平台安全技术及方案V1
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.2.1.
SSO的核心在于统一用户认证,登录、认证请求通过IDENTITY SERVER服务器完成,然后分发到相应应用。
2.2.2.
这里说的应用是指Sun Java System Access Manager的应用。成功应用例子很多,包括德国电信等公司的应用,国内也有大量高校在使用,也有相当多的其它行业的应用。
在Sun的新身份管理产品中,Sun Java System Access Manager是基中的一个重要组成部分,Java Access Manager基于J2EE架构,采用标准的API,可扩展性强,具有高可靠性和高可用性,应用是部署在Servlets容器中的,支持分布式,容易部署且有较低的TCO。通过使用集中验证点、其于角色的访问控制以及SSO,Sun Java System Access Manager为所有基于Web的应用程序提供了一个可伸缩的安全模型。它简化了信息交换和交易,同时能保护隐私及重要身份信息的安全。
这个代理程序需要设计有不同的功能。比如,它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理被放在服务器上面,在服务器的认证系统和客户端认证方法之间充当一个“翻译”。例如SSH等。
2.1.4.
被广泛使用的口令认证,比如FTP,邮件服务器的登录认证,是一种简单易用的方式,实现一个口令在多种应用当中使用。例如SecurID、WebID。
平台安全技术及方案
在WEB应用系统中,安全威胁可以来自于客户端、服务器端、网络传输。其中客户端用户名、密码是否复杂、是否中木马;服务器端是否存在安全漏洞、程序设计是否安全;网络传输用户名、密码是否明文。
1.
用户认证是多数系统的必须功能。用户认证包含了客户端、服务器、网络传输的各个环节。在认证过程中,能够体现出平台安全技术。
在多系统时,存在每个系统都需要认证的情况。
统一认证是解决单个系统、多个系统用户认证的技术方案。
2.
2.1.
2.1.1.
如果是基于两个域名之间传递sessionid的方法可能在windows中成立,在unix&linux中可能会出现问题;
可以基于数据库实现;在安全性方面可能会作更多的考虑。
另外,关于跨域问题,虽然cookies本身不跨域,但可以利用它实现跨域的SSO。
2.3.
CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。
Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务。
2.1.2.
有一个集中的认证和用户帐号管理的服务器。经纪人给被用于进一步请求的电子的身份存取。
中央数据库的使用减少了管理的代价,并为认证提供一个公共和独立的“第三方”。例如Kerberos、Sesame、IBM KryptoKnight(凭证库思想)等。
2.1.3.
有一个自动地为不同的应用程序认证用户身份的代理程序。
Sun的新身份管理产品包括Sun Java System Identity Manager、Sun Java System Directory Server Enterprise Edition和Sun Java System Access Manager,以上三者为Sun Java Identity Management Suite (身份识别管理套件)的组成部分,它们与Sun Java Application Platform Suite、Sun Java Availability Suite、Sun Java Communications Suite、Sun Java Web Infrastructure Suite组成Java ES。具有革新意义的这一系列产品提供端到端身份管理。
统一用户认证支持以下几种认证方式:
(1)匿名认证方式:用户不需要任何认证,可以匿名的方式登录系统。
(2)用户名/密码认证:基本的认证方式。
(3)PKI/CA数字证书认证:通过数字证书的方式认证用户的身份。
(4)IP地址认证:用户只能从指定的IHale Waihona Puke Baidu地址或者IP地址段访问系统。
2.1.5.
2.1.6.
SAML(Security Assertion Markup Language,安全断言标记语言)的出现大大简化了SSO,并被OASIS批准为SSO的执行标准。开源组织OpenSAML实现了SAML规范。
2.2.
SUN SSO技术是Sun Java System Access Manager产品中的一个组成部分。
(3)应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。
(4)应用系统非凡方法保留用户管理功能,如用户分组、用户授权等功能。
(5)UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。
统一用户认证是以UUMS为基础,对所有应用系统提供统一的认证方式和认证策略,以识别用户身份的合法性。
2.3.2.
CAS被设计成一个独立的Web应用。
3.
4.
统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成。
基本功能:
(1)用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。
(2)UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。
2.3.1.
(1)为多个Web应用提供单点登录基础设施,同时可以为非Web应用但拥有Web前端的功能服务提供单点登录的功能;
(2)简化应用认证用户身份的流程;
(3)将用户身份认证集中于单一的Web应用,让用户简化他们的密码管理,从而提高安全性;而且,当应用需要修改身份验证的业务逻辑时,不需要到处修改代码。
SSO的核心在于统一用户认证,登录、认证请求通过IDENTITY SERVER服务器完成,然后分发到相应应用。
2.2.2.
