《毕业设计(论文)计算机网络管理与分析.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)计算机网络管理与分析.doc(16页珍藏版)》请在三一办公上搜索。
1、哈尔滨远东理工学院学士学位论文 题 目: 计算机网络管理与分析 姓 名: 分院: 机器人科学与技术学院 专业: 计算机网络技术 学 号: 指导教师: 二一五 年 六 月 二十五 日哈尔滨远东理工学院毕业设计任务书学生姓名分院专业、班级指导教师姓名职称从事专业是否外聘是否题目名称一、设计目的、意义 二、设计内容、技术要求三、设计完成后应提交的成果四、设计进度安排五、主要参考资料六、备注指导教师签字:年 月 日教研室主任签字: 年 月 日摘要随着信息化建设的推进,企业在网络环境中拥有越来越多的应用系统。系统具有各自独立的用户与认证,给管理和维护带来了很大不便,也存在着很多的安全隐患。新系统开发和应
2、用同样要面对这些问题,因此,利用单点登录技术解决大量应用系统的用户管理和认证层的整合问题是本文要关注的重点。本文以单点登录技术和SAML为基础,通过设计和实现统一认证系统,使用户只需要登录一次就可以访问所有相互信任的相关应用系统,在提高了用户体验和安全性的同时,降低了管理成本,也利于未来新系统的开发和整个应用系统环境的搭建。本论文对统一认证系统需要的功能点进行了分析和调研,以ORACLE数据库作为用户信息储存的平台,使用基于SAML的单点登录架构支撑统一认证方法,依据基于用户信息登录时获取与更新的设计,实现了用户授权方案,并描述了该统一认证系统的整体架构和层次架构,对统一认证模块和统一认证接口
3、的详细设计和具体实现进行了介绍。最后对统一认证系统的功能界面运行进行了简单的介绍。关键词:单点登录、SSO、统一认证、SAMLAbstractAlong with the advancement of informatization construction, enterprises have more and more applications in the network environment. System has a separate user and certification, brought great inconvenience to the management and m
4、aintenance, there are a lot of potential safety problems. Also faces new system development and application of these problems, therefore, to use single sign-on technology to solve a large number of layers of user management and certification of application system integration problem is to focus in t
5、his paper. In this paper, based on the single sign-on technology and SAML, through the design and implement unified authentication system, users only need to log in once you can access all relevant application system of mutual trust, to improve the user experience and security at the same time, redu
6、ce the management cost, also conducive to future development and the application of the new system construction of the system environment. This paper on the unified authentication system requires the function point analysis and investigation, user information is stored in the ORACLE database platfor
7、m, using the single sign-on architecture based on SAML support unification authentication method, based on information based on user login access and update the design, realize the user authorization scheme, and describes the overall architecture of the unified authentication system and hierarchical
