全息与单点三篇

2024-06-16

全息与单点篇1

关键词：单点登录,身份认证,令牌,PKI,SSO

0.引言

随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多,用户每天需要登录到许多不同的信息系统,如网络、邮件、数据库、OA系统和各种应用服务器等,各种应用服务的不断普及每个系统都要求用户遵循一定的安全策略。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。

针对于这种情况,单点登录等概念应运而生,同时不断地被应用到企业应用系统中。

1. 单点登录原理

单点登录SSO (Single Sign On)技术是一种认证和授权机制,它允许用户只登录到系统一次,对所有被授权的网络资源进行无缝的访问,无需再进行登录。单点登录简单说,就是通过用户的一次性鉴别登录,即可获得访问多个系统和应用软件的授权,在此条件下,管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。单点登录技术特别适合分布式计算机环境中,安全和方便的鉴别用户。

单点登录是一种方便用户访问多个系统的技术,用户只需在登录时进行一次注册,就可以在多个系统间自由穿梭,不必重复输入用户名和密码来确定身份。单点登录的实质就是安全上下文(Security Context)或凭证(Credential)在多个应用系统之间的传递或共享。当用户登录系统时,客户端软件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文,安全上下文包含用于验证用户的安全信息,系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。

2. 单点登录技术特点

2.1 单点登录的功能

单点登录系统采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口,同时为通过身份认证的合法用户签发针对各个应用系统的登录票据,从而实现“一点登录、多点漫游”。

SSO的优点显而易见:

从用户角度讲,能及时的访问到所需的资源,提高了生产效率;避免了记忆多个用户名、密码,增强了用户体验;

从安全角度讲,单点登录提供了功能更强的身份认证机制,提高了整体的安全性;

从管理角度看,单点登录有助于减少口令重复设置请求,减少了系统维护的工作量。

要实现SSO,需要以下主要的功能:

1)共享一个身份认证系统

所有应用系统共享一个身份认证系统。统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证票据(ticket),返还给用户。另外,认证系统还应该对票据进行效验,判断其有效性。

2)所有应用系统能够识别和提取票据信息

要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对票据进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。

3)建立用户信息数据库

要实现SSO的功能,必须建立用户信息数据库。用户信息数据库可以集中统一存储,也可以分布式存储,有许多系统不能将所有的用户信息都集中存储,应该允许用户信息放置在不同的存储介质中。只要统一认证系统,统一票据的产生和效验,无论用户信息存储在什么地方,都能实现单点登录。

4)认证服务器提供身份认证

认证服务器提供身份认证。整套单点登录系统可以按照系统规模的大小配置单个认证服务器,也可以配置两个以上的认证服务器,这些服务器可以是不同的产品。认证服务器之间要通过标准的通讯协议,互相交换认证信息,就能完成更高级别的单点登录。

2.2 单点登录通用设计模型

单点登录通用设计模型,它由以下产品组成:

1) PKI体系:包括CA服务器、RA服务器、密钥管理中心和OCSP服务器等,简单地说,PKI就是证明用户是谁。

2) AA管理服务器:即认证(Authentication)和授权(Authorization)服务器,它为系统管理员提供用户信息、认证和授权的管理。

3)统一用户管理系统(Uniform User Management System,UUMS)模块:UUMS统一存储所有应用系统的用户信息,为各应用系统提供UUMS接口,而授权等操作则由各应用系统完成,即统一存储、分布授权。

4) SSO服务器:SSO服务器是是实现单点登录的重要组成部分,它可以完成基于Web方式或非Web方式的访问的认证和授权服务,包括基于证书的身份认证和策略服务。SSO登录服务器实现身份认证和访问授权功能只是一个代理,指向已经存在的身份认证和访问授权系统。

5)授权管理基础设施(Privilege Management Infrastructure,PMI):包括PMI代理和PMI服务器。PMI代理部署在各应用系统的服务器端,负责截获客户端的PMI请求,并转发给PMI服务器。PMI是属性证书(Attribute Certificate)、属性权威(Attribute Authority)、属性证书库等部件的集合体,其以资源管理为核心,用来实现权限和证书的产生、管理、存储、分发和撤销等功能,对资源的访问控制权统一交由授权机构统一处理。PMI的目标是向用户和应用程序提供授权管理服务。

6)目录服务器:基于LDAP (Light Directory Access Protocol)的目录服务器是实现SSO的基石。目录服务器集中存储了用户的身份信息、权限信息及证书等,是实现用户统一管理的核心。

单点登录实现模型如下图所示。

图1单点登录实现模型(参见右栏)

为判断用户是否已经登录系统,SSO服务器需要存储一张用户会话(Session)表,以记录用户登录和登出的时间,SSO服务器通过检索会话表就能够知道用户的登录情况。AA系统提供了对会话的记录、监控和撤消等管理功能。为保证稳定与高效,SSO、PMI和OCSP可部署两套或多套应用,同时提供服务。

2.3 用户单点登录流程

单点登录的简单流程示意图如下:

图2 SSO简单流程示意图(参见右栏)

用户单点登录管理应用和令牌传输识别的标准来实现用户单点登录,流程如下:

1)客户端向应用服务器请求访问某资源;

2)应用系统如果检查到用户没有在自己的服务器登录,则将用户请求重定向到单点登录服务器上;

3)单点登录服务器检查用户是否已经单点登录,如果用户没有单点登录则要求用户登录,并将登录标志存储为客户端信任凭证,如果用户已经登录则找到该用户在相应应用系统上绑定的账号;

4)单点登录服务器根据第三步的结果生成用户令牌,重定向回应用系统;