这里说的应用是指Sun Java System Access Manager的应用。成功应用例子很多,包括德国电信等公司的应用,国内也有大量高校在使用,也有相当多的其它行业的应用。
在Sun的新身份管理产品中,Sun Java System Access Manager是基中的一个重要组成部分,Java Access Manager基于J2EE架构,采用标准的API,可扩展性强,具有高可靠性和高可用性,应用是部署在Servlets容器中的,支持分布式,容易部署且有较低的TCO。通过使用集中验证点、其于角色的访问控制以及SSO,Sun Java System Access Manager为所有基于Web的应用程序提供了一个可伸缩的安全模型。它简化了信息交换和交易,同时能保护隐私及重要身份信息的安全。
这个代理程序需要设计有不同的功能。比如,它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理被放在服务器上面,在服务器的认证系统和客户端认证方法之间充当一个“翻译”。例如SSH等。
2.1.4.
被广泛使用的口令认证,比如FTP,邮件服务器的登录认证,是一种简单易用的方式,实现一个口令在多种应用当中使用。例如SecurID、WebID。
平台安全技术及方案
在WEB应用系统中,安全威胁可以来自于客户端、服务器端、网络传输。其中客户端用户名、密码是否复杂、是否中木马;服务器端是否存在安全漏洞、程序设计是否安全;网络传输用户名、密码是否明文。
1.
用户认证是多数系统的必须功能。用户认证包含了客户端、服务器、网络传输的各个环节。在认证过程中,能够体现出平台安全技术。
在多系统时,存在每个系统都需要认证的情况。
统一认证是解决单个系统、多个系统用户认证的技术方案。
2.
2.1.
2.1.1.
如果是基于两个域名之间传递sessionid的方法可能在windows中成立,在unix&linux中可能会出现问题;
可以基于数据库实现;在安全性方面可能会作更多的考虑。
另外,关于跨域问题,虽然cookies本身不跨域,但可以利用它实现跨域的SSO。
2.3.
CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。
Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务。
2.1.2.
有一个集中的认证和用户帐号管理的服务器。经纪人给被用于进一步请求的电子的身份存取。
中央数据库的使用减少了管理的代价,并为认证提供一个公共和独立的“第三方”。例如Kerberos、Sesame、IBM KryptoKnight(凭证库思想)等。
2.1.3.
有一个自动地为不同的应用程序认证用户身份的代理程序。
Sun的新身份管理产品包括Sun Java System Identity Manager、Sun Java System Directory Server Enterprise Edition和Sun Java System Access Manager,以上三者为Sun Java Identity Management Suite (身份识别管理套件)的组成部分,它们与Sun Java Application Platform Suite、Sun Java Availability Suite、Sun Java Communications Suite、Sun Java Web Infrastructure Suite组成Java ES。具有革新意义的这一系列产品提供端到端身份管理。
统一用户认证支持以下几种认证方式:
(1)匿名认证方式:用户不需要任何认证,可以匿名的方式登录系统。
(2)用户名/密码认证:基本的认证方式。
(3)PKI/CA数字证书认证:通过数字证书的方式认证用户的身份。
(4)IP地址认证:用户只能从指定的IHale Waihona Puke Baidu地址或者IP地址段访问系统。
2.1.5.
2.1.6.
SAML(Security Assertion Markup Language,安全断言标记语言)的出现大大简化了SSO,并被OASIS批准为SSO的执行标准。开源组织OpenSAML实现了SAML规范。
2.2.
SUN SSO技术是Sun Java System Access Manager产品中的一个组成部分。
(3)应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。
(4)应用系统非凡方法保留用户管理功能,如用户分组、用户授权等功能。
(5)UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。
统一用户认证是以UUMS为基础,对所有应用系统提供统一的认证方式和认证策略,以识别用户身份的合法性。
2.3.2.
CAS被设计成一个独立的Web应用。
3.
4.
统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成。
基本功能:
(1)用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。
(2)UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。
2.3.1.
(1)为多个Web应用提供单点登录基础设施,同时可以为非Web应用但拥有Web前端的功能服务提供单点登录的功能;
(2)简化应用认证用户身份的流程;
(3)将用户身份认证集中于单一的Web应用,让用户简化他们的密码管理,从而提高安全性;而且,当应用需要修改身份验证的业务逻辑时,不需要到处修改代码。