隨著在線交易和電子商務(wù)的發(fā)展,身份認(rèn)證變得越來越重要。身份認(rèn)證技術(shù)能夠密切結(jié)合企業(yè)的業(yè)務(wù)流程,阻止對重要資源的非法訪問。也可以說,身份認(rèn)證是整個信息安全體系的基礎(chǔ)。
最簡單的身份認(rèn)證就是密碼。密碼簡單易用,但是,任何數(shù)字超過三到四個組合時就會變得讓人生厭。在公司里,用戶可能需要進(jìn)入15~20個不同的應(yīng)用才能完成他們的工作,在這樣的條件下,密碼認(rèn)證不僅成了一種低級的認(rèn)證方式,而且還會影響員工的工作效率。
另外,企業(yè)業(yè)務(wù)正常運營時,企業(yè)用戶需要同時訪問多個業(yè)務(wù)系統(tǒng),并經(jīng)常瀏覽企業(yè)內(nèi)部網(wǎng)中的相關(guān)信息資源。由于用戶在訪問不同業(yè)務(wù)系統(tǒng)時需要獨立訪問該業(yè)務(wù)系統(tǒng);同時,用戶需要在各系統(tǒng)間頻繁地切換,操作較復(fù)雜,無法快速地獲得相關(guān)業(yè)務(wù)信息并加以分析利用,此外,用戶在進(jìn)行業(yè)務(wù)操作時,需要分別登錄到不同的應(yīng)用系統(tǒng)中,由于系統(tǒng)較多,用戶賬號或密碼遺忘現(xiàn)象時有發(fā)生,或者一套簡單用戶名和密碼多系統(tǒng)使用,造成保密強度降低等問題。
于是,人們開始考慮用單點登錄技術(shù)(Single Sign-On,SSO)來提供最為廣泛的應(yīng)用范圍,同時減少了基于口令的訪問控制所帶來的管理負(fù)擔(dān)、成本及用戶煩惱。提供所有這些優(yōu)點的同時可以加強安全性并提高用戶的生產(chǎn)效率。企業(yè)希望通過實施建立企業(yè)級的單點登錄系統(tǒng)和安全防護(hù)系統(tǒng),為企業(yè)用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口,建立統(tǒng)一的、基于角色的和個性化的信息訪問、集成平臺;通過實施單點登錄功能,使用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的應(yīng)用系統(tǒng),提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性;在此基礎(chǔ)上進(jìn)一步實現(xiàn)企業(yè)用戶高速協(xié)同辦公和企業(yè)知識管理功能。
在啟用了SSO的環(huán)境中,每個用戶的身份認(rèn)證定義了他能在網(wǎng)絡(luò)上做什么。因此,用戶只需登錄一次,就可以得到對網(wǎng)絡(luò)中所有應(yīng)用程序和數(shù)據(jù)的相應(yīng)訪問權(quán)限。實際應(yīng)用中,雖然用戶毫不例外地都喜歡SSO的“魔力”,但一些IT管理員擔(dān)心,一次登錄就能夠訪問多個應(yīng)用程序會使攻擊者對網(wǎng)絡(luò)的破壞范圍更大。事實并非如此,當(dāng)用戶不得不維護(hù)多個用戶名和口令時,他們更傾向于選擇一些容易被猜出的密碼,安全性很容易受到威脅。
單點登錄系統(tǒng)采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù),對用戶實行集中統(tǒng)一的管理和身份認(rèn)證,并作為各應(yīng)用系統(tǒng)的統(tǒng)一登錄入口,同時為通過身份認(rèn)證的合法用戶簽發(fā)針對各個應(yīng)用系統(tǒng)的登錄票據(jù),從而實現(xiàn)“一點登錄、多點漫游”。 必要時,單點登錄系統(tǒng)能夠與統(tǒng)一權(quán)限管理系統(tǒng)實現(xiàn)無縫結(jié)合,簽發(fā)合法用戶的權(quán)限票據(jù),從而能夠使合法用戶進(jìn)入其權(quán)限范圍內(nèi)的各應(yīng)用系統(tǒng),并完成符合其權(quán)限的操作。
