IBM跨域認(rèn)證簡單解決方案

1、跨域認(rèn)證簡單解決方案-使用第三方Cookie概述 跨域認(rèn)證，意味著用戶在一個入口登錄后可以無障礙的漫游到其它信任域。也就是所謂的單點(diǎn)登錄(SSO)。對于大型的服務(wù)提供著，常用的方法有：使用安全斷言標(biāo)記語言(SAML)、基于公開密鑰技術(shù)(PKI-Pubic Key Infrastructure)的Kerberos網(wǎng)絡(luò)認(rèn)證協(xié)議 或者使用Windows采用的認(rèn)證方案LanManager認(rèn)證(稱為LM協(xié)議-對于NT 安裝Service Pack4以后采用NTLM v2版本)。這些認(rèn)證方式需要單獨(dú)的認(rèn)證服務(wù)器，對于普通的使用者來說，既難 已實(shí)現(xiàn)，也不太可能搭建單獨(dú)的服務(wù)器。有沒有一種簡單又安全

2、的認(rèn)證方式呢？本文的目標(biāo) 使用Cookie和SHA1結(jié)合實(shí)現(xiàn)簡單又安全的認(rèn)證，如用戶在中登錄后，無需再次登錄就可以直接使用中提供的服務(wù)。Cookie是什么 Cookie 是由 Web 站點(diǎn)創(chuàng)建的小文本文件，存儲在您的計算機(jī)上。這樣，當(dāng)您下一次訪問該站點(diǎn)時，它可以 自動獲取有關(guān)您的信息，例如瀏覽喜好，或您的姓名、地址及電話號碼。關(guān)鍵詞 SSO(Single Sign-On）-單點(diǎn)登錄 SAML(Security Assertions Markup Language)-安全斷言標(biāo)記語言 Cross-Realm Authentication

3、 -跨域認(rèn)證 PKI(Pubic Key Infrastructure)-公開密鑰技術(shù) SHA1(Secure Hash Algorithm 1)-安全哈希算法 1 P3P(The Platform for Privacy Preferences)隱私參數(shù)選擇平臺單一認(rèn)證模型 1、用戶使用a_logon.aspx登錄服務(wù)器 2、在a_logon.aspx中自動嵌入iframe其src指向的b_auth.php 3、認(rèn)證成功后在客戶端寫入Cookie，通過iframe調(diào)用b_auth.php 傳遞認(rèn)證參數(shù)(經(jīng)過SHA1后) 4

4、、b_auth.php認(rèn)證成功后在客戶端寫入認(rèn)證Cookie 5、完成和的統(tǒng)一認(rèn)證 問題：  上面提到的過程如果使用FireFox瀏覽器b_auth.php能夠成功寫入Cookie,如果使用IE6.0及 以上版本b_auth.php寫入Cookie失敗。 原因：  IE 6.0支持P3P,IE 6的缺省隱私等級設(shè)置為"中"即"阻止沒有合同隱私策略的第三方 cookie"。而在用戶瀏覽a_logon.aspx時 寫入的為第一方Cookie,其嵌入的iframe指向b_

5、auth.php 這時寫入的就為第三方Cookie了，所以它是被IE當(dāng)在了大門外。 解決方法：  讓用戶改變IE安全策略，允許第三方Cookie,這似乎很簡單，可是用戶會聽你的嗎？另一種 解決方法使用P3P，在 b_auth.php中添加P3P頭。網(wǎng)上google一下好像很多，本著不求甚解的原則 Copy來就是了。如下： header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP

6、COR"')實(shí)現(xiàn)代碼 a_logon.aspx(C#偽代碼) / if( !Page.IsPostBack )  return; if( VerifyPassword( sPwd ) )   string sSalt = CreateSalt(12);  Session.Add("User",sName);  Session.Add("Salt",sSalt);  string sHash

7、 = Hash( sName+sPwd + sSalt,"SHA1");  Session.Add("Passport",sHash);  string sR = "<iframe> id='aa' src=''    width='0' height='0'> </iframe>"  Response.Write( sR); 

