摘 要:門戶網站的安全性和用戶的身份認證已經成為門戶網站的一個焦點問題。介紹了Portal安全控制方面的" title="面的">面的SSO的特點,分析了IBM WebSphere Portal在安全控制方面實現SSO的LTPA技術和它的優勢,并解決了一種在多目錄環境下通過實現LTPA名稱映射來保證安全性的方法及LTPA的配置方法。
關鍵詞:WebSphere Portal? SSO? LTPA? 安全性

?

??? 由于門戶網站的使用越來越廣泛,因此門戶網站的安全性和用戶的身份認證問題已經成為一個焦點問題。目前,許多網站都使用SSL(Secure Socket Layer) 作為網絡的傳輸安全控制手段。SSL是基于傳輸層的安全協議,即“通道安全”協議,是一種被廣泛使用的Internet傳輸加密標準。然而，SSL常常出現安全漏洞,如:黑客攻擊證書、黑客利用特洛伊木馬等手段竊取證書、系統管理員無法使用現有的安全漏洞掃描（Vulnerability Scanners）或網絡入侵偵測系統IDS（Intrusion Detection Systems）來審查或監控網絡上的SSL交易而造成安全盲點等,使網絡的安全不能得到有效的控制。而基于LTPA技術的門戶網站（Portal）能夠有效地克服這些問題。
　　Portal是一個Web站點,它為門戶用戶提供了一個訪問點,使用戶能夠訪問來自不同來源的信息和應用程序" title="應用程序">應用程序。Portal的核心服務包括:單點登錄" title="單點登錄">單點登錄SSO（Single sign on）、目錄集成、安全、訪問權限控制、加密傳輸、授權與驗證、許可權、管理功能等。Portel的一個主要作用在于提供統一的登錄界面和身份認證機制" title="認證機制">認證機制進行權限控制，使系統為用戶提供單點登錄,并根據用戶的權限進入相應的Web界面。在IBM Portal中,提供單點登錄的LTPA技術使Portal的安全控制得到了很好的實現。
1 Portal的安全控制問題
　　當今門戶網站已經越來越多地應用到網站的設計與構架中。IBM WebSphere Portal在門戶網站設計構架的安全性處理和用戶認證控制等焦點問題方面有相當的優勢，其產品中的Portal Server、WebSphere Application erver、Lotus Domino Application Server等服務器組件，使用了同一種認證及單點登錄記號的LTPA技術來提供單點登錄,該技術保障了所創建出的門戶網站的用戶認證和安全性。
2 單點登錄
??? SSO是Portal的一個特點。用戶位于Web瀏覽器中瀏覽某DNS中的URL時,結構良好的SSO部署將允許每個會話中僅提示用戶登錄一次,且用戶必須輸入自己的用戶名和口令。這個DNS的Web應用服務器成功驗證了用戶的口令后授予用戶對這個URL的訪問權限，就可以瀏覽SSO環境中的其他URL而不需要再次登錄。
　　SSO可讓網絡使用者在單一驗證的基礎上天衣無縫地存取所有已授權的網絡資源,而不需要記憶許多組不同的使用者的名稱和密碼,提高了網絡使用者的生產力,降低了網絡作業的費用,提高了網絡安全。對于系統管理者而言,將呈現出簡易管理和系統控制以及網絡安全方面的優越機制。SSO不但給門戶網站帶來了使用者的便利性和網絡系統的安全性,而且提升了門戶網站擁有者的整體形象。
　　要實現SSO,關鍵是在用戶登錄后,SSO服務器和應用程序能夠識別用戶。在部署了IBM產品的Web環境中,在場景后臺用來實現SSO的就是輕量級第三方" title="第三方">第三方認證（LTPA）。LTPA 技術允許SSO服務器在用戶登錄后標識他們,它能夠用于各種各樣的IBM產品,并且由于IBM遵循開放體系結構,在LTAP 中為WebSphere和Domino提供了嵌入點,允許將第三方的SSO應用程序合并到LTPA解決方案中。
3? 輕量級第三方認證
　　LTPA(Lightweight Third Party Authentication)技術是IBM的標準。當某用戶訪問某WebSphere URL時,系統會提示他輸入用戶名和口令進行登錄。這時用戶可以輸入他的惟一標識符,通過驗證后,Web服務器將把該用戶的Web 瀏覽器中顯示的Web 站點內容發送回來。在場景后臺,WebSphere入口網站服務器將會建立包含已鑒別使用者認證的單點登錄Cookie(默認值是LTPA記號),并且會一直發送該cookie, 而瀏覽器通常的默認設置是允許接收cookie的,因此用戶的瀏覽器將保存這個cookie。 LTPA cookie是臨時的,只在瀏覽器內存中存留,用戶如果關閉瀏覽器,cookie就會被永久刪除。LTPA cookie的特點如下：
