HTTPS協(xié)議在單點登錄系統(tǒng)的應(yīng)用

引言

    進入21世紀(jì)以來，世界進入到新經(jīng)濟時代，新技術(shù)的變化日新月異，而信息化成為全球經(jīng)濟發(fā)展的強大推動力。計算機網(wǎng)絡(luò)和信息技術(shù)的迅速發(fā)展使得企業(yè)或政府部門擁有越來越多的信息化應(yīng)用系統(tǒng)，如政府科研單位的門戶網(wǎng)站網(wǎng)上辦公平臺，包括的系統(tǒng)有科研管理系統(tǒng)、科研申報系統(tǒng)、內(nèi)部郵件管理系統(tǒng)、財務(wù)管理系統(tǒng)。各系統(tǒng)通常由不同的部門管理，并且由不同的單位開發(fā)，這樣可能有不同的用戶名和密碼，即各系統(tǒng)使用不同的數(shù)據(jù)庫，各系統(tǒng)使用不同的認(rèn)證模式與體系，而隨著業(yè)務(wù)的增加，業(yè)務(wù)系統(tǒng)的數(shù)量也會越來越多，用戶需要記憶越來越多的用戶名和密碼。一個信息孤島，如圖1所示：

圖1信息孤島

    這種現(xiàn)狀不僅造成了用戶因遺漏或忘記密碼而帶來損失，而且在進入每個系統(tǒng)都要重新登錄一次密碼，大大降低了工作效率．如圖2所示：

圖2各業(yè)務(wù)系統(tǒng)登錄模式現(xiàn)狀

    根據(jù)現(xiàn)狀，本文提出了一套解決該問題的關(guān)鍵技術(shù)，該技術(shù)探討了如何設(shè)計一個安全并高效的統(tǒng)一登錄系統(tǒng)及其實現(xiàn)的關(guān)鍵技術(shù)。本文主要介紹了統(tǒng)一單點登錄系統(tǒng)的設(shè)計與實現(xiàn)原理。

1 HTTPS簡介

    HTTPS(全稱：Hypertext Transfer Protocol over SecureSocket Layer)，是以安全為目標(biāo)的HTlP通道．簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。它是一個URI scherne(抽象標(biāo)識符體系)，句法類同hap：體系。用于安全的HTTP數(shù)據(jù)傳輸。https：URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個加密／身份驗證層(在HTTP與TCP之間)。這個系統(tǒng)的最初研發(fā)由網(wǎng)景公司進行，提供了身份驗證與加密通訊方法，現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付方面。

    1.1 HTTPS與HTTP的區(qū)別

    HTTPS與HTTP區(qū)別有很多，主要區(qū)別有以下四點。

    1、HTTPS協(xié)議需要到ca申請證書，一般免費證書很少，需要交費。

    2、HTTP是超文本傳輸協(xié)議，信息是明文傳輸，HTTPS則是具有安全性的SSL加密傳輸協(xié)議。

    3、HTTP和HTTPS使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

    4、HTTP的連接很簡單．是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比HTTP協(xié)議安全。

    1．2 HTTPS的用途

    1.2.1在信任主機上的應(yīng)用

    采用HTTPs的服務(wù)器必須從CA(certificate Authority)申請一個用于證明服務(wù)器用途類型的證書。該證書只有用于對應(yīng)的服務(wù)器的時候，客戶端才信任主機。所以目前所有的銀行系統(tǒng)網(wǎng)站，關(guān)鍵部分應(yīng)用都是https的。客戶通過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側(cè)重安全。這一點對我們沒有任何意義，我們的服務(wù)器，采用的證書不管是自己發(fā)布的還是從公眾的地方發(fā)布的，其客戶端都是自己人，所以我們也就肯定信任該服務(wù)器。

    1．2．2對通信過程中的數(shù)據(jù)保護

    一般意義上的HTTPS的原理就是每個服務(wù)器有一個自己獨有的證書，主要目的保證服務(wù)器數(shù)據(jù)的安全性。服務(wù)器和客戶端之間的所有通訊都是加密的，具體來講．是客戶端產(chǎn)生的一個對稱的密鑰，通過服務(wù)器的證書來交換密鑰，即一般意義上的握手過程；接下來所有的信息往來都是加密，即使在某些條件下被截獲，他沒有這個密鑰，也沒有任何意義。在有一些類似銀行、證券、支付寶等網(wǎng)上交易平臺，也會要求客戶端也裝一個證書。這個證書就是類似表示個人信息的時候，除了用戶名和密碼，還有一個CA認(rèn)證過的身份。

2系統(tǒng)總體設(shè)計

    2.1系統(tǒng)設(shè)計需求

    根據(jù)該系統(tǒng)的設(shè)計初衷，統(tǒng)一登錄系統(tǒng)設(shè)計需求應(yīng)該包括以下幾個方面：

    統(tǒng)一登錄，對于用戶擁有權(quán)限的一個或者多個應(yīng)用系統(tǒng)，統(tǒng)一用戶名和密碼，對于多個應(yīng)用系統(tǒng)來說，只需登錄一次即可，切換應(yīng)用系統(tǒng)時，不需要重復(fù)登錄。例如用戶張三同時擁有應(yīng)用系統(tǒng)A、B、C和D，當(dāng)輸入用戶名和密碼進入到應(yīng)用系統(tǒng)A，當(dāng)再進入到應(yīng)用系統(tǒng)B、C和D時，就不用再輸入用戶名和密碼。

