单点登录是一种新型的身份认证和访问控制机制，旨在解决企业多应用重复登录带来的低效率、安全性差以及管理复杂等传统认证授权机制的缺陷。它的本质是将实际用户映射成一个电子身份，并可以将其安全、高效地传递给其他应用系统。这样，用户只需要主动参加一次身份认证过程，获得合法的电子身份凭证，以后便可由单点登录系统自动帮助用户完成所授权访问的其他应用服务或资源。 本文从研究单点登录所提供的安全服务入手，结合目前发展现状，主要研究了Kerberos认证协议，针对其缺乏授权和审计等安全特性的局限性，提出了一个Kerberos授权功能扩展模型，最后设计了一个具有良好安全特性的企业单点登录系统。 论文的主要工作包括如下几个方面： 1．在总结和分析目前单点登录解决方案和产品的基础上，研究了单点登录的本质，得出完整的单点登录服务除了具备单点登录功能之外，应提供身份认证、机密性、完整性、授权和审计等基本安全特性的结论。 2．系统研究了单点登录所涉及的身份认证和访问控制理论，提出了一个基于角色的企业访问控制模型——E-RBAC，该模型具有管理直观、简单的特点，最后给出了基于该模型的管理框架，为建立实用的企业权限系统提供了便利。 3．针对Kerberos授权机制缺乏的状况，提出了一种基于Kerberos协议的授权功能扩展模型，该模型在不改变Kerberos协议框架的前提下，利用Kerberos票据机制携带角色信息实现细粒度的授权服务。 4．引入公钥基础设施(PKI)，借鉴Kerberos协议框架，采用权限属性票据和证书作为信息载体，设计了一个集身份认证、机密性、完整性、授权和审计等安全特性于一体的企业单点登录系统。