一種在Android移動(dòng)終端實(shí)現(xiàn)單點(diǎn)登錄的新方法

田 野，李忠獻(xiàn)，崔 軍

(1.中國(guó)民航大學(xué) 電子信息與自動(dòng)化學(xué)院,天津 300300；2.北京郵電大學(xué) 計(jì)算機(jī)學(xué)院，北京 100876；3.天津靈創(chuàng)智恒軟件技術(shù)有限公司,天津 300350)

一種在Android移動(dòng)終端實(shí)現(xiàn)單點(diǎn)登錄的新方法

田 野1，李忠獻(xiàn)2，崔 軍3

(1.中國(guó)民航大學(xué) 電子信息與自動(dòng)化學(xué)院,天津 300300；2.北京郵電大學(xué) 計(jì)算機(jī)學(xué)院，北京 100876；3.天津靈創(chuàng)智恒軟件技術(shù)有限公司,天津 300350)

針對(duì)目前移動(dòng)辦公越來(lái)越普及，各大企業(yè)紛紛開發(fā)了企業(yè)內(nèi)部各種各樣的移動(dòng)端應(yīng)用系統(tǒng)。企業(yè)員工需要頻繁登錄這些應(yīng)用系統(tǒng)，每次登錄就浪費(fèi)了大量時(shí)間，降低了工作效率。同時(shí)，企業(yè)員工需要記憶繁多的用戶名和密碼，不僅費(fèi)時(shí)費(fèi)力而且還存在安全隱患。因此，開發(fā)出一種能在移動(dòng)端進(jìn)行安全單點(diǎn)登錄的新方法是很有必要的。通過(guò)分析移動(dòng)終端上單點(diǎn)登錄的發(fā)展前景與現(xiàn)狀，提出了一種在Android設(shè)備上進(jìn)行安全單點(diǎn)登錄的新方法。該方法基于智能密碼鑰匙的數(shù)字證書認(rèn)證技術(shù)來(lái)實(shí)現(xiàn)身份認(rèn)證，通過(guò)Android應(yīng)用程序顯示授權(quán)資源，基于SOAP協(xié)議完成單點(diǎn)登錄，實(shí)現(xiàn)了基于Android客戶端的數(shù)字證書身份認(rèn)證與單點(diǎn)登錄來(lái)訪問(wèn)相互信任的資源。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)能支持異構(gòu)系統(tǒng)的單點(diǎn)登錄，用戶只需一次身份認(rèn)證就能訪問(wèn)所有授權(quán)應(yīng)用，提高了用戶數(shù)據(jù)安全性和工作效率，同時(shí)也為管理員的管理帶來(lái)了便捷。

單點(diǎn)登錄；數(shù)字證書；智能密碼鑰匙；Android移動(dòng)終端；SOAP協(xié)議；票據(jù)

1 概 述

隨著移動(dòng)終端和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，在商業(yè)領(lǐng)域，移動(dòng)辦公越來(lái)越受到企業(yè)的重視[1]。移動(dòng)辦公能給企業(yè)帶來(lái)相當(dāng)可觀的效益，通過(guò)移動(dòng)辦公系統(tǒng)，能實(shí)現(xiàn)員工在任何時(shí)間、任何地點(diǎn)通過(guò)互聯(lián)網(wǎng)進(jìn)行工作[2]，大大提高了員工的工作效率，因此各企業(yè)都在進(jìn)行企業(yè)內(nèi)移動(dòng)辦公系統(tǒng)的開發(fā)。對(duì)于企業(yè)內(nèi)部不同辦公應(yīng)用的整合，比較流行的是單點(diǎn)登錄方式。單點(diǎn)登錄是指用戶在網(wǎng)絡(luò)中只需進(jìn)行一次身份認(rèn)證，即可訪問(wèn)所授權(quán)的所有應(yīng)用，無(wú)需再次進(jìn)行身份認(rèn)證[3]。即“一處登錄，處處登錄”[4]。這樣既能解決用戶的安全問(wèn)題和效率問(wèn)題，還能給系統(tǒng)管理員的日常維護(hù)和管理帶來(lái)方便。有很多比較成熟的商業(yè)解決方案，如IBM的Tivoli Access Manager、Oracle的Sun Opens SO Enterprise、Netegrity Site Minder(已被CA收購(gòu))、Novell的EDirectory等[5]。但是這些方案都是基于瀏覽器形式而非客戶端形式，基于瀏覽器形式的單點(diǎn)登錄一般無(wú)法集中管理用戶的權(quán)限，而且移動(dòng)終端的瀏覽器一般無(wú)法使用插件來(lái)完成一些必要的操作。傳統(tǒng)的單點(diǎn)登錄采用的身份認(rèn)證方式一般都是密碼口令認(rèn)證，這種認(rèn)證方式存在一定的安全隱患。

