分布式環(huán)境下統(tǒng)一身份認證系統(tǒng)的設計與實現(xiàn).pdf

1、隨著信息技術的日益發(fā)展，各種基于互聯(lián)網的應用系統(tǒng)不斷被開發(fā)出來。由于各個應用系統(tǒng)均有一套自己的安全策略和用戶認證的方法，當用戶面對多個系統(tǒng)時，需要多次驗證身份。統(tǒng)一身份認證系統(tǒng)能夠將多個不同應用系統(tǒng)的用戶進行集中的管理、認證，用戶進行一次認證，即可訪問各個系統(tǒng)，較大的提高了用戶的使用體驗和安全性。
　　 論文在分析了國內外現(xiàn)有的幾種統(tǒng)一身份認證的實現(xiàn)機制特點的基礎上，從中型企業(yè)的資源管理項目身份認證管理的需求出發(fā)，提出了一個基于

2、分布式環(huán)境下的統(tǒng)一身份認證的模型。本模型將基于用戶代理的安全信任鏈機制引入到身份認證的過程中，通過用戶代理的建立和代理證書的認證，有效減少認證服務器的負擔，提高整個統(tǒng)一身份認證系統(tǒng)的安全性。為了更好的管理權限，本模型采用基于RBAC模型的權限管理方式，相對于傳統(tǒng)的權限管理采用的用戶-權限的緊密聯(lián)系的方式，其用戶-角色-權限的結構能夠將用戶與權限分離，有效提高了管理的靈活性和安全性；安全證書是身份認證的一個關鍵，本模型中使用了基于X.50

3、9格式的安全證書；鑒于LDAP的對查詢操作的優(yōu)化，以及較高的安全性，模型中采用LDAP目錄服務來存儲和管理安全證書。
　　 在本次企業(yè)資源計劃的項目中，為了更好的實現(xiàn)身份認證管理模塊，引入信任鏈機制，使得用戶登錄的次數(shù)減少，用戶的認證信息輸入確認只發(fā)生在中心的認證服務器上，用戶密碼不會經過第三方應用服務器，這樣極高的減少了用戶密碼泄密的可能性，而且認證服務器的負載可以依據(jù)任務量較為均衡的分布在其他的服務結點上。隨著統(tǒng)一身份認證系