    安裝簡單，該單點登錄系統(tǒng)能與其他系統(tǒng)實現(xiàn)無縫連接，所屬系統(tǒng)無需修改源代碼或者修改少量簡單代碼。

    接口存留，能預(yù)留接口為以后可能開發(fā)其他功能。

    簡單接入，當(dāng)用戶新?lián)碛衅渌麘?yīng)用系統(tǒng)的權(quán)限時，單點登錄系統(tǒng)能快速方便地接入新的應(yīng)用系統(tǒng)。

    安全可靠，采用CA的公私密鑰技術(shù)和HTTPS技術(shù)來解決用戶的身份認(rèn)證、安全傳輸與角色制定等相關(guān)問題。

    2．2系統(tǒng)的運行模式

    信息系統(tǒng)運行模式大體上分為四種：主機終端模式、文件服務(wù)器模式、客戶機朋臣務(wù)器模式(C／S)和瀏覽器／服務(wù)器模式(B／S)，其中主機終端模式由于硬件投資巨大，現(xiàn)在已經(jīng)較少使用：而文件服務(wù)器模式只適用小規(guī)模的局域網(wǎng)，在用戶比較多、數(shù)據(jù)量大的情況下。就會產(chǎn)生網(wǎng)絡(luò)瓶頸，特別是在互聯(lián)網(wǎng)上不能滿足用戶要求。因此，現(xiàn)在大部分信息管理系統(tǒng)都使用C／S模式和B／S模式，本系統(tǒng)是B／S模式。系統(tǒng)總體結(jié)構(gòu)圖，如圖3所示：

圖3系統(tǒng)總體結(jié)構(gòu)圖

3 系統(tǒng)的實現(xiàn)

    3.1系統(tǒng)實現(xiàn)

    根據(jù)系統(tǒng)總體結(jié)構(gòu)圖，本系統(tǒng)實現(xiàn)原理是基于HTTPS協(xié)議以及其相關(guān)握手理論，使用腳本語言．本系統(tǒng)代碼為<SCript type=”text／javascript”src=”http：／／localhost：7771／SSOSite／SSOContext aspx?app-=portal”><／script>形式遠(yuǎn)程調(diào)用單點登錄系統(tǒng)上的腳本，獲取加密后的用戶登錄票據(jù)信息，自動綁定到當(dāng)前頁表單的相應(yīng)字段，井自動提交到后臺。后臺解密前臺提交的用戶登錄票據(jù)信息，判定用戶是否已在單點登錄系統(tǒng)上成功的登錄，如果已登錄返回系統(tǒng)首頁，如果沒有登錄．跳轉(zhuǎn)到單點登錄系統(tǒng)登錄頁。使用DES加密用戶登錄票據(jù)信息，不同應(yīng)用系統(tǒng)使用不同密鑰。

    基于WEB的HTTPS的會話使用SSL協(xié)議，而SSL協(xié)議在握手協(xié)商階段會發(fā)送相關(guān)公鑰證書，在本文中運用了相關(guān)算法把公鑰修改為了自己私有的密鑰，從而去迷惑客戶端的用戶。這個其中涉及到了一些類似中間人的攻擊SSL會話，該會話過程的詳細(xì)過程客戶端如圖4所示：

圖4中間人攻擊SSL會話

    在本系統(tǒng)設(shè)計中，使用IIS6．0配置Web站點：在使用HTTPs創(chuàng)建安全站點時，需要使用計算機證書來驗證身份，故在安裝本系統(tǒng)之前時，需要安裝一個證書。如圖5所示

圖5計算機CA認(rèn)證證書

    系統(tǒng)接受用戶登錄信息，并根據(jù)設(shè)置，改寫HTTP頭后轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器，并從應(yīng)用服務(wù)器收到返回信息轉(zhuǎn)發(fā)回用戶，流程圖，如圖6所示：

圖6通訊流程圖

    系統(tǒng)的管理機制主要分為在接入管理、用戶管理與應(yīng)用管理3方面。

    3．2系統(tǒng)應(yīng)用

    以下是一個應(yīng)用的簡單例子，人力資源管理系統(tǒng)和財務(wù)管理系統(tǒng)是兩個獨立的系統(tǒng)，需要各自輸入用戶名和密碼才能進入到系統(tǒng)，應(yīng)用單點登錄系統(tǒng)之后只需要輸一次用戶名和密碼即可，如圖7和圖8所示：

圖7應(yīng)用單點登錄系統(tǒng)之前的登錄模式

圖8應(yīng)用單點登錄系統(tǒng)之后的登錄模式

4 結(jié)論

    本主的主要內(nèi)容是基于HTTPS協(xié)議設(shè)計開發(fā)出了一套單點登錄系統(tǒng)，該系統(tǒng)實現(xiàn)了單點登錄與全網(wǎng)訪問。在各應(yīng)用管理系統(tǒng)修改少量代碼后，系統(tǒng)能方便用戶使用，可以真正做到系統(tǒng)實施過程的安全整合。在該單點登錄系統(tǒng)的基礎(chǔ)上還可以有一些深層次的開發(fā)，比如各管理系統(tǒng)的信息分析與相關(guān)數(shù)據(jù)共享等。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：HTTPS協(xié)議在單點登錄系統(tǒng)的應(yīng)用

本文網(wǎng)址：http://m.hanmeixuan.com/html/support/1112158132.html