一种新的兼容多种身份认证方式的Web单点登录方案

传统的Web单点登录(SSO)方案是基于用户信息资源集中存放、单种身份认证方式机制而建立的,满足不了动态的松耦合环境下的业务流程的认证需求。为了解决上述问题,对ticket技术、代理技术、数字签名技术进行了研究,提出了一种SSO新方案,它使用cookie作为传输载体,利用ticket代理技术实现兼容多认证方式SSO,同时它基于证书链信任关系建立认证信任链以实现跨域范围的SSO。结果表明,该方案在有效地解决以往方案的缺点同时,也具备更高强度的安全性,具有广泛的应用前景。     

基于CAS的Web-SSO模型的一种实验性开发

针对企业构建统一门户平台进行应用集中时面临的\"身份集成\"的问题,提出了统一认证和单点登录方案.基于Web单点登录的基本架构及其实现条件,引入集中认证服务(CAS)单点登录的开源工具,描述了CAS协议模型,对其单点登录的实现流程和协议进行了安全性分析.通过简单的环境配置和Java编程,对基于CAS的单点登录(SSO)模型作了实验性开发,并验证了其合理性和可行性.     

单点登录技术的研究

文章主要分析研究了基于B/S架构的单点登录模型的具体框架实现.作者着重分析了二个基于Kerberos认证系统模型的B/S架构变形的具体认证流程,并在此研究基础之上提出了跨越多个单点登录系统的一种联合认证的实现模型,并为此模型引入了认证域、认证主机域、联合认证域、联合认证主机域以及信任域等诸多概念.这种联合认证模型具有安全、灵活、实现简单、部署方便等诸多特点.尤其在该模型的安全性问题方面文中给出了重点分析.实现该联合认证模型可以解决凌驾多个单点登录系统之上的更高一个层面上的统一身份认证问题.     

基于消息系统的可定制单点登出服务的设计与实现

在多个系统间如何进行身份认证和授权是企业在部署应用集成系统时面临的问题之一。现有的SSO(单点登录)认证模型为多应用集成系统提供了统一的认证入口,但是该模型面临另一个影响系统安全性的问题:单点登出的认证管理。本文提出的单点登出认证模型MSC-SSOS(Message System-based and Customizable Single Sign OutService)基于Java Message Service消息机制,通过设计消息总线集中完成安全管理,业务定制,消息持久以及负载均衡多种服务。并将耶鲁大学SSO登入认证模型——CAS与模型MSC-SSOS进行整合,应用于在线服务系统,在每日访问量超过400000 Pages的在线系统中展示了其安全、稳定、高效的特点。     

基于公钥基础设施技术的网络单点登录方案研究

介绍了单点登录的概念,阐述了Broker-Based SSO方案及其不足,提出了基于PKI的单点登录解决方案。     

基于Web的单点登录技术在企业集成中的应用

单点登录(SSO)是企业应用集成中重要的一环,实现用户、权限的统一管理。从单点登录技术产生的背景入手,阐述了基于Web的单点登录技术的概念和原理,给出了实现单点登录技术的不同方法和示例,并就如何保证系统安全性提出了建议,在实际应用中取得了良好的效果。     

基于JBoss的统一身份认证管理系统设计

针对用户登录校园网内各应用系统时都必须输入用户名和密码的问题．同时为管理员维护用户管理系统提供方便，基于JBoss设计统一身份认证管理系统．该系统以LDAP目录库和关系数据库组成数据中心平台．在此平台上利用JBoss提供的开源JBoss SSO Framework实现用户统一管理、角色权限统一管理和单点登录的功能．实际应用表明．系统运行时有效降低了管理用户信息的开销和用户注册及认证次数．     

一种基于数字证书的跨域单点登录解决方案

提出了基于数字证书进行身份认证和集中授权的单点登录解决方案,以票据Token和跨域Cookie共享为基础,采用主、从身份认证服务器之间的Token信息同步机制,实现了跨多个域的单点登录。此方案较好地满足了分布式可共享Web服务安全互访问的需求。     

一种针对已有应用服务的单点登录解决方案

随着新应用系统数量的迅猛增长,单点登录(SSO)已成为当今流行的企业业务整合解决方案.但是在进行单点登录业务整合时,已有应用服务难以整合,整合过程中困难重重.本文根据对CAS单点登录系统进行的深入探索与研究,利用应用系统与用户做关系映射的方式对多应用系统进行整合,在对原有应用系统做最少改动的前提下,解决了传统单点登录系统难以整合已有应用系统的问题.     

