苏星晔　徐方南

【摘 要】 随着企业信息化的不断发展，企业应用系统越来越趋于多样化和复杂化，用户对服务质量的要求也越来越高，统一身份认技术已成为各系统必不可少的一部分。本文通过对统一身份认技术中的单点登录的相关技术进行研究，梳理了实现单点登录的主要方式。

【关键词】 统一身份认证 单点登录

一、前言

随着信息网络技术的发展，许多企业都建立了大量的应用系统。由于每个应用系统都有各自的登录界面和安全策略，用户都需要单独进行注册后才能登录。于是，用户需要记忆与不同系统对应的用户名和密码来进行身份认证，这无疑增加了出错的可能性及操作的复杂度。

因此，提出了统一身份认证的概念，即将不同的认证方式进行整合和统一，在多个应用系统中，用户只需要认证身份一次，认证后就可以访问具有相应权限的其他应用系统，从而实现单点登录和统一身份认证。

二、单点登录的实现方式

2.1基于cookie的方式

Cookie是Web服务器通过HTTP响应在客户端浏览器中保存的信息，可以包含任何内容，但通常包含用户会话状态信息。目前，cookie已广泛应用于Web中，如Microsoft的Passport单点登录服务就是借助于cookie记录来完成的。例如在同一个应用系统中，用户在访问页面A时进行了登录，Web服务器会设置一个cookie，并将这个cookie和页面A一起返回给用户的浏览器，浏览器接收cookie后，就会保存起来。

当用户再次访问页面B时，Web服务器接收到请求可以读取出用户的cookie的值，根据cookie的值内容就可以获得用户的状态信息，从而判断出用户是否能够访问页面B。

2.2基于票据的方式

美国麻省理工学院于1993年推出了基于票据的单点登录认证协议kerberos，该协议的特点就是，有一个管理用户帐号的票据认证服务器，票据认证服务器扮演着经纪人的角色，所有的认证都是由它完成，并在成功认证操作之后生成的票据。

客户端在访问系统资源之前向票据认证服务器进行身份认证，当用户通过身份认证后，票据认证服务器为用户产生一张认证票据，并返回给用户，用户可以凭借这张认证票据来访问所有授权的应用服务器。

2.3基于代理的方式

基于代理agent的单点登录方法，通过在统一认证服务器部署一个进行代理认证的“代理”程序，当客户端向应用服务器发送登录请求时，自动地为不同的应用程序认证用户身份，它可以使用口令表或加密密钥来自动地将认证的负担从用户移开，从而，统一认证服务器充当了服务器的认证系统和客户端认证方法之间的“翻译”。

2.4基于网关的方式

基于安全网关的单点登录，就是采用一个实现安全控制功能的Web反向代理作为用户访问部署在其后面的不同信息系统，应用系统的关卡（即网关），只有在安全网关完成身份鉴别的用户才能通过安全网关访问部署在其后面的系统。客户端在通过网关认证后获得访问服务的权限，在访问内网其它网站时，将不再需要重新输入用户名和密码，由网关代替用户填写内部网站的用户名和密码，向内部网站提交认证信息，并将认证通过后网站返回的用户登录成功的Web页面转发给远程用户。该项技术也称 “二次填表”，以代理网关为中心，要求对所有应用系统的身份认证和访问都必须通过代理网关实现单点登录，容易造成代理网关的效率问题甚至导致整个系统的瘫痪。

2.5基于SAML安全断言标记语言的方式

目前主要有C/S架构系统与B/S架构系统用于实现单点登录，C/S架构系统与B/S架构系统采用不同的平台、不同的信息交互模式、而且业界厂商实现SSO方式多样，存在各种使用场景的限制，难以兼容，因此很难实现统一的单点登录功能。

而在互联网的情境中，用户期望这样的能力，即从与一个域上的应用的交互跳转到与另一域上的另一应用的交互，而极少关心每一特定域间的信息屏障。

在利用SAML進行单点登录的方式中，统一身份认证服务器采用SAML安全断言标记语言作为会话令牌，会话令牌中包括的用户凭证通常由统一身份认证服务器进行数字签名，这样收到此会话令牌的网络站点可以确认会话令牌发行者的身份，通过会话令牌就可以判断认证断言，从而认证了用户端的用户身份信息。

此后，用户再次请求登录其他网站时，只需向其他网站出示会话令牌即可。

三、结语

根据上述对实现单点登录各种方式的分析，可以看到各方式的优缺点，具体如何选择实现方式应结合具体工作的实际情况，确保统一身份认证系统的安全性、可靠性和高效性。

参 考 文 献

[1]淡艳，尹谦，单点登录系统模型分析，成都大学学报（自然科学报），2008年第2期：123-126.