統(tǒng)一用戶認證和單點登錄解決方案_第1頁
統(tǒng)一用戶認證和單點登錄解決方案_第2頁
統(tǒng)一用戶認證和單點登錄解決方案_第3頁
統(tǒng)一用戶認證和單點登錄解決方案_第4頁
統(tǒng)一用戶認證和單點登錄解決方案_第5頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

統(tǒng)一用戶認證和單點登錄解決方案隨著信息技術和網(wǎng)絡技術的迅猛發(fā)展,企業(yè)內(nèi)部的應用系統(tǒng)越來越多。比如在媒體行業(yè),常見的應用系統(tǒng)就有采編系統(tǒng)、排版系統(tǒng)、印刷系統(tǒng)、廣告管理系統(tǒng)、財務系統(tǒng)、辦公自動化系統(tǒng)、決策支持系統(tǒng)、客戶關系管理系統(tǒng)和網(wǎng)站發(fā)布系統(tǒng)等。由于這些系統(tǒng)互相獨立,用戶在使用每個應用系統(tǒng)之前都必須按照相應的系統(tǒng)身份進行登錄,為此用戶必須記住每一個系統(tǒng)的用戶名和密碼這給用戶帶來了不少麻煩。特別是隨著系統(tǒng)的增多,出錯的可能性就會增加,受到非法截獲和破壞的可能性也會增大,安全性就會相應降低。針對于這種情況,統(tǒng)一用戶認證、單點登錄等概念應運而生,同時不斷地被應系統(tǒng)中。統(tǒng)一用戶管理的基本原理。應用系統(tǒng)時就會帶來用式、命名與存儲方式也多種多樣。當用戶需戶信息同步問題。用戶信息同步會增力大例如,用戶需要同時使用系統(tǒng)與口解決用戶同系統(tǒng)對用戶的相關操作全部通過完成,而授權等應用系統(tǒng)完成,即統(tǒng)一存儲、分布授權。應具備以下基本功能:是建立統(tǒng)一用戶管理系統(tǒng)()。統(tǒng)一存儲所能,呂理的成本。多一般來說,每個應用系統(tǒng)都擁有獨立的用戶信息管理這樣在、任一系統(tǒng)中用戶的信息同時使用個應用系統(tǒng),用戶信息他個系統(tǒng)。用戶同步用戶的程序可能會非常題的根操作則有應用系統(tǒng)的用戶/信息的格就必須在系統(tǒng)與系統(tǒng)中都創(chuàng)建用戶,步至另一系統(tǒng)。如果用戶需要個系統(tǒng)中做出更改后就必須同步至其,還要保證數(shù)據(jù)的完整性,因而同步.用戶信息規(guī)范命名、統(tǒng)一存儲,用戶全局惟一。用戶猶如身份證,區(qū)分受到非法截獲和破壞的可能性也會增大,安全性就會相應降低。針對于這種情況,統(tǒng)一用戶認證、單點登錄等概念應運而生,同時不斷地被應系統(tǒng)中。統(tǒng)一用戶管理的基本原理。應用系統(tǒng)時就會帶來用式、命名與存儲方式也多種多樣。當用戶需戶信息同步問題。用戶信息同步會增力大例如,用戶需要同時使用系統(tǒng)與口解決用戶同系統(tǒng)對用戶的相關操作全部通過完成,而授權等應用系統(tǒng)完成,即統(tǒng)一存儲、分布授權。應具備以下基本功能:是建立統(tǒng)一用戶管理系統(tǒng)()。統(tǒng)一存儲所能,呂理的成本。多一般來說,每個應用系統(tǒng)都擁有獨立的用戶信息管理這樣在、任一系統(tǒng)中用戶的信息同時使用個應用系統(tǒng),用戶信息他個系統(tǒng)。用戶同步用戶的程序可能會非常題的根操作則有應用系統(tǒng)的用戶/信息的格就必須在系統(tǒng)與系統(tǒng)中都創(chuàng)建用戶,步至另一系統(tǒng)。如果用戶需要個系統(tǒng)中做出更改后就必須同步至其,還要保證數(shù)據(jù)的完整性,因而同步.用戶信息規(guī)范命名、統(tǒng)一存儲,用戶全局惟一。用戶猶如身份證,區(qū)分和標識了不同的個體。.向各應用系統(tǒng)提供用戶屬性列表,如姓名、電話、地址、郵件等屬性各應用系統(tǒng)可以選擇本系統(tǒng)所需要的部分或全部屬性。.應用系統(tǒng)對用戶基本信息的增加、修改、刪除和查詢等請求由處理。.應用系統(tǒng)保留用戶管理功能,如用戶分組、用戶授權等功能。.應具有完善的日志功能,詳細記錄各應用系統(tǒng)對的操作。

