面向IIS的單點登錄集成技術研究.pdf

1、數(shù)十年來，隨著網(wǎng)絡的迅猛發(fā)展，各種各樣的信息化系統(tǒng)不斷涌現(xiàn)。每個系統(tǒng)對應著各自不同的應用，各個系統(tǒng)為了保證其自身的安全問題，提供更為可靠的信息化服務，都會有一套自己的身份認證系統(tǒng)。信息系統(tǒng)在方便我們大家工作的時候，也必然會帶來一定的消耗，例如我們要去記住自己在各個不同的系統(tǒng)中相關口令。系統(tǒng)多了，自然麻煩。單點登錄應運而生。常見的單點登錄的框架式基于SAML2.0的，這一框架要解決的首要問題是傳統(tǒng)信息化應用系統(tǒng)與單點登錄的集成問題。信息化

2、系統(tǒng)采用的身份認證方式有HTTP的幾種協(xié)議，還包括FORM。本篇論文所要解決的關鍵問題就是搭建在IIS服務器上的WEB應用系統(tǒng)的單點登錄集成。單點登錄集成是基于SAML2.0框架的。
　　 為解決上述問題，采用微軟提供的ISAPI，開發(fā)了面向IIS服務器的插件，以實現(xiàn)對IIS服務器的功能擴展。該系列插件處理了面向IIS服務器的請求和響應，完成了單點登錄的集成。此插件在擴展IIS服務器功能的同時，并不會改變服務器原始的身份認證的機

3、制。
　　 開發(fā)的第一系列服務器插件是面向BASIC身份認證的，這一系列插件的主要工作是處理HTTP請求和響應的頭部以及驗證和解析斷言、設置Cookie等。具體主要工作是，獲取訪問的URL、修改響應頭部完成重定向、驗證身份信息的合法性、將身份和授權信息存儲在Cookie中并加密處理、解密Cookie獲取其中的授權信息、根據(jù)身份認證協(xié)議的需要構造請求頭部，斷言處理等。
　　 開發(fā)的第二系列服務器插件是面向Kerberos身

4、份認證的。本系列插件主要做的是處理HTTP請求和響應、獲取請求的URL并保存、獲取Cookie中的身份信息、判斷是否需要重定向到身份服務系統(tǒng)或者需要同KDC(Key DistributionCenter)交互構造認證頭部等。還有一個主要功能是要驗證并解析斷言，將身份信息設置在Cookie中。最后對這種單點登錄的系統(tǒng)集成進行了改進，設計了一個代理模塊，由代理模塊同KDC交互產(chǎn)生SpnegoToken，然后代理再和服務器插件通信，將Toke