文章标题:CAS取消HTTPS功能详解:操作方法与影响分析
一、引言
随着信息技术的快速发展,网络安全问题日益突出。
HTTPS作为一种广泛应用的网络安全协议,提供了数据加密和身份验证等功能,保护用户隐私和信息安全。
在某些特定情况下,需要取消CAS(Central Authentication Service)的HTTPS功能。
本文将详细介绍CAS取消HTTPS功能的操作方法以及可能产生的影响,帮助读者更好地理解和应对这一问题。
二、CAS简介
CAS是一种常用的单点登录认证系统,用于实现多系统之间的统一身份验证。
它提供了一个集中的身份验证服务,用户只需在一处进行身份验证,即可访问所有与之关联的系统。
CAS通常支持HTTP和HTTPS协议,以确保用户认证过程的安全性。
三、取消CAS HTTPS功能的操作方法
取消CAS的HTTPS功能涉及到配置文件的修改,具体步骤如下:
1. 访问CAS服务器的配置文件。配置文件通常位于CAS服务器的安装目录下,以XML或属性文件的形式存在。
2. 在配置文件中找到与HTTPS相关的配置项。这些配置项通常包括端口号、证书路径、密钥库密码等。
3. 修改配置项,将HTTPS相关的配置更改为HTTP配置。例如,将端口号从443(HTTPS默认端口)更改为80(HTTP默认端口),并将证书路径和密钥库密码等配置项设置为空或默认值。
4. 保存配置文件并重启CAS服务。修改配置文件后,需要重启CAS服务以使配置生效。
四、取消CAS HTTPS功能的影响分析
取消CAS的HTTPS功能会对系统产生一定的影响,主要表现在以下几个方面:
1. 安全性降低:HTTPS协议提供了数据加密和身份验证等功能,取消HTTPS功能后,用户认证过程的数据将不再加密,存在被窃取或篡改的风险。未经身份验证的用户可能能够访问CAS服务,导致非法访问和恶意攻击的风险增加。
2. 用户隐私受损:取消HTTPS功能后,用户的登录信息、访问记录等敏感数据将不再受到保护,可能导致用户隐私泄露。
3. 用户体验下降:取消HTTPS功能可能导致浏览器显示不安全的警告,使用户对系统的信任度降低。由于安全性降低,用户可能需要频繁重新登录,影响使用体验。
在某些特定情况下,由于网络架构、业务需求等原因,可能需要取消CAS的HTTPS功能。
例如,在某些内部网络环境中,设备之间的通信已经通过其他安全措施进行保护,可能无需使用HTTPS协议。
在某些测试环境中,为了方便测试和开发,可能会选择关闭HTTPS功能。
五、应对措施与建议
在取消CAS HTTPS功能时,需要权衡安全性和业务需求之间的关系。如果确实需要取消HTTPS功能,建议采取以下措施:
1. 加强其他安全措施:在取消HTTPS功能的同时,需要加强其他安全措施,如防火墙、入侵检测系统等,以确保系统的安全性。
2. 限制访问权限:对CAS服务的访问进行严格的权限控制,只允许授权用户访问,减少非法访问和恶意攻击的风险。
3. 及时通知用户:在取消HTTPS功能后,及时通知用户相关风险,并提醒用户注意账户安全和个人隐私保护。
4. 考虑使用HTTP协议的其他安全机制:尽管HTTP协议本身不如HTTPS安全,但可以考虑使用其他安全机制来增强HTTP的安全性,如HTTP BasicAuthentication、HTTP Digest Authentication等。
六、结论
取消CAS的HTTPS功能可能会对系统的安全性、用户隐私和用户体验产生一定的影响。
在决定是否取消该功能时,需要综合考虑业务需求、安全性和其他安全措施等因素。
如果确实需要取消HTTPS功能,建议采取上述措施以降低风险。
同时,建议持续关注网络安全技术的发展,考虑将CAS升级到支持更高级别安全协议的版本,以提高系统的安全性和稳定性。
电脑开机几分钟无缘无故自动关机
风扇上过几次油就废了
估计还是风扇原因
刚开机转速不够 所以会关机
CAS TGC 安全性问题
CAS 的安全性是一个非常重要的 Topic 。
CAS 从 v1 到 v3 ,都很依赖于 SSL ,它假定了这样一个事实,用户在一个非常不安全的网络环境中使用 SSO , Hacker 的 Sniffer 会很容易抓住所有的 Http Traffic ,包括通过 Http 传送的密码甚至 Ticket 票据。
TGC/PGT 安全性 对于一个 CAS 用户来说,最重要是要保护它的 TGC ,如果 TGC 不慎被 CAS Server 以外的实体获得, Hacker 能够找到该 TGC ,然后冒充 CAS 用户访问所有授权资源。
SSO 的安全性问题比普通应用的安全性还要严重,因为 SSO 存在一种门槛效应。
以前即使 Hacker 能够截获用户在 Web 应用 A 的密码,它也未必能知道用户在 Web 应用 B 的密码,但 SSO 让 Hacker 只需要截获 TGC( 突破了门槛 ) ,即能访问所有与该用户相关的所有应用系统。
PGT 跟 TGC 的角色是一样的,如果被 Hacker 获得,后果可想而知。
