一种基于Cookie的跨域单点登录方案设计

针对多应用系统下用户需多次进行身份认证导致工作效率较低及系统安全性差的问题,提出了一种基于Cookie的跨域单点登录方案。用户可以在不同域内的应用系统间安全有效地实现"一处登录,多处访问"。给出了方案的总体模型,分析了登录流程,解释了跨域的实现,详细地说明了双向认证过程,保证通信双方的身份合法性。引入角色认证管理,降低了单点登录系统与应用系统的耦合。     

一种简洁单点登录系统设计与实现

阐述了SSO的基本原理,并设计了一个简洁SSO系统,解决了不同Web应用系统之间的互访问题:用户登录一次即可访问所有Web系统。系统设计简单实用,不需要建设昂贵复杂的认证服务器,对现有系统的改动很少,扩展也很容易,具有较高的应用价值。     

移动跨域单点登录系统设计

通过分析单点登录技术在移动电子商务中的重要性和单点登录技术的实现原理,提出了适用于移动环境的跨域单点登录系统整体架构.针对移动设备运算能力有限以及移动网络的不稳定性,提出了改进的基于公钥基础设施PKI的数据加密、数字签名和分布式认证技术,实现了移动用户的域内认证和跨域认证.最后,在上述分析和研究基础上,使用基于JAX-WS模型的Web服务、Oracle9i数据库和Bouncy Castle轻量级API中的基于RSA的公钥算法,在J2ME和Java EE 5.0平台下对移动跨域单点登录系统进行了具体设计,并进行了测试.     

基于SAML的跨域单点登录的设计与实现

随着网络技术的飞速发展,基于网络平台的应用系统逐渐进入各行各业中,带来巨大收益的同时对安全性提出了更高的要求,需要保证访问其资源的用户具有合法的权限。为了适应多系统平台的发展要求,实现对登录平台的用户信息进行统一认证和管理,文中设计了一个跨域的单点登录系统（CD—SSO）,它采用SAM[。断言作为安全信息定义的标准化格式,通过SOAP消息传递安全元素,利用WS—Security来保障消息的完整性和机密性。它在方便用户访问的同时提供了完善的安全服务机制,可以保证消息和服务的保密性、完整性和有效性。     

基于票据的跨域单点登录

针对单点登录中的跨域身份认证问题,提出了一种基于票据的解决方案,以地址重定向的方式传递加密用户登录信息,异域应用系统获取用户信息并提供数据操作服务。使用随机数字生成票据,并作为生成传统加密算法会话密钥的参数,采用现代加密算法实现异域系统之间的互信并安全传递票据,异域应用系统根据票据产生会话密钥,加密并传输用户登录信息,每次会话产生新的密钥。通过对票据产生和传输以及密钥的安全性分析,可以实现跨域单点登录的功能并保证身份认证安全可信。     

单点登录的研究与实现

随着信息技术和网络技术的发展,各种应用系统不断涌现,系统管理员的工作量不断增大,对于各个系统用户的管理也越来越复杂,他们迫切需要能够有一个集中统一的认证及授权系统.针对这一现象,研究了单点登录和集中用户管理的需求,着重介绍了系统的设计与实现的关键技术,提出了一套安全、可靠、高效的单点登录系统.     

基于 Cookie的跨域单点登录认证机制分析

为克服HTTP协议的无状态性,大多数门户网站采用cookie来认证用户,但cookie不能跨域传递。深入分析和研究了基于cookie的认证方式和单点登录的实现机制,并基于“联盟”观点,提出了一种基于cookie的跨域认证方法。     

一种基于票据的单点登录协议设计与实现

随着企业信息化建设的发展,企业信息应用系统的种类、数量越来越多,建立统一的身份认证管理机制,用户只需向身份认证中心提供一次身份信息,便可安全、平滑地访问不同应用系统,即实现单点登录,成为企业信息化建设的重要内容。根据当前企业信息应用系统已具有大量历史遗留帐号的实际情况,本文给出了一种基于票据的单点登录协议,对传统的基于票据的单点登录协议必须依赖全局统一用户身份标识的局限性进行改进,通过该协议能够简单、安全地实现对具有大量历史遗留帐号的应用系统的单点登录集成。     

一种新的单点登录认证协议

通过对单点登陆系统的身份认证协议进行分析,给出了一种基于公钥的双向身份认证协议,该协议结合用户授权的认证模式,实现了用户、认证服务（身份提供者）和应用服务三方的双向认证,增强了现有单点登录系统中身份认证协议的安全性和可扩展性。     

