基于CAS協(xié)議的單點登錄系統(tǒng)的研究.pdf

1、隨著信息系統(tǒng)支持的商業(yè)應用數(shù)量的增多，各種門戶應用的需求也在增長。門戶應用也變得越來越復雜，需要采用更復雜的技術來完成。門戶應用需要逐個在用戶數(shù)據(jù)庫和應用系統(tǒng)中去驗證用戶信息，但是每個應用系統(tǒng)都有不同的安全體系。一般情況下，這些應用系統(tǒng)均沒有統(tǒng)一的認證策略和固定的認證框架。這樣，就導致了用戶需要記住多套用戶名、密碼，重復驗證用戶身份，另一方面也導致了管理員和支持部門的巨大開銷，他們需要為每個應用系統(tǒng)建立一個用戶，用戶也常常因忘記密碼而影

2、響工作。單點登錄能很好的解決這個問題。單點登錄提供統(tǒng)一的信息資源身份認證訪問入口，成為訪問者統(tǒng)一、簡單直觀的門戶，用戶只需輸入一次登錄信息，即可根據(jù)權限訪問不同的應用系統(tǒng)，無需重新登錄各個應用系統(tǒng)，省卻重復驗證的繁瑣。 本文做了三方面的工作，一是考查了當前的幾種單點登錄模型，最后采用了耶魯大學的CAS認證模型，針對模型中存在的不足之處，提出了基于CAS協(xié)議的改進單點登錄模型。采用了Kerberos認證機制加強了CAS認證服務器和

3、用戶數(shù)據(jù)庫之間數(shù)據(jù)傳輸?shù)陌踩?。通過Java的兩種安全機制—JAAS和JSSE，進一步確保了用戶和應用系統(tǒng)之間票據(jù)傳送的安全性。二是采用MVC模式設計和實現(xiàn)了用戶管理模塊，提高了代碼的可復用性和可維護性。用戶管理模塊分為業(yè)務對象BO(Business Oblject)類、Action類、數(shù)據(jù)訪問對象DAO(Data Access Obiect)類和控制器Controller Servlet類，并配置了Log4j日志服務。三是設計和實現(xiàn)了

4、基于消息的可定制單點登出系統(tǒng)，管理員可根據(jù)實際情況對單點登錄服務器中的規(guī)則文件進行登出規(guī)則的配置，也可根據(jù)缺省方案——單點登出，全局登出的登出規(guī)則。 本文首先介紹研究背景和意義，課題來源，研究的內容和主要工作。其次對本文涉及到的理論基礎和關鍵技術進行介紹和分析，分別介紹了單點登錄技術、KerberOS協(xié)議、XML技術、CAS協(xié)議及相關技術和現(xiàn)有的登出認證管理。接著詳細闡述了改進的單點登錄系統(tǒng)模型的設計和實現(xiàn)，包括單點登錄模型和用戶管理