从基础模式可以看出, TGC 是 CAS Server 通过 SSL 方式发送给终端用户,因此,要截取 TGC 难度非常大,从而确保 CAS 的安全性。
因此,某些人认为 CAS 可以不使用 SSL 的想法需要更正一下, CAS 的传输安全性仅仅依赖与 SSL 。
跟 Kerberos 一样 TGT , TGC 也有自己的存活周期。
下面是 CAS 的 中,通过 grantingTimeout 来设置 CAS TGC 存活周期的参数,参数默认是 120 分钟,在合适的范围内设置最小值,太短,会影响 SSO 体验,太长,会增加安全性风险。
<context-param><param-name></param-name><param-value>7200</param-value></context-param>TGC 面临的风险主要并非传输窃取。
比如你登陆了之后,没有 Logout ,离开了电脑,别人就可以打开你的浏览器,直接访问你授权访问的应用 ) ,设置一个 TGC 的有效期,可以减少被别人盗用,或者被 Hacker 入侵你的电脑直接获取你系统目录下的 TGC Cookie 。
Service Ticket/Proxy Ticket 安全性 首要明白, Service Ticket 是通过 Http 传送的,以为着所网络中的其他人可以 Sniffer 到其他人的 Ticket 。
CAS 协议从几个方面让 Service Ticket 变得更加安全。
l Service Ticket 只能使用一次。
CAS 协议规定,无论 Service Ticket 验证是否成功, CAS Server 都会将服务端的缓存中清除该 Ticket ,从而可以确保一个 Service Ticket 被使用两次。
l Service Ticket 在一段时间内失效。
假设用户拿到 Service Ticket 之后,他请求 helloservice 的过程又被中断了, Service Ticket 就被空置了,事实上,此时, Service Ticket 仍然有效。
CAS 规定 Service Ticket 只能存活一定的时间,然后 CAS Server 会让它失效。
通过在 中配置下面的参数,可以让 Service Ticket 在多少秒内失效。
<context-param><param-name></param-name><param-value>300</param-value></context-param>该参数在业务应用的条件范围内,越小越安全。
l Service Ticket 是基于随机数生成的。
Service Ticket 必须足够随机,如果 Service Ticket 生成规则被猜出(如果你使用了 ST+Helloservice+ 自增序列的方式, Hacker 就可以构造下一个 Ticket ), Hacker 就等于绕过 CAS 认证,直接访问所有服务。
什么楼宇自动化系统(BAS)
楼宇自动化系统BAS (building automation system) BAS所涉及的内容。
一座现代化建筑往往包括这些设备的全部或大部分。
随着建筑物的规模增大,标准提高,这些设备的种类、数量急剧增加,要求的监测控制点可多达几千点至上万点。
这些设备和测量控制点一般分散到建筑物的各层和各个角落,因此采用分散管理,就地监测和操作将占用大量人力资源,有时几乎难以实现。
利用计算机和网络技术,对这些设备进行集中管理和自动监测,对节省运行人力,保持设备正常,具有极大的意义。
同时通过计算机系统及时启停各有关设备,避免设备不必要的运行,又可以节省系统运行能耗。
这样,BAS系统的主要目的就是:提高系统管理水平;降低维护管理人员工作量;节省运行能耗. BAS子系统:1 电力供应系统 2 照明系统 3 空调系统 4 给排水系统5 消防系统6 保安系统 7 交通系统8 BAS的集中管理与协调 BAS内诸系统尽管错综复杂,种类繁多,但最低层仍是探测各物理量的各种传感器、执行控制动作的各种执行器以及直接连接这些传感器、执行器的现场计算机(又称DCU,RTU,DDC分站等)。
这些现场计算机接收相应的传感受器信息,并将其转换为数字信号,随时向上一级管理计算机发送,再根据上一级的管理计算机命令及传感器测出的系统状态,驱动执行器完成所要求的控制调节任务。
系统涉及的监控对象不同,传感器、执行器会很不相同。
前几讲中已对空调的冷热源及水系统等在这一层次的系统配置做了较详细的讨论。
电力、照明、给排水系统除传感器、执行器不同外,此层次的结构和基本配置思想与空调系统相同。
消防、保安系统的主要特点是采用多个探测测头共用总线的方式。
此总线连入区域控制器,在区域控制器解码,确定出每个探测器的输出状态。
这样,区域控制器也类似于一台现场控制机,由此,在现场控制机这一层次以上,各分系统就无大区别。
所要研究的问题成为如何将分布于建筑物各处的现场控制机连接,以实现它们之间的数据交换。
如何设置各分系统的管理级计算机及BAS总的管理中央计算机,什么样的管理组态软件适宜系统管理控制等。
本文转自建材机械设备网:

