随着Kerberos和SAML (Security Assertion Markup Language,安全断言标记语言)等技术的不断发展,跨域单点登录技术已经成为了信息安全领域的研究热点。现有的几种跨域单点登录技术在实现跨域认证过程中,存在着系统模型安全性能不足,或没有有效地解决口令同步问题,导致SSO(Single Sign-On,单点登录)效率不高,口令使用不便、存在口令泄露伪造攻击等问题,这些问题都是亟待需要解决的。针对CA公司的eTrustSSO、Novell公司的Securelogin SSO系统产品和Liberty Authentication和Net Passport等技术理论在安全性、可扩展性和口令同步功能实现方面存在的不足,提出一种安全的单点登录系统口令同步方案。该方案采用最优非对称加密填充(OAEP)算法对明文进行修改,经过RSA加密算法产生数字证书;根据SSO模型实际情况运用改进后的混合密码传输协议(HCTP)实现口令同步功能;通过对口令同步的实现验证,该方案克服了RSA算法易受选择密文攻击(CCA)的缺点,提高了SSO系统的安全性,有效地解决了口令同步难点问题。为使现有跨域单点登录系统能够更好的支持口令同步应用,提出了一种安全的跨域单点登录系统模型与口令同步解决方案。新模型融合了基于Kerberos和SAML两种认证系统的优势,能够很好地支持口令同步应用的实现,具有严密的逻辑结构,且可以抵抗单点崩溃、网络瓶颈;在解决跨域单点登录系统的口令同步问题上,采用最优非对称加密填充算法对口令明文进行修改,采用Diffie-Hellman密钥交换算法产生主密钥,并经过RSA加密算法产生数字证书,最后运用改进的混合密码传输协议实现单点登录口令同步的功能。