本论文从目前企业的安全体系和安全策略出发,介绍了安全技术中的身份认证技术和访问控制技术。随后结合这两项技术分析了目前各种单点登录系统的实现模型及其优缺点,设计了一套适用于目前多种企业应用的单点登录系统。 这个单点登录系统以“经纪人模型”为主,“代理模型”为辅,将两种单点登录模型结合到统一认证平台上,溶合了两种模型的优点;系统建立在Kerberos V5的认证框架之下,采用多步对等认证,具有较高的安全性;采用了通用安全服务接口,保证了系统的可扩展性和兼容性,凡是遵循该接口的应用系统都可以方便地加入单点登录系统;使用LDAP标准协议管理用户信息,实现了统一管理、统一授权:采用了双因素认证服务器作为认证引擎,加强了身份认证的强度;同时,系统中的审计服务器可以记录系统中的每一个操作,保证所有操作不可否认、及时发出危险操作报警。 通用安全服务接口(GSS-API)在论文中得到了详细的讨论。通用安全服务接口为单点登录平台向应用服务提供了统一的接口。这组接口与底层Kerberos V5机制相结合,从流程和机制上保证了单点登录系统的安全性,大大提高了单点登录系统的兼容性和可扩展性。越来越多的软件产品开始支持GSS-API统一接口,这些产品可以直接通过GSS-API接入单点登录平台。 论文对单点登录系统的框架和流程进行了介绍,同时详细论述了系统各个部分所采用的设计思想和具体技术。在GSS-API部分更是详细到了每一个函数的调用流程和数据结构的定义。文章在最后对此系统进行了分析,指出了该系统的优缺点及改进方向。该系统具有良好的可部署性、扩展性、安全性和易管理性。 本文提到的单点登录系统的课题来源于电子信息安全企业针对市场研发的项目。