基于SAML的單點(diǎn)登錄模型及其安全的研究與實(shí)現(xiàn).pdf

1、單點(diǎn)登錄的基本思想就是一次登錄，任意訪問(wèn)。由于Web服務(wù)業(yè)務(wù)經(jīng)常需要不同域中的多個(gè)站點(diǎn)協(xié)同工作，這就面臨跨域的協(xié)同認(rèn)證和安全信息傳遞的問(wèn)題。因此，基于統(tǒng)一標(biāo)準(zhǔn)的跨域的單點(diǎn)登錄成為當(dāng)前國(guó)內(nèi)外安全領(lǐng)域的研究熱點(diǎn)。 本文對(duì)當(dāng)前單點(diǎn)登錄系統(tǒng)雖然能提供單個(gè)域內(nèi)多個(gè)站點(diǎn)之間的聯(lián)合認(rèn)證，卻面臨缺乏統(tǒng)一標(biāo)準(zhǔn)、運(yùn)行流程過(guò)于復(fù)雜、無(wú)法跨域?qū)嵤┖桶踩圆蛔愕葐?wèn)題，進(jìn)行了深入的考查與闡述。在對(duì)用于跨域交換身份驗(yàn)證和授權(quán)信息的標(biāo)準(zhǔn)規(guī)范——SAML進(jìn)行了詳

2、細(xì)研究的基礎(chǔ)上，著重對(duì)基于SAML的兩種典型的單點(diǎn)登錄模型進(jìn)行了深入的比較和分析，針對(duì)這兩種模型的運(yùn)行流程較為復(fù)雜等不足之處，提出了基于SAML規(guī)范的單點(diǎn)登錄改進(jìn)模型，以簡(jiǎn)化單點(diǎn)登錄過(guò)程中系統(tǒng)的運(yùn)行流程。 為了使改進(jìn)模型不因流程的簡(jiǎn)化而降低安全性，本文接著對(duì)簡(jiǎn)化后的單點(diǎn)登錄過(guò)程中重要信息傳遞將會(huì)面臨的安全隱患進(jìn)行詳細(xì)的預(yù)測(cè)和分析。結(jié)合對(duì)現(xiàn)有的傳輸層安全技術(shù)和基于PKI的XML安全技術(shù)這兩種常用的Web服務(wù)間消息保護(hù)和驗(yàn)證機(jī)制的研

3、究，在對(duì)它們各自的優(yōu)缺點(diǎn)進(jìn)行了比較，并參照Web服務(wù)安全規(guī)范的基礎(chǔ)上，通過(guò)綜合使用XML簽名、XML加密和添加標(biāo)識(shí)符信息等技術(shù)，進(jìn)一步提出了單點(diǎn)登錄系統(tǒng)中端到端的安全信息傳輸方案。 為了將上述理論構(gòu)思應(yīng)用到實(shí)際的安全系統(tǒng)中，并加以驗(yàn)證，本文設(shè)計(jì)了一個(gè)基于SAML的單點(diǎn)登錄系統(tǒng)的整體架構(gòu)，同時(shí)對(duì)整個(gè)系統(tǒng)的執(zhí)行流程進(jìn)行詳細(xì)的構(gòu)思和描述，并為該系統(tǒng)設(shè)計(jì)了客戶端、中心安全服務(wù)端和目標(biāo)服務(wù)端這三個(gè)端點(diǎn)，以及消息安全處理模塊、傳輸模塊這兩個(gè)