结合Cookie与票据共享的单点登录方案

通过分析现有单点登录模型中存在的不足,针对多个业务应用系统之间的身份认证问题,提出了一种结合Cookie与票据共享的单点登录方案。该方案通过共享票据信息,实现多个业务应用系统之间的单点登录和统一认证,研究表明,该方案具有简单、实用的特点,能够实现多个业务应用系统之间的单点登录和安全认证。     

面向HTTP身份鉴别协议的单点登录透明集成技术研究

针对单点登录技术实施过程中, 采用HTTP身份鉴别协议的已有Web应用系统不能修改、改变的技术难题, 提出了一种无须修改Web应用程序和Web服务器的身份鉴别方式即可实现单点登录的单点登录透明集成技术。该技术通过插入到Web服务器的HTTP请求、响应处理通道中的一个插件, 自动处理与Web服务器交互的HTTP身份鉴别协议数据, 从而在对Web服务器不作改变、对Web应用程序不作修改的情况下, 实现单点登录功能。实际应用和测试结果表明, 该方案实现了预定的功能, 达到了预期的效果。所提方案对单点登录的应用实施非常有帮助。     

基于旁路技术的单点登录系统设计与实现

在某单点登录改造项目实施过程中,为了克服原方案的性能瓶颈和兼容性缺陷,采用安全认证网关、绝对URL地址访问、多因子加密等方法,解决了身份认证、旁路访问、安全参数传递等关键技术,设计出了统一身份认证与独立系统访问相结合的单点登录解决方案,提出了基于该方案进行单点登录改造的技术要求。经过实际应用验证,该方案具有突出的优点和实用效果。     

新型的多分布式用户单点登录模型

通过分析现有单点登录模型中存在的不足,提出了一种新型的多分布式用户单点登录模型。该模型基于SOA的思想,通过服务注册中心将应用服务集成在一起,通过中央认证服务器对用户进行统一认证授权,同时采用基于角色的授权机制将用户和企业中的职务身份联系在一起。通过对该模型的评估证明了模型具有良好的可实施性、管理性、易用性和安全性。     

一种基于Cookie的跨域单点登录方案设计

针对多应用系统下用户需多次进行身份认证导致工作效率较低及系统安全性差的问题,提出了一种基于Cookie的跨域单点登录方案。用户可以在不同域内的应用系统间安全有效地实现"一处登录,多处访问"。给出了方案的总体模型,分析了登录流程,解释了跨域的实现,详细地说明了双向认证过程,保证通信双方的身份合法性。引入角色认证管理,降低了单点登录系统与应用系统的耦合。     

单点登录在Web服务安全中的应用

针对目前单点登录应用于Web服务安全时存在的问题,结合WS-Security和SAML规范提出一个Web服务身份认证和授权的单点登录模型,描述该模型的单点登录过程及实现,对其安全性进行了分析并给出了相应的安全策略。该系统模型具有兼容性、容易部署及良好的可扩展性等特点。     

基于数字证书企业应用单点登录的研究与实现

提出了一种利用数字证书身份认证实现企业应用单点登录的方法。该方法使用X．509数字证书标识用户,通过统一的用户管理服务器建立起数字证书与各个Web应用中用户身份的对应关系;设置专门的认证服务器,在Web应用服务器端嵌入认证代理,由该代理引导客户端完成与认证服务器之间的SSL认证,然后获取用户的应用身份信息并完成登录过程。某大型企业使用该认证方法实现了一张证书登录多个Web应用,达到了较好的应用效果。该方法对应用改造的要求低,具有较强的安全性,可以方便地扩展到单点登录。对于存在多个用户数据库的大中型企业,该方法具有较高的实用价值。     

基于安全断言标记语言辅件技术的单点登录系统分析

单点登录技术使用户在使用多个Web服务时无需进行多次登录,从而更加方便、安全地管理用户账户,安全断言标记语言（SAML）正是用于实现单点登录技术的规范,它为Web服务间传递用户身份认证信息提供了标准。主要讨论了SAML辅件技术在单点登录系统的应用,分析该单点登录的流程,并讨论该单点登录系统的安全性。     

基于WSRF的单点登录系统在网络化制造中的应用

针对网络化制造集成平台身份认证的特点，结合关中区域网络化制造集成平台开发与应用实践，提出了一个基于WSRF的单点登录系统的认证策略，阐述了设计思想，对其中的单点登录中验证系统的设计、集中验证与授权机制的统一和身份认证中的性能保证等关键技术进行了功能分析，给出了相应的解决方案。该系统实现了动态、松耦合多应用系统间的身份验证与应用授权，有效地解决了网络化制造中对用户资源级的授权服务的难题，并在实际项目中验证了该技术方案的可行性和实用性。     

一种基于Web单点登录系统实现

介绍了一种基于Web的单点登录实现方法,解决同一用户登录不同Web应用系统需要进行多次独立身份认证问题,详细讨论了单点登录系统中后台数据组织、存储安全性以及代理认证服务处理逻辑.同时,就服务通信安全与服务响应时间之间的矛盾问题提出了一种解决的方法.Web代理采用浏览器插件方式,截获用户第一次登录某个Web应用时的post数据,并将其存入数据库,用户在以后登录这个Web应用系统时自动提取数据库中post数据,省去了用户手动进行身份认证的过程,实现了统一身份认证.     

