種認(rèn)證的要求。比如，某集團(tuán)用戶多人共用一個(gè)賬戶，用戶通過用戶名密碼訪問系統(tǒng)，訪問必須限制在某個(gè)IP地址段上。該認(rèn)證策略可表示為: 用戶名/密碼

6、“與”IP地址認(rèn)證。數(shù)字證書認(rèn)證通常應(yīng)用在安全級(jí)別要求較高的環(huán)境中PKI（Public Key Infrastructure）即公鑰基礎(chǔ)設(shè)施是利用公鑰理論和數(shù)字證書來確保系統(tǒng)信息安全的一種體系。非對(duì)稱密鑰密碼體制密鑰成對(duì)生成一個(gè)公鑰和一個(gè)私鑰公鑰公布于眾，私鑰為所用者私有數(shù)字證書認(rèn)證加解密過程發(fā)送者利用接收者的公鑰發(fā)送信息解密：接收者利用自己的私鑰解密數(shù)字簽名確保數(shù)據(jù)完整性和原始性從數(shù)據(jù)被簽名以來數(shù)據(jù)尚未發(fā)生更改確認(rèn)對(duì)數(shù)據(jù)簽名的人或?qū)嶓w的身份安全電子商務(wù)的基本要求使用方法簽名者使用私鑰簽名接受者使用公鑰確認(rèn)簽名數(shù)字證書數(shù)字證書互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)由一個(gè)由權(quán)威機(jī)構(gòu)-CA機(jī)

7、構(gòu)，又稱為證書授權(quán)(CertificateAuthority)中心發(fā)行的人們可以在網(wǎng)上用它來識(shí)別對(duì)方的身份數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡(jiǎn)單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號(hào)等信息，證書的格式遵循ITUTX.509國際標(biāo)準(zhǔn)。 授權(quán)管理（PMI）PMIPrivilege Management Infrastructure授權(quán)管理基礎(chǔ)設(shè)施向用戶和應(yīng)用程序提供授權(quán)管理服務(wù)提供用戶身份到應(yīng)用授權(quán)的映射功能提供與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的、與具體應(yīng)用

8、系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機(jī)制PMI與PKIPMI以資源管理為核心，對(duì)資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理PMI和PKI主要區(qū)別:PKI證明用戶是誰，PMI證明這個(gè)用戶有什么權(quán)限，能干什么而且PMI可以利用PKI為其提供身份認(rèn)證SSO的基本原理單點(diǎn)登錄的實(shí)質(zhì)安全上下文（Security Context）或憑證（Credential）在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享當(dāng)用戶登錄系統(tǒng)時(shí)，客戶端軟件根據(jù)用戶的憑證（例如用戶名和密碼）為用戶建立一個(gè)安全上下文，安全上下文包含用于驗(yàn)證用戶的安全信息，系統(tǒng)用這個(gè)安全上下文和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權(quán)限。SSO的基本原理統(tǒng)一用戶認(rèn)證與

9、單點(diǎn)登錄模型統(tǒng)一用戶認(rèn)證與單點(diǎn)登錄模型AA管理服務(wù)器:即認(rèn)證（Authentication）和授權(quán)（Authorization）服務(wù)器，它為系統(tǒng)管理員提供用戶信息、認(rèn)證和授權(quán)的管理SSO: 包括SSO代理和SSO服務(wù)器。SSO代理部署在各應(yīng)用系統(tǒng)的服務(wù)器端，負(fù)責(zé)截獲客戶端的SSO請(qǐng)求，并轉(zhuǎn)發(fā)給SSO服務(wù)器，如果轉(zhuǎn)發(fā)的是OCSP請(qǐng)求，則SSO服務(wù)器將其轉(zhuǎn)發(fā)給OCSP服務(wù)器。在C/S方式中，SSO代理通常部署在客戶端。統(tǒng)一用戶認(rèn)證與單點(diǎn)登錄模型SSOSSO服務(wù)器需要存儲(chǔ)一張用戶會(huì)話（Session）表，以記錄用戶登錄和登出的時(shí)間SSO服務(wù)器通過檢索會(huì)話表就能夠知道用戶的登錄情況，該表通常存儲(chǔ)在數(shù)據(jù)

