IBM跨域認(rèn)證簡(jiǎn)單解決方案

1、跨域認(rèn)證簡(jiǎn)單解決方案-使用第三方Cookie概述 跨域認(rèn)證，意味著用戶在一個(gè)入口登錄后可以無(wú)障礙的漫游到其它信任域。也就是所謂的單點(diǎn)登錄(SSO)。對(duì)于大型的服務(wù)提供著，常用的方法有：使用安全斷言標(biāo)記語(yǔ)言(SAML)、基于公開(kāi)密鑰技術(shù)(PKI-Pubic Key Infrastructure)的Kerberos網(wǎng)絡(luò)認(rèn)證協(xié)議 或者使用Windows采用的認(rèn)證方案LanManager認(rèn)證(稱為L(zhǎng)M協(xié)議-對(duì)于NT 安裝Service Pack4以后采用NTLM v2版本)。這些認(rèn)證方式需要單獨(dú)的認(rèn)證服務(wù)器，對(duì)于普通的使用者來(lái)說(shuō)，既難 已實(shí)現(xiàn)，也不太可能搭建單獨(dú)的服務(wù)器。有沒(méi)有一種簡(jiǎn)單又安全

2、的認(rèn)證方式呢？本文的目標(biāo) 使用Cookie和SHA1結(jié)合實(shí)現(xiàn)簡(jiǎn)單又安全的認(rèn)證，如用戶在中登錄后，無(wú)需再次登錄就可以直接使用中提供的服務(wù)。Cookie是什么 Cookie 是由 Web 站點(diǎn)創(chuàng)建的小文本文件，存儲(chǔ)在您的計(jì)算機(jī)上。這樣，當(dāng)您下一次訪問(wèn)該站點(diǎn)時(shí)，它可以 自動(dòng)獲取有關(guān)您的信息，例如瀏覽喜好，或您的姓名、地址及電話號(hào)碼。關(guān)鍵詞 SSO(Single Sign-On）-單點(diǎn)登錄 SAML(Security Assertions Markup Language)-安全斷言標(biāo)記語(yǔ)言 Cross-Realm Authentication

3、 -跨域認(rèn)證 PKI(Pubic Key Infrastructure)-公開(kāi)密鑰技術(shù) SHA1(Secure Hash Algorithm 1)-安全哈希算法 1 P3P(The Platform for Privacy Preferences)隱私參數(shù)選擇平臺(tái)單一認(rèn)證模型 1、用戶使用a_logon.aspx登錄服務(wù)器 2、在a_logon.aspx中自動(dòng)嵌入iframe其src指向的b_auth.php 3、認(rèn)證成功后在客戶端寫(xiě)入Cookie，通過(guò)iframe調(diào)用b_auth.php 傳遞認(rèn)證參數(shù)(經(jīng)過(guò)SHA1后) 4

4、、b_auth.php認(rèn)證成功后在客戶端寫(xiě)入認(rèn)證Cookie 5、完成和的統(tǒng)一認(rèn)證 問(wèn)題：  上面提到的過(guò)程如果使用FireFox瀏覽器b_auth.php能夠成功寫(xiě)入Cookie,如果使用IE6.0及 以上版本b_auth.php寫(xiě)入Cookie失敗。 原因：  IE 6.0支持P3P,IE 6的缺省隱私等級(jí)設(shè)置為"中"即"阻止沒(méi)有合同隱私策略的第三方 cookie"。而在用戶瀏覽a_logon.aspx時(shí) 寫(xiě)入的為第一方Cookie,其嵌入的iframe指向b_

5、auth.php 這時(shí)寫(xiě)入的就為第三方Cookie了，所以它是被IE當(dāng)在了大門外。 解決方法：  讓用戶改變IE安全策略，允許第三方Cookie,這似乎很簡(jiǎn)單，可是用戶會(huì)聽(tīng)你的嗎？另一種 解決方法使用P3P，在 b_auth.php中添加P3P頭。網(wǎng)上google一下好像很多，本著不求甚解的原則 Copy來(lái)就是了。如下： header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP

6、COR"')實(shí)現(xiàn)代碼 a_logon.aspx(C#偽代碼) / if( !Page.IsPostBack )  return; if( VerifyPassword( sPwd ) )   string sSalt = CreateSalt(12);  Session.Add("User",sName);  Session.Add("Salt",sSalt);  string sHash

7、 = Hash( sName+sPwd + sSalt,"SHA1");  Session.Add("Passport",sHash);  string sR = "<iframe> id='aa' src=''    width='0' height='0'> </iframe>"  Response.Write( sR); 

