企業(yè)單點(diǎn)登錄系統(tǒng)的研究與設(shè)計(jì).pdf

1、單點(diǎn)登錄是一種新型的身份認(rèn)證和訪問(wèn)控制機(jī)制，旨在解決企業(yè)多應(yīng)用重復(fù)登錄帶來(lái)的低效率、安全性差以及管理復(fù)雜等傳統(tǒng)認(rèn)證授權(quán)機(jī)制的缺陷。它的本質(zhì)是將實(shí)際用戶映射成一個(gè)電子身份，并可以將其安全、高效地傳遞給其他應(yīng)用系統(tǒng)。這樣，用戶只需要主動(dòng)參加一次身份認(rèn)證過(guò)程，獲得合法的電子身份憑證，以后便可由單點(diǎn)登錄系統(tǒng)自動(dòng)幫助用戶完成所授權(quán)訪問(wèn)的其他應(yīng)用服務(wù)或資源。 本文從研究單點(diǎn)登錄所提供的安全服務(wù)入手，結(jié)合目前發(fā)展現(xiàn)狀，主要研究了Kerber

2、os認(rèn)證協(xié)議，針對(duì)其缺乏授權(quán)和審計(jì)等安全特性的局限性，提出了一個(gè)Kerberos授權(quán)功能擴(kuò)展模型，最后設(shè)計(jì)了一個(gè)具有良好安全特性的企業(yè)單點(diǎn)登錄系統(tǒng)。 論文的主要工作包括如下幾個(gè)方面： 1．在總結(jié)和分析目前單點(diǎn)登錄解決方案和產(chǎn)品的基礎(chǔ)上，研究了單點(diǎn)登錄的本質(zhì)，得出完整的單點(diǎn)登錄服務(wù)除了具備單點(diǎn)登錄功能之外，應(yīng)提供身份認(rèn)證、機(jī)密性、完整性、授權(quán)和審計(jì)等基本安全特性的結(jié)論。 2．系統(tǒng)研究了單點(diǎn)登錄所涉及的身份認(rèn)證和訪問(wèn)

3、控制理論，提出了一個(gè)基于角色的企業(yè)訪問(wèn)控制模型——E-RBAC，該模型具有管理直觀、簡(jiǎn)單的特點(diǎn)，最后給出了基于該模型的管理框架，為建立實(shí)用的企業(yè)權(quán)限系統(tǒng)提供了便利。 3．針對(duì)Kerberos授權(quán)機(jī)制缺乏的狀況，提出了一種基于Kerberos協(xié)議的授權(quán)功能擴(kuò)展模型，該模型在不改變Kerberos協(xié)議框架的前提下，利用Kerberos票據(jù)機(jī)制攜帶角色信息實(shí)現(xiàn)細(xì)粒度的授權(quán)服務(wù)。 4．引入公鑰基礎(chǔ)設(shè)施(PKI)，借鑒Kerber