红豆天之咒印:SSO技术总结

   目前的企业应用环境中，往往有很多的应用系统，如办公自动化（OA）系统，财务管理系统，档案管理系统，信息查询系统等等。这些应用系统服务于企业的信息化建设，为企业带来了很好的效益。但是，用户在使用这些应用系统时，并不方便。用户每次使用系统，都必须输入用户名称和用户密码，进行身份验证；而且，应用系统不同，用户账号就不同，用户必须同时牢记多套用户名称和用户密码。特别是对于应用系统数目较多，用户数目也很多的企业，这个问题尤为突出。问题的原因并不是系统开发出现失误，而是缺少整体规划，缺乏统一的用户登录平台。
   使用SSO技术可以解决以上这些问题，SSO是身份管理中的一部分，关于安全与身份管理软件市场，可参考：http://www.blogjava.net/ablix/archive/2005/12/28/25804.html

使用SSO的好处

   使用SSO的好处主要有：

      (1)方便用户

   用户使用应用系统时，能够一次登录，多次使用。用户不再需要每次输入用户名称和用户密码，也不需要牢记多套用户名称和用户密码。单点登录平台能够改善用户使用应用系统的体验。

      (2)方便管理员

   系统管理员只需要维护一套统一的用户账号，方便、简单。相比之下，系统管理员以前需要管理很多套的用户账号。每一个应用系统就有一套用户账号，不仅给管理上带来不方便，而且，也容易出现管理漏洞。

      (3)简化应用系统开发

   开发新的应用系统时，可以直接使用单点登录平台的用户认证服务，简化开发流程。单点登录平台通过提供统一的认证平台，实现单点登录。因此，应用系统并不需要开发用户认证程序。

SSO实现技术

   实现SSO的技术主要有：

      (1)基于cookies实现，需要注意如下几点：如果是基于两个域名之间传递sessionid的方法可能在windows中成立，在unix&linux中可能会出现问题；可以基于数据库实现；在安全性方面可能会作更多的考虑。另外，关于跨域问题，虽然cookies本身不跨域，但可以利用它实现跨域的SSO。

      (2)Broker-based(基于经纪人)，例如Kerberos等；

   这种技术的特点就是，有一个集中的认证和用户帐号管理的服务器。经纪人给被用于进一步请求的电子的身份存取。中央数据库的使用减少了管理的代价，并为认证提供一个公共和独立的"第三方"。例如Kerberos、Sesame、IBM KryptoKnight（凭证库思想）等。

      (3)Agent-based(基于代理人)

   在这种解决方案中，有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序需要设计有不同的功能。比如, 它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理人被放在服务器上面，在服务器的认证系统和客户端认证方法之间充当一个"翻译"。例如SSH等。

      (4)Token-based，例如SecurID、WebID、

   现在被广泛使用的口令认证，比如FTP，邮件服务器的登录认证，这是一种简单易用的方式，实现一个口令在多种应用当中使用。

      (5)基于网关

      Agent and Broker-based，这里不作介绍。

      (6)基于安全断言标记语言(SAML)实现，SAML（Security Assertion Markup Language，安全断言标记语言）的出现大大简化了SSO，并被OASIS批准为SSO的执行标准。开源组织OpenSAML 实现了 SAML 规范，可参考http://www.opensaml.org

SUN  SSO技术
      SUN SSO技术是Sun Java System Access Manager产品中的一个组成部分。
      Sun 的新身份管理产品包括Sun Java System Identity Manager、Sun Java System Directory Server Enterprise Edition 和 Sun Java System Access Manager，以上三者为Sun Java Identity Management Suite (身份识别管理套件)的组成部分，它们与Sun Java Application Platform Suite、Sun Java Availability Suite、Sun Java Communications Suite、Sun Java Web Infrastructure Suite组成Java ES。具有革新意义的这一系列产品提供端到端身份管理，同时可与 60 多种第三方资源和技术实现互操作，集成产品可以从SUN公司网站下载，一般以Agent软件方式提供，是业内集成程序最高、最为开放的身份管理解决方案之一。
   在Sun 的新身份管理产品中，Sun Java System Access Manager是基中的一个重要组成部分，Java Access Manager基于J2EE架构，采用标准的API，可扩展性强，具有高可靠性和高可用性，应用是部署在Servlets容器中的，支持分布式，容易部署且有较低的TCO。通过使用集中验证点、其于角色的访问控制以及 SSO，Sun Java System Access Manager 为所有基于 Web 的应用程序提供了一个可伸缩的安全模型。它简化了信息交换和交易，同时能保护隐私及重要身份信息的安全。