因此，針對(duì)上述問(wèn)題，結(jié)合簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(Simple Object Access Protocol，SOAP)[6]與Web服務(wù)，提出了一種在Android移動(dòng)終端上基于Android客戶端應(yīng)用程序(以下簡(jiǎn)稱APP)形式的安全單點(diǎn)登錄新方法，用以解決現(xiàn)有Android移動(dòng)終端信息系統(tǒng)中異構(gòu)系統(tǒng)的集成、用戶認(rèn)證繁瑣冗余、可管理性差及密碼容易泄露等安全問(wèn)題[7]。

用戶身份認(rèn)證是指通過(guò)一定的手段，完成對(duì)用戶身份的確認(rèn)，即確認(rèn)當(dāng)前所聲稱為某種身份的用戶，確實(shí)是所聲稱的用戶[8]。身份認(rèn)證是安全的第一道大門，是各種安全措施可以發(fā)揮作用的前提。最常見(jiàn)的身份認(rèn)證方式有賬號(hào)和密碼[9]。隨著企業(yè)和機(jī)構(gòu)引入各式各樣的信息化系統(tǒng)，用戶和管理員需要維護(hù)多個(gè)信息系統(tǒng)的賬號(hào)和密碼，影響了日常的工作效率。用戶希望一次登錄可以訪問(wèn)企業(yè)的各個(gè)信息系統(tǒng)，因此資源單點(diǎn)登錄技術(shù)應(yīng)運(yùn)而生。

數(shù)字證書就是在互聯(lián)網(wǎng)通信中標(biāo)識(shí)通信各方身份信息的一種文件[10]。它提供了一種在網(wǎng)絡(luò)上驗(yàn)證身份的方式，一般由權(quán)威的CA頒發(fā)[11]。數(shù)字證書存儲(chǔ)在智能密碼鑰匙中，例如USB-Key、智能IC卡、藍(lán)牙Key、指紋Key等設(shè)備。文中系統(tǒng)涉及的方法采用的是易于Android設(shè)備適配的藍(lán)牙Key。

SOAP是交換數(shù)據(jù)的一種協(xié)議規(guī)范，是一種輕量級(jí)的、簡(jiǎn)單的、基于XML的協(xié)議，它被設(shè)計(jì)成在Web上交換結(jié)構(gòu)化和固化的信息[12]。此次采用SOAP協(xié)議來(lái)完成單點(diǎn)登錄過(guò)程中的票據(jù)兌換。

目前常見(jiàn)的單點(diǎn)登錄模型包括以服務(wù)器為中心的單點(diǎn)登錄、以客戶端為中心的單點(diǎn)登錄和客戶/服務(wù)器模式的單點(diǎn)登錄。下面分別介紹它們的優(yōu)缺點(diǎn)。

