基于PKI的Web单点登录系统的设计与实现

摘要

本文以企业在实施Web单点登录过程中的功能需求为出发点，以公钥基础设施PKI为信息安全解决方案，在研究和分析Web单点登录相关技术基础上，提出了一种基于PKI的Web单点登录解决方案。用户可以安全有效地实现“单点登录，自由切换”。
　　 在总体模型的设计中，结合了经纪人模型和代理模型的优点。一方面，采用经纪人模型的集中式身份认证；另一方面，在Web应用系统中加入认证代理，代理用户完成在应用系统内的身份认证，增强了单点登录服务的可实施性。在登录流程的设计中，借鉴了Kerberos协议的基于票据访问的设计思想，在单点登录服务器端，为通过身份认证的用户生成基本票据，为用户访问Web应用系统生成服务票据。在身份认证设计中，采用了基于USB Key的数字证书双向认证方式，同时保证了用户和单点登录服务器的合法性。系统还提供了“单点登出”功能，当用户从某个应用系统登出，会触发他从已经登录过的所有应用系统中登出，保证了用户全局登录状态的一致性。系统对安全日志审核功能也提供了一定的支持。
　　 最后，本文以上述方案为基础，在Java EE平台下，实现了一个安全有效的Web单点登录系统，并将系统应用到广州港某工程监理公司。