单点登录技术在企业资源集成中的应用

单点登录(SSO)是企业应用集成的重要组成部分.从项目需求入手,提出一种通过凭证加密与代理登录相结合的单点登录模型.该模型能够与原有业务系统无缝结合,实现安全、灵活的单点登录访问控制.阐述了该模型在企业集成中的应用,以及就如何保证系统安全性作出了相应的分析.目前系统将在现代人口与生殖健康公共服务信息门户中运行.     

B/S架构的单点登录系统模型

为了满足企业的具体应用集成需求,提出了一种B/S架构的单点登录模型,并讨论了密码同步的解决方案。该模型采用活动目录、ActiveX插件和Kerberos认证,将传统的C/S遗留应用(包括标准Windows应用、 FTP 和Telnet等)和Web应用集成到B/S模式下,用户通过IE浏览器调用具体的应用,提高了企业应用的可用性和可管理性,增强了用户访问的安全性.     

ASP.NET应用程序安全性研究

重点研究了基于ASP.NET的Web应用程序的安全问题。分析了ASP.NET的安全架构,从应用角度,给出了保证Web应用程序安全的4个层次:身份验证、授权、机密性和数据完整性。详细论述在Web应用程序开发中如何实现Windows验证、表单验证、URL授权和数据加密。     

SIP应用中的安全通信方案设计

针对SIP应用安全机制中的注册认证机制和握手认证机制进行研究。一般SIP应用的安全方案大多是从传统的非实时业务,WEB和电子邮件应用中继承而来,没有对多媒体应用的网络架构和应用特点进行优化,因而难以兼顾安全性、易用性和运行效率。针对传统SIP安全机制的弱点,将SIP应用的体系结构和安全机制相结合,提出改进的身份认证方案,通过将系统登录和呼叫握手时的用户凭证相关联,简化了呼叫认证流程,在保证SIP整体通信安全性的同时,支持良好单点登陆特性,具备高效、易用的特点。     

基于角色的IAM系统的研究与实现

为了解决用户帐户及权限管理方式不能满足企业发展需求的问题,对企业权限管理模型进行了研究,设计并实现了一套基于角色的身份识别和访问管理(IAM)系统,并与account、authentication、authorization、audit (AAAA)技术相结合,真正实现了对账号、认证、授权和审计的统一管理及单点登录功能,从而使系统能在安全、高效的环境下正常运行．     

SAML和XACML在单点登录中的应用研究与实现

现代企业中出现的越来越多的应用系统往往各自提供一套身份认证方式,这不仅增加了用户的负担,而且降低了系统安全性.企业内部另一重要的问题是管理员如何控制已验证身份的用户的访问请求.基于SAML的单点登录技术和基于XACML的访问控制技术可以很好地解决这两个问题.在对SAML和XACML规范进行了分析的基础上,提出了一个基于SAML和XACML的单点登录模型,分析了该应用模型的安全性,最后在微软.NET平台上予以实现.     

私有云环境下身份管理技术研究与实现

针对私有云环境下的安全性问题,提出了一种私有云身份管理解决方案。方案基于开源云Openstack云平台和Free IPA安全组件,实现了接入私有云的身份认证、授权和访问控制等身份管理功能。给出了总体架构设计和部署方案,并对注册、单点登录和授权进行了功能测试。     

基于RBAC和Web服务的统一授权研究

运用统一认证和RBAC模型等原理,结合Web服务技术,提出了一种统一的身份认证和授权服务接口规范,并在企业应用系统中进行了试用。试用表明,该授权方法与接口规范能实现各应用系统间的一次登录、统一认证、统一权限管理,但单点登录和审计方面的功能还需进一步完善。     

基于令牌的单点登录协议及其形式化分析

提出一种新的适用于分布式网络的单点登录协议，利用令牌将身份认证和服务授权结合起来由一个验证服务器实现，授权校验的同时进行密钥分配，实现了用户和应用服务器的双向认证，令牌使用户只需在登录网络时进行一次身份认证即可接入各应用服务器。从而提高了网络认证效率，同时使验证服务器不需要保存用户的状态，有效提高验证服务器的性能，采用BAN逻辑对该协议进行形式化分析表明，协议达到了认证和密钥分配的目标，具有较强的安全性。     

基于计算平台安全属性的高效远程证明方案

现有的基于平台安全属性的远程证明方法对认证双方所传输的信息进行了加密,虽然可以实现数据保密,但认证过程耗时比较长,针对该问题,提出2个基于平台属性的远程证明方案以提高平台属性的验证效率,其中基于可部分否认的认证方案在远程证明的性能优化方面表现显著,基于Bloom过滤器与Paillier加密的认证方案的性能提升虽然不如可部分否认的认证方案,但是该方案对所传输的信息能够具备保密特性,这2个认证方案适用于对远程证明效率要求较高的应用场景,同时能够实现身份认证时对计算平台安全性的检查与校验.