以服務(wù)器為中心的單點(diǎn)登錄解決方案：所有的認(rèn)證信息都存儲(chǔ)在中心服務(wù)器的數(shù)據(jù)庫(kù)上，當(dāng)需要對(duì)用戶進(jìn)行身份認(rèn)證時(shí)，這個(gè)中心服務(wù)器與系統(tǒng)內(nèi)其他所有設(shè)備進(jìn)行通信。這種通信需要中心服務(wù)器與應(yīng)用服務(wù)器集成，即在單點(diǎn)登錄服務(wù)器上開發(fā)應(yīng)用系統(tǒng)的客戶代理。該方案的優(yōu)點(diǎn)是有單一的控制點(diǎn)，方便對(duì)資源的訪問(wèn)進(jìn)行控制和權(quán)限管理[13]。缺點(diǎn)是與外部應(yīng)用支持比較困難，容易出現(xiàn)冗余，需要考慮負(fù)載均衡和備份。這種模型的代表就是微軟的Passport單點(diǎn)登錄技術(shù)。

以客戶端為中心的單點(diǎn)登錄解決方案：所有的認(rèn)證信息存儲(chǔ)在用戶的客戶端，需要在客戶端部署專門的單點(diǎn)登錄代理。優(yōu)點(diǎn)是不需要在后端集成，單點(diǎn)登錄服務(wù)器能支持大部分應(yīng)用，由于認(rèn)證信息存放在客戶端，可以在任何時(shí)間訪問(wèn)業(yè)務(wù)。缺點(diǎn)是由于使用密碼代填的方式，若數(shù)據(jù)傳輸過(guò)程中沒(méi)有加密，則賬號(hào)密碼容易泄露，而且沒(méi)有控制點(diǎn)，無(wú)法實(shí)現(xiàn)細(xì)致的權(quán)限控制。

客戶端/服務(wù)器模式的單點(diǎn)登錄解決方案：該方案是以上兩種方案的結(jié)合，具有單一的訪問(wèn)控制點(diǎn)并且由客戶端的代理提供認(rèn)證。在服務(wù)器一側(cè)有兩種實(shí)現(xiàn)方法，一種是獨(dú)立網(wǎng)關(guān)式，即在服務(wù)器前部署單點(diǎn)登錄代理；另一種是嵌入式方式，即將服務(wù)器端的單點(diǎn)登錄代理的功能以單點(diǎn)登錄API的形式集中在應(yīng)用服務(wù)器中。這種方案具有兩者的優(yōu)點(diǎn)，具有單一的訪問(wèn)控制點(diǎn)，便于實(shí)現(xiàn)集中、細(xì)致的權(quán)限控制。這種模型的代表就是Kerberos[14]。

所介紹的單點(diǎn)登錄解決方案，就是基于客戶端/服務(wù)器模式的。該方案在移動(dòng)終端上實(shí)現(xiàn)的難點(diǎn)在于如何設(shè)計(jì)針對(duì)Android移動(dòng)客戶端的Web服務(wù)以及如何在SOAP中傳輸票據(jù)信息(tickets)。該方案基于單獨(dú)的認(rèn)證服務(wù)器和單點(diǎn)登錄服務(wù)器進(jìn)行身份認(rèn)證和票據(jù)的獲取與兌換，利用SOAP協(xié)議進(jìn)行異構(gòu)系統(tǒng)間票據(jù)信息的傳遞，很好地實(shí)現(xiàn)了在Android移動(dòng)端上認(rèn)證一次后即可訪問(wèn)所有授權(quán)應(yīng)用的功能。

2 系統(tǒng)架構(gòu)與設(shè)計(jì)

2.1 系統(tǒng)框架

該系統(tǒng)實(shí)現(xiàn)的是基于APP形式的單點(diǎn)登錄新方法，同時(shí)結(jié)合了數(shù)字證書身份認(rèn)證技術(shù)。該方法的實(shí)現(xiàn)需要如下組成部分：智能終端(Android設(shè)備)、智能卡密碼鑰匙(藍(lán)牙Key)、APP、身份認(rèn)證服務(wù)器、單點(diǎn)登錄服務(wù)器、資源服務(wù)器。系統(tǒng)基于以上模塊，結(jié)合SOAP協(xié)議和Web服務(wù)，在保證系統(tǒng)安全的情況下，更好地實(shí)現(xiàn)了移動(dòng)端的單點(diǎn)登錄操作。其系統(tǒng)框圖如圖1所示。

