摘要:
随着IT技术和网络技术的蓬勃发展,各种基于网络的应用系统已在当前的商业环境中大量存在.因商业应用业务需要,用户每天可能需要登录到许多不同的应用系统.为保证安全性,通常各系统均要求对用户进行身份验证.但由于各应用系统的自治性,用户在访问不同的应用时,往往要进行频繁的登录操作.如何提供一个能整合应用系统,简化用户登录过程并保证整个商业应用环境安全的解决方案,是当今认证系统面临的新挑战.本文的研究重点是建立一个统一身份认证集成平台,实现对用户统一认证和统一授权,解决企业信息孤岛问题. 本文首先阐述了现有的身份认证机制,重点研究了Kerberos协议,分析了Kerberos认证机制的利弊,ECC算法的优点,提出了改进的Kerberos统一安全身份认证解决方案,将ECC算法嵌入到Kerberos认证过程中,解决了Kerberos协议中存在的口令猜测攻击和重放攻击问题,使系统的安全性能大大提高;其次,利用LDAP(Lightweight Directory Access Protocol,LDAP)目录服务协议的分布式特性,将分布在各应用系统中的用户信息组织到一个逻辑目录树中,利用XML和SOAP完成异构数据库之间的数据交换,实现用户信息的集中管理,简化了认证服务中心和各应用系统之间的通信,降低了系统实现难度;最后,研究分析异构应用系统集成技术,采用Web Services技术实现集成应用系统注册的通用接口,解决了信息孤岛问题.在上述研究问题的基础上,本文提出一个基于LDAP的统一身份认证集成平台,利用Windows 2000/ Server活动目录(Active Directory, AD)技术实现了对网络用户和网络应用的统一管理;利用SOAP将集成应用系统注册的通用接口封装为一个Web服务,使应用系统可以方便的实现远程调用;利用改进的Kerberos协议实现用户单点登录.整个系统在.NET平台下实现. 本系统的各个模块相对独立,保证了系统的松散耦合,同时,系统易于集成,降低了管理成本.随着统一身份认证系统的逐步完善,将在信息安全体系中发挥重要作用,使网络应用管理更加简单有效.
展开
