單點(diǎn)登錄系統(tǒng)的研究與設(shè)計(jì).pdf

1、單點(diǎn)登錄(SSO)是指在多個應(yīng)用系統(tǒng)中，用戶只需要一次登錄認(rèn)證就可以訪問所有被授權(quán)的應(yīng)用資源。近年來，隨著計(jì)算機(jī)信息系統(tǒng)的不斷發(fā)展，很多單位或企業(yè)的應(yīng)用系統(tǒng)越來越多，用戶為了訪問多個不同的應(yīng)用系統(tǒng)，需要多次輸入相應(yīng)的用戶名和口令進(jìn)行登錄驗(yàn)證，使用很不方便，而且頻繁的輸入還會給用戶和系統(tǒng)帶來安全隱患。單點(diǎn)登錄就是為解決這個問題而提出的。 目前國內(nèi)外對單點(diǎn)登錄都有一定的研究，單點(diǎn)登錄系統(tǒng)雖然出現(xiàn)的時間不長.但在市場上已經(jīng)有了豐富的產(chǎn)

2、品，如吉大正元的JITSSO系統(tǒng)、IBM的WebSphere、Microsft的NetPassport等。然而很多產(chǎn)品只是幫助用戶完成了身份認(rèn)證，而對資源的訪問控制則主要還是由各應(yīng)用系統(tǒng)自己管理，有的甚至沒有控制。這些系統(tǒng)只是解決了用戶在訪問多應(yīng)用系統(tǒng)時要輸入多個用戶名和口令的麻煩，并沒有給安全域中的用戶提供統(tǒng)一的安全平臺。 本文采用系統(tǒng)分析法，從分析單點(diǎn)登錄的背景和意義出發(fā)，說明單點(diǎn)登錄的原理，論述國內(nèi)外的發(fā)展現(xiàn)狀，然后對其相

3、關(guān)技術(shù)進(jìn)行了研究。在此基礎(chǔ)上針對目前單點(diǎn)登錄系統(tǒng)的局限性，文章提出了一個基于：PKI/PMI數(shù)字證書的單點(diǎn)登錄系統(tǒng)模型。該模型使用PKI系統(tǒng)的公鑰證書進(jìn)行身份認(rèn)證，使用PMI系統(tǒng)的屬性證書支持基于角色的訪問控制(RBAC)，完成對資源的授權(quán)管理，充分體現(xiàn)了單點(diǎn)登錄與：PKI/PMI的一體化設(shè)計(jì)。 系統(tǒng)的設(shè)計(jì)工作包括總體設(shè)計(jì)和主要功能模塊設(shè)計(jì)，主要有以下幾方面：(1)設(shè)計(jì)了基于PKI/PMI數(shù)字證書的單點(diǎn)登錄模型，通信過程采用SS

4、L思想，并使用Diffie_Hellman密鑰交換協(xié)議來產(chǎn)生會話密鑰；(2)為了方便用戶和管理，設(shè)計(jì)數(shù)字證書網(wǎng)上受理體系結(jié)構(gòu)，數(shù)字證書統(tǒng)一存儲在LDAP證書庫中，用戶持有的公鑰證書由UsbKey存儲：(3)身份認(rèn)證采用雙因子認(rèn)證和數(shù)字證書雙向認(rèn)證相結(jié)合的方式，既保證了用戶身份的真實(shí)性，又能防止服務(wù)器的假冒和欺騙；然后結(jié)合Kerberos票據(jù)機(jī)制，采用Cookie技術(shù)，設(shè)計(jì)了用戶身份憑證票據(jù)，經(jīng)加密后存儲在用戶瀏覽器中，這是單點(diǎn)登錄實(shí)現(xiàn)的

5、關(guān)鍵；(4)設(shè)計(jì)應(yīng)用授權(quán)模塊，完成了基于身份憑證和屬性證書的資源授權(quán)管理，并生成應(yīng)用授權(quán)訪問票據(jù)，憑借此票據(jù)用戶便可對資源進(jìn)行授權(quán)操作。 本文所設(shè)計(jì)的單點(diǎn)登錄系統(tǒng)，綜合了PKI、PMI、Cookie等技術(shù)，結(jié)合數(shù)字證書的特性，不僅解決了用戶在訪問多應(yīng)用系統(tǒng)時要輸入多個用戶名和口令的麻煩，而且能夠?yàn)榘踩蛑械挠脩籼峁┹^為完整的安全服務(wù)，包括統(tǒng)一的身份認(rèn)證和資源的授權(quán)管理。同時該系統(tǒng)引入加密、簽名等安全機(jī)制，具有較好的安全性，可以有