圖1 系統(tǒng)框架

智能終端：主要指Android設(shè)備，包括Android智能手機(jī)和平板電腦。用戶通過(guò)智能終端上的APP，進(jìn)行身份認(rèn)證以及相關(guān)的業(yè)務(wù)操作，操作結(jié)果通過(guò)智能終端顯示給用戶。

智能卡密碼鑰匙：指存放數(shù)字證書的設(shè)備，在該系統(tǒng)指藍(lán)牙Key。用戶每次在打開APP之后，進(jìn)行身份認(rèn)證時(shí)會(huì)連接Key，讀取Key中的數(shù)字證書信息，并對(duì)數(shù)據(jù)進(jìn)行簽名驗(yàn)簽等操作。

APP：是指在智能設(shè)備上實(shí)現(xiàn)身份認(rèn)證、展示授權(quán)資源和單點(diǎn)登錄等功能的一個(gè)客戶端應(yīng)用程序。用戶通過(guò)該程序?qū)I(yè)務(wù)進(jìn)行操作，也是通過(guò)該程序?qū)崿F(xiàn)了身份認(rèn)證、單點(diǎn)登錄等操作。

身份認(rèn)證服務(wù)器：即部署身份認(rèn)證服務(wù)的服務(wù)器。在用戶打開APP進(jìn)行身份認(rèn)證時(shí)，智能終端通過(guò)連接藍(lán)牙Key，使用獲取到的公鑰證書表明身份和對(duì)應(yīng)的私鑰簽名證實(shí)身份，進(jìn)而實(shí)現(xiàn)在智能終端上對(duì)用戶的身份進(jìn)行認(rèn)證。

單點(diǎn)登錄服務(wù)器：即部署單點(diǎn)登錄服務(wù)的服務(wù)器。對(duì)通過(guò)身份認(rèn)證的用戶進(jìn)行相應(yīng)資源的單點(diǎn)登錄，使其獲取到訪問(wèn)授權(quán)資源的票據(jù)，最終能實(shí)現(xiàn)對(duì)授權(quán)資源的單點(diǎn)登錄。

資源服務(wù)器：即部署資源的服務(wù)器。包括用戶辦公使用的業(yè)務(wù)系統(tǒng)和資源，例如郵件系統(tǒng)，人事管理、財(cái)務(wù)管理等應(yīng)用。

該系統(tǒng)的典型應(yīng)用場(chǎng)景：企業(yè)中的用戶通過(guò)平板電腦或者手機(jī)，登錄APP，使用自己獨(dú)有的智能密碼鑰匙進(jìn)行認(rèn)證，登錄之后可以查看他所擁有訪問(wèn)權(quán)限的資源，比如工資系統(tǒng)、企業(yè)OA系統(tǒng)、郵件系統(tǒng)等，其他用戶也只能看到自己擁有訪問(wèn)權(quán)限的資源。

