摘 要: 在基于Web的多種應用系統(tǒng)中需要統(tǒng)一身份認證和資源訪問控制機制,采用基于Cookie的單點登錄系統(tǒng)是一種很好的解決方案,它是一種基于HTTP重定向和票據(jù),并以跨域Cookie的共享為核心的集中式認證系統(tǒng)。
??? 關(guān)鍵詞: Cookie;單點登錄;跨域認證
?
隨著信息技術(shù)和網(wǎng)絡技術(shù)的發(fā)展,企業(yè)信息化建設已經(jīng)進入了快速發(fā)展的階段,隨著企業(yè)信息化過程的不斷深化,Web應用系統(tǒng)規(guī)模也不斷擴大。大量Web應用系統(tǒng)在辦公自動化中得到廣泛應用。每個應用系統(tǒng)出于安全因素考慮都建立了登錄模塊,用戶訪問不同的應用系統(tǒng)需要多次輸入用戶名和口令,使用非常不便,工作效率低下;而且眾多的用戶名和密碼增加了系統(tǒng)管理的負擔;用戶名和密碼的冗余存儲造成了資源浪費;另外用戶為了便于記憶常常會使用簡單口令或相同口令,頻繁的輸入也大大增加了口令被非法截獲和破解的幾率。這些都會降低Web應用系統(tǒng)的安全性。
如何實現(xiàn)方便快捷、管理輕松、成本低、安全性高的認證已經(jīng)成為當前企業(yè)Web應用中亟待解決的問題之一。建立一個跨平臺、跨應用的基礎性服務系統(tǒng),將企業(yè)中各個應用系統(tǒng)的身份認證獨立出來,進行集中統(tǒng)一管理,是解決上述問題行之有效的方法。每個用戶只需要一套用戶名和口令,進行一次身份驗證,就可以對所授權(quán)的所有信息系統(tǒng)進行無縫訪問。從而提高辦公效率、方便系統(tǒng)管理、降低使用成本、提升企業(yè)Web的整體安全。這種解決方案就是單點登錄SSO(Single Sign On),單點登錄在企業(yè)Web系統(tǒng)中的應用,對于推動網(wǎng)絡辦公自動化的普及和發(fā)展具有十分重要的作用。
1 Cookie概述
1.1? Cookie的定義及功能
Cookie是用戶在瀏覽網(wǎng)頁頁面時,服務器發(fā)送給瀏覽器的體積很小的純文本信息,它保存在客戶機的內(nèi)存中,或作為文件保存在客戶機的硬盤中,用戶以后訪問同一個Web服務器時瀏覽器會把它們原樣發(fā)送給服務器。通過讓服務器讀取它原先保存到客戶端的信息,網(wǎng)站能夠為瀏覽者提供一系列的方便。目前,Cookie已廣泛應用于Web應用中,如Microsoft的Passport 單點登錄服務就是借助于Cookie完成的。
1.2? Cookie的組成
Cookie由變量名和值組成。其屬性里既有標準的Cookie變量,也有用戶自己創(chuàng)建的變量,屬性中變量是用“變量=值”形式來保存。
Cookie的基本格式如下:
NAME=VALUE;expires=Date;Path=PATH;
Domain=DOMAIN_NAME;Secure
其中各項以“;”分開,首先是指定Cookie的名稱,并為其賦值。接下來分別是Cookie的有效期、URL路徑以及域名,在這幾項中,除了第一項以外,其它部分均為可選項。
(1)NAME=VALUE是每一個Cookie均必須有的部分。NAME是該Cookie的名稱,VALUE是該Cookie的值。在字符串“NAME=VALUE”中,不含分號、逗號和空格等字符。如NAME是role_cookie,其VALUE是manager。
(2)Expires=DATE:Expires變量是一個只寫變量,它確定了Cookie有效終止日期。該變量可省,如果缺省時,則Cookie的屬性值不會保存在用戶的硬盤中,而僅僅保存在內(nèi)存當中,Cookie文件將隨著瀏覽器的關(guān)閉而自動消失。
(3)Domain=DOMAIN_NAME:Domain是Cookie在其內(nèi)有效的主機或域名。Domain確定了哪些lnternet域中的Web服務器可讀取瀏覽器所存取的Cookie,即只有來自這個域的頁面才可以使用Cookie中的信息。這項設置是可選的,缺省時,設置Cookie的屬性值為該Web服務器的域名。