8、 structure, the unified authentication module and the detailed design of the interface and implementation are introduced. Finally, the function of the unified authentication system interface operation has carried on the simple introduction. Key words: single sign-on, SSO, unified authentication, SAM
9、L 目录摘要IAbstractII第一章 绪 论11.1 课题背景11.2技术背景2第二章 需求分析32.1管理端功能32.1.1用户管理32.1.2授权管理32.2对外服务接口42.2.1用户管理接口42.2.2认证接口42.3系统整合4第三章 系统实现53.1实现技术53.2服务接口实现53.2.1用户管理接口的实现53.2.2认证接口的实现63.2.3 SAML接口的实现63.3系统代码实现7结 论8致 谢9参考文献10第一章 绪 论1.1 课题背景随着网络技术的发展、数字资源的日益丰富,各个机构和企业往往面临这样的需求:多种用户类型,诸如员工、客户、合作伙伴的用户需要安全的访问分布在异
10、构系统、不同网络和安全域中的多个数字资源,异构系统和资源的整合迫切需要完善的联合认证协议和认证机制的支持。在Internet时代,在网络上进行商业往来和企业信息维护已经逐渐变成商业销售的主要方式了,用户可以通过点击Web页面来使用企业提供的各种服务。而通常企业所发布的Web站点都必须通过特定的身份认证模式来标识用户,以区别对待不同类型的用户。例如,对某些特定资源的访问是需要用户输入用户名、密码的。它确定了用户访问资源的方式。身份认证信息可能在以后的事务中重用。它对于跟踪标识信息可能会很有用,即便对于不需要任何特殊身份验证的非敏感服务也是如此,因为统计数字对于指导将来的系统增强可能很有用处。现有
11、的网络服务可以对特定的站点提供有效而严格的访问控制,但是他们仍然是从单一的企业结构角度来构建原始的管理控制架构。而企业内部与外部网络的结合使得网络结构越来越复杂,用户身份也就越来越复杂。也就是说,一个企业网中可以包含许多不同类型的应用服务,它们分别实施独立的用户管理,而用户在使用这些服务的时候也要通过不同的身份认证过程。所以,在实施访问控制的同时减少用户管理开销是企业信息化面临的重要问题。随着网络应用服务的不断发展,用户对服务的访问量不断增加,用户不得不为他们所注册的企业应用环境中的网络服务管理一系列的认证信息。这些认证信息一般都由一个用户名、密码对组成,于是对大多数的站点访问的保护性就归结为
12、一个简单的密码。为了避免被一个不可信任的站点利用这些认证信息去访问另一个站点,最简单的方法就是使用不同的密码。而随着系统和网络应用服务数量的不断增加,密码的数量也不断膨胀。于是用户所要管理的密码列表就变得冗长而不方便。另一方面,对于应用服务来说,对用户的身份认证和授权都是必不可少的,这就影响了系统的性能以及增加了安全管理方面的开销。最后一点也是很重要的一点,从安全性能方面来说,重复的、低效的、不安全的服务登录过程导致侵害安全策略、削弱安全体系。因此,传统的安全机制在这个复杂的企业级应用环境中已经满足不了要求,系统实施应该选择可以和更大的安全基础设施结合的身份认证和访问控制机制。为了简化企业在动
13、态变化的网络环境下的用户管理,提高系统的安全性能,人们致力于为用户身份管理发展新的协议。1.2技术背景单点登录(Single Sign-On),SSO概念的提出,是企业信息化不断深化以及网络应用不断推广的必然结果。所谓单点登陆,顾名思义,就是用户在一个登陆点进行身份验证后,便可以根据该身份对一组与该登陆点相关的应用进行访问。也就是“一次登录,多次访问”。随着企业应用的增多,用户需求的增加,多类别用户需要访问丰富的应用系统或资源成为必然的趋势,于是用户需要记住多组不同的用户名和用户密码对来完成简单的业务流程,这样的现状降低了企业运作质量,还增加了维护用户身份的工作量和复杂度,成为各企业急待解决的
