單點(diǎn)登錄技術(shù)在WEB服務(wù)中的研究與應(yīng)用.pdf

1、隨著企業(yè)信息化的發(fā)展，對(duì)計(jì)算機(jī)和信息系統(tǒng)的依賴越來越強(qiáng)。企業(yè)擴(kuò)大，業(yè)務(wù)增多，應(yīng)用系統(tǒng)越來越多。員工在使用這些系統(tǒng)過程中，必然要經(jīng)過無數(shù)次的登錄與認(rèn)證，大大降低了工作效率。同時(shí)，為了順利登錄各個(gè)系統(tǒng)，員工通常設(shè)置簡(jiǎn)單的口令或者相同的口令，這樣不管對(duì)于企業(yè)還是員工都將面臨一種信息安全危險(xiǎn)。單點(diǎn)登錄系統(tǒng)(Single Sign-On System)就是在這樣的背景下而產(chǎn)生。該系統(tǒng)的主要目標(biāo)是對(duì)用戶信息的統(tǒng)一調(diào)度，使用戶訪問諸多系統(tǒng)只需登錄認(rèn)證

2、一次，并且保證用戶信息與系統(tǒng)的安全性。 對(duì)于現(xiàn)有的單點(diǎn)登錄系統(tǒng)，大部分都是利用PKI或者Kerberos機(jī)制來實(shí)現(xiàn)的。這些傳統(tǒng)的做法都需要一個(gè)智能的客戶端(“胖客戶端”)來支持其算法。然而企業(yè)中越來越多的系統(tǒng)被設(shè)計(jì)為WEB系統(tǒng)，這既增加了用戶的方便性，也提高了企業(yè)的辦公效率。在WEB環(huán)境下，客戶端通常都是瘦客戶端的瀏覽器，不能實(shí)現(xiàn)特定算法，而且HTTP協(xié)議又是無狀態(tài)的協(xié)議，這些都與傳統(tǒng)單點(diǎn)登錄系統(tǒng)的要求不符合。 本文認(rèn)真

3、分析了Internet/Intranet環(huán)境的特點(diǎn)，并研究了大量的認(rèn)證機(jī)制，最終提出了一個(gè)WEB環(huán)境下基于Cookie的單點(diǎn)登錄模型，并實(shí)現(xiàn)了系統(tǒng)原型。該模型在設(shè)計(jì)過程中，充分考慮了安全性與方便性。整個(gè)系統(tǒng)利用LDAP技術(shù)實(shí)現(xiàn)對(duì)用戶信息和企業(yè)系統(tǒng)的管理；利用Https協(xié)議來保證數(shù)據(jù)傳輸?shù)陌踩?；采用XML作為數(shù)據(jù)交換的載體。系統(tǒng)的各個(gè)層次相對(duì)獨(dú)立，既保證了系統(tǒng)的松散禍合，同時(shí)也有利于系統(tǒng)的集成。舊的系統(tǒng)可以放棄以前的用戶登錄認(rèn)證系統(tǒng)，方