Scalable single sign-on system

To address the scalability and identity federation problems of the traditional single sign-on system, the proposed scheme divides the security systems into different security domains. Each security domain has its own security servers and service providers, and there are trust relationships between different security domains for identity federation. The security server is responsible for authentication and authorization inside the domain, and offers identity federation capability for different domains. The security assertion markup language （SAML） assertion is used as security token in the system for authentication, authorization, and identity federation. The design of the proposed single sign-on process is based on web service security framework and multiple security domains, and the authorization is always deployed in the local area inside the service provider＇ s security domain, which enables web service clients, both inside and outside their security domains, to access the services in a simple, scalable, standard and secure way.

Identifier Migration for Identity Continuance in Single Sign-On

Single sign-on (SSO) is an identity management technique that provides the ability to use multiple Web services with one set of credentials. However, when the authentication server is down or unavailable, users cannot access these Web services, regardless of whether they are operating normally. Therefore, it is important to enable continuous use alongside SSO. In this paper, we present an identity continuance method for SSO. First, we explain four such continuance methods and identify their limitations and problems. Second, we propose a new solution based on an identifier migration approach that meets the requirement for identity continuance. Finally, we discuss these methods from the viewpoint of continuity, security, efficiency, and feasibility.

Single Sign—On（SSO）技术探讨

当为了支持商业进程而沿伸IT系统时，用户和系统管理员为了完成工作，面对着日益增长的复杂的各种接口（人机交互接口）。用户需要登录多个的系统，而系统管理员则需要以同样的方式，维护多个系统的用户账号。单点登陆系统能集统一各个系统的认证和授权，解决用户和管理员的困扰，并大大提高安全性。利用Kerberos思想和SSL技术，在HTTP协议基础上建立有效的认证和授权机制，提出可行的Web单点登陆平台解决方案。

Web环境下的SSO实现模式的研究

针对单点登录(SSO)这一传统难题,该文分析比较了各种SSO设计模型的优缺点,利用Web应用这一关键技术,给出了面向Web应用的SSO系统设计方案。该文描述了面向Web应用的SSO系统的设计思想、体系结构以及各个模块的功能和模块之间的关系和交互,详细设计了SSOGateway、SSOAgent、SSOAuth等三个重要模块。该文创新地结合J2EEWeb应用、Webservice、JAAS等成熟的技术,为解决单点登录这个安全集成领域中的核心问题之一,设计了一个完整的、可行的、先进的实现方案。读者可以在该文的指导下,结合自身实际情况较为容易地改造现有应用系统,真正实现单点登录的集成。

支持多模式应用的分布式SSO系统设计与实现

分析了传统SSO产品的原理和不足,提出对应用系统登录过程所需的两类信息进行分离解耦,在利用XML和USB身份认证方式的基础上,实现应用系统的登录过程共享与自动登录。研究了Windows和Web应用的窗体构造与消息传递机制,开发出支持多模式的分布式SSO系统,实际应用效果良好。

单点登录原型系统KSSO的设计与实现

随着网络的普及和企业信息化建设的加快,用户经常要访问多种不同的应用服务器,以致用户必须面对多次登录的困扰。单点登录(Single Sign-On)就是为解决传统认证机制中存在的问题而提出的一种技术。分析了传统Kerberos协议的特点与不足,提出了一种基于改进Kerberos协议的单点登录原型系统KSSO,并对该系统的体系结构、设计思想、工作原理和实现方案进行了阐述。

基于RBAC的SSO统一权限管理方法

针对RBAC(role_based access control)模型不能直接应用到SSO(single sign_on)系统中的问题,分析了RBAC模型的权限获取方式,指出不能直接应用的原因。引入XML文档存储用户在系统中的权限,改进用户权限获取方式及流程,定义权限验证方法统一接口,降低RBAC模型同应用系统的耦合性,提出了改进的RBAC统一权限管理模型和实施方法,并在实际应用中得以实现和验证。

基于CAS的Web-SSO模型的一种实验性开发

针对企业构建统一门户平台进行应用集中时面临的"身份集成"的问题,提出了统一认证和单点登录方案.基于Web单点登录的基本架构及其实现条件,引入集中认证服务(CAS)单点登录的开源工具,描述了CAS协议模型,对其单点登录的实现流程和协议进行了安全性分析.通过简单的环境配置和Java编程,对基于CAS的单点登录(SSO)模型作了实验性开发,并验证了其合理性和可行性.

用SSO实现校园网CMS系统与OA系统的集成

通过对本学校OA系统和Web应用系统的用户管理系统进行整合研究,用单点登录(Single Sign-On简称SSO)方式,利用J2EE中的安全技术:Java Authorization Contract for Containers(Java ACC)和JavaTM Authentication and Authorization Service(JAAS),把OA和CMS这2个系统集成起来,使用户一次登录就达到了全网访问成为可能,并有力的提高了用户的工作效率。

基于.NET的SSO模型实现方案

在当今万维网的时代,多个WEB应用程序普遍需要单点登录(SSO)技术.从一个域中多个站点、一个域中多个子域和不同域三种情况详细研究了SSO模型及其关键技术,讨论了ASP.NET的用户身份验证及其内部实现策略,较为深入地分析了.NET中各种实现SSO方法的优点和缺点.