統(tǒng)一用戶認證是以為基礎,對所有應用系統(tǒng)提供統(tǒng)一的認證方式和認證策略,以識別用戶身份的合法性。統(tǒng)一用戶認證應支持以下幾種認證方式:RTCrp?匿名認證方式:用戶不需要任何認證,可以匿名的方式登錄系統(tǒng)。.用戶名密碼認證:這是最基本的認證方式。數(shù)字證書認證:通過數(shù)字證書的方式認證用戶的身份。地址認證:用戶只能從指定的地址或者地址段訪問系統(tǒng)。圍之內(nèi)。.時間段認證:用戶只能在某個指定的時間段訪問系統(tǒng)。?訪問次數(shù)認證:累計用戶的訪問次數(shù),使用戶的訪問次范理員可以根據(jù)認證策略對認證方式進■名密碼訪問系統(tǒng),訪問必字證書認證雖不常字加密,接收者利用自己的私鑰解密;發(fā)送者利用自己的私鑰發(fā)送信息,稱為數(shù)字簽名,接收者利用發(fā)送者的公鑰解密。通過使用數(shù)字加密和數(shù)字簽名技術,以上認證方式應采用模塊化設計,管理員可靈活地進行裝載和卸載,同時還可按照用戶的要求方便地擴展新的認證模塊。5P認證策略是指認證方式通過與、或、非等i比如,某集團用戶多人共用一個賬戶,須限制在某個地址段上。該認()即公鑰基礎設施體系。在公鑰體制中鑰公布于眾,私鑰甬過圍之內(nèi)。.時間段認證:用戶只能在某個指定的時間段訪問系統(tǒng)。?訪問次數(shù)認證:累計用戶的訪問次數(shù),使用戶的訪問次范理員可以根據(jù)認證策略對認證方式進■名密碼訪問系統(tǒng),訪問必字證書認證雖不常字加密,接收者利用自己的私鑰解密;發(fā)送者利用自己的私鑰發(fā)送信息,稱為數(shù)字簽名,接收者利用發(fā)送者的公鑰解密。通過使用數(shù)字加密和數(shù)字簽名技術,以上認證方式應采用模塊化設計,管理員可靈活地進行裝載和卸載,同時還可按照用戶的要求方便地擴展新的認證模塊。5P認證策略是指認證方式通過與、或、非等i比如,某集團用戶多人共用一個賬戶,須限制在某個地址段上。該認()即公鑰基礎設施體系。在公鑰體制中鑰公布于眾,私鑰甬過合后的認證方式。管E組合,以滿足各種認證的要求。為:用戶名密碼“與”地址認證。數(shù)通常應用在安全級別要求較高的環(huán)境中。、鑰理論和數(shù)字證書來確保系統(tǒng)信息安全的一種Z對生成,每對密鑰由一個公鑰和一個私鑰組成,公為所用者私有。發(fā)送者利用接收者的公鑰發(fā)送信息,稱為數(shù)保證了數(shù)據(jù)在傳輸過程中的機密性(不被非法授權者偷看)、完整性(不能被非法篡改)和有效性(數(shù)據(jù)不能被簽發(fā)者否認)。數(shù)字證書有時被稱為數(shù)字身份證,數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構數(shù)字簽名的數(shù)據(jù)。身份驗證機構的數(shù)字簽名可以確保證書信息的真實性。完整的系統(tǒng)應具有權威認證機構()、證書注冊系統(tǒng)()、密鑰管理中