14、现实问题。问题的原因并不是系统开发出现失误,而是缺少整体规划,缺乏统一的用户认证平台。第二章 需求分析2.1管理端功能2.1.1用户管理用户管理主要完成对用户注册信息的搜索和管理,提供对统一认证系统中相关验证实体的操作。用户是统一认证系统的核心,也是认证以及授权的最终对象。用户管理模块主要实现对用户的注册、删除、更新的操作。以及可以按照不同的需要,来定义用户的属性字段,可以设定用户的过期时间、帐户状态(活动或者非活动)、根据一定规则来显示、查找用户。允许管理员更新用户的信息,同时用户也可以自助更新自己的信息。 用户注册,默认用户注册后状态是非活动的,必须要管理员手工把它启动才可以。 用户信息修
15、改 用户删除。 用户启用或者禁用。2.1.2授权管理授权管理功能模块主要完成用户认证授权过程,以及实现单点登录服务,实现跨域单点登录服务,实现用户的会话管理等。实现提供用户在多个应用系统中漫游时的单点登录功能,给应用系统代理提供根据用户登录之后的SSOToken来维护用户在多个应用系统之间的授权、验证信息。并且根据需要延长用户的会话时间、更新用户的会话信息,维护用户访问状态等。用户登录统一认证之后,会和认证服务器中心建立了一个会话,以后所有的通信基础都是基于这个会话来的,服务器也是根据这个会话来确定用户身份,维持用户数据状态。为了防止合法用户在操作过程中临时离开或操作时间过长,防止合法用户的不
16、正常使用或非法用户对应用系统的使用,以适应有的应用系统对授权用户在认证通过后有超时限制的要求机制,设计用户超时认证。即当授权用户认证通过后,在一定时间范围内(该时间段是可以根据应用系统的安全级别自行定义)未对服务器作任何操作时,超时后系统将用户重新认证。系统有一个初始会话过期时间,根据用户的访问,可能需要不断更新这个时间。2.2对外服务接口2.2.1用户管理接口统一认证系统向各个信息系统提供关于用户认证、用户信息管理的接口。这些接口包括:用户注册,用户信息修改,用户密码获取,用户ID校验。接口从功能上可以分为两类:(1)用户信息管理接口:用户注册接口,用户信息修改接口,用户密码获取接口(2)用
17、户信息校验接口:用户ID校验接口。接口的格式类型:现在只提供HTTP类型;接口的请求与响应通过HTTP协议传输,返回的信息为xml格式。2.2.2认证接口认证服务接口是认证中心给外部系统(主要是应用系统代理Agent)提供的各种认证服务。认证服务器接口后台主要完成认证SAML请求的各种封装、加密等处理。以SAML的格式通过认证代理Agent来向被认证的应用系统提供安全的、统一的用户授权信息的交换。2.3系统整合统一认证与用户管理系统可以为一个或多个应用系统提供认证服务,在这些系统之间实现单点登录(SSO)。用于实现跨系统之间的单点登录和统一用户管理的支撑系统。一个应用系统如果需要与统一认证系统
18、集成,实现由统一认证系统来代替或增强其原有的认证,必须对该应用系统进行直接或间接的改造,从而可以将其加入到统一认证体系来。第三章 系统实现3.1实现技术为使统一认证系统具有良好的开放性、互操作性、扩展性和伸缩性,在软件开发实现过程中采取了以下技术手段:n 采用Java JATO标签库来支持页面显示n 采用MVC模式实现界面显示层、控制处理层、数据访问层三层结构;n 利用ORACLE数据库实现数据的存取访问n 采用JAVA线程支持多用户并发访问9;n 所有配置信息采用XML格式,方便多个系统之间交换格式n 采用SAML规范,实现基于xml的安全信息的交换,用以在不同的安全域中传输身份验证和授权凭
19、证n 完整地实现了Single Sign On,能够对各种类型的Web Application(ASP,Java Servlet,JSP等),WebServer(Apache,IIS,Domino),以及各种Java Application Server(WebLogic,WebSphere,Sun Application Server),通过SSO Agent实现Single Sign On场景10n 应用程序代理Agent技术实现不同应用系统的整合n 支持OASIS SAML v1.1标准3.2服务接口实现3.2.1用户管理接口的实现用户注册接口接口功能:增加统一认证中心用户。接口类型:H
20、TTP接口。接口说明:接口所带参数中,ver,lid,用户ID,密码是必须具备且不能为空的,其余的参数可以为空,为空代表用户注册时不提供此属性项信息。默认用户状态为正常,用户类型为自注册,个人。如果希望将属性项修改为空,请带参数值为:“”,例如unit=null,如果想将属性项值修改为null,则带参数为“nullnull”,例如unit=nullnull。调用接口时请事先将含有中文的参数进行UTF-8编码。3.2.2认证接口的实现接口名称:认证接口接口提供方:统一认证系统接口功能:完成统一认证用户的认证校验,同时生成单点登录令牌。改造要点:1.从登录页面采用post方式直接提交到统一认证系统
