基于CAS協(xié)議的單點(diǎn)登錄系統(tǒng)的研究.pdf

1、隨著信息系統(tǒng)支持的商業(yè)應(yīng)用數(shù)量的增多，各種門戶應(yīng)用的需求也在增長。門戶應(yīng)用也變得越來越復(fù)雜，需要采用更復(fù)雜的技術(shù)來完成。門戶應(yīng)用需要逐個(gè)在用戶數(shù)據(jù)庫和應(yīng)用系統(tǒng)中去驗(yàn)證用戶信息，但是每個(gè)應(yīng)用系統(tǒng)都有不同的安全體系。一般情況下，這些應(yīng)用系統(tǒng)均沒有統(tǒng)一的認(rèn)證策略和固定的認(rèn)證框架。這樣，就導(dǎo)致了用戶需要記住多套用戶名、密碼，重復(fù)驗(yàn)證用戶身份，另一方面也導(dǎo)致了管理員和支持部門的巨大開銷，他們需要為每個(gè)應(yīng)用系統(tǒng)建立一個(gè)用戶，用戶也常常因忘記密碼而影

2、響工作。單點(diǎn)登錄能很好的解決這個(gè)問題。單點(diǎn)登錄提供統(tǒng)一的信息資源身份認(rèn)證訪問入口，成為訪問者統(tǒng)一、簡單直觀的門戶，用戶只需輸入一次登錄信息，即可根據(jù)權(quán)限訪問不同的應(yīng)用系統(tǒng)，無需重新登錄各個(gè)應(yīng)用系統(tǒng)，省卻重復(fù)驗(yàn)證的繁瑣。 本文做了三方面的工作，一是考查了當(dāng)前的幾種單點(diǎn)登錄模型，最后采用了耶魯大學(xué)的CAS認(rèn)證模型，針對(duì)模型中存在的不足之處，提出了基于CAS協(xié)議的改進(jìn)單點(diǎn)登錄模型。采用了Kerberos認(rèn)證機(jī)制加強(qiáng)了CAS認(rèn)證服務(wù)器和

3、用戶數(shù)據(jù)庫之間數(shù)據(jù)傳輸?shù)陌踩?。通過Java的兩種安全機(jī)制—JAAS和JSSE，進(jìn)一步確保了用戶和應(yīng)用系統(tǒng)之間票據(jù)傳送的安全性。二是采用MVC模式設(shè)計(jì)和實(shí)現(xiàn)了用戶管理模塊，提高了代碼的可復(fù)用性和可維護(hù)性。用戶管理模塊分為業(yè)務(wù)對(duì)象BO(Business Oblject)類、Action類、數(shù)據(jù)訪問對(duì)象DAO(Data Access Obiect)類和控制器Controller Servlet類，并配置了Log4j日志服務(wù)。三是設(shè)計(jì)和實(shí)現(xiàn)了

4、基于消息的可定制單點(diǎn)登出系統(tǒng)，管理員可根據(jù)實(shí)際情況對(duì)單點(diǎn)登錄服務(wù)器中的規(guī)則文件進(jìn)行登出規(guī)則的配置，也可根據(jù)缺省方案——單點(diǎn)登出，全局登出的登出規(guī)則。 本文首先介紹研究背景和意義，課題來源，研究的內(nèi)容和主要工作。其次對(duì)本文涉及到的理論基礎(chǔ)和關(guān)鍵技術(shù)進(jìn)行介紹和分析，分別介紹了單點(diǎn)登錄技術(shù)、KerberOS協(xié)議、XML技術(shù)、CAS協(xié)議及相關(guān)技術(shù)和現(xiàn)有的登出認(rèn)證管理。接著詳細(xì)闡述了改進(jìn)的單點(diǎn)登錄系統(tǒng)模型的設(shè)計(jì)和實(shí)現(xiàn)，包括單點(diǎn)登錄模型和用戶管理