2.2 移動(dòng)終端單點(diǎn)登錄業(yè)務(wù)的流程

移動(dòng)終端基于數(shù)字證書的單點(diǎn)登錄流程如圖2所示。

圖2 流程圖

客戶端獲取授權(quán)資源列表的詳細(xì)流程如下：用戶打開APP，輸入用戶名，連接藍(lán)牙Key，訪問(wèn)認(rèn)證服務(wù)器請(qǐng)求認(rèn)證；認(rèn)證服務(wù)器檢查用戶名并響應(yīng)認(rèn)證請(qǐng)求，返回一個(gè)隨機(jī)數(shù)，藍(lán)牙Key對(duì)該隨機(jī)數(shù)進(jìn)行簽名，用戶需輸入藍(lán)牙Key的PIN碼，若連續(xù)五次輸入PIN碼錯(cuò)誤，Key會(huì)自動(dòng)鎖定。藍(lán)牙Key執(zhí)行簽名操作后，APP會(huì)把該簽名值發(fā)送到認(rèn)證服務(wù)器進(jìn)行認(rèn)證；認(rèn)證服務(wù)器收到認(rèn)證信息后，進(jìn)行公鑰驗(yàn)簽操作，若驗(yàn)證正確，則返回一個(gè)認(rèn)證成功的標(biāo)識(shí)(token)，APP憑借此標(biāo)識(shí)向單點(diǎn)登錄服務(wù)器獲取用戶對(duì)資源的授權(quán)信息票據(jù)(tickets)，若驗(yàn)證失敗，則返回認(rèn)證界面重新請(qǐng)求認(rèn)證。APP攜帶用戶對(duì)資源的tickets去訪問(wèn)資源服務(wù)器，資源服務(wù)器與單點(diǎn)登錄服務(wù)器進(jìn)行票據(jù)的兌換，兌換成功后單點(diǎn)登錄服務(wù)器返回該用戶的用戶名(username)，資源服務(wù)器則在數(shù)據(jù)庫(kù)表中查出該用戶的授權(quán)資源列表，并返回APP呈現(xiàn)給用戶；若票據(jù)兌換失敗，則重新請(qǐng)求用戶對(duì)資源的tickets。

經(jīng)過(guò)以上步驟，用戶獲得其授權(quán)資源，之后單點(diǎn)登錄訪問(wèn)不同應(yīng)用的流程如下：用戶點(diǎn)擊相應(yīng)的應(yīng)用，APP向單點(diǎn)登錄服務(wù)器申請(qǐng)?jiān)搼?yīng)用的tickets，單點(diǎn)登錄服務(wù)器根據(jù)username返回票據(jù)。客戶端攜帶該票據(jù)去訪問(wèn)業(yè)務(wù)，該業(yè)務(wù)訪問(wèn)單點(diǎn)登錄服務(wù)器兌換票據(jù)并驗(yàn)證，驗(yàn)證成功則顯示業(yè)務(wù)。當(dāng)用戶對(duì)某一應(yīng)用操作完成后，退出該應(yīng)用；當(dāng)需要訪問(wèn)其他應(yīng)用時(shí)，在資源列表界面重復(fù)上面的步驟即可訪問(wèn)其他應(yīng)用。

用戶操作完應(yīng)用后，退出APP，此時(shí)客戶端會(huì)清除所有的tickets信息和用戶信息。再次打開客戶端時(shí)，需重新進(jìn)行以上的所有操作來(lái)進(jìn)行單點(diǎn)登錄訪問(wèn)應(yīng)用。

3 關(guān)鍵問(wèn)題的實(shí)現(xiàn)

系統(tǒng)采用基于ESB模型的服務(wù)，WebLogic應(yīng)用服務(wù)器，LDAP服務(wù)器以及Eclipse(ADT)開發(fā)平臺(tái)實(shí)現(xiàn)了基于移動(dòng)端的數(shù)字證書單點(diǎn)登錄；采用XML協(xié)議實(shí)現(xiàn)對(duì)Webservice的發(fā)布、查找、綁定與描述；采用SOAP協(xié)議來(lái)進(jìn)行移動(dòng)端與服務(wù)器之間的票據(jù)信息的傳遞。

3.1 Web服務(wù)的設(shè)計(jì)

Webservice是連接服務(wù)器與移動(dòng)端的橋梁。移動(dòng)端通過(guò)訪問(wèn)Webservice來(lái)傳遞認(rèn)證服務(wù)器所需的數(shù)據(jù)；認(rèn)證服務(wù)器通過(guò)Webservice返回給移動(dòng)端相應(yīng)的結(jié)果。單點(diǎn)登錄服務(wù)器也通過(guò)Webservice以及SOAP消息向移動(dòng)端傳遞和兌換票據(jù)信息。有關(guān)Webservice的描述語(yǔ)言如下：

