随着Internet/Intranet上电子商务以及企业级Web应用系统应用范围的不断扩展、应用程度的不断深入,如何实现安全身份认证和授权管理,满足企业信息系统用户一次性登录,按照不同系统的授权能力,访问多个业务系统的统一安全控制,是当前网络安全研究中非常重要的一个课题.为此,广州市电信科技开发有限公司提出数字身份管理系统作为解决方案.该系统主要有四个功能模块:身份认证、单点登录(SSO)、授权管理和安全审计.根据该系统的需求,提出建立在一次性口令鉴别协议(OTPAP)的基础上的设计方案,结合JAAS实现了前三个功能模块,并根据实际的需要开发了一个单点登录系统.文章首先介绍了项目背景,一次性口令鉴别协议的概念和基本思想,然后着重介绍了身份认证模块和授权模块的设计流程,阐述如何实现单点登录的目标.最后详细介绍了利用现有的加密算法,在JAAS-灵活的Java安全机制基础上,完成该系统的实现.