8、60;/ b_auth.php-<?php/-/ cookie auth in multi-domain/ Author:  Lazen lau/ Mail:  lazen_c/ History:/   2007-05-17 10:00 release 1.0/        Copyright (C) 2007/-header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR I

9、NT DEM STA PRE COM NAV OTC NOI DSP COR"'); $user = $_REQUEST'name' $salt = $_REQUEST'salt' $passport = $_REQUEST'passport'$hr = "auth failed"if( !empty($passport) /get usr pwd $pwd = "888888" /md5 $src = $user.$pwd.$salt; 

10、$auth = strtoupper(sha1($src); if( $auth = $passport )   setcookie("ticket",$passport);  $hr = "auth suc"  /else / $hr = $user." a= ".$auth." s = ".$passport;echo $hr;?>-結(jié)束語(yǔ)  上面演示的跨域認(rèn)證方式，需要中保存有用戶的口

11、令，這往往也帶來(lái)麻煩，一種改進(jìn)方式是b_auth.php在認(rèn)證用戶時(shí)可以使用調(diào)用a_auth.aspx在中完成再次認(rèn)證，也可以使用SOAP或者XML Http Request進(jìn)行認(rèn)證。參考資料Google AdSenseP3PXML 安全: 使用 SAML 確?？梢浦驳男湃?#160; IBM Tivoli Access Manager 6.0 (電子商務(wù)訪問(wèn)控制解決方案):IBM Tivoli是業(yè)界領(lǐng)先的管理技術(shù)軟件，是IBM IT 服務(wù)管理的核心部分。Tivoli是唯一一個(gè)跨越主機(jī)系統(tǒng)、客戶機(jī)/服務(wù)器系統(tǒng)、工作組應(yīng)用、企業(yè)網(wǎng)絡(luò)、Internet服務(wù)器的端到端的解決方案。Tivol

12、i軟件以IBM的世界級(jí)服務(wù)、支持和研究為堅(jiān)強(qiáng)后盾，為客戶提供一個(gè)無(wú)縫集成、靈活的隨需應(yīng)變基礎(chǔ)架構(gòu)管理解決方案，采用強(qiáng)健的安全機(jī)制將雇員、業(yè)務(wù)伙伴和客戶連接起來(lái)。Tivoli軟件能夠使企業(yè)降低總體擁有成本，提高IT基礎(chǔ)架構(gòu)的管理及服務(wù)水平。Tivoli解決方案主要包括系統(tǒng)管理解決方案，存儲(chǔ)管理解決方案和安全管理解決方案。IBM Tivoli Access Manager for e-business 是一個(gè)獲獎(jiǎng)的、基于策略的電子商務(wù)訪問(wèn)控制解決方案和 Gartner 的 Magic Quadrant 中處于領(lǐng)先地位的企業(yè)應(yīng)用程序。它可以幫助您管理日益發(fā)展和日漸復(fù)雜的電子商務(wù)，控制不斷攀升的管理成

13、本，解決在大量 Web 和應(yīng)用程序資源中安全策略實(shí)施方面的難題。Tivoli Access Manager for e-business 與電子商務(wù)應(yīng)用程序集成在一起，以即裝即用（out-of-the-box）的方式提供一種安全、統(tǒng)一和個(gè)性化的電子商務(wù)體驗(yàn)。通過(guò)提供身份驗(yàn)證和授權(quán) API 并與應(yīng)用程序平臺(tái)（如J2EE ）集成在一起，Tivoli Access Manager for e-business 能幫助您安全地訪問(wèn)業(yè)務(wù)關(guān)鍵型應(yīng)用程序和分散在擴(kuò)展企業(yè)中的數(shù)據(jù)。通過(guò)使用 Access Manager 跨域單一登錄（SSO）技術(shù)和安全斷言標(biāo)記語(yǔ)言（Security Assurance Mar

14、kup Language，SAML）以及其他標(biāo)記傳遞（token-passing）協(xié)議，基于Web的SSO可以跨越多個(gè)站點(diǎn)或者多個(gè)域。 產(chǎn)品要點(diǎn)：在保護(hù)單個(gè)企業(yè)或聯(lián)邦環(huán)境的安全時(shí)，為電子商務(wù)計(jì)劃提供統(tǒng)一的身份驗(yàn)證和授權(quán)。 在采用 Web、Microsoft、telnet 和主機(jī)應(yīng)用程序環(huán)境中支持單一登錄。 在基于標(biāo)準(zhǔn)的Java 2 Enterprise Edition (J2EE) 應(yīng)用程序支持下，可以快速和可伸縮地部署Web應(yīng)用程序。 通過(guò)新支持的 Java 2、 z/OS 上的 Java 身份驗(yàn)證和授權(quán)（Java Authentication and

