© 1994-2011 China Academic Journal Electronic Publishing House. All rights reserved.
第5期
茹惠素 :基于 H T TPS 协议的统一登录系统设计与实现
·529 ·
(7) 客户端将客户端签名与客户端证书 (公钥) 发送给服务器.
图 4 通讯流程图
Fig. 4 Procedure of co mmunicatio n
具体说明如下 :
系统 ,其应用也极为简便 ,只需在应用系统前 ,放置
(1) 从 H T TPS 服务端获取用户身份.
统一登录服务器即可 ,系统拓扑图如图 5 所示.
(2) 从数据库中获取用户应用列表形成 H T2
第 36 卷第 5 期 2008 年 10 月
浙江工业大学学报
J OU RNAL O F ZH EJ IAN G UN IV ERSIT Y O F TEC HNOLO GY
Vol. 36 No . 5 Oct . 2008
基于 H T TPS 协议的统一登录系统设计与实现
茹惠素
(浙江省信息化推进服务中心 ,浙江 杭州 310014)
摘要 :统一登录系统可以有效的解决政府企业门户网站中 ,所属各应用系统用户帐号密码各不相同
导致用户使用不便的问题 ,实现一次登录即可访问所有应用. 同时使用 H T TPS 协议可以实现身份
确认 、加密传输 ,确保了系统的安全可靠.
关键词 :统一登录 ; H T TPS ;设计
中图分类号 : TP311 文献标识码 :A
(责任编辑 :翁爱湘)
(上接第 513 页)
表 2 几种不同方案的比较 Table 2 Comparison of different design scheme
类别 本方案
MC33976 PIC16F630 MC9S12H64
使用飞思卡 飞思卡尔
描述
尔的 MC9S12 的步进电 控 制 器 , 无 机控制器 需其余器
H T TPS 是一个安全通信通道 ,它基于 H TTP 开发 ,用于在客户计算机和服务器之间交换信息. 它 使用安全套接字层 ( SSL ) 进行信息交换 ,简单来说 它是 H T TP 的安全版 ,它通过使用对称密码算法 、 CA 公私钥密码算法 ,摘要算法等 ,加密强度可达到 128 位或以上. 主要可以解决以下 3 个方面的关键问 题 :客户端对服务器的身份确认 、服务器对客户的身 份确认 、在服务器和客户之间建立安全的数据通道.
(8) 服务器用自己的私钥解密加密会话密钥得 出真正的会话密钥.
(9) 服务器通过会话密钥 、客户端签名 、客户端 公钥验证客户端身份.
(10) 客户端和服务器都拥有同样的会话密钥 ,
并且确认了对方的身份 ,双方使用这个会话密钥来 加密通讯内容.
(11) 安全通讯通道建立成功. 应用访问控制及映射流程 统一登录平台接收用户登录信息 ,并根据设置 , 改写 H T TP 头后转发到应用服务 ,并从应用服务收 到返回信息转发回用户. 流程如图 4 所示.
ML 页面返回用户 ,由用户选择.
(3) 用户选择应用.
(4) 获取映射地址 ,在 H T TP 头中写入用户的
用户名密码.
(5) 向应用服务器发送 H T TP 请求.
(6) 获取应用服务器 SESSON ID 和返回页面.
(7) 向用户发送 SESSON ID 和返回页面.
(8) 用户与应用服务器之间的通道建立完成.
Abstract : U nified sign system can effectively solve t he inco nsistent p ro blem amo ng t he user s’ acco unt s and passwords in different applicatio n systems in government and enterp rise portal which t he user s belo ng to . It makes users inco nvenient to access t he different portal wit h t he different acco unt s and passwords. This paper p resent s t he met hod to access all kinds of applicatio ns by a unified and single sign. At meantime , using t he H T TPS p rotocol s can achieve identificatio n , encrypted t ransmissio n to ensure t hat t he system safe and reliable.
