基于智能卡的单点登录系统的研究与设计

摘要

在现今的网络世界中，各种各样的网络服务大部分是通过单服务器模式并基于用户名/口令的身份认证方式为用户提供应用服务的，这就是说用户在使用每种应用服务之前都需要输入用户名及密码，这给用户的使用带来了很多不便，单点登录系统的出现就是为了解决这个问题。本文中首先通过对现今主流的单点登录系统解决方案进行了学习和分析，并针对单点登录系统的身份认证需求，重点查阅和分析了大量基于多服务器系统的身份认证协议。根据单点登录技术中的基于经纪人的单点登录模型加以改进，针对其不支持用户的匿名性，而且认证服务器与用户直接进行通信，将认证服务器暴露给了攻击者，容易受到窃取验证器攻击等缺陷，在本文中设计了一种基于智能卡的单点登录身份认证方案。在身份认证方案中首先设计了基于智能卡的单点登录身份认证模型，模型中将中心认证服务器放在应用服务器之后，大大减少了其被攻击的可能性。之后设计了基于智能卡的单点登录身份认证协议，整个协议分为注册阶段、登录阶段、双向身份认证阶段、会话密钥协商阶段和口令更新阶段。协议中加入了智能卡的使用增强了仅使用口令进行身份认证的安全性，并且在密码算法的选择上，仅使用了单向杂凑函数来完成身份认证的过程。通过对身份认证方案的性能及安全性分析，可以看出本方案在计算开销、通信开销及存储开销上具有很大的优势，在安全性方面可以很好的抵抗重放攻击、伪装攻击、窃取智能卡攻击、认证者泄露攻击并保护了用户匿名性。最后根据基于智能卡的单点登录身份认证方案从系统架构、工作流程和资源管理方面设计了一个基于智能卡的单点登录系统。