認(rèn)證請(qǐng)求的Webservice：

在Webservice的描述中，該Service的名稱為authenticationByCertificate，進(jìn)行認(rèn)證需要移動(dòng)端傳入的參數(shù)為credentials和serviceUrl，其中credentials是由base64編碼的簽名信息，serviceUrl是字符串類型的服務(wù)器地址。

3.2 SOAP消息

SOAP協(xié)議為不同的系統(tǒng)間交換數(shù)據(jù)提供了一個(gè)很好的途徑。在整個(gè)流程中，基于SOAP的票據(jù)申請(qǐng)與兌換共進(jìn)行了兩次，一次是對(duì)授權(quán)資源的票據(jù)的申請(qǐng)與兌換，另一次是訪問(wèn)授權(quán)業(yè)務(wù)的票據(jù)的申請(qǐng)與兌換。每次票據(jù)的申請(qǐng)與兌換經(jīng)過(guò)如下的幾個(gè)過(guò)程：APP構(gòu)造SOAP請(qǐng)求、服務(wù)器接收并解析SOAP請(qǐng)求、服務(wù)器生成返回的SOAP消息、APP接收并解析收到的SOAP消息。以訪問(wèn)授權(quán)業(yè)務(wù)票據(jù)為例，其申請(qǐng)與兌換的SOAP消息的具體代碼設(shè)計(jì)如下：

在獲取到授權(quán)資源列表后，用戶通過(guò)點(diǎn)擊相關(guān)應(yīng)用，訪問(wèn)單點(diǎn)登錄服務(wù)器票據(jù)申請(qǐng)接口去申請(qǐng)票據(jù)，其數(shù)據(jù)格式設(shè)計(jì)為：

返回的信息為經(jīng)過(guò)base64編碼的票據(jù)信息。其格式設(shè)計(jì)為：

此時(shí)APP攜帶收到的票據(jù)去訪問(wèn)相應(yīng)資源，資源收到票據(jù)后，會(huì)訪問(wèn)單點(diǎn)登錄服務(wù)器兌換票據(jù)接口來(lái)兌換用戶信息，其格式設(shè)計(jì)為：

單點(diǎn)登錄服務(wù)器返回票據(jù)兌換的結(jié)果為經(jīng)過(guò)base64編碼的用戶名。其格式設(shè)計(jì)為：

4 系統(tǒng)測(cè)試與結(jié)果分析

該系統(tǒng)使用了身份認(rèn)證服務(wù)器和單點(diǎn)登錄服務(wù)器，相關(guān)的應(yīng)用部署在不同服務(wù)器上。測(cè)試時(shí)所使用的移動(dòng)終端包括不同Android系統(tǒng)版本的Android手機(jī)/平板電腦平臺(tái)以及電腦端的單點(diǎn)登錄平臺(tái)；測(cè)試中所使用的Key包括海泰方圓公司和飛天誠(chéng)信公司的兩款常用的藍(lán)牙Key。不同Android系統(tǒng)版本和不同品牌Key對(duì)該應(yīng)用的適用和支持情況如表1所示。

測(cè)試結(jié)果表明，在不同的Android系統(tǒng)版本和不同品牌的藍(lán)牙Key的環(huán)境下，通過(guò)一次藍(lán)牙Key的身份認(rèn)證后，客戶端均能成功獲取到授權(quán)資源列表，再次點(diǎn)擊相應(yīng)的應(yīng)用后，均能成功訪問(wèn)應(yīng)用。說(shuō)明在不同的Android移動(dòng)終端上，系統(tǒng)的適用性很強(qiáng)，能夠很好地實(shí)現(xiàn)單點(diǎn)登錄訪問(wèn)資源的功能。