5) SSO服务器重定向到应用服务器,应用服务器接收统一格式的用户令牌Token,并验证信任凭证有效性,从信任凭证中获得用户身份信息。本次访问结束。

如果用户在访问应用系统之前已经在单点登录服务器上登录过,第二步到第四步对用户来说就是透明的,用户感觉只是向应用系统发出了访问请求,然后得到了应用服务器端的应答反馈。

3. 单点技术的应用

实现SSO的方法有多种,各家厂商也提供了各种不同的登录方式,如IBM的WebSphere是通过cookies记录认证信息,BEA的WebLogic是通过session共享技术实现认证信息的共享。

3.1 WEB-SSO的实现

随着互联网的高速发展,WEB应用几乎统治了绝大部分的软件应用系统,因此WEB-SSO是SSO应用当中最为流行。WEB-SSO有其自身的特点和优势,实现起来比较简单易用。

Web-SSO利用Cookie技术来完成用户登录信息的保存,将浏览器中的Cookie和信任凭证结合起来,完成SSO的功能。

但是我们通常的应用是有状态的。先不用提不同应用之间的SSO,在同一个应用中也需要保存用户的登录身份信息。浏览器和服务器之间有约定:通过使用cookie技术来维护应用的状态。当用户在访问某页面时进行了登录,web服务器设置了一个cookie,并将这个cookie和该网页一起返回给浏览器,浏览器接到cookie之后,就会保存起来,在它访问该网站的其他页面时将这个cookie带上,Web服务器接到请求时也能读出cookie的值,根据cookie值的内容就可以判断和恢复一些用户的信息状态。

3.2 基于PKI的C/S模式SSO的实现

基于PKI的C/S模式SSO的实现的部署图如下:

基于PKI的C/S模式SSO执行流程为:

1)用户请求连接到C/S应用服务器,客户端代理将包括会话令牌在内的信息传送给应用服务器。

2) C/S应用服务器则向SSO登录服务器申请验证用户的会话。

3)确认通过会话验证后,允许用户执行C/S业务。

4. 结束语

单点登录的方式提高了网络用户的工作效率,特别是在面向服务的架构中,能够降低网络操作的费用,同时还提高了网络的安全性。单点登录的方式能够实现多个应用系统的统一的用户管理和统一的认证管理。

但在实际应用中,单点登录也面临着许多问题:首先是网络安全单点故障所带来的影响。其次与环境相关,当有应用服务加入SSO系统,认证和访问控制方式的兼容性可能要求对原有的应用进行改造。最后,访问授权的规则必须与组织结构相关,同时用户组信息的改变也要求在访问控制的权限上得到及时的反映。

参考文献

[1]http://www,ibm.com/developerworks/views/ lotus/

[2]Enterprise Single Sign-On.Steve Hunt, Forrester Research Inc,2003-12

[3]http://tag,csdn.net/

时空全息与信息获取篇2

“这个问题可以追溯到几千年前。”哈梅罗夫说，“一些希腊哲学家认为，外部世界只是我们头脑中表现出来的，其实并不存在。笛卡尔也理所当然这么认为，他说能让他确认自己存在的唯一的东西，就是他的意识，“我思故我在”。因此，我们也不能确切认定，外部世界就是我们所认为的那个样子。有人认为，世界是人们构想出来的，是一种幻觉；另一些人认为，它是一种精确的表现；还有一种混合观点，认知的世界确实有其外部存在，但加入了量子性质时，它就变得不确定了。”

比如人们在看一朵玫瑰，并不是真的看到了玫瑰，其实只是视网膜对光子的反应。哈梅罗夫解释说，很可能光子在它到达眼睛最后面的视紫质之前，就被转换成量子信息了。所以当光子进入眼睛经过视网膜时，量子信息被从中提取出来，以某种更直接的方式传达了玫瑰的基本特征或属性。这也正是意识体验的难题：我们真切地感受到各种特征，如红色、疼痛、悲伤、遗憾、喜悦、幸福，所有这些感觉都是意识觉知。大部分人认为，视网膜就像一架照相机，把图像传到大脑计算机里的某个部位，但看图的是谁？

哈梅罗夫提出，玫瑰的基本属性，如红色、气味及其他特征，哲学家称之为“感受特征”（qualia）的，其实是在非常基本的时空层面上的特定波动。由于时空几何结构由虚空构成，是全息的，所以我们的视网膜和大脑能通过量子过程和玫瑰的本质属性连接，从而在头脑里获取这些信息。通过量子过程，我们得以体验到红色、香味及其他性质，也在意识中以各种形状、各种形式体验着爱、善良、真实等感受特征，在意识中把这些特质理解为是外部世界的。

“从传统唯物主义角度来看，感受特征是大脑中创造的，是经过神经元计算后呈现出来的性质。但我认为不是这样。神经元计算是一种无意识的、自动处理的行为，而感受特征和意识虽然依附于神经元计算，但却并不一样。不同之处就在于与时空几何结构的量子连接。”哈梅罗夫说。

这也正是彭罗斯的观点。宇宙是由原子之间的虚空所构成，如果进入微观，在比原子小得多的多的尺度，随着事物变得越来越小，一切都变得光滑而丧失特征，到了比原子还小25个数量级的尺度，也就是所谓的普朗克尺度，存在着某种图案，或者说粗糙不平、几何结构、信息等。

在这种最基本的量子引力水平，普朗克尺度的结构造成了物理上不可再分的特征，就像质量、自旋和电荷那样。感受特征也是如此。哈梅罗夫和彭罗斯都认为，前意识或意识本身，或许正是嵌在这种普朗克尺度的几何结构中，正像质量、自旋和电荷构成了物质世界一样。换句话说，意识的本质特征就是它是深及宇宙的最基本尺度，并在各个尺度都保留着全部信息，所以大脑中的量子生物过程才能获得各种感受特征。