云计算综合信息服务平台下基于REST的单点登录模型设计与研究

云计算技术的发展，使得互联网应用系统的开发过程日趋平台化。云计算结合信息服务平台组成了现代信息服务基础设施。基于云计算综合信息服务平台的应用服务更加丰富多样，这些应用都需要统一的身份认证和访问控制管理机制，以提高应用开发的便捷性和安全性。单点登录系统就是实现这一机制不可缺少的功能模块。本文通过介绍一种基于REST协议并且具有高效性、扩展性的单点登录模型，着重解决系统设计与研究过程中的票据分发和维护等关键问题，说明系统实现过程中的流程规范，并进一步讨论集中式单点登录系统中的安全及性能优化的主要方向。

身份认证是网络通信中建立可信安全通道的重要过程，是安全信息系统的“门禁”模块[1]。大多数互联网应用的软件结构中离不开身份认证模块的设计和实现。

云计算是一种模型， 它可以实现随时随地， 便捷地，随需应变地从可配置计算资源共享池中获取所需的资源(例如，网络、服务器、存储、应用、及服务)，资源能够快速供应并释放，使管理资源的工作量和与服务提供商的交互减小到最低限度[2]。云计算是继分布式计算、网格计算对等计算之后的一种新型计算模式，它以资源租用、应用托管、服务外包为核心[3]。云计算结合已有的综合信息服务资源(北斗导航系统，车联网服务，道路信息监控服务等等)共同构成现代化云计算综合信息服务平台。基于该平台的软件开发过程进一步被简化。大量依托于平台服务的软件被开发出来。这些软件几乎都需要实现身份认证与访问控制等基本安全控制模块的功能，重复地开发这些模块将导致大量冗余的工作， 并且使得安全质量的控制更加困难。

单点登录(Single Sign-On SSO)提供一种机制，让不同的应用系统迅速获得统一的认证功能，实现全局、安全的软件环境[4]。该机制使得用户在完成一次登录后，能够在多个应用系统之间共享身份认证结果，同样在一次登出操作后， 即完成对所有相应的应用系统的登出功能。云计算平台下应用开发更加依赖于平台服务，单点登录系统可以作为统一的安全认证模块，整合于云计算平台基础服务组件中。

单点登录系统已经在传统的互联网应用以及企业应用中有一定的应用。目前也有一些相对规范的解决方案，如Microsoft 公司的Passport，IBM 的WebSphere Portal Server 等成熟的商业解决方案，以及如CAS 协议这样的开源的SSO 系统实现方案。

这些实现方案所针对的侧重点方面有所不同， 并且所完成的功能早已超出了单纯的单点登录功能范畴。并且系统的模块实现复杂，没有更多地考虑到云计算平台开发的互联网特性，而是更加适合传统的企业级应用，更加关注安全性，稳定性等。在实际互联网应用中往往存在复杂度高，不够灵活，扩展新差，分布式并发性能低等缺点。本文将讨论实现一种相对简单， 灵活的基于REST 协议的SSO 实现方案，并且讨论在云计算互联网环境下性能和安全方面的优化策略。

着重介绍系统实现的主要结构，流程规范，以及cookie 跨域等核心问题的解决方案。