随着企业信息化的发展,对计算机和信息系统的依赖越来越强。企业扩大,业务增多,应用系统越来越多。员工在使用这些系统过程中,必然要经过无数次的登录与认证,大大降低了工作效率。同时,为了顺利登录各个系统,员工通常设置简单的口令或者相同的口令,这样不管对于企业还是员工都将面临一种信息安全危险。单点登录系统(Single Sign-On System)就是在这样的背景下而产生。该系统的主要目标是对用户信息的统一调度,使用户访问诸多系统只需登录认证一次,并且保证用户信息与系统的安全性。 对于现有的单点登录系统,大部分都是利用PKI或者Kerberos机制来实现的。这些传统的做法都需要一个智能的客户端(“胖客户端”)来支持其算法。然而企业中越来越多的系统被设计为WEB系统,这既增加了用户的方便性,也提高了企业的办公效率。在WEB环境下,客户端通常都是瘦客户端的浏览器,不能实现特定算法,而且HTTP协议又是无状态的协议,这些都与传统单点登录系统的要求不符合。 本文认真分析了Internet/Intranet环境的特点,并研究了大量的认证机制,最终提出了一个WEB环境下基于Cookie的单点登录模型,并实现了系统原型。该模型在设计过程中,充分考虑了安全性与方便性。整个系统利用LDAP技术实现对用户信息和企业系统的管理;利用Https协议来保证数据传输的安全性;采用XML作为数据交换的载体。系统的各个层次相对独立,既保证了系统的松散耦合,同时也有利于系统的集成。旧的系统可以放弃以前的用户登录认证系统,方便地集成到单点登录系统中;新的系统可以不带自己的登录认证系统,而依靠单点登录认证系统实现对用户的认证与授权。