門戶系統(tǒng)安全性的研究與應用.pdf

1、近年來，門戶系統(tǒng)(網(wǎng)站)建設已經(jīng)成為一種趨勢，具有長遠眼光的企業(yè)紛紛開始建設自己的企業(yè)門戶。但門戶系統(tǒng)的建設是一項覆蓋面廣的、大型復雜的系統(tǒng)工程，它與傳統(tǒng)的公共信息網(wǎng)站相比，需支持更多的接入方式，提供單點登錄、信息集成和應用集成、個性化服務、搜索功能等特性，而這些復雜的應用對門戶的安全提出了更高挑戰(zhàn)。一方面是由于門戶系統(tǒng)自身的復雜性，單一的安全技術是無法保證門戶系統(tǒng)的安全造成的，另一方面由于門戶系統(tǒng)的開放性，需要在互聯(lián)網(wǎng)上開放一些Web

2、服務，將原本內部的信息暴露出去，又沒有進行適當?shù)谋Ｗo造成的。因此，設計一個安全的企業(yè)門戶具有比較重要的理論研究意義和現(xiàn)實的社會應用價值。
　　 本文的研究以國家發(fā)改委項目——重慶港務物流集團的門戶項目為背景，針對該集團現(xiàn)有信息應用系統(tǒng)孤立、封閉的現(xiàn)狀，建立了重慶港綜合物流門戶系統(tǒng)，實現(xiàn)用戶單點登錄，以及信息、資源的集成和共享。在此基礎之上，對門戶系統(tǒng)的安全包括加密技術、身份認證、單點登錄、PKI公鑰設施等進行了深入研究，以提高門

3、戶系統(tǒng)的安全性，完善重慶港門戶系統(tǒng)的建設。
　　 本文針對現(xiàn)有門戶安全方案的優(yōu)缺點，提出了一種基于PKI的門戶安全方案。該方案涉及了PKI的使用、信息加密簽名、客戶端驗證、服務器端驗證、會話管理等技術。其中，PKI公鑰設施為系統(tǒng)信息加密簽名、身份驗證提供服務，為了簡化PKI的使用，本文采用PKI代理方式，既簡化了PKI系統(tǒng)的使用，又實現(xiàn)了門戶系統(tǒng)與PKI系統(tǒng)解耦；針對本系統(tǒng)傳輸大量的XML格式數(shù)據(jù)，系統(tǒng)中的信息加密簽名使用了WS

4、-Security規(guī)范，并將數(shù)據(jù)加密分成長信息加密和短消息加密兩種方式加密；客戶端驗證通過引入了USB Key驗證機制增強了系統(tǒng)的接入安全；服務器端驗證保證了用戶的登錄信息在不同應用系統(tǒng)之間安全交互，使得通過身份驗證的用戶可以無縫的訪問各個業(yè)務系統(tǒng)的數(shù)據(jù)資源；會話管理為用戶安全地保存了與門戶系統(tǒng)會話過程中的上下文，維護用戶的會話狀態(tài)，本文通過對SSO票據(jù)和Cookie的保護，保護用戶的會話狀態(tài)。以上技術涵蓋了門戶安全的各個方面，方案通過

5、對這些技術的使用，保證了用戶從開始登錄門戶，到使用門戶，最后注銷退出門戶的整個過程的安全。由于門戶安全的復雜性，本論文采用從局部到整體的方法研究了門戶的安全。首先，分別對各個部分的安全技術進行研究，然后將這些研究成果融合成一個整體，這樣避免了在研究的初期陷入到紛繁復雜的門戶技術中去，可以很快的進入研究主題。
　　 通過以上研究，作者設計出一種基于PKI的門戶安全方案，并與重慶港門戶系統(tǒng)項目結合，完成模型實現(xiàn)。該門戶系統(tǒng)于09年初