8、60;/ b_auth.php-<?php/-/ cookie auth in multi-domain/ Author:  Lazen lau/ Mail:  lazen_c/ History:/   2007-05-17 10:00 release 1.0/        Copyright (C) 2007/-header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR I

9、NT DEM STA PRE COM NAV OTC NOI DSP COR"'); $user = $_REQUEST'name' $salt = $_REQUEST'salt' $passport = $_REQUEST'passport'$hr = "auth failed"if( !empty($passport) /get usr pwd $pwd = "888888" /md5 $src = $user.$pwd.$salt; 

10、$auth = strtoupper(sha1($src); if( $auth = $passport )   setcookie("ticket",$passport);  $hr = "auth suc"  /else / $hr = $user." a= ".$auth." s = ".$passport;echo $hr;?>-結(jié)束語  上面演示的跨域認(rèn)證方式，需要中保存有用戶的口

11、令，這往往也帶來麻煩，一種改進(jìn)方式是b_auth.php在認(rèn)證用戶時可以使用調(diào)用a_auth.aspx在中完成再次認(rèn)證，也可以使用SOAP或者XML Http Request進(jìn)行認(rèn)證。參考資料Google AdSenseP3PXML 安全: 使用 SAML 確?？梢浦驳男湃?#160; IBM Tivoli Access Manager 6.0 (電子商務(wù)訪問控制解決方案):IBM Tivoli是業(yè)界領(lǐng)先的管理技術(shù)軟件，是IBM IT 服務(wù)管理的核心部分。Tivoli是唯一一個跨越主機(jī)系統(tǒng)、客戶機(jī)/服務(wù)器系統(tǒng)、工作組應(yīng)用、企業(yè)網(wǎng)絡(luò)、Internet服務(wù)器的端到端的解決方案。Tivol

12、i軟件以IBM的世界級服務(wù)、支持和研究為堅強(qiáng)后盾，為客戶提供一個無縫集成、靈活的隨需應(yīng)變基礎(chǔ)架構(gòu)管理解決方案，采用強(qiáng)健的安全機(jī)制將雇員、業(yè)務(wù)伙伴和客戶連接起來。Tivoli軟件能夠使企業(yè)降低總體擁有成本，提高IT基礎(chǔ)架構(gòu)的管理及服務(wù)水平。Tivoli解決方案主要包括系統(tǒng)管理解決方案，存儲管理解決方案和安全管理解決方案。IBM Tivoli Access Manager for e-business 是一個獲獎的、基于策略的電子商務(wù)訪問控制解決方案和 Gartner 的 Magic Quadrant 中處于領(lǐng)先地位的企業(yè)應(yīng)用程序。它可以幫助您管理日益發(fā)展和日漸復(fù)雜的電子商務(wù)，控制不斷攀升的管理成

13、本，解決在大量 Web 和應(yīng)用程序資源中安全策略實(shí)施方面的難題。Tivoli Access Manager for e-business 與電子商務(wù)應(yīng)用程序集成在一起，以即裝即用（out-of-the-box）的方式提供一種安全、統(tǒng)一和個性化的電子商務(wù)體驗(yàn)。通過提供身份驗(yàn)證和授權(quán) API 并與應(yīng)用程序平臺（如J2EE ）集成在一起，Tivoli Access Manager for e-business 能幫助您安全地訪問業(yè)務(wù)關(guān)鍵型應(yīng)用程序和分散在擴(kuò)展企業(yè)中的數(shù)據(jù)。通過使用 Access Manager 跨域單一登錄（SSO）技術(shù)和安全斷言標(biāo)記語言（Security Assurance Mar

14、kup Language，SAML）以及其他標(biāo)記傳遞（token-passing）協(xié)議，基于Web的SSO可以跨越多個站點(diǎn)或者多個域。 產(chǎn)品要點(diǎn)：在保護(hù)單個企業(yè)或聯(lián)邦環(huán)境的安全時，為電子商務(wù)計劃提供統(tǒng)一的身份驗(yàn)證和授權(quán)。 在采用 Web、Microsoft、telnet 和主機(jī)應(yīng)用程序環(huán)境中支持單一登錄。 在基于標(biāo)準(zhǔn)的Java 2 Enterprise Edition (J2EE) 應(yīng)用程序支持下，可以快速和可伸縮地部署Web應(yīng)用程序。 通過新支持的 Java 2、 z/OS 上的 Java 身份驗(yàn)證和授權(quán)（Java Authentication and

