基于PKI的Web單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、本文以企業(yè)在實(shí)施Web單點(diǎn)登錄過(guò)程中的功能需求為出發(fā)點(diǎn)，以公鑰基礎(chǔ)設(shè)施PKI為信息安全解決方案，在研究和分析Web單點(diǎn)登錄相關(guān)技術(shù)基礎(chǔ)上，提出了一種基于PKI的Web單點(diǎn)登錄解決方案。用戶可以安全有效地實(shí)現(xiàn)“單點(diǎn)登錄，自由切換”。
　　 在總體模型的設(shè)計(jì)中，結(jié)合了經(jīng)紀(jì)人模型和代理模型的優(yōu)點(diǎn)。一方面，采用經(jīng)紀(jì)人模型的集中式身份認(rèn)證；另一方面，在Web應(yīng)用系統(tǒng)中加入認(rèn)證代理，代理用戶完成在應(yīng)用系統(tǒng)內(nèi)的身份認(rèn)證，增強(qiáng)了單點(diǎn)登錄服務(wù)的可

2、實(shí)施性。在登錄流程的設(shè)計(jì)中，借鑒了Kerberos協(xié)議的基于票據(jù)訪問(wèn)的設(shè)計(jì)思想，在單點(diǎn)登錄服務(wù)器端，為通過(guò)身份認(rèn)證的用戶生成基本票據(jù)，為用戶訪問(wèn)Web應(yīng)用系統(tǒng)生成服務(wù)票據(jù)。在身份認(rèn)證設(shè)計(jì)中，采用了基于USB Key的數(shù)字證書(shū)雙向認(rèn)證方式，同時(shí)保證了用戶和單點(diǎn)登錄服務(wù)器的合法性。系統(tǒng)還提供了“單點(diǎn)登出”功能，當(dāng)用戶從某個(gè)應(yīng)用系統(tǒng)登出，會(huì)觸發(fā)他從已經(jīng)登錄過(guò)的所有應(yīng)用系統(tǒng)中登出，保證了用戶全局登錄狀態(tài)的一致性。系統(tǒng)對(duì)安全日志審核功能也提供了一