基于企业门户的单点登录研究

    随着计算机技术应用的普及和现代网络技术的高速发展，企业信息化建设正在成为一种潮流。随着企业规模的不断扩大，信息化过程的不断深化，由于越来越多的业务过程信息化，又因为单个系统无法囊括众多业务过程，促使企业建立了多个应用系统.在用户看来，信息过载使得自己不知道要到哪里找到所需要的东西。而且，为了得到各个系统的信息，需要接受更多系统的验证;在企业管理员看来，越来越多的系统数据库需要被维护，冗余的企业数据不仅耗费了企业的硬件资源， 也耗费了管理员的人力资源。造成这种状况的主要原因是没有很好地整合信息和应用。随着B/S模式软件的深入应用，企业门户的出现，为解决这个问题提供了最佳途径。
(一)企业门户中的关键问题
    关于什么是门户(Portal)有很多种说法，包括拥有信息的团体、集中的业务、集成化的桌面环境等，也有不少专家和学者从企业门户的角度给出了定义，如门户企业提供给商业用户访问信息和应用，以及完成各种交互或协助行为的单一集成访问点。相应的门户软件系统软件则提供了开发、部署和管理门户应用的各种服务。企业信息门户涉及Portal，内容管理、数据集成、单点登录等多方面的内容。
    虽然企业门户被想像得非常美好，但真正要实现企业门户不能只是简单把现有的非结构化的文件、数据和信息孤岛式的单元应用叠加到一个web界面上，而是应该以公司的需求为导向，把它当成一项系统工程来处理。企业门户提出的最初衷就是为了整合信息和应用，因此企业门户最重要的作用就是帮助企业整合现有的各种应用系统，所以可以说， 企业应用集成是企业门户的灵魂，能否对企业应用进行良好的整合是企业门户成功的关键。企业门户集成企业的应用， 并需要为企业信息化平台提供统一的安全认证模式和基于单点登录的应用访问方式，使企业门户及其所辖的数据、应用和用户信息免受非法入侵和未授权的访问和使用.单点登录功能成为企业门户的必需和关键。
(二)单点登录 ( Single Sign-On)
    单点登录通常是指：用户只需要在网络中主动地进行一次身份认证，随后便可以访问其被授权的所有网络资源而不需要再主动参与其他的身份认证过程。典型的单点登录系统有五种模型，分别为：经纪人模型、代理模型、经纪人代理和代理模型、网关模型和令牌模型。
1.Broker-Based模型
    Broker-Based模型中有一个集中的认证和用户帐户管理服务器，并向用户发放用于向应用服务请求访问的电子身份标识。模型中最关键的是认证服务器，处在客户端和应用服务器中间，用来全权打理认证事务，扮演一个经纪人的角色。基于Kerberos的单点登录机制是经纪人模型的典型应用。
2.Agent-Based模型
    Agent-Based模型中每个应用服务前端有一个代理(Agent)为其完成用户身份认证工作，需要注意的是，这个代理是专门为应用服务器服务的。在这个基于代理人的解决方案中，有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序能被设计成以不同的方式来起作用。SSH是基于代理人的单点登录机制的典型应用。
3.网关模型
    网关模型中的客户端必须使用网关客户软件，通过一台专用网关才能访问各种应用服务。在这种方案，所有的响应服务都需要放在被网关隔离的受信网段里。Client通过网关进行认证后获得接受服务的授权。如果网关后的服务能够通过IP地址识别，并可在网关上建立一个基于IP的响应规则，而这个规则如果与在网关上的用户数据库相结合，网关就可以被用于单点登录。网关通过记录Client的身份不再需要冗余的认证请求，授权所需要的服务。由于网关可以监视并改变应用服务的数据流，所以在不修改应用服务的同时，改变认证信息，并提供合适的访问控制。
4.Agent and Broker-based模型
    Agent and Broker-based模型就是把基于经纪人的解决方案和基于代理的解决方案相结合。基于代理模型的最大优点就是能减少对应用程序的改造，而基于经纪人模型的最大优点就是认证集中，基于以上两点，Agent and Broker-based模型就兼具了前者集中管理和后者无需修改应用服务程序的优点，是优点比较突出也是现今用得较多的模型。
5.令牌模型
    令牌模型最大的特点就是它是双向的。Security Dynamics SecurID是一个物理式的令牌模型，它为用户产生基于时间的一次性密码从而实现双向的认证。SecurID基于硬件令牌的同步时钟和一个叫做ACE的服务器。在一个被事先定好的时间间隔内，令牌机制产生一个跟令牌唯一对应并只能由一个程序接收的密码。
    基于各类模型的论述，我们可以从以下几个方面来对各个模型进行比较，并直观的用表1来描述它们之间的异同。

表1 SSO模型对比