10、庫中AA系統(tǒng)提供了對(duì)會(huì)話的記錄、監(jiān)控和撤消等管理功能。為保證穩(wěn)定與高效，SSO、PMI和OCSP可部署兩套或多套應(yīng)用，同時(shí)提供服務(wù)。清華大學(xué)統(tǒng)一認(rèn)證和漫游系統(tǒng)數(shù)字校園的重要組成部分，是網(wǎng)絡(luò)基礎(chǔ)服務(wù)之一校園網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供一個(gè)統(tǒng)一的口令認(rèn)證接口，實(shí)現(xiàn)用戶在不同應(yīng)用系統(tǒng)中口令的統(tǒng)一化實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用的“單點(diǎn)登錄”（SSO，Single Sign On）穩(wěn)定、可靠、安全、高效系統(tǒng)結(jié)構(gòu)圖用戶認(rèn)證過程用戶漫游過程認(rèn)證和漫游接口Java接口C接口PHP接口ASP接口Notes接口SSO的其他實(shí)現(xiàn)方式安全上下文Windows域使用同域內(nèi)cookie方式安全性不好其他簡(jiǎn)易做法使用對(duì)稱密鑰反向代理系統(tǒng)目的解決基于I

11、P地址認(rèn)證資源的訪問背景圖書館論文保護(hù)教育用商用是侵權(quán)的行為，很難區(qū)分用戶的真正用途不完全禁止下載只防范大批量的惡意下載分析用戶的行為要求可以追查到人而不是某個(gè)IP自動(dòng)分析用戶行為，并做出統(tǒng)計(jì)用戶不必對(duì)客戶機(jī)做額外的配置論文服務(wù)器圖書館沒有權(quán)限管理，因而不能把訪問控制系統(tǒng)做在服務(wù)器端，必須外掛。清華門戶系統(tǒng)代理門戶系統(tǒng)很多內(nèi)容限制在校外訪問門戶系統(tǒng)可以識(shí)別校內(nèi)外背景解決方案使用正常的Web代理使用VPN技術(shù)使用SSL VPN技術(shù)解決方案存在的問題用戶設(shè)置不方便可能需要安裝控件控制粒度不細(xì)致不能很好的區(qū)分用戶的行為反向代理（1）原理從外觀看來，也就是從普通用戶看來，反向代理就像普通的WEB服務(wù)器

12、一樣。而反向代理所代理的每一個(gè)WEB服務(wù)器都好像是反向代理服務(wù)器中的一個(gè)目錄。 反向代理也可以說是一個(gè)目錄映射代理服務(wù)器，而不是端口映射代理服務(wù)器反向代理（2）舉例webserver/index.html/WACS/webserver/index.htmlhttps:/webserver/index.html/WACSS/webserver/index.html反向代理（3）反向代理（4）優(yōu)點(diǎn)客戶端不必配置用戶可以使用正向代理訪問用戶對(duì)其它網(wǎng)站的訪問速度不受影響缺點(diǎn)要全文掃描并改寫鏈接，對(duì)反向代理服務(wù)器要求較高尚不能解決部分script的問題Servlet接收層認(rèn)證層Cache層HTTP發(fā)送層

13、HTTP接收層回復(fù)改寫層Servlet發(fā)送層內(nèi)容過濾層WEB服務(wù)器客戶機(jī)瀏覽器請(qǐng)求改寫層反向代理反向代理結(jié)構(gòu)反向代理的關(guān)鍵技術(shù)（1）地址改寫按照html和cookie的規(guī)范，用正則表達(dá)式解決，有比較成熟的技術(shù)絕對(duì)地址（以或“/”打頭），則把它改寫成通過反向代理的格式。絕對(duì)地址的改寫經(jīng)常會(huì)出現(xiàn)一些問題，例如js中的地址改寫(“/”開頭的地址)，采用了filter技術(shù)解決原理：我們可以大致認(rèn)為：某一次訪問的網(wǎng)站應(yīng)該和上一次的基本一致，如果我們不能知道這次訪問的地址，就認(rèn)為和上次的一樣相對(duì)地址不用改動(dòng)反向代理關(guān)鍵技術(shù)（2）Cookie改寫JSESSIONID=aHOYGWGME6f8會(huì)被改寫成 _WA_0000JSESSIONID=aHOYGWGME6