稅務(wù)系統(tǒng)中單點(diǎn)登錄技術(shù)的研究與應(yīng)用.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,稅務(wù)系統(tǒng)電子政務(wù)網(wǎng)不斷完整和規(guī)范,系統(tǒng)規(guī)模變的越來(lái)越大,用戶(hù)如果要登錄多個(gè)系統(tǒng),不僅要面對(duì)多個(gè)登錄界面,可能還要記憶不同的用戶(hù)名和口令。每個(gè)系統(tǒng)有各自的賬號(hào)管理系統(tǒng),互不信任。系統(tǒng)管理員不得不維護(hù)多個(gè)系統(tǒng)中的用戶(hù)信息,保證數(shù)據(jù)的一致性。隨著用戶(hù)登錄系統(tǒng)的增多,出錯(cuò)的可能性就會(huì)增加,受到非法截獲和破壞的可能性也會(huì)增大,安全性就會(huì)降低?；谛屎桶踩纫蛩氐目紤],迫切需要一種高效、安全的網(wǎng)絡(luò)認(rèn)證機(jī)制-單點(diǎn)登錄(Singl

2、e Sign-On)技術(shù),即用戶(hù)只需在網(wǎng)絡(luò)中主動(dòng)地進(jìn)行一次身份認(rèn)證,隨后便可以訪(fǎng)問(wèn)其被授權(quán)的所有網(wǎng)絡(luò)資源,而不需要再主動(dòng)參與其他的身份認(rèn)證過(guò)程。本論文研究并實(shí)現(xiàn)了一種企業(yè)網(wǎng)絡(luò)環(huán)境下的安全性高、應(yīng)用范圍廣的單點(diǎn)登錄系統(tǒng)。該系統(tǒng)是基于目錄服務(wù)的統(tǒng)一身份認(rèn)證,采用了輕量級(jí)目錄訪(fǎng)問(wèn)標(biāo)準(zhǔn)協(xié)議,利用了目錄服務(wù)的分布式特性,將分布在各個(gè)應(yīng)用系統(tǒng)中的用戶(hù)和資源信息都組織到一個(gè)邏輯目錄樹(shù)中,很大程度上簡(jiǎn)化了認(rèn)證服務(wù)中心和各應(yīng)用系統(tǒng)之間的通信,降低了系統(tǒng)實(shí)

3、現(xiàn)的難度。目錄服務(wù)系統(tǒng)將輕量級(jí)目錄訪(fǎng)問(wèn)服務(wù)器作為身份管理的核心數(shù)據(jù)庫(kù),存儲(chǔ)用戶(hù)身份信息、角色和訪(fǎng)問(wèn)控制信息。并提供策略服務(wù)系統(tǒng),對(duì)整個(gè)系統(tǒng)用戶(hù)進(jìn)行統(tǒng)一管理的用戶(hù)管理服務(wù),以及執(zhí)行管理員制定的策略的授權(quán)服務(wù)。與數(shù)據(jù)庫(kù)為中心的分布式網(wǎng)絡(luò)系統(tǒng)相比,這實(shí)現(xiàn)方法具有良好的可擴(kuò)展性和集中管理功能,靈活性強(qiáng)、實(shí)現(xiàn)簡(jiǎn)單的特點(diǎn)。
　　本文是從稅務(wù)系統(tǒng)進(jìn)行單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)背景出發(fā),研究了系統(tǒng)的軟件構(gòu)架,認(rèn)證服務(wù)器的體系結(jié)構(gòu)和LDAP服務(wù)器。本系統(tǒng)采

4、用基于可信任第三方的Kerberos認(rèn)證協(xié)議。提出輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議和Kerberos認(rèn)證技術(shù)相結(jié)合,主要完成認(rèn)證服務(wù)器的設(shè)計(jì),認(rèn)證系統(tǒng)的基本數(shù)據(jù)結(jié)構(gòu),消息格式的定義,通過(guò)AS認(rèn)證服務(wù),TGS授權(quán)服務(wù),數(shù)據(jù)處理,線(xiàn)程處理,傳輸控制五大功能模塊,實(shí)現(xiàn)對(duì)用戶(hù)身份統(tǒng)一認(rèn)證和授權(quán)。并支持雙方認(rèn)證,極大提高了系統(tǒng)的安全系數(shù)。同時(shí),采用單點(diǎn)登錄方式通過(guò)一次身份驗(yàn)證,可以透明登錄到所有授權(quán)的應(yīng)用。通過(guò)單點(diǎn)登錄把原來(lái)分散的用戶(hù)管理集中起來(lái),可以自動(dòng)完成