統(tǒng)一認(rèn)證和訪問(wèn)控制技術(shù)的研究與應(yīng)用.pdf

1、統(tǒng)一身份認(rèn)證也稱為單點(diǎn)登錄，是指在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。目前，很多企業(yè)和機(jī)關(guān)內(nèi)部存在多個(gè)不同的應(yīng)用系統(tǒng)，用戶為了訪問(wèn)這些應(yīng)用系統(tǒng)，需要多次輸入相應(yīng)的用戶名和口令進(jìn)行登錄，使用很不方便，而且頻繁的輸入還會(huì)給系統(tǒng)帶來(lái)安全隱患。單點(diǎn)登錄就是為解決這個(gè)問(wèn)題而提出的。
　　 本文的主要工作包括兩部分：一部分為統(tǒng)一身份認(rèn)證系統(tǒng)即單點(diǎn)登錄的設(shè)計(jì)與實(shí)現(xiàn)，另一部分為訪問(wèn)控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。這兩個(gè)部分

2、密切相關(guān)，是保障系統(tǒng)安全的重要組成部分。
　　 本文首先分析了目前主流的身份認(rèn)證方式、身份認(rèn)證協(xié)議和單點(diǎn)登錄模型。采用目前主流的用戶名/密碼認(rèn)證方式，并在用戶登錄模塊中采用驗(yàn)證碼來(lái)防范暴力攻擊。由于Web環(huán)境的特殊性，采用cookie作為身份票據(jù)的保存方案，使用跳轉(zhuǎn)代理在各個(gè)Web域之間傳送身份票據(jù)。同時(shí)，考慮到目前普遍應(yīng)用的Kerberos協(xié)議不適合Web環(huán)境以及PKI系統(tǒng)過(guò)于臃腫和復(fù)雜，提出了一個(gè)安全性較好的、適合Web環(huán)境