SUN SSO实现原理

      SSO的核心在于统一用户认证，登录、认证请求通过IDENTITY SERVER服务器完成，然后分发到相应应用。

      SUN SSO是java Access Manager的一个组成部分，SSO基于Cookie实现解释如下：

      (1)Policy Agent on Web or Application Server intercepts resource requests and enforces access control;

      (2)Client is issued SSO token containing information for session Validation with Session service.

      (3)SSO token has no content- just a long random string used as a handle.

      (4)Web-based applications use browser session cookies or URL rewriting to issue SSO token.

      (5)Non Web applications use the SSO API(Java/c) to obtain the SSO token to validate the users identity.

SUN SSO 的应用

   这里说的应用是指Sun Java System Access Manager的应用。成功应用例子很多，包括德国电信等公司的应用，国内也有大量高校在使用，也有相当多的其它行业的应用。

SUN SSO的开源
      Sun 将发布其网络验证与网络单点登录技术，给一项新的开放源代码计划“Open Web Single Sign-On”（Open SSO）。OpenSSO网站位于：https://opensso.dev.java.net/。该网站对OpenSSO的概述为：This project is based on the code base of Sun Java(tm) System Access Manager Product, a core identity infrastructure product offered by Sun Microsystems.

      OpenSSO 计划的第一部份源代码，将于今年年底完成，基本的版本将于明年3月份发布，而完整的版本可能要等到明年五月份。Sun 采用与Solaris 操作系统相同的共同开发暨流通授权（Common Development and Distribution License）方式。

CAS背景介绍

      CAS（Central Authentication Service），是耶鲁大学开发的单点登录系统（SSO，single sign-on），应用广泛，具有独立于平台的，易于理解，支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。

      Spring Framework的Acegi安全系统支持CAS，并提供了易于使用的方案。Acegi安全系统，是一个用于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务，包括使用Bean Context，拦截器和面向接口的编程方式。因此，Acegi安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广泛的应用，有着良好的社区环境。

CAS的设计目标

      (1)为多个Web应用提供单点登录基础设施，同时可以为非Web应用但拥有Web前端的功能服务提供单点登录的功能；

      (2)简化应用认证用户身份的流程；

      (3)将用户身份认证集中于单一的Web应用，让用户简化他们的密码管理，从而提高安全性；而且，当应用需要修改身份验证的业务逻辑时，不需要到处修改代码。

CAS的实现原理

      CAS（Central Authentication Server）被设计成一个独立的Web应用。实现原理非常简单，CAS Server2.0.12的实现只有30个类，除了JDK本身外，只使用到一个servlet.jar包。它目前的实现是运行在HTTPS服务器的几个Java Servlet上（而客户端可以灵活采用http和https的方式）。
   通过CAS2.0.12认证的序列图如下图(因图片显示问题，暂时去除)。

CAS在应用中的运行硬件环境
      University of Delaware: Sun Fire 280R/ 2x750 MHz/ 4 GB memory/ 550.3 GB disk storage
      University of Hawaii: a single Sun Netra X1 (UltraSPARC-IIe 500MHz) with 1.0GB RAM dedicated to running CAS. 2.
CAS2.0.12中关于ticket的生成

      CAS创建一个位数很长的随机数（ticket）。CAS把这个ticket和成功登录的用户以及用户要访问的service联系起来。例如，如果用户peon重定向自service S，CAS创建ticket T，这个ticket T允许peon访问service S。这个ticket是个一次性的凭证；它仅仅用于peon和仅仅用于service S，并且只能使用一次，使用之后马上会过期，即ticket通过验证，CAS立即删除该ticket，使它以后不能再使用。这样可以保证其安全性。

   关于ST，在取一个ST时，即使用deleteTicket(ticketId)同时将一次性的ST删除；而对于TGT或PT，则通过resetTimer(ticketId)以更新TGT或PT的时间。在CAS服务端返回的ST中只能得出用户名。
      另外，CAS3.0版本也已经发布了，现在最新的版本是3.03，希望CAS3.0在向下兼容的同时，更能向我们提供一些新东西。