基于WebServices单点登录系统的设计与实现信息化的进一步发展,使企业内部应用系统增多,用户访问这些系统时,需记住多个口令,多次登录,降低了工作效率.针对这个问题,提出了一种基于WebServices的单点登录系统.文中介绍了当前几种单点登录技术,利用WebServices技术实现了跨企业内部应用系统边界的单点登录.详细分析了内嵌于门户系统的单点登录机制.提供了安全的第三方接口,用户只需登录门户系统即可访问任何62CoueaNo906mptrEr.20基于WeeisbSrc单点登录系统的设计与实现★ve贾宗星.董丽丽(西安建筑科技大学信息与控制工程学院,陕西西安705)105摘要：信息化的进一步发展,企业内部应用系统增多,使用户访问这些系统时,需记住多个口令,多次登录,降低了工作效率.针对这个问题,提出了一种基于Weeve的单点登录系统.文中介绍了当前几种单点登录技术,利用WebSriscbSris术实现了跨企业内部应用系统边界的单点登录.细分析了内嵌于门户系统的单点登录机制,ec技ve详提供了安全的第三方接口,户只需登录门户系统即可访问任何一个授权应用系统的实现原理与方法.用关键词：单点登录；认证；Web服务；令牌O引言多,部署这些应用系统面临双重的安全挑战：,首先必须保证只有合法的用户才能访问相应的应用资源；其次,实施安全保护措施时应尽量避免增加用户的负担.因为随着业务系统的增加,问不同的应用系统采用不同的口令,访导致每个用户需要子身份标识,用户通过该电子身份标识去访问其它应用服务有一个中央用户数据库,易于对用户数据进行管理和信息的维护.主要缺点是需要修改原有应用,来适应所采用的认证机制,而对于旧系统的改造,是项艰巨的工作.()基于代理的方案(gn_aeS2AetBsdSO)这是一种软件实从而实现单点登录.BkrBsdSO方案的主要优点是oeaeS_随着信息化进一步发展,企业内新增的应用系统越来越器,记住多个口令,用户每访问一个应用资源都需要登录一次,大现方式,被称为“代理”的程序可以运行在客户端或者服务器上,gn部大降低了工作效率.针对这个问题,本文在基于We服务的分作为用户与应用服务器之问的通信中转站.若Aet署在客b它口令列表,自动替用户完成登录过布式环境中,利用AS.T技术设计实现了跨企业内部应用户端,能装载获得用户名/PNE系统边界的单点登录机制.该单点登录机制内嵌于门户系统,程,客户端程序的认证负担.若Aet减轻gn部署在服务器端,它就是服务器的认证系统和客户端认证方法之问的“”翻译.当软件供应商提供了大量的与原有应用程序通信的aet,gn时提供了安全的第三方接口,用于将后来开发的应用系统注册到门户系统,用户只需登录门户系统即可使用授权的其他应用系统的功能.AetadSO方案可使应用迁移变得十分容易.gnbsSe缺点是需要针对每个应用系统提供相对应的代理插件,实施和维护相对复杂,不仅要考虑用户的身份信息,还需增加各个代理本身的身份1当前几种单点登录技术所谓单点登录(igino,SnlSg—n以下简称SO)就是指当eS,因此管理控制相对困难.用户访问多个需要进行认证的应用系统时,只需要在初始进信息和设置各个代理软件的权限,()基于网关的方案(twyBsdSO)在网络入13Gaa_aeSe:1行一次登录和身份认证,可以访问其具有权限的任何系统,就处设置防火墙或专用加密通信设备作为网关,而资源则被隔离而不需要再次登录,后续系统会自动获得用户信息,从而识别首出用户身份.单点登录系统把原来分散的用户管理集中起来,在受信网段内.当用户需要访问网关后面的应用服务器时,各系统依靠相互信赖的关系进行用户身份的认证.由于用户的信息是集中保存和管理的,管理员只需在一个统一的用户信息数据库中添加、删除用户账号,不必在多个系统中分别设置用户信息数据库,从而提高了整个系统的安全性,也方便了系统管理.先需要通过网关连接的用户数据库进行认证,认证通过后网关自动将用户身份传递到要访问的目标应用服务器进行认证,经应用服务器认证通过后,用户通过网关对应用系统进行后续的访问.该方案对应用系统基本不做任何改变,只要配置和网关相互认证的模块即可,容易实现用户对应用系统的资料加密可目前单点登录技术主要分为以下几类:(1)基于经纪人的方案(rkrBsdSOBoeaeS)引入一个可_传输,实施和维护相对简单.缺点是对应用系统的身份认证和访问都需要经过网关,大用户量访问时,率降低.如