基于JA-SIG CAS统一认证平台(SSO)的设计与实现

基于JA-SIG CAS框架,设计、实现了一个单点登录统一认证平台,为大型网站提供安全统一的用户身份认证服务。统一认证平台分为SSO CAS服务器端和CAS客户端,服务器端采用SSL加密协议的https方式部署,客户端采用http方式部署。平台运用Spring Securit、Spring Remote、Hibernate3、Struts 2.2等技术,以及PGTIOU(代理授权许可证索引)、PGT(代理授权许可证)、PT(代理许可证)、ST(服务许可证)、TGC(Ticket凭证存放cookie)等关键数据结构,实现统一身份认证的服务票据生成、授权、检查、保存、发送等,提供单点登录服务。

Implications of SSO Solutions on Cloud Applications

The trend in businesses is moving towards a single browser tool on portable devices to access cloud applications which would increase portability but at the same time would introduce security vulnerabilities. This resulted in the need for several layers of password authentications for cloud applications access. Single Sign-On (SSO) is a tool of access control of multiple software systems. This research explores the effects and implications of SSO solutions on cloud applications. We utilize a new framework of different attributes developed by acquiring IT experts’ opinions through extensive interviews to expand significant strategic parameters at the workplace. The framework was further tested using data collected from a sample of 400+ users in the UAE.

一种校园SSO系统的整体设计

本文针对数字化校园讨论并分析了单点登录的多种技术实现方案,结合数字化校园的实际情况,达成了一种契合实际并拥有较低综合成本的单点登录解决方案。该方案以CAS为基础实行统一认证,并结合轻量级目录服务技术作为用户身份管理,为学校提供了一个较易管理和实现的单点登录体系,解决现有多账号问题,并为信息化发展提供良好的扩展基础。

企业综合管理平台中SSO的研究与实现

企业综合管理平台作为企业信息资源和应用服务的集成平台,需要解决的最基本问题就是单点登录。介绍了单点登录的原理及实现机制,分析了几种单点登录常用模型,最后结合本企业应用系统的特殊性和综合管理平台实际情况,基于IBM的Tivoli Access Manager实现了该平台与各应用系统的单点登录。

WebLogic Server安全技术概述及其在电子政务应用中的实现

概要地介绍了WebLogicServer的安全技术,并结合具体项目向读者提供了一种访问控制的实现方法。

LDAP的研究及其在统一身份认证系统中的应用

统一身份认证服务系统的功能是建立一个能够服务于所有应用系统的统一的身份认证系统,采用唯一的用户信息数据库系统对用户信息统一进行管理,每个应用系统都通过该认证系统来进行用户的身份认证,而不再需要开发各自独立的用户认证模块,用户只需一次登录就可以访问网络中各应用系统相应权限内的资源。各应用系统通过LDAP将用户或组织的信息以层次结构,面向对象的数据库的方式加以收集和管理。介绍了LDAP协议及其四种基本模型,阐述了统一身份认证思想,并设计了基于LDAP协议的统一身份认证系统。

基于Kerberos的Web单点登录研究

该文针对W eb环境中应用Kerberos认证协议存在的两个问题,提出了自己的解决方案。采用基于随机数的质询/响应方式取代基于时间的A uthenticator来解决重放攻击问题,采用Secure Cookies、H ttpSession等来解决W eb环境下服务器间和服务器内的安全会话问题。在此基础上设计并实现了面向W eb应用环境的单点登录系统Ti-SSO。

基于多因素的网络身份认证

在Internet/Intranet的应用中,安全性面临着严重的挑战。用户在进入系统时,传统方法是通过口令验证其身份。这在某种程度上虽确保了计算机系统的安全,但同时存在着记忆烦琐、易丢失、易遗忘等弊端。另一方面,各种应用多样的身份认证机制,不仅繁杂而且给客户的访问增加了安全隐患。为此本文提出一种结合指纹识别、证书和身份令牌USBKey的多因素的具有强身份认证和一次性登录功能的认证及授权系统。

面向HTTP身份鉴别协议的单点登录透明集成技术研究

针对单点登录技术实施过程中,采用HTTP身份鉴别协议的已有Web应用系统不能修改、改变的技术难题,提出了一种无须修改Web应用程序和Web服务器的身份鉴别方式即可实现单点登录的单点登录透明集成技术。该技术通过插入到Web服务器的HTTP请求、响应处理通道中的一个插件,自动处理与Web服务器交互的HTTP身份鉴别协议数据,从而在对Web服务器不作改变、对Web应用程序不作修改的情况下,实现单点登录功能。实际应用和测试结果表明,该方案实现了预定的功能,达到了预期的效果。所提方案对单点登录的应用实施非常有帮助。

轻量级门户单点登录服务机制

信息门户的建设过程中需要容易实施且灵活高效的整合模式.为克服传统单点登录机制无法满足在动态松耦合环境下实现快速整合的缺陷,结合面向服务架构思想,提出一种轻量级门户单点登录服务机制(LSSO-Service,Lightweight Single Sign-on Service),可为门户整合提供结构简单、完善通用、松散耦合、快速机动的单点登录服务.LSSO-Service基于高于对象层的分布式服务集成模式进行功能划分,可实现采用不同技术的应用系统在门户中的快速动态整合.阐述了LSSO-Service的设计思想和工作原理,并通过在国内某大型水利信息门户中的应用实践,说明该研究结果对于门户建设具有较高的理论意义和参考价值.