表1 不同Android系統(tǒng)及不同 Key對(duì)應(yīng)用的適用情況表

為了測(cè)試該系統(tǒng)相比于傳統(tǒng)的電腦端基于瀏覽器重定向形式的單點(diǎn)登錄所具有的優(yōu)勢(shì)，對(duì)二者單點(diǎn)登錄訪問(wèn)資源所花費(fèi)的時(shí)間進(jìn)行對(duì)比。測(cè)試中，藍(lán)牙Key選用海泰方圓公司藍(lán)牙Key作為移動(dòng)終端單點(diǎn)登錄的典型，讓同一用戶在兩種平臺(tái)下去訪問(wèn)同一資源，計(jì)算登錄時(shí)間和訪問(wèn)資源的響應(yīng)時(shí)間。測(cè)試結(jié)果如表2所示。

表2 不同平臺(tái)單點(diǎn)登錄的響應(yīng)時(shí)間

測(cè)試結(jié)果表明：通過(guò)在移動(dòng)終端上采用基于Android客戶端形式的單點(diǎn)登錄，結(jié)合SOAP協(xié)議與Web服務(wù)，同時(shí)使用數(shù)字證書密碼鑰匙，更好地保證了身份認(rèn)證的安全性與快捷性。相比原有的分散的應(yīng)用認(rèn)證方式以及傳統(tǒng)的基于瀏覽器重定向的單點(diǎn)登錄方式，減少了系統(tǒng)響應(yīng)時(shí)間，系統(tǒng)效率和可用性也大大增加。同時(shí)，基于Android客戶端形式的單點(diǎn)登錄適用于不同版本的Android平臺(tái)，也能很好地兼容不同廠商的藍(lán)牙Key，更好地保證了該方法的實(shí)用性。

5 結(jié)束語(yǔ)

在企業(yè)移動(dòng)辦公越來(lái)越流行的今天，移動(dòng)端的單點(diǎn)登錄的作用顯得尤為突出。在移動(dòng)終端上實(shí)現(xiàn)的基于Android應(yīng)用的單點(diǎn)登錄新方法，采用SOAP協(xié)議與Web服務(wù)相結(jié)合，將操作系統(tǒng)不同、編程語(yǔ)言不同、數(shù)據(jù)庫(kù)不同的應(yīng)用系統(tǒng)與認(rèn)證服務(wù)器和單點(diǎn)登錄服務(wù)器進(jìn)行整合，解決了異構(gòu)系統(tǒng)間互操作的問(wèn)題，提高了認(rèn)證的效率與靈活性，也為用戶信息的管理帶來(lái)了方便。同時(shí)，使用藍(lán)牙Key和數(shù)字證書技術(shù)，完美地保證了系統(tǒng)的安全性；而且使用Android應(yīng)用程序形式，在移動(dòng)終端較小的屏幕上將應(yīng)用更好地展現(xiàn)給用戶，大大提高了系統(tǒng)的便捷性和用戶的可操作性。相比傳統(tǒng)的單點(diǎn)登錄形式，效率有了很大提高，該方法為移動(dòng)端的單點(diǎn)登錄方法提供了一個(gè)新思路。

[1] 孟青春,吳穎川,劉志勤,等.基于移動(dòng)終端的多終端單點(diǎn)登錄研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì),2014,35(5):1536-1541.

[2] 王小紅.基于Cookie的單點(diǎn)登錄認(rèn)證機(jī)制實(shí)現(xiàn)[J].重慶工商大學(xué)學(xué)報(bào):自然科學(xué)版,2014,31(8):73-78.

[3] Chen Yebin,Xia Bing,Wu Baozhu,et al.Design of web service single sign-on based on ticket and assertion[C]//2nd international conference on artificial intelligence,management science and electronic commerce.[s.l.]:[s.n.],2011.

[4] Ye Q,Bai G,Wang K,et al.Formal analysis of a single sign-on protocol implementation for Android[C]//20th international conference on engineering of complex computer systems.[s.l.]:[s.n.],2015.