2 HTTPS 协议简介
图 2 统一登录系统结构图
Fig. 2 Single sign2o n system
体系解决方案 ,是建立在网络传输层 TCP 协议之上 的安全协议标准 (工作在 Socket 网络通信层上) ,用 来在客户端和服务器之间建立安全的 TCP 连接. 使 用前要求在客户端安装用户 CA 证书 ,在服务器安 装服务器证书 ,具体流程如图 3 所示.
参考文献 :
[ 1 ] HAL EV I S. KRAWCZYK H. Public key cryptograp hy and2
password p rotocols[ C ] . Proceedings of 5t h ACM Conference on Computer and Communications Securit y ,1998. [ 2 ] BO T TIN G J . Securit y on t he internet : aut henticating t he user [ C] . Teleco mmunications ,1997. [ 3 ] ADAMS C , LLO YD S. 公开密钥基础设施 ———概念 、标准和 实施[ M ] . 北京 :人民邮电出版社 ,2001. [ 4 ] J ENN IFER G S , CL IFFORD N , J ERRF E Y I S. Kerbero s : an aut hentication service for open net work systems[ C] . Proceed2 ings of t he 1988 U SEN IX Winter Conference ,1988. [ 5 ] 冯登国 ,张阳 ,张玉清. 信息安全风险评估综述 [J ] . 通信学报 , 2004 ,25 (7) ;10218.
文章编号 :100624303 (2008) 0520527204
Design and implementation on unif ied sign System based on HTTPS
RU Hui2su
( Zhejiang Informatization p rop ul sion service cent re , Hangzhou 310014 ,China)
© 1994-2011 China Academic Journal Electronic Publishing House. All rights reserved.
·528 ·
浙江工业大学学报
第 36 卷
1 设计需求
统一登录系统设计需求包括以下要点 : ◆ 统一登录 :针对应用系统各不相同的用户名 和口令 ,用户只需登录一次 ,即可通过统一登录系统访 问所接入的多个应用系统 ,切换应用时 ,无需重新登录. ◆ 安装简便 :使用该统一登录系统后 ,所属各 应用系统无需修改源代码或只做简单修改. ◆ 接入简便 :当有新的应用系统需要接入统 一登录系统时 ,只需在统一登录系统的管理界面中 做简单设置即可实现. ◆ 安全可靠 :采用 CA 的公私钥技术和 H T2 TPS 技术来解决用户的身份认证 、安全传输等问题.
·530 ·
浙江工业大学学报
第 36 卷
便了用户的使用过程. 同时 ,各应用系统之间耦合度 低 ,各应用系统基本无需改造 ,可以做到系统实施过 程的安全平滑.
使用 H T TPS 通过统一登录服务器进入各应用 系 ,进行深层次开发还 可以实现各应用信息资源整合等功能. 除了在各门户 网站应用外 ,还可以用于政府 、企业的内部办事系统.
4 工作原理
4. 1 HTTPS 流程 H T TPS 采用了 SSL ( Secure Socket s Layer 安
全套接字层) ,是最为广泛使用的基于 P KI 的信任
图 3 H T TPS 流程图
Fig. 3 Procedure of H T TPS
具体说明如下 : (1) 客户端向服务器提出请求 ,发出 SSL 握手信号. (2) 服务器发出回应 ,并出示服务器证书 (公 钥) ,显示服务器站点身份. (3) 客户端验证服务器证书 ,并生成一个随机 的会话密钥 ,密钥长度达到 128 位. (4) 客户端用服务器的公钥加密该会话密钥 , 产生加密会话密钥. (5) 客户端对该会话密钥进行签名 ,产生客户端签名. (6) 客户端将加密会话密钥发送给服务器.
系统都需要登录一次 ,大大降低了工作效率 ,如图 1 所示. 因此笔者根据政府门户网站的网上办事系统 , 探讨如何设计一个安全的 、高效率的统一登录系统及 其实现的关键技术 ,来有效地解决以上问题.
图 1 原用户访问应用系统示意图
Fig. 1 U ser login sketch
收稿日期 :2008203205 作者简介 :茹惠素 (1961 —) ,女 ,浙江杭州人 ,高级工程师 ,硕士研究生 ,研究方向为网络安全.
4. 2 管理机制