具有入侵容忍特性的身份认证系统

描述了一个具有入侵容忍特性的分布式身份认证系统，利用多代理和冗余共享验证服务器的设计，使得认证系统具有容忍入侵的能力。将用户密码数据分布存储在多个共享认证服务器中，使得少数服务器受到入侵时仍能继续提供认证服务并且不会暴露用户的密码信息，提高了认证系统的可用性及安全性。     

基于RSA的多Web系统智能认证代理模型

随着Web服务的不断深入研究,针对基于多Web服务器环境下的统一认证方法的研究日益重要。论文根据不同Web服务器的认证方式的特点,提出了多Web站点的智能认证代理模型实现统一认证。该模型利用Cookies、监听网络信息、RSA对称密钥体制等关键技术实现单个Web服务器的认证,并采用映射机制建立多Web服务器间的协作。该模型在某高校校园网内得以应用,用户只需登录一次即可完成一个复杂业务,对用户实现了透明认证。     

基于数字化校园门户的分布式身份认证系统研究

身份认证是网络安全技术的一个重要组成部分,针对网络中如何利用多台分布式服务器上的用户认证信息的进行认证的难题,提出了一种基于数字化校园门户的分布式身份认证方案来解决这一问题,并分析了其安全性。基于数字化校园门户的分布式身份认证系统在目前具有广泛的应用前景。     

A practical password-based two-server authentication and key exchange system

Most password-based user authentication systems place total trust on the authentication server where cleartext passwords or easily derived password verification data are stored in a central database. Such systems are, thus, by no means resilient against offline dictionary attacks initiated at the server side. Compromise of the authentication server by either outsiders or insiders subjects all user passwords to exposure and may have serious legal and financial repercussions to an organization. Recently, several multiserver password systems were proposed to circumvent the single point of vulnerability inherent in the single-server architecture. However, these multiserver systems are difficult to deploy and operate in practice since either a user has to communicate simultaneously with multiple servers or the protocols are quite expensive. In this paper, we present a practical password-based user authentication and key exchange system employing a novel two-server architecture. Our system has a number of appealing features. In our system, only a front-end service server engages directly with users while a control server stays behind the scene; therefore, it can be directly applied to strengthen existing single-server password systems. In addition, the system is secure against offline dictionary attacks mounted by either of the two servers.     

单点登录技术在SAP—ERP中的应用

为了在多个应用系统中,用户只需登录一次就可以访问所有相互信任的应用系统,本文用基于Windows域服务器验证方式完成了SAP ＆ ERP Portal系统单点登录技术方案。     

A distributed expansible authentication model based on Kerberos

There is a potential server bottleneck problem when the Kerberos model is applied in large-scale networks because the model uses centralized management. To enlarge its application scope, researchers must consider how to build a trust relation among those Kerberos servers located on different isolated domains, but have not provided a way to prevent the potential bottleneck that can occur with Kerberos servers. With the development of across-domain authentication techniques, the local server bottleneck problem has not been alleviated; in fact, it has become more serious.Adopting the rigorous binary tree code algorithm, we present an authentication model based on Kerberos. Compared with similar models, our model has several advantages. First, it overcomes the potential server bottleneck problem and can balance the load automatically. Second, it can process across-domain authentication and enlarge the authentication boundary. Finally, its authentication path is short, with no more than two Kerberos servers being involved when authenticating a user.     

面向多认证系统的在线用户统一管控平台设计与实现

在校园网中同时部署多套上网认证系统并使用统一的账号密码是常见的上网认证部署方案。多套上网认证系统并存时如何对在线用户进行统一管控、用户上线轨迹追踪和分析,以及如何对多套上网认证系统进行统一监控管理是当前校园网管理面临的共同问题。对此设计和实现了一种面向多认证系统的统一在线用户管控平台,并在真实校园网环境中测试使用,测试结果验证了平台的有效性。     

基于动态ID的远程用户身份认证方案

用户身份认证作为网络安全和信息安全的第一道屏障,有着非常重要的作用.口令与智能卡相结合的认证方式可以克服传统口令认证方式的诸多弊端,能够提高网络和信息系统整体的安全性.对基于动态ID的远程用户身份认证方案进行了分析,指出了该方案在入侵者持有用户智能卡的情况下,即使不知道用户口令也能够伪装成合法用户通过远程系统的身份验证,获取系统的网络资源.提出了一种改进方案,能有效抵御重放攻击、伪造攻击、口令猜测攻击、内部攻击和伪装攻击.     

基于CAS集群的单点失效问题解决方案

单点登录(SSO)可以消除多个应用服务系统之间的重复认证过程,但会加重认证负载,引起单点失效的风险,导致服务中断。针对上述问题,提出具有集群功能的单点登录系统,将用户登录请求分发到不同的单点登录服务器,解决单个单点登录服务器负担过重的问题,增强系统运行的稳定性。     

基于Kerberos协议的单点登录研究与设计

通过对传统的基于Kerberos协议的单点登录研究,分析了其存在的问题,提出了自己的解决方案。该方案采用密钥分发中心与资源服务器的会话密钥来替代它们之间的永久密钥以提高系统的安全性,采用基于时间戳和MAC地址的双重验证来解决重放攻击问题,采用Flag标记实现客户方与资源服务器的双向验证。在此基础上设计出了改进的单点登录系统,开发了软件系统原型,并通过实验验证了所提方案的有效性,为单点登录提供了可行的解决途径。