基于Cookie的门户系统单点登录模型（北京航空航天大学计算机学院软件开发环境国家重点实验室，北京100083）摘要针对门户系统的特点提出了基于Cookie的门户系统单点登录模型，详细介绍了该模型的认证过程，对模型中的安全性进行了分析。门户系统单点登录模型的提出能够解决门户系统中分布式资源站点之间的统一身份认证问题，实现单点登录，从而方便用户对资源的使用、增强用户访问站点的安全性、减轻管理员的负担。??关键词：单点登录；Cookie；SSL；门户系统??中图法分类号：TP393．08文献标识码：A：1001-3695(2006)08-0100-02??CookiebasedSingleSignonModelinPortalSystem??YANGWenbo,ZHANGHui,LIURui??(StateKeyLaboratoryofSoftwareDevelopmentEnvironment,CollegeofComputerScience,Bei激ngUniversityofAeronauticsAstronautics,Bei激ng100083,China)Abstract:Thispaperintroducesandanalysesthemechanismofdisperseduseridentityauthenticationandtheprimaryrecenttechnologyofsinglesignon.Basedonthis,aCookiebasedsinglesignonmodelinportalsystemisproposedaimingatthecharacteristicsofportalsystem.Atlast,securityofthemodelisconsideredandanalyzed.ThemodelproposedcansolvetheproblemofuniformidentityauthenticationamongthedistributedresourceWebsitesinportalsystem,andmakesthesinglesignoncometrue.Asaresult,itmakesmoreconvenientforusingresources,enhancessecurityofaccessingsites,and??alle????viates??theburdensofadministrators.??Keywords:SingleSignon;Cookie;SSL;PortalSystem?お?在信息化建设和发展的过程中，各家企业、科研院所和单位已经逐步建立起了自己对外宣传和资源共享的信息窗口。由于最初他们在整体上缺乏统一规划，以至于形成了“信息孤岛”林立的局面，给各家企业、科研院所及单位之间的信息共享与交流和用户对资源的访问与使用带来了不便。伴随着信息时代的不断发展，随之出现了门户(Portal)系统，门户系统能够为多个分布的Web站点提供一个集中、统一的服务访问点，如图1所示。这在一定程度上方便了用户对资源站点的访问。目前市场上比较流行的门户服务器有IBM的WebSpherePortalServer和BEA公司的WebLogicPortalServer。??但是，由于各个物理上分布的资源站点在前期建设过程中已经形成了独立的一套身份认证体系，这种在物理上分布的多资源站点用户身份认证体系的并存，加重了用户登录资源站点的负担，增加了登录出错的可能性，降低了用户访问资源站点的安全性。因此，迫切需要对门户系统和接入到其中的资源站点建立统一身份认证体系，实现单点登录。??1基于Cookie的门户系统单点登录模型??在单点登录概念提出以前，大多数系统采用的是分散式用户身份认证机制，这种机制要求用户逐个登录需要访问的Web站点。当用户登录站点时，输入用户名/密码，并以表单的形式传送到Web服务器，由Web服务器从数据库中读取用户信息进行认证。如果用户需要访问其他站点，仍需登录。此机制的缺点是：①用户需要对每个访问的Web站点设置用户名和密码，口令太多，难以记忆而且容易造成混淆；②用户为了方便，往往会选择简单信息作为口令或者设置相同的口令，这样将会带来巨大的安全隐患；③对管理者而言，针对每个应用系统需要创建一个用户数据库，管理起来比较烦琐。??而门户本身最大的特点就是应用和服务的集成，以期最大程度地方便用户对资源的访问和使用；对其中的应用和服务而言，门户是引导用户访问其中资源的统一入口。显然，分散式用户身份认证机制与门户自身的理念背道而驰，不能满足门户系统的要求。针对门户系统的这一特点，本文提出了基于Cookie的门户系统单点登录模型。该模型假设：门户对其用户的认证信息对接入到门户中的资源站点而言是可信的。其模型如图2所示。①C(url)→PV??②PV→C??③C(uId,pwd)→PV??④PV(e(uId||roleId||timeLimit))→C??⑤C(plogin)→WS??⑥WS→PS??⑦C→PS(d(uId||roleId||timeLimit))??⑧PS(roleId)→WS??⑨WS→C??其中，C代表客户端Client；PV代表门户服务器PortalServer；WS代表资源站点服务器ResourceWebS...