21、。2.带上verb,lid,goto,webcode隐藏变量。请求格式登录页面中,采用form post方式提交Form的action是:http:/BASE_URL/AuthService参数有:verb,lid,goto,webcode,userid,password其中verb、lid,webcode和goto都是以input type=hidden的方式提交。verb=loginlid应用系统编号webcode登录页面采用的编码字符集,如GB2312、GBK等。goto应用系统认证后返回应用系统的链接。响应格式链接是请求时goto中的参数。参数有:artifact:认证成功生成的字符串
22、authresult:成功为true,失败为false3.2.3 SAML接口的实现接口名称:SAML接口接口提供方:单点登录系统接口功能:根据单点登录令牌获取用户信息。接口代码示例:AuthAgent authagent=AuthAgent.getAuthAgent(session);获取agent接口:参数:HttpSessionpublic String getAuth(HttpServletRequest request)获取用户信息接口:参数:HttpServletRequest返回值String:error出错,错误信息在errorInfo中。success正确,用户信息和角色信息
23、在session中用HashMap的方式存放。3.3系统代码实现统一认证系统从实现上分为服务器端和AGENT端,服务器端是软件的核心,Agent端较为简单,主要面向整合系统作为整合开发包,服务器端提供所有系统功能。Agent端和管理端分别实现,服务器端采用Interface+DAO+Oracle数据库访问方式。Web服务器采用SUN的JES服务器;底层数据存储采用数据库存储方式。结 论在企业应用环境中,用户需要在许多独立服务中频繁登录。每个服务都有它自己的身份认证过程。如果不提供支持单点登录的功能,用户在访问服务的时候不得不处理许多认证信息和参与认证过程。很明显,用户操作的服务越多,用户出错和
24、受到攻击的可能性越大。通过合理的配置单点登录系统,用户只需要通过一次认证就可以很方便的使用一系列的服务。本文分析了目前网络环境中用于实现单点登录的三种方法,并分析了它们的不同,结合本文项目背景选择了基于SAML标准的方法,实现了具有基于角色的访问控制特色的单点登录系统。该系统结合了OASIS发布的SAML标准的2.0版本以及基于角色的访问控制思想,设计了系统消息传递框架以及用于用户身份认证和访问控制的消息格式和协议。系统有效的保证了用户只需要登录一次就可以访问参与单点登录的其他应用服务。并且,为了完善访问控制,真正将应用服务从用户管理中剥离,为用户提供访问应用服务资源的权限,系统定义了新的对用
25、户进行访问控制的授权决策断言格式和数据同步请求格式以及新的交换请求和断言的协议。因此,本系统为用户解决了重复身份认证的僵局;也为各应用服务减少了用户管理的开销,完善了访问控制策略;还为网络环境中的系统与系统之间提供了互操作性。同时,这一系统也有其局限性,它对于增强应用服务对认证机构的信任度的考虑还不是很完善,在下一步的工作中可以加入XML的数字签名保证认证机构与应用服务发布的信息的完整性与可靠性,进一步加强系统的安全性能。并且,访问控制机制还有待于进一步的完善,以更符合基于角色的访问控制思想,增强系统的灵活性和可用性。用户对于单点登录的需求越来越迫切,但是对于在全球网络这样一个大而复杂的环境来
26、说,为全体用户提供单点登录仍然是一项非常具有挑战性的任务。目前的系统设计还有待于发展,以更好的满足用户的要求。致 谢感谢培养过我的老师和同学们的帮助,没有他们无私的帮助,就不会有我今天学业的完成,感谢他们这些年来对我的真诚帮助!同时也感谢各位教授能在百忙中抽出时间来答辩和评分!谢谢!参考文献1李伟霄,基于SOA的企业信息平台资源整合技术应用研究,山东大学,20082邱航,权勇.基于Kerberos的单点登录系统研究与设计.计算机应用,2003,23(7)3于洪淳,曹作良,基于Cookie的Web服务统一认证系统J,天津理工大学学报,2008-8.4沈杰,朱程荣,基于Yale-CAS的单点登录的
27、设计与实现J,计算机技术与发展,2007-125卢清平,杨柳,许晓东,一个基于Yale-CAS的单点登录解决方案J,合肥学院院报,2005-96张彤,统一身份认证的研究及在校园中的应用D,南昌大学,20067鲁耀杰,基于SAML和属性证书的单点访问系统的设计与实现D ,南京理工大学,20048戴天,基于LDAP与Web的银行业务培训系统的集成应用研究D ,天津大学,200528刘竹松,基于J2EE的对等单点登录系统研究9张彤,统一身份认证的研究及在校园中的应用D ,南昌大学,200610裘惠奇,统一身份认证和单点登录系统分析J ,计算机教学与信息化,200811贺忠华,李陶深,一种基于CAS的网格按需授权模型J ,桂林工学院学报,2008-8
