1、本論文從目前企業(yè)的安全體系和安全策略出發(fā)，介紹了安全技術(shù)中的身份認證技術(shù)和訪問控制技術(shù)。隨后結(jié)合這兩項技術(shù)分析了目前各種單點登錄系統(tǒng)的實現(xiàn)模型及其優(yōu)缺點，設(shè)計了一套適用于目前多種企業(yè)應(yīng)用的單點登錄系統(tǒng)。這個單點登錄系統(tǒng)以“經(jīng)紀人模型”為主，“代理模型”為輔，將兩種單點登錄模型結(jié)合到統(tǒng)一認證平臺上，溶合了兩種模型的優(yōu)點；系統(tǒng)建立在KerberosV5的認證框架之下，采用多步對等認證，具有較高的安全性；采用了通用安全服務(wù)接口，保證了系統(tǒng)的可

2、擴展性和兼容性，凡是遵循該接口的應(yīng)用系統(tǒng)都可以方便地加入單點登錄系統(tǒng)；使用LDAP標準協(xié)議管理用戶信息，實現(xiàn)了統(tǒng)一管理、統(tǒng)一授權(quán)；采用了雙因素認證服務(wù)器作為認證引擎，加強了身份認證的強度；同時，系統(tǒng)中的審計服務(wù)器可以記錄系統(tǒng)中的每一個操作，保證所有操作不可否認、及時發(fā)出危險操作報警。 通用安全服務(wù)接口(GSS-API)在論文中得到了詳細的討論。通用安全服務(wù)接口為單點登錄平臺向應(yīng)用服務(wù)提供了統(tǒng)一的接口。這組接口與底層Kerbero

3、sV5機制相結(jié)合，從流程和機制上保證了單點登錄系統(tǒng)的安全性，大大提高了單點登錄系統(tǒng)的兼容性和可擴展性。越來越多的軟件產(chǎn)品開始支持GSS-API統(tǒng)一接口，這些產(chǎn)品可以直接通過GSS-API接入單點登錄平臺。 論文對單點登錄系統(tǒng)的框架和流程進行了介紹，同時詳細論述了系統(tǒng)各個部分所采用的設(shè)計思想和具體技術(shù)。在GSS-API部分更是詳細到了每一個函數(shù)的調(diào)用流程和數(shù)據(jù)結(jié)構(gòu)的定義。文章在最后對此系統(tǒng)進行了分析，指出了該系統(tǒng)的優(yōu)缺點及改進方向