　　(1)LTPA cookie是一種典型的瀏覽器cookie,它保存的信息表示該用戶已經進行了登錄。所有的瀏覽器cookies都有名稱等標準屬性。LTPA cookie特有的名稱是LtpaToken。當配置 SSO時,在配置實用工具中,通常將LTPA cookie稱為SSO LTPA“令牌”。LTPA cookie有一個被編碼值,隱藏起cookie中包含的重要信息并且通過Internet傳輸。
　　(2)LTPA cookie 具有典型的瀏覽器cookie的相關域的信息。例如，當用戶在university（http://university.edu.cn/learn）登錄時,university服務器創建了LTPA cookie。university服務器在edu.cn域中,因此cookie域信息被設置為edu.cn，這表示該cookie只能在edu.cn DNS域中使用。LTPA的實現依賴于具有域信息的瀏覽器cookies,因此，通常SSO環境必須部署到單一DNS域中,即每臺服務器都在同一DNS域中。
　　(3)在用戶已經登錄并且該用戶的瀏覽器接收到 LTPA cookie以后,在HTTP通信中不再需要進行特定的配置,瀏覽器運行的標準方法就是瀏覽器將自動發送該cookie。瀏覽器不斷地向任何正確的DNS域中的URL目標發送HTTP請求，通過這種途徑不斷地向外發送LPTA cookie。當SSO服務接收到HTTP請求并且發現請求中包含了LTPA cookie時,服務器將驗證cookie，隨即可知道該cookie屬于哪一位已經登錄的用戶，服務器就可以允許這個用戶對這臺服務器進行適當的訪問。瀏覽器的任務就是確定在什么時候應該隨同HTTP通信一起發出LTPA cookie。當用戶瀏覽到一個不在同一DNS域中的URL時, 因為該cookie不適用于這個新的DNS域,瀏覽器則不會發送 LTPA cookie,新的DNS目標的接收服務器就不知道用戶是誰,這時會提示用戶輸入他的用戶名和口令。
　　(4)LTPA cookie是安全的,因為服務器在創建它時，使用一組加密密鑰進行了安全加密。加密密鑰用于對cookie進行編碼,編碼后的cookie傳送到用戶瀏覽器,而瀏覽器只對有加密密鑰的cookie進行解碼和驗證cookie的完整性,并隨時檢測cookie是否被篡改過。在SSO環境中的所有服務器必須共享同一個加密密鑰。當SSO服務器接收到HTTP請求并發現其中包含LTPA cookie時,就使用它共享的加密密鑰副本驗證cookie,這時有效的cookie信息就使服務器能夠識別出登錄的用戶。
　　SSO服務器使用的安全加密確保了沒有任何偽造cookie的機會。沒有加密密鑰,其他非法 的cookie不會通過驗證,偽造的cookie將被忽略。因此，SSO服務器不會被入侵。
　　在WebSphere Portal環境中,LTPA加密密鑰通常在配置SSO時由WebSphere 創建。管理員可以將密鑰導出到文件中,然后轉移該文件到其他的SSO服務器（例如Domino）,在那里導入密鑰。系統的管理維護人員應該非常小心地處理密鑰文件,把所有的副本保護好。
　　這樣,LTPA技術就實現了WebSphere Portal門戶網站的安全性。
4? 一種多目錄環境的名稱映射
　　在Portal環境中,尤其是在一個不斷更新的復雜環境中,經常出現有多個目錄的情況。這些目錄中使用了多個名稱格式,如在兩臺不同的服務器中使用了兩個目錄,當用戶在兩個目錄中的名稱不同時，SSO就會發生問題。這時可以用下面的方法加以解決：
　　有時用戶需要同時訪問輕型目錄訪問協議LDAP（Lightweight Directory Access Protocol）目錄和Domino目錄,而這兩個目錄都要管理SSO信息。此時用戶的LTPA cookie要在兩個服務器間切換。當用戶切換到DWA portlet時,LtpaToken包含的用戶名通過HTTP發送,這時管理員可以修改該用戶的個人文檔,添加“uid=‘用戶名’/ou=secret/dc=university/dc=com”到該用戶全名稱域的輔助值中。這樣Domino Web Access服務器會在Domino Directory中搜索LtpaToken中包含的值,并且將找到一個匹配的值,因為這個值包含在個人文檔里。Domino把這個名稱解析為 Domino專有名稱（‘用戶真實姓名’/Secret/university）,這個名稱包含在他要訪問的porlet文件上的訪問控制列表ACL（Access Control List）里,這樣就賦予了這個用戶訪問這個porlet 的權限。在進行名稱映射時,管理員應該記住下面的規則:
　　(1)在修改Domino個人文件的FullName域時,要輸入“Domino格式”所代理的LDAP專有名稱。
　　LDAP格式: uid=‘用戶名’,ou=secret,dc=university,dc=com
　　Domino格式: uid=‘用戶名’/ou=secret/dc=university/dc=com
　　(2)在FullName域中添加LDAP DN（標識名）作為輔助值，不要添加LDAP DN作為第一或第二個值.Domino預期的主要值是Domino DN,而且第二個值是Domino的“公用名稱”。
　　(3)其他的應用程序可能會區分大小寫,而Domino是不區分大小寫的。
　　(4)為便于目錄更改,可以使用IBMTivoli Directory Integrator來實現映射策略自動地執行。
　　這樣,LTPA的一種名稱映射即完善了一種多目錄環境中的SSO,保證了portal安全控制SSO的正常運行。
5? Portal中的LTPA配置
　　在WebSphere Application ServerV5.0中查看管理控制臺頁面時,應該選擇安全性>認證機制>LTPA。如果是第一次配置安全性,則只需要密碼；選擇單一注冊（SSO），然后輸入域名；要保證啟用了SSO,而且要保證設置了適當的注冊表；如果啟用了安全性而且其中的任何屬性發生了更改,則轉至“全局安全性”面板驗證更改。
　　配置選項卡：
?? (1)配置生成密鑰來指定服務器是否將生成新的LTPA 密鑰。當使用LTPA作為認證機制第一次打開安全性時,可使用在面板中輸入的密碼自動生成 LTPA密鑰,也可以設置新的密鑰。
?? (2)配置導入密鑰來指定服務器是否將導入新的LTPA密鑰。在跨多個 WebSphere 域（單元）支持SSO時，事先將LTPA密鑰從一個WebSphere域導出至文件,然后從其他域中導出LTPA密鑰,并且在這些域之間共享LTPA密鑰和密碼。
?? (3)配置導出密鑰來指定服務器是否導出LTPA密鑰,這里可以將LTPA密鑰導出到其他域。在密鑰文件名字段中輸入文件名,并選擇導出密鑰,加密的密鑰將存儲在指定的文件中。
?? (4)配置密碼選項來指定密碼加密或解密LTPA密鑰。一旦生成或導入了密鑰,就將使用它們來加密或解密LTPA記號。
?? (5) 配置超時來指定LTPA記號將到期的時間段。應該確保此時間段比在“全局安全性”面板中配置的高速緩存超時要長。
?? (6)配置密鑰文件名來指定在導入或導出密鑰時所使用的文件名,可以輸入全限定的密鑰文件名,然后選擇再導入密鑰或者導出密鑰的方法。
　　采用LTPA技術,WebSphere Portal實現了門戶網站的安全控制和用戶的身份認證,保障了門戶網站內部的安全通訊和安全性。LTPA應用方便,配置簡單易行,在多服務器多目錄的較大環境下也可以比較容易地實現名稱映射,保障門戶網站安全性的流暢，充分說明了LTPA技術在安全控制方面具有一定的技術特點和優勢。

參考文獻
[1] ?BARCIA R, HINES B, ALCOTT T. IBM websphere:?deployment and advanced configuration. IBM Press, 2004.
[2] ?SMITH A E, TWOREK W. Lotus security handbook. IBM ?Press, 2005.
[3] ?BOTZUM K. websphere application server security:?Presentation series. IBM press,2004.
[4] ?KOVARI P, CARPENTER D. IBM websphere V5.0 Security WebSphere Handbook Series. IBM press, 2004.
[5] ?DARMAWAN B, FIRTIYAN A. WebSphere portal collaboration security handbook. IBM Press, 2004.