[5] Yulin T,Feng Z.The analysis and design for single sign-on in the mobile application data center[C]//3rd international conference on system science,engineering design and manufacturing informatization.[s.l.]:[s.n.],2012.

[6] Armando A,Carbone R,Compagna L,et al.An authentication flaw in browser-based single sign-on protocols:impact and remediations[J].Computers & Security,2013,33(4):41-58.

[7] 陳萱華,林淑玲,楊 玲.云環(huán)境下跨域單點(diǎn)登錄解決方案[J].現(xiàn)代電子技術(shù),2015,38(2):49-51.

[8] 王冠眾,張 斌,費(fèi)曉飛,等.基于可轉(zhuǎn)換代理簽密的SAML跨域單點(diǎn)登錄認(rèn)證協(xié)議[J].計(jì)算機(jī)科學(xué),2015,42(4):106-110.

[9] 李曉永,王福喜.基于票據(jù)的單點(diǎn)登錄系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代電子技術(shù),2015,38(13):85-89.

[10] 鄒曉輝.一種基于數(shù)字證書的跨域單點(diǎn)登錄解決方案[J].長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào):自然科學(xué)版,2010,31(6):683-686.

[11] 朱 青.基于CAS的單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京:北京工業(yè)大學(xué),2014.

[12] 霍成義.結(jié)合Cookie與票據(jù)共享的單點(diǎn)登錄方案[J].自動(dòng)化與儀器儀表,2013(3):161-163.

[13] 吳晶晶.PKI關(guān)鍵理論與應(yīng)用技術(shù)研究[D].合肥:中國(guó)科學(xué)技術(shù)大學(xué),2008.

[14] 宋小龍.基于數(shù)字證書認(rèn)證的單點(diǎn)登錄系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].大連:大連理工大學(xué),2014

A New Method for Single Sign-on at Android Terminal

TIAN Ye1,LI Zhong-xian2,CUI Jun3

(1.College of Electronic Information and Automation,Civil Aviation University of China,Tianjin 300300,China；2.College of Computing,Beijing University of Posts and Telecommunications,Beijing 100876,China;3.Tianjin Ling Chuang Zhi Heng Software Technology Co.,Ltd.,Tianjin 300350,China)

In view of current mobile office which is becoming more and more popular,the major companies have developed a variety of internal mobile terminal applications.Enterprise employees need to log in these applications frequently,and each time they log on to waste a lot of time,reducing the efficiency of the work.At the same time,they need to remember a wide variety of user name and password,not only time-consuming and hard work,but also the existence of security risks.Therefore,it is necessary to develop a new method which can carry on the secure single sign on the mobile terminal.Through the analysis of the prospect and present of terminal application and the existing single sign-on system,a new method for single sign-on based on Android mobile terminal is put forward.This method is based on the digital certificate technology and combines the SOAP protocol and Web Service to make the identity authentication come true.And it uses Android application instead of browser’s redirection technology which can get the authorized resources.Thus the access to different application systems has been constructed by digital certificate identity authentication technology and single sign-on based on Android mobile terminal comes true.The experimental results show that this system supports single sign-on between different systems,and the user just needs to log in once to access to all the authorized resources,and that it can not only improve the efficiency of users,but also bring convenience to the administrator’s management.

single sign-on;digital certificate;intelligent cipher key;Android mobile terminal;SOAP;ticket

2016-06-06

2016-09-14

時(shí)間：2017-03-07

天津市高等學(xué)校科技發(fā)展基金計(jì)劃項(xiàng)目(20140805)

田 野(1991-)，男，碩士研究生，研究方向?yàn)樾畔踩焕钪耀I(xiàn)，副教授，從事網(wǎng)絡(luò)與信息安全產(chǎn)品研發(fā)、工程項(xiàng)目管理與實(shí)施。

http://kns.cnki.net/kcms/detail/61.1450.TP.20170307.0922.068.html

TP31

A

1673-629X(2017)04-0145-05

10.3969/j.issn.1673-629X.2017.04.032