基于改進(jìn)Kerberos協(xié)議的單點(diǎn)登錄系統(tǒng)研究與實(shí)現(xiàn).pdf

1、近年來(lái)，隨著企業(yè)信息化進(jìn)程的不斷加快，企業(yè)在不同時(shí)期開(kāi)發(fā)了多個(gè)Web應(yīng)用系統(tǒng)，而這些系統(tǒng)一般都是獨(dú)立開(kāi)發(fā)的，都有自己認(rèn)證和授權(quán)模塊。當(dāng)企業(yè)用戶(hù)要訪(fǎng)問(wèn)多個(gè)應(yīng)用系統(tǒng)時(shí)，需要多次輸入帳號(hào)和口令進(jìn)行身份認(rèn)證，給用戶(hù)帶了不便，同時(shí)也增加了用戶(hù)帳號(hào)和口令泄露的危險(xiǎn)。企業(yè)需要一個(gè)能夠?qū)τ脩?hù)進(jìn)行統(tǒng)一認(rèn)證和集中授權(quán)的平臺(tái)，用戶(hù)只要一次通過(guò)平臺(tái)認(rèn)證，就可以訪(fǎng)問(wèn)授權(quán)的應(yīng)用資源，單點(diǎn)登錄正是為解決這個(gè)需求而提出的。
　　 本文研究課題建立在一個(gè)企業(yè)門(mén)戶(hù)

2、資源管理系統(tǒng)的單點(diǎn)登錄需求之上，企業(yè)用戶(hù)通過(guò)門(mén)戶(hù)系統(tǒng)進(jìn)行統(tǒng)一的身份認(rèn)證和授權(quán)后，就可以訪(fǎng)問(wèn)集成在門(mén)戶(hù)上應(yīng)用系統(tǒng)。在對(duì)單點(diǎn)登錄相關(guān)技術(shù)進(jìn)行了研究和分析，并詳細(xì)分析了Kerberos協(xié)議認(rèn)證過(guò)程存在的安全問(wèn)題后，提出了一個(gè)改進(jìn)的Kerberos認(rèn)證模型。改進(jìn)的模型引入公鑰密碼體制和USBKey雙因素認(rèn)證解決了Kerberos口令猜測(cè)攻擊和密鑰存儲(chǔ)管理問(wèn)題；采用隨機(jī)數(shù)代替時(shí)間戳，有效減少了對(duì)時(shí)鐘同步的依賴(lài)；引入輕量級(jí)票據(jù)保證了票據(jù)的安全。

3、r>　　 根據(jù)企業(yè)實(shí)際的需求，并在改進(jìn)的Kerberos認(rèn)證模型的基礎(chǔ)上，本文設(shè)計(jì)了一個(gè)單點(diǎn)登錄系統(tǒng)，該系統(tǒng)主要有以下幾個(gè)功能：
　　 ①統(tǒng)一身份認(rèn)證。用戶(hù)用USBKey首先在客戶(hù)端完成雙因素認(rèn)證，然后用存儲(chǔ)在USBKey中的數(shù)字證書(shū)與中心認(rèn)證授權(quán)服務(wù)器進(jìn)行身份認(rèn)證。
　　 ②集中授權(quán)。通過(guò)服務(wù)訪(fǎng)問(wèn)票據(jù)和RBAC相結(jié)合的方式來(lái)實(shí)現(xiàn)訪(fǎng)問(wèn)控制。
　　 ③用戶(hù)管理。門(mén)戶(hù)系統(tǒng)管理員可以對(duì)用戶(hù)進(jìn)行統(tǒng)一管理，包括用戶(hù)管理、

4、用戶(hù)組管理和用戶(hù)映射等。
　　 ④應(yīng)用系統(tǒng)管理。提供應(yīng)用系統(tǒng)注冊(cè)、信息修改和刪除功能。
　　 本文在JavaEE平臺(tái)下實(shí)現(xiàn)了單點(diǎn)登錄系統(tǒng)。系統(tǒng)通過(guò)建立CA負(fù)責(zé)用戶(hù)數(shù)字證書(shū)的簽發(fā)、公/私鑰產(chǎn)生，將用戶(hù)的數(shù)字證書(shū)和私鑰存儲(chǔ)在用戶(hù)的USBKey中，同時(shí)將用戶(hù)的數(shù)字證書(shū)存儲(chǔ)在LDAP目錄服務(wù)器中用于認(rèn)證；通過(guò)Web Service提供的接口進(jìn)行統(tǒng)一身份認(rèn)證。在應(yīng)用系統(tǒng)集成的方式上采用了兩種方案：對(duì)于較難改造的應(yīng)用系統(tǒng)，采用應(yīng)用系