摘 要
    随着信息技术和网络技术的发展，企业的信息化建设越来越完善，随着企业业务
的不断发展，企业将建立越来越多的应用系统来满足用户的需要。由于这些系统之间互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户要为每个系统设置用户名和密码，这给用户带来了极大的麻烦。特别是随着应用系统增多，出错的可能性会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。为了改变这种状况，设计出一种更为高效、安全的网络认证机制，简化访问网络资源的过程，单点登录的概念应运而生，同时被广泛应用到企业信息系统中。
    单点登录就是用户只需在网络中主动地进行一次身份认证，随后便可以访问其被授权的所有网络资源，而不需要再次主动参与其他身份认证的过程。单点登录系统概念的提出，是信息化不断深入以及网络应用不断推广的必然结果。一方面单点登录系统减少了用户的登录次数，用户访问多个系统不需要分别登录认证，从而增加了工作效率；另一方面单点登录系统把原来分散的用户管理集中起来，各系统之间依靠相互信赖的关系进行用户身份的自动认证，由于用户的信息是集中保存和管理的，管理员只需在一个统一的用户信息数据库中添加、删除用户帐号，不必在多个系统中分别设置用户信息数据库。除此以外，单点登录系统从根本上抛弃了传统认证中用户名/密码以明文传输的方式，采用了结合密码学技术的新的认证机制，从而提高了整个系统的安全性。
    本文首先从单点登录的产生背景及研究现状出发，介绍了单点登录系统的基本概念和几种常见的模型，接着详细分析了实施单点登录系统的重要认证机制Kerberos协议，并针对该协议的不足提出了改进方案，在此之上阐述了本文设计的系统对Kerberos协议的优化应用。文章重点结合中信银行信用卡中心业务的需要，在本文设计的优化的Kerberos协议基础上，辅以认证中的安全加密等技术，提出了中信银行信用卡中心J2EE平台上的优化经纪人模型的单点登录系统模型，同时给出了系统的详细设计和接口实现方案，然后针对系统实施中的安全问题，分别给出了客户端、应用系统和SSO系统之间的安全策略，同时列举了现实新旧系统的交接方案。最后根据系统的实际使用情况和银行业务的发展，提出综合更多业务系统并构建异构系统平台之上的互操作性强、操作简便、更强安全性的单点登录系统是今后研究的方向。
关键词：单点登录；Kerberos协议；Ticket票据；接口系统；3DES算法                    
 
目  录
第一章  绪论 1
1.1 项目背景和研究意义 1
1.2 单点登录的研究现状 2
1.3 论文的组织结构 5
第二章  单点登录系统概述 6
2.1 传统认证机制的不足 6
2.2 单点登录系统的概念 7
2.3 单点登录系统的模型介绍 8
2.3.1 经纪人模型(Broker-Based SSO) 8
2.3.2 代理模型(Agent-Based SSO) 10
2.3.3 网关模型(Gateway-Based SSO) 10
2.3.4 令牌模型(Token-Based SSO) 12
2.3.5 SSO模型对比 12
第三章  单点登录系统的认证机制 14
3.1 Kerberos协议简介 14
3.2 Kerberos协议的改进 16
3.3 本文系统对Kerberos协议的优化 18
第四章  单点登录系统设计 20
4.1 现实业务系统的缺陷 20
4.2 系统的体系结构 21
4.3 系统的功能结构 22
4.3.1用户登录过程 24
4.3.2 用户注销过程 31
4.3.3 帐户同步过程 32
4.3.4 权限论证过程 33
4.3.5 用户信息查询 34
4.3.6 用户信息列表 35
4.4 系统的重要实现机制 35
4.4.1 系统认证机制 35
4.4.2 session数据 34
4.4.3 重定向机制 38
4.5 系统的接口规范 38
4.5.1 接口实现原理 38
4.5.2 接口实现流程 39
第五章  系统安全性设计 42
5.1 客户端、应用系统和SSO系统之间的安全性考虑 42
5.2 数据加密与用户密码防护 43
5.2.1 DES加密算法概述 43
5.2.2 3DES算法 44
5.2.3 加密算法模式分类 45
5.2.4 填充模式和用户密码防护 46
5.2.5 本文系统数据加密实例 47
5.3 新旧系统的衔接 48
第六章  结论 50
参考文献  51
硕士在校期间发布的论文 54
致    谢  54
 
第一章 绪论
1.1 项目背景和研究意义
    信息化建设初期，用户使用的系统较少，只需记住一两个系统登录身份和密码即可。随着网络技术和信息技术的发展，各种应用服务不断普及，现代企业的信息化建设越来越完善，各种电子邮件系统、网络办公系统、电子财务系统、人事管理系统以及针对特定行业业务系统等的信息网络化进入了千百企业。当企业业务正常运营时，用户需要同时访问多个业务系统，并经常浏览企业内部网中的相关信息资源。由于用户在访问不同业务系统时需要独立访问该业务系统，同时需要在各系统间频繁切换，操作比较复杂，无法快速获得相关信息并加以分析利用。此外，用户在进行业务操作时，需要分别登录到不同的应用系统中，而每个系统都要求用户遵循一定的安全策略，比如输入用户名和密码，用户在每个系统中都有一组独立的用户名和密码，在进入不同系统时都要重新提交自己的身份标识来通过系统的认证。当系统较多时，用户账号或密码的遗忘现象时有发生，或者一套简单的用户名和密码被多系统共用，造成保密强度降低等问题；而在安全性和系统管理方面，企业需要大量的IT技术人员，分别管理和维护不同系统的用户信息，从而建立可靠、安全、保密的业务系统网络环境，保证企业业务不受破坏和干扰。为了改变这种传统的认证方式，基于效率和安全的因素，人们需要设计出一种更为高效、安全的网络认证机制，简化访问网络资源的过程，提高用户的工作效率，降低网络操作的费用，提高网络安全性。单点登录（Single Sign-On，SSO)的概念由此产生。