引言
进入21世纪以来,世界进入到新经济时代,新技术的变化日新月异,而信息化成为全球经济发展的强大推动力。计算机网络和信息技术的迅速发展使得企业或政府部门拥有越来越多的信息化应用系统,如政府科研单位的门户网站网上办公平台,包括的系统有科研管理系统、科研申报系统、内部邮件管理系统、财务管理系统。各系统通常由不同的部门管理,并且由不同的单位开发,这样可能有不同的用户名和密码,即各系统使用不同的数据库,各系统使用不同的认证模式与体系,而随着业务的增加,业务系统的数量也会越来越多,用户需要记忆越来越多的用户名和密码。一个信息孤岛,如图1所示:
图1信息孤岛
这种现状不仅造成了用户因遗漏或忘记密码而带来损失,而且在进入每个系统都要重新登录一次密码,大大降低了工作效率.如图2所示:
图2各业务系统登录模式现状
根据现状,本文提出了一套解决该问题的关键技术,该技术探讨了如何设计一个安全并高效的统一登录系统及其实现的关键技术。本文主要介绍了统一单点登录系统的设计与实现原理。
1 HTTPS简介
HTTPS(全称:Hypertext Transfer Protocol over SecureSocket Layer),是以安全为目标的HTlP通道.简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI scherne(抽象标识符体系),句法类同hap:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
1.1 HTTPS与HTTP的区别
HTTPS与HTTP区别有很多,主要区别有以下四点。
1、HTTPS协议需要到ca申请证书,一般免费证书很少,需要交费。
2、HTTP是超文本传输协议,信息是明文传输,HTTPS则是具有安全性的SSL加密传输协议。
3、HTTP和HTTPS使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、HTTP的连接很简单.是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。
1.2 HTTPS的用途
1.2.1在信任主机上的应用
采用HTTPs的服务器必须从CA(certificate Authority)申请一个用于证明服务器用途类型的证书。该证书只有用于对应的服务器的时候,客户端才信任主机。所以目前所有的银行系统网站,关键部分应用都是https的。客户通过信任该证书,从而信任了该主机。其实这样做效率很低,但是银行更侧重安全。这一点对我们没有任何意义,我们的服务器,采用的证书不管是自己发布的还是从公众的地方发布的,其客户端都是自己人,所以我们也就肯定信任该服务器。
1.2.2对通信过程中的数据保护
一般意义上的HTTPS的原理就是每个服务器有一个自己独有的证书,主要目的保证服务器数据的安全性。服务器和客户端之间的所有通讯都是加密的,具体来讲.是客户端产生的一个对称的密钥,通过服务器的证书来交换密钥,即一般意义上的握手过程;接下来所有的信息往来都是加密,即使在某些条件下被截获,他没有这个密钥,也没有任何意义。在有一些类似银行、证券、支付宝等网上交易平台,也会要求客户端也装一个证书。这个证书就是类似表示个人信息的时候,除了用户名和密码,还有一个CA认证过的身份。
2系统总体设计
2.1系统设计需求
根据该系统的设计初衷,统一登录系统设计需求应该包括以下几个方面:
统一登录,对于用户拥有权限的一个或者多个应用系统,统一用户名和密码,对于多个应用系统来说,只需登录一次即可,切换应用系统时,不需要重复登录。例如用户张三同时拥有应用系统A、B、C和D,当输入用户名和密码进入到应用系统A,当再进入到应用系统B、C和D时,就不用再输入用户名和密码。
安装简单,该单点登录系统能与其他系统实现无缝连接,所属系统无需修改源代码或者修改少量简单代码。
接口存留,能预留接口为以后可能开发其他功能。
简单接入,当用户新拥有其他应用系统的权限时,单点登录系统能快速方便地接入新的应用系统。
安全可靠,采用CA的公私密钥技术和HTTPS技术来解决用户的身份认证、安全传输与角色制定等相关问题。
2.2系统的运行模式
信息系统运行模式大体上分为四种:主机终端模式、文件服务器模式、客户机朋臣务器模式(C/S)和浏览器/服务器模式(B/S),其中主机终端模式由于硬件投资巨大,现在已经较少使用:而文件服务器模式只适用小规模的局域网,在用户比较多、数据量大的情况下。就会产生网络瓶颈,特别是在互联网上不能满足用户要求。因此,现在大部分信息管理系统都使用C/S模式和B/S模式,本系统是B/S模式。系统总体结构图,如图3所示:
图3系统总体结构图
3 系统的实现
3.1系统实现
根据系统总体结构图,本系统实现原理是基于HTTPS协议以及其相关握手理论,使用脚本语言.本系统代码为<SCript type=”text/javascript”src=”http://localhost:7771/SSOSite/SSOContext aspx?app-=portal”></script>形式远程调用单点登录系统上的脚本,获取加密后的用户登录票据信息,自动绑定到当前页表单的相应字段,井自动提交到后台。后台解密前台提交的用户登录票据信息,判定用户是否已在单点登录系统上成功的登录,如果已登录返回系统首页,如果没有登录.跳转到单点登录系统登录页。使用DES加密用户登录票据信息,不同应用系统使用不同密钥。
基于WEB的HTTPS的会话使用SSL协议,而SSL协议在握手协商阶段会发送相关公钥证书,在本文中运用了相关算法把公钥修改为了自己私有的密钥,从而去迷惑客户端的用户。这个其中涉及到了一些类似中间人的攻击SSL会话,该会话过程的详细过程客户端如图4所示:
图4中间人攻击SSL会话
在本系统设计中,使用IIS6.0配置Web站点:在使用HTTPs创建安全站点时,需要使用计算机证书来验证身份,故在安装本系统之前时,需要安装一个证书。如图5所示
图5计算机CA认证证书
系统接受用户登录信息,并根据设置,改写HTTP头后转发到应用服务器,并从应用服务器收到返回信息转发回用户,流程图,如图6所示:
图6通讯流程图
系统的管理机制主要分为在接入管理、用户管理与应用管理3方面。
3.2系统应用
以下是一个应用的简单例子,人力资源管理系统和财务管理系统是两个独立的系统,需要各自输入用户名和密码才能进入到系统,应用单点登录系统之后只需要输一次用户名和密码即可,如图7和图8所示:
图7应用单点登录系统之前的登录模式
图8应用单点登录系统之后的登录模式
4 结论
本主的主要内容是基于HTTPS协议设计开发出了一套单点登录系统,该系统实现了单点登录与全网访问。在各应用管理系统修改少量代码后,系统能方便用户使用,可以真正做到系统实施过程的安全整合。在该单点登录系统的基础上还可以有一些深层次的开发,比如各管理系统的信息分析与相关数据共享等。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:HTTPS协议在单点登录系统的应用
相关文章