15、 Authorization，JAAS）API 以及 z/OS 上的 WebSphere，改進(jìn)了對主機(jī)應(yīng)用程序的支持。 通過高伸縮性的代理體系結(jié)構(gòu)和/或易于安裝的 Web 服務(wù)器插件、基于規(guī)則和角色的訪問控制、對主要用戶注冊中心和平臺的支持以及可用于進(jìn)一步定制安全性的高級 API，提供了設(shè)計的靈活性。 通過提供統(tǒng)一的身份和安全管理，降低了應(yīng)用程序開發(fā)、部署和管理的成本。 通過 IBM 在 Web 安全標(biāo)準(zhǔn)開發(fā)方面的領(lǐng)導(dǎo)地位，保持將來安全和身份管理的連續(xù)性。 Tivoli Access Manager for e-business 允許您定義綜合策略，并基

16、于該策略管理安全性，而無論該策略是基于用戶角色的還是基于業(yè)務(wù)規(guī)則的。您可以根據(jù)每個用戶的職責(zé)，授予員工、合作伙伴、供應(yīng)商和客戶動態(tài)的、基于角色的訪問權(quán)。您可以將用戶分組并向組指派權(quán)限，簡化跨多個應(yīng)用程序和資源的訪問控制管理。業(yè)務(wù)規(guī)則在運(yùn)行時進(jìn)行求值，并保存在應(yīng)用程序以外，這樣就允許更改影響訪問的策略參數(shù)，而無需重寫和重新編譯應(yīng)用程序-這種特性有助于動態(tài)提高應(yīng)用程序部署和適應(yīng)的速度。應(yīng)用程序平臺（如 Web Servers）向應(yīng)用程序開發(fā)人員提供安全性和其他服務(wù)。但是這樣的話，管理訪問權(quán)就像豎井（silos）一樣與業(yè)務(wù)線（lines-of-business）隔離開來，它依賴于每個應(yīng)用程序環(huán)境中可

17、用的技術(shù)和工具。為了使業(yè)務(wù)能在隨需應(yīng)變的模式下運(yùn)作，Tivoli Access Manager 提供了一個關(guān)鍵功能作為公共服務(wù)，即面向服務(wù)的體系結(jié)構(gòu)（Service-Oriented Architecture，SOA）。Tivoli Access Manager for e-business 為異構(gòu)環(huán)境提供安全性。采用該體系結(jié)構(gòu)后，訪問控制所基于的層是單一且前后一致的，這樣可以快速部署應(yīng)用程序，與"安全孤島"方法相比，可以更加準(zhǔn)確而一致地管理安全性。Tivoli Access Manager for e-business 通過下列方法提供自我保護(hù)環(huán)境： 使用單個安

18、全策略服務(wù)器強(qiáng)制實(shí)施跨多個文件類型、應(yīng)用程序提供商、設(shè)備和協(xié)議的安全性，從而防止未授權(quán)的訪問。 Web SSO，保持密碼和用戶的完整性。 用于發(fā)現(xiàn)問題或潛在問題的健壯的審計和信息收集工具。 還通過下列方法提供了自我優(yōu)化環(huán)境： 負(fù)載均衡和自動反映 Web 對象空間。 基于開放標(biāo)準(zhǔn)的高可用性和高伸縮性體系結(jié)構(gòu)。 Tivoli Access Manager for e-business 是IBM Identity Management 解決方案的集成部件，可以幫助您在線獲得用戶、系統(tǒng)和應(yīng)用程序，并能提高生產(chǎn)效率，還可以保持動態(tài)順應(yīng)性以便增加 IT 環(huán)境的彈性和安全性，同時有助于減少成本并最大化投資回報率。Tivoli Access Manager 是第一個接受 Common Criteria Certification (EAL 3) 的解決方案，它滿足嚴(yán)格的國際上認(rèn)可的安全標(biāo)準(zhǔn)。 IBM Tivo