基于LDAP的單點登錄技術(shù)的研究與實現(xiàn).pdf

1、近年來，隨著企業(yè)信息化建設(shè)的不斷進步以及互聯(lián)網(wǎng)技術(shù)的發(fā)展，很多企業(yè)在不同階段開發(fā)出了多個應(yīng)用系統(tǒng)。這些系統(tǒng)可能是跨平臺跨域的，都有其獨立的安全驗證機制。在企業(yè)進行企業(yè)應(yīng)用集成(EAI)的時候，這些安全機制就成為了集成的阻礙。多個認(rèn)證系統(tǒng)的出現(xiàn)使管理成本增加，并且安全策略也越來越難以實施。用戶需要登錄的系統(tǒng)增多，受到非法截獲和破壞的可能性也隨之增大，安全性也相應(yīng)降低。因此,如何為用戶提供快捷安全的認(rèn)證與授權(quán)已經(jīng)成為企業(yè)應(yīng)用集成必須考慮的關(guān)

2、鍵問題之一。 為了解決分散環(huán)境下的統(tǒng)一用戶認(rèn)證與授權(quán)，許多企業(yè)和組織對單點登錄技術(shù)(Single Sign-On，SSO)進行了大量研究。單點登錄的基本思想是把復(fù)雜的安全策略轉(zhuǎn)變?yōu)閱吸c登錄服務(wù)，所有的安全算法在單點登錄服務(wù)器上都體現(xiàn)為給定域的一個獨立的安全認(rèn)證點，即使用戶需要訪問不同的系統(tǒng)模塊，也只需要登錄一次，隨后就可以對所有被授權(quán)的業(yè)務(wù)系統(tǒng)進行無縫的訪問。 單點登錄的好處顯而易見，但是實現(xiàn)時有較高的難度。目前，單點登

3、錄主要是由各中間件廠商在提供應(yīng)用服務(wù)器集群時提供一種認(rèn)證信息共享機制，各廠商如IBM、Oracle，BEA，WebSphere等都提供了基于各自產(chǎn)品的SSO解決方案。但由于在最初設(shè)計時并沒有充分考慮到將來出現(xiàn)的跨應(yīng)用、跨中間件、跨平臺的安全集成需求，僅僅提供一個基于自身產(chǎn)品的解決思路或給出一些與第三方產(chǎn)品結(jié)合的方案，在使用時給開發(fā)人員和管理人員帶來了較高的難度。一些安全廠商也開發(fā)了一些安全產(chǎn)品支持某種程度的安全集成。但是這些產(chǎn)品的配置和