心()、證書發(fā)布查詢系統(tǒng)和備份恢復系統(tǒng)。是的核心,負責所有數(shù)字證書的簽發(fā)和注銷;接受用戶的證書申請或證書注銷、恢復等申請,并對其進行審核;負責加密密鑰的產(chǎn)生、存貯、管理、備份以及恢復;證書發(fā)布查詢系統(tǒng)通常采用(,在線證書狀態(tài)協(xié)議)協(xié)議提供查詢用戶證書的服務,用來驗證用戶簽名的合法性;備份恢復系統(tǒng)負責數(shù)字證書、密鑰和系統(tǒng)數(shù)據(jù)的備份與恢復。單點登錄(,)是一種方便用戶訪問多個系統(tǒng)的技術,用戶只需在登錄時進行一次注冊,就可以在多個系統(tǒng)間自由穿梭,不必重復輸來確定身份。單點登錄的實質就是安全上下文()或憑i統(tǒng)之間的傳遞或共享。當用戶登錄系統(tǒng)時,客戶端軟件根據(jù)用和密碼)在多個應用系含用于驗證用戶的用戶名和密碼)為用戶建立一個安全上下文,安下文安全信息,系統(tǒng)用這個安全上下文和安全策戶是否具有訪問系統(tǒng)資源的權限。遺憾的是規(guī)范并沒有規(guī)定目前業(yè)界已有很多產(chǎn)品支持,的內(nèi)容主要包括:交互的信息則可由應用自行指定,因此用方式實現(xiàn),不的產(chǎn)品之間傳遞安全上下文。同。通過記錄認證信息,則了的作用范圍,因此當客戶端訪問服務器時,因此不能在不同廠商菜產(chǎn)品的實現(xiàn)方式也不盡相享認證信息。是一種客戶端機制,它存儲徑和域,路徑與域合在一起就構成現(xiàn),但域名必須相同;是一種服務器端機制,器為客戶端創(chuàng)建一個惟一的,以使在整個交互過程中始終保持狀7能在多個瀏覽器之間實現(xiàn)單點登錄,但卻可以跨域。實現(xiàn)有無標準可尋?如何使業(yè)界產(chǎn)品之間、產(chǎn)品內(nèi)部之間信息交互更標準、更安全呢?基于此目的,(結構化信息標準促進組織)提出了解決方案(有關時進行一次注冊,就可以在多個系統(tǒng)間自由穿梭,不必重復輸來確定身份。單點登錄的實質就是安全上下文()或憑i統(tǒng)之間的傳遞或共享。當用戶登錄系統(tǒng)時,客戶端軟件根據(jù)用和密碼)在多個應用系含用于驗證用戶的用戶名和密碼)為用戶建立一個安全上下文,安下文安全信息,系統(tǒng)用這個安全上下文和安全策戶是否具有訪問系統(tǒng)資源的權限。遺憾的是規(guī)范并沒有規(guī)定目前業(yè)界已有很多產(chǎn)品支持,的內(nèi)容主要包括:交互的信息則可由應用自行指定,因此用方式實現(xiàn),不的產(chǎn)品之間傳遞安全上下文。同。通過記錄認證信息,則了的作用范圍,因此當客戶端訪問服務器時,因此不能在不同廠商菜產(chǎn)品的實現(xiàn)方式也不盡相享認證信息。是一種客戶端機制,它存儲徑和域,路徑與域合在一起就構成現(xiàn),但域名必須相同;是一種服務器端機制,器為客戶端創(chuàng)建一個惟一的,以使在整個交互過程中始終保持狀7能在多個瀏覽器之間實現(xiàn)單點登錄,但卻可以跨域。實現(xiàn)有無標準可尋?如何使業(yè)界產(chǎn)品之間、產(chǎn)品內(nèi)部之間信息交互更標準、更安全呢?基于此目的,(結構化信息標準促進組織)提出了解決方案(有關的知識參看鏈接)。用戶認證中心實際上就是將以上所有功能、所有概念形成一個整體,為企業(yè)提供一套完整的用戶認證和單點登錄解決方案。一個完整的用戶認證中心應具備以下功能:統(tǒng)一用戶管理。實現(xiàn)用戶信息的集中管理,并提供標準接口。統(tǒng)一認證。用戶認證是集中統(tǒng)一的,支持、用戶名密碼、和等多種身份