(4)Path=PATH:Path定義了Web服務器上哪些路徑下的頁面可獲取服務器設置的Cookie。該項設置同樣是可選的,如果缺省時,則Path的屬性值為Web服務器傳給瀏覽器的資源的路徑名。可以看出借助對Domain和Path兩個變最的設置,即可有效地控制Cookie文件被訪問的范圍。
(5)Secure:在Cookie中標記該變量,表明只有當瀏覽器和Web Server之間的通信協(xié)議為加密認證協(xié)議時,瀏覽器才向服務器提交相應的Cookie。當前這種協(xié)議只有一種,即為HTTPS。
1.3? Cookie的使用
有兩種方式使用Cookie,一是當用戶用瀏覽器首次訪問某Web站點(Web服務器)時,服務器端先用Set-Cookie header來創(chuàng)建一個Cookie,再用Response命令將Cookie寫入訪問者的計算機,此過程稱作創(chuàng)建Cookie;二是當用戶用瀏覽器再次訪問此Web站點時,用Request命令從訪問者的計算機中以忽略路徑的方式取回Cookie,此過程稱作讀取Cookie。
2?單點登錄的關(guān)鍵技術(shù)
2.1?單域單點登錄
單域單點登錄指只有一個服務實體域,所有屬于該域的服務實體都信任這個機構(gòu)所認證過的用戶,某一用戶在成功登錄單域中的任意一臺Web服務實體以后,繼續(xù)訪問同一服務實體不需要再次經(jīng)過認證,并且訪問同一域的其他Web服務實體,也不需要經(jīng)過認證。
采用Cookie技術(shù)解決SSO主要過程描述如下:
首先用戶通過客戶端瀏覽器,向應用服務器請求訪問和使用受保護的資源,應用服務器分析請求,檢查這個用戶是否有已經(jīng)創(chuàng)建好的有效的Cookie,其中包含有效的用戶SSO票據(jù)。如果沒有有效的Cookie,則應用服務器將用戶的Web瀏覽器重定向到登錄服務器。若驗證成功,登錄服務器產(chǎn)生一個有效的Cookie,其中包含有效的用戶SSO票據(jù)。為安全起見,一般要對此Cookie中的信息進行加密處理。登錄服務器將含有SSO票據(jù)的Cookie發(fā)送給用戶的Web瀏覽器,并將用戶的Web瀏覽器重定向到原先請求的資源,向應用服務器再次請求訪問和使用已申請的資源。驗證成功,則向用戶提供所請求的資源;若驗證不成功,則拒絕用戶訪問所請求的資源或提示用戶重新登錄。圖1顯示了單點登錄訪問流程。
2.2?跨域單點登錄
Cookie的存取只對同一域下的主機有效,分布式應用系統(tǒng)往往不能保證所有的主機都在同一域下。當用戶登錄加入SSO認證體系里的一臺服務器時,例如服務器A,客戶機瀏覽器可以將獲得的登錄用戶票據(jù)記錄到本地Cookie中,當此客戶機轉(zhuǎn)而訪問服務器B的時候,為了實現(xiàn)單點登錄,服務器B必須要獲得標識用戶登錄狀態(tài)的票據(jù)作為憑證來進行驗證,而此票據(jù)存儲于先前訪問服務器A時留下的Cookie,此Cookie只對來自服務器A域里的訪問有效,為獲取訪問其他域主機的Cookie,必需實現(xiàn)跨域共享Cookie。
假設處于不同域下的服務器A和服務器B聯(lián)合組成的網(wǎng)絡應用需要統(tǒng)一的用戶認證,客戶機曾在服務器A進行了訪問,并且在本地保存了服務器A的Cookie,圖2顯示了客戶機在訪問服務器B的時候共享服務器A的Cookie的過程。
共享網(wǎng)跨域單點登錄系統(tǒng)的登錄及認證過程涉及客戶機、數(shù)據(jù)中心和登錄認證中心(CA)三個角色之間的交互。采用Cookie技術(shù)解決跨域SSO主要過程描述如下:
(1)客戶機訪問某一數(shù)據(jù)中心網(wǎng)站的受保護資源,單點登錄模塊首先接管請求,查詢客戶機是否持有本數(shù)據(jù)中心的Cookie,并試圖獲取其中的訪問票據(jù)。如果客戶機可以提供,說明用戶曾經(jīng)以合法身份訪問過此數(shù)據(jù)中心,并且尚未在本地注銷,轉(zhuǎn)向(4);否則,要通過共享跨域的Cookie來確定是否進行全局登錄,進行(2)。
