税务系统中单点登录技术研究与应用.pdf

THESIS SUBMITTED TO SHANGHAI JIAOTONG UNIVERSITY FOR THE DEGREE OF MASTER OF ENGINEERING IN COMPUTER SCIENCE Research and Implementation of Single Sign On System In Tax Department Candidate ： Dong Wang Supervisor： Xiaoyong Li The School of Information Security Engineering Shanghai Jiaotong University August, 2007 税务系统中单点登录技术的研究与应用 摘 要 随着网络技术的发展，税务系统电子政务网不断完整和规范，系统规模变 的越来越大，用户如果要登录多个系统，不仅要面对多个登录界面，可能还要 记忆不同的用户名和口令。每个系统有各自的账号管理系统，互不信任。系统 管理员不得不维护多个系统中的用户信息，保证数据的一致性。随着用户登录 系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大， 安全性就会降低。基于效率和安全等因素的考虑，迫切需要一种高效、安全的 网络认证机制-单点登录(Single Sign-On)技术，即用户只需在网络中主动地进 行一次身份认证，随后便可以访问其被授权的所有网络资源，而不需要再主动 参与其他的身份认证过程。 本论文研究并实现了一种企业网络环境下的安全性高、应用范围广的单点 登录系统。该系统是基于目录服务的统一身份认证，采用了轻量级目录访问标 准协议，利用了目录服务的分布式特性，将分布在各个应用系统中的用户和资 源信息都组织到一个逻辑目录树中，很大程度上简化了认证服务中心和各应用 系统之间的通信，降低了系统实现的难度。目录服务系统将轻量级目录访问服 务器作为身份管理的核心数据库，存储用户身份信息、角色和访问控制信息。 并提供策略服务系统，对整个系统用户进行统一管理的用户管理服务，以及执 行管理员制定的策略的授权服务。与数据库为中心的分布式网络系统相比，这 实现方法具有良好的可扩展性和集中管理功能，灵活性强、实现简单的特点。 本文是从税务系统进行单点登录系统的设计背景出发，研究了系统的软件 构架，认证服务器的体系结构和LDAP 服务器。本系统采用基于可信任第三方的 Kerberos认证协议。提出轻量级目录访问协议和Kerberos 认证技术相结合，主 要完成认证服务器的设计，认证系统的基本数据结构，消息格式的定义，通过 AS 认证服务，TGS 授权服务，数据处理，线程处理，传输控制五大功能模块， 实现对用户身份统一认证和授权。并支持双方认证，极大提高了系统的安全系 数。同时，采用单点登录方式通过一次身份验证，可以透明登录到所有授权的 应用。通过单点登录把原来分散的用户管理集中起来，可以自动完成用户对应 用的登录，减少用户登录的等待时间。最后,通过测试，证明本文所研究的系统 在安全性、可靠性和可实施性方面都切实可行。 关键词 单点登录,Kerberos,LDAP Research and Implementation of Single Sign-On System in Tax Department ABSTRACT With the development of the network technology, the E-government network in TAX department is becoming more and bigg