認證方式。.單點登錄。支持不同域內(nèi)多個應用系統(tǒng)間的單點登錄。用戶認證中心提供了統(tǒng)一認證的功能,那么用戶認證中心如何提供統(tǒng)一授權的功能呢?這就是授權管理中,其中應用最多的就是。,授權管理基礎設施)的目標是向用戶和應用程序提供授權管理服務,提供用戶身份到應用授權的映射功能,提供與實際應用處理模式相對應的、與具體應用系統(tǒng)開發(fā)和管理無關的授權和訪問控制機制,簡化具體應用系統(tǒng)的開發(fā)與維護。是屬性證書()、屬性權威()、屬性證書體,用來實現(xiàn)權限和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等牛的集合理,即,兩者主要區(qū)別在于由資源的所有者來進行訪問控制。同公鑰基礎可以利用為其提型,它由以下產(chǎn)品組管理服務器:戶信息、認證和扌以資源管理為核心,對資源的訪問控制權統(tǒng)亠由授權機構證明用戶是誰,而證明這個用戶有什么權卩供身份認證。 單點登錄通用設計模型圖是統(tǒng)一用戶認證和單點登成:?體系:包括服務器、服口。服務器,它為系統(tǒng)管理員提供用模塊:為各應用系統(tǒng)提供接:包括代客戶端的請求,并轉發(fā)給服務器,如果轉發(fā)的是請求,則服務器將其轉發(fā)給服務器。在方式中,代理通常部署在客戶端。?開發(fā)與維護。是屬性證書()、屬性權威()、屬性證書體,用來實現(xiàn)權限和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等牛的集合理,即,兩者主要區(qū)別在于由資源的所有者來進行訪問控制。同公鑰基礎可以利用為其提型,它由以下產(chǎn)品組管理服務器:戶信息、認證和扌以資源管理為核心,對資源的訪問控制權統(tǒng)亠由授權機構證明用戶是誰,而證明這個用戶有什么權卩供身份認證。 單點登錄通用設計模型圖是統(tǒng)一用戶認證和單點登成:?體系:包括服務器、服口。服務器,它為系統(tǒng)管理員提供用模塊:為各應用系統(tǒng)提供接:包括代客戶端的請求,并轉發(fā)給服務器,如果轉發(fā)的是請求,則服務器將其轉發(fā)給服務器。在方式中,代理通常部署在客戶端。?:包括代理和服務器。代理部署在各應用系統(tǒng)的服務器端,負責截獲務器。代理部署在各應用系統(tǒng)的服務器端,負責截獲客戶端的請求,并轉發(fā)給服務器。服務器:統(tǒng)一存儲用戶信息、證書客戶端的請求,并轉發(fā)給服務器。服務器:統(tǒng)一存儲用戶信息、證書和授權信息。為判斷用戶是否已經(jīng)登錄系統(tǒng),服務器需要存儲一張用戶會話()表,以記錄用戶登錄和登出的時間,服務器通過檢索會話表就能夠知道用戶的登錄情況,該表通常存儲在數(shù)據(jù)庫中。系統(tǒng)提供了對會話的記錄、監(jiān)控和撤消等管理功能。為保證穩(wěn)定與高效,、和可部署兩套或多套應用,同時提供服

務。鏈接(,安全性斷言標記語言)是一種基于的框架,主要用于在各安全系統(tǒng)之間交換認證、授權和屬性信息,它的主要目標之一就是。在框架下,無論用戶使用哪種信任機制,只要滿足的接口、信息交互定義和流程規(guī)范,相互之間都可以無縫集成。規(guī)范的完整框架及有關信息交互格式與協(xié)議使得現(xiàn)有的各種身份鑒別機制(、和口令)、各種授權機制(基于屬性證書的、、的訪問控制)通過使用統(tǒng)一接口實現(xiàn)跨信任域的互操作,便于分布式應用系統(tǒng)的信任射

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論