(2)這個步驟的主要工作是跨域獲取Cookie。客戶機瀏覽器被重定向到登錄認證中心,CA試圖獲取存儲于客戶機的Cookie,如果不存在,說明用戶尚未全局登錄,轉(zhuǎn)向(3);否則,從Cookie中獲取票據(jù)。然后CA將客戶機瀏覽器重定向回原先訪問的數(shù)據(jù)中心,數(shù)據(jù)中心獲取票據(jù)和返回地址,把票據(jù)寫入客戶端Cookie并跳轉(zhuǎn)到返回地址,然后進行(1)。
(3)重定向客戶機瀏覽器到CA上的登錄頁面,認證中心獲取登錄用戶名和密碼并將其與用戶信息庫信息核對,進行用戶身份確認。如果沒有這個用戶或密碼錯誤,直接返回登錄失??;如果驗證成功,隨機生成標識此用戶登錄的唯一票據(jù),并生成一個條目放入用戶信息庫中,并把票據(jù)存入客戶機的Cookie中。然后,通過跨域Cookie共享機制,把此票據(jù)轉(zhuǎn)入客戶機所訪問的數(shù)據(jù)中心,將臺寫到客戶機的Cookie中,用戶完成登錄,轉(zhuǎn)向(1)進行資源訪問。
(4)客戶機用票據(jù)來訪問認證中心的用戶狀態(tài)查詢服務,認證中心訪問用戶信息庫確定該用戶是否依然處于登錄狀態(tài)。如果處于登錄狀態(tài)則將用戶名和用戶的訪問級別返回數(shù)據(jù)中心,允許用戶訪問數(shù)據(jù)資源。否則,然后轉(zhuǎn)向(3),提示用戶輸入用戶名和密碼。
在本方案的整個流程中,除了最初輸入的用戶名和密碼外,其他所傳輸?shù)亩际瞧睋?jù),最后客戶機拿此票據(jù)獲取登錄用戶的用戶名,從而結(jié)束認證過程。
3 安全性分析
????? 保存有用戶SSO票據(jù)的Cookie需要在客戶端和服務器端來回傳遞,而一般情況下,在傳輸信道中Cookie是以明文形式傳輸?shù)?,本身也不能提供完整性等安全驗證機制,而且它在客戶端也是明文存儲的,因此存在較大的安全隱患。因此,在認證系統(tǒng)中,需要有相應的安全措施,來保護Cookie的安全性。
(1)重放攻擊。在本方案中每個Cookie均由產(chǎn)生者加上唯一的ID域和時間戳域,可以抵御重放攻擊。
(2)消息篡改。因為Cookie存放在客戶端瀏覽器中,雖然Cookie技術(shù)本身具備防止非授權(quán)服務器端篡改的手段,但是目前也發(fā)現(xiàn)可以通過偽造DNS域名來進行篡改。在本方案中,每個發(fā)布的Cookie均由發(fā)布者進行數(shù)字簽名,各模塊在使用這些Cookie時,首先簽證數(shù)字簽名的值是否正確,如果數(shù)字簽名值為非法,那么拒絕該Cookie。這樣就可以完全杜絕Cookie被篡改的情況發(fā)生。
(3)竊聽及中間人攻擊。這種攻擊是指認證過程的信息被他人查看,進而進行分析,最后將自己的數(shù)據(jù)替代原始數(shù)據(jù)。只要防止Cookie被其他人隨意查看和分析,即可抵御該種攻擊??梢栽诒痉桨钢幸朊荑€的分配和管理系統(tǒng),對系統(tǒng)中的各模塊分配密鑰和定時更新密鑰。在認證過程中,對各種Cookie中的關(guān)鍵域值進行對稱加密,防止中間人讀取有效的數(shù)據(jù)。
企業(yè)單點登錄方案將企業(yè)內(nèi)部相對獨立分散的網(wǎng)絡應用系統(tǒng)進一步得到了統(tǒng)一,消除了企業(yè)信息化孤島和數(shù)據(jù)冗余等問題,有效地實現(xiàn)了數(shù)據(jù)共享,使一個用戶只要驗證一次即可訪問多個應用系統(tǒng),解決了困擾單位內(nèi)部不同部門應用系統(tǒng)重復登錄和反復認證的難題,整個過程對于用戶來說是透明的,不需要改變原有的業(yè)務流程。這樣既方便了用戶使用,又提高了網(wǎng)絡辦公的工作效率。當然,Cookie的使用需要注意安全問題,要采用相應的安全技術(shù)。
參考文獻
[1] 陳旭暉,林世平,莊世芳,等.基于Web服務的單點登錄系統(tǒng).福建電腦,2006,3.
[2] 孫雷.基于網(wǎng)格的Web Services技術(shù)分析及單點登錄問題探討[J].中國科技信息,2005.
[3] 邱航,權(quán)勇.基于Kerberos的單點登錄系統(tǒng)研究與設計[J].計算機應用.