一种轻量级的跨域单点登录解决方案

在项目开发过程中,为了克服现有单点登录系统设计复杂、实施困难等问题,在总结现有单点登录方案的基础上,提出一种跨域、跨平台的单点登录解决方案。该方案利用JS和XML技术手段实现,通过在登录中心生成带有登录信息的JS代码,并嵌入到应用平台中以实现登录信息的共享。该方案已经在浙江省标准信息服务平台中得到应用,结果表明该方案实施简单,可扩展性好。     

基于多因素的网络身份认证

在Internet／Intranet的应用中,安全性面临着严重的挑战。用户在进入系统时,传统方法是通过口令验证其身份。这在某种程度上虽确保了计算机系统的安全,但同时存在着记忆烦琐、易丢失、易遗忘等弊端。另一方面,各种应用多样的身份认证机制。不仅繁杂而且给客户的访问增加了安全隐患。为此本文提出一种结合指纹识别、证书和身份令牌USBKey的多因素的具有强身份认证和一次性登录功能的认证及授权系统。     

LDAP的研究及其在统一身份认证系统中的应用

统一身份认证服务系统的功能是建立一个能够服务于所有应用系统的统一的身份认证系统,采用唯一的用户信息数据库系统对用户信息统一进行管理,每个应用系统都通过该认证系统来进行用户的身份认证,而不再需要开发各自独立的用户认证模块,用户只需一次登录就可以访问网络中各应用系统相应权限内的资源。各应用系统通过LDAP将用户或组织的信息以层次结构,面向对象的数据库的方式加以收集和管理。介绍了LDAP协议及其四种基本模型,阐述了统一身份认证思想,并设计了基于LDAP协议的统一身份认证系统。     

一种基于Web Service的简单SSO系统实现

分析了现存多种SSO技术的优缺点，针对用户跨系统操作较多的分布式系统，提出了一种基于WebService的以权限管理为核心的轻量级的单点登录实现方法。通过在某航空呼叫中心中的运用实践。很好地说明了该方法的实用性。     

美国电子政务E-Authentication介绍与分析

文章对E-Authentication进行了分析讨论,指出其存在的一些问题及可以采用的相应解决方案。     

一种SAML单点登录实现方式的安全性研究

文章介绍了SAML技术及其定义的两种消息传递方式。讨论了SAML单点登录的两种实现方式，特别针对Browser/Artifact方式实现过程中各个环节可能存在的安全漏洞进行了分析，并提出了下一步致力于解决问题的突破点和拟采用的方案。     

企业门户Web资源整合及其实现的研究*

讨论了企业门户Web资源整合中的关键问题,分析并给出了相关整合技术方案。提出了一种特殊的远程门户组件Web服务（WSRP）实现机制WA2WP（Web Application to WSRP Portlet）,可将普通Web网站映射封装为虚拟门户组件发布;给出了改进的跨域单点登录机制SSO4EPI（Single Sign On for Enterprise Portal Integration）,可提供开放的接口形式和对跨安全域异构性的良好支持。最后结合应用实例说明以上方法的可行性和推广价值。     

基于可变Cookie的跨域单点登录

针对单点登录中的跨域身份认证问题,提出了一种基于可变Cookie的方案解决跨域单点登录,使用随机数字生成票据,并作为传统加密算法的会话密钥对客户端的Cookie进行加密,采用现代加密算法在异域系统之间安全传递票据,每次认证产生新的票据并更新异域应用系统的Cookie。通过对票据产生和传输以及Cookie加密和常见攻击的安全性分析,可以实现跨域单点登录的功能并保证身份认证安全可信。     

基于PKI的Web单点登录系统设计与实现

随着Web应用的不断普及,如何方便的认证用户身份,如何灵活的管理用户的访问权限,成为了一个日益重要的问题.单点登录(single sign-on)是一种解决不同系统之间一次登录,多系统访问的技术.设计并实现了一种Web环境下的单点登录模型,其安全性基于公开密钥基础设施,保证了多Web系统互连的安全性.系统在J2EE平台上实现,有效的解决了重放攻击、身份认证等安全问题;同时,该系统实现简单,保留了原有系统的权限管理模块,降低了系统集成成本的同时,也更灵活的实现了权限管理.