基于改進(jìn)Kerberos協(xié)議的單點(diǎn)登錄系統(tǒng)研究與實(shí)現(xiàn).pdf

1、近年來，隨著企業(yè)信息化進(jìn)程的不斷加快，企業(yè)在不同時期開發(fā)了多個Web應(yīng)用系統(tǒng)，而這些系統(tǒng)一般都是獨(dú)立開發(fā)的，都有自己認(rèn)證和授權(quán)模塊。當(dāng)企業(yè)用戶要訪問多個應(yīng)用系統(tǒng)時，需要多次輸入帳號和口令進(jìn)行身份認(rèn)證，給用戶帶了不便，同時也增加了用戶帳號和口令泄露的危險(xiǎn)。企業(yè)需要一個能夠?qū)τ脩暨M(jìn)行統(tǒng)一認(rèn)證和集中授權(quán)的平臺，用戶只要一次通過平臺認(rèn)證，就可以訪問授權(quán)的應(yīng)用資源，單點(diǎn)登錄正是為解決這個需求而提出的。
　　 本文研究課題建立在一個企業(yè)門戶

2、資源管理系統(tǒng)的單點(diǎn)登錄需求之上，企業(yè)用戶通過門戶系統(tǒng)進(jìn)行統(tǒng)一的身份認(rèn)證和授權(quán)后，就可以訪問集成在門戶上應(yīng)用系統(tǒng)。在對單點(diǎn)登錄相關(guān)技術(shù)進(jìn)行了研究和分析，并詳細(xì)分析了Kerberos協(xié)議認(rèn)證過程存在的安全問題后，提出了一個改進(jìn)的Kerberos認(rèn)證模型。改進(jìn)的模型引入公鑰密碼體制和USBKey雙因素認(rèn)證解決了Kerberos口令猜測攻擊和密鑰存儲管理問題；采用隨機(jī)數(shù)代替時間戳，有效減少了對時鐘同步的依賴；引入輕量級票據(jù)保證了票據(jù)的安全。

3、r>　　 根據(jù)企業(yè)實(shí)際的需求，并在改進(jìn)的Kerberos認(rèn)證模型的基礎(chǔ)上，本文設(shè)計(jì)了一個單點(diǎn)登錄系統(tǒng)，該系統(tǒng)主要有以下幾個功能：
　　 ①統(tǒng)一身份認(rèn)證。用戶用USBKey首先在客戶端完成雙因素認(rèn)證，然后用存儲在USBKey中的數(shù)字證書與中心認(rèn)證授權(quán)服務(wù)器進(jìn)行身份認(rèn)證。
　　 ②集中授權(quán)。通過服務(wù)訪問票據(jù)和RBAC相結(jié)合的方式來實(shí)現(xiàn)訪問控制。
　　 ③用戶管理。門戶系統(tǒng)管理員可以對用戶進(jìn)行統(tǒng)一管理，包括用戶管理、

4、用戶組管理和用戶映射等。
　　 ④應(yīng)用系統(tǒng)管理。提供應(yīng)用系統(tǒng)注冊、信息修改和刪除功能。
　　 本文在JavaEE平臺下實(shí)現(xiàn)了單點(diǎn)登錄系統(tǒng)。系統(tǒng)通過建立CA負(fù)責(zé)用戶數(shù)字證書的簽發(fā)、公/私鑰產(chǎn)生，將用戶的數(shù)字證書和私鑰存儲在用戶的USBKey中，同時將用戶的數(shù)字證書存儲在LDAP目錄服務(wù)器中用于認(rèn)證；通過Web Service提供的接口進(jìn)行統(tǒng)一身份認(rèn)證。在應(yīng)用系統(tǒng)集成的方式上采用了兩種方案：對于較難改造的應(yīng)用系統(tǒng)，采用應(yīng)用系