随着网络技术的发展,“首都之窗”——北京市政务门户网站不断的完善,系统规模变的越来越大,用户如果要登录多个应用系统,不仅要面对多个登录界面,可能还要记忆不同的用户名和口令。每个应用系统有各自的账号管理系统,互不信任。系统管理员不得不维护多个系统中的用户信息,保证数据的一致性。随着用户登录系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会降低。基于效率和安全等因素的考虑,迫切需要一种高效、安全的网络认证机制——单点登录(Single Sign-On)技术,即用户只需在网络中主动地进行一次身份认证,随后便可以访问其被授权的所有网络资源,而不需要再主动参与其他的身份认证过程。本文实现的单点登录系统是以首都之窗为应用背景而设计实现的,它解决了首都之窗的统一认证和统一用户管理的问题。通过对身份认证和访问控制关键技术的研究,详细阐述和分析了单点登录的原理,分析比较了当前几种单点登录实现模型,结合首都之窗系统改造需求,提出了采用基于代理的经纪人单点登录模型方案,并基于Kerberos协议设计实现了该单点登录模型。该模型分为认证服务器模块和代理模块两部分,认证服务器完成用户的身份认证和票据的颁发,代理模块负责处理用户的请求,根据请求的不同和认证服务器模块进行交互,通过Cookie和票据实现单点登录。同时,采用J2EE架构,设计实现了统一用户管理模块,实现系统中用户和协作应用的统一管理。最后,通过对单点登录系统在首都之窗的测试实施,使首都之窗在用户管理、系统效率对比、易用性、安全性等方面有了明显的改善。本文主要工作在于建立一套基于代理的经纪人单点登录模型,在实际运用当中,通过重定向和Cookie技术及Kerberos协议来实现其功能并整合集成业务应用系统,对于实现电子政务信息资源共享、促进各业务系统间的协同、为进一步实现系统决策支持和实现系统的垂直业务通道提供支撑,在电子政务门户建设中具有重要的指导意义和参考价值。