随着高校信息化的蓬勃发展，高校内部的信息系统(分布式应用)也随之而增多，各个应用之间通过各种方式进行着信息的传递和共享，从而使信息传递过程的安全性显得愈发重要。通过对Kerberos模型的简化和改进，提出一种应用系统服务提供和调用的模型，借助于已有的“上海交通大学统一授权服务”，为服务的供应者提供可信的方式，来验证服务调用者的合法性，从而在应用的级别实现应用间的信任，构建更加安全可靠的面向服务架构的应用。

　　研究背景

　　Kerberos协议

　　Kerberos协议是一种计算机网络授权协议，用来在非安全网络中对个人通信以安全的手段进行身份认证。该认证过程的实现不需要依赖于主机操作系统的认证以及整个网络的安全保证。

　　Kerberos版本4的主要设计者Steve Miller和Clifford Neuman，在1980年末发布了这个版本。这个版本主要针对Project Athena。版本5由John Kohl 和Clifford Neuman设计，在1993年作为RFC 1510颁布(在2005年由RFC 4120取代)。

　　该协议的思想被广泛地应用于各种认证系统，其中包括上海交通大学的统一身份认证系统，用以实现在上海交通大学校内各应用系统的单点登录。

　　上海交通大学统一身份认证

　　上海交通大学统一身份认证系统(SJTU JAccount)，是上海交通大学网络信息中心开发的用户认证体系，以实现校内的单点登录。上海交通大学网络信息中心为每个注册的交大校园网用户提供一个统一的网络账户，称为jaccount。通过jaccount认证体系，可以在Web应用中实现单点登录，即用户在一个浏览器会话期中只需登录一次就能进入所有其拥有访问权限的jaccount 成员站点。此身份认证的前提是SJTU JAccount服务为需要使用单点登录的校内应用共享一个SiteKey，通过此密钥来实现通讯间加密。

　　上海交通大学统一授权服务

　　上海交通大学统一授权服务(SJTU Entitle)是基于统一身份认证系统进行管理的，统一授权系统为各应用系统提供一个统一授权的接口。各应用系统的管理员可以通过Web Service接口对用户在该应用系统内的权限进行管理，当用户访问使用了统一授权的第三方应用系统时，第三方应用系统通过调用统一授权系统提供的Web Service接口，获取特定的jaccount用户在该应用中的相应权限、角色等认证信息。

　　本研究将基于统一授权系统进行扩展，试图使统一授权系统提供类Kerberos的认证服务，使高校内各个应用系统间的服务调用可信。

　　OAuth 开放授权

　　OAuth(开放授权)是一个开放标准，允许用户让第三方网站访问该用户在某一网站上存储的私密资源(如照片、视频、联系人列表)，而无需将用户名和密码提供给第三方网站。

　　由于OAuth在目前的互联网上应用广泛，很多服务如Open API，很多大公司如Google、Yahoo、Microsoft等都提供OAuth认证服务，这些都足以说明OAuth标准逐渐成为开放资源授权的标准，所以我们在系统设计初期也曾考虑采用OAuth标准的应用间的信任方式，但相比Kerberos而言，OAuth模型更适合于非集中式的Web环境，在学校、企业内部使用Kerberos模式的应用级的信任更有利于降低应用系统的开发代价，有利于高校应用系统的集中管理和统一规划。