15、 Authorization，JAAS）API 以及 z/OS 上的 WebSphere，改進(jìn)了對(duì)主機(jī)應(yīng)用程序的支持。 通過(guò)高伸縮性的代理體系結(jié)構(gòu)和/或易于安裝的 Web 服務(wù)器插件、基于規(guī)則和角色的訪問(wèn)控制、對(duì)主要用戶注冊(cè)中心和平臺(tái)的支持以及可用于進(jìn)一步定制安全性的高級(jí) API，提供了設(shè)計(jì)的靈活性。 通過(guò)提供統(tǒng)一的身份和安全管理，降低了應(yīng)用程序開(kāi)發(fā)、部署和管理的成本。 通過(guò) IBM 在 Web 安全標(biāo)準(zhǔn)開(kāi)發(fā)方面的領(lǐng)導(dǎo)地位，保持將來(lái)安全和身份管理的連續(xù)性。 Tivoli Access Manager for e-business 允許您定義綜合策略，并基

16、于該策略管理安全性，而無(wú)論該策略是基于用戶角色的還是基于業(yè)務(wù)規(guī)則的。您可以根據(jù)每個(gè)用戶的職責(zé)，授予員工、合作伙伴、供應(yīng)商和客戶動(dòng)態(tài)的、基于角色的訪問(wèn)權(quán)。您可以將用戶分組并向組指派權(quán)限，簡(jiǎn)化跨多個(gè)應(yīng)用程序和資源的訪問(wèn)控制管理。業(yè)務(wù)規(guī)則在運(yùn)行時(shí)進(jìn)行求值，并保存在應(yīng)用程序以外，這樣就允許更改影響訪問(wèn)的策略參數(shù)，而無(wú)需重寫(xiě)和重新編譯應(yīng)用程序-這種特性有助于動(dòng)態(tài)提高應(yīng)用程序部署和適應(yīng)的速度。應(yīng)用程序平臺(tái)（如 Web Servers）向應(yīng)用程序開(kāi)發(fā)人員提供安全性和其他服務(wù)。但是這樣的話，管理訪問(wèn)權(quán)就像豎井（silos）一樣與業(yè)務(wù)線（lines-of-business）隔離開(kāi)來(lái)，它依賴于每個(gè)應(yīng)用程序環(huán)境中可

17、用的技術(shù)和工具。為了使業(yè)務(wù)能在隨需應(yīng)變的模式下運(yùn)作，Tivoli Access Manager 提供了一個(gè)關(guān)鍵功能作為公共服務(wù)，即面向服務(wù)的體系結(jié)構(gòu)（Service-Oriented Architecture，SOA）。Tivoli Access Manager for e-business 為異構(gòu)環(huán)境提供安全性。采用該體系結(jié)構(gòu)后，訪問(wèn)控制所基于的層是單一且前后一致的，這樣可以快速部署應(yīng)用程序，與"安全孤島"方法相比，可以更加準(zhǔn)確而一致地管理安全性。Tivoli Access Manager for e-business 通過(guò)下列方法提供自我保護(hù)環(huán)境： 使用單個(gè)安

18、全策略服務(wù)器強(qiáng)制實(shí)施跨多個(gè)文件類型、應(yīng)用程序提供商、設(shè)備和協(xié)議的安全性，從而防止未授權(quán)的訪問(wèn)。 Web SSO，保持密碼和用戶的完整性。 用于發(fā)現(xiàn)問(wèn)題或潛在問(wèn)題的健壯的審計(jì)和信息收集工具。 還通過(guò)下列方法提供了自我優(yōu)化環(huán)境： 負(fù)載均衡和自動(dòng)反映 Web 對(duì)象空間。 基于開(kāi)放標(biāo)準(zhǔn)的高可用性和高伸縮性體系結(jié)構(gòu)。 Tivoli Access Manager for e-business 是IBM Identity Management 解決方案的集成部件，可以幫助您在線獲得用戶、系統(tǒng)和應(yīng)用程序，并能提高生產(chǎn)效率，還可以保持動(dòng)態(tài)順應(yīng)性以便增加 IT 環(huán)境的彈性和安全性，同時(shí)有助于減少成本并最大化投資回報(bào)率。Tivoli Access Manager 是第一個(gè)接受 Common Criteria Certification (EAL 3) 的解決方案，它滿足嚴(yán)格的國(guó)際上認(rèn)可的安全標(biāo)準(zhǔn)。 IBM Tivo